Dlugosc hasla vs zlozonosc hasla: co naprawde liczy sie bardziej

Kiedy ludzie mysla o mocnym hasle, czesto najpierw wyobrazaja sobie zlozonosc: symbol, wielka litere, moze liczbe zamiast samogloski. To wyglada bezpiecznie, bo haslo wydaje sie bardziej chaotyczne dla ludzkiego oka. Atakujacego nie obchodzi jednak, czy haslo wyglada sprytnie. Liczy sie dla niego wielkosc przestrzeni przeszukiwania, przewidywalnosc struktury oraz to, czy ten sam sekret pojawia sie gdzies indziej.

Dlatego w praktyce dlugosc zwykle zasluguje na wyzszy priorytet niz dekoracyjna zlozonosc. Duzsze haslo zwieksza liczbe mozliwosci znacznie szybciej niz krotkie haslo z kilkoma znakami specjalnymi. Jesli jest dodatkowo losowe i unikalne dla kazdej uslugi, przewaga staje sie jeszcze wieksza.

To nie znaczy, ze zlozonosc nie ma wartosci. Oznacza tylko, ze powinna pojawic sie pozniej. Gdy haslo jest juz wystarczajaco dlugie i dobrze wygenerowane, roznorodnosc znakow pomaga. Jesli jednak podstawa pozostaje slaba, sama zlozonosc nie uratuje sytuacji.

Zlozonosc latwo wyjasnic i latwo skontrolowac. Stare polityki przyzwyczaily uzytkownikow do myslenia checklistami: jedna wielka litera, jedna mala, jedna cyfra i jeden symbol. Takie wymagania latwo sprawdzic, ale jednoczesnie popychaja ludzi do bardzo przewidywalnych zachowan. Uzytkownik spelnia regule, a jednoczesnie utrzymuje haslo krotkie i latwe do zapamietania.

W ten sposob powstaja hasla, ktore wygladaja na zlozone, ale dalej podazaja za ludzkimi nawykami. Dodanie wykrzyknika na koncu popularnego slowa nie jest prawdziwa losowoscia. Zamiana `a` na `@` albo `o` na `0` tez nie daje prawdziwej nieprzewidywalnosci. To sa wlasnie schematy, ktorych atakujacy spodziewa sie jako pierwszych.

Innymi slowy, zlozonosc latwo udawac. Dlugosc znacznie trudniej. Gdy haslo staje sie realnie dluzsze, szczegolnie gdy jest generowane zamiast wymyslane, problem po stronie atakujacego zmienia sie o wiele mocniej.

Kazdy dodatkowy znak rozszerza przestrzen przeszukiwania. Brzmi to abstrakcyjnie, ale efekt praktyczny jest prosty: dluzsze hasla trudniej brute-force'owac i trudniej zgadnac, kiedy nie sa zbudowane z rozpoznawalnych czesci. Nawet bez wchodzenia w dokladna matematyke kierunek jest jasny. Mocne haslo dlugosci 16 do 20 znakow daje znacznie mniej wygodny cel niz 8-znakowe haslo ozdobione symbolami.

Dlugosc dobrze wspolgra tez z nowoczesnymi workflowami. Jesli korzystasz z generatora hasel i menedzera hasel, koszt uzytkowy dodatkowych znakow mocno spada. Nie musisz pamietac kazdego znaku samodzielnie, wiec mozesz wybrac bezpieczniejsze ustawienia bez zamieniania kazdego logowania w test pamieci.

Dlatego dlugosc jest zwykle pierwszym ustawieniem, ktore warto podniesc w generatorze hasel. Jesli zmieniasz tylko jedna rzecz, najpierw wydluz haslo, a dopiero potem przejmuj sie recznymi zasadami zlozonosci.

Zlozonosc nadal ma znaczenie, tylko nie w tej kolejnosci, jakiej wiele osob oczekuje. Jezeli dwa hasla maja taka sama dlugosc i ten sam poziom losowosci, to to o szerszym zbiorze znakow moze stawiac wiekszy opor. Rownorodnosc jest przydatna, kiedy wzmacnia silna baze, a nie wtedy, gdy probuje ja zastapic.

Kluczowe rozroznienie dotyczy prawdziwej i kosmetycznej zlozonosci. Prawdziwa zlozonosc wynika z rzeczywistej losowosci rozlozonej na wystarczajaca dlugosc. Kosmetyczna zlozonosc powstaje wtedy, gdy latwy do zapamietania wzorzec dekoruje sie tylko na tyle, zeby przejsc polityke.

Wlasciwy wniosek nie jest taki, zeby ignorowac zlozonosc. Chodzi o to, by nie traktowac jej jako glownej dzwigni. W wiekszosci praktycznych sytuacji lepsza kolejnosc jest nadal ta sama: najpierw dlugosc, potem losowosc, unikalnosc zawsze, a zlozonosc jako wsparcie.

Wiele porad o haslach myli, bo porownuje nierealne przyklady. Idealnie zlozone krotkie haslo zestawia sie ze slabym dlugim haslem albo recznie wymyslona passphrase z prawdziwie losowym wynikiem generatora. Prawdziwi uzytkownicy zazwyczaj ida na inne kompromisy.

Wezmy popularny wzorzec `P@ssw0rd!23`. Miesza rodzaje znakow, ale nadal zdradza znane slowo bazowe i bardzo ludzka strukture. Porownaj to teraz z wygenerowanym 18-znakowym haslem z zaufanego menedzera. Ta druga opcja jest w praktyce zwykle znacznie silniejsza, bo nie probuje byc zapamietywalna.

Najwazniejsza lekcja jest taka, zeby porownywac realistyczne workflowy. Dlugie wygenerowane haslo z poprawnym przechowywaniem prawie zawsze wygrywa z krotkim haslem optymalizowanym recznie dla wiekszosci codziennych kont.

Regula bezpieczenstwa, ktorej ludzie nie sa w stanie konsekwentnie przestrzegac, nie pozostaje silna na dlugo. Wlasnie tutaj wiele polityk zorientowanych najpierw na zlozonosc przegrywa. Zmuszaja uzytkownikow do recznego tworzenia niewygodnych hasel, co prowadzi do ponownego uzycia, niebezpiecznych notatek, przewidywalnych podmian albo ciaglych resetow.

Dlugosc staje sie o wiele latwiejsza do przyjecia, gdy usuniesz ciezar zapamietywania. Generator moze stworzyc dlugie haslo w kilka sekund, a menedzer moze od razu je zapisac. Taki workflow jest jednoczesnie bezpieczniejszy i praktyczniejszy niz oczekiwanie, ze czlowiek sam wymysli dziesiatki krotkich zlozonych ciagow.

Dlatego unikalnosc jest rownie wazna. Dlugie haslo traci strategiczna wartosc, jezeli jest uzywane ponownie wszedzie. Prawdziwe bezpieczenstwo wynika z powtarzalnego procesu: generuj, zapisuj, utrzymuj unikalnosc i wzmacniaj wazne konta przez MFA.

Glowny email, bank, praca, dostepy administracyjne i konta zwiazane z odzyskiwaniem powinny dostawac najsilniejsze domyslne ustawienia, bo naruszenie w tych miejscach latwo rozszerza sie na wiele innych uslug. Dla takich kont dlugie wygenerowane hasla i MFA powinny byc standardem.

Mniej wazne konta rowniez potrzebuja unikalnych hasel, nawet jesli nie zawsze wybierasz dla nich najdluzsze ustawienie. Szkoda z malego konta bywa czesto posrednia. Dane logowania ponownie uzyte po mniejszym wycieku nadal moga otworzyc pozniej duzo wazniejsze konta.

Dlatego praktyczne pytanie nie brzmi, czy w teorii wygrywa dlugosc czy zlozonosc. Prawdziwe pytanie brzmi, jaka polityke hasel potrafisz stosowac powtarzalnie dla roznych typow kont. W wiekszosci przypadkow odpowiedz pozostaje ta sama: najpierw dlugosc i unikalnosc.

Jesli chcesz prostej reguly, ktora da sie stosowac wielokrotnie, moze brzmiec tak: najpierw wybierz wystarczajaca dlugosc, generuj zamiast wymyslac tam, gdzie to mozliwe, utrzymuj unikalnosc kazdego hasla i dodawaj MFA przy waznych kontach. Kiedy te elementy sa na miejscu, zlozonosc staje sie przydatnym dodatkiem zamiast kruchej podporki.

Taka regula jest znacznie bardziej realistyczna niz obsesyjne liczenie symboli albo wielkich liter. Lepiej pasuje do sposobu, w jaki dzialaja nowoczesne narzedzia do hasel, i ogranicza pokuse budowania zapamietywalnych, ale przewidywalnych wzorcow.

W skrocie: dlugosc zwykle liczy sie bardziej, bo zmienia strukture problemu. Zlozonosc tez ma znaczenie, ale przede wszystkim po tym, jak rozwiazales juz wazniejsze problemy.