Czy moje hasło jest wysyłane na wasz serwer?

Nie. Cała analiza siły hasła wykonywana jest w JavaScript bezpośrednio w Twojej przeglądarce. Hasło nie opuszcza Twojego urządzenia — nie jest wysyłane przez sieć, nie jest zapisywane w logach ani w bazie danych. Możesz spokojnie sprawdzić nawet hasło, którego aktywnie używasz.

Co oznacza wynik w bitach entropii?

Entropia to miara nieprzewidywalności hasła. Hasło o 60 bitach entropii wymaga średnio 2⁵⁹ prób — to wiele lat dla typowego atakującego. Powyżej 80 bitów hasło uchodzi za silne, powyżej 100 — za bardzo silne. Poniżej 40 bitów hasło zostanie złamane w godzinach lub sekundach.

Skąd bierze się szacowany czas złamania?

Zakładamy atak offline (atakujący ma skradzioną bazę z zahaszowanymi hasłami) na klasie sprzętowej GPU, która wykonuje ok. 10¹¹ (100 mld) prób na sekundę dla szybkich hashy typu MD5/SHA-1. To realistyczny scenariusz, gdy serwis wycieknie z bazy haseł. Dla wolnych hashy (bcrypt, argon2) czas wydłuża się 10⁴–10⁶ razy.

Jak długie powinno być silne hasło?

NIST i CERT Polska zalecają minimum 12 znaków dla codziennych kont, 14–16 znaków dla poczty, mediów społecznościowych i menedżerów haseł, oraz 20+ znaków dla bankowości i kont administracyjnych. Liczy się przede wszystkim długość — każdy dodatkowy znak zwiększa liczbę kombinacji wykładniczo.

Dlaczego hasło typu „P@ssw0rd!” oznaczacie jako słabe?

Mimo że ma wszystkie typy znaków, jest oparte na popularnym słowie z typowymi podstawieniami (a→@, o→0, s→$). Łamacze haseł takie jak Hashcat czy John the Ripper mają reguły, które testują takie warianty w sekundach. Prawdziwie silne hasło musi być losowe lub być długą frazą z niepowiązanych słów.

Skąd lista najczęstszych haseł?

Korzystamy z fragmentu publicznych zestawów wyciekowych (m.in. rockyou, Have I Been Pwned, top-list NCSC) — kilkadziesiąt najpopularniejszych haseł, które atakujący próbują w pierwszej kolejności. Jeśli Twoje hasło znajdzie się na tej liście, zmień je natychmiast.

Co zrobić, jeśli moje hasło wypadło słabo?

Po pierwsze: zmień je we wszystkich serwisach, w których go używasz. Po drugie: użyj generatora silnych haseł, aby stworzyć losowe 16+ znakowe hasło dla każdego konta osobno. Po trzecie: zainstaluj menedżer haseł (Bitwarden, 1Password, KeePassXC) — żeby nie musieć zapamiętywać dziesiątek różnych haseł.

Silne hasło — sprawdź siłę i bezpieczeństwo hasła online

Silne hasło to dziś nie luksus, a podstawa cyberbezpieczeństwa. W tym narzędziu w czasie rzeczywistym sprawdzisz, ile bitów entropii ma Twoje hasło, jak długo zajęłoby jego złamanie atakiem bruteforce i jakie błędy obniżają jego siłę. Cała analiza dzieje się lokalnie w przeglądarce — hasło nigdy nie trafia na żaden serwer.

Czym mierzymy siłę hasła

O sile hasła decydują trzy rzeczy: długość, rozmiar puli znaków oraz nieprzewidywalność. Pierwsze dwie składają się na tzw. entropię, którą wyrażamy w bitach.

Entropia [bity] = długość × log₂(pula znaków)

Przykład: hasło 14-znakowe z pełnej puli (94 znaki) ≈ 14 × 6,55 = 92 bity — bardzo silne. Hasło 8-znakowe z samych małych liter ≈ 38 bitów — łamie się w minutach.

Co sprawdza nasz tester

Długość hasła i pulę użytych znaków (małe/wielkie litery, cyfry, symbole).
Entropię w bitach i szacowany czas złamania bruteforce.
Czy hasło znajduje się na liście najczęstszych haseł z wycieków (rockyou, HIBP).
Ciągi sekwencyjne typu 1234, abcd, qwerty — które łamacze testują pierwsze.
Powtórzenia tego samego znaku (aaa, 111) obniżające realną entropię.
Hasła zbudowane wyłącznie z cyfr (PIN-y są niewystarczające do bankowości online).

Tabela: ile zajmuje złamanie hasła

Czas złamania hasła atakiem offline (10¹¹ prób/s, GPU klasy konsumenckiej)

Długość	Typ znaków	Entropia	Czas złamania
6 znaków	tylko małe litery	~28 bitów	kilka sekund
8 znaków	litery + cyfry	~48 bitów	kilka godzin
8 znaków	litery + cyfry + symbole	~52 bity	kilka dni
12 znaków	litery + cyfry + symbole	~79 bitów	ok. 200 tys. lat
14 znaków	litery + cyfry + symbole	~92 bity	ok. 1 mld lat
16 znaków	litery + cyfry + symbole	~105 bitów	praktycznie nigdy

Dlaczego „P@ssw0rd!” nie jest silnym hasłem

Łamacze haseł takie jak Hashcat i John the Ripper używają tzw. reguł mangujących: biorą słownik popularnych słów i automatycznie testują warianty z podstawieniami (a→@, o→0, e→3, s→$) oraz dodanymi cyframi na końcu. Hasła typu P@ssw0rd!, Kochanie123, Polska2024! łamią się w sekundach, mimo że spełniają „wymóg trzech typów znaków”. Prawdziwe silne hasło musi być losowe — albo wygenerowane przez program, albo zbudowane z 4–6 niepowiązanych słów (passphrase).

Jak zbudować naprawdę silne hasło

Minimum 14 znaków — to dziś próg, który chroni przed bruteforce na lata.
Wszystkie typy znaków: wielkie, małe, cyfry, symbole — pula 94 znaków daje 6,55 bitu na znak.
Losowość — użyj generatora kryptograficznego, nie wymyślaj samodzielnie.
Unikalność — każde konto powinno mieć inne hasło (jeden wyciek nie otwiera reszty).
Brak danych osobistych — imię, data urodzenia, miasto, imię psa są w słownikach atakujących.
Menedżer haseł zamiast pamięci — Bitwarden, 1Password, KeePassXC, iCloud Keychain.

Włącz dwuetapową weryfikację (2FA)

Nawet bardzo silne hasło nie chroni przed phishingiem ani wyciekiem hasła w postaci jawnej. Drugi etap logowania (kod TOTP z Google Authenticator/Authy/Aegis lub klucz sprzętowy YubiKey) blokuje logowanie, nawet jeśli atakujący zna Twoje hasło. Włącz 2FA wszędzie: bankowość, poczta, social media, GitHub, menedżer haseł.

Najważniejsze wnioski

Sprawdzaj siłę hasła entropią — minimum 60 bitów, najlepiej 80+.
Długość bije skomplikowanie — 16 losowych małych liter jest silniejsze niż 8 znaków z symbolami.
Hasła z podstawieniami (P@ssw0rd!) łamią się tak samo szybko jak słownikowe.
Każde konto = inne hasło. Menedżer haseł rozwiązuje problem zapamiętywania.
2FA to drugi mur — włącz wszędzie, gdzie się da.

Czy moje hasło jest silne? — tester siły hasła

Jak sprawdzić siłę hasła