Jak stworzyć silne hasło w 2026 roku. Dzień Hasła bez mitów

2026-05-07

7 maja 2026 roku przypada Dzień Hasła. To dobra okazja, żeby wrócić do tematu, który bywa traktowany jak nudny obowiązek, a nadal decyduje o bezpieczeństwie kont prywatnych, służbowej poczty, paneli administracyjnych, systemów finansowych i usług w chmurze.

Problem z hasłami nie polega tylko na tym, że ludzie tworzą je zbyt proste. Równie częsty kłopot jest inny: użytkownicy próbują spełnić stare reguły, których sami nie rozumieją, a potem powtarzają podobny schemat w wielu miejscach. Powstają hasła, które wyglądają na skomplikowane, ale dla atakującego są przewidywalne. Przykładowy schemat oparty na nazwie firmy, roku, wykrzykniku i wielkiej literze na początku nie staje się bezpieczny tylko dlatego, że zawiera cyfrę i znak specjalny.

Dobre hasło w 2026 roku powinno być przede wszystkim długie, unikalne i trudne do odgadnięcia. Tam, gdzie to możliwe, powinno być wygenerowane i przechowywane w menedżerze haseł. Tam, gdzie użytkownik musi je zapamiętać, lepiej sprawdza się długa fraza hasłowa niż krótki ciąg znaków tworzony według firmowego rytuału.

Hasło nie jest też samodzielną warstwą bezpieczeństwa. Nawet bardzo dobre hasło można stracić przez phishing, fałszywy panel logowania, SMS z linkiem, kod QR prowadzący do podrobionej strony albo rozmowę z osobą podszywającą się pod helpdesk. Dlatego rozmowa o hasłach powinna prowadzić dalej: do menedżerów haseł, MFA, czyli uwierzytelniania wieloskładnikowego, wykrywania wycieków, passkeys i szkolenia użytkowników na realnych scenariuszach ataku.

TL;DR

Dobre hasło w 2026 roku powinno być długie, unikalne i trudne do odgadnięcia. Do większości kont najlepiej używać menedżera haseł, który generuje losowe hasła. Hasła, które trzeba zapamiętać, powinny być długimi frazami hasłowymi. Nie warto wymuszać cyklicznej zmiany haseł bez powodu. Hasło trzeba zmienić po wycieku, podejrzeniu przejęcia konta albo wpisaniu go na fałszywej stronie. MFA jest konieczne, ale nie chroni przed każdym phishingiem.

Najprostszy plan jest taki: zabezpiecz pocztę, włącz MFA, zacznij używać menedżera haseł, przestań powtarzać to samo hasło w wielu usługach i nie wpisuj danych logowania po kliknięciu w podejrzany link.

Co dziś znaczy silne hasło

Przez lata użytkowników uczono, że dobre hasło musi mieć wielką literę, małą literę, cyfrę, znak specjalny i najlepiej wyglądać jak przypadkowy fragment uszkodzonej klawiatury. Intencja była dobra, ale efekt często słaby. Ludzie nie zapamiętują dziesiątek losowych haseł. Zaczynają więc budować wzorce, dopisywać miesiąc, rok, znak specjalny na końcu albo robić minimalną zmianę po wymuszonej rotacji.

Nowocześniejsze podejście, widoczne między innymi w wytycznych NIST SP 800-63B, mocniej akcentuje długość hasła, brak wymuszania sztucznych reguł składu, akceptowanie długich haseł oraz blokowanie haseł znanych, popularnych, przewidywalnych lub ujawnionych w wyciekach.

NIST to amerykański National Institute of Standards and Technology, czyli instytucja przygotowująca między innymi techniczne wytyczne dotyczące tożsamości cyfrowej. Nie jest to poradnik marketingowy ani luźna lista dobrych praktyk, ale punkt odniesienia dla wielu organizacji, które chcą projektować bezpieczne i użyteczne logowanie.

W praktyce dobre hasło powinno spełniać kilka warunków jednocześnie. Powinno być długie, bo długość zwiększa liczbę możliwych kombinacji. Powinno być unikalne, bo wyciek z jednego serwisu nie może otwierać drogi do kolejnych kont. Powinno być nieoczywiste, czyli niezwiązane z imieniem, firmą, datą urodzenia, nazwą działu, klubem sportowym, sezonem roku ani popularnym schematem. Powinno też być przechowywane w sposób, który nie zachęca użytkownika do kopiowania go do notatnika, arkusza albo wiadomości wysłanej samemu sobie.

Najprostszy podział jest taki: hasła, których nie musisz pamiętać, powinien generować menedżer haseł. Hasła, które musisz pamiętać, powinny być długimi frazami hasłowymi.

Dlaczego długość wygrywa z pozorną złożonością

Atak brute force, czyli próba odgadnięcia hasła przez sprawdzanie wielu kombinacji, jest wrażliwy na długość. Każdy dodatkowy znak zwiększa liczbę możliwych wariantów. Dlatego krótkie hasło, nawet z kilkoma znakami specjalnymi, może być słabsze niż dłuższa fraza, którą łatwo zapamiętać, ale trudno odgadnąć.

To nie znaczy, że znaki specjalne są złe. Są przydatne, jeśli hasło jest naprawdę losowe i odpowiednio długie. Problem pojawia się wtedy, gdy użytkownik stosuje przewidywalne zamiany. Atakujący od dawna wiedzą, że litera a bywa zamieniana na 4, o na 0, s na znak dolara, a wykrzyknik często ląduje na końcu. Takie sztuczki utrudniają życie użytkownikowi bardziej niż napastnikowi.

Lepsze hasło to niekoniecznie takie, które wygląda groźnie. Lepsze hasło to takie, którego nie ma w słowniku, nie wynika z danych o użytkowniku, nie powtarza się w innych usługach i ma wystarczającą długość.

Słabe podejście:

• krótkie hasło z typową zamianą znaków,
• nazwa firmy plus rok,
• imię dziecka plus znak specjalny,
• to samo hasło używane w poczcie, sklepie, banku i portalu społecznościowym,
• hasło zmieniane co kwartał przez dopisanie kolejnej cyfry.

Lepsze podejście:

• losowe hasło z menedżera haseł,
• długa fraza hasłowa dla konta głównego,
• osobne hasło do każdej usługi,
• włączone MFA dla najważniejszych kont,
• kontrola, czy hasło lub adres e-mail nie pojawiły się w wycieku.

Fraza hasłowa, czyli hasło, które da się zapamiętać

Fraza hasłowa to dłuższe hasło zbudowane z kilku słów. Jej siła nie bierze się z tego, że wygląda technicznie, ale z długości i trudności odgadnięcia. Brytyjskie NCSC, czyli National Cyber Security Centre, promuje podejście oparte na trzech losowych słowach. Taki model pomaga stworzyć hasło wystarczająco długie i łatwiejsze do zapamiętania niż krótki, sztucznie skomplikowany ciąg znaków.

Trzeba jednak uważać na słowo losowe. Fraza złożona z trzech oczywistych słów związanych z użytkownikiem nie jest dobrym wyborem. Hasło oparte na nazwie firmy, imieniu psa i roku urodzenia nie staje się bezpieczne tylko dlatego, że ma długość. Atakujący korzystają ze słowników, danych z wycieków, informacji publicznych i automatycznych reguł zgadywania.

Dobra fraza hasłowa może być zbudowana z kilku niepowiązanych ze sobą słów. Jeszcze lepiej, jeśli dodasz separator, nietypowy rytm albo dodatkowy element, ale bez tworzenia wzorca, który będziesz potem powtarzać wszędzie. Nie używaj w artykule, szkoleniu ani prezentacji własnego prawdziwego hasła jako przykładu. Przykłady powinny być sztuczne i służyć wyłącznie do zrozumienia mechanizmu.

Frazy hasłowe są szczególnie przydatne dla haseł, które trzeba zapamiętać: hasła głównego do menedżera haseł, hasła do szyfrowania kopii zapasowej albo konta, do którego logowanie odbywa się w warunkach, gdzie nie zawsze można wygodnie użyć menedżera. Dla pozostałych usług lepsze są hasła generowane automatycznie.

Menedżer haseł zamiast jednego hasła do wszystkiego

Największy praktyczny problem z hasłami nie polega na tym, że użytkownik nie potrafi stworzyć jednego mocnego hasła. Problem polega na tym, że ma dziesiątki albo setki kont. Poczta, bank, sklep internetowy, system kadrowy, panel klienta, hosting, media społecznościowe, narzędzia projektowe, komunikatory, systemy rezerwacyjne, aplikacje SaaS. Zapamiętanie unikalnego, mocnego hasła do każdej z tych usług jest nierealne.

Dlatego CISA, czyli amerykańska Cybersecurity and Infrastructure Security Agency, promuje podejście oparte na długich, losowych i unikalnych hasłach oraz menedżerach haseł. Menedżer haseł przechowuje hasła w zaszyfrowanym sejfie, pomaga generować mocne hasła i ogranicza pokusę używania jednego hasła w wielu usługach.

Dobrze wdrożony menedżer haseł daje kilka korzyści naraz. Użytkownik nie musi pamiętać wszystkich haseł. Hasła mogą być dłuższe i losowe. Łatwiej zauważyć, że strona logowania ma podejrzaną domenę, bo menedżer nie podpowiada hasła tam, gdzie adres strony się nie zgadza. W organizacji można też lepiej zarządzać dostępami współdzielonymi, odejściem pracownika, rotacją haseł administracyjnych i kontrolą, kto ma dostęp do jakich zasobów.

Warunek jest jeden: hasło główne do menedżera haseł musi być naprawdę mocne, unikalne i chronione MFA. Jeżeli ktoś przejmie sejf z hasłami albo dostęp do konta menedżera, konsekwencje mogą być poważne. To nie jest argument przeciwko menedżerom haseł. To argument za tym, żeby wdrażać je świadomie.

Czas łamania hasła. Co naprawdę mówi tabela

Tabele czasu łamania haseł, takie jak Hive Systems Password Table, są bardzo przydatne w edukacji, bo pokazują prostą zależność: krótsze hasła są słabsze, dłuższe hasła szybko stają się trudniejsze do złamania metodą brute force. Trzeba jednak dobrze rozumieć, co taka tabela mierzy.

Czas łamania hasła w tabeli zwykle dotyczy określonego modelu ataku, konkretnego sprzętu, konkretnego sposobu haszowania i założenia, że atakujący ma do dyspozycji skrót hasła, czyli hash. Hash to wynik działania funkcji kryptograficznej na haśle. System nie powinien przechowywać hasła w postaci jawnej, tylko jego przetworzoną reprezentację. Jeżeli baza wycieknie, atakujący może próbować odtworzyć hasła przez porównywanie hashy dla kolejnych prób.

W realnym świecie napastnik nie zawsze zaczyna od brute force. Często idzie krótszą drogą: używa haseł z wcześniejszych wycieków, sprawdza te same dane logowania w wielu serwisach, podszywa się pod stronę logowania, przejmuje sesję albo nakłania użytkownika do zatwierdzenia logowania MFA. Właśnie dlatego mocne hasło jest ważne, ale nie wystarcza jako jedyna ochrona.

Poniższa tabela jest uproszczonym sposobem myślenia, a nie kalkulatorem bezpieczeństwa konkretnego konta.

| Typ hasła | Jak wygląda ryzyko | Wniosek praktyczny | | --- | --- | --- | | Krótkie hasło z samych cyfr | Bardzo wysokie, szczególnie przy ataku automatycznym | Nie używać jako hasła do konta. Krótki PIN ma sens tylko w systemach z blokadą prób i dodatkowymi zabezpieczeniami | | Krótkie hasło słownikowe | Bardzo wysokie, nawet jeśli dodano cyfrę albo znak na końcu | Nie budować haseł z imion, marek, sezonów, działów i lat | | Hasło 8 znaków ze znakami specjalnymi | Może wyglądać dobrze, ale nadal bywa zbyt krótkie | Nie traktować starej reguły 8 znaków jako bezpiecznego standardu | | Długa, losowa fraza | Znacznie lepsza odporność na zgadywanie | Dobre rozwiązanie dla haseł, które trzeba zapamiętać | | Losowe hasło z menedżera | Najlepszy wybór dla większości kont | Stosować unikalne hasła generowane osobno dla każdej usługi |

Najbardziej niebezpieczny jest fałszywy komfort. Hasło może wypadać dobrze w tabeli czasu łamania, a mimo to zostać utracone w minutę, jeśli użytkownik wpisze je na fałszywej stronie. To ważny element szkoleń security awareness: nie wystarczy uczyć ludzi tworzenia hasła. Trzeba uczyć ich także, kiedy nie wpisywać hasła.

Wyciek hasła jest gorszy niż słabe hasło na papierze

Hasło nie musi zostać złamane od zera. Bardzo często jest po prostu znane, bo pojawiło się wcześniej w wycieku. Jeżeli użytkownik używa tego samego hasła w kilku usługach, wyciek z jednego sklepu, forum albo starej aplikacji może otworzyć drogę do poczty, konta firmowego albo systemu z dokumentami.

To zjawisko nazywa się credential stuffing. W praktyce oznacza automatyczne testowanie par login i hasło, które wcześniej pojawiły się w wyciekach. Jeśli hasło było używane wielokrotnie, ryzyko rośnie natychmiast. Nie ma wtedy znaczenia, czy hasło miało znak specjalny i wielką literę. Liczy się to, że ktoś już je zna.

Serwis Have I Been Pwned Pwned Passwords pokazuje, dlaczego hasła znane z wycieków powinny być blokowane. W firmie warto rozważyć mechanizmy, które podczas ustawiania albo zmiany hasła porównują je z listami haseł ujawnionych wcześniej. Dobrze robić to w sposób bezpieczny, bez wysyłania haseł w postaci jawnej do przypadkowych usług.

Użytkownik powinien zapamiętać prostą zasadę: jeśli hasło pojawiło się w wycieku, nie nadaje się już do użycia. Nawet jeśli było długie. Nawet jeśli kiedyś było mocne. Nawet jeśli działało przez wiele lat.

Kiedy zmieniać hasło

Przez długi czas w wielu firmach obowiązywała zasada regularnej zmiany hasła co 30, 60 albo 90 dni. Użytkownicy szybko nauczyli się ją obchodzić. Zmieniali końcówkę, dopisywali kolejny miesiąc, przesuwali cyfrę albo tworzyli hasła coraz łatwiejsze do przewidzenia.

NIST w aktualnych wytycznych odchodzi od wymuszania okresowej zmiany hasła bez powodu. Hasło powinno zostać zmienione wtedy, gdy istnieje realny powód: wyciek, podejrzenie przejęcia, wpisanie hasła na fałszywej stronie, udostępnienie go komuś, utrata urządzenia, malware na komputerze albo odejście osoby, która znała dane dostępowe.

W praktyce warto zmienić hasło natychmiast, gdy:

• wpisano je na stronie, która okazała się fałszywa,
• konto wysłało nietypowe wiadomości albo pojawiły się obce logowania,
• usługa poinformowała o incydencie lub wycieku,
• hasło było używane także w innym miejscu, które mogło zostać naruszone,
• hasło zostało wysłane komunikatorem, mailem lub zapisane w miejscu dostępnym dla innych,
• komputer mógł być zainfekowany złośliwym oprogramowaniem wykradającym dane logowania.

Zmiana hasła powinna być wtedy tylko jednym z kroków. Trzeba zakończyć aktywne sesje, sprawdzić MFA, przejrzeć reguły poczty, zweryfikować przekierowania, sprawdzić urządzenia zaufane i ocenić, czy atakujący nie zdążył wykonać innych działań. Przy kontach firmowych incydent warto zgłosić do IT albo Security, nawet jeśli użytkownik zdążył zmienić hasło.

MFA jest konieczne, ale nie magiczne

MFA, czyli uwierzytelnianie wieloskładnikowe, dodaje drugi element potwierdzający logowanie. Może to być aplikacja generująca kod, powiadomienie push, klucz sprzętowy, biometria albo inny mechanizm zależny od systemu. MFA znacząco zmniejsza ryzyko, że samo hasło wystarczy do przejęcia konta.

Nie oznacza to jednak, że można ignorować jakość hasła. MFA bywa omijane przez phishing typu AiTM, czyli adversary-in-the-middle. To atak pośrednika: użytkownik widzi fałszywą stronę logowania, która pośredniczy w prawdziwym procesie logowania. Ofiara wpisuje hasło, zatwierdza MFA, a napastnik próbuje przejąć token sesji, czyli element pozwalający korzystać z konta bez ponownego logowania.

Pisaliśmy o tym szerzej w tekście Code of conduct phishing. Gdy fałszywa sprawa HR kończy się przejęciem sesji MFA. To dobry przykład, dlaczego hasło i MFA trzeba traktować jako warstwy, a nie jako pojedyncze rozwiązanie wszystkich problemów.

Najlepsze efekty daje połączenie kilku elementów: unikalne hasła, menedżer haseł, MFA odporne na phishing tam, gdzie jest to możliwe, monitorowanie logowań, ograniczanie sesji, szybkie zgłaszanie podejrzanych zdarzeń i realistyczne szkolenia użytkowników.

A co z passkeys

Passkeys, czyli klucze dostępu oparte na kryptografii klucza publicznego, stopniowo ograniczają zależność od haseł. W dużym uproszczeniu użytkownik nie wpisuje hasła, które może zostać podejrzane, odgadnięte albo wyłudzone na fałszywej stronie. Zamiast tego logowanie opiera się na parze kluczy kryptograficznych, a potwierdzenie odbywa się na przykład biometrią, PIN-em urządzenia lub kluczem sprzętowym.

To ważny kierunek, bo dobrze zaprojektowane passkeys mogą zmniejszyć ryzyko klasycznego phishingu. Użytkownik nie ma hasła do wpisania na podrobionej stronie, a mechanizm logowania jest powiązany z właściwą usługą. Nie oznacza to jednak, że hasła zniknęły. Nadal są obecne w poczcie, systemach firmowych, starszych aplikacjach, panelach administracyjnych, usługach SaaS i wielu narzędziach używanych na co dzień.

Najlepsze podejście na dziś to nie hasła albo passkeys, ale rozsądne przejście. Tam, gdzie można, warto używać passkeys lub MFA odpornego na phishing. Tam, gdzie hasła nadal są potrzebne, trzeba stosować menedżer haseł, unikalność, blokowanie haseł z wycieków i dobre procedury reakcji po incydencie.

Jak użytkownik powinien dbać o hasła

Dobre praktyki nie muszą być skomplikowane. W większości przypadków użytkownik powinien zacząć od uporządkowania kont według ważności. Na pierwszym miejscu jest poczta e-mail, bo służy do resetowania haseł w wielu usługach. Dalej konta bankowe, tożsamość elektroniczna, konta firmowe, menedżer haseł, media społecznościowe i usługi, w których są dane osobowe lub płatności.

Dla każdego ważnego konta hasło powinno być unikalne. Jeżeli gdziekolwiek używasz tego samego hasła co do poczty, zmień je. Jeżeli masz jeden ulubiony schemat, który powtarzasz w wielu usługach, potraktuj go jak hasło częściowo ujawnione. Atakujący potrafią przewidywać wzorce.

Najlepszy praktyczny plan wygląda tak:

1. Wybierz i skonfiguruj menedżer haseł.
2. Ustaw długie, unikalne hasło główne do menedżera.
3. Włącz MFA do menedżera haseł i poczty.
4. Zmień hasło do poczty na unikalne i mocne.
5. Zmień hasła do banków, kont firmowych i usług z danymi wrażliwymi.
6. Stopniowo porządkuj pozostałe konta.
7. Usuń hasła zapisane w niebezpiecznych miejscach, takich jak pliki tekstowe, zdjęcia, notatki bez ochrony albo wiadomości wysłane do siebie.
8. Nie wpisuj hasła po kliknięciu w link z wiadomości, jeśli cokolwiek budzi wątpliwość.

Nie trzeba naprawiać wszystkiego jednego dnia. Lepiej zrobić porządek etapami, niż odłożyć temat, bo lista kont wygląda zbyt długo. Dzień Hasła może być dobrym pretekstem do pierwszego kroku: zabezpieczenia poczty i uruchomienia menedżera haseł.

Jak firma powinna podejść do haseł

W firmie hasła nie są prywatną sprawą użytkownika. Są elementem kontroli dostępu, ciągłości działania, ochrony danych i odporności na phishing. Dlatego polityka haseł powinna być praktyczna, możliwa do stosowania i zgodna z tym, jak ludzie naprawdę pracują.

Zbyt restrykcyjne, źle zaprojektowane reguły często pogarszają bezpieczeństwo. Jeśli system wymusza krótkie hasło z obowiązkowym znakiem specjalnym i rotacją co 30 dni, użytkownicy będą tworzyć przewidywalne wzorce. Jeśli firma nie daje menedżera haseł, część osób będzie zapisywać hasła tam, gdzie akurat wygodnie. Jeśli MFA jest wdrożone tylko formalnie, atakujący mogą wykorzystać fałszywe logowanie, zmęczenie powiadomieniami albo presję rozmowy telefonicznej.

Lepsza polityka haseł powinna obejmować:

• minimalną długość dostosowaną do typu konta i ryzyka,
• akceptowanie długich fraz hasłowych,
• brak sztucznego wymuszania znaków, które prowadzi do przewidywalnych wzorców,
• blokowanie haseł znanych z wycieków i haseł powszechnych,
• menedżer haseł dla pracowników,
• MFA dla kont służbowych, administracyjnych i usług krytycznych,
• osobne zasady dla kont uprzywilejowanych,
• szkolenia o phishingu, fałszywych panelach logowania i zgłaszaniu incydentów,
• procedurę szybkiej reakcji po wpisaniu hasła na fałszywej stronie.

Minimalny dobry standard firmowy to menedżer haseł dla pracowników, MFA dla poczty i kont krytycznych, blokowanie haseł z wycieków, brak wymuszania rotacji bez powodu, procedura zgłaszania wpisania hasła na fałszywej stronie oraz osobny sejf dla haseł technicznych i administracyjnych.

Warto też pamiętać o kontach technicznych, serwisowych i współdzielonych. To często słabszy punkt niż hasła zwykłych użytkowników. Hasła do takich kont powinny być długie, losowe, przechowywane w kontrolowanym sejfie, objęte zasadą minimalnych uprawnień i rotowane po zmianach personalnych lub incydentach.

Hasła i phishing. Gdzie zaczyna się prawdziwy problem

Atakujący nie muszą łamać hasła, jeśli potrafią przekonać użytkownika, żeby sam je wpisał. To dlatego phishing pozostaje jednym z najważniejszych zagrożeń dla kont służbowych i prywatnych. Fałszywa strona logowania może wyglądać bardzo podobnie do prawdziwej. Link może przyjść e-mailem, SMS-em, przez komunikator albo kod QR. Pretekstem może być faktura, dopłata, wygasająca domena, powiadomienie z banku, problem z paczką albo prośba z działu HR.

Jeżeli chcesz uporządkować podstawy tego mechanizmu, zacznij od materiału Co to jest phishing i jak działa w firmie. W wielu atakach hasło jest tylko jednym z etapów. Dalej może pojawić się kod MFA, przejęcie sesji, zmiana reguł poczty, przekierowanie płatności albo próba wejścia do kolejnych systemów.

Dobre hasło zmniejsza ryzyko zgadywania i wykorzystania starych wycieków. Nie ochroni jednak przed każdą fałszywą stroną. Dlatego użytkownik powinien ćwiczyć moment zatrzymania przed logowaniem. Czy domena jest prawidłowa. Czy link przyszedł spodziewanym kanałem. Czy strona nie pojawiła się po presji czasu. Czy menedżer haseł podpowiada dane logowania. Czy prośba o hasło pasuje do sytuacji.

Właśnie tu zaczyna się rola security awareness. Nie chodzi o straszenie użytkowników, ale o trenowanie decyzji w realistycznych sytuacjach. Pomagają w tym testy phishingowe dla firm, szczególnie wtedy, gdy mierzą nie tylko kliknięcie, ale także zgłoszenie, przerwanie procesu, wpisanie danych i reakcję po błędzie.

Prosty plan na Dzień Hasła

Dzień Hasła nie powinien kończyć się na grafice w intranecie. To dobry moment, żeby wykonać kilka konkretnych działań. Dla użytkownika prywatnego takim działaniem może być zabezpieczenie poczty, włączenie MFA i uruchomienie menedżera haseł. Dla firmy może to być krótka kampania edukacyjna, przegląd polityki haseł, sprawdzenie haseł z wycieków i przypomnienie procedury zgłaszania phishingu.

Najlepszy komunikat do pracowników nie powinien brzmieć jak kolejna lista zakazów. Powinien tłumaczyć, co realnie chroni konto. Długie i unikalne hasło. Menedżer haseł. MFA. Ostrożność przy logowaniu po kliknięciu w link. Szybkie zgłoszenie, jeśli hasło zostało wpisane w złym miejscu.

Hasła nie znikną z dnia na dzień. Passkeys będą stopniowo przejmować część logowań, ale przez długi czas hasła nadal będą obecne w poczcie, systemach firmowych, panelach administracyjnych, usługach SaaS i starszych aplikacjach. Dlatego warto przestać traktować je jak przykry obowiązek, a zacząć jak podstawową warstwę higieny cyfrowej.

Dobre hasło nie musi być trudne dla człowieka. Ma być trudne dla atakującego, unikalne dla danej usługi i wspierane przez narzędzia, które zdejmują z użytkownika konieczność pamiętania wszystkiego samodzielnie. To najprostsza zmiana, od której warto zacząć nie tylko w Dzień Hasła.

Jeżeli chcesz sprawdzić, czy użytkownicy wiedzą, kiedy nie wpisywać hasła, zacznij od krótkiego quizu phishingowego PHISHLY. A jeśli odpowiadasz za bezpieczeństwo organizacji, potraktuj Dzień Hasła jako dobry pretekst do kampanii awareness, która łączy hasła, MFA, menedżery haseł i realistyczne scenariusze phishingu.