Kryptograficznie bezpieczne hasła z drand beacon i HIBP weryfikacją
Ten generator haseł pomaga szybko stworzyć silne hasło do poczty, banku, menedżera haseł albo kont pracy. Jeśli szukasz prostego sposobu, jak stworzyć bezpieczne hasło online, tutaj dostajesz gotowy wynik wraz z oceną jego siły.
Oprócz samego generowania hasła zobaczysz też, czy dane hasło nie przypomina haseł znanych z wycieków, jak długo mogłoby opierać się typowym atakom i z jakich źródeł losowości powstało.
Skonfiguruj opcje i kliknij „Generuj hasło"
Proces generowania jest weryfikowalny dzięki beaconowi drand
Generator działa w przeglądarce. Gotowe hasło nie jest wysyłane na serwer ani zapisywane po stronie strony.
HIBP (Have I Been Pwned) sprawdza, czy skrót hasła występuje w publicznych wyciekach, bez ujawniania samego hasła.
Dowód kryptograficzny pokazuje, z jakich źródeł powstała losowość i pozwala samodzielnie zweryfikować rundę drand.
Ten panel nie tylko tworzy hasło, ale też tłumaczy, skąd bierze się jego losowość i jak ocenić bezpieczeństwo wyniku. Dzięki temu wiesz, co oznaczają wszystkie skróty i wskaźniki widoczne w generatorze.
Entropia opisuje poziom nieprzewidywalności. Im więcej bitów entropii, tym trudniej odgadnąć hasło metodą brute force.
Ocena siły łączy długość, różnorodność znaków i typowe wzorce. To praktyczna wskazówka, a nie gwarancja - dlatego obok wyniku pokazujemy też scenariusze ataku online i offline.
drand dostarcza publiczną, niezależną i weryfikowalną porcję losowości. Dzięki modelowi progowemu (threshold BLS) żadna pojedyncza organizacja z League of Entropy nie kontroluje rundy beacona.
NIST podkreśla, że długość i unikanie znanych wycieków zwykle znaczą więcej niż samo spełnienie prostych reguł typu wielka litera + cyfra + znak specjalny.
Scenariusz, w którym napastnik zdobywa hash hasła i testuje ogromną liczbę prób poza systemem logowania, bez limitu prób. Przy szybkich funkcjach skrótu może to być nawet dziesiątki lub setki miliardów prób na sekundę na nowoczesnym GPU.
Lokalna wizualizacja pierwszych bajtów zmieszanej losowości. To pomoc poglądowa - pokazuje dane wejściowe generatora, ale sama nie jest dowodem bezpieczeństwa.
HKDF (Hash-based Key Derivation Function) to funkcja derywacji klucza używana do bezpiecznego połączenia kilku wejść w jeden materiał losowy. Tutaj miesza dane z WebCrypto, drand i opcjonalnej entropii z myszki.
CSPRNG (kryptograficznie bezpieczny generator liczb pseudolosowych) dostarcza wartości trudne do przewidzenia tam, gdzie zwykły generator pseudolosowy byłby za słaby do zastosowań bezpieczeństwa.
Web Cryptography API (WebCrypto) to standard W3C obsługiwany przez nowoczesne przeglądarki. W tym narzędziu odpowiada m.in. za crypto.getRandomValues(), obliczenie SHA-1 do HIBP oraz mieszanie przez HKDF w przeglądarce.
Funkcja skrótu używana tutaj wyłącznie do zgodności z API HIBP i zapytań po prefiksie. HIBP celowo używa SHA-1 dla kompatybilności istniejących zbiorów, ale w tym narzędziu nie służy ona do przechowywania haseł ani mierzenia ich siły.
Układ spółgłoska-samogłoska-spółgłoska, np. 'bal' lub 'tem'. Tryb wymawialny składa z nich hasło łatwiejsze do odczytania, ale bezpieczeństwo nadal zależy głównie od długości i liczby kombinacji.
Metoda tworzenia fraz hasłowych z losowo wybranych słów (np. z list EFF dla EN lub BIP-39 dla PL). W praktyce łatwiej zapamiętać dłuższą frazę niż losowy ciąg znaków, ale bezpieczeństwo nadal wynika głównie z długości i losowości wyboru.
Nazewnictwo i opisy oparto o RFC 5869 (HKDF), MDN Web Cryptography API, dokumentację HIBP (Pwned Passwords), drand / League of Entropy, NIST SP 800-63B oraz materiały EFF o Diceware.
"Dobry generator nie tylko tworzy hasło, ale też pokazuje, dlaczego możesz mu zaufać."
Generator haseł ma pomagać podjąć lepszą decyzję, a nie tylko zwrócić ciąg znaków. Dlatego obok wyniku widzisz ocenę siły, czas łamania, zgodność z polityką, źródła entropii i dowód kryptograficzny.
Wszystko, co musisz wiedzieć o narzędziu Generator Haseł.
Hasło powstaje lokalnie w przeglądarce. Generator pobiera losowość z Web Cryptography API (WebCrypto), dołącza publiczną rundę drand i opcjonalną entropię z ruchu myszki, a następnie miesza te dane przez HKDF-SHA256. HKDF (Hash-based Key Derivation Function) nie tworzy entropii z niczego, ale pomaga bezpiecznie połączyć kilka źródeł w jeden materiał losowy.
Bezpieczeństwo zależy od długości, trybu i miejsca użycia hasła, ale sam generator nie wysyła gotowego hasła na serwer. Sprawdzenie HIBP działa przez model k-anonimowości: do API trafia tylko 5-znakowy prefiks skrótu SHA-1, a porównanie reszty odbywa się lokalnie.
To możliwość sprawdzenia, z jakich źródeł i parametrów skorzystało generowanie. Dowód zapisuje m.in. rundę drand, użyte źródła entropii i parametry generowania, dzięki czemu możesz weryfikować proces zamiast ufać samej deklaracji strony.
Tryb 'Losowe znaki' stawia na maksymalną różnorodność znaków. 'Fraza hasłowa' działa w stylu Diceware: losuje całe słowa, więc zwykle łatwiej ją zapamiętać przy dużej długości. 'Wymawialny' buduje wynik z sekwencji CVC (spółgłoska-samogłoska-spółgłoska), więc brzmi naturalniej, ale nadal wymaga odpowiedniej długości.
Nie. Entropia z ruchu myszki jest dodatkiem, nie obowiązkiem. Podstawową losowość zapewniają CSPRNG przeglądarki i beacon drand; ruch myszki tylko dorzuca dodatkowe dane wejściowe do mieszania.
Najczęstsze problemy to używanie Math.random() zamiast CSPRNG, brak informacji o źródle losowości, generowanie po stronie serwera bez przejrzystej metodologii, brak sprawdzenia wycieków i przewidywalne szablony. Bezpieczniejszy generator jasno opisuje metodę, korzysta z WebCrypto lub innego CSPRNG i nie myli samej złożoności z prawdziwą nieprzewidywalnością.
SHA-1 nie służy tu do przechowywania Twojego hasła. HIBP używa go do wyszukiwania po prefiksie w modelu k-anonimowości: serwis widzi tylko fragment skrótu potrzebny do zwrócenia odpowiedniego zakresu wyników, a pełne porównanie odbywa się po stronie klienta. To wybór API HIBP związany z kompatybilnością istniejących zbiorów, a nie zalecenie do haszowania haseł w aplikacjach.