6 мин чтения
2026-03-10
Национальный институт стандартов и технологий США (NIST) пересмотрел рекомендации по паролям. Многие привычные правила оказались контрпродуктивными.
**Старый подход**: минимум 8 символов, обязательны цифры, спецсимволы, смешанный регистр.
**Новый NIST**: минимум 8 символов, но **рекомендовано 15+**. Сложность обязательной не является, если пароль достаточно длинный.
Почему? «Tr0ub4dor&3» легче взломать брутфорсом, чем «correct horse battery staple» (32 символа, запоминается).
**Старый подход**: менять пароль каждые 90 дней.
**Новый NIST**: менять пароль **только при компрометации**. Принудительная ротация заставляет использовать слабые, предсказуемые пароли (Password1! → Password2! → Password3!).
Подсказки и вопросы (девичья фамилия матери, кличка питомца) легко угадываются через социальные сети.
При создании пароля нужно проверять его по базам известных утечек (Have I Been Pwned). Скомпрометированные пароли запрещаются.
Все Unicode-символы разрешены, включая пробелы и эмодзи.
| Категория | Рекомендация |
|---|---|
| Длина | Минимум 15 символов |
| Состав | Случайные слова или символы |
| Уникальность | Разный пароль для каждого сервиса |
| Хранение | Менеджер паролей |
| 2FA | Обязательна для важных аккаунтов |
**Брутфорс** — перебор всех комбинаций (длина важнее всего)
**Словарный** — используют базы известных паролей
**Радужные таблицы** — хэши заранее вычислены (защита — соль)
**Фишинг** — не связан с сложностью пароля
Генератор паролей создаёт криптографически случайные пароли любой длины и состава.
Смотрите также: Проверка надёжности пароля, Хэш-генератор, Генератор UUID