Инструмент паролей Назад к генератору

Руководство по безопасности

Какой длины должен быть пароль?

Узнайте, когда выбирать 12, 16, 20 или 32 символа и почему длина, уникальность и хранение пароля важнее визуальной сложности.

Краткое содержание

Для большинства современных аккаунтов 16 случайных символов — это надежный практический минимум. Используйте 20 или более символов для важных личных, почтовых, банковских, рабочих или административных аккаунтов. Используйте 32 символа, если пароль будет храниться в менеджере и защищать доступ к ценным ресурсам.

Попробуйте генераторы на 16 символов, 20 символов или 32 символа.

Диапазоны длины

Короткие пароли легче угадать, так как возможных комбинаций меньше. Шесть-девять символов обычно слишком мало для безопасности аккаунта. Десять-четырнадцать символов могут приниматься многими сервисами, но не должны считаться предпочтительным вариантом для важных аккаунтов.

Шестнадцать случайных символов — хороший выбор по умолчанию, если пароль хранится в менеджере паролей. Двадцать символов добавляют запас прочности, оставаясь совместимыми со многими сайтами. Тридцать два символа полезны для панелей администратора, зашифрованных файлов, учетных данных баз данных и локальных секретов.

Случайная длина против человеческой длины

Случайный 16-символьный пароль сильно отличается от созданной человеком 16-символьной фразы. Человеческие выборы часто включают слова, даты, имена и предсказуемые окончания. Злоумышленники проверяют эти шаблоны, прежде чем прибегать к слепому перебору.

Практические рекомендации

Подробное руководство

Это руководство посвящено выбору длины пароля для разных уровней риска аккаунта. Оно написано для читателей, которые сравнивают варианты на 12, 16, 20, 24 и 32 символа, поэтому практическая цель — не создать драматическое заявление о безопасности. Цель — выбрать такую привычку использования паролей, которая выдержит повседневное использование: формы входа, менеджеры паролей, мобильные клавиатуры, восстановление аккаунта, общие устройства и случайные сервисы со странными правилами валидации. Надежная рекомендация полезна только в том случае, если реальный человек может последовательно ей следовать.

Самый безопасный отправной пункт — случайность плюс уникальность. Случайность означает, что значение выбирается из большого пространства с помощью криптографически подходящего источника случайности, а не придумывается на основе дня рождения, клички питомца, шаблона клавиатуры или любимой цитаты. Уникальность означает, что один и тот же пароль не используется больше нигде. Длинный, но повторно используемый пароль может быть скомпрометирован быстро после одной не связанной с ним утечки, в то время как уникальный случайный пароль ограничивает ущерб только тем аккаунтом, где он был использован.

По этой теме практический пресет — 16 символов для обычных аккаунтов, 20 или более для важных и 32 для секретов, которые хранятся, а не вводятся вручную. Вы можете применить этот пресет с помощью генератора паролей на 32 символа, а затем сохранить полученное значение в надежном менеджере паролей. PwdGen генерирует значения локально в браузере с помощью Web Crypto; сгенерированный пароль не отправляется на сервер PwdGen. Такая локальная конструкция снижает воздействие на сервер, но не защищает от всех угроз. Вредоносное расширение браузера, скомпрометированное устройство, фишинговая страница или небезопасная обработка буфера обмена все еще могут раскрыть секрет после его генерации.

Наиболее распространенные проблемы, которых следует избегать: короткие случайные значения, ограничения максимальной длины, устаревшие формы и предположение, что фиксированное число безопасно для любой системы. Эти проблемы важны, потому что злоумышленникам редко приходится перебирать все возможные пароли, когда человеческие привычки дают им лазейку. Подбор учетных данных (credential stuffing), фишинг, утекшие списки паролей и злоупотребление восстановлением аккаунта часто более реалистичны, чем чистый математический перебор. Вот почему лучший совет сочетает качество пароля с мерами защиты на уровне аккаунта, такими как MFA, ключи доступа (passkeys), хранение кодов восстановления и регулярная проверка настроек восстановления по электронной почте или телефону.

Используйте этот контрольный список при применении рекомендации:

Если веб-сайт отклоняет идеальные настройки, не вносите изменения в пароль вручную, ослабляя его. Изменяйте одну переменную за раз. Если символы отклонены, оставьте заглавные буквы, строчные буквы и цифры и увеличьте длину. Если максимальная длина мала, используйте наибольшую допустимую длину и убедитесь, что значение уникально. Если пароль нужно читать вслух, печатать или вводить на экране телевизора или маршрутизатора, рассмотрите возможность исключения запутанных символов и увеличьте длину, чтобы компенсировать меньший алфавит.

Наконец, помните о границах применимости советов по паролям. Сильный пароль — это один уровень защиты, а не гарантия. Он не может сделать фишинговую страницу безопасной, исправить вредоносное ПО или компенсировать сервис, который плохо хранит учетные данные. Полезная привычка скучна, но надежна: генерируйте уникальное значение, храните его безопасно, защищайте путь восстановления и быстро заменяйте его, если подозреваете компрометацию.

Часто задаваемые вопросы

Достаточно ли 12 символов?

Случайный 12-символьный пароль может быть полезен для совместимости, но 16 или более — лучший выбор по умолчанию, если сервис это принимает.

Когда следует использовать 20 или 32 символа?

Используйте 20 или более для важных аккаунтов и 32 для административных, зашифрованных файлов или рабочих процессов с секретами разработчика, хранящимися в менеджере паролей.

Может ли пароль быть слишком длинным?

Некоторые сервисы устанавливают максимальную длину или отклоняют символы. Используйте самое длинное уникальное случайное значение, которое принимает целевой сервис.

Источники