Według raportu Verizon DBIR 2023 aż 86% incydentów naruszenia danych wiąże się ze skradzionymi lub odgadniętymi poświadczeniami. Z kolei OWASP klasyfikuje słabe uwierzytelnianie jako jedno z głównych zagrożeń dla aplikacji i interfejsów API. Im dłuższe i bardziej losowe hasło, tym droższy staje się dla przestępcy atak typu brute-force albo credential-stuffing. A zatem: jak stworzyć silne hasło? Wyjaśniamy.
Główne zagrożenia dla naszych kont
| Zagrożenie | Jak działa? | Co je zatrzyma? |
|---|---|---|
| Atak słownikowy | Skrypt testuje hasła z list wycieków. | Hasło bez słów słownikowych, ≥ 14 znaków. |
| Credential stuffing | Przestępca sprawdza to samo hasło na innych serwisach. | Unikalne hasło dla każdego konta. |
| Brute-force wspierany AI | Algorytmy uczą się popularnych wzorców (daty, imiona). | Wysoka entropia, brak schematów. |
| Phishing | Użytkownik sam wpisuje hasło w fałszywy formularz. | Uwierzytelnianie wieloskładnikowe, Passkeys. |
Pięć filarów silnego hasła (wg NIST SP 800-63B)
| Filar | Minimalna rekomendacja | Dlaczego to działa? |
|---|---|---|
| Długość | ≥ 12–14 znaków, najlepiej 16+ (pages.nist.gov) | Każdy znak zwiększa przestrzeń wyszukiwania wykładniczo. |
| Różnorodność | Litery (także polskie), cyfry, symbole | Utrudnia przewidzenie kolejnych znaków. |
| Losowość | Generator offline lub diceware | Zapewnia wysoką entropię. |
| Unikalność | Jedno hasło = jeden serwis | Wyciek nie zagrozi innym kontom. |
| Zapamiętywalność | Passphrase z 4-5 losowych słów + modyfikacje | Łatwiejsze do zapamiętania niż zlepek znaków. |
Przykład bezpiecznej passphrase:
Góra3-Kawa?Szyfr!Smok – 19 znaków, różne typy znaków, brak wzorców słownikowych.
Jak wygenerować mocne hasło — instrukcja krok po kroku
- Wylosuj cztery–pięć słów metodą diceware lub w zaufanym generatorze open-source.
- Dodaj modyfikacje — wielkie litery w środku wyrazu, cyfry w zastępstwie liter, symbole zamiast spacji.
- Sprawdź siłę w menedżerze haseł (KeePassXC, Bitwarden, 1Password) — pokaże entropię i ostrzeże przed powtórkami.
- Zapisz hasło w sejfie haseł – nigdy w pliku .txt ani na kartce przy monitorze.
- Włącz MFA — aplikacja TOTP lub token sprzętowy FIDO2/U2F podnosi próg skutecznego ataku o kolejny rząd wielkości.
Polski CERT PL zaleca właśnie takie podejście: minimum 14 znaków, różne hasła do różnych usług i obowiązkową weryfikację dwuetapową.
Poradnik: Wyciek haseł – jak sprawdzić
Passphrase kontra „dziwne znaki”
Wymuszanie skomplikowanych ciągów typu 5%aN!9$zQ często kończyło się zapisywaniem haseł na kartkach. Standard NIST SP 800-63B zmienił reguły: lepsza jest długa, losowa passphrase niż krótki, trudny do zapamiętania zlepek symboli.
Fraza z czterech losowych słów potrafi osiągnąć entropię wyższą niż ośmioznakowy ciąg z symbolami.
Menedżer haseł — twój prywatny sejf
Dobry menedżer haseł szyfruje dane algorytmem AES-256 i chroni klucz funkcją Argon2id. Jego zalety:
- Generuje unikalne hasła zgodne z wytycznymi NIST.
- Synchronizuje zaszyfrowane sejfy między urządzeniami.
- Autouzupełnia logowanie dopiero po odblokowaniu sejfu hasłem głównym lub biometrią.
Ustaw dla sejfu hasło główne dłuższe niż 20 znaków — wpisujesz je rzadko, więc może być naprawdę mocne.
MFA i Passkeys — kolejny poziom bezpieczeństwa
- TOTP – kody z aplikacji generowane co 30 s.
- Push – zatwierdzanie logowania jednym kliknięciem na telefonie.
- Token U2F/FIDO2 – sprzętowy klucz USB/NFC odporny na phishing.
- Passkeys – logowanie całkowicie bez hasła, oparte o klucze kryptograficzne przechowywane w telefonie lub laptopie; wspierane przez Google, Apple i Microsoft
Najczęstsze błędy, których warto unikać
- Recycling haseł — jedno hasło do wielu usług.
- Zmiana co 30 dni bez incydentu — prowadzi do przewidywalnych wzorców (Styczeń2025!, Luty2025!).
- Brak hasła głównego w przeglądarkowym sejfie — kradzież urządzenia to pełny dostęp.
- Logowanie z publicznego Wi-Fi bez VPN — złośliwy hotspot może podsłuchać ruch.
- Udostępnianie hasła „na chwilę” — nawet zaufanej osobie.
FAQ – szybkie odpowiedzi
Czy moje hasło wyciekło?
Sprawdź swój adres e-mail w serwisie Have I Been Pwned lub w polskim projekcie CERT „Bezpieczne Hasło”.
Czy menedżery haseł są bezpieczne?
Tak, o ile wdrażają silne szyfrowanie i pozwalają włączyć MFA. Otwartość kodu lub regularne audyty dodatkowo zwiększają zaufanie.
Co lepsze: passkey czy hasło?
Passkey (WebAuthn/FIDO2) eliminuje phishing, bo klucz prywatny nigdy nie opuszcza urządzenia. Jednak dopóki część serwisów obsługuje wyłącznie hasła, warto łączyć passphrase + MFA.
Czy muszę używać znaków specjalnych?
Nie, jeśli passphrase ma ≥ 16 losowych znaków i wysoką entropię. Symbol może jednak dodatkowo podnieść próg trudności.
Warto dodać, że FIDO Alliance przewiduje, że do 2027 r. połowa największych platform B2C całkowicie przejdzie na Passkeys lub pozostawi hasła wyłącznie jako metodę awaryjną. Do tego czasu najlepszą ochroną pozostaje długie, unikalne hasło + MFA.
Trzy kroki, które możesz wykonać dziś
- Włącz menedżer haseł i wygeneruj passphrase ≥ 16 znaków.
- Zmień stare, powtarzalne hasła — zacznij od poczty i bankowości.
- Aktywuj MFA lub Passkey wszędzie, gdzie to możliwe.
Wdrożenie tych kroków neutralizuje zdecydowaną większość popularnych metod włamania i pozwala spać spokojniej.
Sprawdź też: