Проверка надёжности пароля

// Проверка надёжности пароля

Ваш пароль никогда не покидает браузер. Анализ надёжности выполняется полностью на вашем устройстве. Проверка утечек отправляет только частичный хеш — ваш реальный пароль никогда не передаётся.

Советы

Используйте минимум 12 символов

Смешивайте заглавные, строчные буквы, цифры и символы

Используйте уникальный пароль для каждого аккаунта

Генератор надёжных паролей →

Как измеряется надёжность пароля

Надёжность пароля измеряется в битах энтропии — математическом выражении того, насколько пароль непредсказуем. Формула учитывает размер набора символов (строчные, прописные буквы, цифры, специальные символы), возведённого в степень длины пароля. Чем выше энтропия, тем больше возможных комбинаций придётся перебрать злоумышленнику.

Например, пароль, состоящий только из строчных букв (26 символов), имеет около 4,7 бита энтропии на символ. Добавьте прописные буквы (итого 52) — и получите 5,7 бита. Включите цифры и специальные символы (95+ символов) — и каждый символ будет давать около 6,6 бита. 16-символьный пароль с полным набором символов обеспечивает более 100 бит энтропии — взломать его методом перебора практически невозможно.

Проверка по базе Have I Been Pwned

Этот инструмент проверяет ваш пароль по базе данных Have I Been Pwned, содержащей более 700 миллионов скомпрометированных паролей, с использованием метода k-анонимности. Отправляются только первые 5 символов SHA-1 хэша — полный пароль никогда не покидает ваш браузер. Если совпадение найдено, ваш пароль фигурировал в известной утечке данных, и его следует немедленно сменить.

FAQ

Что такое энтропия пароля?

Энтропия измеряет непредсказуемость пароля в битах. Каждый бит удваивает количество возможных комбинаций. Пароль с энтропией 60 бит имеет 2^60 (около квинтиллиона) возможных комбинаций, что делает атаки методом перебора практически нецелесообразными.

Как проверка на утечки защищает мою конфиденциальность?

Мы используем метод k-анонимности: ваш пароль хэшируется локально по алгоритму SHA-1, и только первые 5 символов хэша отправляются в API. Сервер возвращает все хэши, начинающиеся с этих 5 символов, а само сравнение происходит полностью в вашем браузере.

Насколько точна оценка «время на взлом»?

Это приблизительная оценка, основанная на предположении о 10 миллиардах попыток в секунду (реалистичная скорость для современных GPU-кластеров). Фактическое время взлома зависит от метода атаки, используемого оборудования и того, соответствует ли ваш пароль распространённым шаблонам.

Мой пароль не найден в утечках — значит ли это, что он надёжен?

Не обязательно. Отсутствие пароля в базе означает лишь то, что он не фигурировал в известных публичных утечках. Он всё равно может быть уязвим к словарным атакам, поиску по шаблонам или целенаправленному подбору. Всегда стремитесь к высокой энтропии.