Silne hasło to nadal podstawowa bariera między Twoimi kontami a osobami, które chcą się do nich dostać. Problem w tym, że większość ludzi tworzy hasła w sposób, który tę barierę praktycznie likwiduje – krótkie, przewidywalne, powtarzane na dziesiątkach serwisów.
Poniżej wyjaśniamy, jak tworzyć hasła, które są jednocześnie trudne do złamania i możliwe do zapamiętania. Opieramy się na aktualnych wytycznych NIST (National Institute of Standards and Technology) – instytucji, która wyznacza standardy bezpieczeństwa cyfrowego stosowane na całym świecie.
Dlaczego większość haseł jest łatwa do złamania?
Żeby tworzyć dobre hasła, trzeba najpierw wiedzieć, jak te złe są łamane. Atakujący nie siedzą przed ekranem i nie wpisują ręcznie kolejnych kombinacji. Korzystają z automatycznych narzędzi, które testują tysiące lub miliony haseł na sekundę.
Atak brute force to systematyczne sprawdzanie wszystkich możliwych kombinacji znaków po kolei. Krótkie hasło złożone z samych małych liter (np. 6 znaków) może zostać złamane w ułamku sekundy. Wydłużenie hasła do 12 znaków zwiększa liczbę kombinacji do poziomu, który przy obecnej mocy obliczeniowej wymaga lat obliczeń. Długość hasła ma tu znaczenie wykładnicze – każdy dodatkowy znak mnoży czas łamania wielokrotnie.
Atak słownikowy działa inaczej: zamiast testować losowe kombinacje, sprawdza popularne hasła, słowa ze słowników i znane wzorce. Hasło „kot12345” czy „warszawa2024” padnie w ciągu sekund, bo takie kombinacje znajdują się na listach najczęściej używanych haseł. Atakujący wiedzą też, że ludzie zastępują litery cyframi w przewidywalny sposób – „a” na „4”, „e” na „3”, „o” na „0”. Takie podstawienia od dawna są uwzględnione w słownikach ataków.
Credential stuffing to z kolei wykorzystanie haseł wykradzionych z jednego serwisu do logowania na innych. Jeśli ktoś używa tego samego hasła w sklepie internetowym i w poczcie e-mail, wyciek danych z jednego miejsca otwiera dostęp do drugiego. Według raportu Verizon Data Breach Investigations Report z 2024 roku 88% włamań do aplikacji webowych było powiązanych z kradzieżą lub nadużyciem danych logowania. To nie egzotyczny scenariusz – to statystyczna codzienność.
Co mówi nauka o dobrych hasłach? Wytyczne NIST
Przez lata obowiązywał schemat, który znają chyba wszyscy: hasło musi mieć wielką literę, cyfrę, znak specjalny i być zmieniane co 90 dni. Te reguły brzmiały rozsądnie, ale w praktyce pogarszały bezpieczeństwo zamiast je poprawiać. W 2024 roku NIST opublikował zaktualizowane wytyczne (Special Publication 800-63B, Revision 4), które oficjalnie zrywają z tym podejściem.
Pierwsza zmiana: długość jest ważniejsza od złożoności. NIST wymaga minimum 8 znaków, ale rekomenduje co najmniej 15 znaków. Dlaczego? Entropia hasła, czyli miara jego odporności na zgadywanie, rośnie szybciej wraz z długością niż ze zróżnicowaniem typów znaków. Hasło złożone z czterech losowych słów jest trudniejsze do złamania niż ośmioznakowy ciąg z wymuszonym znakiem specjalnym, a jednocześnie łatwiejsze do zapamiętania.
Druga zmiana: koniec z wymuszaniem znaków specjalnych. NIST stwierdził wprost, że organizacje „nie powinny” (w oryginale użyto mocniejszego „shall not”) narzucać reguł dotyczących typów znaków. Powód jest prosty – gdy serwis wymaga wielkiej litery, cyfry i znaku specjalnego, ludzie reagują przewidywalnie. Hasło „password” zamienia się w „Password1!”, co daje złudzenie bezpieczeństwa, ale nie stanowi realnej przeszkody dla atakujących.
Trzecia zmiana: koniec z obowiązkową rotacją haseł. Regularne wymuszanie zmiany hasła (np. co 60 czy 90 dni) prowadzi do tego, że ludzie tworzą warianty typu „Haslo01”, „Haslo02”, „Haslo03”. NIST zaleca zmianę hasła tylko wtedy, gdy istnieją przesłanki, że zostało skompromitowane – np. po wycieku danych z serwisu.
Czwarta zmiana: sprawdzanie haseł w bazach wycieków. NIST wymaga, by systemy porównywały nowe hasła z listami znanych, skompromitowanych haseł (tzw. blocklists). Jeśli użytkownik próbuje ustawić hasło, które pojawiło się w wycieku, system powinien to odrzucić. Można to sprawdzić samodzielnie na stronie haveibeenpwned.com/Passwords – serwis pozwala zweryfikować, czy dane hasło figuruje w znanych bazach wycieków, bez ujawniania pełnego hasła.
Jak stworzyć hasło, które jest silne i łatwe do zapamiętania?
Skoro długość jest ważniejsza od złożoności, najlepiej sprawdzają się passphrase, czyli hasła-frazy składające się z kilku losowych słów.
Metoda passphrase: losowe słowa
Idea jest prosta: zamiast jednego skomplikowanego wyrazu, łączysz 4-5 losowych, niezwiązanych ze sobą słów. Na przykład: „krokodyl lampa obłok szynka morze”. Takie hasło ma ponad 30 znaków, jest odporne na ataki słownikowe (bo kombinacja jest losowa) i da się je zapamiętać, wyobrażając sobie absurdalną scenę.
Kluczowe jest słowo losowe. Fraza „kocham mojego psa reksa” jest długa, ale przewidywalna – atakujący testują typowe zdania i kolokacje. Natomiast „widelec mgła tramwaj borówka” nie ma żadnego logicznego związku, co znacząco zwiększa liczbę możliwych kombinacji.
Do generowania losowych passphrase można użyć metody Diceware – rzucasz kostką i na podstawie wyników wybierasz słowa z przygotowanej listy. To eliminuje ludzką skłonność do nieświadomego wybierania powiązanych słów. Istnieją też generatory passphrase w menedżerach haseł, np. w Bitwarden.
Metoda zdaniowa: skróty z pełnych zdań
Alternatywą jest metoda zdaniowa. Wymyślasz zdanie, które ma dla Ciebie sens, i tworzysz hasło z pierwszych liter każdego słowa, dodając cyfry lub znaki tam, gdzie naturalnie pasują. Zdanie „W 2019 roku kupiłem pierwszy rower za 3200 złotych” daje hasło: W2rkprz3200z. Jest krótsze niż passphrase, ale nadal znacznie lepsze od typowych haseł.
Ta metoda sprawdza się szczególnie jako sposób na zapamiętanie hasła głównego do menedżera haseł – jedynego hasła, które faktycznie musisz trzymać w głowie.
Czego unikać?
Są hasła, które padają jako pierwsze, niezależnie od długości. Na liście do unikania: imiona bliskich osób i zwierząt, daty urodzin i rocznice, nazwy ulic i miast, wzorce z klawiatury (qwerty, 123456, zxcvbn), nazwy drużyn sportowych, tytuły filmów czy piosenek. Tego typu informacje często są publicznie dostępne w mediach społecznościowych, a atakujący uwzględniają je w spersonalizowanych atakach.
Osobna kwestia to powtarzanie haseł między serwisami. Nawet najsilniejsze hasło traci sens, jeśli jest użyte w kilkunastu miejscach. Wyciek z jednego serwisu automatycznie naraża wszystkie pozostałe konta. W praktyce oznacza to, że potrzebujesz unikalnego hasła dla każdego serwisu – a to prowadzi do oczywistego wniosku, że bez menedżera haseł się nie obejdzie.
Jedno silne hasło to za mało – co jeszcze warto zrobić?
Dobre hasło to dobry początek, ale samo w sobie nie wystarczy do pełnej ochrony kont. Trzy rzeczy, które warto wdrożyć równolegle:
Menedżer haseł rozwiązuje problem unikalności – generuje losowe, długie hasła dla każdego serwisu i przechowuje je w zaszyfrowanym sejfie. Jedyne hasło, które musisz pamiętać, to hasło główne do menedżera. Darmowe i sprawdzone opcje to Bitwarden (open source, synchronizacja między urządzeniami) i KeePassXC (offline, pełna kontrola nad danymi).
Uwierzytelnianie dwuskładnikowe (2FA) dodaje drugą warstwę weryfikacji przy logowaniu – oprócz hasła potrzebujesz kodu z aplikacji na telefonie lub potwierdzenia kluczem sprzętowym. Nawet jeśli ktoś pozna Twoje hasło, bez drugiego składnika nie zaloguje się na konto.
Passkeys to nowa technologia oparta na standardzie FIDO2, która całkowicie eliminuje hasła. Zamiast wpisywać cokolwiek, logujesz się odciskiem palca lub skanem twarzy, a w tle działa kryptografia asymetryczna. Apple, Google i Microsoft aktywnie wdrażają passkeys w swoich usługach, a od 2025 roku nowe konta Microsoft są domyślnie bezhasłowe.
Podsumowanie
Tworzenie silnych haseł sprowadza się do kilku reguł popartych badaniami. Długość bije złożoność – 4-5 losowych słów połączonych w passphrase jest lepszym hasłem niż krótki ciąg ze znakami specjalnymi. Każde konto powinno mieć unikalne hasło. Regularna zmiana haseł „na wszelki wypadek” jest niepotrzebna – zmień hasło wtedy, gdy masz powód podejrzewać, że wyciekło.
Na start wystarczą dwa kroki: zainstaluj menedżer haseł i wygeneruj w nim unikalne hasła dla swoich najważniejszych kont (poczta e-mail, bank, media społecznościowe). Hasło główne do menedżera stwórz metodą passphrase lub zdaniową i zapamiętaj je. Resztę niech menedżer robi za Ciebie.