Парольные фразы vs пароли — Почему случайные слова побеждают сложные символы
Вам наверняка говорили создавать пароли вроде P@$$w0rd123 — заглавные, строчные, цифры, символы, всё сразу. Вот неудобная правда: этот пароль ужасен. Он следует предсказуемым шаблонам подстановки, которые инструменты взлома используют за секунды. Между тем, что-то вроде древесина-квант-ложка-скорость выглядит просто, но на порядки сложнее для взлома.
Давайте разберёмся почему.
Проблема традиционных паролей
Большинство людей, вынужденных создать «сложный» пароль, делают одно и то же:
- Начинают с обычного слова:
password,monkey,dragon - Делают первую букву заглавной:
Password - Заменяют буквы символами:
P@ssword - Добавляют цифры:
P@ssword123 - Добавляют символ в конце:
P@ssword123!
Инструменты взлома знают это. Каждый крупный словарь для взлома паролей включает именно эти правила подстановки. Символ @ вместо a, 0 вместо o, 3 вместо e — это одни из первых проверяемых преобразований. Ваш «сложный» пароль мог занять тридцать секунд на придумывание, но при автоматизированной атаке он падёт за миллисекунды.
Фундаментальная проблема: люди ужасно плохи в случайности. Мы выбираем значимые слова, следуем предсказуемым паттернам и используем одни и те же трюки. Правила сложности паролей пытаются компенсировать это, но создают ложное чувство безопасности.
Что на самом деле делает пароль сильным: энтропия
Сила пароля измеряется в энтропии — битах случайности. Каждый бит удваивает количество возможностей, которые атакующий должен перебрать. Формула проста:
Энтропия = Длина × log₂(Размер пула)
Для случайного 8-символьного пароля с использованием всех 95 печатных символов ASCII:
8 × log₂(95) = 8 × 6.57 ≈ 52.6 бит
Звучит неплохо, но вот подвох — это применимо только если каждый символ выбран абсолютно случайно. Когда человек выбирает P@ssw0rd, реальная энтропия значительно ниже, потому что выбор предсказуем.
Подумайте об этом так: энтропия измеряет, сколько попыток нужно атакующему. Если вы выбираете из пула в миллион возможностей, это около 20 бит. Если из триллиона — около 40 бит. Каждые дополнительные 10 бит означают примерно в тысячу раз больше попыток.
Парольные фразы: случайные слова как строительные блоки
Парольная фраза использует совершенно другой подход. Вместо случайных символов вы соединяете случайные слова:
timber quantum spoon velocity
Каждое слово выбирается случайно из большого списка слов. Если ваш список содержит 2 048 слов, каждое слово вносит 11 бит энтропии (log₂(2048) = 11). Четыре случайных слова дают:
4 × 11 = 44 бита
С большим списком из 7 776 слов (стандартный список Diceware) каждое слово вносит 12,9 бит:
4 × 12,9 = 51,7 бит
6 × 12,9 = 77,5 бит
Ключевое преимущество: парольные фразы легко запоминать и набирать, сохраняя высокую энтропию. Вы можете представить древесину, квантовую частицу, ложку и скорость. Этот мысленный образ запоминается. Попробуйте сделать то же с xK#9mP!2qL.
Идея XKCD
Веб-комикс XKCD знаменито проиллюстрировал эту концепцию в выпуске #936. Аргумент: четырёхсловная парольная фраза вроде «correct horse battery staple» имеет примерно 44 бита энтропии (при списке ~2 048 слов) и тривиально легко запоминается. «Сложный» пароль вроде Tr0ub4dor&3 имеет меньше энтропии, несмотря на то что его труднее набирать и запоминать.
Комикс сделал важное замечание, которое исследователи безопасности говорили годами: наши правила сложности паролей оптимизируют не то. Они делают пароли трудными для людей и едва ли труднее для компьютеров.
Тем не менее, пример XKCD широко обсуждается с 2011 года, и некоторые конкретные цифры оспаривались. Основной принцип остаётся верным: случайность и длина побеждают сложность и хитрость.
Метод Diceware
Diceware — золотой стандарт генерации парольных фраз. Вот как он работает:
- Получите список слов — Классический список Diceware содержит 7 776 слов, каждое соответствует пятизначному числу (от 11111 до 66666)
- Бросьте пять кубиков (или один кубик пять раз) для каждого слова
- Найдите полученное число в списке слов
- Повторите для каждого нужного слова (минимум четыре, лучше шесть)
Например, бросок 4-2-5-3-1 может дать «карандаш». Бросок 1-6-3-4-2 может дать «якорь». И так далее.
Почему физические кубики? Потому что они — подлинно случайный источник, не требующий доверия к программному обеспечению. Конечно, криптографически безопасный генератор случайных чисел (такой как Web Crypto API, используемый в нашем Генераторе паролей) работает так же хорошо и намного удобнее.
Безопасность Diceware опирается на простой математический факт: атакующий, который знает, что вы использовали Diceware, и знает точный список слов, всё равно сталкивается с 7 776^n возможностями, где n — количество слов. Это определение безопасности через энтропию, а не через сокрытие.
Сравнение энтропии: числа не лгут
Сравним распространённые стратегии паролей напрямую:
| Стратегия | Пример | Энтропия | Необходимые попытки |
|---|---|---|---|
| 8 случайных символов (строчные) | mqxhplvt | 37,6 бит | ~137 млрд |
| 8 случайных символов (все ASCII) | kX#9mP!2 | 52,6 бит | ~6 квадриллионов |
| 4-словная фраза (2 048 слов) | timber-quantum-spoon-velocity | 44 бита | ~17 триллионов |
| 4-словная фраза (7 776 слов) | cleft-cam-niche-turret | 51,7 бит | ~3,7 квадриллиона |
| 6-словная фраза (7 776 слов) | cleft-cam-niche-turret-plod-anvil | 77,5 бит | ~2,2 × 10²³ |
| 12 случайных символов (все ASCII) | Bx!4pQm#9kLz | 78,8 бит | ~4,7 × 10²³ |
Вывод: шестисловная фраза Diceware примерно эквивалентна по стойкости 12-символьному полностью случайному паролю — но значительно легче запоминается и набирается.
При миллиарде попыток в секунду (реалистичная скорость офлайн-атаки на быстрый хеш) 52-битный пароль продержится около 52 дней. 77-битная парольная фраза — около 7 миллиардов лет. Это разница между мелким неудобством для атакующего и тепловой смертью вселенной.
Когда использовать пароли и парольные фразы
Ни один подход не является универсально лучшим. Вот когда каждый имеет смысл:
Используйте случайные символьные пароли когда:
- Менеджер паролей генерирует и хранит их — Вам никогда не нужно их набирать или запоминать. Используйте 20+ случайных символов для максимальной энтропии.
- Существуют ограничения длины — Некоторые устаревшие системы ограничивают пароли 16 или даже 8 символами. Случайные символы вмещают больше энтропии на символ.
- Аутентификация между машинами — API-ключи, токены и секреты должны быть длинными случайными строками.
Используйте парольные фразы когда:
- Нужно запомнить — Мастер-пароль менеджера паролей, фраза шифрования диска или код разблокировки устройства.
- Часто набираете — Парольные фразы быстрее набираются, чем случайные строки символов, особенно на мобильных устройствах.
- Нужно передать устно — Сказать «timber quantum spoon velocity» по телефону гораздо проще, чем диктовать
xK#9mP!2qL. - Нужна офлайн-безопасность — Шифрование диска и криптовалютные кошельки выигрывают от парольных фраз с высокой энтропией.
Оптимальный вариант для большинства: шестисловная парольная фраза как мастер-пароль менеджера паролей, и случайные пароли из 20+ символов для всего остального.
Лучшие практики для парольных фраз
Не все парольные фразы одинаковы. Следуйте этим правилам:
1. Используйте действительно случайные слова
Слова должны быть выбраны случайно, а не вами. В момент, когда вы выбираете слова, которые «имеют смысл» или образуют предложение, вы разрушаете расчёт энтропии. «Я люблю свою собаку очень» — это предложение, а не парольная фраза, и она тривиально взламывается.
2. Минимум четыре слова, лучше шесть
Четыре слова из списка в 7 776 слов дают около 52 бит — достаточно для онлайн-аккаунтов с ограничением частоты запросов. Шесть слов дают около 78 бит — подходят для защиты зашифрованных данных офлайн. Для высокой безопасности используйте семь или восемь.
3. Опционально: добавьте число или символ
Вставка случайного числа или символа между словами добавляет несколько дополнительных бит и побеждает любую чисто словарную атаку:
timber-quantum-7-spoon-velocity
timber!quantum!spoon!velocity
Это не строго необходимо при шести и более словах, но это недорогое улучшение.
4. Используйте разделитель
Дефисы, пробелы или точки между словами улучшают читаемость без снижения безопасности:
timber-quantum-spoon-velocity
timber quantum spoon velocity
timber.quantum.spoon.velocity
Любой последовательный разделитель работает. Выбирайте самый удобный для набора.
Типичные ошибки с парольными фразами
Использование текстов песен или цитат
«Быть или не быть — вот в чём вопрос» — это не парольная фраза, а знаменитая цитата. Атакующие ведут списки распространённых фраз из литературы, песен, фильмов и религиозных текстов. Любая узнаваемая фраза — уязвимость.
Выбор связанных слов
«яблоко банан вишня виноград» использует случайные слова, но все они — фрукты. Эта корреляция резко снижает эффективную энтропию, потому что атакующий может нацелиться на семантические категории.
Использование слишком мало слов
Два или три слова из любого списка недостаточно. С списком из 7 776 слов три слова дают только 38,8 бит — взламывается GPU-кластером за часы.
Использование автозаполнения
Если вы набираете первое слово и позволяете телефону предлагать следующие, вы генерируете текст с предсказуемостью языковой модели, а не со случайностью кубиков. Всегда используйте настоящий генератор случайных чисел.
Как помогает наш инструмент
Наш Генератор паролей включает специальный режим парольных фраз, построенный на кураторском списке из 2 048 слов. Каждое слово выбирается с помощью Web Crypto API — того же криптографического генератора случайных чисел, который используют профессионалы безопасности. Вы можете настроить количество слов, символ-разделитель и включение чисел или заглавных букв.
Вся генерация происходит полностью в вашем браузере. Никакие слова не отправляются на сервер, парольные фразы не записываются, и инструмент работает офлайн после загрузки. Это критически важно для генерации мастер-паролей и фраз шифрования — вы никогда не должны доверять свой самый важный секрет серверу.
Часто задаваемые вопросы
Безопасны ли парольные фразы, если кто-то знает, что я использую метод Diceware?
Да. Безопасность Diceware зависит от энтропии, а не от секретности метода. Даже если атакующий знает ваш точный список слов и количество слов, он всё равно сталкивается с 7 776^n возможными комбинациями. При шести словах это более 2,2 × 10²³ возможностей.
Могут ли квантовые компьютеры взломать парольные фразы?
Алгоритм Гровера теоретически уменьшает битовую стойкость вдвое (77 бит становятся ~39 эффективными битами). Это означает, что шестисловная фраза должна стать двенадцатисловной для квантовой устойчивости. Но практические крупномасштабные квантовые компьютеры, способные на это, пока недоступны. Использование восьми слов сегодня обеспечивает разумный запас безопасности.
Нужно ли менять парольные фразы?
Только при подозрении на компрометацию. Рекомендации NIST (SP 800-63B) явно не рекомендуют принудительную периодическую смену паролей, так как это приводит к более слабым паролям со временем. Меняйте парольную фразу, если сервис был скомпрометирован или если вы поделились ею с кем-то.
Какой размер списка слов использовать?
Больше — лучше, но с убывающей отдачей. Стандартный список Diceware (7 776 слов) хорошо протестирован и широко рекомендован. Наш инструмент использует список из 2 048 слов, оптимизированный для запоминаемости — каждое слово распространённое, уникальное и легко пишется. С 2 048 словами вам нужно примерно одно дополнительное слово, чтобы сравняться с энтропией списка из 7 776 слов.
Связанные ресурсы
- Генерация надёжных паролей — полное руководство по безопасности паролей
- Энтропия паролей — математика стойкости паролей
- Руководство по двухфакторной аутентификации — добавьте второй уровень защиты
- Генератор паролей — генерируйте пароли и парольные фразы в браузере
🛠️ Сгенерируйте парольную фразу сейчас: Генератор паролей — 100% бесплатно, всё обрабатывается в вашем браузере. Никакие данные не загружаются. Попробуйте режим парольных фраз с нашим кураторским списком из 2 048 слов.