Чтобы создать надёжный пароль, возьмите минимум 12–16 символов или фразу из четырёх-шести случайных слов — и для каждого аккаунта отдельный. Держать всё это в голове не придётся: достаточно запомнить одну-две парольные фразы, а остальное доверить специальной программе. Ниже — метод, который работает без феноменальной памяти.
Надёжный пароль — это секретная последовательность символов, которая защищает аккаунт от подбора и угадывания, причём его стойкость определяют прежде всего длина и случайность, а не экзотические значки. Пароль стоит между злоумышленником и вашей почтой, банкингом или соцсетями — поэтому среди базовых правил безопасности в интернете он идёт первым пунктом.
Что на самом деле делает пароль надёжным?
Прежде всего — длина и случайность. Национальный институт стандартов и технологий США (NIST), на чьи рекомендации ориентируются разработчики систем безопасности по всему миру, в документе SP 800-63B требует минимум 8 символов, а если пароль — единственный рубеж без дополнительных проверок, то не меньше 15. А вот требования вроде «добавьте заглавную букву и спецсимвол» стандарт прямо запрещает навязывать — они больше мешают запоминанию, чем перебору. Вместо этого он обязывает сервисы сверять новый пароль со списками самых распространённых и уже утёкших комбинаций и отклонять совпадения.
Каждый добавленный символ умножает число возможных комбинаций, поэтому время подбора растёт скачками — от минут до миллиардов лет. Компания Hive Systems ежегодно оценивает, сколько занимает полный перебор на стенде из двенадцати видеокарт RTX 5090 — вот ориентировочные цифры 2025 года для паролей, защищённых распространённым алгоритмом bcrypt:
| Пароль | Примерное время подбора |
|---|---|
| 8 цифр | до 15 минут |
| 8 строчных букв | до 3 недель |
| 8 символов всех типов | до 165 лет |
| 14 символов всех типов | десятки миллиардов лет |
Мораль таблицы проста: длинный пароль из «скучных» символов надёжнее короткого с хитрыми значками. Поэтому NIST советует сервисам не урезать длину — принимать пароли хоть на 64 знака, чтобы в поле помещалась целая фраза.
Почему типичные пароли взламывают за минуты?
Потому что злоумышленники не гадают вслепую — программа перебирает словари реальных паролей из прошлых утечек, имена, даты и популярные шаблоны. По данным исследования NordPass 2025 года, «123456» возглавлял мировой рейтинг самых ходовых паролей шесть из семи последних лет, и такие комбинации проверяются первыми.
Замена букв значками — «P@r0l» вместо «Parol» — давно учтена в этих словарях и почти ничего не даёт. Опасны и личные данные: имя, год рождения или кличка собаки легко находятся в ваших же соцсетях и автоматически подставляются в перебор.
Отдельная беда — один и тот же пароль на разных сайтах. По опросу Google и Harris Poll 2019 года, 52% людей ставят одинаковый пароль на несколько аккаунтов, 13% — вообще на все, и лишь у 35% для каждого сервиса свой. Утечка с одного забытого форума тогда открывает и почту, и банкинг.
У этой схемы есть название — credential stuffing, «набивка» крадеными данными: боты берут утёкшие пары «почта + пароль» и автоматически пробуют их на сотнях других сервисов. По сути — быстрый перебор готовых ключей к чужим дверям. Масштаб виден в отчёте Verizon о расследовании взломов за 2025 год: краденые учётные данные — самый частый способ проникновения, с них начинались 22% взломов, а в атаках на базовые веб-приложения они фигурируют в 88% случаев.
Как придумать пароль, который легко запомнить?
Самый практичный способ — парольная фраза: несколько случайных слов подряд вместо абракадабры. «арбуз-долото-облако-веранда» намного длиннее, чем «Xk7!q2», а потому устойчивее, но запоминается легче: мозгу проще удержать образы, чем мешанину знаков.
Классическая техника подбора слов называется Diceware: их выбирают бросками игрального кубика из специального списка — в версии правозащитной организации Electronic Frontier Foundation он насчитывает 7 776 слов. Фраза из шести таких слов даёт около 77 бит энтропии — такого запаса прочности с избытком хватает для самых важных аккаунтов, а каждое дополнительное слово добавляет ещё почти 13 бит. Слова на родном языке подходят не хуже английских — главное, чтобы их выбрал случай, а не ваши ассоциации.
- Возьмите четыре-шесть слов, не связанных ни между собой, ни с вами: не родной город, не имя ребёнка, не любимая команда. Лучше всего — сгенерировать их случайно.
- Соедините слова дефисами или пробелами, если сервис принимает длинные пароли.
- Придумайте к фразе абсурдную картинку — «долото режет арбуз на веранде под облаком» — и после нескольких повторений она будет всплывать сама.
Для сервисов со старыми ограничениями длины есть запасной метод первых букв: составьте собственное предложение и возьмите из каждого слова начальную букву, добавив цифры. Только не берите известные цитаты или строки песен — они тоже давно в словарях злоумышленников.
Где хранить пароли, чтобы их не забыть?
В менеджере паролей — программе-сейфе, которая сама генерирует, хранит и подставляет уникальный пароль для каждого сайта. Вам остаётся помнить одну мастер-фразу от самого сейфа — и здесь как раз пригодится Diceware. Как устроен менеджер паролей и как его настроить, мы разбираем отдельно; для старта достаточно знать, что есть проверенные бесплатные инструменты вроде Bitwarden или KeePass.
Чего делать не стоит: писать пароли на стикере возле монитора, держать файл «пароли.txt» на рабочем столе или пересылать их самому себе в мессенджер. Это первые места, куда заглянет и посторонний с доступом к компьютеру, и вредоносная программа. Отдельно запомните разве что пароль от основной почты — именно через неё восстанавливают доступ ко всему остальному.
Что даёт второй уровень защиты?
Второй уровень — это двухфакторная аутентификация: одноразовый код или подтверждение на телефоне, без которого даже украденный пароль не откроет доступ. Самый стойкий пароль может утечь из базы самого сервиса — второй фактор страхует от этого сценария.
По данным Microsoft, включённый второй фактор блокирует свыше 99,9% автоматизированных атак на аккаунты. Исследование Google показало, что даже простой код в SMS останавливал все автоматические попытки ботов и 96% массового фишинга. Если сервис предлагает выбор, код из приложения-аутентификатора надёжнее SMS, но и SMS несравнимо лучше, чем пароль без всякой страховки.
Как узнать, что пароль уже утёк?
Через бесплатный сервис Have I Been Pwned: введите адрес почты — и увидите, в каких известных утечках данных она встречалась; отдельный раздел Pwned Passwords точно так же проверяет пароли. В конце 2025 года база обработала около 1,3 миллиарда паролей за один раз — крупнейшее пополнение за всю историю сервиса, а часть записей в своё время передавало даже ФБР.
Нашли свой пароль среди утёкших — смените его сразу и везде, где он повторялся. В остальных случаях менять пароли по календарю не нужно: современные рекомендации по безопасности, включая NIST, советуют трогать их только при признаках компрометации.
Памятка на каждый день
- Длина важнее всего: от 12–16 символов или фраза из 4–6 случайных слов.
- Один аккаунт — один пароль, без повторов.
- Никаких имён, дат рождения и «123456».
- В памяти — одна-две мастер-фразы, остальное хранит менеджер паролей.
- Для почты, банкинга и соцсетей — обязательно второй фактор.
- Раз в несколько месяцев проверяйте свою почту в Have I Been Pwned.
Пароль — лишь первый рубеж защиты. Остальные базовые правила — в большом материале о безопасности в интернете.
