💪😎👍
Если вы не хотите использовать специализированные менеджеры паролей и не знаете как правильно создать надёжный пароль, то эта статья для вас. 😉
📌 Кстати, если вы используете для генерации паролей ИИ — прочтите эту статью. Никогда не используйте ИИ для создания пароля.
🐴 Система "correct horse battery staple"
Это один из самых знаменитых и до сих пор актуальных советов по созданию сильных, но запоминающихся паролей. Он из комикса XKCD №936 "Password Strength" (2012 год), который до сих пор цитируют в 2026-м.
🔎 Что именно предлагает XKCD
Комикс противопоставляет два подхода:
🔹 Традиционный "сложный" пароль типа Tr0ub4dor&3. Он короткий (8–12 символов), с заглавными буквами, цифрами, символами.
Люди думают, что это сильно, но на практике энтропия низкая (~28–44 бита), потому что шаблоны предсказуемы — словарное слово + замена некоторых букв на похожие цифры и символы + пара символов в конце.
Компьютеру легко взломать такой пароль полным перебором (brute-force) или словарной атакой.
🔹 Парольная фраза (passphrase) из случайных слов — "correct horse battery staple": 4, или больше, случайных обычных английских слова, разделённых пробелами или без пробелов.
Её легко запомнить вам (можно представить картинку: правильная лошадь, батарейка-скрепка), но очень трудно угадать компьютеру.
Для справки:
Энтропия пароля — это мера того, насколько пароль непредсказуем и устойчив к угадыванию или взлому методом полного перебора (brute-force) или словарными атаками.
Она измеряется в битах и показывает, сколько битов информации нужно, чтобы полностью описать пароль или, другими словами, сколько попыток в среднем потребуется атакующему, чтобы угадать пароль, если он перебирает все возможные варианты равновероятно.
Чем выше энтропия, тем пароль сильнее (его труднее взломать).
🔒 Почему это работает
Чтобы не грузить вас сложными расчётами энтропии, отмечу только суть.
В комиксе Рэндалл Манро (автор XKCD) оценивает энтропию в 44 бита для четырёх слов. Предполагается использование словаря из 2048 слов. Это примерно топ 2000–3000 самых частых английских слов + немного вариаций. Каждое слово выбирается независимо и случайно, что добавляет 11 бит энтропии. Для 4 слов: 4 × 11 = 44 бита. Что уже солидно: 44 бита, это примерно 17 квадриллионов вариантов.
На 2026 год brute-force такого словаря на мощной ферме GPU займёт месяцы или годы. Для сравнения: 8-символьный случайный пароль из 95 символов ≈ 52 бита, но его сложнее запомнить.
Сегодня многие рекомендуют 5–6 слов для 55–66 бит (лучше 80+ для параноидов 😅). И желательно использовать список слов EFF, который содержит 7776 слов (получается ~12.9 бита на слово), тогда 4 слова ≈ 52 бита, 5 слов ≈ 64 бита, 6 слов ≈ 77 бит.
Длина парольной фразы обычно 20–30 символов (с пробелами), что делает её устойчивой к brute-force.
💪 Как улучшить "correct horse battery staple"
Базовая фраза уже хороша, но можно сделать ещё лучше.
🔸 Добавьте случайные цифры и символы в разных местах (не только в конце!), что увеличит энтропию на 10–20 бит (если 2–3 символа или цифры находятся в случайных позициях):
correct-horse9battery-staple!
CorrectHorseBatterySt4ple?
c0rrect h0rse battery st@ple
🔸 Используйте словарь EFF — 7776 слов, это примерно +2 бита на слово.
🔸 Добавьте 5–6 слов вместо 4, чтобы увеличить количество бит до 55–66.
🔸 Выбирайте слова случайно. Не придумывайте сами (!). Лучше используйте метод Diceware (бросание кубика) или менеджеры паролей типа Bitwarden, 1Password, которые генерируют парольные фразы автоматически. (О методе Diceware читайте чуть ниже.)
Пример (5 слов из EFF-листа, ~64 бита):
apple zebra thirsty quiet monday
Добавляем символы: apple-zebra_thirsty9quiet-monday!
Получаем сильный пароль.
➕ Плюсы метода
👍 Легко запомнить (намного легче, чем бессмысленный набор букв и символов) и ввести, даже на телефоне.
👍 Устойчив к словарным атакам, если слова действительно случайные.
👍 Длина делает хэш-функции (bcrypt, Argon2) очень медленными для перебора.
👍 Многие эксперты рекомендуют именно парольные фразы вместо "сложного" набора букв, чисел и символов.
➖ Минусы метода
Если слова не случайные, то энтропия падает. Например, "my dog name favorite food" — шаблонно, легко угадать.
❗ Не используйте одну и ту же парольную фразу везде.
🧐 Вывод
"Correct horse battery staple" один из лучших способов для тех, кто не хочет полагаться только на менеджер. 4–6 случайных слова + 1–2 символа или цифры, это уже 50–80+ бит, очень сильно и легко запомнить.
🎲 Метод Diceware
Diceware — это метод генерации парольных фраз с помощью обычных игральных костей. Он был придуман Арнольдом Рейнхольдом в 1995 году и до сих пор считается одним из самых надёжных и прозрачных способов создать сильный пароль вручную, без доверия к программам или ИИ.
❓ Что вам понадобится
👉 5–6 обычных шестигранных игральных костей или одна кость, которую вы будете бросать 5–6 раз подряд.
👉 Официальный список слов. Лучше EFF Wordlist. Скачайте его или распечатайте заранее. Ссылка на EFF Wordlist: https://www.eff.org/dice
Для справки:
EFF (Electronic Frontier Foundation) — фонд защиты цифровых прав.
Это одна из самых уважаемых организаций в мире по защите приватности, свободы слова в интернете и криптографии.
В 2016 году они выпустили свой собственный список слов для Diceware (EFF Wordlist), который считается одним из лучших на сегодня: 7776 слов, все уникальные по первым 4 буквам, без оскорблений, легко произносимые, без неоднозначных слов.
Там есть PDF и TXT версии на английском и некоторых других языках. Конкретно на этом ресурсе русского пока нет, но вы можете скачать русский список слов для Diceware в формате txt по этой ссылке http://world.std.com/~reinhold/diceware.ru.zip
Или просто используйте английский список — слова всё равно запоминаются довольно легко.
🐾 Шаги
1️⃣ Решите, сколько слов вы хотите (лучше 5–6 для хорошей энтропии)
5 слов ≈ 64.5 бита (очень хорошо)
6 слов ≈ 77.4 бита (отлично для большинства аккаунтов)
2️⃣ Бросьте кости 5 раз подряд для каждого слова (всего 25–30 бросков для 5–6 слов). Каждый бросок даёт число от 1 до 6.
3️⃣ Запишите результат как пятизначное число (например, 1-4-3-2-5 → 14325)
4️⃣ Найдите это число в списке EFF Wordlist. Если список на компе, а не распечатан, используйте ctrl + f для быстрого поиска нужного числа в списке.
Список отсортирован по числам от 11111 до 66666. Каждому пятизначному коду соответствует уникальное слово.
Проделайте эту процедуру для каждого слова и получите 5–6 случайных слов.
5️⃣ Для большей надёжности, если хотите, добавьте разделители, цифры и символы.
Пример реального Diceware (5 слов из EFF):
Броски:
33133 → grub
51261 → reload
56242 → statue
21324 → crayon
66644 → zesty
Итог: grub-reload-statue-crayon-zesty
Энтропия ≈ 64.5 бита.
Составляем маленькую историю или ситуацию в голове с этими словами: grub (еда) reload (перезарядить) statue (статуя) crayon (мелок) zesty (пряный, острый). Картинка в голове, вероятнее всего, получится абсурдной 🤪, но именно поэтому она хорошо запомнится.
❗ В случае с русским списком слов последовательность действий такая же как и с английским списком, но так как кириллица в паролях не используется, появляется дополнительный шаг, у которого есть 2 варианта.
🔸 Вариант 1. Перевод слов в транслит латиницей. Например: яблоко → yabloko, трава → trava, луна → luna, ветер → veter, дождь → dozhd или dojd (без апострофа, чтобы не путаться).
Готовая парольная фраза будет выглядеть так: yabloko-trava-luna-veter-dozhd9!
Это самый чистый и безопасный способ создания пароля с использованием русского списка слов, потому что энтропия остаётся полной (~12.9 бита на слово).
🔸 Вариант 2. "Фонетический" ввод на английской раскладке.
Слова набираем русскими буквами на qwerty-раскладке, получается: яблоко → z,kjrj, трава → nhfdf, луна → keyf, ветер → dtnth, дождь → lj;lm
Готовая парольная фраза: z,kjrj-nhfdf-keyf-dtnth-lj;lm9!
Плюсы: выглядит как полный рандом, запоминается по-русски.
Минусы: энтропия чуть ниже из-за ограничений русской раскладки, так как не все комбинации равновероятны. Ввод чуть медленнее и с большим шансом ошибиться. Кроме того этот метод уже довольно известен в рунете. В некоторых списках атакующих есть правила именно для такого "qwerty-кириллица" маппинга.
🤔 Что выбрать в итоге
Если хотите максимальную надёжность — используйте вариант 1 (yabloko, trava и т.д.). Это стандартный подход для русскоязычных пользователей Diceware.
Если хотите, чтобы пароль выглядел как бессмысленный набор букв и вам удобнее запоминать слова без перевода на транслит — используйте вариант 2, но тогда берите 6 слов вместо 5-ти, чтобы компенсировать небольшую потерю энтропии.
✨ Полезные советы
📍 Бросайте кости на твёрдую поверхность, чтобы не подглядывать и не жульничать (случайность важна).
📍 Не выбирайте слова осознанно. Только по кубикам.
📍 Храните парольную фразу в голове или в зашифрованном менеджере, но не в заметках телефона. Также пароли можно хранить офлайн на бумажном носителе, но стоит соблюдать ряд правил: делать записи в специальном отдельном блокноте, не оставлять его на виду, хранить в безопасном месте, записи должны быть хорошо читаемыми (лучше распечатывать).
📍 Для мастер-пароля менеджера используйте 6+ слов.
📍 Для обычных сайтов 5 слов достаточно + 2FA (двухфакторная аутентификация).
💙💙💙💙💙💙💙💙💙💙💙💙💙
Всем надёжных паролей! И спасибо за внимание. 🤗
Заглядывайте на ВК: https://vk.com/prilozhenechka