Русский
Создавайте надёжные случайные пароли с настраиваемыми классами символов.
Последнее обновление
Генератор паролей создаёт случайные пароли, которые подобрать намного сложнее, чем те, что человек придумывает сам. Разработчики и те, кто учится, используют такие пароли для тестовых аккаунтов, админок, доступов к БД, регистрации в дашбордах, секретов в CI и просто для личной безопасности.
Главное здесь — *энтропия*, то есть насколько пароль непредсказуем. Чем длиннее и менее предсказуем пароль, тем он радикально надёжнее, даже если оба варианта на вид кажутся одинаково «случайными». А уникальный пароль для каждого сервиса, сохранённый в нормальном менеджере паролей, убирает почти все риски, связанные с повторным использованием.
Нормальный генератор должен брать случайность из криптографически стойкого источника: window.crypto.getRandomValues в браузере, secrets в Python, crypto.randomBytes в Node.js. Всё, что построено на Math.random() или примитивном генераторе на основе времени, предсказуемо настолько, что атакуется на раз.
@ вместо a — пароль из 20 строчных букв сильнее, чем 10-символьный с символами.window.crypto, а не из Math.random().Для важных аккаунтов берите хотя бы 16 символов, а для админских и root-учёток — 20 и больше. Длина даёт больше, чем любая другая настройка.
Для максимальной стойкости включите строчные, прописные, цифры и спецсимволы. Если пароль придётся диктовать голосом или переносить между системами, символы можно отключить.
Включите опцию исключения O / 0 и l / 1 / I, если пароль может быть прочитан вслух или введён вручную.
Шкала примерно показывает, сколько времени уйдёт на брутфорс. Если попали в самую сильную зону — для личных аккаунтов этого с запасом.
Скопируйте пароль в надёжный менеджер паролей — не вставляйте его в чаты, почту или стикеры на мониторе. И не используйте его повторно для другого аккаунта.
Примерное время перебора при 10 млрд попыток в секунду — это уровень современного офлайн-брутфорса. Используйте таблицу как ориентир при выборе длины. Авторитетные источники: NIST SP 800-63B и OWASP Authentication Cheat Sheet.
| Длина | Набор символов | Примерная стойкость |
|---|---|---|
| 8 | строчные + цифры (36 символов) | Подбирается за секунды |
| 10 | строчные + прописные + цифры (62) | Подбирается за часы |
| 12 | строчные + прописные + цифры + символы (94) | От дней до недель |
| 16 | строчные + прописные + цифры + символы | Века |
| 20 | строчные + прописные + цифры + символы | На сегодня практически невзламываемый |
| 4 слова | Парольная фраза из случайных слов (correct horse battery staple) | Века — и при этом легче запомнить |
Длина: 20 · Строчные: вкл · Прописные: вкл · Цифры: вкл · Символы: вкл
B7$kP2wM!hG9eV4rT&xQ
Рабочий вариант по умолчанию для дашбордов, веб-приложений и большинства личных аккаунтов. 20 символов из всех четырёх классов сегодня считаются практически невзламываемыми.
f7Bk2pQz
f7Bk2pQzM!eV9rT&hG3wXn$L
Короткий пароль использует те же классы символов, но слабее на много порядков. Длина почти всегда побеждает.
lantern-vivid-comet-nimbus-quartz
Пять случайных несвязанных слов примерно так же надёжны, как 16-символьный случайный пароль, но их намного проще ввести, продиктовать и запомнить.
tower-citrus-bronze-quay-pear может быть не слабее короткого пароля с кучей символов и при этом удобнее в обращении.window.crypto.getRandomValues. Пароль создаётся локально и никуда не отправляется.