Введите пароль и посмотрите, за сколько его переберут при разных условиях: на домашнем ПК, GPU-ферме или государственном кластере, против быстрого или медленного хеша. Расчёт выполняется только в браузере — пароль никуда не отправляется.
В основе расчёта простая модель. У пароля есть пространство возможных значений — это размер алфавита, возведённый в степень длины. Пароль из 12 символов смешанного набора (94 символа) даёт 94¹² ≈ 4.7 × 10²³ комбинаций. Атакующий перебирает их одну за другой. В среднем нужный пароль находится после перебора половины пространства — поэтому итоговое число делится на два. Разделив количество комбинаций на скорость перебора, получаем время.
Все вычисления здесь ведутся в логарифмах: числа вроде 10²³ невозможно представить обычным способом без потери точности, а логарифмическая арифметика работает корректно даже для паролей в сотни символов.
Самый недооценённый фактор — как именно сервис хранит пароль. Если он применяет быстрый хеш (MD5, SHA-1, SHA-256), одна видеокарта проверяет миллиарды вариантов в секунду. Если используется медленный хеш, специально созданный для защиты паролей — bcrypt, scrypt, Argon2 — каждая проверка намеренно замедлена. Разница достигает 100 000 раз. Пароль, который против SHA-256 падает за час, против bcrypt держится больше десяти лет. Поэтому переключатель типа хеша меняет результат так драматично.
Домашний ПК с одной игровой видеокартой — порядка 10⁹ хешей в секунду против быстрого хеша. GPU-ферма из десятков RTX 4090, какие используют для майнинга и взлома, — около 10¹² в секунду. Государственный криптокластер или крупный ботнет — 10¹⁵ и выше. Разброс в миллион раз между домашним энтузиастом и серьёзным противником объясняет, почему важно выбирать модель угрозы под свою ситуацию.
Калькулятор моделирует офлайн-атаку — когда база хешей уже украдена и атакующий перебирает её на своём железе без ограничений. Это худший сценарий. Онлайн-атака — перебор прямо на сайте через форму входа — гораздо безопаснее для вас: сервис ограничивает число попыток, вводит задержки, блокирует учётную запись или показывает капчу. Онлайн даже слабый пароль из 6 символов почти не перебираем. Бояться нужно именно офлайн-сценария, и расчёт показывает его.
Высокое расчётное время защищает только от прямого перебора. Оно ничего не значит, если ваш пароль уже попал в базу утечек: тогда атакующий не перебирает, а просто берёт готовое значение из словаря — взлом мгновенный независимо от длины и сложности. Поэтому даже идеальный по расчёту пароль стоит проверить через инструмент проверки на утечку. И помните: расчёт — это оценка под конкретными допущениями, а не точное предсказание. Реальная цифра зависит от того, какой хеш использует сервис и какое железо у атакующего. Подробный разбор принципов стойкости — в статье «Как создать надёжный пароль».