Надёжность пароля
Не только оценка стойкости — но и то, как вы обращаетесь с паролями: переиспользование, менеджер, MFA.
Большинство стандартных индикаторов стойкости пароля дают оптимистичный ответ: длинный пароль с цифрой и знаком — «отличный пароль!». Это полуправда. Никакая стойкость самого пароля не спасёт, если вы используете его на десяти сайтах: достаточно одной утечки, чтобы все аккаунты пали разом. Этот калькулятор оценивает не сам пароль, а то, как вы с ним обращаетесь.
Это поле не сохраняется в браузере — введённые данные исчезнут после закрытия страницы.
Что мы считаем
1. Энтропия пароля — приближение по Шеннону: длина × log₂(размер алфавита). Алфавит определяется по используемым классам символов (a-z, A-Z, 0-9, спецсимволы).
⚠️ Это верхняя граница, а не точная оценка. Формула считает, как если бы пароль был сгенерирован случайно. Для реальных паролей, которые человек придумывает, стойкость почти всегда ниже — из-за словарных слов, типичных подстановок (1→l, o→0), привычных шаблонов («Слово + год + !») и предсказуемых раскладок клавиатуры. Поэтому учитывайте также блок «найденные проблемы» и поведенческий счётчик ниже.
2. Распознавание паттернов — словарные слова из топ-100 самых популярных паролей, повторы, последовательности, годы, типичные «маскировки» вроде Password1!.
3. Поведенческие факторы — переиспользование пароля, использование менеджера, наличие MFA. Эти три фактора часто важнее самого пароля.
4. Время полного перебора — оценка для офлайн-атаки (взлом украденной базы хешей) при ~10¹° попыток/сек (современная видеокарта, средняя хеш-функция). Не реалистично для bcrypt, реалистично для MD5/SHA1.
Признаки надёжного обращения с паролями
- Длина 16+ символов
- Уникальный для каждого важного сервиса
- Хранится в менеджере паролей (не в голове и не в заметках телефона)
- На важных аккаунтах включена двухфакторка
- Не содержит словарных слов, паттернов, дат
Один из этих факторов с проблемой — не катастрофа. Несколько одновременно — серьёзный риск.
Что вреднее, чем кажется
- Замена
oна0,sна$в словарных словах — атаки давно учитывают такие подстановки. - Композиция «слово + год + !» — самый распространённый паттерн, проверяется первым.
- Регулярная смена пароля каждые 90 дней — современные рекомендации NIST явно говорят: не делайте этого, если не было утечки. Это толкает людей к слабым модификациям («Password1!» → «Password2!»).
Куда мы НЕ отправляем ваш пароль
Никуда. Анализ происходит полностью в браузере на JavaScript. Калькулятор не делает HTTP-запросов, не подключается к Have I Been Pwned, не сохраняет ввод в localStorage. После закрытия страницы ввод исчезает.
Если хотите проверить пароль на наличие в публичных утечках — используйте Have I Been Pwned (сервис Troy Hunt, безопасно через k-anonymity). Это отдельная задача, не входит в этот калькулятор.
Источники
- NIST SP 800-63B Digital Identity Guidelines — современные рекомендации по паролям
- xkcd 936 «Password Strength» — про длинные парольные фразы
- Have I Been Pwned: Password Guidelines — Troy Hunt
FAQ
Передаются ли мои пароли куда-то?
Чем эта оценка отличается от обычных индикаторов стойкости пароля?
Что важнее — длина или сложность (набор символов)?
Нужно ли менять пароли каждые 90 дней?
Что такое парольная фраза и почему она лучше?
correct-horse-battery-staple. 4 слова из общего словаря 7776 (стиль Diceware) дают ~52 бита энтропии, 5 слов — 64 бита. Запоминать легче, чем K8#mP$2qR, а взломать сложнее или столько же. Главное — слова должны быть случайными (бросок кубика), не из вашей жизни.