Тестер надёжности пароля (энтропия + время взлома)

Введите пароль (только в браузере, не передаётся). Тестер вычисляет энтропию, покрытие набора символов, риск совпадения со словарём и показывает расчётное время взлома для офлайн GPU-атак, ограниченных API и медленных онлайн-атак.

Пароль

Проверяется полностью в вашем браузере. Никогда не отправляется и не хранится.

Как это работает

Что означает «энтропия» для паролей

Энтропия измеряет непредсказуемость в битах. Пароль с 30 битами энтропии требует в среднем ~2³⁰ ≈ 1 миллиарда попыток для взлома. Обычно 70+ бит считается надёжным; 80+ — отличным.

Формула: энтропия = длина × log₂(размер_набора). 'abcdefgh' (8 символов, только строчные) = 8 × log₂(26) ≈ 37,6 бит. 'aA1!aaaa' (8 символов, все наборы) = 8 × log₂(95) ≈ 52,6 бит — но реальное время взлома хуже, чем предполагают 52 бита, потому что 'aaaa' — распространённый паттерн.

Почему время взлома так сильно варьируется

Офлайн GPU: хеш пароля из утечки атакуется офлайн. Современные GPU могут перебирать 10⁹+ хешей MD5 в секунду; хеши bcrypt — только 10⁴–10⁵/с. Оценка здесь использует предположение о быстром хеше.

Онлайн быстрый: злоумышленник напрямую атакует API входа. Большинство API имеют ограничение скорости; 1000 попыток/сек — высокая оценка для плохо защищённого эндпоинта.

Онлайн медленный: должным образом защищённый эндпоинт со строгими ограничениями скорости, блокировкой аккаунта и CAPTCHA. 100 попыток/сек — щедро; многие системы допускают только 5–10/мин.

Эти оценки игнорируют реальные факторы: словарные атаки (которые находят распространённые пароли намного быстрее перебора) и повторное использование паролей (взлом утечки одного сайта помогает взломать другие).

Что делает пароль надёжным

Длина важнее сложности: 16-символьная парольная фраза типа «правильная лошадь батарея скоба» надёжнее мучительного 8-символьного 'P@55w0rd!'. Идея из XKCD 2011 года всё ещё актуальна: 4 случайных слова дают ~44 бита энтропии.

Избегайте паттернов: даты, имена, '123', 'qwer', повторяющиеся символы — всё это снижает реальную энтропию ниже формульного значения. Инструменты взлома включают обширные «правила» преобразования (например, 'пароль' → 'P@rol!').

Используйте менеджер паролей: люди выбирают паттерны; менеджеры — нет. Bitwarden, 1Password, KeePass генерируют действительно случайные пароли для каждого сайта из 16+ символов всех наборов. Единственный пароль, который нужно помнить, — это мастер-пароль. И он должен быть длинной запоминаемой фразой.

Частые вопросы

›Мой пароль куда-то отправляется?

Нет. Всё выполняется локально в браузере. Мы не видим, не храним и не передаём ваш пароль.

›Почему мой длинный пароль показывает низкую энтропию?

Длина — не всё: повторение 'а' 50 раз имеет очень низкую реальную энтропию. Калькулятор использует простую формулу, но отмечает повторяющиеся/последовательные паттерны. Для лучших результатов: длинный, разнообразный, без паттернов.

›Время взлома точное?

Это оценки на основе наивного перебора. Реальные взломщики сначала используют словари, распространённые паттерны и базы утечек — поэтому «распространённый» пароль может взломаться за секунды несмотря на высокую формульную энтропию.

›Стоит ли беспокоиться о квантовых компьютерах?

В конечном счёте да — алгоритм Гровера вдвое сокращает эффективные биты симметричного шифрования. Пока достаточно 80+ бит энтропии; 128+ для очень долгосрочных секретов.

›Почему инструмент помечает 'P@55w0rd1' несмотря на все наборы символов?

Потому что 'пароль' есть в словарях, и тривиальные замены (a → @, о → 0) являются частью любого инструмента взлома. Используйте действительно случайные или парольные фразы, а не замены обычных слов.

›«Правильная лошадь батарея скоба» — действительно безопасно?

Достаточно. 4 случайных слова из словаря 7000 слов = ~52 бита энтропии. Надёжнее большинства 8-символьных сложных паролей. Но выбирайте собственные случайные слова, а не этот знаменитый пример.

›Какая минимальная длина пароля?

8 — абсолютный минимум (и только со всеми наборами символов). 12+ рекомендуется для большинства аккаунтов. 16+ для важных (электронная почта, банк, мастер-пароль).

›Важен ли регистр?

Да — добавление прописных удваивает размер набора с 26 до 52. Примерно +1 бит на символ. Осмысленное смешивание регистров (не только первая буква) стоит делать.