Інструмент паролів Назад до генератора

Посібник з безпеки

Якою має бути довжина пароля?

Дізнайтеся, коли обирати 12, 16, 20 або 32 символи та чому довжина, унікальність і зберігання пароля важливіші за візуальну складність.

Підсумок

Для більшості сучасних облікових записів 16 випадкових символів є надійним практичним базовим рівнем. Використовуйте 20 або більше для важливих особистих, електронних пошт, банківських, робочих або адміністративних облікових записів. Використовуйте 32 символи, коли пароль зберігатиметься в менеджері та захищатиме доступ високої цінності.

Спробуйте генератори на 16 символів, 20 символів або 32 символи.

Діапазони довжини

Короткі паролі легше вгадати, оскільки можливих комбінацій менше. Від шести до дев’яти символів зазвичай занадто мало для безпеки облікового запису. Від десяти до чотирнадцяти символів можуть прийматися багатьма сервісами, але не варто вважати їх бажаною довжиною для важливих облікових записів.

Шістнадцять випадкових символів — хороший варіант за замовчуванням, коли пароль зберігається в менеджері паролів. Двадцять символів додає запас міцності, залишаючись сумісним із багатьма сайтами. Тридцять два символи корисні для адміністративних панелей, зашифрованих файлів, облікових даних баз даних і локальних секретів.

Випадкова довжина проти людської довжини

Випадковий 16-символьний пароль дуже відрізняється від створеної людиною 16-символьної фрази. Людські вибори часто включають слова, дати, імена та передбачувані закінчення. Зловмисники перевіряють ці шаблони, перш ніж вдаватися до сліпого перебору.

Практичні рекомендації

Детальні вказівки

Цей посібник зосереджується на виборі довжини пароля для різних ризиків облікових записів. Він написаний для читачів, які порівнюють варіанти з 12, 16, 20, 24 та 32 символами, тому практична мета — не створити драматичну заяву про безпеку. Мета — обрати звичку використання паролів, яка витримає повсякденне використання: форми входу, менеджери паролів, мобільні клавіатури, відновлення облікових записів, спільні пристрої та іноді сервіси з дивними правилами валідації. Безпечна рекомендація корисна лише тоді, коли реальна людина може послідовно її дотримуватися.

Найбезпечніша відправна точка — випадковість плюс унікальність. Випадковість означає, що значення вибране з великого простору криптографічно придатним джерелом випадковості, а не вигадане з дня народження, імені домашнього улюбленця, шаблону клавіатури або улюбленої цитати. Унікальність означає, що той самий пароль не використовується більше ніде. Пароль, який є довгим, але повторно використовується, може бути скомпрометований швидко після одного не пов’язаного витоку, тоді як унікальний випадковий пароль обмежує шкоду лише тим обліковим записом, де він використовувався.

Для цієї теми практичний набір: 16 символів для звичайних облікових записів, 20 або більше для важливих облікових записів і 32 для секретів, які зберігаються, а не вводяться вручну. Ви можете застосувати цей набір за допомогою генератора паролів на 32 символи, а потім зберегти кінцеве значення в надійному менеджері паролів. PwdGen генерує значення локально в браузері за допомогою Web Crypto; згенерований пароль не надсилається на сервер PwdGen. Така локальна конструкція зменшує вплив на сервер, але не захищає від усіх загроз. Шкідливе розширення браузера, скомпрометований пристрій, фішингова сторінка або небезпечна обробка буфера обміну все ще можуть викрити секрет після його генерації.

Найпоширеніші проблеми, яких слід уникати: короткі випадкові значення, обмеження максимальної довжини, застарілі форми та припущення, що фіксоване число безпечне для всіх систем. Ці проблеми важливі, оскільки зловмисники рідко потребують перебирати всі можливі паролі, коли людські звички дають їм короткий шлях. Атаки з використанням облікових даних, фішинг, витоки списків паролів і зловживання відновленням облікових записів часто більш реалістичні, ніж чистий математичний пошук. Ось чому найкраща порада поєднує якість пароля з контролем на рівні облікового запису, таким як MFA, ключі доступу, зберігання кодів відновлення та регулярний перегляд налаштувань електронної пошти або телефону для відновлення.

Використовуйте цей контрольний список, застосовуючи рекомендацію:

Якщо веб-сайт відхиляє ідеальне налаштування, не примушуйте пароль до слабкішого шаблону вручну. Змінюйте одну змінну за раз. Якщо символи відхилено, залиште великі літери, малі літери та цифри увімкненими та збільште довжину. Якщо максимальна довжина мала, використовуйте найбільшу прийнятну довжину та переконайтеся, що значення унікальне. Якщо пароль потрібно читати вголос, друкувати або вводити на екрані телевізора чи маршрутизатора, розгляньте можливість виключення неоднозначних символів і збільшення довжини для компенсації меншого алфавіту.

Нарешті, пам’ятайте про межі порад щодо паролів. Сильний пароль — це один рівень захисту, а не гарантія. Він не може зробити фішингову сторінку безпечною, виправити шкідливе програмне забезпечення або компенсувати сервіс, який погано зберігає облікові дані. Корисна звичка нудна, але довговічна: генеруйте унікальне значення, зберігайте його безпечно, захищайте шлях відновлення та швидко замінюйте його, якщо підозрюєте витік.

Часті запитання

Чи достатньо 12 символів?

Випадковий 12-символьний пароль може бути корисним для сумісності, але 16 або більше — кращий варіант за замовчуванням, якщо сервіс це приймає.

Коли слід використовувати 20 або 32 символи?

Використовуйте 20 або більше для важливих облікових записів і 32 для робочих процесів адміністрування, зашифрованих файлів або секретів розробника, що зберігаються в менеджері паролів.

Чи може пароль бути занадто довгим?

Деякі сервіси встановлюють максимальну довжину або відхиляють символи. Використовуйте найдовше унікальне випадкове значення, яке приймає призначення.

Джерела