Если у вас уже есть пароль и вы не уверены в его надёжности — эти три инструмента дадут объективную оценку. Каждый из них работает локально, не сохраняет ваши пароли и не отправляет их на сервер целиком.
Распространённое заблуждение — считать, что длинный пароль автоматически надёжный. На деле aaaaaaaaaaaaaaaa и x9G!t2Qm имеют разную защиту: первый длиннее, но второй гораздо устойчивее к перебору. Объективная мера сложности — это энтропия, измеряемая в битах. Она показывает, сколько случайных решений потребовалось для построения пароля.
Каждый бит энтропии удваивает работу атакующего. Пароль с 40 битами энтропии требует около триллиона попыток — это часы на современной GPU-ферме. 70 бит — годы. 100+ бит — пароль практически невзламываем при любом разумном бюджете. Инструмент проверки надёжности показывает энтропию в реальном времени.
Время взлома — это оценка того, сколько займёт перебор всех возможных паролей данной длины и сложности. Расчёт зависит от двух факторов: размер пространства паролей (зависит от длины и используемого алфавита) и скорость перебора (зависит от железа и хеш-функции).
Обычный домашний ПК пробует около миллиарда (10⁹) хешей SHA-256 в секунду. Серьёзная GPU-ферма с десятками RTX 4090 — десятки триллионов (10¹³). Распределённый ботнет или государственный криптоцентр — на порядки больше. Поэтому в калькуляторе времени взлома мы даём выбор железа: оценка для домашнего хакера и для государственного агентства отличается в миллионы раз.
Важная оговорка: реальные пароли защищаются не «голым» SHA-256, а медленными функциями вроде bcrypt, scrypt или Argon2. Они снижают скорость перебора в тысячи раз. Поэтому для паролей в правильно настроенных современных системах оценки времени взлома получаются ещё более оптимистичными.
За последние годы хакеры выкачали миллиарды учётных записей из крупных сервисов — LinkedIn, Adobe, Dropbox, Yahoo, Facebook и сотен других. Эти базы попадают в свободный доступ и используются для так называемых credential stuffing-атак: атакующий берёт пары email-пароль из утечки и пробует их на других сервисах. Если вы использовали один пароль в нескольких местах — все ваши аккаунты в зоне риска.
Сервис Have I Been Pwned (HIBP) от Troy Hunt агрегирует утечки и позволяет проверить, не засветился ли ваш пароль. Чтобы такая проверка не превращалась в новую уязвимость, HIBP использует протокол k-anonymity: ваш пароль хешируется в браузере по SHA-1, на сервер отправляются только первые 5 символов хеша, в ответ приходит список всех известных хешей с таким префиксом, и сравнение остатка происходит локально. Сервер физически не знает, какой именно пароль вы проверяли.
Если вы оцениваете новый пароль, который ещё нигде не использовали, — начните с проверки надёжности. Если хотите понять, сколько лет ваш пароль продержится под атакой, — переходите к калькулятору времени взлома. Если же у вас есть подозрение, что один из ваших старых паролей мог утечь, — обязательно проверьте его через инструмент HIBP.