Генератор паролів

Як генеруються паролі?

Цей інструмент генерує паролі за допомогою API вашого браузера crypto.getRandomValues() — того самого криптографічно безпечного генератора випадкових чисел, що використовується в TLS, HTTPS і програмному забезпеченні безпеки у всьому світі. Кожен символ незалежно вибирається з рівномірною ймовірністю з увімкнених наборів символів. Ваші паролі генеруються локально і ніколи не передаються на жоден сервер.

На відміну від псевдовипадкових генераторів (таких як Math.random() в JavaScript), криптографічно безпечні генератори випадкових чисел черпають ентропію з апаратних джерел — рухів миші, часу натискань клавіш, операцій вводу/виводу дисків і спеціальних апаратних генераторів випадкових чисел. Це гарантує, що згенеровані паролі є справді непередбачуваними навіть для зловмисника, який знає алгоритм.

Якої довжини має бути пароль?

• 12 символів: мінімально прийнятна довжина для більшості онлайн-акаунтів. Забезпечує приблизно 71 біт ентропії при увімкнутих усіх типах символів.
• 16 символів: рекомендується для електронної пошти, банківських та фінансових акаунтів. Забезпечує приблизно 95 біт ентропії.
• 20+ символів: найкраще підходить для адміністративних акаунтів, SSH-ключів, ключів шифрування та головних паролів менеджерів паролів. Забезпечує 119+ біт ентропії.

Що робить пароль надійним?

Надійність пароля вимірюється ентропією — кількістю можливих комбінацій, які зловмисник повинен перебрати. Довжина є найважливішим чинником. 16-символьний пароль з усіма чотирма наборами символів (великі літери, малі літери, цифри, символи) має приблизно 10⁴² можливих комбінацій. При одному трильйоні спроб за секунду його перебір займе мільярди років.

Додавання різноманітності символів збільшує ентропію на символ. Лише малі літери дають 26 варіантів на позицію. Додавання великих літер подвоює до 52. Додавання цифр дає 62. Включення символів доводить до 90+ варіантів на символ. Але довжина завжди перевершує складність — 20-символьний пароль з малих літер є надійнішим за 8-символьний пароль з усіма типами символів.

Чи варто використовувати менеджер паролів?

Безумовно. Генеруйте унікальний, надійний пароль для кожного акаунта за допомогою цього інструменту, а потім зберігайте їх усі в надійному менеджері паролів, як-от Bitwarden, 1Password або KeePass. Менеджер паролів означає, що вам потрібно пам'ятати лише один надійний головний пароль. Ніколи не використовуйте паролі повторно на різних сайтах — якщо один сайт зазнає витоку, зловмисники спробують ці облікові дані скрізь.

Поширені помилки з паролями

Найнебезпечніша помилка — використовувати однакові паролі на кількох сайтах. Витоки даних регулярно розкривають мільйони облікових даних, і зловмисники використовують автоматизовані інструменти для перевірки вкрадених паролів на інших сервісах. Інші поширені помилки включають використання особистої інформації (дати народження, імена домашніх тварин), слів зі словника з простими замінами (p@ssw0rd) та записування паролів на стікерах.

Часті запитання

Чи є цей генератор паролів справді випадковим?

Так. Він використовує Web Crypto API (crypto.getRandomValues()), який є криптографічно безпечним генератором випадкових чисел, вбудованим у ваш браузер. Це та сама якість випадковості, що використовується для генерації сесійних ключів TLS, які захищають ваш онлайн-банкінг.

Як часто слід змінювати паролі?

Поточні настанови з безпеки від NIST (Національний інститут стандартів і технологій) рекомендують не проводити планову ротацію паролів. Змінюйте пароль лише тоді, коли підозрюєте, що він скомпрометований, коли сервіс повідомляє про витік даних або коли хочете оновити старий слабкий пароль на більш надійний.