Hasła są podstawowym mechanizmem ochrony kont internetowych – i jednocześnie najczęstszą przyczyną ich utraty. Ponowne użycie tego samego hasła na wielu serwisach, zbyt krótkie kombinacje lub hasła oparte na łatwych do odgadnięcia informacjach osobistych sprawiają, że jedno przejęte konto otwiera drogę do kolejnych.
Dlaczego „silne hasło" to za mało?
Nawet hasło złożone z wielkich liter, cyfr i znaków specjalnych traci wartość, jeśli jest używane na kilku stronach jednocześnie. W przypadku wycieku bazy danych jednego serwisu atakujący testują przejęte dane logowania automatycznie na innych popularnych witrynach (tzw. credential stuffing). Skala takich wycieków jest duża – wiele popularnych serwisów doświadczyło naruszeń, które objęły dziesiątki milionów kont na świecie.
Aby sprawdzić, czy Twój adres e-mail pojawił się w znanych wyciekach, możesz skorzystać z narzędzia Have I Been Pwned – jest to darmowy serwis monitorujący publiczne bazy skradzionych danych.
Co decyduje o sile hasła?
Długość hasła jest ważniejsza niż jego złożoność. Losowe hasło składające się z 20 liter jest trudniejsze do złamania metodą brute force niż 8-znakowe hasło zawierające wszystkie typy znaków. Rekomendacje dotyczące minimalnej długości haseł różnią się w zależności od źródła, jednak konsensus środowiska bezpieczeństwa wskazuje na co najmniej 12–16 znaków dla kont standardowych i więcej dla kont kluczowych (bankowość, poczta, menedżer haseł).
Cechy dobrego hasła:
- Co najmniej 16 znaków (im więcej, tym lepiej),
- losowa kombinacja liter, cyfr i symboli,
- nie zawiera imion, dat urodzenia, nazw zwierząt ani słów słownikowych,
- nigdy wcześniej nie używane w innym serwisie.
Metoda passphrase: Alternatywą dla losowych haseł jest łańcuch czterech lub więcej niepowiązanych ze sobą słów, np. liść.tramwaj.chmura.38.zegar. Takie hasło jest długie, łatwe do zapamiętania i trudne do złamania.
Menedżer haseł – po co go używać?
Menedżer haseł to aplikacja, która przechowuje i szyfruje wszystkie hasła, generuje nowe przy zakładaniu kont i automatycznie uzupełnia formularze logowania. Dzięki niemu wystarczy zapamiętać jedno główne hasło (master password) zamiast kilkudziesięciu różnych kombinacji.
Darmowe i otwarte menedżery haseł:
- Bitwarden – open source, synchronizacja przez chmurę, dostępny na wszystkich platformach,
- KeePassXC – przechowuje dane lokalnie, bez chmury, pełna kontrola nad plikiem bazy.
Oba narzędzia są audytowane przez niezależnych badaczy bezpieczeństwa i rekomendowane przez środowisko bezpieczeństwa IT. Wybór między nimi zależy głównie od tego, czy preferujesz synchronizację między urządzeniami (Bitwarden) czy lokalne przechowywanie danych (KeePassXC).
Weryfikacja dwuetapowa (2FA)
Nawet prawidłowo zabezpieczone hasło może zostać wykradzione przez phishing lub złośliwe oprogramowanie. Weryfikacja dwuetapowa (2FA, MFA) dodaje drugi element uwierzytelniania – kod jednorazowy, który zmienia się co 30 sekund i jest generowany na Twoim urządzeniu.
Rodzaje 2FA:
- Aplikacja TOTP (Time-based One-Time Password) – np. Aegis Authenticator (Android), Raivo OTP (iOS). Kod generowany lokalnie, bez internetu.
- SMS – mniej bezpieczna metoda; kod może zostać przechwycony przez atak SIM swap. Mimo to lepsza niż brak 2FA.
- Klucz sprzętowy (FIDO2/WebAuthn) – np. YubiKey. Najwyższy poziom ochrony; klucz fizyczny musi być podłączony do urządzenia przy logowaniu.
Na większości popularnych serwisów (Google, Facebook, konta bankowe, Microsoft) opcję 2FA znajdziesz w ustawieniach bezpieczeństwa konta. Warto ją aktywować wszędzie tam, gdzie jest dostępna.
Co zrobić po przejęciu konta?
- Jak najszybciej zmień hasło ze sprawdzonego urządzenia (najlepiej takiego, na którym nie logowałeś się do przejętego konta).
- Sprawdź historię logowań i aktywne sesje – wyloguj wszystkie nieznane urządzenia.
- Zmień hasło we wszystkich serwisach, na których używałeś tego samego lub podobnego hasła.
- Jeśli dotyczy konta e-mail – sprawdź, czy nie ustawiono przekierowania wiadomości na zewnętrzny adres.
- W przypadku przejęcia konta bankowego – natychmiast skontaktuj się z bankiem przez oficjalną infolinię.