Tools Blog

Jak wygenerować hasła niemożliwe do złamania (i dlaczego generatory online są ryzykowne)

Secure Password Generation

Wszyscy znamy zasady: używaj kombinacji wielkich liter, cyfr i symboli. Nie używaj hasła „hasło123”. Jednak wraz ze wzrostem mocy obliczeniowej i coraz bardziej wyrafinowanymi atakami typu brute-force wykorzystującymi sztuczną inteligencję zmieniają się zasady określające „bezpieczne” hasło.

Siła Entropii

W kryptografii siła hasła jest mierzona w entropii. Oblicza, ile możliwych kombinacji musiałby odgadnąć atakujący, aby złamać hasło. Dwa czynniki definiujące entropię to długość hasła i pula użytych znaków.

16-znakowe hasło składające się wyłącznie z małych liter jest w rzeczywistości wykładniczo trudniejsze do złamania niż 8-znakowe hasło wypełnione cyframi i symbolami. Długość przewyższa złożoność.

Bezpiecznie generuj bezpieczne hasła

Twórz silne kryptograficznie hasła w trybie offline. Nasz generator po stronie klienta gwarantuje, że Twoje nowe hasło nigdy nie opuści Twojego urządzenia.

Otwórz generator haseł offline

Ukryte niebezpieczeństwo związane z generatorami haseł w chmurze

Jeśli użyjesz „generatora haseł” w Google, znajdziesz setki witryn oferujących utworzenie dla Ciebie bezpiecznego ciągu znaków. Większość z nich ma jednak zasadniczą wadę: generują hasło na swoim serwerze zaplecza i wysyłają je do przeglądarki.

Dlaczego to jest złe?

  • Dzienniki serwera: Serwer generujący hasło mógł je rejestrować. Jeśli ta baza danych zostanie zhakowana, Twoje „bezpieczne” hasło zostanie ujawnione, zanim w ogóle z niego skorzystasz.
  • Przechwytywanie sieci: nawet w przypadku protokołu HTTPS wysyłanie haseł w postaci zwykłego tekstu przez Internet stwarza niepotrzebne ryzyko.
  • Śledzenie: złośliwe witryny mogą powiązać wygenerowane hasło z Twoim adresem IP i konkretną witryną, do której próbujesz uzyskać dostęp.

Rozwiązanie po stronie klienta

Jedynym naprawdę bezpiecznym sposobem korzystania z internetowego generatora haseł jest działanie w 100% po stronie klienta. Oznacza to użycie API JavaScript crypto.getRandomValues() bezpośrednio w przeglądarce.

Kiedy generujesz hasło po stronie klienta, żadne dane nie są przesyłane przez sieć. Hasło rodzi się na Twoim komputerze i pozostaje na nim, zapewniając całkowitą prywatność kryptograficzną.