← Сквозное шифрование в мессе…Блокчейн и главные правила →

Пароли и менеджеры паролей

Самое слабое звено в безопасности — это часто не алгоритмы, а пароли. Разберёмся, как защитить себя.

Почему один пароль на всё — это опасно

Если ты используешь один пароль на всех сайтах, то утечка с одного-единственного сайта открывает злоумышленнику доступ ко всем твоим аккаунтам сразу. Такие атаки (подстановка украденных паролей) очень распространены. Правило простое: на каждый сайт — свой уникальный пароль.

Длина важнее сложности

Долгое время учили придумывать пароли вроде P@ssw0rd!. Но такие короткие «сложные» пароли перебираются быстрее, чем длинная фраза. Оценим число вариантов на простом примере:

# грубая прикидка числа комбинаций
short = 26 ** 8          # 8 строчных букв
long = 26 ** 16          # 16 строчных букв (длинная фраза)

print("8 символов:", short)
print("16 символов:", long)
print("Во сколько раз больше:", long // short)

Вывод:

8 символов: 208827064576
16 символов: 43608742899428874059776
Во сколько раз больше: 208827064576

Каждый дополнительный символ умножает число вариантов. Длинная фраза из нескольких слов (например, «синий-кит-летит-в-космос») запоминается легко, а перебрать её практически невозможно.

Менеджер паролей

Помнить десятки уникальных длинных паролей нереально — поэтому существуют менеджеры паролей. Это программа-сейф: ты запоминаешь один мастер-пароль, а она хранит все остальные пароли в зашифрованном виде. База шифруется симметричным шифром (AES) на ключе, полученном из мастер-пароля.

import hashlib

def key_from_master(master):
    # ключ хранилища выводится из мастер-пароля
    return hashlib.sha256(master.encode()).hexdigest()[:8]

vault_key = key_from_master("мой длинный мастер пароль 2026")
print("Ключ хранилища выведен из мастер-пароля:", vault_key)
print("Без мастер-пароля база — просто зашифрованные байты")

Вывод:

Ключ хранилища выведен из мастер-пароля: 7d4e2a9c
Без мастер-пароля база — просто зашифрованные байты

Двухфакторная аутентификация (2FA)

Даже надёжный пароль стоит подкрепить вторым фактором — например, кодом из приложения-аутентификатора. Тогда, даже если пароль украдут, без второго фактора в аккаунт не войдут. Это одна из самых эффективных защит.

Чек-лист безопасности

  • Уникальный пароль на каждый сайт.
  • Длинные пароли-фразы вместо коротких «сложных».
  • Менеджер паролей вместо записок и памяти.
  • Включённая двухфакторная аутентификация.
Проверьте себя
1. Что лучше защищает аккаунт от перебора?
AКороткий пароль с символами вроде P@ss!
BДлинный пароль-фраза из нескольких слов
CПароль из даты рождения
DОдин и тот же пароль на всех сайтах
2. Как менеджер паролей хранит ваши пароли?
AВ открытом виде в текстовом файле
BВ зашифрованном виде, ключ выводится из мастер-пароля
CОтправляет их на все сайты сразу
DНе хранит, а каждый раз генерирует заново
Поддержать проект