Entropia hasła wyjaśniona — Dlaczego Twoje "Złożone" hasło jest słabsze niż fraza
Entropia jest jedyną uczciwą miarą siły hasła. Tutaj dowiesz się, jak się ją oblicza, ile czasu potrzebują atakujący aby złamać różne poziomy, i dlaczego cztery losowe słowa często biją 12-znakowe "P@ssw0rd!".
"Stwórz złożone hasło" to bezużyteczna porada. Mówi ci, aby dodać symbol i cyfrę, jakby to gwarantowało bezpieczeństwo. Nie gwarantuje. Jedyną uczciwą miarą siły hasła jest entropia, a większość "złożonych" haseł osiąga na niej wynik gorszy niż myślisz.
Co naprawdę mierzy entropia
Entropia to liczba bitów przypadkowości w Twoim haśle — innymi słowy, ile prób średnio potrzebuje atakujący, aby je złamać siłą brute force. Oblicza się ją jako długość × log₂(rozmiar puli).
Przykład: 10-znakowe hasło zawierające tylko małe litery (pula = 26) ma entropię 10 × log₂(26) ≈ 47 bitów. 10-znakowe hasło zawierające małe litery, wielkie litery, cyfry i symbole (pula = 88) ma 10 × log₂(88) ≈ 64,6 bitów. Taka sama długość, ale większa pula sprawia, że każdy znak pracuje wydajniej.
Ile bitów jest "bezpieczne"?
Przybliżone nowoczesne progi (zakładając dobrze zahaszowane hasło, które przetrwa wyciek bazy danych — jeśli strona używa bcrypt lub argon2, co powinna):
- Poniżej 40 bitów: możliwe do złamania w minuty przez pojedynczą kartę GPU.
- 40–60 bitów: możliwe do złamania w godziny do tygodni przez poważnego atakującego z farmą GPU.
- 60–80 bitów: bezpieczne przed dzisiejszymi atakami offline brute force. Dobry cel dla indywidualnych kont.
- 80–100 bitów: odporne na każdego współczesnego przeciwnika, łącznie z państwami, przez całą żywotność obecnego sprzętu.
- 100+ bitów: przesada dla każdego realistycznego modelu zagrożenia.
Dążyć do 80 bitów dla czegokolwiek, co chroni pieniądze, tożsamość lub infrastrukturę. Dążyć do 100+ dla hasła głównego menedżera haseł.
Pułapka "Złożonego" hasła
Użytkownicy proszeni o stworzenie "złożonego" hasła wybierają przewidywalne wzorce: wielkie litery na początek, cyfrę na koniec, zamienić a na @. Password1! ma 10 znaków i wygląda złożone dla człowieka. Dla programu łamiącego to jedno zaklucze — pojawia się w każdym słowniku wyciekłych haseł.
Rzeczywista entropia haseł wybieranych przez użytkowników jest dramatycznie niższa niż sugeruje rozmiar ich puli, ponieważ ludzie nie są dobrzy w byciu losowymi. Badania konsekwentnie stawiają ją na około 20–30 bitów niezależnie od deklarowanej złożoności.
Dlaczego frazy zwycięża
Fraza to 4–7 losowych słów połączonych myślnikami: ogród-rzeka-ołówek-mocny-zachód-most. Sześć losowych słów z listy 512 słów ma 6 × log₂(512) = 54 bity entropii — więcej niż większość ludzi osiąga ze swoim "złożonym" hasłem, i dramatycznie bardziej pamiętne.
Skaluj do siedmiu słów i przekraczasz 63 bity. Osiem słów z listy 7776 słów (Diceware) daje 103 bity. Wszystko przy zachowaniu łatwości pisania, łatwości zapamiętania i odporności na większość ataków słownikowych (ponieważ kombinacja jest losowa, nawet jeśli każde słowo jest powszechne).
Hasła wymawalne: Złoty środek
W scenariuszach, gdzie hasło musi być dyktowane przez telefon, hasła wymawalne naprzemiennią spółgłoski i samogłoski: baketomiloguno. Każda sylaba (spółgłoska + samogłoska) ma log₂(21 × 5) ≈ 6,7 bitów entropii, więc sześć sylab daje ~40 bitów.
Słabsze niż frazy, ale silniejsze niż typowe hasła wybierane przez ludzi, i krytycznie łatwiejsze do czytania na głos bez pytania "to było O czy zero?".
Generowanie bezpiecznych haseł
Nie polegaj na ludzkiej przypadkowości. Użyj narzędzia. Generator haseł aukimi oferuje trzy tryby — losowy, frazy i wymawalne — z licznikiem entropii na żywo, abyś mógł zobaczyć dokładnie, jak silne jest Twoje wyjście. Używa crypto.getRandomValues (kryptograficznie bezpieczne źródło losowości przeglądarki) i stosuje rejection sampling, aby wyeliminować błąd modulo.
Krytycznie: generowanie odbywa się całkowicie w Twojej przeglądarce. Nic nie jest przesyłane, logowane ani przechowywane. Otwórz kartę sieć w swoim devtools podczas generowania — zobaczysz zero żądań opuszczających stronę.
Jedna reguła
Używaj menedżera haseł. Generuj długie losowe hasło dla każdej strony (Twój menedżer haseł nigdy tego nie zapomni, więc długość nie ma znaczenia dla użyteczności). Użyj frazy jako głównego hasła Twojego menedżera haseł — to jedyne, które musisz pamiętać.
Wszystko inne to optymalizacja. Naucz się tego jednego wzorca, a będziesz lepszy od 95% użytkowników.
Podobał Ci się ten artykuł?
Powiązane Artykuły
Stos kreatywny właśnie się zawalił: Jeden tydzień narzędzi AI, koniec kwietnia 2026
Między 27 kwietnia a 4 maja 2026 roku Adobe, Luma, Novi, fal, Figma, Canva, HeyGen i Anthropic przekroczyły ten sam próg w ciągu ośmiu dni. Oto co się pojawiło, co to oznacza i gdzie to zostawia przeglądarkarskie apartamenty kreatywne, które starają się to wszystko skonsolidować.
AI Music i SFX w 2026: Co naprawdę działa w audio gier indie
Trzy lata temu audio w grach indie pochodziło albo z bibliotek royalty-free (tanio, generyczne, każda gra brzmi tak samo) albo od zatrudnionego kompozytora (świetnie, drogo). W 2026 AI generuje ścieżkę dźwiękową, która trafia do gry. Oto które narzędzia się sprawdzają — i gdzie ludzki kompozytor wciąż wygrywa.
Generowanie siatki AI w 2026 roku: Co naprawdę trafia do pipeline'ów gier
Image-to-3D przeszło od "niesamowitego demo" do "wysyłania w projektach indie" w osiemnaście miesięcy. Oto co Tripo, Meshy, Rodin i Hyper3D naprawdę robią w produkcji — i gdzie artysta 3D wciąż bije model za każdym razem.