Что такое Проверка надёжности пароля?

Проверка надёжности пароля анализирует ваш пароль в режиме реального времени и оценивает его устойчивость к взлому. Инструмент проверяет типичные шаблоны, словарные слова и энтропию, чтобы дать точную оценку надёжности. Используйте его, чтобы убедиться, что ваши пароли соответствуют современным стандартам безопасности.

Анализ выполняет zxcvbn, та же библиотека, что Dropbox выложил в открытый доступ. Она знает 30 000 распространённых паролей, базы утечек, словари английских слов и фамилий, а также шаблоны вроде дат, клавиатурных дорожек и l33t-замен. Оценка 0-4, плюс время взлома для четырёх сценариев атаки: онлайн с лимитом, без лимита, оффлайн медленный хеш, оффлайн быстрый хеш.

Как использовать

1. Введите или вставьте пароль в поле ввода, чтобы начать анализ
2. Изучите оценку надёжности, расчётное время взлома и конкретные рекомендации по устранению уязвимостей
3. Улучшайте пароль на основе предложений, пока не достигнете оценки «надёжный» или «очень надёжный»

Когда использовать

• Проверить запоминающийся пароль, прежде чем сделать его мастер-паролем менеджера.
• Проверить корпоративную политику паролей: действительно ли «НазваниеКомпании2024!» проходит ваш порог?
• Показать нетехническому родственнику, почему пароль с кличкой питомца ненадёжен.

Результат

Введите «Tr0ub4dor&3» — пароль получит оценку «средний»: несмотря на использование разных типов символов, он следует предсказуемому шаблону замен. Сравните с парольной фразой «correct-horse-battery-staple», которая набирает более высокий балл, хотя использует только строчные буквы и дефисы.

Частые вопросы

Что означает каждая оценка от 0 до 4?

0 угадывается меньше чем за секунду любой онлайн-атакой. 1 держится часы онлайн, секунды оффлайн. 2 устоит онлайн, но падёт оффлайн. 3 разумно. 4 потребует столетий даже у GPU-фермы на 10 миллиардов попыток в секунду.

Почему «Tr0ub4dor&3» оценивается хуже, чем «correct horse battery staple»?

Первый следует известному шаблону: словарное слово плюс предсказуемые замены (0 вместо o, 4 вместо a) плюс символ и цифра. Списки правил у атакующих проверяют такие комбинации первыми. Четыре случайных слова дают намного больше энтропии, потому что комбинаций несравнимо больше.

Уходит ли мой пароль куда-то, когда я печатаю его здесь?

Оценка надёжности полностью выполняется на вашем устройстве, в JavaScript этой страницы, и при вводе не отправляет ни одного сетевого запроса. Единственное необязательное исключение — проверка по утечкам: при нажатии отправляются только первые 5 символов SHA-1-хеша пароля (k-anonymity), так что сам пароль никогда не покидает поле ввода. При закрытии вкладки ничего не сохраняется.

Предупреждение говорит, что мой пароль есть в утечке. Это точно?

Здесь два уровня. Мгновенное предупреждение берётся из встроенного в zxcvbn списка 30 000 самых частых паролей из утечек вроде RockYou и сверяется офлайн. Для актуального ответа нажмите «Проверить по утечкам» — запрос идёт к базе HaveIBeenPwned по k-anonymity (отправляются только первые 5 символов хеша) и показывает, сколько раз пароль встречался в реальных утечках.

Какой сценарий времени взлома брать за ориентир?

Для большинства аккаунтов важен показатель «offline slow hashing», именно это происходит при утечке базы и запуске hashcat. Целитесь хотя бы в «века», что обычно соответствует оценке 3-4 при длине 12+ символов.

Похожие инструменты