Самый короткий из общепринятых форматов. 8-символьный пароль удерживается старыми системами и формами с жёстким ограничением длины — но его криптографические возможности на пределе для современных угроз.
Отсканируйте для передачи пароля на другое устройство
8 символов — это исторический минимум, который до сих пор требуют многие системы. Сценарии, где такая длина оправдана, ограничены: временные регистрации в форумах и тестовых сервисах, формы с жёстким ограничением maxlength=8, старые POS-терминалы и кассовые системы, корпоративные интранеты, не модернизировавшие политику паролей со времён Windows XP.
Для всего остального — почты, банков, соцсетей, рабочих сервисов — 8 символов уже недостаточно. NIST 800-63B рекомендует минимум 12 символов с 2017 года, и эта рекомендация только укрепляется по мере роста вычислительной мощности атакующих.
При использовании полного смешанного алфавита (заглавные, строчные, цифры, спецсимволы — 95 уникальных символов) пароль длиной 8 имеет энтропию около 52 бит. Это примерно 6.6 квадриллиона возможных комбинаций (95⁸ ≈ 6.6 × 10¹⁵).
Звучит внушительно, но современные GPU-фермы перебирают «голые» хеши SHA-256 со скоростью 10¹⁰–10¹¹ в секунду. При таком темпе все 8-символьные пароли перебираются за 3–4 дня. Если использовать только цифры и буквы (62 символа), время сокращается до 40 минут. Только если пароль защищён медленной функцией вроде bcrypt или Argon2, оценка становится разумной — годы вместо дней.
Каждые 2 дополнительных символа умножают пространство паролей примерно в 9 000 раз для смешанного алфавита. 10 символов увеличивают время взлома с 3 дней до нескольких лет, 12 символов — до сотен тысячелетий. Это и есть причина, по которой переход с 8 на 12 символов критически важен.
Чтобы выжать максимум из короткой длины, обязательно включите все четыре класса символов: заглавные, строчные, цифры и спецсимволы. Это даёт алфавит 95 символов и максимальную энтропию для данной длины. Не отключайте спецсимволы «для удобства» — иначе энтропия падает с 52 до 47 бит.
Если сервис не принимает определённые символы (например, ограничивает $ или %), используйте функцию «Исключить символы» и впишите запрещённые знаки. Генератор автоматически уберёт их из алфавита.
Любой 8-символьный пароль, который вы сохранили в браузере без шифрования, считайте уже скомпрометированным — современные стилеры извлекают незашифрованные пароли за секунды. Минимальная защита: менеджер паролей (Bitwarden, 1Password, KeePassXC) с мастер-фразой не короче 20 символов или парольной фразой из 6 слов.