Najgłupsze hasła Polaków. Masz 123456? To naprawdę słabe

Hasła takie jak "123456", "password" czy "qwerty" od lat królują na listach najczęściej używanych. W 2024 roku "123456" wciąż pozostaje numerem jeden - zostało użyte ponad 3 miliony razy na całym świecie. Problem polega na tym, że hasła tego typu są wyjątkowo łatwe do złamania, w wielu przypadkach zajmuje to cyberprzestępcom zaledwie sekundę. Raport NordPass pokazuje, że spośród 200 najpopularniejszych haseł większość charakteryzuje się minimalnym poziomem bezpieczeństwa, co naraża użytkowników na poważne zagrożenia, takie jak kradzież danych czy włamania na konta.

Przyczyną częstego korzystania z łatwych do odgadnięcia haseł jest przede wszystkim wygoda. Użytkownicy wybierają proste wzorce, takie jak "qwerty" czy imiona bliskich, bo łatwiej mogą je zapamiętać. Niestety, taka praktyka wiąże się z ogromnym ryzykiem. Cyberprzestępcy dysponują narzędziami, które szybko rozpoznają te schematy. Dane z NordPass wskazują, że nawet osoby na kluczowych stanowiskach, jak dyrektorzy generalni, stosują nieskuteczne zabezpieczenia. Taka sytuacja może prowadzić do poważnych naruszeń bezpieczeństwa, zarówno na poziomie prywatnym, jak i firmowym.

Używanie banalnych haseł znacznie zwiększa ryzyko kradzieży tożsamości oraz wycieku poufnych danych. Hakerzy korzystają z publicznie dostępnych baz danych, zawierających wykradzione informacje z wcześniejszych naruszeń. Umożliwia im to testowanie najczęściej używanych haseł na różnych platformach. Według NordPass wzorce takie jak ciągi liczb czy popularne imiona powtarzają się w wyciekach, co tylko potwierdza skalę problemu.

Raport NordPass przeanalizował dane z ponad 44 krajów, ujawniając najczęściej używane hasła na świecie. Wśród nich znajdziemy:

• "123456"
• "123456789"
• "password"
• "12345"
• "qwerty"

W top 200 wśród polskich użytkowników znalazły się także hasła takie jak "alamakota", "polska" czy "1quaz2wsx", które również są łatwe do złamania.

Hasła oparte na przewidywalnych schematach, czyli sekwencjach klawiszy ("qwerty") lub prostych ciągach liczbowych ("123456", "111111"), są szczególnie narażone na złamanie. Ich prostota pozwala cyberprzestępcom na szybkie odgadnięcie za pomocą tzw. ataków słownikowych lub brute force, czyli metody prób i błędów wspieranej przez automatyczne narzędzia. W przypadku takich haseł czas potrzebny na ich złamanie wynosi często mniej niż sekundę.

Jeszcze większym zagrożeniem jest używanie jednego hasła do wielu kont. W sytuacji, gdy dane użytkownika zostaną ujawnione w wyniku naruszenia bezpieczeństwa w jednej usłudze, cyberprzestępcy mogą wykorzystać to hasło do włamania się na inne konta tej samej osoby. Przykładem jest tzw. credential stuffing, gdzie zautomatyzowane skrypty testują skradzione hasła na wielu platformach.

Silne i dobre hasło powinno być trudne do odgadnięcia przez cyberprzestępców, a jednocześnie łatwe do zapamiętania dla użytkownika. Oto sprawdzone wskazówki, które pomogą ci stworzyć skuteczne hasło:

Długość hasła

Silne hasło powinno mieć minimum 12 znaków, a najlepiej 16 lub więcej. Im dłuższe hasło, tym trudniejsze do złamania. Dłuższe hasła skutecznie chronią przed tzw. atakami brute force, w których programy testują miliardy kombinacji w celu złamania zabezpieczeń.

Zróżnicowane znaki

Dobrym rozwiązaniem jest użycie kombinacji różnych typów znaków:

• Wielkie i małe litery (np. "A" i "a");
• Cyfry (np. "7" lub "3");
• Znaki specjalne (np. "@", "#" lub "%").

Przykład: R0zw@żny_K@tSłon2024!

Unikalność

Hasło powinno być unikalne dla każdego konta, aby ograniczyć ryzyko ataku typu credential stuffing, gdzie cyberprzestępcy testują jedno hasło na różnych platformach. Unikaj haseł opartych na osobistych informacjach, takich jak imię, data urodzenia czy nazwa ukochanej drużyny - są one łatwe do odgadnięcia.

Metoda frazowa

Tworzenie haseł w oparciu o nietypowe frazy to skuteczny sposób na zapamiętanie złożonych haseł. Wybierz losowe słowa i połącz je znakami specjalnymi lub cyframi.

Przykład: Kot#Chomik15Latający!.

Menedżery haseł

Jeśli trudno ci zapamiętać wiele unikalnych i długich haseł, skorzystaj z menedżera haseł. Narzędzia takie jak NordPass, LastPass czy 1Password automatycznie generują i przechowują silne hasła, eliminując problem ich zapamiętywania.

Dwustopniowa weryfikacja (2FA)

Hasło, choćby najbezpieczniejsze, można dodatkowo wzmocnić za pomocą weryfikacji dwuetapowej. Dzięki temu dostęp do konta wymaga drugiego elementu, takiego jak kod z aplikacji uwierzytelniającej czy SMS.

Regularna zmiana haseł

Choć częsta zmiana haseł nie zawsze jest konieczna, zaleca się aktualizację, jeśli pojawią się jakiekolwiek podejrzenia naruszenia bezpieczeństwa. W przypadku bankowości internetowej oraz skrzynki e-mail, hasła warto zmieniać co 3-6 miesięcy lub po każdej podejrzanej aktywności. W przypadku kont osobistych o niskim ryzyku (np. fora internetowe) wystarczy zmiana raz na rok, o ile hasło jest unikalne i silne.

Amerykańska agencja rządowa National Institute of Standards and Technology (NIST) odchodzi od rekomendowania częstej zmiany haseł na rzecz tworzenia silnych i unikalnych haseł. Zaleca natomiast zmieniać hasła głównie w przypadku incydentów bezpieczeństwa, zamiast ustalania sztywnego harmonogramu.

W środowisku biznesowym hasła do systemów firmowych powinny być zmieniane co 90 dni, zwłaszcza jeśli użytkownik ma dostęp do wrażliwych danych. Dodatkowo firmy powinny stosować menedżery haseł i monitorować potencjalne wycieki danych.

Passkeys to nowoczesna metoda uwierzytelniania, która eliminuje konieczność stosowania tradycyjnych haseł. Technologia ta zmienia urządzenie użytkownika w klucz dostępu do konta. Proces ten wykorzystuje zaawansowaną kryptografię, zapewniając większe bezpieczeństwo i wygodę w codziennym korzystaniu z usług online.

Passkeys łączą w sobie funkcję hasła i weryfikacji tożsamości w jednym kroku. Uwierzytelnianie odbywa się za pomocą biometrii, np. odcisku palca czy rozpoznawania twarzy, lub za pomocą kodu PIN. Dane uwierzytelniające są przechowywane lokalnie na urządzeniu i chronione dzięki kryptografii klucza publicznego. Klucz publiczny jest przekazywany do serwera w celu weryfikacji, podczas gdy klucz prywatny pozostaje na urządzeniu użytkownika i nigdy nie opuszcza jego pamięci.

Wiodące firmy technologiczne, czyli Google, Apple czy Microsoft, intensywnie rozwijają systemy oparte na passkeys, dążąc do stworzenia środowiska cyfrowego wolnego od tradycyjnych haseł. Passkeys mają potencjał, by zastąpić inne formy uwierzytelniania, takie jak pytania zabezpieczające czy kody jednorazowe wysyłane SMS-em.

Przeczytaj również:

Hasła, które lepiej od razu zmienić. Jakich numerów PIN nie używać?

Rząd radzi - wyłącz telefon przynajmniej raz w tygodniu

Hakerzy żądają od francuskiej firmy 125 tys. dolarów w bagietkach

***

Bądź na bieżąco i zostań jednym z 88 tys. obserwujących nasz fanpage - polub Geekweek na Facebooku i komentuj tam nasze artykuły!