Современным людям приходится пользоваться, десятками паролей от рабочих и личных сервисов. Они хранятся в головах людей, в парольных менеджерах, на стикерах у рабочего стола, в .txt, а необходимость помнить такое скопище информации раздражает и истощает. Этому даже придумали название — парольная усталость. И хотя многие страдают от нее, в ближайшие несколько лет всем придется жить в мире парольной аутентификации. Каким должен быть хороший пароль — разбирались в редакции ispmanager вместе с тимлидом DevOps Арсением Любогащинским. Не стали придумывать велосипед, а посмотрели основные рекомендации по длине сложности пароля и поговорили, как его придумать, а также где хранить.
Длина пароля
Рекомендации по длине пароля основаны на том, как быстро его можно взломать брутфорсом, то есть методом перебора всех возможных комбинаций символов. Исследователи из компании Hive Systems в 2025 году определили сколько времени понадобится, чтобы подобрать захешированные пароли различной длины и сложности на доступном взломщикам оборудовании.
Как видим, уровень надежности растет экспоненциально в зависимости от количества символов. На расшифровку простого девятибуквенного пароля может уйти два года, но стоит добавить один знак — и хакеры рискуют потратить до 40 лет.
Конечно, чтобы взломать систему методом чистого брутфорса, злоумышленнику пригодится везение. В вебе многие сервисы реализовали ограничения к перебору: три неудачных попытки вводы пароля блокируют доступ к системе. Для успешного взлома хакерам нужен доступ к базе данных, а их активность должна быть достаточно долго скрыта от администратора.
Но в жизни случается и самое невероятное. На всякий случай я допускаю, что возможности брутфорсеров ограничены лишь современным уровнем развития технологий. Может, у хакера есть кластер из восьми серверов, на которых поочередно идет перебор паролей. Поэтому не такое уж безумие — использовать для критических сервисов 24-значные пароли со спецсимволами, буквами в разных регистрах и цифрами. Чтобы расшифровать их, понадобятся квадриллионы лет.
Рекомендации NIST (национальный институт стандартов и технологий, США) куда мягче. Для однофакторной авторизации рекомендуют пароль от 15 символов, для двухфакторной авторизации — от 8 символов.
ФСТЭК дает похожую рекомендацию по длине пароля — он должен быть от 15 символов. Правила прописаны для ОС Windows и Linux
Может быть, в будущем квантовые компьютеры смогут обходить ограничения временем, и тогда одни придумают новые способы защиты информации, а другие — новые технологии взломов.
Сложность пароля
Хороший пароль должен быть не только достаточно длинным, но и непредсказуемым. Идеально, если это случайное сочетание символов. Плохо — пароль, основанный на открытых данных: дате рождения, месте романтического свидания или имени любимого кота (даже если его зовут Барон Мюнхгаузен, а не Мурзик). И совсем нехорошо, если пароль относится к числу популярных или состоит из ряда соседних символов на клавиатурной раскладке.
Самые распространенные пароли в 2025 по версии парольного менеджера NordPass
123456
admin
12345678
123456789
12345
password
Aa123456
1234567890
Pass@123
admin123
Как придумать пароль
Между устойчивостью пароля к взлому удобством запоминания есть противоречие. Замысловатую комбинацию сложнее запомнить, но и сложнее взломать. Простая комбинация запоминается легко и легко взламывается.
Сгенерировать
Самый надежный способ — сгенировать псевдослучайный пароль с помощью парольного менеджера или инструмента, встроенного в используемый сервис. Получится пароль типа 7xR!tL2$qP. Преимущество этого метода — высокая устойчивость пароля к взлому. Недостаток в том, что такой пароль сложнее запоминать и вводить.
Использовать акронимы
Можно взять длинную фразу и выбрать из каждого слова первые буквы и цифры. Например: «в пятницу в 8 вечера я с котом Одином делаю релизы на прод и ухожу спать». Получится пароль впв8яск0дрнпиус. Для большей надежности можно заменить в нем одну из букв на заглавную и поставить символ 0 вместо буквы о.
Посмотреть вокруг себя
Оглянитесь вокруг и найдите два предмета и две цифры. Например: визитка с номером телефона, артикул на упаковке глазных капель, кружка, настольная лампа. Скомпонуйте из этого парольную фразу. То, что получится, отгадать будет сложно. Правда, и запомнить немногим проще, чем случайную комбинацию букв и цифр.
Энтропия пароля
Показатель, которым измеряют математическую непредсказуемость пароля — информационная энтропия. Она измеряется в битах. Для проверки энтропии пароля можно использовать библиотеки и приложения, которые не передают пароли в сеть. Например, библиотека zxcvbn от Dropbox, ей применяют многие разработчики.
Любители математики и теории информации могут легко рассчитать энтропию при по формуле:
E = log2(SL)
Где E – уровень энтропии в битах;
S – число уникальных символов в пароле;
L – общее число символов в пароле.
Хорошее значение энтропии — от 80 бит.
Показатель энтропии нужен разработчикам, чтобы давать пользователям подсказки о надежности или администраторам, чтобы проверять выдаваемые пароли.
Пользователям же достаточно следовать рекомендациям о длине пароля, использовать разнообразные символы . И, конечно, не проверять пароль на на сомнительных сайтах, чтобы не скомпрометировать его.
Ротация пароля
Раньше специалисты рекомендовали менять пароли раз в полгода, а если используется двухфакторная аутентификация — раз в год. Сейчас все чаще звучат мнения, что от ротации паролей следует отказаться и она приносит больше вреда, чем пользы. NIST рекомендует не принуждать пользователя менять пароль, если только он не был скомпрометирован. Это заставляет людей лишь незначительно модифицировать пароль, например, вместо pa$sword1 использовать pa$sword2. Хакеры знают об этих привычках, поэтому профилактическая ротация не имеет смысла и только раздражает пользователей.
Рекомендации для России более консервативны. Максимальный срок действия пароля согласно документу ФСТЭК — 60-90 дней.
Где хранить пароли
В голове
Неудобно, но безопасно. Пароль, который хранится только в базе данных и в голове владельца, сложно украсть, разве что ученые научатся проникать в сны. Но хранить в человеческой памяти можно не так уж много паролей.
В браузере
Удобно, но подходит только для малозначимых веб-сервисов. Пароль от редко посещаемого развлекательного сайта так хранить можно, а вот от личного кабинета налоговой уже не стоит — ПК может быть заражен вирусом, крадущим пароли браузера.
В парольном менеджере
Пользоваться парольными менеджерами, таким как KeePass, Bitwarden — отличная практика. Вы можете хранить в них хоть тысячу самых сложных паролей вроде $9kLm@8&pQ#4sRfW. Но есть нюанс: фактически вы заменяете все пароли на один мастер-пароль, а его тоже нужно где-то хранить. И лучше в собственной голове, а не на бумажке, и с двухфакторной аутентификацией. Взломают мастер-пароль — получат доступ ко всему. Несмотря на риски, парольный менеджер — компромиссное решение между удобством и защищенностью.
Многофакторная авторизация
Чтобы усилить парольную защиту, везде, где только можно включите многофакторную авторизацию. Она подразумевает, что система проверяет пользователя по двум или трем факторам:
- Фактор знания определяет, что пользователь знает какую-либо информацию для входа. Фактор знания подтверждают, когда вводят правильный пароль.
- Фактор владения подразумевает, что у человека есть доступ к объекту с информаций — например, смартфону, почте, телефонному номеру. Также используют, например, флешку с ключом. Чтобы настроить проверку по фактору владения, можно использовать TOTP (Time-based One-Time Password). Это алгоритм генерации одноразовых паролей, которые действительны только короткий промежуток времени, обычно 30 или 60 секунд. Популярные решения для организации TOTP — Google Authenticator, Яндекс Ключ, Aegis, 2FAS.
- Фактор принадлежности проверяет, что пользователь является тем, за кого он себя выдает. Например, система может запрашивать биометрию: отпечатки пальцев или улыбку.
Что запомнить о паролях
Многофакторная авторизация и длинный случайный пароль не гарантирует стопроцентной защиты. Кто-то может выяснить пароль, сделать слепок отпечатков пальцев и обойти биометрию, выведать временный код аутентификации в разговоре. Однако соблюдение требований к паролю и включение дополнительной защиты сводят вероятность взлома до ничтожной.
Степень защиты должна быть соразмерна масштабам потерь в случае утечки. Но это не означает, что пароль рядового сотрудника в компании может быть проще, чем пароль генерального директора — атаки на инфраструктуру часто начинают с нижних уровней, поэтому правила безопасности должны быть одинаково жесткими для всех. Лучше позволить своему внутреннему параноику перебдеть, чем ликвидировать последствия взлома.