Bezpieczne hasła: obalamy mity i pokazujemy, co działa
Zmieniać hasło co 30 dni? Wymyślać skomplikowane ciągi znaków? Wyjaśniamy, które zasady dotyczące haseł to przestarzałe mity, a co naprawdę chroni Twoje konta.
Przez lata uczono nas zasad tworzenia haseł, które dziś okazują się nie tylko nieskuteczne, ale wręcz szkodliwe: „zmieniaj co miesiąc”, „dodaj cyfrę i znak specjalny”, „nie zapisuj nigdzie”. Współczesna wiedza o bezpieczeństwie (i wytyczne takie jak NIST) wywróciła te reguły do góry nogami. Warto poznać, które „prawdy” o hasłach to już mity, a co naprawdę chroni Twoje konta — bo hasła wciąż są pierwszą linią obrony dla większości serwisów.
Mity, z którymi warto się pożegnać
Mit: „Zmieniaj hasło co 30/90 dni.” Wymuszanie częstej zmiany haseł pogarsza bezpieczeństwo. Zmuszeni do ciągłych zmian, ludzie tworzą słabe, przewidywalne warianty (Haslo1!, Haslo2!, Haslo3!) i zapisują je na karteczkach. Dziś zaleca się zmianę hasła tylko wtedy, gdy istnieje powód — podejrzenie wycieku czy kompromitacji. To samo zalecają wytyczne NIST.
Mit: „Im więcej znaków specjalnych, tym lepiej.” „P@ssw0rd!” wygląda na skomplikowane, ale dla łamiącego hasła jest banalne — bo wzorce podmiany liter (a→@, o→0) są dobrze znane. O sile hasła decyduje przede wszystkim długość i nieprzewidywalność, nie liczba znaczków.
Mit: „Nie zapisuj haseł nigdzie.” Ta zasada powstała, gdy „zapisać” znaczyło „na karteczce pod klawiaturą”. Dziś menedżer haseł to najlepszy sposób przechowywania — bezpieczny sejf, który pamięta setki unikalnych, losowych haseł za Ciebie. „Nie zapisuj” zamieniło się w „nie pamiętaj — użyj menedżera”.
Mit: „Jedno mocne hasło wystarczy do wszystkiego.” To najgroźniejszy mit. Nawet najsilniejsze hasło używane w wielu miejscach jest tak bezpieczne, jak najsłabszy serwis, w którym go użyłeś — bo po wycieku trafia do ataków credential stuffing na wszystkie Twoje konta.
Co naprawdę działa
Długie pasfrazy zamiast krótkich „skomplikowanych” haseł. Cztery–pięć losowych słów (np. „rower-chmura-tygrys-kawa-72”) jest znacznie trudniejsze do złamania niż „P@ss1!”, a łatwiejsze do zapamiętania. Długość bije komplikację.
Unikalne hasło do każdego serwisu. To najważniejsza zasada. Dzięki niej wyciek z jednego miejsca nie kaskaduje na resztę Twoich kont. Zapamiętać setek unikalnych haseł się nie da — dlatego…
Menedżer haseł. Wygeneruje długie, losowe, unikalne hasła i zapamięta je za Ciebie. Ty pamiętasz jedno mocne hasło główne (chronione MFA). To pojedyncza zmiana o największym wpływie na bezpieczeństwo Twoich kont.
MFA wszędzie, gdzie się da. Nawet najlepsze hasło może wyciec. Drugi składnik — najlepiej aplikacja lub klucz/passkey, nie SMS — zatrzymuje logowanie wykradzionym hasłem.
Passkeye — przyszłość bez haseł. Coraz więcej serwisów wspiera passkeye: logowanie bez hasła, odporne na phishing z założenia. Tam, gdzie są dostępne, warto z nich korzystać.
Jak sprawdzić, czy Twoje hasło jest bezpieczne
Trzy szybkie testy: czy jest długie (min. 12–16 znaków lub pasfraza z 4+ słów)? Czy jest unikalne (nieużywane nigdzie indziej)? Czy nie pojawiło się w wycieku (ostrzeże Cię menedżer haseł lub przeglądarka)? Jeśli na którekolwiek pytanie odpowiedź brzmi „nie” — czas na zmianę i przejście na menedżera.
Najczęstsze pytania (FAQ)
Czy naprawdę nie powinienem zmieniać haseł regularnie? Nie ma potrzeby zmieniać dobrego, unikalnego hasła „na wszelki wypadek” co miesiąc — to pogarsza jakość haseł. Zmieniaj hasło, gdy jest powód: wyciek serwisu, podejrzenie kompromitacji, współdzielenie, które się skończyło. Wyjątek to hasła współdzielone i serwisowe, które warto rotować po odejściu osób z dostępem.
Czy zapisywanie haseł w przeglądarce jest bezpieczne? Lepsze niż powtarzanie jednego hasła, ale gorsze niż dedykowany menedżer. Hasła w profilu przeglądarki wyciekają razem z profilem — infostealery wyciągają je w sekundy. Menedżer z osobnym hasłem głównym i MFA podnosi poprzeczkę.
Jak wymyślić dobre hasło główne do menedżera? Użyj długiej pasfrazy z 4–5 losowych, niepowiązanych słów — łatwej do zapamiętania, a trudnej do złamania. Nie może być używana nigdzie indziej i powinna być chroniona MFA. To jedyne hasło, które musisz pamiętać.
Czy passkeye zastąpią hasła całkowicie? Z czasem prawdopodobnie tak, ale to proces — nie wszystkie serwisy je wspierają. Na razie strategia jest hybrydowa: passkeye i klucze tam, gdzie się da, menedżer haseł z unikalnymi hasłami i MFA na całą resztę. Pisaliśmy o tym szerzej.
Jak wdrożyć dobre praktyki haseł w firmie? Firmowy menedżer haseł, wymuszone MFA, koniec z wymuszaniem częstej zmiany bez powodu i polityka unikalnych haseł to fundament. Opisujemy to w tekście o menedżerach haseł w firmie. Pomożemy wdrożyć — napisz do nas.
Podsumowanie
Wiele „starych prawd” o hasłach to dziś mity: częsta zmiana szkodzi, znaki specjalne znaczą mniej niż długość, a „nie zapisuj” zamieniło się w „użyj menedżera”. To, co naprawdę chroni konta, jest proste: długie pasfrazy, unikalne hasło do każdego serwisu (dzięki menedżerowi), MFA wszędzie i passkeye tam, gdzie są dostępne. Wdrożenie menedżera haseł to pojedyncza zmiana o największym zwrocie — zacznij od niej jeszcze dziś.
Źródła i dalsza lektura: NIST SP 800-63B, Sekurak, Niebezpiecznik.