Энтропия пароля объяснена — и почему ваш «сложный» пароль слабее, чем парольная фраза
Энтропия — это единственный честный показатель надежности пароля. Вот как она рассчитывается, сколько времени нужно злоумышленникам, чтобы взломать пароли разных уровней, и почему четыре случайных слова часто превосходят 12-символьный «P@ssw0rd!».
«Создавайте сложный пароль» — это бесполезный совет. Он говорит вам добавить символ и цифру, как будто это обеспечит безопасность пароля. Это не так. Единственный честный показатель надежности пароля — это энтропия, и большинство «сложных» паролей получают по ней более низкие баллы, чем вы думаете.
Что на самом деле измеряет энтропия
Энтропия — это количество битов случайности в вашем пароле, другими словами, сколько попыток нужно злоумышленнику в среднем, чтобы взломать его методом перебора. Она рассчитывается по формуле длина × log₂(размер набора).
Пример: 10-символьный пароль, использующий только строчные буквы (набор = 26), имеет энтропию 10 × log₂(26) ≈ 47 бит. 10-символьный пароль, использующий строчные буквы, заглавные буквы, цифры и символы (набор = 88), имеет 10 × log₂(88) ≈ 64,6 бит. Одна и та же длина, но больший набор заставляет каждый символ работать интенсивнее.
Сколько битов — это «безопасно»?
Приблизительные современные пороги (при условии хорошо хешированного пароля, который переживает утечку базы данных — если сайт использует bcrypt или argon2, как и должно быть):
- Менее 40 бит: взламывается за минуты одним GPU.
- 40–60 бит: взламывается за часы или недели серьезным злоумышленником с фермой GPU.
- 60–80 бит: безопасно против современного автономного перебора. Хорошая цель для отдельных аккаунтов.
- 80–100 бит: устойчиво к любому текущему противнику, включая государства, на протяжении жизни современного оборудования.
- 100+ бит: избыточно для любой реалистичной модели угроз.
Стремитесь к 80 битам для всего, что защищает деньги, личность или инфраструктуру. Стремитесь к 100+ для мастер-пароля вашего менеджера паролей.
Ловушка «сложного» пароля
Пользователей, просимых создать «сложный» пароль, выбирают предсказуемые паттерны: первую букву пишут с заглавной, добавляют цифру в конце, меняют a на @. Password1! — это 10 символов и выглядит сложно для человека. Для взломщика это одна попытка — это есть в каждом словаре утёкших паролей.
Реальная энтропия паролей, выбранных пользователями, намного ниже, чем предполагает размер их набора, потому что люди не очень хорошо генерируют случайность. Исследования последовательно показывают около 20–30 бит независимо от заявленной сложности.
Почему парольные фразы побеждают
Парольная фраза — это 4–7 случайных слов, соединённых дефисами: garden-river-pencil-strong-sunset-bridge. Шесть случайных слов из списка из 512 слов имеют 6 × log₂(512) = 54 бита энтропии — больше, чем достигает большинство людей со своим «сложным» паролем, и намного легче запомнить.
Увеличьте до семи слов — и вы пересечёте 63 бита. Восемь слов из списка из 7776 слов (Diceware) дают 103 бита. Всё это при том, что легко печатать, легко запомнить и устойчиво к большинству атак по словарю (потому что комбинация случайна, даже если каждое слово обычное).
Произносимые пароли: золотая середина
Для сценариев, в которых пароль нужно продиктовать по телефону, произносимые пароли чередуют согласные и гласные: baketomiloguno. Каждый слог (согласная + гласная) имеет log₂(21 × 5) ≈ 6,7 бита энтропии, поэтому шесть слогов дают ~40 бит.
Слабее парольных фраз, но сильнее типичных паролей, выбранных человеком, и критически важнее — намного легче читать вслух без вопроса «это О или ноль?».
Создание безопасных паролей
Не полагайтесь на человеческую случайность. Используйте инструмент. Генератор паролей aukimi предлагает три режима — случайный, парольная фраза и произносимый — с живым счетчиком энтропии, чтобы вы могли точно видеть, насколько надежен ваш результат. Он использует crypto.getRandomValues (криптографически безопасный источник случайных чисел браузера) и применяет отклоняющую выборку для исключения смещения модуля.
Критически важно: создание происходит полностью в вашем браузере. Ничего не передается, не логируется и не сохраняется. Откройте вкладку сети в devtools при создании — вы увидите нулевые запросы, покидающие страницу.
Одно правило
Используйте менеджер паролей. Создавайте длинный случайный пароль для каждого сайта (ваш менеджер паролей никогда его не забудет, поэтому длина не важна для удобства использования). Используйте парольную фразу как мастер-пароль вашего менеджера паролей — это единственный, который вам нужно помнить.
Всё остальное — это оптимизация. Правильно примените этот один паттерн, и вы обойдете 95% пользователей.
Понравилась эта статья?
Похожие статьи
Творческий стек только что рухнул: одна неделя AI-инструментов, конец апреля 2026
С 27 апреля по 4 мая 2026 года Adobe, Luma, Novi, fal, Figma, Canva, HeyGen и Anthropic все пересекли один и тот же порог за восемь дней. Вот что вышло, что это означает и где это оставило браузерные творческие наборы, пытающиеся всё консолидировать.
AI-музыка и звуковые эффекты в 2026: что на самом деле работает в звуке инди-игр
Три года назад звук в инди-играх был либо лицензионными royalty-free библиотеками (дёшево, generics, все игры звучат одинаково), либо нанятым композитором (хорошо, дорого). В 2026 году AI генерирует музыку, которая отправляется в производство. Вот какие инструменты действительно работают — и где человеческий композитор всё ещё побеждает.
Генерация AI-мешей в 2026: Что на самом деле поставляется в игровые конвейеры
Image-to-3D превратилась из «жуткой демки» в «поставка в инди-проекты» за восемнадцать месяцев. Вот что на самом деле делают Tripo, Meshy, Rodin и Hyper3D в продакшене — и где 3D-художник по-прежнему побеждает модель каждый раз.