Генератор паролів — створюйте надійні випадкові паролі
Генеруйте надійні випадкові паролі будь-якої довжини. Налаштовуйте великі та малі літери, цифри та спеціальні символи. Безкоштовно, миттєво.
Ентропія пароля: Наука сильних паролів
Силу пароля вимірюють у байтах ентропії — логарифмі (з основою 2) кількості можливих паролів. Більша ентропія означає більш складний пароль для розгадування. Зрозуміння ентропії є ключем до створення паролів, які опірні як проти методів силового розгадування, так і проти методів базованих на словнику.
Формула: Ентропія = log₂(C^L) = L × log₂(C), де C = розмір набору символів і L = довжина пароля.
| Тип пароля | Розмір набору символів | Довжина | Ентропія (байти) | Час розгадування* |
|---|---|---|---|---|
| Тільки малий регістр (a–z) | 26 | 8 | 37,6 | Хвилини до годин |
| Змішаний регістр (a–z, A–Z) | 52 | 8 | 45,6 | Години до днів |
| Змішаний регістр + цифри | 62 | 10 | 59,5 | Дні до місяців |
| Всі друкувані ASCII | 94 | 12 | 78,7 | Тисячі років |
| Всі друкувані ASCII | 94 | 16 | 104,8 | Ефективно нескінченний |
| Всі друкувані ASCII | 94 | 20 | 131,0 | Поза межами теплової смерті Всесвіту |
| 4-словний passphrase (7 776 списку) | 7 776 | 4 слова | 51,7 | Приблизно до складності 8-значного |
| 6-словний passphrase (7 776 списку) | 7 776 | 6 слів | 77,5 | Приблизно до складності 12-значного змішаного |
*Підставляючи 100 мільярдів спроб на секунду з сучасного обладнання GPU. Безпекові експерти рекомендують мінімум 80 байт ентропії для загальних облікових записів і 128+ байт для критичних облікових записів, таких як облікові дані електронної пошти, банківські рахунки та ключі шифрування.
Набори символів та їх вплив на міцність
Увеличення кожного додаткового набору символів збільшує простір пошуку, який необхідно дослідити для атакуючого. Нижче наведено вплив кожного набору символів на ентропію пароля:
| Набір символів | Символи | Кількість | Байти на символ |
|---|---|---|---|
| Малі літери | a–z | 26 | 4,70 |
| Великі літери | A–Z | 26 | 4,70 |
| Цифри | 0–9 | 10 | 3,32 |
| Звичайні символи | !@#$%^&*()-_+= | 14 | 3,81 |
| Розширені символи | []{}|;:',".<>?/`~ | 18 | 4,17 |
| Всі друкувані ASCII | Всі вище | 94 | 6,55 |
Найбільшим впливом на будь-який пароль є збільшення довжини. Перехід від 12 до 16 символів з повного набору ASCII додає 4 × 6,55 = 26,2 додаткових байтів ентропії — еквівалентно збільшенню простору пошуку на близько 80 мільйонів разів. Довжина завжди важливіша за складність, коли вони не можуть бути одночасно максимальними.
Однак використання всіх типів символів разом (великі літери, малий регістр, цифри та символи) при заданій довжині максимально збільшує ентропію на символ. 12-значний пароль лише з малих літер має 56,4 байти ентропії; той же розмір з усіма типами символів має 78,7 байтів — збільшення на 40% без додаткових символів.
Навички створення паролів
Нинішні рекомендації від NIST (Спеціальне видання 800-63B), дослідники безпеки та галузеві стандарти суттєво змінилися порівняно з попередніми рекомендаціями. Нижче наведено найсучасніші рекомендації:
- Довжина перед складністю: 20-значний випадковий passphrase сильніший і більш запам'ятовуваний, ніж 12-значний пароль з багатьма символами. NIST рекомендує мінімум 8 символів, але фахівці з безпеки рекомендують 12–16 символів для стандартних облікових записів і 20+ для критичних облікових записів.
- Унікальні паролі для кожного облікового запису: Приблизно 85% випадків порушення безпеки пов'язані з спробами підмішування облікових даних — атакувальники перевіряють викрадені облікові дані/паролі від одного порушення проти інших послуг. Кожен обліковий запис повинен мати унікальний пароль.
- Користуйтеся парольний менеджер: Інструменти, такі як Bitwarden (безкоштовний, відкритий код), 1Password, KeePass або Dashlane генерують і зберігають унікальні паролі безпечно. Ви повинні пам'ятати лише одне головне пароль.
- Увімкніть дві-факторну автентифікацію (2FA): навіть викрадений пароль стає набагато важчим для експлуатації з 2FA. Використовуйте застосунок-автентифікатор (Google Authenticator, Authy або фізичний ключ, такий як YubiKey). Відмовляйтесь від SMS-2FA, коли це можливо, оскільки він вразливий до атак на заміну SIM.
- Перевірте бази даних порушень: Використовуйте haveibeenpwned.com, щоб перевірити, чи ваш електронний адрес чи паролі з'являються в відомих базах даних порушень. Якщо пароль з'являється в базі даних порушень, змінюйте його негайно, навіть якщо він здається сильним.
- Не змінюйте паролі за розкладом: Нові рекомендації NIST експлицитно рекомендують відмовитися від періодичних зміна паролів. Регулярна зміна призводить до передбачуваних змін ("Password1" → "Password2"). Змінюйте паролі лише тоді, коли є свідчення про порушення безпеки.
Найбільш поширені помилки паролів та як уникнути їх
Атакувальники використовують словарні атаки (перевірка спільних слів, імен та шаблонів) до того, як перейти до сили брута. Сучасні інструменти для розблокування паролів використовують складні правила, які передбачають звичайні людські поведінки. Відмовляйтесь від цих спільних помилок:
| Помилка | Приклад | Чому вона слабка | Ліпший варіант |
|---|---|---|---|
| Спільні слова | пароль, адмін, привітання | У кожної програми-розблокувальника | Рандомні символи або фраза-пароль |
| Особиста інформація | Джон1985, флайфі123 | Легко знайти на соціальних мережах | Немає особистої інформації в паролі |
| Патерни клавіатури | qwerty, 123456, asdfgh | Серед перших перевірених варіантів | Справжньо рандомний вибір символів |
| Представлені заміни | p@ssw0rd, h3llo | Стандартні правила лее-спік у всіх програмах-розблокувальниках | Повна рандомна генерація |
| Короткі паролі | 任何 під 8 символів | Розблокувати протягом декількох секунд-мінути | Мінімум 12 символів |
| Повторювані паролі | Той самий пароль на електронній пошті та банку | Одна перехоплення компрометує всі облікові записи | Унікальний пароль на кожен сервіс |
| Небільшості зміни | Літній2024 → Літній2025 | Атакувальники перевіряють послідовні варіанти | Совершенно новий рандомний пароль |
| Додання чисел до кінця | пароль123 | Додання цифр є стандартним правилом | Числа змішані протягом |
Найчастіше розблоковані паролі у світі (на основі аналізу бази даних порушень) є: 123456, пароль, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, пароль1, і qwerty123. Якщо ваш пароль схожий на будь-який із цих шаблонів, змінюйте його негайно.
Фрази-паролі: альтернатива, яку легко запам'ятовувати
Фраза-пароль — це послідовність випадково вибраних слів, використовуваних як пароль. Фрази-паролі загалом довші за звичайні паролі, що робить їх важче розблокувати, а також значно легше запам'ятовувати. Концепція була популяризована відомим коміксом XKCD "correct horse battery staple."
| Тип фрази-пароля | Приклад | Ентропія (біти) | Запам'ятовуваність |
|---|---|---|---|
| 3 випадкові слова (7 776 варіантів) | ковдра-карібська-піч | 38,8 | Легко запам'ятовувати |
| 4 випадкові слова (7 776 варіантів) | correct-horse-battery-staple | 51,7 | Хороший баланс |
| 5 випадкових слів (7 776 варіантів) | ковдра-карібська-піч-мango-скеля | 64,6 | Середній рівень зусиль |
| 6 випадкових слів (7 776 варіантів) | шість-слова-фраза-требує-більше-зусиль | 77,5 | Трудніше, але керується |
| 4 слова + число + символ | correct-Horse-battery7-staple! | ~65+ | Хороший з варіацією |
Критичним вимогою безпеки фраз-пароля є те, що слова повинні бути випадково вибрані — не змістовна фраза, цитата, пісня чи речення, яке ви б природно сказав. "Я дуже люблю собаку" — поганий фраза-пароль, оскільки він передбачає. "Ковдра-карібська-піч-мango" — дуже добре, оскільки поєднання слів випадкове та несподіване.
Для генерації фраз-пароля використовуйте метод Diceware: кинути п'ять кісточок, щоб отримати п'ятизначний номер, а потім знайти відповідне слово в словнику Diceware (який містить 7 776 слів). Повторіть для кожного слова. Альтернативно, використовуйте генератор фраз-пароля в своєму менеджері паролів, який автоматизує цей процес безпечно.
Менеджери паролів: центр безпеки
Менеджер паролів — це програмне забезпечення, яке генерує, зберігає та автоматично заповнює унікальні паролі для кожного облікового запису. Це найбільш рекомендований інструмент безпеки кожною великою організацією з питань безпеки. Нижче наведено порівняння найбільш популярних варіантів:
| Менеджер паролів | Ціна | Відкритий код | Платформи | Ключова особливість |
|---|---|---|---|---|
| Bitwarden | Безкоштовно (преміум $10/рік) | Так | Всі платформи + браузер | Найкращий вільний варіант; самовідкривається |
| 1Password | $36/рік | Ні | Всі платформи + браузер | Моніторинг порушень Watchtower |
| KeePass / KeePassXC | Безкоштовно | Так | Десктоп (крос-платформовий) | Локальна збереження даних; немає синхронізації в хмарі |
| Dashlane | $60/рік | Ні | Всі платформи + браузер | Вбудований VPN; моніторинг темної мережі |
| Apple Keychain | Безкоштовно | Ні | Тільки Apple-екосистема | Смуга на iPhone, iPad, Mac |
| Google Password Manager | Безкоштовно | Ні | Chrome + Android | Вбудований у браузер Chrome |
При виборі менеджера паролів надайте перевагу: нульове знання шифрування (компанія не може читати паролі), багатоплатформовість, безпечну генерацію паролів та моніторинг порушень. Ваша основна пароль — той пароль, який ви повинні запам'ятовувати — повинен бути сильним фраз-паролем із 5+ випадкових слів із мінімум 70 бітом ентропії.
Перехід до менеджера паролів не потрібно здійснювати одночасно. Почніть з додаванням найбільш критичних облікових записів (електронна пошта, банківські операції, соціальні мережі) та поступово додавайте інші, коли ви входите в них. Більшість менеджерів можуть імпортувати паролі з браузерів, щоб прискорити міграцію.
Методи двосторонньої автентифікації (2FA) порівняння
Найсильніший пароль забезпечує лише один рівень захисту. Двостороння автентифікація додає другий рівень, який вимагає чогось, чого у вас є (телефона або фізичної клавіші), крім чого ви знаєте (вашого пароля).
| Метод 2FA | Рівень безпеки | Зручність | Уразливість |
|---|---|---|---|
| Фізична безпека ключа (YubiKey, Titan) | Найвищий | Середній — фізичний ключ потрібен | Віртуально імунне до фішингу |
| Пристрій автентифікації (TOTP) | Високий | Високий — код на вашому телефоні | Уразливий, якщо телефон захоплений |
| Нотифікація по поштовій службі (Duo, MS Authenticator) | Високий | Дуже високий — натисніть, щоб підтвердити | "Зневага МФА" (повторні запити) |
| Текстове повідомлення SMS | Середній | Дуже високий — ніякої програми не потрібно | Зміна SIM, захоплення SS7 |
| Код по електронній пошті | Низько-середній | Високий | Захоплення облікового запису електронної пошти |
| Питання безпеки | Низький | Високий | Відповіді часто публічно доступні |
Для максимальної безпеки використовуйте фізичний ключ безпеки (FIDO2/WebAuthn) для найбільш критичних облікових записів. Для кожногодня облікових записів автентифікаційний додаток, такий як Google Authenticator, Authy або Microsoft Authenticator, забезпечує чудовий баланс безпеки та зручності. будь-який метод 2FA значно краще, ніж автентифікація тільки за допомогою пароля.
Як відбувається розблокування пароля
Зрозуміння, як атакують паролі, допомагає пояснити, чому випадкові, довгі паролі необхідні. Сучасні методи розблокування пароля передбачають кілька технік, кожна з яких експлуатує різні слабкості вибору пароля.
| Тип атаки | Як це відбувається | Швидкість | Що воно відбиває |
|---|---|---|---|
| Брут-форс | Перевіряє всі можливі комбінації систематично | Більйони на секунду (GPU) | Короткі паролі будь-якого типу |
| Словниковий атака | Перевіряє звичайні слова, імена та фрази | Мільйони на секунду | Паролі на основі справжніх слів |
| Правила-орієнтована атака | Застосовує перетворення до словників (збільшення регістру, додавання чисел, лєт-спік) | Мільйони на секунду | Представлені модифікації, такі як "P@ssw0rd" |
| Креденціал-стапінг | Перевіряє викрадені облікові записи/паролі від інших сайтів | Тисячі на секунду | Повторювані паролі на різних послугах |
| Рейнбоу-таблиця | Використовує попередньо обчислені таблиці перетворення хеша-пароля | Близько-інтелектний пошук | Несолені паролі |
| Фішинг | Обманює користувача, щоб він ввів пароль на фальшивому сайті | Н/Д (соціальна інженерія) | Паролі без 2FA |
Сучасні кластери GPU, що працюють з інструментами, такими як Hashcat, можуть перевірити понад 100 мільярдів MD5-хешів на секунду або близько 10 мільярдів bcrypt-хешів на секунду з спеціалізованою технікою. Це чому довжина пароля так важлива — кожен додатковий символ збільшує час необхідний за розміром набору символів. Випадково згенерований 16-значний пароль, що використовує всі друкувані ASCII-символи, займе довше, ніж вік Всесвіту, щоб розблокувати за допомогою брут-форса, навіть з найшвидшим обладнанням, яке сьогодні існує. Однак жоден пароль якоїсь довжини не захищає від фішингу — чому двостороння автентифікація залишається необхідним додатковим захистом.
Часто задавані питання
Як довго повинна бути довжиною безпечна пароль?
Мінімум 12–16 символів для стандартних облікових записів. Для фінансових та критичних облікових записів (email, банківські рахунки, пароль-розширення пароля), використовуйте 20+ символів або багатослівний фразовий пароль. Довжина більш важлива, ніж складність — 20-символьний нижній регістр має більше ентропії, ніж 10-символьний пароль із символами.
Є ли паролі, згенеровані випадково, безпечними для зберігання?
Згенеровані паролі слід зберігати в надійному менеджері паролів (Bitwarden, 1Password, KeePass), а не в текстовому файлі, тільки в браузері або на клаптиках. Менеджери паролів шифрують свій сховище за допомогою вашого головного пароля — навіть якщо послуга була підірвана, індивідуальні паролі залишаються шифрованими та безпечними.
Що робить пароль легким для комп'ютерів для розгадування?
Коротка довжина, звичайні слова чи шаблони, особиста інформація та використання однієї і тієї ж пароля на різних сайтах. Сучасні ГПВ можуть перевірити мільярди паролів за секунду. Вісім символів нижнього регістру має лише 208 мільярдів комбінацій — можливо розгадати протягом декількох годин. Шістнадцятисимвольний випадковий пароль із усіх типів символів має близько 10^31 комбінацій — не здійснити протягом декількох десятиліть навіть із спеціалізованою технікою.
Є ли безпечним використовувати фразовий пароль замість складного пароля?
Так — фразові паролі, що складаються з 4 або більше випадково вибраних слів (наприклад, "correct-horse-battery-staple") дуже безпечні та значно більш пам'ятні. Чотирислівний фразовий пароль із 7 776-слівного словника Diceware має 51,7 біта ентропії; шестислівний фразовий пароль має 77,5 біта ентропії. Основне вимагання полягає в тому, щоб слова були випадково вибрані, а не природний фраза, яку ви б сказали.
Чи слід змінювати мої паролі регулярно?
Поточні рекомендації NIST (SP 800-63B) кажуть, що періодичний термін дії пароля є протиправним — він призводить до передбачуваних змін ("Password1" → "Password2") та загальної слабкості безпеки. Змінюйте паролі тільки тоді, коли є свідчення про порушення безпеки, наприклад, повідомлення про порушення даних. Сильні, унікальні паролі, які не були порушені, не потребують заміни.
Що таке двостороння аутентифікація (2FA) та чи слід використовувати її?
Двостороння аутентифікація вимагає додаткової форми підтвердження, яка йде за паролем — звичайно, код із застосунку-авторизатора або фізичний ключ безпеки. Так, слід включити 2FA на кожному обліковому записі, який підтримує його. навіть якщо ваш пароль був підірваний, атакувальник не зможе отримати доступ до облікового запису без другого чинника. Авторизаторські застосунки краще використовувати ніж SMS-коди.
Як працюють менеджери паролів?
Менеджери паролів генерують та зберігають унікальні паролі для кожного облікового запису у шифрованому сховищі. Ви відкриваєте сховище своїм головним паролем. Менеджер автоматично заповнює форми входу, тому ви ніколи не повинні пам'ятати чи вводити окремі паролі. Більшість використовують шифрування без знання, тобто навіть провайдер послуг не може прочитати збережені паролі.
Що відбувається, якщо мої менеджер паролів був підірваний?
Надійні менеджери паролів використовують шифрування без знання — ваші паролі шифруються локально за допомогою вашого головного пароля перед тим, як зберігати їх на їхніх серверах. навіть у разі порушення сервера, атакувальник отримує тільки шифровані дані, які він не може прочитати без вашого головного пароля. Це чому дуже важливо мати сильний, унікальний головний пароль (ідеально — 5+ слів фразовий пароль). Бреша LastPass 2022 року продемонструвала це: навіть якщо були викрадені шифровані сховища, належним чином шифровані сховища зі сильними головними паролями залишилися безпечними.
Є ли безпечним дозволяти браузеру зберігати паролі?
Браузер-відкриті паролі є зручними, але менше безпечні ніж спеціалізовані менеджери паролів. Браузер зберігає паролі за допомогою шифрування, прив'язаного до облікового запису операційної системи, тому хто має доступ до сесії комп'ютера може побачити їх. Спеціалізовані менеджери паролів пропонують сильніше шифрування, багатобраузерну підтримку, безпечне спільне використання, моніторинг порушень безпеки та функцію блокування. Для максимальної безпеки використовуйте спеціалізований менеджер паролів та вимкніть зберігання паролів у браузері.
Як створювати сильний головний пароль, який я зможу згадати?
Використовуйте метод Diceware: викиньте п'ять кісточок, щоб отримати п'ятизначний номер, знайти відповідний слово в словнику Diceware та повторіть для 5–6 слів. Под'єднайте їх з тире або пробілами. Приклад: "blanket-topaz-furnace-mango-cliff" має близько 64 біта ентропії та відносно легко запам'ятовується завдяки візуалізації. Практикуйте його кілька разів протягом декількох днів, поки він не стане автоматичним.
{"@context":“https://schema.org”,"@type":“WebApplication”,“name”:“Password Generator”,“description”:“Generate strong, random passwords of any length. Customize with uppercase, lowercase, numbers, and special characters.”,“url”:“https://running-calculator.com/password-generator/","applicationCategory":"UtilityApplication","operatingSystem":"Any","offers":{"@type":"Offer","price":"0","priceCurrency":"USD"}}