Щоб створити надійний пароль, візьміть щонайменше 12–16 символів або фразу з чотирьох-шести випадкових слів — і для кожного акаунта окремий. Тримати все це в голові не доведеться: досить запам’ятати одну-дві парольні фрази, а решту доручити спеціальній програмі. Нижче — метод, який працює без надлюдської пам’яті.
Надійний пароль — це секретна послідовність символів, яка захищає акаунт від підбору та вгадування, а її стійкість визначають насамперед довжина і випадковість, а не екзотичні символи. Пароль стоїть між зловмисником і вашою поштою, банкінгом чи соцмережами — тому серед базових правил безпеки в інтернеті він іде першим пунктом.
Що насправді робить пароль надійним?
Передусім — довжина і випадковість. Національний інститут стандартів і технологій США (NIST), на чиї настанови орієнтуються розробники систем безпеки по всьому світу, в документі SP 800-63B вимагає щонайменше 8 символів, а коли пароль — єдиний рубіж без додаткових перевірок, то мінімум 15. А ось вимоги на кшталт «додайте велику літеру і спецсимвол» стандарт прямо забороняє нав’язувати — вони більше заважають запам’ятовуванню, ніж перебору. Натомість він зобов’язує сервіси звіряти новий пароль зі списками найпоширеніших і вже злитих комбінацій і відхиляти збіги.
Кожен доданий символ множить кількість можливих комбінацій, тому час підбору росте стрибками — від хвилин до мільярдів років. Компанія Hive Systems щороку оцінює, скільки триває повний перебір на стенді з дванадцяти відеокарт RTX 5090 — ось орієнтовні цифри 2025 року для паролів, захищених поширеним алгоритмом bcrypt:
| Пароль | Орієнтовний час підбору |
|---|---|
| 8 цифр | до 15 хвилин |
| 8 малих літер | до 3 тижнів |
| 8 символів усіх типів | до 165 років |
| 14 символів усіх типів | десятки мільярдів років |
Мораль таблиці проста: довгий пароль із «нудних» символів надійніший за короткий із хитрими значками. Тому NIST радить сервісам не обрізати довжину — приймати паролі хоч на 64 знаки, щоб у поле вміщалася ціла фраза.
Чому типові паролі зламують за хвилини?
Бо зловмисники не вгадують наосліп — програма перебирає словники реальних паролів з минулих зливів даних, імена, дати й популярні шаблони. За дослідженням NordPass 2025 року, «123456» очолював світовий рейтинг найуживаніших у шести з семи останніх років, і такі комбінації перевіряються першими.
Заміна літер на значки — «P@r0l» замість «Parol» — давно врахована в цих словниках, тож майже нічого не дає. Небезпечні й особисті дані: ім’я, рік народження чи кличка собаки легко знаходяться у ваших-таки соцмережах і підставляються в перебір автоматично.
Окрема проблема — той самий пароль на різних сайтах. За опитуванням Google і Harris Poll 2019 року, 52% людей ставлять однаковий пароль на кілька акаунтів, 13% — узагалі на всі, і лише 35% мають унікальний для кожного. Витік з одного забутого форуму тоді відкриває і пошту, і банкінг.
У цієї схеми є назва — credential stuffing, «набивання» краденими даними: боти беруть злиті пари «пошта + пароль» і автоматично пробують їх на сотнях інших сервісів. По суті — швидкий перебір готових ключів до чужих дверей. Масштаб видно у звіті Verizon про розслідування зламів за 2025 рік: крадені облікові дані — найчастіший спосіб проникнення, з них починалися 22% зламів, а в атаках на базові вебзастосунки вони фігурують у 88% випадків.
Як створити пароль, який легко запам’ятати?
Найпрактичніший спосіб — парольна фраза: кілька випадкових слів поспіль замість абракадабри. «кавун-долото-хмара-веранда» набагато довший за «Xk7!q2», тому стійкіший, але запам’ятовується легше, бо мозок любить образи, а не мішанину знаків.
Класична техніка добору слів називається Diceware: їх обирають кидками грального кубика зі спеціального списку — у версії правозахисної організації Electronic Frontier Foundation він містить 7 776 слів. Фраза з шести таких слів дає близько 77 біт ентропії — запас міцності, якого з головою вистачає для найважливіших акаунтів, а кожне додаткове слово докидає ще майже 13 біт. Українські слова підходять не гірше за англійські — головне, щоб їх обрав випадок, а не ваші асоціації.
- Візьміть чотири-шість слів, не пов’язаних ані між собою, ані з вами: не рідне місто, не ім’я дитини, не улюблена команда. Найкраще — згенерувати їх випадково.
- З’єднайте слова дефісами або пробілами, якщо сервіс приймає довгі паролі.
- Придумайте до фрази абсурдну картинку — «долото ріже кавун на веранді під хмарою» — і після кількох повторень вона згадуватиметься сама.
Для сервісів зі старими обмеженнями довжини є запасний метод першої літери: складіть власне речення й візьміть з кожного слова початкову літеру, додавши цифри. Тільки не беріть відомі цитати чи рядки гімну — вони теж давно у словниках зловмисників.
Де зберігати паролі, щоб їх не забути?
У менеджері паролів — програмі-сейфі, яка сама генерує, зберігає й підставляє унікальний пароль для кожного сайту. Вам лишається пам’ятати одну майстер-фразу від самого сейфа — і тут якраз стане в пригоді Diceware. Як влаштований менеджер паролів і як його налаштувати, ми розбираємо окремо; для старту досить знати, що існують перевірені безкоштовні інструменти на кшталт Bitwarden чи KeePass.
Чого робити не варто: писати паролі на стікері біля монітора, тримати файл «паролі.txt» на робочому столі чи пересилати їх собі в месенджер. Це перші місця, куди зазирне і сторонній з доступом до комп’ютера, і шкідлива програма. Окремо запам’ятайте хіба пароль до основної пошти — саме через неї відновлюють доступ до всього іншого.
Що дає другий рівень захисту?
Другий рівень — це двофакторна автентифікація: одноразовий код або підтвердження на телефоні, без якого навіть украдений пароль не відкриє доступу. Найкращий пароль може витекти з бази самого сервісу — другий фактор страхує від цього сценарію.
За даними Microsoft, увімкнений другий фактор блокує понад 99,9% автоматизованих атак на акаунти. Дослідження Google показало, що навіть простий код у SMS зупиняв усі автоматичні спроби ботів і 96% масового фішингу. Якщо сервіс пропонує вибір, код із застосунку-автентифікатора надійніший за SMS, але й SMS незрівнянно кращий, ніж пароль без жодної страховки.
Як дізнатися, що пароль уже витік?
Через безкоштовний сервіс Have I Been Pwned: введіть адресу пошти — і побачите, у яких відомих зливах даних вона траплялась; окремий розділ Pwned Passwords так само перевіряє паролі. Наприкінці 2025 року база опрацювала близько 1,3 мільярда паролів за один раз — найбільше поповнення за всю історію сервісу, а частину записів свого часу передавало навіть ФБР.
Знайшли свій пароль серед злитих — замініть його одразу і всюди, де він повторювався. В решті випадків міняти паролі за календарем не потрібно: сучасні настанови безпеки, зокрема NIST, радять чіпати їх лише за ознак компрометації.
Пам’ятка на щодень
- Довжина понад усе: від 12–16 символів або фраза з 4–6 випадкових слів.
- Один акаунт — один пароль, без повторів.
- Жодних імен, дат народження і «123456».
- У пам’яті — одна-дві майстер-фрази, решту тримає менеджер паролів.
- На пошті, банкінгу й соцмережах — обов’язково другий фактор.
- Раз на кілька місяців перевіряйте свою пошту в Have I Been Pwned.
Пароль — лише перший рубіж захисту. Решта базових правил — у великому матеріалі про безпеку в інтернеті.
