Парольная фраза vs пароль: энтропия и безопасность
Поймите математику энтропии паролей и узнайте, когда парольные фразы превосходят традиционные пароли. Включает расчёты энтропии, методологию Diceware и практические рекомендации.
Обязательно к прочтению
Проблема энтропии: почему большинство паролей уязвимы
Каждый пароль имеет измеримое свойство — энтропию — количество бит случайности. Пароль с 50 битами энтропии имеет 2^50 возможностей. При миллиарде попыток в секунду это займёт около 13 дней. При 80 битах даже триллион попыток в секунду потребует 38 000 лет.
Ключевой вывод: энтропия зависит от того, как пароль был создан, а не от того, как он выглядит. "Tr0ub4dor&3" имеет только ~28 бит энтропии. А "correct horse battery staple" обеспечивает ~52 бита со списком EFF.
Большинство политик фокусируются на составе символов, а не на реальной энтропии. "Summer2026!" удовлетворяет все требования, но падёт перед словарной атакой за секунды.
Связанные рекомендации
Как рассчитывается энтропия
Для по-настоящему случайного пароля: энтропия = log₂(C^L). 12-символьный пароль из набора 95 символов имеет ≈ 79 бит.
Для парольных фраз: энтропия = log₂(W^N). С EFF-списком (7 776 слов): 4 слова ≈ 51,7 бит; 5 слов ≈ 64,6 бит; 6 слов ≈ 77,5 бит; 7 слов ≈ 90,5 бит.
Расчёт предполагает, что атакующий знает ваш метод генерации — это консервативная, реалистичная оценка безопасности.
- 8 случайных символов (a-z): log₂(26^8) ≈ 37,6 бит
- 12 случайных символов (a-z, A-Z, 0-9, символы): log₂(95^12) ≈ 78,8 бит
- 4 слова Diceware: log₂(7776^4) ≈ 51,7 бит
- 6 слов Diceware: log₂(7776^6) ≈ 77,5 бит
- 16 случайных символов (полный ASCII): log₂(95^16) ≈ 105 бит
- 8 слов Diceware: log₂(7776^8) ≈ 103,4 бит
Аргументы в пользу парольных фраз
Парольные фразы обменивают сложность символов на длину, достигая высокой энтропии при сохранении запоминаемости. Фраза из шести слов имеет ~78 бит — сопоставимо с 12-символьным случайным паролем, но гораздо проще для запоминания.
Запоминаемость — это не просто удобство, это преимущество безопасности. Когда пароли трудно запомнить, пользователи записывают их небезопасно или используют повторно.
Парольные фразы также лучше противостоят подглядыванию через плечо.
Метод Diceware, разработанный Арнольдом Рейнхольдом в 1995 году, использует физические кубики для выбора слов. EFF обновила список в 2016 году.
Аргументы в пользу случайных паролей
Случайные пароли достигают более высокой энтропии на символ. 16-символьный пароль обеспечивает ~105 бит — нужно 8 слов Diceware для сравнения.
Для аккаунтов, управляемых менеджером паролей, случайные пароли строго превосходят, поскольку запоминаемость не важна.
Случайные пароли также более компактны, что важно в системах с низкими ограничениями длины.
Главный недостаток — их невозможно запомнить.
Когда использовать каждый подход
Используйте фразы для: мастер-пароля менеджера; входа в компьютер; PIN телефона; шифрования диска; и любых учётных данных без автозаполнения.
Используйте случайные пароли для: всех аккаунтов в менеджере; API-ключей; сервисных аккаунтов; паролей баз данных.
Для максимальной безопасности комбинируйте оба подхода: надёжная фраза как мастер-пароль и уникальные случайные пароли для каждого аккаунта.
Усиление вашей парольной фразы
Начните с минимум 5 слов для личных аккаунтов и 6-7 для высокоценных целей. Используйте список EFF или эквивалентный с минимум 7 776 записями.
Рассмотрите одну-две модификации: заглавная буква случайного слова, цифра между словами или необычный разделитель.
Никогда не выбирайте слова самостоятельно. Человеческий выбор слов сильно смещён к частотным словам. Всегда используйте кубики или криптографический генератор.
- Минимум 5 слов для стандартных аккаунтов, 6-7 для критических
- Кубики или CSPRNG — никогда не выбирайте вручную
- Одна небольшая модификация (заглавная, цифра, разделитель)
- Список слов 7 776+ записей (EFF Diceware)
- Тренируйтесь набирать до мышечной памяти
- Храните записанную копию в физически безопасном месте
Итог
И парольные фразы, и случайные пароли обеспечивают отличную безопасность при правильном использовании. Выбор зависит от контекста: фразы для человеческой памяти, случайные пароли для машинного управления.
Какой бы метод вы ни использовали, самый важный фактор — уникальность. Идеальная фраза, использованная повторно на трёх сайтах, гораздо менее безопасна, чем три посредственных, но уникальных пароля.
Следующие шаги
Что делать дальше с надёжным паролем?
Надёжный пароль — это только первый шаг. Для полной защиты ваших аккаунтов нужен менеджер паролей, который хранит, автозаполняет и синхронизирует учётные данные на всех устройствах.
Мы сравнили самые популярные менеджеры паролей 2026 года, чтобы помочь вам сделать правильный выбор.
NordPass выделяется шифрованием XChaCha20 с нулевым знанием, встроенной поддержкой passkeys и самым интуитивным интерфейсом среди премиум-менеджеров.
| Функция | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Цена/мес | $1.49/mo | $2.99/mo | $0 |
| Устройства | Неограничено | Неограничено | Неограничено |
| Passkeys | Да | Да | Нет |
| Сканер утечек | Да | Да | Нет |
| Встроенный 2FA | Да | Да | Да |
| Безопасный обмен | Да | Да | Ограничено |
| Автозаполнение | Да | Да | Да |
Это партнёрская ссылка. При покупке я могу получить комиссию — это помогает поддерживать сайт бесплатным.