Wszyscy musimy dbać o tworzenie haseł bezpiecznych pod kątem matematycznym. Jeśli należysz do setek tysięcy osób, które używają w swoich hasłach imion i dat urodzenia(nowe okno), to najwyższy czas, aby zwiększyć bezpieczeństwo logowania.
W tym artykule wyjaśniamy, jak oszacować i poprawić entropię hasła, co jest świetnym sposobem na zwiększenie bezpieczeństwa online. Istnieje jednak pewien kompromis: maksymalizacja entropii hasła zasadniczo oznacza, że stanie się ono niemożliwe do zapamiętania. Jak zawsze, istnieje komiks XKCD(nowe okno), który podsumowuje ten problem.
Biorąc pod uwagę, do jak wielu usług online wszyscy się rejestrujemy (przynajmniej kilkadziesiąt), zapamiętanie silnego hasła do każdej z nich jest dla przeciętnej osoby niemal niemożliwe.
Dlatego zalecamy korzystanie z menadżera haseł, takiego jak Proton Pass, który potrafi generować hasła o niezwykle wysokiej entropii. Zapamięta on je za Ciebie i zapewni autouzupełnianie.
Poniżej wyjaśniamy, co oznacza entropia hasła, jak ją obliczyć i jak wpływa ona na siłę Twojego hasła. Pomoże Ci to wybrać najbezpieczniejsze ustawienia w menadżerze haseł (lub uniknąć logowania do usług, które wymagają haseł o bardzo niskiej entropii).
Co oznacza „entropia hasła”?
Entropia hasła odnosi się do tego, jak nieprzewidywalne jest Twoje hasło lub fraza, mierzone w bitach. Zazwyczaj im więcej bitów entropii, tym bardziej złożone jest hasło i tym trudniej je złamać za pomocą ataków typu brute force.
Atakujący typu brute force stosują metodę prób i błędów, aby odgadnąć kombinacje znaków w danych logowania, hasłach i danych szyfrowania.
Na przykład wielu hakerów używa złożonych skryptów i maszyn do zautomatyzowania tysięcy prób odgadnięcia hasła w ciągu kilku minut. W jednym z najbardziej zaskakujących przypadków badacze przetworzyli do 350 miliardów prób odgadnięcia hasła(nowe okno) na sekundę.
Atakujący wykorzystują ataki brute force, aby szybko ujawnić słabe hasła. Mierząc i ustalając priorytety entropii swoich haseł, możesz pomóc zapobiec wpadnięciu tych danych w niepowołane ręce.
Jak entropia hasła wpływa na siłę hasła?
Na entropię hasła, a co za tym idzie na jego siłę, wpływa kilka czynników. Musisz wziąć pod uwagę:
- Długość (w znakach)
- Użycie wielkich i małych liter
- Użycie znaków numerycznych
- Użycie znaków specjalnych
Ze wszystkich wymienionych tutaj elementów długość hasła jest najważniejsza. Wystarczająco długie hasło oprze się niemal każdemu atakowi typu brute force. Możesz dodatkowo zwiększyć entropię, używając losowych wielkich liter, znaków specjalnych i cyfr.
Jednak entropia to nie tylko to, jak długo lub złożono wygląda Twoje hasło. Może ona również zależeć od sposobu jego utworzenia. Prawdziwie losowy ciąg znaków ma znacznie wyższą entropię niż typowe słowo lub fraza, nawet jeśli oba mają tę samą długość.
Hakerzy mogą używać ataków słownikowych, aby odgadnąć Twoje dane logowania, jeśli użyjesz rozpoznawalnego słowa lub popularnej frazy w swoim haśle.
Atakujący stosujący słownik automatyzuje ataki brute force, sprawdzając każde słowo w słowniku, które może zostać użyte w haśle.
Dlatego niezależnie od entropii Twojego hasła, nadal jesteś narażony na atak, jeśli używasz w swoich danych logowania imion zwierząt domowych, nazw drużyn sportowych lub innych popularnych haseł (na przykład nigdy nie używaj słowa „hasło”).
Jak obliczyć entropię hasła
Wyjaśniamy, jak obliczyć entropię hasła, ale należy pamiętać, że jest to tylko demonstracja. Nie można bezpiecznie oszacować entropii hasła na podstawie jego wyglądu. Hasła generowane przez ludzi — nawet te długie — są często wysoce przewidywalne. Jeśli hasło nie zostało utworzone za pomocą generatora losowego, należy założyć, że jego entropia jest niższa, niż myślisz.
Zakładając, że używasz losowego ciągu znaków, entropia hasła mierzona jest w bitach i zależy od dwóch głównych czynników:
- Liczby znaków dostępnych w zakresie wybranym dla hasła
- Liczby znaków w haśle
Dlatego entropia hasła rośnie wraz z jego długością i szerszym zakresem możliwych znaków. Długie hasło, które zawiera wielkie litery, małe litery, symbole i cyfry, takie jak kmXz2=zs[m%7?y4A, będzie miało bardzo wysoką entropię.
Hasło, które używa tylko małych liter lub cyfr, takie jak dzormybs lub 119022833, będzie miało bardzo niską entropię.
Hasła (frazy) są łatwiejsze do zapamiętania, ale musisz zachować ostrożność. Muszą one być dłuższe, aby uzyskać podobny poziom entropii. Na przykład fraza taka jak HelpFidoSaveChocolate33! wygląda na złożoną, ale ponieważ składa się z czterech popularnych angielskich słów i przewidywalnej kombinacji cyfr i symboli na końcu, jej rzeczywista entropia może wynosić około 50 bitów. Jest to znacznie mniej niż w przypadku kmXz2=zs[m%7?y4A, mimo że jest o osiem znaków krótsza.
Czym są bity entropii?
Bity entropii mierzą, jak trudne do złamania jest hasło. Na przykład hasło, które już znasz, ma zero bitów.
Za pomocą wzoru możemy obliczyć, ile bitów entropii zawiera hasło, a wraz z tym, ilu prób odgadnięcia potrzebowałby skrypt lub maszyna atakującego, aby uzyskać dostęp.
Jednak zanim będziemy mogli obliczyć entropię hasła, musimy zmierzyć wszystkie różne możliwe zakresy znaków.
Mierzenie zakresów znaków
Poniższa tabela pokazuje, jak rosną Twoje opcje znaków, gdy dodajesz różne znaki do swojego hasła, jeśli piszesz po angielsku. Liczba liter i symboli może się różnić w zależności od używanego języka.
| Typ znaku | Przykład(y) | Rozmiar zakresu |
| Cyfry | 0, 1, 2, 3 | 10 |
| Litery łacińskie (małe) | a, b, c, d | 26 |
| Litery łacińskie (wielkie) | A, B, C, D | 26 |
| Symbole specjalne | !, @, %, $ | 32 |
Im większy wybór potencjalnych znaków dasz potencjalnym hakerom, tym wyższa będzie entropia Twojego hasła. Dlatego wybieraj możliwie jak najszerszy zakres znaków i stosuj mieszankę wszystkich czterech typów.
Oto kilka przykładowych haseł i ich całkowite zakresy znaków:
| Przykład | Całkowity zakres znaków |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Pamiętaj, powyższe dane pokazują potencjalny rozmiar zakresów znaków, a nie bity entropii. Aby obliczyć precyzyjną entropię haseł w bitach, musimy użyć określonego wzoru.
Wzór na entropię hasła
Możesz zmierzyć entropię hasła w bitach, korzystając z następującego wzoru:
E = L × log2(R)
W tym wzorze:
- E to entropia hasła
- R to możliwy zakres typów znaków w Twoim haśle (pokazany w powyższych tabelach)
- L to liczba znaków w Twoim haśle (jego długość)
- Log2 odpowiada na pytanie „do jakiej potęgi należy podnieść 2, aby uzyskać tę liczbę”
Korzystając z tego wzoru, oto jak mierzy się entropię kilku przykładowych haseł w bitach:
| Przykład | Zakres znaków | Długość hasła | Obliczenie | Bity entropii |
| fygwcbjnhsbh | 26 | 12 zn. | E = 12 x 4,7 | 56,4 |
| HzgNhHkY1WQ8AM | 62 | 14 zn. | E = 14 x 5,95 | 83,3 |
| kmXz2=zs[m%7?y4A | 94 | 16 zn. | E = 16 x 6,55 | 104,8 |
Matematyka pokazuje, że im dłuższe i bardziej złożone jest hasło, tym więcej posiada bitów entropii.
Pamiętaj, że te obliczenia mają zastosowanie tylko do losowo wygenerowanych haseł. Hasła, które używają popularnych słów, muszą być dłuższe i zawierać nietypowe, niepowiązane słowa (a najlepiej liczby i symbole), aby zapewnić podobny poziom bezpieczeństwa.
I pamiętaj, że te obliczenia służą bardziej celom demonstracyjnym niż praktycznym. Powinieneś polegać na generatorach haseł, zamiast samodzielnie próbować obliczać, jak silne jest hasło.
Możesz skorzystać z naszego darmowego generatora hasła, aby poeksperymentować i zobaczyć, jak silne są różne hasła.
Ponownie, entropia to tylko jedna z miar siły hasła. Aby uniknąć ataków słownikowych, nie używaj powszechnie stosowanych haseł lub fraz. Powinieneś także unikać używania danych osobowych, takich jak data urodzenia, imię zwierzaka czy nazwa ulicy w swoim haśle, ponieważ atakujący mogą uzyskać te informacje.
Kiedy hasło uznaje się za silne?
Generalnie silne hasło o wysokiej entropii uzyskuje co najmniej 75 bitów. Wszystko, co ma mniej niż 72 bity, jest stosunkowo łatwe do złamania przez maszynę.
Obliczamy maksymalną liczbę potencjalnych prób, używając obliczenia 2 ^ (liczba bitów). To informacja, ile razy liczba 2 musi się podwoić, aby osiągnąć całkowitą liczbę bitów.
Na przykład hasło z 10 bitami entropii, używając 2 ^ 10, wymagałoby maksymalnie 1024 prób złamania. Zazwyczaj jest to trzyznakowe hasło numeryczne, takie jak 456.
Dąż do entropii powyżej 100 bitów, aby stworzyć silne hasło, celując jak najwyżej. Im wyższa entropia, tym więcej czasu zajmie maszynom odgadnięcie poprawnego hasła metodą brute force.
Zasady tworzenia hasła o wysokiej entropii różnią się w zależności od eksperta ds. bezpieczeństwa, z którym rozmawiasz, ale istnieje kilka ogólnych zasad, co do których wszyscy możemy się zgodzić:
- Twoje hasło powinno składać się z co najmniej 14 znaków i używać ich mieszanki (nie tylko małych liter podstawowego alfabetu łacińskiego)
- Powinieneś unikać używania fraz lub terminów, które są dla Ciebie istotne (i dlatego łatwe do odgadnięcia)
- Silne hasło nie powinno łączyć się z nazwą użytkownika (zawsze traktuj te dwie rzeczy jako oddzielne byty)
- Musi zawierać mieszankę co najmniej jednej małej litery, jednej wielkiej litery, jednej cyfry i jednego znaku specjalnego (na przykład %, ^, *, &, @, ~, itd.)
Zalecamy również stosowanie listy zablokowanych haseł, aby uniknąć używania słów lub fraz powszechnie wybieranych w sieci. Na przykład projekt NIST Bad Passwords(nowe okno) to popularne narzędzie open-source do tworzenia fraz o wysokiej entropii.
Jeśli chcesz stworzyć bezpieczne hasło administratora dla swojego menadżera haseł, rozważ poniższe wskazówki
Podsumowując, naprawdę bezpieczne hasło zawiera przykładowo:
- Co najmniej jedną wielką literę
- Co najmniej jedną małą literę
- Co najmniej jeden znak specjalny
- Co najmniej jedną cyfrę
- Co najmniej 14 znaków (lub co najmniej 30 w przypadku długich haseł, zakładając, że słowa są nietypowe i ze sobą niepowiązane)
Powyższy przykład, kmXz2=zs[m%7?y4A, spełnia wszystkie te wymagania i tworzy hasło o entropii około 105 bitów, którego złamanie metodą brute force zajęłoby niewyobrażalnie dużo czasu.
Generuj silne hasła za pomocą Proton Pass
Jedynym sposobem na wygenerowanie i zapamiętanie wystarczającej liczby silnych haseł do wszystkich Twoich kont online jest korzystanie z menadżera haseł. Proton Pass generuje bezpieczne frazy jednym kliknięciem. Możesz używać go do tworzenia 10-słownych długich haseł lub 64-znakowych haseł losowych, a ponadto masz kontrolę nad tym, czy każde hasło zawiera cyfry, wielkie litery i znaki specjalne, jeśli chcesz zmaksymalizować entropię swoich haseł.
Z Proton Pass Twoje hasła są nie tylko trudne do złamania — są przechowywane z szyfrowaniem end-to-end i zabezpieczone uwierzytelnianiem dwustopniowym przez najbezpieczniejszy na świecie darmowy menadżer haseł. Przeczytaj model bezpieczeństwa Proton Pass, aby dowiedzieć się więcej.
Jeśli entropia hasła sprawia Ci trudności, zarejestruj się w Proton Pass. Pomożemy Ci generować, przechowywać i zabezpieczać hasła przed złośliwymi atakami.
Aktualizacja 18 listopada 2025: Ten artykuł został zaktualizowany, aby jaśniej wyjaśnić problemy związane z próbami obliczania entropii długich haseł i haseł ogólnie. Złożoność haseł łatwo przecenić, jeśli nie są one generowane w sposób prawdziwie losowy.
FAQ
Złożoność hasła zazwyczaj odnosi się do potencjalnego zakresu znaków, podczas gdy entropia hasła odnosi się do matematycznego wyliczenia, jak trudne jest jego odgadnięcie. Entropia jest mierzona w bitach, co z kolei mówi, ile prób metodą brute force potrzeba do złamania hasła.
Zależy to od sposobu wyboru słów. Jeśli zostały one wybrane losowo (na przykład przy użyciu listy Diceware), każde słowo dodaje około 12–13 bitów entropii. Zatem czterowyrazowe losowe hasło miałoby około 50–52 bity entropii. Jeśli jednak słowa zostały wybrane przez człowieka, entropia może być znacznie niższa.
128 bitów entropii oznacza, że Twoje hasło wymagałoby 2¹²⁸ prób do złamania metodą brute force — to więcej niż liczba atomów we wszechświecie. W praktyce wszystko powyżej 100 bitów jest bezpieczne. Nawet hasła z 75–80 bitami są dziś uważane za odporne na wszystkie znane ataki typu brute-force.






