Безопасность паролей

Как придумать надёжный пароль и почему длина важнее сложности.

Что делает пароль надёжным

• Длина — главное. 16 символов лучше, чем 8 «сложных».
• Случайность — не используй слова, даты, имена.
• Уникальность — разный пароль для каждого сайта.

Генератор на этом сайте

На главной странице есть генератор паролей. Он создаёт случайный пароль прямо в браузере через crypto.getRandomValues (криптостойкий источник случайности) — пароль никуда не отправляется.

Усиленное хеширование (key stretching)

На сайте есть тумблер «Усиленное хеширование». Когда он включён, пароль хешируется не один раз, а 100 000 раз подряд. Это называется key stretching.

Зачем: если хакер захочет подобрать пароль перебором, ему придётся каждый вариант хешировать 100 000 раз — взлом замедляется в 100 000 раз. Так работают настоящие алгоритмы паролей (PBKDF2, bcrypt, argon2).

Что использовать в реальных проектах

SHA-256/SHA-512 хороши для общего хеширования. Но для хранения реальных паролей в продакшене лучше специальные медленные алгоритмы: bcrypt, scrypt или argon2 — они специально замедлены, чтобы перебор был дорогим.