Poradnik bezpieczeństwa

Hasło a fraza hasła

Porównanie losowych haseł znakowych i losowych fraz hasła, w tym zapamiętywalność, entropia, przechowywanie i bezpieczne przypadki użycia.

Podsumowanie

Hasło to zazwyczaj ciąg losowych znaków. Fraza hasła to zazwyczaj sekwencja słów. Każde z nich może być silne, jeśli jest wygenerowane losowo, unikalne oraz bezpiecznie przechowywane lub zapamiętane. Właściwy wybór zależy od tego, czy potrzebujesz maksymalnej zwięzłości, łatwości wpisywania czy zapamiętywalności.

Użyj generatora fraz hasła, gdy chcesz losowe słowa, lub generatora haseł, gdy strona oczekuje zwartego hasła znakowego.

Losowe hasła znakowe

Losowe hasła znakowe są wydajne: każdy znak może zwiększyć przestrzeń poszukiwań. Są idealne do menedżerów haseł, paneli administracyjnych, Wi-Fi, bankowości, poczty elektronicznej i sekretów programistycznych. Wadą jest to, że są trudne do zapamiętania i nieprzyjemne do wpisywania na małych klawiaturach.

Losowe frazy hasła

Frazy hasła są łatwiejsze do odczytania i wpisania. Ważne jest słowo „losowe”. Zdanie, które wymyślisz, cytat, tekst piosenki lub znajome wyrażenie może zostać odgadnięte przez narzędzia oparte na wzorcach. Fraza hasła powinna składać się z niezależnie wybranych słów z odpowiednio dużej listy.

Praktyczne zalecenia

• Używaj losowych haseł znakowych dla większości kont przechowywanych w menedżerze.
• Używaj fraz hasła dla danych logowania, które mogą wymagać zapamiętania.
• Nie powtarzaj żadnego z formatów.
• Unikaj osobistych fraz, cytatów, nazwisk i dat.
• Sprawdź, czy docelowa usługa akceptuje spacje lub separatory.

Szczegółowe wskazówki

Ten przewodnik koncentruje się na wyborze między losowymi hasłami znakowymi a losowymi frazami hasła. Jest napisany dla osób, które potrzebują zarówno bezpiecznych przechowywanych haseł, jak i zapamiętywalnych sekretów logowania, więc praktycznym celem nie jest tworzenie dramatycznego twierdzenia o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który przetrwa codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest użyteczne tylko wtedy, gdy prawdziwa osoba może go konsekwentnie przestrzegać.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzorca klawiatury czy ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło, które jest długie, ale powtarzane, może szybko zawieść po jednym niezwiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do pojedynczego konta, na którym zostało użyte.

W tym temacie praktycznym ustawieniem domyślnym są cztery do sześciu losowych słów dla zapamiętywalności lub losowe znaki dla przechowywania w menedżerze haseł. Możesz zastosować to ustawienie za pomocą generatora fraz hasła, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza narażenie po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić sekret po jego wygenerowaniu.

Najczęstsze problemy, których należy unikać, to odręczne frazy, znane cytaty, teksty piosenek, osobiste slogany i frazy słownikowe wybrane przez człowieka. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekłe listy haseł i nadużycia przy odzyskiwaniu konta są często bardziej realistyczne niż czyste matematyczne przeszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularny przegląd ustawień poczty odzyskiwania lub telefonu.

Skorzystaj z tej listy kontrolnej podczas stosowania zaleceń:

• Używaj losowo wybranych słów, a nie zdania, które wymyślisz.
• Utrzymuj separatory zgodne z docelowym formularzem.
• Nie używaj tej samej frazy hasła na różnych kontach.
• Używaj menedżera dla długich losowych haseł.

Jeśli strona odrzuca idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną na raz. Jeśli symbole są odrzucane, zachowaj wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może uczynić strony phishingowej bezpieczną, naprawić złośliwego oprogramowania ani zrekompensować usługi, która źle przechowuje dane logowania. Użyteczny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowuj ją bezpiecznie, chroń ścieżkę odzyskiwania i wymień ją szybko, jeśli podejrzewasz ujawnienie.

Często zadawane pytania

Czy fraza hasła jest zawsze silniejsza niż hasło?

Nie. Losowa fraza hasła może być silna, ale znajomy cytat lub zdanie nie jest równoważne losowo wybranym słowom.

Kiedy powinienem wybrać frazę hasła?

Wybierz frazę hasła, gdy możesz potrzebować zapamiętać ją lub wpisać ręcznie, zwłaszcza w przypadku danych logowania do menedżera haseł.

Ile słów powinna zawierać fraza hasła?

Cztery losowe słowa to praktyczny punkt wyjścia; dodaj więcej słów dla zastosowań o wyższej wartości lub mniejszych list słów.