Як створити надійний пароль і не забути його?

Щоб створити надійний пароль, візьміть щонайменше 12–16 символів або фразу з чотирьох-шести випадкових слів — і для кожного акаунта окремий. Тримати все це в голові не доведеться: досить запам’ятати одну-дві парольні фрази, а решту доручити спеціальній програмі. Нижче — метод, який працює без надлюдської пам’яті.

Надійний пароль — це секретна послідовність символів, яка захищає акаунт від підбору та вгадування, а її стійкість визначають насамперед довжина і випадковість, а не екзотичні символи. Пароль стоїть між зловмисником і вашою поштою, банкінгом чи соцмережами — тому серед базових правил безпеки в інтернеті він іде першим пунктом.

Що насправді робить пароль надійним?

Передусім — довжина і випадковість. Національний інститут стандартів і технологій США (NIST), на чиї настанови орієнтуються розробники систем безпеки по всьому світу, в документі SP 800-63B вимагає щонайменше 8 символів, а коли пароль — єдиний рубіж без додаткових перевірок, то мінімум 15. А ось вимоги на кшталт «додайте велику літеру і спецсимвол» стандарт прямо забороняє нав’язувати — вони більше заважають запам’ятовуванню, ніж перебору. Натомість він зобов’язує сервіси звіряти новий пароль зі списками найпоширеніших і вже злитих комбінацій і відхиляти збіги.

Кожен доданий символ множить кількість можливих комбінацій, тому час підбору росте стрибками — від хвилин до мільярдів років. Компанія Hive Systems щороку оцінює, скільки триває повний перебір на стенді з дванадцяти відеокарт RTX 5090 — ось орієнтовні цифри 2025 року для паролів, захищених поширеним алгоритмом bcrypt:

Пароль Орієнтовний час підбору
8 цифр до 15 хвилин
8 малих літер до 3 тижнів
8 символів усіх типів до 165 років
14 символів усіх типів десятки мільярдів років

Мораль таблиці проста: довгий пароль із «нудних» символів надійніший за короткий із хитрими значками. Тому NIST радить сервісам не обрізати довжину — приймати паролі хоч на 64 знаки, щоб у поле вміщалася ціла фраза.

Чому типові паролі зламують за хвилини?

Бо зловмисники не вгадують наосліп — програма перебирає словники реальних паролів з минулих зливів даних, імена, дати й популярні шаблони. За дослідженням NordPass 2025 року, «123456» очолював світовий рейтинг найуживаніших у шести з семи останніх років, і такі комбінації перевіряються першими.

Заміна літер на значки — «P@r0l» замість «Parol» — давно врахована в цих словниках, тож майже нічого не дає. Небезпечні й особисті дані: ім’я, рік народження чи кличка собаки легко знаходяться у ваших-таки соцмережах і підставляються в перебір автоматично.

Окрема проблема — той самий пароль на різних сайтах. За опитуванням Google і Harris Poll 2019 року, 52% людей ставлять однаковий пароль на кілька акаунтів, 13% — узагалі на всі, і лише 35% мають унікальний для кожного. Витік з одного забутого форуму тоді відкриває і пошту, і банкінг.

У цієї схеми є назва — credential stuffing, «набивання» краденими даними: боти беруть злиті пари «пошта + пароль» і автоматично пробують їх на сотнях інших сервісів. По суті — швидкий перебір готових ключів до чужих дверей. Масштаб видно у звіті Verizon про розслідування зламів за 2025 рік: крадені облікові дані — найчастіший спосіб проникнення, з них починалися 22% зламів, а в атаках на базові вебзастосунки вони фігурують у 88% випадків.

Як створити пароль, який легко запам’ятати?

Найпрактичніший спосіб — парольна фраза: кілька випадкових слів поспіль замість абракадабри. «кавун-долото-хмара-веранда» набагато довший за «Xk7!q2», тому стійкіший, але запам’ятовується легше, бо мозок любить образи, а не мішанину знаків.

Класична техніка добору слів називається Diceware: їх обирають кидками грального кубика зі спеціального списку — у версії правозахисної організації Electronic Frontier Foundation він містить 7 776 слів. Фраза з шести таких слів дає близько 77 біт ентропії — запас міцності, якого з головою вистачає для найважливіших акаунтів, а кожне додаткове слово докидає ще майже 13 біт. Українські слова підходять не гірше за англійські — головне, щоб їх обрав випадок, а не ваші асоціації.

  1. Візьміть чотири-шість слів, не пов’язаних ані між собою, ані з вами: не рідне місто, не ім’я дитини, не улюблена команда. Найкраще — згенерувати їх випадково.
  2. З’єднайте слова дефісами або пробілами, якщо сервіс приймає довгі паролі.
  3. Придумайте до фрази абсурдну картинку — «долото ріже кавун на веранді під хмарою» — і після кількох повторень вона згадуватиметься сама.

Для сервісів зі старими обмеженнями довжини є запасний метод першої літери: складіть власне речення й візьміть з кожного слова початкову літеру, додавши цифри. Тільки не беріть відомі цитати чи рядки гімну — вони теж давно у словниках зловмисників.

Де зберігати паролі, щоб їх не забути?

У менеджері паролів — програмі-сейфі, яка сама генерує, зберігає й підставляє унікальний пароль для кожного сайту. Вам лишається пам’ятати одну майстер-фразу від самого сейфа — і тут якраз стане в пригоді Diceware. Як влаштований менеджер паролів і як його налаштувати, ми розбираємо окремо; для старту досить знати, що існують перевірені безкоштовні інструменти на кшталт Bitwarden чи KeePass.

Чого робити не варто: писати паролі на стікері біля монітора, тримати файл «паролі.txt» на робочому столі чи пересилати їх собі в месенджер. Це перші місця, куди зазирне і сторонній з доступом до комп’ютера, і шкідлива програма. Окремо запам’ятайте хіба пароль до основної пошти — саме через неї відновлюють доступ до всього іншого.

Що дає другий рівень захисту?

Другий рівень — це двофакторна автентифікація: одноразовий код або підтвердження на телефоні, без якого навіть украдений пароль не відкриє доступу. Найкращий пароль може витекти з бази самого сервісу — другий фактор страхує від цього сценарію.

За даними Microsoft, увімкнений другий фактор блокує понад 99,9% автоматизованих атак на акаунти. Дослідження Google показало, що навіть простий код у SMS зупиняв усі автоматичні спроби ботів і 96% масового фішингу. Якщо сервіс пропонує вибір, код із застосунку-автентифікатора надійніший за SMS, але й SMS незрівнянно кращий, ніж пароль без жодної страховки.

Як дізнатися, що пароль уже витік?

Через безкоштовний сервіс Have I Been Pwned: введіть адресу пошти — і побачите, у яких відомих зливах даних вона траплялась; окремий розділ Pwned Passwords так само перевіряє паролі. Наприкінці 2025 року база опрацювала близько 1,3 мільярда паролів за один раз — найбільше поповнення за всю історію сервісу, а частину записів свого часу передавало навіть ФБР.

Знайшли свій пароль серед злитих — замініть його одразу і всюди, де він повторювався. В решті випадків міняти паролі за календарем не потрібно: сучасні настанови безпеки, зокрема NIST, радять чіпати їх лише за ознак компрометації.

Пам’ятка на щодень

  • Довжина понад усе: від 12–16 символів або фраза з 4–6 випадкових слів.
  • Один акаунт — один пароль, без повторів.
  • Жодних імен, дат народження і «123456».
  • У пам’яті — одна-дві майстер-фрази, решту тримає менеджер паролів.
  • На пошті, банкінгу й соцмережах — обов’язково другий фактор.
  • Раз на кілька місяців перевіряйте свою пошту в Have I Been Pwned.

Пароль — лише перший рубіж захисту. Решта базових правил — у великому матеріалі про безпеку в інтернеті.

Про автора
Богдан Лисенко
Богдан допомагає людям почуватися впевнено серед технологій. Пише про цифрові навички та захист приватності простою мовою: як не втратити гроші на шахраях, налаштувати паролі та зрозуміти, куди йдуть твої дані. Вважає, що безпека в мережі — це звички, а не магія, і терпляче пояснює кожен крок так, ніби допомагає сусідові налаштувати телефон.