Tester Siły Hasła — Sprawdź Bezpieczeństwo Hasła

Czym jest tester siły hasła?

Tester siły hasła to narzędzie, które ocenia jakość hasła na podstawie wielu czynników: długości, różnorodności znaków, entropii matematycznej i braku popularnych wzorców. W odróżnieniu od prostych wskaźników pokazujących tylko "słabe/silne", nasze narzędzie oblicza rzeczywistą entropię w bitach i szacuje, ile czasu zajęłoby złamanie hasła metodą brute force przy użyciu nowoczesnego klastra GPU.

Narzędzie dodatkowo sprawdza, czy Twoje hasło pojawiło się w znanych wyciekach danych, korzystając z bazy Have I Been Pwned (HIBP) — zawierającej ponad 900 milionów naruszonych haseł. To sprawdzanie jest wykonywane z zachowaniem pełnej prywatności dzięki technice k-anonimowości, co oznacza, że Twoje hasło nigdy nie opuszcza przeglądarki.

Użyj testera, aby ocenić swoje istniejące hasła, a następnie wygeneruj nowe za pomocą naszego generatora haseł. Sprawdź też bezpieczeństwo swoich witryn za pomocą weryfikatora SSL i nagłówków HTTP.

Jak sprawdzić siłę hasła?

Korzystanie z testera jest proste i nie wymaga żadnej rejestracji. Wpisz hasło w polu wejściowym — analiza siły (wynik 0-100, etykieta, entropia, czas łamania) pojawi się natychmiast w czasie rzeczywistym. Nie musisz klikać żadnego przycisku, wyniki aktualizują się podczas pisania.

Aby sprawdzić wyciek danych, kliknij przycisk "Sprawdź, czy hasło zostało ujawnione" po wpisaniu hasła. Narzędzie bezpiecznie odpyta bazę Have I Been Pwned za pomocą k-anonimowości. Jeśli hasło zostało znalezione w bazach wycieków, zobaczysz liczbę naruszeń, w których się pojawiło — i powinieneś je natychmiast zmienić.

Wyniki analizy obejmują: wynik siły (0-100), poziom siły (bardzo słabe do bardzo silnego), entropię w bitach, szacowany czas łamania metodą brute force, wykryte wzorce (słowa słownikowe, popularne hasła, sekwencje klawiaturowe) oraz pełny skład znaków.

Jak bezpieczne jest moje hasło? Entropia i czas łamania

Entropia hasła mierzy jego nieprzewidywalność w bitach za pomocą wzoru: E = L × log₂(N), gdzie L to długość hasła, a N to rozmiar puli znaków. Im wyższa entropia, tym silniejsze hasło i tym więcej czasu potrzeba na jego złamanie metodą brute force.

Nasze narzędzie szacuje czas łamania przy założeniu nowoczesnego klastra GPU wykonującego 10 miliardów prób na sekundę (atak brute force offline). Hasło 6-znakowe z małych liter można złamać natychmiast. Hasło 12-znakowe mieszane zajmuje około 3 milionów lat. Hasło 16-znakowe ze wszystkimi typami znaków zajęłoby miliardy lat.

Sprawdzanie wycieków danych — Have I Been Pwned i k-anonimowość

Sprawdzanie wycieków używa techniki k-anonimowości z API Pwned Passwords serwisu Have I Been Pwned. Twoje hasło jest haszowane za pomocą SHA-1 przez Web Crypto API w przeglądarce. Tylko pierwsze 5 znaków (z 40) skrótu jest wysyłane do API — API zwraca wszystkie sufiksy skrótu pasujące do tego prefiksu. Przeglądarka lokalnie sprawdza, czy pełny skrót pasuje do któregoś ze zwróconych wpisów.

Oznacza to, że Twoje hasło nigdy nie opuszcza przeglądarki — tylko niejednoznaczny prefiks skrótu jest transmitowany. Nawet pracownicy Have I Been Pwned nie mogą poznać Twojego rzeczywistego hasła z danych żądania. To matematycznie niemożliwe, aby API lub obserwator sieci zidentyfikował Twoje hasło.

Have I Been Pwned zawiera ponad 900 milionów naruszonych haseł z wycieków z serwisów takich jak LinkedIn, Adobe, Dropbox i wiele innych. Jeśli Twoje hasło pojawia się w tej bazie, atakujący mogą go wypróbować w atakach credential stuffing na Twoje konta. Sprawdź też swój publiczny adres IP, aby ocenić swoje narażenie sieciowe.

Typowe błędy przy tworzeniu haseł

Unikaj tych błędów, które narażają bezpieczeństwo Twoich haseł:

• Zbyt krótkie hasła — Mniej niż 12 znaków jest podatne na nowoczesne ataki brute force

• Przewidywalne wzorce — 'Haslo123!', 'qwerty123', 'abc123' znajdują się na każdej liście popularnych haseł

• Informacje osobiste — Imię psa, data urodzenia, nazwa ulubionej drużyny są łatwo znajdowane w mediach społecznościowych

• Wielokrotne używanie haseł — Jeśli jeden serwis zostanie złamany, atakujący testują to samo hasło na innych platformach

• Oczywiste podstawienia — 'H@sl0' (@ zamiast a, 0 zamiast o) to wzorce dobrze znane atakującym

• Słowa słownikowe — Nawet z dodanymi cyframi i symbolami, słowa słownikowe są podatne na ataki słownikowe

• Sekwencje klawiaturowe — 'qwertyuiop', '1234567890', 'asdfgh' są natychmiast wykrywane przez narzędzia atakujących

Jak nasz tester zapewnia prywatność?

Cała analiza siły hasła odbywa się 100% w przeglądarce za pomocą JavaScript. Twoje hasło jest przetwarzane lokalnie i nigdy nie jest przesyłane przez sieć, przechowywane na serwerze ani rejestrowane. Możesz to zweryfikować otwierając narzędzia deweloperskie przeglądarki i sprawdzając zakładkę Network — podczas wpisywania hasła nie są wykonywane żadne żądania sieciowe dla analizy siły.

Jedyne żądanie sieciowe, które jest wykonywane, to sprawdzanie wycieków — i nawet wtedy tylko niejednoznaczny 5-znakowy prefiks skrótu SHA-1 jest wysyłany do API Have I Been Pwned. To jest technicznie niemożliwe, aby zidentyfikować hasło z prefiksu skrótu. Dla pełnej weryfikacji prywatności, możesz sprawdzić kod źródłowy strony w narzędziach deweloperskich.

Nie zbieramy, nie przechowujemy ani nie analizujemy żadnych haseł. Narzędzie jest darmowe, bez reklam śledzących i bez rejestracji. To jest nasze zobowiązanie do prywatności.

Powiązane narzędzia bezpieczeństwa

Odkryj nasze inne darmowe narzędzia bezpieczeństwa: