Co mówią aktualne standardy bezpieczeństwa

Przez lata mówiono nam: używaj wielkich liter, cyfr i znaków specjalnych, zmieniaj hasło co 90 dni. Brzmiało to rozsądnie. Problem w tym, że takie podejście prowadziło do haseł w stylu Admin2022! – mogłoby się wydawać technicznie „złożonych", a jednak w praktyce beznadziejnych.

Amerykański Narodowy Instytut Standardów i Technologii (NIST) zaktualizował swoje wytyczne SP 800-63B. Główny wniosek jest prosty i brzmi: długość hasła ważniejsza jest od jego skomplikowania. NIST wymaga minimum 15 znaków dla haseł stosowanych jako jedyny składnik uwierzytelniania, natomiast w przypadku haseł używanych w ramach uwierzytelniania wieloskładnikowego (MFA) dopuszcza minimum 8 znaków. NIST odchodzi od wymogu regularnej zmiany haseł, lecz jest ona wymagana w przypadku podejrzenia wycieku danych uwierzytelniających.

My rekomendujemy hasła składające się z co najmniej 14 znaków i 3 klas, jest to poziom, który rzeczywiście utrudnia automatyczne ataki, a jednocześnie pozostaje osiągalny dla każdego użytkownika. Hasło złożone z 14 losowych znaków jest wielokrotnie trudniejsze do złamania niż ośmioznakowe, nawet jeśli to drugie zawiera wykrzykniki i cyfry.

Wspomniana weryfikacja dwuetapowa (MFA, Multi-Factor Authentication) to dziś jedna z ważniejszych warstw zabezpieczeń. Nawet jeśli ktoś pozna twoje hasło, bez drugiego składnika – kodu z aplikacji lub klucza sprzętowego – i tak nie wejdzie na konto. NIST wymaga MFA od poziomu zaufania do procesu uwierzytelnienia AAL2 (ang. Authentication Assurance Level 2), czyli wszędzie tam, gdzie w grę wchodzą dane osobowe lub wrażliwe zasoby. Przy najniższym poziomie AAL1 pozostaje opcjonalne, choć zalecane.

Zamiast wymyślać kolejne trudne do zapamiętania hasło, warto oddelegować ten problem programowi. Menedżery haseł — takie jak Bitwarden, 1Password czy KeePass — generują losowe, długie ciągi znaków dla każdego serwisu osobno i same je zapamiętują. Ty musisz znać tylko jedno hasło główne. NIST zaleca twórcom systemów, aby ich serwisy współpracowały z menedżerami haseł, ponieważ dane pokazują, że ludzie, którzy z nich korzystają, po prostu mają lepsze hasła.

Dlaczego mogą włamać się właśnie do ciebie?

Odpowiedź jest niekomfortowa: bo jesteś przypadkowym celem. Ataki rzadko są celowane na konkretną osobę – częściej działają jak sieć rybacka zarzucona na miliony kont jednocześnie. Dla przestępcy liczy się skala, nie twoja wartość.

Kiedy dochodzi do wycieku danych z jakiegoś serwisu np. sklepu, forum, aplikacji, login i hasło trafiają do bazy danych dostępnej w darknecie. Automatyczne skrypty próbują tych samych danych na dziesiątkach innych stron: banki, poczta, media społecznościowe. Jeśli używasz tego samego hasła w kilku miejscach, jedno włamanie otwiera drzwi do wszystkich kont. Taki atak nazywa się credential stuffing.

Drugi powszechny wektor to phishing, czyli podszywanie się pod zaufane instytucje. Fałszywa wiadomość z banku, od kuriera lub z urzędu. Wystarczy jeden klik i dane logowania trafiają bezpośrednio do atakującego. Nie ma znaczenia, jak skomplikowane jest twoje hasło, jeśli sam je oddasz. Dlatego przed każdym logowaniem warto sprawdzić adres strony, a nie jej wygląd, bo ten można skopiować idealnie.

Zagrożenia, o których mówi się za mało

Oczywiście, poza kradzieżą haseł istnieje szereg ataków działających niezależnie od siły twojego zabezpieczenia. Stalkerware i oprogramowanie szpiegujące instalowane jest często przez osoby z fizycznym dostępem do urządzenia. Rejestruje klawiaturę, rozmowy, lokalizację, w takim przypadku żadne hasło nie ochroni, jeśli urządzenie jest już skompromitowane.

Ataki na sieci publiczne – w kawiarniach, na lotniskach – pozwalają przechwycić nieszyfrowany ruch. Używanie VPN w takich miejscach znacznie ogranicza ryzyko. Z kolei SIM swapping to coraz popularniejszy atak polegający na przejęciu twojego numeru telefonu przez atakującego po sprytnie przeprowadzonej rozmowie z infolinią. Przestępca przejmuje SMS-y z kodami weryfikacyjnymi, omijając tym samym klasyczne zabezpieczenie dwuetapowe. Dlatego warto zastąpić SMS jako metodę weryfikacji MFA aplikacją uwierzytelniającą np. Google Authenticator, Microsoft Authenticator lub kluczem sprzętowym.

Sprawdź, czy twoje dane już wyciekły. Wejdź na haveibeenpwned.com i wpisz swój adres e-mail. Jeśli wynik jest pozytywny, to zmień hasło do tego serwisu i wszędzie tam, gdzie używałeś tego samego.

Coroczny rachunek sumienia. Wyniki są złe

NordPass we współpracy z platformą NordStellar publikuje co roku raport oparty na analizie rzeczywistych baz danych z wycieków i repozytoriów darknetu. Edycja z 2025 roku objęła dane z okresu od września 2024 do września 2025, zebrane z 44 krajów bez pozyskiwania jakichkolwiek danych osobowych. Wnioski są niepocieszające. Na czele globalnej listy niezmiennie plasują się „12345" i „123456", a jakość haseł okazuje się równie niska we wszystkich grupach wiekowych – od najstarszego pokolenia po generację Z. Można by oczekiwać, że młodsi użytkownicy, wychowani w świecie cyfrowym, wybierają silniejsze zabezpieczenia. Dane temu przeczą. Pomimo wieloletnich kampanii edukacyjnych poświęconych cyberbezpieczeństwu dane pokazują tylko minimalne poprawy w higienie haseł, a liczba przypadków naruszeń rośnie z roku na rok.

Polska nie jest tu żadnym wyjątkiem. W edycji 2025 na szczycie polskiego rankingu znalazło się hasło „admin", wypierając ubiegłorocznego lidera „123456", które spadło na drugie miejsce. Dalej w czołówce pojawiają się pozycje, które trudno traktować poważnie jako zabezpieczenie: zaq1@WSX, 12345678, zaq12wsx, Polska123 czy haslo123. Choć zaq1@WSX może na pierwszy rzut oka sprawiać wrażenie skomplikowanego, wystarczy spojrzeć na klawiaturę, by przekonać się, że to po prostu kolejne dwa rzędy klawiszy wpisane po skosie. Na liście pojawiają się też hasła takie jak Kocham12, Mandarynki4 czy imię wieslaw, co potwierdza globalną obserwację NordPass, że użytkownicy chętnie sięgają po bliskie im słowa i imiona, myląc osobistość hasła z jego siłą. Żadnego z tych haseł nie trzeba łamać, wystarczy je po prostu zgadnąć.