Минимум по современным рекомендациям NIST 800-63B. 12-символьный пароль защищает большинство персональных аккаунтов от реалистичных угроз и остаётся управляемой длиной для ручного ввода.
Отсканируйте для передачи пароля на другое устройство
Институт стандартов и технологий США (NIST) в публикации 800-63B рекомендует минимум 8 символов, но фактически безопасным минимумом в индустрии считается 12 символов с 2017 года. Microsoft, Google, Apple и крупные финтех-компании выставляют 12 символов как порог входа для своих сервисов.
Это связано не только с математикой, но и с реальной экономикой атак. Перебрать 12-символьный пароль на современном железе стоит миллионы долларов в облачных GPU. Большинство атакующих просто не будут пытаться — проще найти аккаунт со слабым паролем у другого пользователя.
Энтропия 12-символьного пароля со смешанным алфавитом 95 символов составляет около 79 бит. Это 95¹² ≈ 5.4 × 10²³ комбинаций — больше, чем атомов в килограмме воды.
Время взлома при скорости 10¹¹ хешей в секунду — примерно 86 000 лет. Даже при ускорении на порядок (государственная атака с распределённым кластером) это всё ещё тысячи лет. Для подавляющего большинства угроз 12 символов закрывают вопрос.
12-символьный пароль — рабочая длина для:
Если у аккаунта подключён 2FA, 12 символов с большим запасом покрывают остаточный риск.
Переход с 10 на 12 символов делает пароль в 9 000 раз сложнее для перебора, добавляя при этом всего пару секунд на ручной ввод. Это лучший прирост безопасности за минимальные усилия.
Дальнейший рост до 16 символов даёт ещё ×80 миллионов — но 12 символов уже выводят пароль за пределы реалистичной атаки. Берите 16 для финансовых и рабочих аккаунтов, 12 — для всего остального.
Сохраните все четыре класса символов. Использование только букв и цифр сокращает алфавит до 62 символов, а энтропию — с 79 до 71 бит. Это всё ещё много, но без необходимости снижения. Спецсимволы дают «бесплатные» 8 бит энтропии.
Если приходится диктовать пароль по телефону или вводить вручную с экрана, включите опцию «Убрать похожие» — будут исключены символы O, 0, l, I, которые легко спутать.