Генератор паролей (криптографически стойкий, со счётчиком сложности)
Создаёт пароли с использованием crypto.getRandomValues — того же источника, что используют банки, а не Math.random. Регулируйте длину и классы символов; счётчик энтропии показывает реальную сложность результата.
Как это работает
Почему этот генератор действительно безопасен
Большинство «генераторов паролей» в интернете используют Math.random(), который не является криптографически стойким — его вывод может предсказать злоумышленник, увидевший несколько предыдущих значений. Этот генератор использует crypto.getRandomValues из Web Crypto API — тот же примитив, что лежит в основе HTTPS-сессий и системных связок ключей. Каждый символ выбирается из равномерного распределения по выбранному алфавиту.
Генерация происходит полностью в вашем браузере. Пароль никогда не передаётся по сети и не попадает на наши серверы. Даже если бы наш домен был скомпрометирован, злоумышленнику нечего было бы украсть — ничего не хранится.
Как работает счётчик сложности
Метка сложности вычисляется из энтропии: биты = log₂(размер_алфавита) × длина. 10-символьный пароль только из строчных букв имеет log₂(26) × 10 ≈ 47 бит — уязвим для целеустремлённого офлайн-атакующего. 16-символьный пароль с использованием всех четырёх классов символов имеет около 105 бит — достаточно сильный для большинства случаев. Диапазоны: <50 слабый, 50–80 средний, 80–128 надёжный, ≥128 отличный.
Эти пороги примерно соответствуют: слабый = взламываемый за дни умеренным атакующим; средний = ботнету потребуются годы; надёжный = нет реалистичного атакующего сегодня; отличный = комфортный запас против будущих атакующих, включая квантовые соображения.
Длина важнее сложности
Математика здесь беспощадна: добавление одного символа примерно удваивает пространство поиска (в зависимости от алфавита). Добавление ещё одного класса символов лишь незначительно его расширяет. 20-символьный строчный пароль имеет больше энтропии, чем 12-символьный смешанный пароль с символами, и легче набирается. Если хотите запомнить — выберите четыре случайных слова из словаря из 7000 слов: это ~51 бит, схоже с надёжным 8-символьным смешанным паролем.
Опция «избегать неоднозначных» исключает символы, похожие на другие во многих шрифтах (0/O, I/l/1). Это делает пароль немного слабее, но легче для чтения вслух или переписывания. Используйте при необходимости вводить пароль вручную из распечатки.
Частые вопросы
›Этот генератор действительно безопасен?
Да. Мы используем безопасный источник случайности Web Crypto API, а не Math.random(). Реализация от производителя браузера прошла аудит и идентична той, что лежит в основе HTTPS.
›Пароль покидает браузер?
Никогда. Генерация, расчёт энтропии и копирование в буфер обмена — всё происходит локально. У нас нет серверного эндпоинта для его получения даже при желании.
›Достаточно ли 16 символов?
Для онлайн-аккаунтов — да, почти всегда. Для мастер-паролей менеджера паролей или ключей шифрования используйте 24+ символа или 6-словную парольную фразу.
›Почему счётчик сложности невысоко оценивает мой длинный пароль?
Он знает только о включённых вами классах символов. Если включены только строчные, алфавит всего 26 символов — длинные пароли всё ещё надёжны, но растут медленнее.
›Что означают «биты энтропии»?
Это log₂ числа возможных паролей, которые могут быть сгенерированы с вашими настройками. 80 бит ≈ 1,2 × 10²⁴ возможностей — далеко за пределами перебора сегодня.
›Стоит ли включать символы?
Да, если разрешено. Каждый символ примерно добавляет энтропию цифры плюс буквы вместе. Некоторые старые сайты их не принимают; в таком случае увеличьте длину для компенсации.
›Стоит ли использовать «избегать неоднозначных»?
Используйте только когда нужно читать или набирать пароль вручную. Для менеджеров паролей держите выключенным — выгода от удобочитаемости там теряется.
›Может ли один и тот же пароль быть сгенерирован дважды?
Теоретически да, но даже при 50 битах энтропии вероятность за пару генераций составляет 1 из 2⁵⁰ ≈ 10¹⁵. Практически невозможно.
Похожие инструменты
Обновлено: