Narzędzie do tworzenia haseł Powrót do generatora

Poradnik bezpieczeństwa

Jak długie powinno być hasło?

Dowiedz się, kiedy wybrać 12, 16, 20 lub 32 znaki i dlaczego długość, unikalność oraz przechowywanie hasła są ważniejsze niż wizualna złożoność.

Podsumowanie

Dla większości nowoczesnych kont 16 losowych znaków to solidna praktyczna podstawa. Używaj 20 lub więcej dla ważnych kont osobistych, e-mail, bankowych, służbowych lub administracyjnych. Używaj 32 znaków, gdy hasło będzie przechowywane w menedżerze i chroni dostęp o wysokiej wartości.

Wypróbuj generatory 16 znaków, 20 znaków lub 32 znaków.

Poziomy długości

Krótkie hasła są łatwiejsze do odgadnięcia, ponieważ istnieje mniej możliwych kombinacji. Sześć do dziewięciu znaków jest zwykle zbyt krótkie dla bezpieczeństwa konta. Dziesięć do czternastu znaków może być akceptowane przez wiele usług, ale nie powinno być traktowane jako preferowany wybór dla ważnych kont.

Szesnaście losowych znaków to dobry domyślny wybór, gdy menedżer haseł przechowuje wartość. Dwadzieścia znaków dodaje margines, pozostając kompatybilnym z wieloma witrynami. Trzydzieści dwa znaki są przydatne w panelach administracyjnych, plikach szyfrowanych, poświadczeniach baz danych i lokalnych sekretach.

Losowa długość a ludzka długość

Losowe 16-znakowe hasło bardzo różni się od ludzkiego 16-znakowego wyrażenia. Ludzkie wybory często zawierają słowa, daty, imiona i przewidywalne zakończenia. Atakujący testują te wzorce przed próbą ślepego brute force.

Praktyczne zalecenia

Szczegółowe wskazówki

Ten przewodnik koncentruje się na wyborze długości hasła dla różnych ryzyk kont. Jest napisany dla czytelników porównujących opcje 12, 16, 20, 24 i 32 znaków, więc praktycznym celem nie jest tworzenie dramatycznego twierdzenia o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który przetrwa codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest przydatne tylko wtedy, gdy prawdziwa osoba może go konsekwentnie przestrzegać.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybrana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzorca klawiatury czy ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło, które jest długie, ale używane ponownie, może zawieść szybko po jednym niepowiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do pojedynczego konta, na którym zostało użyte.

W tym temacie praktycznym presetem jest 16 znaków dla zwykłych kont, 20 lub więcej dla ważnych kont i 32 dla sekretów, które są przechowywane, a nie wpisywane. Możesz zastosować ten preset za pomocą generatora haseł 32 znaków, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza narażenie po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić sekret po jego wygenerowaniu.

Najczęstsze problemy, których należy unikać, to krótkie losowe wartości, limity maksymalnej długości, przestarzałe formularze i zakładanie, że stała liczba jest bezpieczna dla każdego systemu. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekłe listy haseł i nadużycia odzyskiwania konta są często bardziej realistyczne niż czyste matematyczne wyszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu (passkeys), przechowywanie kodów odzyskiwania i regularny przegląd ustawień e-maila lub telefonu do odzyskiwania.

Skorzystaj z tej listy kontrolnej przy stosowaniu zaleceń:

Jeśli witryna odrzuca idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną na raz. Jeśli symbole są odrzucane, zachowaj wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która przechowuje poświadczenia w nieodpowiedni sposób. Przydatny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowuj ją bezpiecznie, chroń ścieżkę odzyskiwania i wymień ją szybko, jeśli podejrzewasz narażenie.

Często zadawane pytania

Czy 12 znaków wystarczy?

Losowe 12-znakowe hasło może być przydatne dla kompatybilności, ale 16 lub więcej to lepszy domyślny wybór, gdy usługa to akceptuje.

Kiedy powinienem użyć 20 lub 32 znaków?

Używaj 20 lub więcej dla ważnych kont i 32 dla przepływów pracy administratora, plików szyfrowanych lub sekretów deweloperskich przechowywanych w menedżerze haseł.

Czy hasło może być za długie?

Niektóre usługi narzucają maksymalne długości lub odrzucają symbole. Użyj najdłuższej unikalnej losowej wartości, jaką akceptuje miejsce docelowe.

Źródła