Как генерировать безопасные пароли - Полное руководство | DevTools.at

Что делает пароль сильным?

Сила пароля измеряется тем, насколько сложно было бы атакующему угадать или вычислительно обнаружить ваш пароль. Понимание факторов, которые способствуют силе пароля, помогает вам принимать обоснованные решения о вашей безопасности. Длина — это единственный самый важный фактор в силе пароля. Каждый дополнительный символ экспоненциально увеличивает количество возможных комбинаций, которые атакующий должен попробовать. 16-символьный пароль не в два раза сильнее, чем 8-символьный пароль — он в миллиарды раз сильнее. Конкретно, с 94 возможными символами (строчные, прописные, цифры, символы), каждый добавленный символ умножает возможности на 94. Разнообразие символов также важно, хотя и меньше, чем многие думают. Использование прописных букв, строчных букв, цифр и специальных символов увеличивает пул возможных символов, делая каждую позицию в вашем пароле более непредсказуемой. Однако 20-символьный пароль, использующий только строчные буквы, намного сильнее, чем 8-символьный пароль со всеми типами символов. Случайность критична. Пароли, выбранные человеком, известны своей предсказуемостью. Мы используем словарные слова, имена, даты и шаблоны вроде "123" или "qwerty". Атакующие знают это и соответственно оптимизируют свои атаки. Словарные атаки могут тестировать миллионы распространенных паролей за секунды. Действительно случайный пароль — сгенерированный компьютером — не имеет шаблонов для эксплуатации. Непредсказуемость означает, что ваш пароль не должен быть угадываемым из информации о вас. Использование имени вашего питомца, дня рождения или любимой спортивной команды создает пароли, которые целенаправленные атакующие могут угадать. Социальная инженерия и агрегация данных делают этот вид информации все более доступным для атакующих. Уникальность необходима: каждая учетная запись должна иметь разный пароль. Когда один сервис скомпрометирован (а утечки данных происходят постоянно), атакующие немедленно пробуют эти пароли на других сервисах. Использование одного и того же пароля везде означает, что одна утечка компрометирует все ваши учетные записи. Что НЕ делает пароль сильнее: замена букв на похожие цифры (p@ssw0rd легко взламывается), добавление цифр в конец (password123 едва ли лучше, чем password), или следование предсказуемым шаблонам, о которых взломщики паролей уже знают.

Энтропия пароля

Энтропия — это математическая мера непредсказуемости пароля, выраженная в битах. Понимание энтропии помогает вам количественно оценить силу пароля, а не полагаться на субъективные оценки или вводящие в заблуждение "индикаторы силы пароля", которые часто дают ложную уверенность. Формула для расчета энтропии: E = log₂(C^L), где C — количество возможных символов, а L — длина. Для пароля, использующего все 94 печатных символа ASCII длиной 12 символов: E = log₂(94^12) ≈ 78.6 бит. Каждый бит энтропии удваивает работу, которую должен выполнить атакующий. Что означают различные уровни энтропии на практике? 40 бит энтропии могут быть взломаны за секунды решительным атакующим с современным оборудованием. 50-60 бит могут занять от часов до дней в зависимости от ресурсов атаки. 70-80 бит представляют сильную защиту против большинства атак — это подходит для важных личных учетных записей. 80-100 бит обеспечивают отличную безопасность, подходящую для высокоценных целей. 100+ бит практически невзламываемы с любой предвидимой технологией. Скорости взлома паролей сильно варьируются в зависимости от того, как пароли хранятся. Плохо хешированный пароль (MD5 без соли) может атаковаться со скоростью миллиардов догадок в секунду. Правильно хешированные пароли (bcrypt, Argon2) замедляют атаки до тысяч или сотен догадок в секунду. Эта разница в шесть порядков величины показывает, насколько важно правильное хеширование паролей на стороне сервера. Реальная энтропия против теоретической энтропии: приведенные выше формулы предполагают, что каждый символ выбран случайно и независимо. Пароли, выбранные человеком, имеют гораздо более низкую энтропию, потому что мы используем предсказуемые шаблоны. "МойПесСпот2023!" может выглядеть как имеющий высокую энтропию, но словарные атаки с распространенными вариациями взламывают его легко. Случайная генерация необходима для достижения истинной энтропии. Практическая рекомендация: стремитесь к не менее чем 70-80 битам энтропии для важных учетных записей. С нашим генератором, использующим все типы символов, это около 12-13 действительно случайных символов. Используя только строчные буквы, вам понадобится около 15 символов. Длиннее всегда лучше, если вы все равно используете менеджер паролей.

Лучшие практики

Безопасность паролей выходит за рамки создания сильных паролей. То, как вы управляете, храните и используете пароли, одинаково важно. Следование этим лучшим практикам обеспечивает всестороннюю защиту вашей цифровой жизни. Используйте менеджер паролей. Эта единственная рекомендация решает большинство проблем безопасности паролей. Менеджеры паролей генерируют случайные пароли, хранят их безопасно и автоматически заполняют их при необходимости. Вам нужно запомнить только один сильный мастер-пароль. Популярные варианты включают Bitwarden (открытый исходный код), 1Password, KeePass и Dashlane. Удобство менеджера паролей устраняет искушение повторно использовать пароли или выбирать слабые. Включайте двухфакторную аутентификацию (2FA) везде, где это доступно. 2FA добавляет второй уровень защиты: даже если кто-то получит ваш пароль, они не смогут получить доступ к вашей учетной записи без второго фактора. Используйте приложения-аутентификаторы (Google Authenticator, Authy), а не SMS, когда это возможно, так как SMS может быть перехвачена через атаки подмены SIM-карты. Аппаратные ключи безопасности (YubiKey) обеспечивают самую сильную защиту 2FA. Никогда не используйте пароли повторно для разных учетных записей. Это не может быть подчеркнуто достаточно. Утечки данных раскрывают миллионы паролей регулярно. Атакующие берут учетные данные из одной утечки и пробуют их на других сервисах (подстановка учетных данных). Если вы используете один и тот же пароль для вашей электронной почты и игрового форума, утечка форума компрометирует вашу электронную почту — и потенциально все, что с ней связано. Генерируйте пароли случайно, а не создавайте их самостоятельно. Наш человеческий мозг ужасен в случайности. Мы думаем, что "3@gL$9*k" случайный, но взломщики паролей выучили наши шаблоны. Пароли, сгенерированные компьютером, использующие криптографически безопасные генераторы случайных чисел, действительно непредсказуемы. Используйте длинные парольные фразы для паролей, которые вы должны вводить вручную. Для мастер-пароля вашего менеджера паролей или входа на устройство рассмотрите использование 4-6 случайных слов: "правильная лошадь батарея скрепка" легче запомнить, чем "Tr0ub4dor&3", будучи при этом гораздо сильнее. Используйте генератор случайных слов, а не слова, которые вы выбираете сами. Регулярно проверяйте утечки. Сервисы вроде haveibeenpwned.com позволяют вам проверить, появились ли ваши электронная почта или пароли в известных утечках данных. Если вы обнаружите утечку, немедленно измените этот пароль и любые учетные записи, где вы (к сожалению) использовали тот же пароль. Остерегайтесь фишинга. Самый сильный пароль бесполезен, если вы вводите его на поддельном веб-сайте. Всегда проверяйте, что вы на легитимном сайте, перед вводом учетных данных. Добавляйте важные сайты в закладки, а не переходите по ссылкам из электронной почты. Менеджеры паролей помогают здесь — они не будут автоматически заполнять данные на поддельных доменах.

Генератор паролей: Полное руководство

Что делает пароль сильным?

Энтропия пароля

Лучшие практики

Попробовать инструмент

Узнать больше

Энтропия пароля

Лучшие практики паролей

Вопросы и ответы