Безопасность паролей в 2026 году: что изменилось за 10 лет

Десять лет назад «безопасный пароль» означал сложное слово из 8–12 символов с большими буквами, цифрами и спецсимволами. Сегодня рекомендации принципиально другие. Разбираемся, что изменилось, и что нужно знать о паролях в 2026 году.

Что больше не рекомендуется

1. Сложные пароли из 8 символов

Старое правило «8 символов с цифрой и спецсимволом» перестало быть достаточным ещё в 2018 году. Современные GPU позволяют перебирать миллиарды паролей в секунду. Пароль Qwerty1! кажется сложным, но для атаки по словарю он тривиален.

Современная рекомендация NIST (публикация SP 800-63B): минимум 12 символов, лучше 16+, без жёстких требований к составу. Длина важнее сложности.

2. Регулярная смена паролей

Раньше рекомендовалось менять пароли каждые 90 дней. NIST с 2017 года явно не рекомендует это делать, если нет признаков компрометации. Причины:

• Пользователи выбирают плохие пароли, зная, что через месяц придётся менять снова.
• Частая смена провоцирует записывание паролей на бумаге или в файлах.
• Это не защищает от современных атак (утечки баз, фишинг).

Меняйте пароль только если вы знаете, что он скомпрометирован — например, попал в публичную утечку.

3. Контрольные вопросы

«Девичья фамилия матери», «первый питомец» — это устаревшие методы. Ответы легко узнать из соцсетей, и они часто хранятся в открытом виде.

Что рекомендуется сейчас

1. Менеджер паролей

Это главное изменение последних десяти лет. Хороший менеджер паролей генерирует уникальные случайные пароли для каждого сайта, хранит их в зашифрованном виде и автоматически подставляет при входе.

Популярные варианты:

• 1Password — коммерческий, отличный UX, облачная синхронизация.
• Bitwarden — open-source, бесплатный план, облачная или self-hosted.
• KeePassXC — полностью локальный, open-source, требует ручной синхронизации.
• Proton Pass — от создателей ProtonMail, с шифрованием end-to-end.

Главная польза: вы не помните пароли вообще, кроме одного мастер-пароля. Все остальные — длинные случайные строки, которые вы никогда не увидите.

2. Passkeys (беспарольная аутентификация)

Passkeys — это стандарт беспарольной аутентификации, разработанный FIDO Alliance. Вместо пароля вы используете биометрию (Touch ID, Face ID) или PIN для разблокировки приватного ключа, хранящегося на устройстве. Сервер получает не пароль, а криптографическую подпись.

Преимущества:

• Фишинг-устойчиво. Passkey привязан к домену. Поддельный сайт не сможет получить ваш passkey, даже если вы на него зайдёте.
• Нет базы паролей для кражи. Приватный ключ никогда не покидает ваше устройство.
• Удобнее. Разблокировка биометрией быстрее ввода пароля.

В 2026 году passkeys поддерживают Google, Apple, Microsoft, GitHub, PayPal и многие другие крупные сервисы. Если сайт поддерживает passkey — используйте его вместо пароля.

3. Двухфакторная аутентификация (2FA)

Для сервисов, которые ещё не поддерживают passkey, обязательна 2FA. Варианты в порядке убывания безопасности:

1. Аппаратный ключ (YubiKey, Titan, Nitrokey) — самая безопасная опция. Устойчив к фишингу.
2. TOTP в приложении (Authy, Google Authenticator, Aegis) — хорошо.
3. Push-уведомления (Duo, Microsoft Authenticator) — удобно, но восприимчиво к prompt bombing.
4. SMS — самый слабый вариант. Восприимчив к SIM-swap.

Никогда не используйте SMS как единственный способ 2FA для важных аккаунтов (почта, банк, облако).

4. Уникальность каждого пароля

Никогда не используйте один пароль на нескольких сайтах. Если одна база утечёт, злоумышленники первым делом попробуют тот же логин+пароль на других сервисах (credential stuffing). Менеджер паролей закрывает эту проблему.

5. Проверка утечек

Проверить, не попал ли ваш пароль в известные утечки, можно на haveibeenpwned.com. Хороший менеджер паролей (Bitwarden, 1Password) делает это автоматически и предупреждает вас.

Как хранятся пароли на серверах

Если вы разработчик или админ, это важно знать. Современная рекомендация — использовать:

• Argon2id (победитель Password Hashing Competition 2015) — самый надёжный вариант.
• bcrypt — старый стандарт, всё ещё допустим для существующих систем.
• scrypt — альтернатива Argon2.

Чего нельзя делать никогда:

• Хранить пароли в открытом виде.
• Использовать быстрые хеши (MD5, SHA-1, SHA-256) без PBKDF2 или аналога.
• Использовать одинаковую «соль» для всех паролей.

LinesUPS использует Argon2id для всех паролей, которые хранятся в системе.

Пример правильной гигиены

Пользователь, который «делает всё правильно», выглядит так:

1. У него один мастер-пароль, длинный (20+ символов), сгенерированный через дайс-метод или passphrase.
2. Все остальные пароли хранятся в менеджере и никогда не вводятся руками.
3. На всех важных сервисах включён passkey или аппаратный ключ.
4. Для сервисов без passkey включён TOTP-2FA.
5. Электронная почта защищена сильнее всего — через неё можно сбросить остальные пароли.
6. Менеджер паролей регулярно проверяет утечки.

Это звучит сложно, но после первой настройки занимает меньше времени, чем старая система с запоминанием 20 разных паролей.

Итог

Безопасность паролей в 2026 году — это не про «придумать сложный пароль», а про архитектуру. Используйте менеджер паролей, включайте passkeys где возможно, 2FA везде, и никогда не повторяйте пароли. Это базовая гигиена, которая защищает от 95% реальных атак.

Защищённое сетевое соединение — дополнительный слой к этому, но он не заменит хороших паролей и правильной 2FA. Безопасность — это всегда несколько слоёв.

Попробуйте LinesUPS бесплатно 1 день — добавьте защищённое соединение к вашей цифровой гигиене.