Генератор паролей

Что выдаёт Генератор паролей

Генератор создаёт крепкие случайные пароли, готовые к вставке в любой аккаунт или менеджер паролей. Нажми Generate — получишь что-то вроде:

Каждый пароль по умолчанию 16 символов — достаточно длинно, чтобы устоять перед перебором, и достаточно коротко, чтобы при необходимости ввести руками. Длина, классы символов (заглавные, строчные, цифры, спецсимволы) и количество — всё настраивается. Генератор работает целиком в браузере; ничего не уходит в сеть, пароли нигде не сохраняются.

Почему генератор, а не «придумать самому»

Люди предсказуемо плохи в случайности. Анализы утёкших баз паролей раз за разом показывают одни и те же шаблоны: годы рождения, имена, клавиатурные последовательности (qwerty, 12345), словарные слова с цифрой и восклицательным знаком. Выберешь «случайную» строку сам — велик шанс, что атакующий уже видел этот шаблон.

Генератор решает три задачи одновременно:

• Настоящая случайность — вывод идёт из криптографической случайности, угадать источник нельзя
• Соответствие классам — большинство сервисов требует хотя бы одну заглавную, цифру и спецсимвол; генератор это обеспечивает автоматически
• Скорость — свежий пароль за секунду, сразу в менеджер паролей, без соблазна использовать повторно

Повторное использование — большая проблема, чем кажется. Около 65% пользователей интернета признаются, что используют один и тот же пароль на нескольких сайтах. Стоит одному сайту утечь — атакующие прогоняют те же учётки по всем крупным сервисам. Credential stuffing составляет большую часть автоматических атак на захват аккаунтов. Генератор убирает трение, из-за которого хочется повторять пароли.

Как работает генератор

Под капотом используется crypto.getRandomValues() — криптографически стойкий генератор случайных чисел браузера. Это принципиально другое, чем Math.random(), который детерминирован и не подходит для безопасности.

Генерация идёт посимвольно: алгоритм равномерно случайно выбирает символ из заданного алфавита, применяет ограничения (должен быть спецсимвол, должна быть цифра) и складывает результат. Запросишь новый пароль — он сгенерируется с нуля; между последовательными выдачами нет связи.

Важная деталь: по умолчанию генератор гарантирует, что в пароле есть хотя бы один символ из каждого включённого класса. Без этой гарантии 16-символьный пароль из всех 94 ASCII-символов иногда не содержит спецсимвола, и сайт его отказывается принимать.

Настройка вывода

Дефолты подходят для большинства случаев, но каждая опция может пригодиться:

Для большинства сайтов 16 символов со всеми четырьмя классами — достаточно. Математика: 16 символов × ~94 возможных значения = около 10³¹ комбинаций. Современная GPU-ферма на ~100 миллиардов попыток в секунду всё равно потратила бы триллионы лет.

Для мастер-паролей менеджеров, фраз seed крипто-кошельков и подобных высокорисковых учёток разумно поднять до 20–24 символов. Запомнить один очень длинный пароль (он у тебя один) куда дешевле, чем пережить взлом.

Лучшие практики и нюансы

Сильный пароль необходим, но недостаточен. Генератор делает «случайно и крепко»; полная картина — это ещё несколько частей:

• По одному уникальному паролю на сайт. Повтор — главная причина компрометации, даже когда сами пароли крепкие.
• Используй менеджер паролей. 1Password, Bitwarden, KeePass — любой. Смысл генератора в том, что вывод запоминать не нужно — менеджер запомнит за тебя.
• Включи двухфакторную аутентификацию. Даже утёкший пароль не даст войти, если 2FA включена. Приложения-аутентификаторы лучше SMS там, где поддерживается.
• Не верь правилам сложности. Запоминаемые, но непредсказуемые парольные фразы (четыре случайных слова из словаря, ~25 символов) подойдут для тех немногих паролей, которые нужно реально набирать — вход в ноутбук, код телефона. Сгенерированные случайные строки — для всего остального.
• Не пиши пароли в обычные текстовые файлы, на стикерах или в незашифрованных заметках. Менеджер паролей именно для этого.

Ещё один момент: не верь индикаторам «силы пароля» на формах регистрации. Большинство из них примитивны — они хвалят «P@ssw0rd!» за наличие нужных классов символов, хотя это один из самых часто взламываемых паролей в истории. По-настоящему крепкий пароль — длинный и непредсказуемый, а индикатор может проверить только первую половину. Вывод Генератора непредсказуем по построению, так что любой такой пароль легко пройдёт любой индикатор.

Про парольные фразы: строка из четырёх-пяти случайных слов (correcthorsebatterystaple — известный пример) может быть и запоминаемой, и крепкой — энтропия порядка 50–70 бит. Они полезны для тех немногих паролей, которые нужно держать в голове: мастер-пароль менеджера, вход в ноутбук, код телефона. Для всего остального случайные строки из генератора короче, лучше совместимы с требованиями сайтов и так же надёжны. Используй оба: фразы — для тех, что помнишь, генерируемые строки — для тех сотен, что не помнишь.

Связанные генераторы

Собираешь набор для безопасности или тестовые фикстуры? Эти инструменты Microapp подойдут рядом:

• UUID-генератор — для уникальных идентификаторов в базах, API-запросах и сессиях. По умолчанию v4 со случайной частью; подходит для криптографии.
• Генератор случайных чисел — когда нужны числа в диапазоне (броски кубика, лотерея, размеры выборки), а не строки.
• MD5-генератор и SHA-256 генератор — для хеширования паролей, файлов или строк (важно: пользовательские пароли не храни в виде сырого MD5/SHA-256 — используй bcrypt или argon2 на сервере).
• Генератор email — почты-заглушки для тестов. Используй их вместе с выводом генератора паролей для полных тестовых данных.

Частые вопросы

Эти пароли реально безопасны для настоящих аккаунтов?

Да. Генератор использует crypto.getRandomValues() — тот же стойкий RNG, что генерирует сессионные токены и ключи шифрования в боевых приложениях. У 16-символьного пароля около 10³¹ вариантов — намного больше, чем под силу нынешнему железу. Для обычных аккаунтов, мастер-паролей менеджеров и фраз крипто-кошельков вывод подходит.

Отправляется ли сгенерированный пароль на сервер?

Нет. Генерация целиком в браузере на JavaScript. Ничего не пересекает сеть. У сервера Microapp нет записи ни об одном сгенерированном пароле.

Если дважды нажать с одними настройками, получу тот же пароль?

Нет — в этом и смысл. Каждый клик — свежая случайная выборка. Между последовательными выдачами нет связи, даже при одинаковых настройках.

Можно ли использовать один и тот же сгенерированный пароль на нескольких сайтах?

Никогда. Повторное использование — главная причина credential-stuffing атак (когда утёкшие данные с одного сайта пробуют на других). Генерируй по одному на аккаунт и храни в менеджере.

Какие настройки самые сильные?

Для обычных аккаунтов 16 символов со всеми четырьмя классами — за глаза. Для мастер-паролей, ключей шифрования и всего, что катастрофично потерять, — 20–24 символа со всеми включёнными классами. Дальше прирост безопасности почти исчезает.

Почему банк не принимает мой пароль?

У части сайтов наследие — они отвергают конкретные спецсимволы (часто $, %, &) или ограничивают длину до 12. Отключи спецсимволы и подними длину до 20+, чтобы компенсировать. Это даст примерно ту же крепость только на буквах и цифрах.

А что про парольные фразы — четыре случайных слова?

Парольные фразы вроде correcthorsebatterystaple — хороши для тех немногих паролей, которые надо помнить наизусть: вход в ноутбук, мастер-пароль менеджера, код телефона. Для всего остального случайная строка из этого генератора короче, лучше совместима с требованиями сайтов и так же сильна. Используй оба — нужный инструмент для нужной задачи.

Почему одни пароли набираются легче других?

Чистая случайность. Генератор берёт символы равномерно, поэтому отдельный пароль может случайно содержать похожие символы (много O и 0) или неудобно переключаться между регистрами. Если будешь набирать руками, а не копировать — сгенерируй несколько и выбери удобный. Или включи режим «избегать похожих символов», чтобы убрать самые каверзные комбинации.