Как выбирать надёжные пароли

«Требование придумать «сложный пароль» часто воспринимается как формальность. Но его реальная задача — вывести стоимость взлома за пределы экономической целесообразности для атакующего. Регуляторы задают базовый минимум, но реальная безопасность начинается там, где заканчивается автоматизированный подбор. Это баланс между сопротивлением алгоритмам и человеческой памятью».

Как выстроить парольную защиту, которая пройдет проверку

С введением 152-ФЗ и нормативов ФСТЭК управление паролями перестало быть внутренним правилом хорошего тона. Для организаций, работающих с персональными данными, слабая аутентификация — прямое нарушение требований к конфиденциальности, чреватое административной ответственностью. Парольная политика становится юридически значимым элементом, а её несоблюдение может стать основанием для штрафов.

Почему проверка на утечки — это требование, а не опция

Использование пароля, уже фигурирующего в публичных базах данных после инцидентов, сводит на нет любую формальную сложность. Такие пароли, отмеченные в сообществе как «скомпрометированные» (pwned), первыми проверяются автоматизированными инструментами для атак. Их применение — грубое нарушение базового принципа защиты от подбора, закреплённого в документах ФСТЭК.

Пункты 6.3 и 8.2 СТО ФСТЭК 27.2.300-2022 прямо предписывают защиту от подбора паролей. Применение паролей из утечек создаёт предсказуемую и легко эксплуатируемую брешь в системе защиты.

Диаграмма, показывающая путь скомпрометированного пароля: утечка хешей с какого-либо сервиса → пароли попадают в публичные реестры и радужные таблицы → интеграция этих данных в инструменты для автоматического подбора → успешный взлом на других ресурсах, где используется тот же пароль.

Минимум по нормативам: без этого уже не обойтись

Требования регулятора формируют обязательный технический порог, который будет проверяться в первую очередь. Игнорирование этих пунктов — формальное нарушение.

Критерий	Минимальное требование (ФСТЭК)	Практический смысл
Длина	Не менее 12 символов	Кратно увеличивает время полного перебора (брутфорса), делая его экономически невыгодным.
Сложность	Строчные и заглавные буквы, цифры, спецсимволы	Расширяет алфавит для перебора, усложняя не только брутфорс, но и «умные» словарные атаки с подстановками.
Уникальность	Разный пароль для каждой системы	Локализует последствия компрометации одного сервиса, предотвращая горизонтальное перемещение атакующего.
Срок действия	Смена не реже 90 дней	Сокращает окно уязвимости, если пароль был подобран, но атака ещё не проведена.
Запрещённые данные	Отсутствие явной личной информации	Защищает от целенаправленного социального инжиниринга и специализированных словарей, составленных на основе данных пользователя.

Следование лишь этому минимуму не гарантирует защиту, если за формальными символами скрывается низкая энтропия — например, предсказуемые замены вроде «P@ssw0rd» или «Qwerty123!@#».

От пароля к пассфразе: метод, который работает на практике

Жёсткие правила часто провоцируют создание паролей, сложных для человека, но предсказуемых для машины. Более устойчивый подход — использование пассфраз. Их криптостойкость определяется не набором символов, а длиной и непредсказуемостью исходной фразы.

Возьмём осмысленное, но уникальное для вас утверждение: «В декабре трамвай №17 ходит по снегу как по рельсам». Эту фразу можно преобразовать в технически стойкий пароль разными способами.

Транслитерация: «Vdekabretramvay17hoditposnegukakporelsam». Получается длинная строка с высокой энтропией, но неудобная для частого ручного ввода.
Акронимы с контекстной подстановкой: «ВДтр17#пс?пр». Берутся первые буквы или характерные символы из каждого слова, а цифры и знаки вплетаются по смыслу (№17, «как» → ‘?’). Результат формально сложен, включает все типы символов, но сохраняет для пользователя смысловую «зацепку».

Второй метод требует осмысленного подхода, но он балансирует между безопасностью и удобством. Для хранения же уникальных пассфраз для множества сервисов без менеджера паролей не обойтись.

Экономика взлома: против чего на самом деле борется ФСТЭК

Современный перебор — это высокодоходный бизнес с чёткими расчётами окупаемости. В аренду сдаются мощности ботнетов, способные производить сотни миллиардов попыток в час против облачных сервисов. Эти системы проверяют не только очевидные комбинации, но и последовательности, сгенерированные по всем известным политикам сложности, включая типичные замены символов.

Анализ реальных инцидентов безопасности показывает, что большинство успешных проникновений происходит не из-за неизвестных уязвимостей в ПО, а из-за слабых, шаблонных или уже скомпрометированных учётных данных. Пароль, формально отвечающий всем требованиям (12 символов, все категории), но построенный на простом шаблоне вроде «ИмяГод!##», будет подобран такими системами за считанные минуты, а не годы.

Многофакторная аутентификация: когда пароля уже недостаточно

Для критичных систем, особенно обрабатывающих ПДн, МФА перестаёт быть рекомендацией и рассматривается как обязательный элемент. Её суть — в использовании двух или более независимых факторов аутентификации из разных категорий:

Знание (Something you know): пароль, PIN.
Владение (Something you have): аппаратный токен, TOTP-приложение на смартфоне (генерирующее одноразовые коды), SMS.
Свойство (Something you are): биометрия.

Ключевой принцип — независимость факторов. SMS-код, привязанный к номеру телефона, который можно перехватить через SIM-своп, считается менее надёжным, чем локально генерируемый TOTP-код в приложении. Для административных доступов к системам с ПДн ФСТЭК прямо указывает на необходимость МФА, что напрямую соотносится с требованием 152-ФЗ обеспечивать надлежащий уровень защищённости данных.

Сравнительная схема: двухфакторная аутентификация через SMS (цепочка: сервер → оператор → сеть → телефон, уязвима на этапах «оператор» и «сеть») и через TOTP-приложение (цепочка: сервер и приложение синхронизированы по времени, обмен только при первоначальной настройке, код генерируется локально).

Организационный контур: как внедрить и проконтролировать

Соответствие требованиям — это не разовый инструктаж, а непрерывный процесс. Его основа — организационные меры:

Формальная политика информационной безопасности с разделом о паролях, обязательным для всех сотрудников. Политика должна быть актуальной и официально доведённой до сведения.
Внедрение корпоративного менеджера паролей или безопасного хранилища. Это кардинально решает проблему запоминания уникальных сложных паролей и исключает их хранение в открытом виде.
Регулярный технический мониторинг, включающий безопасную проверку хешей паролей на наличие в публичных базах утечек (например, с использованием методик, исключающих передачу полного хеша).
Принцип наименьших привилегий для всех учётных записей. Это ограничивает потенциальный ущерб даже при успешном компрометации учётных данных рядового сотрудника.
Цикличное обучение с практической составляющей. Теоретические выкладки работают хуже, чем моделирование реальных угроз, например, фишинговых рассылок с последующим разбором ошибок.

Итог: пароль в системе координат закона и реальных угроз

Выбор и управление паролями — ежедневная практика, формирующая фактический, а не декларативный уровень безопасности. В контексте регуляторных требований ошибки в этой области имеют юридические последствия. Надёжный пароль сегодня — это, как правило, преобразованная в криптостойкий вид пассфраза, хранящаяся в доверенном менеджере и защищённая вторым, независимым фактором аутентификации. Это не избыточная сложность ради отчётности, а адекватный ответ на экономику современных автоматизированных атак. Пароль, который можно найти в утечке или предсказать по шаблону, перестаёт быть защитой и становится санкционированной лазейкой в системе, ответственность за которую несёт организация.