Уровень защиты для критичных аккаунтов: основной email, облачные хранилища, мастер-пароль менеджера. 20 символов выводят пароль за пределы любых реалистичных атак.
Отсканируйте для передачи пароля на другое устройство
20 символов — это не «лучше, чем 16». Это другой класс защиты, рассчитанный на сценарии, где утечка пароля означает каскадную потерю остальных аккаунтов. Главные кандидаты:
Энтропия — около 131 бит. Пространство паролей 95²⁰ ≈ 3.6 × 10³⁹ — на порядки больше количества атомов в человеческом теле.
Перебор всех возможных 20-символьных паролей на гипотетической ферме мощностью 10¹⁴ хешей в секунду занял бы 10²⁵ лет. Это в 10¹⁵ раз больше возраста Вселенной. Никакая классическая атака до 20-символьного пароля никогда не дойдёт.
Алгоритм Гровера на квантовом компьютере теоретически снижает эффективную защиту пароля вдвое — для 20 символов остаётся 65 бит эффективной стойкости. Это всё ещё больше, чем у 10-символьного классического пароля сегодня. Но если вас беспокоит post-quantum защита, 20 символов остаются безопасными даже после появления универсальных квантовых компьютеров.
16 → 20 символов: пространство паролей растёт в 10¹² раз. Эффект скорее теоретический — 16 символов уже непробиваемы. Но для критичных секретов запас стойкости оправдан психологически и страховочно.
20 → 24 символа: ещё ×10¹². В подавляющем большинстве случаев избыточно для пользовательских аккаунтов — берите 24, если речь об инфраструктурных секретах.
Ввод такого пароля вручную занимает 10–15 секунд и часто сопровождается ошибками. Используйте менеджер паролей с автозаполнением. Если речь о мастер-пароле менеджера (его вы вводите руками), рассмотрите альтернативу — парольную фразу из 6 слов EFF-словаря. Энтропия сопоставима (~77 бит), но фразу гораздо легче запомнить и вводить.
Для критичных аккаунтов 20-символьного пароля недостаточно без второго фактора. Обязательно подключите 2FA через приложение-аутентификатор или аппаратный ключ (YubiKey, Titan Key).