Руководство по безопасности

Как создать надёжный пароль

Практическое руководство по созданию надёжных уникальных паролей с локальной генерацией, менеджерами паролей, MFA и безопасными методами восстановления.

Краткое содержание

Надёжный пароль — это не просто строка, которая «выглядит сложной». Он достаточно длинный для конкретного случая, сгенерирован случайным образом, уникален для одной учётной записи и безопасно хранится. Самый надёжный повседневный подход прост: сгенерировать уникальное случайное значение, сохранить его в менеджере паролей и включить MFA или passkey, если сервис это поддерживает.

Используйте бесплатный генератор случайных паролей или генератор паролей из 16 символов, когда вам нужен новый пароль для учётной записи.

Что делает пароль надёжным

Самые надёжные практические пароли выбираются случайным образом, а не придумываются человеком. Созданные человеком пароли часто содержат имена, даты, последовательности клавиш на клавиатуре, бренды, тексты песен или знакомые замены. Атакующие знают эти шаблоны и пробуют их в первую очередь.

Случайная генерация меняет ситуацию. Сгенерированный пароль, например, из 16, 20 или 32 символов, не имеет личной истории, календарной даты и удобной словарной структуры. Он остаётся полезным, только если остаётся уникальным и конфиденциальным.

Практические рекомендации

1. Генерируйте новый пароль для каждой учётной записи.
2. Для обычных учётных записей используйте не менее 15–16 случайных символов.
3. Для электронной почты, банковских сервисов, работы и административного доступа используйте 20 или более символов, если это допускается.
4. Включайте символы, если сервис их принимает.
5. Храните пароли в надёжном менеджере паролей.
6. Включайте MFA или passkey.
7. Проверяйте настройки восстановления учётной записи, так как атакующие часто нацеливаются на пути восстановления.

Что решает и не решает локальная генерация

PwdGen генерирует значения локально с помощью Web Crypto и не загружает сгенерированные пароли. Это защищает от намеренного сбора сгенерированного значения сайтом. Это не защищает от скомпрометированного расширения браузера, небезопасного менеджера буфера обмена, вредоносного ПО, фишинговой страницы или сервиса, который неправильно обрабатывает хранение паролей.

Подробное руководство

Это руководство посвящено созданию надёжного пароля с нуля. Оно написано для людей, заменяющих слабые или повторно используемые пароли учётных записей, поэтому практическая цель — не создать драматическое заявление о безопасности. Цель — выбрать привычку использования паролей, которая выдержит повседневное использование: формы входа, менеджеры паролей, мобильные клавиатуры, восстановление учётной записи, общие устройства и иногда сервисы со странными правилами проверки. Безопасная рекомендация полезна только в том случае, если реальный человек может последовательно ей следовать.

Самый безопасный отправной пункт — случайность плюс уникальность. Случайность означает, что значение выбирается из большого пространства с помощью криптографически подходящего случайного источника, а не придумывается на основе дня рождения, клички питомца, последовательности клавиш или любимой цитаты. Уникальность означает, что один и тот же пароль не используется нигде больше. Длинный, но повторно используемый пароль может быстро выйти из строя после одной не связанной с ним утечки, в то время как уникальный случайный пароль ограничивает ущерб только той учётной записью, где он использовался.

Для этой темы практическая предустановка — 20 символов, заглавные буквы, строчные буквы, цифры и символы, если они принимаются. Вы можете применить эту предустановку с помощью генератора паролей из 20 символов, а затем сохранить итоговое значение в надёжном менеджере паролей. PwdGen генерирует значения локально в браузере с помощью Web Crypto; сгенерированный пароль не отправляется на сервер PwdGen. Такая локальная конструкция снижает воздействие на сервер, но не защищает от всех угроз. Вредоносное расширение браузера, скомпрометированное устройство, фишинговая страница или небезопасная обработка буфера обмена могут раскрыть секрет после его генерации.

Наиболее распространённые проблемы, которых следует избегать: личные имена, дни рождения, последовательности клавиш, повторяющиеся окончания и предсказуемые замены, такие как замена a на @. Эти проблемы важны, потому что атакующим редко нужно перебирать все возможные пароли, когда человеческие привычки дают им лазейку. Подбор учётных данных (credential stuffing), фишинг, утекшие списки паролей и злоупотребление восстановлением учётной записи часто более реалистичны, чем чистый математический перебор. Вот почему лучший совет сочетает качество пароля с контролем на уровне учётной записи, таким как MFA, passkey, хранение кодов восстановления и регулярная проверка настроек восстановления электронной почты или телефона.

Используйте этот контрольный список при применении рекомендации:

• Используйте разное значение для каждой учётной записи.
• Предпочитайте случайную генерацию личным шаблонам.
• Сохраняйте результат в менеджере паролей.
• Включайте MFA или passkey, когда это возможно.

Если веб-сайт отклоняет идеальные настройки, не пытайтесь вручную ослабить пароль. Изменяйте одну переменную за раз. Если символы не принимаются, оставьте заглавные и строчные буквы и цифры и увеличьте длину. Если максимальная длина мала, используйте максимально допустимую длину и убедитесь, что значение уникально. Если пароль нужно читать вслух, печатать или вводить на экране телевизора или маршрутизатора, рассмотрите возможность исключения запутанных символов и увеличьте длину, чтобы компенсировать меньший алфавит.

Наконец, помните о границах советов по паролям. Надёжный пароль — это один уровень защиты, а не гарантия. Он не может сделать фишинговую страницу безопасной, исправить вредоносное ПО или компенсировать сервис, который плохо хранит учётные данные. Полезная привычка скучна, но долговечна: генерируйте уникальное значение, храните его безопасно, защищайте путь восстановления и быстро заменяйте его, если подозреваете раскрытие.

Часто задаваемые вопросы

Какое самое простое правило для надёжного пароля?

Используйте длинный, случайный, уникальный пароль для каждой учётной записи и храните его в надёжном менеджере паролей.

Лучше ли сложный короткий пароль, чем длинный случайный?

Обычно нет. Длина и непредсказуемость важнее, чем знакомые замены, такие как замена букв символами.

Стоит ли использовать MFA вместе с надёжным паролем?

Да. MFA или passkey добавляют защиту, когда пароль был получен фишингом, использован повторно или раскрыт из-за утечки сервиса.