Hasło frazowe a hasło: które jest bezpieczniejsze?
Hasła frazowe z losowych słów i złożone hasła znakowe rozwiązują ten sam problem na różne sposoby. Oto jak wypadają w porównaniu pod względem entropii, łatwości zapamiętania i realnego bezpieczeństwa — oraz kiedy używać każdego z nich.
Uczciwa odpowiedź: to zależy od tego, jak są tworzone
Hasło frazowe nie jest automatycznie bezpieczniejsze niż hasło, ani odwrotnie. Liczy się entropia — ile prawdziwej losowości zawiera sekret — oraz to, czy człowiek faktycznie potrafi z niego korzystać. Losowo wygenerowane sześciowyrazowe hasło frazowe i losowo wygenerowane 20-znakowe hasło mogą być oba niezwykle silne. Hasło, które sam wymyśliłeś, i hasło frazowe, które sam wymyśliłeś, mogą być oba słabe.
Porównanie entropii
Entropia jest mierzona w bitach, a więcej bitów oznacza wykładniczo więcej prób potrzebnych do złamania. Złożone hasło upakowuje więcej entropii w każdym znaku, więc może być silne, mimo że krótkie. Hasło frazowe rozkłada entropię na całe słowa, więc potrzebuje więcej znaków, by osiągnąć tę samą siłę — ale te znaki są o wiele łatwiejsze do zapamiętania. Sześć losowych słów osiąga około 70–80 bitów; 16-znakowe, w pełni losowe hasło mieści się w podobnym zakresie. Oba z powodzeniem opierają się łamaniu offline.
Porównanie łatwości zapamiętania i użyteczności
Tu wygrywają hasła frazowe. Ludzie zapamiętują „przystań-skrzypce-kobalt-pieczęć” znacznie pewniej niż „7xQ!r2$kPm9#” i potrafią poprawnie wpisać je na telefonie, pilocie telewizora czy konsoli. Dla każdego sekretu, który człowiek musi pamiętać — hasła głównego, logowania do urządzenia, klucza Wi-Fi — ta przewaga w użyteczności jest decydująca.
Gdzie wygrywa każde z nich
Używaj długiego, losowego hasła do kont, które menedżer haseł przechowuje i wpisuje, bo gęstość bije łatwość zapamiętania, gdy pracę wykonuje maszyna. Używaj hasła frazowego do sekretów, które musisz pamiętać sam. W praktyce idealnym rozwiązaniem jest jedno i drugie: jedno silne hasło frazowe odblokowujące menedżer haseł, który przechowuje długie, losowe hasła do wszystkiego innego.
Co niewiele pomaga
Przewidywalne sztuczki dodają niewiele realnego bezpieczeństwa: zapisanie pierwszej litery wielką literą, zamiana „a” na „@” czy dodanie „1!” do słowa ze słownika to wszystko schematy, które narzędzia do łamania haseł sprawdzają w pierwszej kolejności. Niezależnie od tego, czy wybierzesz hasło frazowe, czy hasło, siła musi wynikać z losowości i długości — a nie ze sprytnie wyglądających podmian.
Często zadawane pytania
Czy hasło frazowe jest zawsze bezpieczniejsze niż hasło?
Nie. Oba są tak silne, jak ich entropia. Losowo wygenerowane hasło frazowe i losowo wygenerowane hasło mogą być oba bardzo silne; samodzielnie wymyślone wersje obu zwykle są słabe.
Dlaczego hasła frazowe są tak często polecane?
Ponieważ osiągają wysoką entropię, pozostając łatwe do zapamiętania i wpisania. Dla sekretów, które człowiek musi pamiętać, ta użyteczność sprawia, że silne wybory stają się praktyczne.
Czy dłuższe hasło jest lepsze niż krótkie złożone?
Generalnie tak. Długość zwiększa liczbę możliwości szybciej niż podmiana kilku znaków na symbole. Zarówno długie, losowe hasło, jak i wielowyrazowe hasło frazowe biją krótkie „złożone” hasło.
Którego użyć jako hasła głównego do menedżera haseł?
Hasła frazowego z sześciu lub więcej losowych słów. Ma wysoką entropię i jest łatwe do zapamiętania, czyli dokładnie to, czego potrzebuje hasło główne.
Czy podmiany znaków, takie jak @ zamiast a, pomagają?
Ledwie. Narzędzia do łamania haseł spodziewają się tych podmian. Prawdziwa siła wynika z losowości i długości, więc dodaj raczej słowo lub znaki.