Создаем незабываемый пароль

Информационный поток с каждым днем не уменьшается, и в 2025 году в нашей голове остается все меньше места для таких вещей, как пароль к той самой почте, которую вы завели в далеком 2020, чтобы зарегистрировать маму на маркетплейсе. Во Всемирный день пароля, выпадающий в этом году на 1 мая, День труда, предлагаем потрудиться и объединиться в борьбе против забывчивости, слабых паролей и хакеров.

Как уже не раз подтверждали наши эксперты, целевая компрометация пароля — лишь вопрос времени и средств, причем зачастую — очень короткого времени и копеечных средств. И наша задача — максимально усложнить этот процесс, напрочь отбив желание у взломщиков заниматься именно вашими данными.

В прошлогоднем исследовании мы выяснили, что 59% всех паролей мира могут быть взломаны менее чем за час при помощи умных алгоритмов, требующих мощной видеокарты вроде RTX 4090 или дешевой аренды облачных вычислительных мощностей. Сейчас мы проводим второй этап исследования и скоро расскажем, изменилась ли ситуация за год к лучшему или нет, так что подписывайтесь на наш блог или телеграм-канал, чтобы первыми узнать о результатах.

Сегодня мы не просто расскажем о наиболее безопасных методах аутентификации и способах создания сложных паролей, но и обсудим техники их запоминания, а также ответим на вопрос, почему использовать менеджер паролей в 2025 году — действительно хорошая идея.

Как безопаснее логиниться в 2025 году

Сейчас у нас достаточно вариантов, с помощью которых можно проходить аутентификацию в сервисах и на веб-сайтах:

• классическая связка логин-пароль;
• аутентификация с помощью стороннего сервиса (VK, Яндекс, Apple, Google и т. д.);
• двухфакторная аутентификация с подтверждением:
  • через SMS с одноразовым кодом;
  • через приложение-аутентификатор (например, Kaspersky Password Manager, Google Authenticator или Microsoft Authenticator);
  • с применением аппаратного ключа (например, Flipper, YubiKey или USB-токена);
• использование passkey и биометрической аутентификации.

Разумеется, каждый из этих способов можно как усилить, например создать сложный пароль из 20+ случайных символов, так и ослабить, допустим, оставляя токен в USB-порту, а сам компьютер — без присмотра в публичных местах. И потому время «классических» паролей еще не прошло. Поэтому давайте разбираться, как мы можем усилить наши текущие позиции: придумать и запомнить незабываемый пароль.

Как запомнить сложный пароль

Перед тем как ответить на этот вопрос, давайте вспомним прописные истины о паролях на сегодняшний день.

• Рекомендуемая длина — 12–16 символов.
• В пароле нужно использовать символы различных категорий (цифры, строчные и прописные буквы, а также спецсимволы).
• Пароль не должен содержать личной информации, легко связываемой с пользователем.
• Пароль должен быть уникальным для каждого сервиса.

Повторили? Хорошо. А теперь к главной проблеме: сложный пароль легко забыть, а простой — легко взломать. Чтобы помочь вам найти здесь баланс, мы собрали воедино несколько известных, но от того не менее эффективных правил создания запоминающихся паролей.

Простой уровень

Возьмите последовательность не связанных друг с другом слов, вроде той, что используется в seed-фразах при регистрации криптокошельков. И добавьте в конце пару цифр и спецсимволов, которые как-то близки вам, но не будут легко угаданы злоумышленником.

Например: DryLandStandGift2015;)

Короткие слова проще запомнить, а число не должно быть годом вашего рождения или ваших близких — это может быть любая памятная для вас комбинация, например год первого визита в Disneyland, номер первого автомобиля или день вашей свадьбы

Сложный уровень

Вспомните любимую строчку из песни или какую-нибудь знаковую фразу из фильма и замените в ней, например, каждую вторую или третью букву спецсимволами, введенными не по порядку расположения на клавиатуре. Удобнее использовать легкодоступные спецсимволы — те, которые при вводе с телефонной клавиатуры находятся на экране ввода цифр. Так пароль получится сильным, да и вводить его можно довольно-таки быстро. Вы упростите себе жизнь и повысите скорость ввода.

Например, если вы фанат поттерианы, то подойдет заклинание Avada Kedavra (Авада Кедавра). Теперь преобразуем его по нашему правилу и щедро сдобрим заглавными буквами: A!ad@Kd$vr%. На первый взгляд кажется, что такой пароль невозможно запомнить, но стоит ввести его пару-тройку раз, как ваши пальцы сами потянутся к нужным буквам и спецсимволам.

А если доверить генерацию пароля нейросетям?

В последнее время с распространением ChatGPT и прочих больших языковых моделей (LLM) пользователи стали применять их для генерации паролей. Привлекательность этого подхода очевидна. Вместо того чтобы мучиться с созданием надежного пароля, пользователи могут просто попросить ИИ «сгенерировать надежный пароль» и получить мгновенный результат, да еще и попросить сделать его мнемонически запоминаемым.

Увы, опасность использования ИИ в качестве генератора «надежного» пароля в том, что ИИ создает комбинации символов, которые лишь кажутся случайными для человеческого глаза. Но внешний вид обманчив. Пароли, сгенерированные ИИ, не такие надежные, какими кажутся на первый взгляд. Руководитель направления исследования данных «Лаборатории Касперского» Алексей Антонов, проводивший и предыдущее исследование стойкости паролей ко взлому, сгенерировал по тысячи паролей с помощью ChatGPT, Llama и DeepSeek.

Выяснилось, что все модели знают, что хороший пароль состоит как минимум из дюжины символов, включая заглавные и строчные буквы, цифры и символы. Но DeepSeek и Llama порой генерировали пароли, состоящие из словарных слов, в которых вместо некоторых букв использовались похожие цифры или символы, например, B@n@n@7 или S1mP1eL1on. Забавно, что обе эти модели неровно дышат к паролю password: P@ssw0rd, P@ssw0rd!23, P@ssw0rd1, P@ssw0rdV.

Конечно, такие пароли небезопасны, ведь трюк с заменой букв хорошо известен умным алгоритмам подбора пароля. У ChatGPT дела с генерацией пароля лучше:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• P@zq^XWLY#v9
• v#@LqYXW^9pz

Кажется, что это полностью случайный набор букв, спецсимволов и цифр. Однако, если присмотреться, то в них легко можно отследить признаки последовательности. Одни символы, например 9, W, p, x, L, используются чаще других. Мы составили гистограмму частотности символов во всех сгенерированных паролях и вот что узнали. У ChatGPT любимые буквы — x и p, Llama обожает символ # и тоже любит p, а вот DeepSeek больше всего фанатеет от t и w. А вот идеальный генератор случайных чисел не предпочел бы никакую букву, и все символы встречались бы примерно одинаковое количество раз — лайк.

Частота использования символов разными языковыми моделями при генерации тысячи паролей. Обратите внимание, что практически в каждом пароле от ChatGPT будут буквы x, p, I, L.

Кроме того, LLM, как и люди, часто пренебрегают вставкой спецсимволов или цифр в пароль. Это обнаружилось в 26% паролей, сгенерированных ChatGPT, 32% — у Llama и 29% — у DeepSeek.

Зная подобные зависимости, киберпреступники могут значительно ускорить подбор паролей, сгенерированных ИИ. Проверив всю выборку сгенерированных ИИ паролей тем же алгоритмом, что и в предыдущем исследовании, мы обнаружили печальную картину: 88% паролей, сгенерированных DeepSeek, и 87% — Llama, оказались недостаточно надежны. ChatGPT в нашем тесте показал лучшие результаты — у него ненадежными оказалась лишь треть (33%) паролей.

Увы, LLM не создают настоящее случайное распределение, и результаты их работы предсказуемы. Кроме того, они запросто могут сгенерировать вам такой же пароль, как и другим пользователям. Как быть?

Комбинированный подход

Мы рекомендуем генерировать пароли либо с использованием нашего сервиса Password Checker, либо, что еще лучше, — c помощью Kaspersky Password Manager. Они применяют криптографически безопасные генераторы для создания паролей без обнаруживаемых закономерностей, что гарантирует настоящую случайность. А сгенерировав надежный пароль, уже к нему можно придумать мнемоническую фразу для запоминания.

Например, генератор паролей выдал вам следующую комбинацию на эльфийском: +@5fO8pfhKySMng$

Тогда фраза, которая поможет запомнить пароль, может выглядеть так: Плюс собака (+@), пять маленьких фламинго свысока осматривают восемь пингвинят (5fO8p), филин хохочет (pfh), большой крокодил улыбается (Ky), Скрудж Макдак ныряет головой в доллары (SMng$).

Тут поможет только мнемоника, поэтому надеемся, вы любите абстрактно-абсурдные образы. Такую подсказку к паролю можно даже нарисовать, ведь понять по ней что-то будет непросто любому, кроме вас. Но таким образом легко запомнить один пароль. Но что делать, если их сотни?

Может, стоит хранить пароли в браузере?

Нет, не стоит. В ответ на проблему запоминания паролей разработчики браузеров предлагают возможности генерации и хранения паролей прямо в браузерах. Это, конечно, очень удобно — браузер сам подставляет пароль куда надо. Но увы, хранить пароли в браузере крайне небезопасно, это не парольный менеджер.

Дело в том, что мошенники давно научились вытаскивать сохраненные в браузерах пароли за считаные секунды с помощью простейших скриптов, а механизм облачной синхронизации браузеров на разных устройствах, например через аккаунт Google, оказывает своему хозяину медвежью услугу: достаточно взломать или обманом выманить пароль от этого аккаунта — и все остальные пароли как на ладони.

Используйте парольный менеджер

В настоящих парольных менеджерах все пароли хранятся в зашифрованном хранилище. Например, в Kaspersky Password Manager все ваши пароли лежат в хранилище, зашифрованном с применением алгоритма симметричного шифрования AES-256, используемом АНБ США для хранения государственных тайн. Ключом шифрования выступает мастер-пароль, который знаете только вы (даже мы не знаем). При каждом обращении к Kaspersky Password Manager программа запрашивает этот пароль и расшифровывает хранилище на время текущей сессии. В этом же зашифрованном хранилище вы можете хранить и другие важные данные: номера банковских карт, сканы документов, заметки.

Менеджер паролей дает и другие преимущества:

• его можно использовать для генерации уникальных и по-настоящему случайных парольных комбинаций;
• он умеет подставлять ваши пароли как на компьютерах, так и на мобильных устройствах;
• есть расширения для популярных браузеров, приложения для обеих мобильных платформ и систем на базе macOS и Windows;
• база данных паролей синхронизируется между всеми вашими устройствами в зашифрованном виде;
• может генерировать 2FA-коды для всех ваших сервисов вместо Google Authenticator;
• проверяет ваши пароли на утечки и компрометацию и предупреждает, если пароль надо заменить.

С Kaspersky Password Manager вам останется придумать и запомнить (с использованием описанных выше методов) только один, главный, пароль: с его помощью будет зашифровано хранилище менеджера паролей. Но учтите, что этот пароль вам придется хорошенько вызубрить, ведь если он будет утерян, вам придется создавать хранилище паролей заново — никто, даже специалист из «Лаборатории Касперского», не сможет получить доступ к зашифрованному вами хранилищу; ваш мастер-пароль нам тоже неизвестен.

Подведем итог

Как же правильно обращаться с паролями в 2025 году?

• Придумайте безопасный мастер-пароль с использованием описанных выше правил и проверьте его криптостойкость с помощью нашего сервиса Password Checker.
• Не можете придумать стойкий мастер-пароль? Создайте его там же и запомните с помощью мнемонических правил.
• Установите Kaspersky Password Manager на все свои устройства. С ним нужно будет запомнить только мастер-пароль, остальные пароли он запомнит за вас.
• Где возможно, используйте техники passkey и разные способы двухфакторной аутентификации, лучше всего — через приложение. В синергии надежность защиты от неавторизованного доступа повышается кратно.
• И главное — оставайтесь в безопасности вместе с блогом Kaspersky Daily.

Читайте эти посты и придумывайте крутые пароли вместе с нами:

• Как создавать сильные пароли и где их хранить
• Как хакеры могут взломать пароль за час
• Пароли в браузере против менеджера паролей
• Не вводите свой пароль где попало
• Новый дизайн Kaspersky Password Manager