About
Язык: Русский Перейти на английский

Генератор паролей

Генерируйте надёжные случайные пароли. Использует Web Crypto API — тот же источник случайности, который браузеры применяют для TLS-ключей.

  1. Перетащите ползунок Длины, чтобы выбрать количество символов (от 4 до 128).
  2. Отметьте классы символов, которые хотите включить — заглавные, строчные, цифры, символы.
  3. При желании отметьте Избегать похожих, чтобы пропустить I l 1 O 0.
  4. Нажмите Сгенерировать, если хотите получить новый (каждое изменение также автоматически регенерирует).
  5. Нажмите Копировать, чтобы поместить его в буфер обмена, затем вставьте в свой менеджер паролей.
Что это делает?

Этот генератор создаёт пароль, независимо выбирая каждый символ из выбранного вами алфавита с помощью Web Crypto API браузера для случайности. Это тот же криптографически безопасный источник, который браузеры используют для генерации ключей TLS-сессий — это не смещённый Math.random(), на который полагается большинство самодельных генераторов. Цикл выборки с отбрасыванием гарантирует, что каждый символ в алфавите имеет равную вероятность, так что оценки энтропии действительно выполняются.

Пример

Длина 20, все четыре класса, похожие разрешены:

G7#vQ2xP!mK9nR4sT&bL

Длина 24, только буквы и цифры (для сайтов, которые отклоняют символы):

k3Hq8RmZ5nPv2WyTb6JsXfLd

Типичные ловушки при использовании сгенерированного пароля

  • Сайт отклоняет определённые символы. Некоторые сайты молча удаляют или отказывают <, >, кавычкам или пробелам. Если сайт не принимает пароль, отключите класс Символы и увеличьте длину до 24+ для компенсации.
  • Копирование-вставка добавляет пробел в конце. Выделение двойным щелчком в некоторых ОС захватывает лишний пробел. Если вход не удаётся, сначала вставьте в простое текстовое поле и проверьте, совпадает ли длина.
  • Слишком короткий "для удобства". Пароль из 8 символов это примерно 50 бит энтропии — взламывается офлайн за часы на современном GPU. Используйте 16+ для обычных аккаунтов, 20+ для всего, что шифрует данные в состоянии покоя.
  • Использование одного пароля для нескольких аккаунтов. Надёжный пароль, повторно использованный на взломанном сайте, всё равно скомпрометирован. Генерируйте уникальный для каждого аккаунта и храните их в менеджере паролей.
  • Забыть о политиках ротации паролей. Некоторые корпоративные системы принуждают к смене каждые 90 дней. Сохраните сгенерированный пароль в своём менеджере, чтобы можно было подтвердить точное совпадение, если сайт попросит ввести его повторно.
  • Скриншоты или история буфера обмена. macOS, Windows и несколько менеджеров буфера обмена хранят историю. Очистите буфер или вставьте что-то другое после того, как сохранили пароль.
Часто задаваемые вопросы

Является ли этот генератор паролей криптографически безопасным?

Да. Случайность берётся из crypto.getRandomValues(), браузерного Web Crypto API, на котором работают ключи TLS-сессий. Это не Math.random(), предсказуемый псевдослучайный генератор, непригодный для секретов. Каждый символ выбирается с помощью выборки с отбрасыванием, так что каждый символ в алфавите имеет равную вероятность.

Какой длины должен быть мой пароль?

Для онлайн-аккаунтов с ограничением частоты 16 символов из смешанных классов вполне достаточно. Для всего, что защищает зашифрованные данные офлайн (менеджеры паролей, шифрование диска, резервные копии), используйте 20 или больше. Пароль из 20 символов из всех четырёх классов имеет примерно 130 бит энтропии, что за пределами брутфорса.

Сохраняете ли вы пароли, которые генерирует этот инструмент?

Нет. Мы не сохраняем пароли, которые вы здесь генерируете. Каждый пароль показывается один раз, хранится только в видимом поле ввода и исчезает в момент обновления или закрытия вкладки. Ничего не записывается в хранилище и не логируется с нашей стороны. Можете проверить в инструментах разработчика своего браузера, если хотите дополнительной уверенности.

Что такое энтропия и сколько бит мне нужно?

Энтропия измеряет непредсказуемость в битах. Каждый бит удваивает количество догадок, которые должен попробовать атакующий. 60 бит противостоят случайным офлайн-атакам, 80 противостоят целенаправленным, а 128 — современный стандарт для сильных ключей. Пароль из 20 символов из алфавита в 90 символов составляет около 130 бит.

Следует ли мне использовать парольную фразу вместо случайного пароля?

Парольная фраза из 5 или 6 случайных словарных слов легче вводится и запоминается и может достигать схожей энтропии (около 65–80 бит). Но для паролей, которые вы храните в менеджере и никогда не печатаете, случайный символьный пароль короче при той же силе. Этот инструмент генерирует именно такой.

Почему сайт отклоняет символы в моём сгенерированном пароле?

Некоторые сайты отказывают определённым символам вроде <, >, кавычек или пробелов из-за плохой обработки ввода на их стороне. Если пароль отклонён, снимите отметку Символы и сгенерируйте вместо этого более длинный пароль из букв и цифр. Длина компенсирует меньший алфавит в плане энтропии.