calcal.ru
БЕЗ-281локально в браузереNIST 800-63Bревизия 2026-05-09

Калькулятор стойкости пароля

Анализ энтропии пароля и времени взлома при разных видах атак: онлайн через форму, оффлайн на GPU SHA-256, bcrypt cost=12, Argon2id. Пароль не покидает браузер.

⏱ ~10 сек · 4 модели атак · NIST 800-63B
Расчёт · БЕЗ-281|пароль
calcal.ru / kalkulyator-stojkosti-parolya-entropy-2026
Загрузка…
80 бит
Минимум NIST
128 бит
Для критичных систем
21 млрд/с
GPU RTX 4090
Argon2id
Лучший хеш OWASP

Энтропия — главная метрика

Энтропия по Шеннону измеряет неопределённость пароля. log₂(N^L), где N — алфавит, L — длина. Минимум 80 бит для долгосрочной защиты. С Argon2id даже 60-битный пароль продержится дни.

Виды атак

  • Онлайн brute-force — 1000 попыток/с (rate-limit). Защита: lockout после 5 ошибок.
  • Оффлайн SHA-256 — 21 млрд/с на GPU. Опасен только если хеши утекли.
  • Словарь — 1000 топ-паролей за миллисекунды. Защита: не использовать словарные.
  • Phishing — обход любого пароля через социальную инженерию. Защита: FIDO2.

Лучшие практики

Длинный (16+), уникальный для каждого сервиса, в менеджере паролей, с MFA. Passphrase из 4–6 случайных слов — лучший компромисс для запоминаемого пароля. FIDO2 (Yubikey, passkeys) — будущее аутентификации.

ИСТОЧНИКИ
  1. NIST SP 800-63B Digital Identity Guidelines. NIST. pages.nist.gov/800-63-3. 2024.
  2. OWASP Password Storage Cheat Sheet. OWASP. cheatsheetseries.owasp.org. 2024.
  3. Hashcat Benchmarks RTX 4090. hashcat.net. hashcat.net/forum. 2024.
ЧАСТЫЕ ВОПРОСЫ

Часто задаваемые вопросы

Энтропия по Шеннону — мера неопределённости пароля, измеряется в битах. Формула: log₂(N^L), где N — размер используемого алфавита (26 для строчных, 52 для строчных+заглавных, 95 для всех ASCII), L — длина. Например, пароль 8 символов из строчных букв = log₂(26^8) ≈ 38 бит. Тот же 8-символьный из всего ASCII = log₂(95^8) ≈ 53 бита. По NIST SP 800-63B рекомендуется минимум 80 бит для долгосрочной защиты, лучше 128+ для критичных систем.
Brute-force — атака перебором всех возможных комбинаций. Скорости в 2026 г.: онлайн (через web-форму с rate-limit) — 1000 попыток/с, оффлайн на GPU RTX 4090 для SHA-256 — 21 млрд/с. Для bcrypt cost=12 — всего 1000 попыток/с (медленный по дизайну), для Argon2id — ~100/с. Защита: (1) длина 16+; (2) смешанный алфавит; (3) уникальный пароль для каждого сервиса; (4) при возможности — passwordless (FIDO2/passkeys). Сервисы должны использовать медленный хеш (bcrypt cost ≥10, Argon2id, PBKDF2 600k+).
Минимум 12 символов из смешанного алфавита (NIST 2024). Лучше 16+. Идеальный вариант — passphrase из 4–6 случайных слов (Diceware): «Корова Берлин Мечта Гранит» = 4 × 12 = 48 бит энтропии, легко запомнить, сложно взломать. Альтернативно — 16-символьный случайный пароль из менеджера. Не используйте: даты, имена, номера телефонов, qwerty/123456, словарные слова с подстановкой ($→S, 0→O — все эти подстановки уже в словарях).
MD5 и SHA-256 — быстрые хеши (миллиарды/с на GPU), не предназначены для паролей. bcrypt и Argon2 — специальные парольные хеши с настраиваемой «стоимостью»: на каждое вычисление тратится 100–1000 мс. Это делает brute-force в миллион раз медленнее. По OWASP 2024: <strong>Argon2id</strong> — лучший выбор (мин. m=46 МБ, t=1, p=1). <strong>bcrypt</strong> с cost ≥10 — хороший fallback. <strong>PBKDF2</strong> — только если по compliance нельзя другое (NIST FIPS-allowed). MD5/SHA-1 — НЕЛЬЗЯ. SHA-256 без соли и без bcrypt-обёртки — НЕЛЬЗЯ для паролей.
2FA (two-factor) и MFA (multi-factor) — дополнительный фактор поверх пароля. Факторы: (1) знать (пароль), (2) иметь (телефон, токен), (3) быть (биометрия). С MFA даже взломанный пароль бесполезен без второго фактора. Способы по убыванию надёжности: (1) FIDO2 / Yubikey — лучший, не подвержены phishing; (2) TOTP (Google Authenticator, Aegis); (3) Push-нотификации (Microsoft Authenticator, Дакс); (4) SMS — НЕ безопасно (SIM-swap), но лучше чем ничего. Подключайте MFA где возможно: банк, e-mail, госуслуги, корпоративные системы.
Да, рекомендуется по NIST и OWASP. Главный риск — компрометация мастер-пароля, поэтому: (1) длинная passphrase (20+ символов); (2) MFA на менеджер. Лучшие варианты на 2026 г.: (1) <strong>KeePassXC</strong> — бесплатный, локальный, опенсорс; (2) <strong>Bitwarden</strong> — облачный с шифрованием на клиенте, есть бесплатный план; (3) <strong>1Password</strong> — премиум, удобно. Не рекомендую: встроенные браузерные хранилища (Chrome, Firefox) — менее защищены, привязаны к ОС. Хранить пароли в Telegram/заметках/Excel — опасно (нет шифрования, синхронизация в облако).
Лиана Арифметова
АВТОРverifiedред. calcal.ru

Лиана Арифметова

Создатель и главный редактор

Миссия: демократизировать сложные расчёты. Превратить страх перед числами в ясность и контроль. Девиз: «Любая повторяющаяся задача заслуживает своего калькулятора».

Mathematical Engineering · МФТИ · редактирует каталог с 2012 года

Был ли этот калькулятор полезен?

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

Инструмент справочный — не заменяет эксперта

Только для информационных целей. Все расчёты, результаты и данные, предоставляемые инструментом, носят исключительно ознакомительный и справочный характер. Они не являются профессиональной консультацией — медицинской, юридической, финансовой, инженерной или иной.

Точность результатов. Калькулятор основан на общепринятых формулах и методиках, однако фактические результаты могут отличаться в зависимости от индивидуальных условий, исходных данных и применяемых стандартов. Мы не гарантируем полноту, точность или актуальность приведённых расчётов.

Профессиональные решения — медицинские, финансовые, инженерные — должны приниматься только после консультации с квалифицированным специалистом. Не используйте автоматический расчёт как единственное основание для важных решений.

Ограничение ответственности. Авторы и разработчики сервиса не несут ответственности за прямой или косвенный ущерб, возникший из-за использования данных расчётов. Пользователь принимает на себя всю ответственность за интерпретацию результатов.

СМЕЖНЫЕ ИНСТРУМЕНТЫ

Похожие калькуляторы

15

Генератор паролей (безопасный)

Создать надежный пароль онлайн. Настройка длины, символов. Оценка сложности и энтропии.

/password-generator

Калькулятор срока действия SSL сертификата

Проверка срока действия SSL/TLS сертификата. Рассчитайте дни до истечения, узнайте статус и получите рекомендации по продлению.

/ssl-certificate-calculator

Калькулятор SSL/TLS

Расчёты SSL/TLS: шифронаборы, сертификаты, производительность, HSTS, совместимость, стоимость

/ssl-tls-calculator

Калькулятор шифрования и криптографии

Расчёты криптографии: стойкость пароля, AES, RSA/ECC, хеширование, ключи, квантовая угроза

/encryption-calculator

Генератор хешей MD5 и SHA (онлайн)

Создать хеш MD5, SHA-1, SHA-256, SHA-512 онлайн. Генератор контрольных сумм для текста и паролей.

/hash-generator

Калькулятор камер видеонаблюдения

Расчёт системы видеонаблюдения: количество камер, хранилище, стоимость монтажа.

/security-camera-calculator

JWT декодер

Декодирование и анализ JWT-токенов онлайн. Просмотр header, payload и signature с русскоязычными пояснениями. Проверка срока действия токена.

/jwt-decoder

Чекер SSL-сертификата сайта

Анализ SSL-сертификата: декодирование PEM, типы сертификатов (DV/OV/EV), чек-лист безопасности HTTPS.

/checker-ssl-sertifikata

Чекер HTTP-заголовков сайта

Анализ заголовков безопасности HTTP: CSP, HSTS, X-Frame-Options. Визуальный конструктор CSP, рекомендации.

/checker-http-zagolovkov

Объединить PDF онлайн — без загрузки на сервер

Склейка PDF в браузере через pdf-lib. До 20 файлов, до 50 МБ каждый. Локально, без отправки на сервер (152-ФЗ).

/obyedinit-pdf-onlajn-besplatno

Сжать PDF онлайн — уменьшить размер локально

Сжатие PDF в браузере без потери качества. 3 уровня (object streams, удаление метаданных). До 50 МБ. Через pdf-lib, локально.

/szhat-pdf-onlajn-umenshit-razmer

Разделить PDF на страницы — извлечь нужные онлайн

Разделение PDF на страницы локально: каждая страница отдельным файлом, диапазон или группами. Через pdf-lib, без отправки на сервер.

/razdelit-pdf-na-stranicy-onlajn

JPG в PDF — конвертер с объединением

Конвертация JPG/PNG в PDF в браузере: до 30 картинок в один документ. Форматы A4/A3/Letter или подгонка под изображение.

/jpg-v-pdf-konverter

Повернуть страницы PDF онлайн

Поворот всех или указанных страниц PDF на 90/180/270° за миллисекунды. Lossless. Через pdf-lib, без отправки на сервер.

/povernut-pdf-stranitsy-onlajn

Водяной знак на PDF онлайн (кириллица)

Нанесение текстового знака («КОНФИДЕНЦИАЛЬНО», «ЧЕРНОВИК») на все страницы PDF. Поддержка русского текста через Canvas. 4 положения, регулировка прозрачности.

/dobavit-vodyanoj-znak-na-pdf
ТЕГИ:#IT и разработка#Безопасность#IT#программирование#разработка#технологии#стойкость пароля#энтропия пароля#время взлома пароля#brute-force GPU#bcrypt cost 12#Argon2id#NIST SP 800-63B#OWASP пароли#hashcat RTX 4090#passphrase Diceware#FIDO2 passkeys#KeePassXC#Bitwarden#1Password#TOTP MFA#phishing защита#калькулятор#бесплатно#онлайн#расчёт