Generator haseł

Jak są generowane hasła?

To narzędzie generuje hasła używając interfejsu API crypto.getRandomValues() Twojej przeglądarki — tego samego kryptograficznie bezpiecznego generatora liczb losowych używanego w TLS, HTTPS i oprogramowaniu bezpieczeństwa na całym świecie. Każdy znak jest wybierany niezależnie z jednolitym prawdopodobieństwem z włączonych zestawów znaków. Twoje hasła są generowane lokalnie i nigdy nie są wysyłane na żaden serwer.

W przeciwieństwie do pseudolosowych generatorów (takich jak Math.random() w JavaScript), kryptograficznie bezpieczne generatory liczb losowych czerpią entropię ze źródeł sprzętowych — ruchów myszy, czasu naciśnięć klawiszy, operacji I/O na dysku i dedykowanych sprzętowych generatorów liczb losowych. Gwarantuje to, że wygenerowane hasła są naprawdę nieprzewidywalne, nawet dla atakującego znającego algorytm.

Jak długie powinno być hasło?

• 12 znaków: Minimalna akceptowalna długość dla większości kont online. Zapewnia około 71 bitów entropii przy wszystkich włączonych typach znaków.
• 16 znaków: Zalecane dla kont e-mail, bankowych i finansowych. Zapewnia około 95 bitów entropii.
• 20+ znaków: Najlepsze dla kont administratorów, kluczy SSH, kluczy szyfrowania i haseł głównych menedżerów haseł. Zapewnia 119+ bitów entropii.

Co sprawia, że hasło jest silne?

Siła hasła jest mierzona entropią — liczbą możliwych kombinacji, które atakujący musiałby wypróbować. Długość jest najważniejszym czynnikiem. 16-znakowe hasło z użyciem wszystkich czterech zestawów znaków (wielkie litery, małe litery, cyfry, symbole) ma około 10⁴² możliwych kombinacji. Przy bilionach prób na sekundę jego złamanie brutalną siłą zajęłoby miliardy lat.

Dodanie różnorodności znaków zwiększa entropię na znak. Same małe litery dają 26 opcji na pozycję. Dodanie wielkich liter podwaja to do 52. Dodanie cyfr daje 62. Dołączenie symboli podnosi to do 90+ opcji na znak. Ale długość zawsze przeważa nad złożonością — 20-znakowe hasło składające się tylko z małych liter jest silniejsze niż 8-znakowe hasło ze wszystkimi typami znaków.

Czy powinienem używać menedżera haseł?

Zdecydowanie. Wygeneruj unikalne, silne hasło dla każdego konta używając tego narzędzia, a następnie przechowuj je wszystkie w renomowanym menedżerze haseł, takim jak Bitwarden, 1Password lub KeePass. Menedżer haseł oznacza, że musisz pamiętać tylko jedno silne hasło główne. Nigdy nie używaj ponownie haseł na różnych stronach — gdy jedna strona zostanie naruszona, atakujący próbują tych danych uwierzytelniających wszędzie.

Typowe błędy związane z hasłami

Najniebezpieczniejszym błędem jest ponowne używanie haseł na wielu stronach. Naruszenia bezpieczeństwa danych regularnie ujawniają miliony danych uwierzytelniających, a atakujący używają automatycznych narzędzi do testowania skradzionych haseł w innych serwisach. Inne częste błędy to używanie danych osobowych (daty urodzin, imiona zwierząt domowych), używanie słów słownikowych z prostymi podstawieniami (p@ssw0rd) i zapisywanie haseł na karteczkach samoprzylepnych.

Często zadawane pytania

Czy ten generator haseł jest naprawdę losowy?

Tak. Używa Web Crypto API (crypto.getRandomValues()), który jest kryptograficznie bezpiecznym generatorem liczb losowych wbudowanym w przeglądarkę. Jest to taka sama jakość losowości, jaka jest używana do generowania kluczy sesji TLS chroniących bankowość online.

Jak często powinienem zmieniać hasła?

Aktualne wytyczne bezpieczeństwa NIST (National Institute of Standards and Technology) odradzają rutynową rotację haseł. Zmień hasło tylko wtedy, gdy podejrzewasz, że zostało naruszone, gdy serwis zgłasza naruszenie bezpieczeństwa danych lub gdy chcesz zastąpić słabe starsze hasło silniejszym.