🔐

Генератор паролей онлайн

Сгенерировать надёжный пароль онлайн — буквенно-цифровой, со спецсимволами, длиной от 8 до 32 символов, бесплатно и без регистрации

Длина пароля

символов

416324864

Прописные A-ZСтрочные a-zЦифры 0-9Символы !@#$%

Дополнительные опции

Исключить похожиеI l 1 O 0упрощает чтение и ручной вводИсключить неоднозначные символы{ } [ ] ( ) / \для систем, где такие символы запрещены

Генератор паролей онлайн — надёжно и в браузере

Генератор создаёт криптографически стойкие пароли через `window.crypto.getRandomValues` — стандарт Web Crypto API, тот же, что используют менеджеры паролей 1Password и Bitwarden. Случайные числа берутся из системного генератора энтропии (ОС), а не из псевдослучайной функции вроде `Math.random()`. Результат не передаётся на сервер: всё считается в браузере, при закрытии вкладки следов не остаётся.

По умолчанию длина 16 символов с прописными, строчными буквами, цифрами и спецсимволами — это даёт ~104 бита энтропии, что считается «очень надёжным» (взлом GPU-кластером заняло бы триллионы лет). Длину можно увеличить до 64 символов, отдельно включить/выключить типы символов, исключить визуально похожие (I, l, 1, O, 0) и неоднозначные ({}, [], (), /, \) — для случаев, когда пароль придётся набирать вручную или система не принимает спецсимволы.

Алгоритм: Web Crypto API (`crypto.getRandomValues`) с rejection sampling — без modulo bias
Длина от 4 до 64 символов (рекомендуется 16+)
Все 4 типа символов: A-Z, a-z, 0-9, спецсимволы
Гарантия минимум одного символа каждой выбранной категории
Исключение похожих (I, l, 1, O, 0) и неоднозначных ({, }, [, ], (, ), /, \) символов
Оценка энтропии в битах + время взлома GPU-кластером
Все 5 паролей по умолчанию скрыты, переключатель видимости отдельно
Кнопка «Ещё пароль» — добавляет к списку без сброса
Полностью клиентский расчёт, без отправки на сервер

Что такое энтропия пароля и почему она важнее длины

Энтропия — это мера непредсказуемости пароля в битах. Формула: бит_энтропии = длина × log₂(размер_алфавита). Пароль из 8 символов только из строчных букв (алфавит 26): 8 × log₂(26) ≈ 37,6 бит — слабо. Пароль из 8 символов всех 4 типов (алфавит ~94): 8 × log₂(94) ≈ 52,4 бит — уже средне. 16-символьный пароль всех 4 типов: 16 × 6,55 ≈ 104,8 бит — очень надёжно.

Каждый дополнительный бит энтропии удваивает время взлома. Между 80 и 81 битом — разница в 2 раза, между 80 и 100 — в миллион раз. Современный GPU-кластер перебирает ~ 10¹⁰ хешей в секунду на простой MD5/SHA-1. Чтобы пароль был «вечным» — нужно от 100 бит энтропии. 60-70 бит — хорошо для большинства задач, 40-50 — взламывается за дни-недели.

Длина важнее «сложности». 20-символьный пароль из одних строчных букв (94 бит) надёжнее 8-символьного с символами (52 бит) в 2 миллиона раз. Поэтому современная рекомендация NIST 2024: минимум 12 символов, идеально 16-20, без обязательного «спецсимвол + цифра + заглавная».

Как алгоритм гарантирует безопасность

`crypto.getRandomValues(new Uint32Array(1))` — это вызов системного криптографического генератора псевдослучайных чисел (CSPRNG). На Linux — `/dev/urandom`, на Windows — `BCryptGenRandom`, на macOS — `arc4random`. Все они собирают энтропию из аппаратных источников (счётчики прерываний, тайминги клавиатуры/мыши, температурные шумы). Это не «генератор случайных», а «генератор настоящих случайных», отличающийся от `Math.random()` тем, что результаты невозможно предсказать даже зная предыдущие.

Rejection sampling против modulo bias: наивная формула `Math.floor(rand × N)` создаёт незначительное смещение, если N не делит 2³² нацело. Калькулятор использует цикл «генерировать → если ≥ предельного значения, повторить» — это даёт идеально равномерное распределение по символам алфавита.

Гарантия минимум одного символа каждой выбранной категории: если вы выбрали A-Z, a-z, 0-9, символы — пароль точно содержит хотя бы один символ каждого типа. Без этой гарантии случайный 8-символьный пароль из всех 4 алфавитов с вероятностью ~6 % выйдет совсем без цифр (это снижает энтропию и проваливает регистрацию на сайтах с требованиями к составу).

Как правильно хранить и использовать пароли

Уникальный пароль для каждого сервиса. Утечки баз данных происходят регулярно (LinkedIn 2012, Yahoo 2013-14, Equifax 2017, Facebook 2019, Twitter 2022). Если один пароль скомпрометирован — все аккаунты с ним под угрозой. Менеджер паролей (Bitwarden бесплатно, 1Password, KeePass, Apple iCloud Keychain, Google Password Manager) делает это автоматически.

Двухфакторная аутентификация (2FA) на критичных аккаунтах — почта, банки, госуслуги. Лучший вариант — TOTP-приложение (Google Authenticator, Authy, Aegis). SMS как 2FA — лучше, чем ничего, но уязвим к SIM-swap (подмена SIM-карты социальной инженерией). У хорошо защищённых аккаунтов 2FA не отключают «временно».

Не вводите пароли по ссылкам из писем — это главный канал фишинга. Открывайте сайт сами, через закладку или поиск. Не используйте один и тот же пароль для рабочей и личной почты. Не передавайте пароли по почте/мессенджеру даже близким — для совместного доступа есть «семейные хранилища» в менеджерах.

Проверяйте свои email-адреса на утечки через haveibeenpwned.com — там собрана база из всех известных утечек. Если адрес «засветился» — меняйте пароли везде, где он использовался.

Парольная фраза vs случайный пароль

Парольная фраза (passphrase) — четыре-шесть случайных слов из словаря, например «правильный-лошадь-батарея-скрепка». Метод EFF (Electronic Frontier Foundation) выбрасывает 6 кубиков и выбирает слова по числам. 5 слов из словаря в 7 776 слов = log₂(7776⁵) ≈ 65 бит энтропии — крепкий пароль.

Плюс парольных фраз: легче запомнить, чем `Hk9$pL2qWm@4`. Минус: длиннее в символах, не везде принимается (некоторые сайты режут пароль до 16 символов).

Что лучше: для master-пароля менеджера паролей (надо помнить наизусть) — парольная фраза. Для всех остальных аккаунтов (хранятся в менеджере, не вводятся руками) — случайный пароль 16+ символов, как из этого калькулятора.

🔒

Пример: банк требует пароль 12+ символов с цифрами и символами

Открыли счёт в банке, форма требует пароль 12-32 символа, обязательно цифры, заглавные и спецсимволы. Что генерировать?

Длина 16 — больше требуемого минимума, запас прочности

Все 4 типа включены: A-Z, a-z, 0-9, спецсимволы

Энтропия: 16 × log₂(94) ≈ 104,8 бит → «очень надёжный»

Скорость взлома GPU-кластером 10¹⁰ хешей/сек: ~ 10¹⁵ лет (триллион)

Сохранить в менеджере паролей под именем «Банк Тинькофф основной»

Включить 2FA через приложение, отключить SMS как резервный канал

✅

Пароль вроде `Xk8#mP4qLn2$Rt9Y` — невозможно угадать, невозможно подобрать. Менеджер паролей будет автозаполнять при входе. Через 2FA даже утечка базы банка не даст злоумышленнику доступ — нужен ещё одноразовый код.

🧠

Знаете ли вы?

🔓

Самый частый пароль 2024 года — «123456». На 2-м месте «admin», на 3-м — «password». Эти три пароля используются в 4 % всех учётных записей в утечках. Их подбор занимает 0 секунд: они в первой строке любого словаря.

⚡

Современный GPU-кластер RTX 4090 перебирает 164 миллиарда MD5-хешей в секунду. 8-символьный пароль только из строчных букв (208 миллиардов комбинаций) ломается за ~2 секунды. С символами — за 12 минут. С 16 символами — миллиарды лет.

📊

База утечек haveibeenpwned.com содержит более 14 миллиардов скомпрометированных учётных данных из 750+ утечек. Шанс, что хотя бы один ваш email есть в утечке — ~ 70 %, если возрасту аккаунта больше 5 лет.

🎯

Знаменитый комикс xkcd «правильный-лошадь-батарея-скрепка» (2011) изменил мнение индустрии о паролях. До него рекомендовали `Tr0ub4dor&3` (28 бит энтропии). После — 4 случайных слова (44+ бит) которые легче помнить и сложнее подобрать.

📜

NIST в 2017 году отменил обязательную смену паролей каждые 30-90 дней. Принудительная смена приводит к худшим паролям (пользователи прибавляют «1», «2», «3» в конце). Сейчас рекомендация: менять пароль только при подозрении на компрометацию.

🔐

Apple iCloud, Google и Microsoft в 2023-2024 годах внедрили passkeys (FIDO2 / WebAuthn) — биометрическая аутентификация без пароля. Это будущее: уже сейчас можно входить в десятки сервисов через Face ID / Windows Hello без ввода пароля совсем.

Энтропия пароля по длине и составу (бит)

Длина	Только цифры	Только буквы	Буквы + цифры	Все 4 типа
6	20	28	36	39
8	27	37	48	52
10	33	47	60	66
12	40	56	71	79
14	46	66	83	92
16	53	75	95	105
20	66	94	119	131
24	80	113	143	157

Время взлома GPU-кластером (10¹⁰ хешей/сек)

Энтропия	Время взлома	Категория
< 30 бит	мгновенно	критически слабый
30-40 бит	секунды	очень слабый
40-50 бит	часы-дни	слабый
50-60 бит	недели-месяцы	сомнительный
60-80 бит	годы-десятилетия	средний
80-100 бит	тысячи-миллионы лет	надёжный
100+ бит	миллиарды лет	очень надёжный

⚠️

Никогда не пересылайте сгенерированный пароль

Закройте вкладку — пароль исчезнет. Перед закрытием обязательно сохраните в менеджере паролей (Bitwarden, 1Password, KeePass) или хотя бы запишите на бумаге в безопасном месте. Не отправляйте пароли в Telegram, WhatsApp, email или другие мессенджеры — даже зашифрованные. Если нужно поделиться доступом — используйте «семейные хранилища» в менеджере паролей.

Как пользоваться генератором

Выберите длину пароля

От 4 до 64 символов. Рекомендуется 16+. Можно вводить число или двигать слайдер. По умолчанию 16.

Отметьте типы символов

Прописные, строчные, цифры, спецсимволы. Все 4 типа включены по умолчанию. Гарантируется минимум один символ каждого выбранного типа.

При необходимости — дополнительные опции

Раскройте «Дополнительные опции»: исключить похожие (I, l, 1, O, 0) для упрощённого чтения и неоднозначные ({, }, [, ], (, ), /, \) для систем с ограничениями.

Скопируйте подходящий пароль

Кнопка 👁 показывает пароль (по умолчанию скрыт), 📋 копирует в буфер. Кнопка «Ещё пароль» — добавляет к списку.

Какой пароль для какого случая

🏦 Банковский аккаунт

Длина 16, все 4 типа → 105 бит энтропии. «Очень надёжный»: взлом за миллиарды лет.

📧 Master-пароль менеджера

Длина 20 без символов (только буквы и цифры — легче печатать) → 119 бит. Запомнить через мнемонику или ставить парольную фразу.

💻 Рабочий аккаунт

Длина 14 со всеми типами → 92 бит. «Надёжный», взлом — годы. Хранить в менеджере паролей рабочей сети.

🌐 Гостевой Wi-Fi

Длина 12, без неоднозначных символов → 79 бит. Гостям проще диктовать и набирать. Меняется каждые 3 месяца.

🔑 Сервер по SSH

Длина 24-32, всё включено → 130+ бит. Идеально использовать вместе с SSH-ключом, пароль — резерв.

📱 PIN-код устройства

Длина 6-8, только цифры. Энтропия низкая (20-27 бит), но защищается лимитом попыток (3-5) и блокировкой устройства.

Частые вопросы

Этот пароль на самом деле случайный?

Да, в строгом криптографическом смысле. Используется `window.crypto.getRandomValues` — стандарт Web Crypto API, который обращается к системному источнику энтропии операционной системы (`/dev/urandom` в Linux, `BCryptGenRandom` в Windows). Это тот же источник, что используют менеджеры паролей и SSL-библиотеки. В отличие от `Math.random()`, результаты невозможно предсказать заранее.

Какой длины пароль реально безопасен?

В 2024-2025 годах: минимум 12 символов, рекомендуется 16, идеально 20+. 12 символов всех 4 типов = 79 бит энтропии (взлом GPU-кластером — миллионы лет). 16 = 105 бит (миллиарды лет). 20 = 131 бит (триллионы лет). С каждой парой добавленных символов сложность взлома растёт в ~ 4000 раз.

Нужны ли спецсимволы или хватит букв и цифр?

20-символьный пароль только из букв (94 бит) надёжнее 8-символьного со всеми типами (52 бит). Длина важнее «сложности». Спецсимволы помогают при ограничении длины — например, если сайт требует пароль не больше 12 символов, спецсимволы дадут вам 79 бит вместо 71. Современные рекомендации NIST: не требовать обязательного спецсимвола, увеличить минимальную длину.

Что значит «энтропия» в результатах?

Это мера непредсказуемости пароля в битах. Формула: длина × log₂(размер_алфавита). 16-символьный пароль из 94 возможных символов даёт log₂(94¹⁶) ≈ 105 бит. Каждый бит удваивает количество возможных паролей. До 60 бит — слабо, 60-80 — средне, 80-100 — надёжно, 100+ — очень надёжно. Менеджеры паролей часто целятся в 80+.

Почему время взлома такое большое?

Это для атаки «полный перебор» (brute-force) на простой хеш типа MD5/SHA-1 на скорости 10¹⁰ хешей/сек (топовый GPU-кластер). Современные сайты хешируют пароли через bcrypt/scrypt/Argon2, которые в 1000-10000 раз медленнее — время взлома увеличивается соответственно. Но если пароль попадает в утечку базы — атаку проводят offline, и скорость зависит уже от схемы хеширования сайта.

Зачем исключать похожие символы (I, l, 1, O, 0)?

Когда пароль придётся набирать вручную с бумаги (например, гостевой Wi-Fi или письмо коллеге), визуально похожие символы создают ошибки: `I` (заглавная И) против `l` (строчная Л) против `1`; `O` против `0`. Исключение этих символов снижает энтропию на 2-3 бита — несущественно при длине 16+, но избавляет от опечаток.

А если у меня уже есть свой пароль — как проверить надёжность?

Подсчитайте: сколько уникальных символов в наборе (если только буквы — 26 или 52; с цифрами — 36 или 62; со спецсимволами — 94). Длина пароля × log₂(набор) = энтропия. Если меньше 60 бит — пароль слабый, замените. Можно также проверить через haveibeenpwned.com, утечал ли ваш пароль в публичных базах (там 14+ млрд записей).

Стоит ли менять пароль каждые 3 месяца?

Нет. NIST в 2017 году отменил обязательную ротацию — она вынуждает пользователей делать «производные» пароли (`Password1` → `Password2`), что хуже одного крепкого. Современная рекомендация: меняйте пароль только при подозрении на компрометацию или утечке базы. Регулярный аудит — лучше через haveibeenpwned, чем по расписанию.

Что лучше — пароль или passkey (биометрия)?

Passkey (FIDO2 / WebAuthn) — это будущее. Не нужно ничего помнить, нельзя перехватить фишингом, нельзя «потерять при утечке базы». Уже работает в Apple iCloud, Google, Microsoft, GitHub, Amazon. Для сайтов, поддерживающих passkey, лучше переходить на них. Для всего остального — генератор + менеджер паролей.

Пароли отправляются на сервер?

Нет. Вся генерация идёт в браузере на JavaScript через `crypto.getRandomValues`. Ни одна строка ни до, ни после никуда не отправляется. Закрыли вкладку — следов нет. Если беспокоитесь — откройте DevTools → Network, повторите генерацию и убедитесь, что ни одного исходящего запроса не происходит.

Полезная информация

Все пароли генерируются в браузере через `crypto.getRandomValues` — данные не передаются на сервер.

Минимум один символ каждой выбранной категории гарантирован.

Энтропия = длина × log₂(размер_алфавита). 16 символов всех 4 типов = ~105 бит.

При закрытии вкладки пароли исчезают. Обязательно сохраняйте в менеджере паролей (Bitwarden / 1Password / KeePass).

Связанные инструменты безопасности

Что ещё может быть полезно — генератор хешей для проверки целостности, валидация MD5, генерация Lorem Ipsum и другие текстовые инструменты:

Генератор хешей

MD5, SHA-1, SHA-256, SHA-512, SHA-3 — для проверки целостности файлов и хеширования.

Проверка MD5

Сравнение MD5-сумм файлов или строк — проверка целостности скачанных дистрибутивов.

CRC32 калькулятор

Контрольная сумма для файлов и сетевых пакетов — обнаружение случайных ошибок.

Base64 кодировщик

Кодирование двоичных данных в текст — для передачи токенов, изображений в JSON.

Генератор GUID/UUID

UUID v1/v4 для уникальных идентификаторов в БД, API, файловых системах.

Случайная строка

Генерация произвольных строк под заданный шаблон — для API-токенов и тестовых данных.

Комментарии (7)

Был ли полезен этот инструмент?

Надя• 12 дней назад

Люблю

Alex• 8 дек. 2025 г., 05:45

Этот инструмент реально выручает, когда нужно быстро выполнить задачу. Разобрался без инструкции, всё работает стабильно и экономит кучу времени.

pavlovich• 8 дек. 2025 г., 05:30

Сайт понравился скоростью работы — ввёл даты, и система сразу выдала ответ. Пользовался для расчёта сроков по документам. Всё максимально удобно и без задержек. Отличный сервис для быстрых вычислений.

Sergei• 8 дек. 2025 г., 05:22

Искал надёжный калькулятор дней, потому что часто считаю промежутки для работы. Здесь всё максимально просто и быстро. Ввёл даты — сразу вижу итог. Отличный сервис, приятно пользоваться.

Alanov• 8 дек. 2025 г., 05:10

Очень удобный сайт! Проверял несколько дат для личных планов и каждый раз получал результат моментально. Понравилось, что ничего не отвлекает и не нужно разбираться долго — всё по делу. Таких простых и полезных сервисов сейчас немного, поэтому ставлю 5 звёзд.

Petaya• 8 дек. 2025 г., 04:54

Калькулятор выручил — нужно было быстро прикинуть цифры для проекта. Всё работает чётко и без лишних действий, спасибо разработчикам.

Руслан Авдеев (автор проекта)• 1 янв. 2024 г., 00:00

🎉 Спасибо, что используете наши инструменты! Все инструменты на ToolFox полностью бесплатны и постоянно улучшаются. 📝 Пожалуйста, оставляйте комментарии: - Если инструмент работает некорректно - Если есть идеи по улучшению - Поделитесь своим опытом использования 👍 Ставьте лайки/дизлайки - это помогает мне понять, какие инструменты нуждаются в доработке. Я обновляю сайт каждую неделю на основе вашей обратной связи. ⭐ Если вам нравится ToolFox — буду благодарен за отзыв о сайте в Яндекс.Браузере (нажмите на ⋮ → «Оценить сайт» в панели браузера). Это помогает другим людям находить наши инструменты! 😊 Также вы можете написать мне напрямую в Telegram: @avdeevrus Все доработки и улучшения по вашим пожеланиям делаю бесплатно! Благодарю за доверие и использование ToolFox! 🚀

Длина	Только цифры	Только буквы	Буквы + цифры	Все 4 типа
6	20	28	36	39
8	27	37	48	52
10	33	47	60	66
12	40	56	71	79
14	46	66	83	92
16	53	75	95	105
20	66	94	119	131
24	80	113	143	157

Длина	Только цифры	Только буквы	Буквы + цифры	Все 4 типа
6	20	28	36	39
8	27	37	48	52
10	33	47	60	66
12	40	56	71	79
14	46	66	83	92
16	53	75	95	105
20	66	94	119	131
24	80	113	143	157

Длина	Только цифры	Только буквы	Буквы + цифры	Все 4 типа
6	20	28	36	39
8	27	37	48	52
10	33	47	60	66
12	40	56	71	79
14	46	66	83	92
16	53	75	95	105
20	66	94	119	131
24	80	113	143	157