Jak tworzyć silne i bezpieczne hasła?

Aktualizacja: 7 minut czytania
Tworzenie bezpiecznych haseł

Mocne hasło to podstawa zabezpieczenia wszystkich działań, które wykonujemy w internecie. Jednak w celu zapewnienia sobie faktycznej ochrony, jedno dobre hasło nie wystarczy. Poczta służbowa, prywatna, sklepy internetowe, social media – wszędzie warto korzystać z różnych, unikatowych i silnych haseł. Zobacz, jak zwiększyć swoje bezpieczeństwo w sieci i tworzyć silne i bezpieczne hasła! 

Co charakteryzuje dobre hasło?

Bezpieczne hasło powinno być trudne do złamania, długie, posiadać wystarczającą liczbę znaków specjalnych i składać się z losowych kombinacji. Warto korzystać ze wszystkich możliwych rodzajów znaków – małych i wielkich liter, cyfr oraz znaków specjalnych, np. wykrzykników, pytajników itd. Jeśli dany serwis nie ma polityki ograniczonej liczby akceptowanych znaków, nie trzeba się nawet ograniczać do tych, które znajdują na klawiaturze komputera. 

Zastanawiając się, jak wybrać silne hasło i zabezpieczyć dostęp do prywatnych danych, warto przyjąć nadrzędne założenie: każe zabezpieczenie może być złamane. Dziś dobre hasło to przede wszystkim hasło wystarczająco mocne, aby… mogło zostać złamane w późniejszym czasie. Nawet za pomocą dość sędziwych już metod ataków typu brute force można zyskać dostęp do treści i serwisów chronionych dobrym hasłem. Jednak, podobnie jak w przypadku solidnych drzwi antywłamaniowych, lepsze hasło to pewność, że przeprowadzony atak zajmie więcej czasu – nawet kilka miesięcy. 

Jak stworzyć bezpieczne i silne hasło – zasady

Mocne hasło można stworzyć w oparciu o zbiór dobrych praktyk i wytycznych. Na wstępie należy pamiętać o tym, że silne hasło zawsze musi być unikatowe i używane wyłącznie w jednym serwisie lub usłudze. Nigdy nie wykorzystujemy przykładowych haseł ani ich modyfikacji. 

Przystępując do stworzenia hasła, warto przestrzegać sprawdzonych zasad i sposobów ich tworzenia. Dobre hasło powinno:

  • Składać się z kombinacji kilku słów, które można oddzielić bądź zmodyfikować za pomocą znaków specjalnych – takie hasło łatwo zapamiętać.
  • Lub być stworzone z losowych ciągów znaków lub losowo dobranych słów niepozostających w ciągu przyczynowo-skutkowym.
  • Być przygotowane przez nas i być całkowicie oryginalne.
  • Zawierać małe i wielkie litery, znaki specjalne i cyfry.
  • Zawierać słowa umyślnie pisane z błędami gramatycznymi, a także w wielu językach.

Im bardziej skomplikowane będzie hasło, tym większa pewność, że ochronisz się przed działaniami cyberprzestępców. 

Przykłady trudnych haseł

Według statystyk kilkadziesiąt procent Amerykanów korzysta z hasła qwerty z pewnymi odmianami (np. qwerty12345, q1w2e3r4). To z pewnością nie są przykłady trudnych haseł. Wprost przeciwnie – tego typu propozycje, a także ciągi zawierające imiona, nazwy ulubionych serwisów, mogą być sprawdzane przez przestępców w pierwszej kolejności! 

Mocne hasło nie może być powtarzalne, nawet gdy korzysta się ze znaków specjalnych. Przykładowo, szyfr “aaaBBB###***” nie będzie wcale trudny do odgadnięcia. Co do zasady – każdy kolejny znak w dobrym haśle powinien być inny od poprzedniego

Przykładem trudnego hasło mogą być następujące ciągi znaków: 

  • <.OzpDzL45ech$@*
  • 3s;i@>ts qJJ2H%89
  • F[;ar(}ib)ZJ@`=7
  • `LjOb<$Y*{yiK:c!

Powyższe 16-znakowe ciągi znaków zostały wygenerowane przez jeden z popularniejszych generatorów haseł. Pod żadnym pozorem nie należy ich kopiować. Taka metoda opracowywania hasła przez jednych jest zresztą zalecana, przez innych zaś stanowczo odradzana. W tym przypadku prezentujemy efekty wyłącznie w celu zilustrowania tego, jak może wyglądać trudne hasło. Złamanie któregoś z powyższych kodów w przypadku prostego ataku brutalnego, przy milionie prób na sekundę, może zająć ok. 900 miliardów lat. 

Można też stworzyć hasła, które będą łatwiejsze do zapamiętania, ale powinny wtedy być dłuższe, żeby być odpornymi na ataki słownikowe:

  • Zi3lony&Samochod#Wiozacy3cytrynY
  • potulnY@Pi3sGrajacyWpilke%
  • bigTr33withNineteeNredOrange$

Jakich haseł nie tworzyć i nie używać?

Nie należy tworzyć haseł zbyt łatwych, powtarzalnych, składających się wyłącznie ze znaków sąsiadujących ze sobą na klawiaturze lub z danych osobowych. Jak rozróżnić słabe hasło od silnego? To pierwsze będzie zawierało: 

  • frazę użytą do tworzenia loginu,
  • informacje prywatne i wrażliwe: imiona, nazwisko, pseudonimy, daty, elementy innych haseł, 
  • dane wskazujące na otoczenie użytkownika, np. jego zainteresowania, hobby, uczęszczane miejsca, ulubiony samochód,
  • wyłącznie cyfry lub litery (np. abcdefgh, 123654), 
  • wyłącznie słowa ze sobą związane (np. komputerosobisty123, toniejestsilnehaslo$%^),
  • imiona i/lub nazwiska znanych osób, a także postaci znanych z popkultury (np. spiderman1),
  • sekwencje odczytywane z klawiatury np. 123456, qwerty itp.,
  • treść krótszą niż 6 znaków (obecnie zaleca się jednak, aby hasła były min. 8-znakowe lub jeszcze dłuższe!).
Niebezpieczne hasło
Takich haseł nie należy tworzyć

Jak zapamiętać hasło?

Zapamiętanie hasła może okazać się trudniejsze od jego stworzenia, ale warto wykorzystać w tym celu kilka dobrych technik pamięciowych. Polecanym sposobem jest stworzenie historii. Pierwsze litery poszczególnych słów w takiej krótkiej narracji mogą być zapoczątkowane literami z hasła. Sposobem na zapamiętanie kombinacji będzie też wykonywanie powtarzalnych czynności, np. zapisanie go wielokrotnie na kartce (którą następnie należy zniszczyć). 

Nie każde hasło można jednak łatwo zapamiętać przy użyciu technik pamięciowych. Problem narasta, jeśli potrzebujemy stworzyć wiele zaawansowanych haseł. Rozwiązanie tego mankamentu z roku na rok staje się coraz pilniejszą potrzebą, gdyż większość osób korzysta już z kilku adresów pocztowych, co najmniej kilku sklepów internetowych, dostawców usług internetowych i komórkowych, wielu mediów społecznościowych, banków i nie tylko. 

Prostym sposobem na zapamiętanie hasła jest… oddelegowanie tej czynności do obowiązków przeglądarki internetowej. Nie jest to metoda idealna, ale wciąż jest lepsza niż używanie wszędzie jednego hasła lub przylepianie do monitora karteczek. Wystarczy, że komputer trafi w ręce osoby niepożądanej i jeżeli dysk nie był szyfrowany, to można się na utratę wielu wrażliwych danych osobowych i nie tylko. Najbardziej sprawdzone metody obejmują wyuczenie się haseł na pamięć, skorzystanie z menedżera haseł lub klucza 2FA. 

Bezpieczne zapisywanie i przechowywanie haseł – menedżer haseł

Menedżery haseł to programy, które bardzo ułatwiają tworzenie i przechowywanie haseł. Mechanizm działania jest prosty i skuteczny – menedżer generuje mocne, oryginalne i unikatowe hasło dla każdego serwisu internetowego. Zostają następnie zapisane, dzięki czemu nie trzeba ich pamiętać we własnym zakresie. 

Wszystkie przechowywane dane są szyfrowane, co wpływa na bezpieczeństwo każdego hasła z osobna. Dostęp do nich jest możliwy po podaniu hasła głównego. To jedyne hasło, które trzeba pamiętać i powinno być bardzo silne, gdyż zabezpiecza dostęp do pozostałych haseł. Po jego podaniu baza haseł zostaje odblokowana i menadżer może uzupełnić komplet danych do logowania na wybranej stronie.

Nie tylko silne hasło – 2FA

Dbając o bezpieczeństwo danych, oprócz stosowania silnych haseł, dobrze jest też korzystać z uwierzytelniania dwuskładnikowego wszędzie tam, gdzie jest to możliwe. 2FA (od ang.: Two Factor Authentication) pomaga w ochronie dostępu do wybranych serwisów nawet wtedy, kiedy hasło zostanie ukradzione. Weryfikację dwuetapową (2FA) wprowadziło wiele znanych firm i serwisów, np. 

Oprócz tego opcję tę znajdziemy również w niektórych portalach zakupowych, np. Amazon i polskim Allegro. Powszechnie korzystają z niej banki i instytucje finansowe. Istnieje także możliwość zaimplementowania mechanizmu 2FA do własnej strony internetowej, np. opartej na CMS WordPress. 

2FA Ilustracja
Uwierzytelnianie dwuskładnikowe to jeszcze większe bezpieczeństwo

Klucze U2F

Logowanie przy użyciu weryfikacji dwuetapowej zazwyczaj wykorzystuje numer telefonu komórkowego, na który przesyłany jest SMS z kodem dostępu. Autoryzacja może też przebiegać przy użyciu wybranego adresu e-mail. Jednak kolejnym ciekawym rozwiązaniem jest skorzystanie z dedykowanych kluczy bezpieczeństwa U2F / FIDO2, nierzadko posiadających wsparcie dla technologii NFC. Po skonfigurowaniu działania takich kluczy możliwe jest zatwierdzanie logowania się do wybranego serwisu poprzez użycie tego narzędzia. 

Pytania i odpowiedzi

Czy można używać wszędzie identycznego hasła?

Odpowiedź na to pytanie brzmi: tak, można, ale lepiej tego nie robić. Korzystanie z jednego, takiego samego hasła sprawia, że po włamaniu na jeden serwis otworem dla hakerów stają się wszystkie inne portale, z których korzystamy. Zaleca się, aby do każdego ważniejszego serwisu posiadać odrębnie przygotowane, unikatowe i silne hasło. 

Jakie hasło jest bezpieczne i mocne?

Bezpieczne i mocne hasło to niepowtarzalny ciąg znaków składający się z małych i wielkich liter, cyfr oraz znaków specjalnych. Wytrzymałe hasło nie powinno zawierać danych osobowych naszych, jak i cudzych, a nawet popularnych odniesień do popkultury. Bezpieczne zabezpieczenie składa się z co najmniej 8 znaków. Nie może stanowić zbyt prostej sekwencji opartej na znakach następujących po sobie, ale unikatową kombinację o zróżnicowanej strukturze.

Ile znaków powinno mieć hasło?

Hasło powinno składać się z co najmniej 8 znaków. Wcześniejsze zalecenia mówiły o hasłach 6-znakowych, jednak z przyczyn bezpieczeństwa hasło powinno być dłuższe. Obecnie coraz więcej serwisów, w tym także banków i platform transakcyjnych, wprowadza obowiązek stworzenia hasła o długości co najmniej 8 znaków (a czasem o wiele więcej).