Пора внедрять новые критерии оценки сложности паролей

Кажется, пора внедрять новые критерии оценки сложности пароля (да и, в целом, случайных последовательностей символов)... Все мы привыкли к стандартной оценке сложности пароля - хороший пароль должен состоять из разных строчных и заглавных букв, цифр и спецсимволов. В идеале, он не должен содержать значимых слов и иметь длину от 12-15 символов. Лучше - больше.

Если уходить в сторону теории, то уровень надежности пароля обычно измеряется в битах энтропии , что примерно соответствует количеству попыток, необходимых для взлома пароля методом перебора. Например, для взлома пароля с энтропией всего 20 бит потребуется около 2²⁰ попыток, или примерно один миллион попыток, что может быть сделано за считанные секунды¹. Однако для взлома пароля с энтропией 100 бит потребуется около 2¹⁰⁰ попыток — 31-значное число, на взлом которого уйдут триллионы лет.

Но не стоит забывать, что мы с вами живём в 2026 году. И это время имеет свои особенности. Вот, например, насколько надёжным вы считаете пароль G7$kL9#mQ2&xP4!w ? Думаю, любая система проверки сложности паролей оценила бы его, как достаточно надёжный. Но есть одна проблема - когда у Claude просили сгенерировать пароль (по сути, эта новость - краткий пересказ статьи по ссылке, если хотите углубиться в тему - советую ознакомиться с оригиналом), в 18 случаях из 50 он выдавал именно этот вариант.

И это только самая очевидная проблема. Ведь все остальные варианты паролей, предлагаемые нейронками, были слеплены по одному шаблону. И даже символы на одинаковых местах часто повторялись. То есть, ни о какой случайности речи не идёт - эти шаблоны уже сейчас можно добавлять в программы для брута паролей.

Вот, например, варианты паролей, предложенные ChatGPT за 50 генераций. Разбирайте, пользуйтесь