Dobre hasło nie musi wyglądać jak losowy ciąg znaków, żeby było trudne do złamania. Pokażę przykłady haseł, które warto traktować jako wzorzec, oraz takie, których lepiej nie kopiować, bo łamią się po wycieku danych albo przy ataku słownikowym. Do tego dorzucam prosty sposób budowania fraz, które da się zapamiętać bez notatki pod klawiaturą.
Najważniejsze są długość, unikalność i dodatkowa ochrona konta
- Najlepsze hasła są długie i unikalne, a nie tylko „skomplikowane” na pokaz.
- Fraza z 4-5 niepowiązanych słów zwykle sprawdza się lepiej niż krótki miks typu
Haslo123!. - Dodanie jednego znaku specjalnego do słabego rdzenia nie naprawia problemu.
- Do ważnych kont warto dołożyć menedżer haseł i MFA, bo samo hasło nie zatrzymuje phishingu.
- Hasła zmieniam po incydencie, a nie profilaktycznie co miesiąc bez powodu.
Jak wyglądają naprawdę dobre i naprawdę słabe wzorce
Jeśli mam ocenić hasło w praktyce, patrzę najpierw na to, czy da się je przewidzieć z danych o użytkowniku, a dopiero później na ozdobniki. Dobre hasło jest długie, nie zawiera oczywistych skojarzeń i nie wygląda jak coś, co podałoby 100 innych osób po pięciu sekundach myślenia. Złe hasło zwykle zdradza schemat: imię, rok urodzenia, układ klawiatury albo słowo, które da się zgadnąć bez znajomości właściciela.
| Wzorzec | Przykład | Ocena | Dlaczego |
|---|---|---|---|
| Ciąg prostych cyfr | 123456 |
Bardzo słabe | To jeden z pierwszych ciągów sprawdzanych przez automaty i ludzi. |
| Układ z klawiatury | qwerty123 |
Słabe | Wygląda „bardziej skomplikowanie”, ale nadal jest przewidywalne. |
| Imię plus data | Ala1998! |
Słabe | Łączy dane osobowe z prostym schematem, więc łatwo je odtworzyć. |
| Fraza z kilku niepowiązanych słów | Rzeka-Most-Szafir-47 |
Dobre | Jest dłuższe, mniej przewidywalne i nie opiera się na danych o użytkowniku. |
| Długa, własna fraza | WieczornyKompasNieZgadujeTrasy8 |
Bardzo dobre | Łączy długość z osobistym rytmem zapamiętywania, ale bez oczywistego wzoru. |
W analizach wycieków nadal wracają ciągi w rodzaju 123456 i qwerty, więc nie trzeba wyszukanego ataku, żeby wiele kont wyglądało na łatwe do przejęcia. Ja z tego wyciągam prosty wniosek: jeśli hasło przypomina coś, co da się odgadnąć po jednym spojrzeniu, to nie jest materiałem na ochronę ważnego konta. To prowadzi już do pytania, jak zbudować własną frazę, która nie będzie kopią cudzych schematów.
Jak zbudować własną frazę, którą da się zapamiętać
Najlepiej działa podejście oparte na długości i naturalnym rytmie, a nie na sztucznej „złożoności”. W praktyce celuję w co najmniej 15 znaków dla kont chronionych tylko hasłem, bo krótkie kombinacje z dopisanym znakiem specjalnym nadal przegrywają z dłuższą frazą. Nie muszę też co miesiąc zmieniać hasła „na wszelki wypadek” - robię to wtedy, gdy mam realny sygnał kompromitacji albo wyciek.
- Wybieram 4-5 słów, które nie wynikają z moich danych osobowych.
- Układam z nich obraz, scenę albo zdanie, które łatwo zapamiętać.
- Dodaję liczbę lub znak, ale nie opieram bezpieczeństwa wyłącznie na tym dodatku.
- Unikam cytatów, powiedzeń i oczywistych słów, które da się odtworzyć ze słownika.
- Tworzę osobną wersję dla każdego serwisu, zamiast mnożyć te same hasła.
Lepszy jest wzorzec typu WieczornyMostCzekaNaTramwaj52 niż coś w stylu Adam1994!, bo pierwszy wariant daje długość i nieoczywistość, a drugi tylko pozory. Gdy trzymam się takiej logiki, hasło przestaje być zbiorem przypadkowych znaków, a zaczyna działać jak zapamiętywalna fraza bez przewidywalnego rdzenia. Samo to jednak nie wystarcza, jeśli wokół hasła zostawiam stare nawyki, które psują cały efekt.
Najczęstsze błędy, które osłabiają hasła
Tu mam dość prostą listę, bo w praktyce te same błędy wracają bez przerwy. Niebezpieczne nie są tylko „słabe” hasła; równie problematyczne bywają hasła, które wyglądają rozsądnie, ale są zbudowane ze zbyt oczywistego schematu.
- Imię, nazwisko lub data urodzenia - łatwe do zdobycia z social mediów albo z innych wycieków.
- To samo hasło w kilku miejscach - jeden wyciek potrafi wtedy otworzyć więcej niż jedno konto.
-
Układ klawiatury typu
asdfghczyqwerty123- wygląda na przypadek, ale nim nie jest. -
Prosta kosmetyka w stylu dopisania
!do słowa bazowego - to nadal jest przewidywalny schemat. - Nazwa usługi lub firmy w haśle - dodaje tylko trochę szumu, a nie realną odporność.
- Niechronione notatki w telefonie lub na komputerze - hasło bywa dobre, ale jego przechowywanie już nie.
CERT Polska wielokrotnie pokazywał, że w realnych danych wciąż przewijają się banalne ciągi, więc problem nie polega na braku „wyrafinowania”, tylko na powtarzalnych schematach. Ja patrzę na to tak: jeżeli ktoś może zbudować listę potencjalnych haseł, znając tylko twoje imię, rok urodzenia i kilka publicznych informacji, to ochrona jest zbyt słaba. Dlatego samo hasło traktuję jako bazę, a nie kompletną ochronę konta.
Co dołożyć do hasła, żeby konto było naprawdę trudne do przejęcia
W 2026 roku nie rozpatruję hasła w próżni. Najlepszy efekt daje połączenie hasła, menedżera haseł i MFA, czyli uwierzytelniania wieloskładnikowego. To ważne, bo samo hasło nie jest odporne na phishing: jeśli ktoś wpisze je na fałszywej stronie, nadal może je oddać atakującemu.
| Warstwa | Co daje | Ograniczenie |
|---|---|---|
| Menedżer haseł | Ułatwia trzymanie unikalnych, długich haseł bez pamiętania wszystkiego. | Chroni go jedno hasło główne, więc warto zabezpieczyć je dodatkowo. |
| Aplikacja uwierzytelniająca | Dodaje drugi składnik logowania i utrudnia samodzielne przejęcie konta. | Nie zatrzymuje wszystkich ataków, ale jest wyraźnie lepsza niż brak MFA. |
| SMS | Jest lepszy niż brak drugiego składnika. | To najsłabsza z popularnych opcji, więc traktuję ją jako plan awaryjny. |
| Passkeys | Ograniczają wpisywanie hasła i mocno podnoszą odporność na phishing. | Nie wszędzie są jeszcze dostępne, więc nie zastępują całej strategii. |
NIST wprost podkreśla, że hasła nie są odporne na phishing i nie warto opierać na nich całego bezpieczeństwa. Ja z tego wyciągam praktyczny wniosek: jeśli serwis wspiera passkeys, korzystam z nich tam, gdzie to ma sens; jeśli nie, zostaje mocne hasło, menedżer i MFA w aplikacji. Taki układ jest mniej efektowny niż „magiczne” superhasło, ale w realnym użyciu działa lepiej.
Jak ułożyć bezpieczny system na co dzień
- Do poczty i banku używam osobnych, długich fraz, a nie jednego wspólnego hasła dla wszystkiego.
- Do reszty kont generuję unikalne hasła w menedżerze i nie próbuję ich pamiętać ręcznie.
- Kody odzyskiwania trzymam poza głównym urządzeniem, najlepiej offline.
- Nie zapisuję haseł w zwykłych notatkach bez blokady i nie wysyłam ich sobie mailem.
- Po podejrzanym logowaniu lub wycieku zmieniam hasło natychmiast, zamiast czekać na „lepszy moment”.
Jeśli miałbym zostawić jedną praktyczną zasadę, wybrałbym tę: hasło ma być długie, unikalne i wspierane drugim składnikiem. Wtedy nawet gdy jedno konto zostanie naruszone, nie ciągnie za sobą całej reszty. To jest najrozsądniejszy model bezpieczeństwa na dziś i ten, który faktycznie skaluje się lepiej niż ręczne wymyślanie kolejnych „mocnych” kombinacji.
