Как создать надёжный пароль и не забыть его?

Чтобы создать надёжный пароль, возьмите минимум 12–16 символов или фразу из четырёх-шести случайных слов — и для каждого аккаунта отдельный. Держать всё это в голове не придётся: достаточно запомнить одну-две парольные фразы, а остальное доверить специальной программе. Ниже — метод, который работает без феноменальной памяти.

Надёжный пароль — это секретная последовательность символов, которая защищает аккаунт от подбора и угадывания, причём его стойкость определяют прежде всего длина и случайность, а не экзотические значки. Пароль стоит между злоумышленником и вашей почтой, банкингом или соцсетями — поэтому среди базовых правил безопасности в интернете он идёт первым пунктом.

Что на самом деле делает пароль надёжным?

Прежде всего — длина и случайность. Национальный институт стандартов и технологий США (NIST), на чьи рекомендации ориентируются разработчики систем безопасности по всему миру, в документе SP 800-63B требует минимум 8 символов, а если пароль — единственный рубеж без дополнительных проверок, то не меньше 15. А вот требования вроде «добавьте заглавную букву и спецсимвол» стандарт прямо запрещает навязывать — они больше мешают запоминанию, чем перебору. Вместо этого он обязывает сервисы сверять новый пароль со списками самых распространённых и уже утёкших комбинаций и отклонять совпадения.

Каждый добавленный символ умножает число возможных комбинаций, поэтому время подбора растёт скачками — от минут до миллиардов лет. Компания Hive Systems ежегодно оценивает, сколько занимает полный перебор на стенде из двенадцати видеокарт RTX 5090 — вот ориентировочные цифры 2025 года для паролей, защищённых распространённым алгоритмом bcrypt:

Пароль Примерное время подбора
8 цифр до 15 минут
8 строчных букв до 3 недель
8 символов всех типов до 165 лет
14 символов всех типов десятки миллиардов лет

Мораль таблицы проста: длинный пароль из «скучных» символов надёжнее короткого с хитрыми значками. Поэтому NIST советует сервисам не урезать длину — принимать пароли хоть на 64 знака, чтобы в поле помещалась целая фраза.

Почему типичные пароли взламывают за минуты?

Потому что злоумышленники не гадают вслепую — программа перебирает словари реальных паролей из прошлых утечек, имена, даты и популярные шаблоны. По данным исследования NordPass 2025 года, «123456» возглавлял мировой рейтинг самых ходовых паролей шесть из семи последних лет, и такие комбинации проверяются первыми.

Замена букв значками — «P@r0l» вместо «Parol» — давно учтена в этих словарях и почти ничего не даёт. Опасны и личные данные: имя, год рождения или кличка собаки легко находятся в ваших же соцсетях и автоматически подставляются в перебор.

Отдельная беда — один и тот же пароль на разных сайтах. По опросу Google и Harris Poll 2019 года, 52% людей ставят одинаковый пароль на несколько аккаунтов, 13% — вообще на все, и лишь у 35% для каждого сервиса свой. Утечка с одного забытого форума тогда открывает и почту, и банкинг.

У этой схемы есть название — credential stuffing, «набивка» крадеными данными: боты берут утёкшие пары «почта + пароль» и автоматически пробуют их на сотнях других сервисов. По сути — быстрый перебор готовых ключей к чужим дверям. Масштаб виден в отчёте Verizon о расследовании взломов за 2025 год: краденые учётные данные — самый частый способ проникновения, с них начинались 22% взломов, а в атаках на базовые веб-приложения они фигурируют в 88% случаев.

Как придумать пароль, который легко запомнить?

Самый практичный способ — парольная фраза: несколько случайных слов подряд вместо абракадабры. «арбуз-долото-облако-веранда» намного длиннее, чем «Xk7!q2», а потому устойчивее, но запоминается легче: мозгу проще удержать образы, чем мешанину знаков.

Классическая техника подбора слов называется Diceware: их выбирают бросками игрального кубика из специального списка — в версии правозащитной организации Electronic Frontier Foundation он насчитывает 7 776 слов. Фраза из шести таких слов даёт около 77 бит энтропии — такого запаса прочности с избытком хватает для самых важных аккаунтов, а каждое дополнительное слово добавляет ещё почти 13 бит. Слова на родном языке подходят не хуже английских — главное, чтобы их выбрал случай, а не ваши ассоциации.

  1. Возьмите четыре-шесть слов, не связанных ни между собой, ни с вами: не родной город, не имя ребёнка, не любимая команда. Лучше всего — сгенерировать их случайно.
  2. Соедините слова дефисами или пробелами, если сервис принимает длинные пароли.
  3. Придумайте к фразе абсурдную картинку — «долото режет арбуз на веранде под облаком» — и после нескольких повторений она будет всплывать сама.

Для сервисов со старыми ограничениями длины есть запасной метод первых букв: составьте собственное предложение и возьмите из каждого слова начальную букву, добавив цифры. Только не берите известные цитаты или строки песен — они тоже давно в словарях злоумышленников.

Где хранить пароли, чтобы их не забыть?

В менеджере паролей — программе-сейфе, которая сама генерирует, хранит и подставляет уникальный пароль для каждого сайта. Вам остаётся помнить одну мастер-фразу от самого сейфа — и здесь как раз пригодится Diceware. Как устроен менеджер паролей и как его настроить, мы разбираем отдельно; для старта достаточно знать, что есть проверенные бесплатные инструменты вроде Bitwarden или KeePass.

Чего делать не стоит: писать пароли на стикере возле монитора, держать файл «пароли.txt» на рабочем столе или пересылать их самому себе в мессенджер. Это первые места, куда заглянет и посторонний с доступом к компьютеру, и вредоносная программа. Отдельно запомните разве что пароль от основной почты — именно через неё восстанавливают доступ ко всему остальному.

Что даёт второй уровень защиты?

Второй уровень — это двухфакторная аутентификация: одноразовый код или подтверждение на телефоне, без которого даже украденный пароль не откроет доступ. Самый стойкий пароль может утечь из базы самого сервиса — второй фактор страхует от этого сценария.

По данным Microsoft, включённый второй фактор блокирует свыше 99,9% автоматизированных атак на аккаунты. Исследование Google показало, что даже простой код в SMS останавливал все автоматические попытки ботов и 96% массового фишинга. Если сервис предлагает выбор, код из приложения-аутентификатора надёжнее SMS, но и SMS несравнимо лучше, чем пароль без всякой страховки.

Как узнать, что пароль уже утёк?

Через бесплатный сервис Have I Been Pwned: введите адрес почты — и увидите, в каких известных утечках данных она встречалась; отдельный раздел Pwned Passwords точно так же проверяет пароли. В конце 2025 года база обработала около 1,3 миллиарда паролей за один раз — крупнейшее пополнение за всю историю сервиса, а часть записей в своё время передавало даже ФБР.

Нашли свой пароль среди утёкших — смените его сразу и везде, где он повторялся. В остальных случаях менять пароли по календарю не нужно: современные рекомендации по безопасности, включая NIST, советуют трогать их только при признаках компрометации.

Памятка на каждый день

  • Длина важнее всего: от 12–16 символов или фраза из 4–6 случайных слов.
  • Один аккаунт — один пароль, без повторов.
  • Никаких имён, дат рождения и «123456».
  • В памяти — одна-две мастер-фразы, остальное хранит менеджер паролей.
  • Для почты, банкинга и соцсетей — обязательно второй фактор.
  • Раз в несколько месяцев проверяйте свою почту в Have I Been Pwned.

Пароль — лишь первый рубеж защиты. Остальные базовые правила — в большом материале о безопасности в интернете.

Об авторе
Богдан Лисенко
Богдан помогает людям чувствовать себя уверенно среди технологий. Пишет о цифровых навыках и защите приватности простым языком: как не потерять деньги на мошенниках, настроить пароли и понять, куда идут твои данные. Считает, что безопасность в сети — это привычки, а не магия, и терпеливо объясняет каждый шаг так, будто помогает соседу настроить телефон.