**Pure Acetone** @pureacetone@qoto.org · 2025-11-27T02:45:06Z

Pure Acetone @pureacetone@qoto.org

### В чём соль этого комикса xkcd (и почему он до сих пор 100% прав в 2025 году)
Комикс показывает две противоположные стратегии создания паролей и их реальную стойкость:
#### Слева — «человеческий» пароль типа Tr0ub4dor&3
- Человек думает: «Я заменил o на 0, a на 4, добавил &3 — это супер-сложно!»
- Энтропия: всего ~28 бит.
- Почему так мало? Потому что люди используют предсказуемые паттерны:
- берут обычное слово (troubadour),
- делают типичные замены (o→0, a→4, e→3),
- добавляют один-два спецсимвола в конец.
- Современные GPU в 2025 году перебирают миллиарды таких вариантов в секунду.
Такой пароль ломается за часы или даже минуты при офлайн-атаке (например, если у вас украли хэш из базы).
Результат: легко запомнить → легко взломать.
#### Справа — correct horse battery staple
- Четыре случайных обычных слова из словаря (в оригинале из списка ~2000 самых частых слов).
- Энтропия: ~44 бита (11 бит на слово × 4).
На самом деле, если брать из словаря 7776 слов (как в Diceware), то 5 слов = ~64 бита, 6 слов = ~77 бит — уже серьёзная защита.
- Даже 4 слова дают 2⁴⁴ = 17 триллионов комбинаций.
- При скорости 1000 попыток в секунду (типично для онлайн-атаки с блокировкой аккаунта) — 550 лет.
Результат: трудно взломать → легко запомнить (мы отлично запоминаем абсурдные фразы).
### Главная соль комикса
Люди тратят огромные усилия, чтобы придумать и запомнить что-то «сложное» (Tr0ub4dor&3), но на деле делают пароль слабее, чем если бы просто взяли четыре случайных обычных слова, которые легко превращаются в смешную картинку в голове (правильная лошадь батарейка скоба).
### Почему это до сих пор актуально в 2025 году
- Все крупные рекомендации (NIST 800-63B, Госуслуги РФ, банки, Microsoft, Apple) уже 5–10 лет говорят:
«Длина важнее сложности».
Запрещают требовать спецсимволы и замены букв, если пароль и так длинный.
- Passkeys и биометрия решают проблему для большинства сайтов, но там, где до сих пор требуют именно пароль (старые системы, шифрование дисков/архивов, некоторые госсервисы), правильная стратегия — именно длинные фразы из случайных слов (Diceware, Bitwarden-генератор passphrases и т.д.).
Короче: если вам нужен пароль, который вы будете вводить вручную и помнить головой, лучший выбор в 2025 году — это всё ещё «correct horse battery staple», только желательно 5–7 слов, а не 4.