Co produkuje Generator Haseł
Generator Haseł tworzy silne, losowe hasła gotowe do wklejenia w dowolne konto lub menedżer haseł. Naciśnij Generate i dostajesz coś takiego:
kT9$mB&pQ2zX5*nF · Wx7!hY#rL3eA8@cV · pN4?jM%bU6kQ$gZ
Każde hasło ma domyślnie 16 znaków — wystarczająco długie, by oprzeć się atakom brute-force, wystarczająco krótkie, by przepisać je ręcznie, gdyby kiedyś trzeba było. Długość, klasy znaków (wielkie litery, małe litery, cyfry, symbole) i ilość są regulowane. Generator działa w całości w Twojej przeglądarce; nic nie idzie do sieci i żadne hasło nie jest nigdzie zapisywane.
Dlaczego użyć generatora zamiast wymyślać samemu
Ludzie są przewidywalnie słabi w losowości. Badania wyciekłych baz haseł stale znajdują te same wzorce: roczniki urodzenia, imiona, sekwencje z klawiatury (qwerty, 12345), pojedyncze słowa ze słownika z dodaną cyfrą i wykrzyknikiem. Wybierzesz "losowy" ciąg sam i z dużym prawdopodobieństwem atakujący już widział ten wzorzec.
Generator haseł rozwiązuje trzy problemy naraz:
- Prawdziwa losowość — wyjście pochodzi z losowości kryptograficznej, nie z niczego, co da się odgadnąć
- Zgodność z wymogami — większość kont wymaga co najmniej jednej wielkiej litery, jednej cyfry i jednego symbolu; generator załatwia to automatycznie
- Szybkość — możesz mieć świeże hasło w mniej niż sekundę i wkleić je prosto do menedżera haseł, bez pokusy używania w kółko tego samego
Problem "recyklingu" haseł jest poważniejszy, niż się wydaje. Około 65% użytkowników internetu przyznaje się do używania tego samego hasła w wielu serwisach. Gdy jeden serwis zostaje zhakowany, atakujący biorą wyciekłe dane i próbują na każdej innej dużej usłudze — credential stuffing to większość zautomatyzowanych ataków przejmowania kont. Generator usuwa tarcie, które na początku kusi do recyklingu.
Jak generator działa
Pod maską Generator Haseł używa crypto.getRandomValues() — kryptograficznie bezpiecznego generatora liczb losowych Twojej przeglądarki. To znacząco różni się od Math.random(), który jest deterministyczny i nieodpowiedni do celów bezpieczeństwa.
Wyjście crypto.getRandomValues() nadaje się do prawdziwych haseł kont. Tego samego API używa się do generowania tokenów sesyjnych, kluczy szyfrowania i innych wartości wrażliwych z punktu widzenia bezpieczeństwa w produkcyjnych aplikacjach webowych.
Generowanie idzie znak po znaku: generator próbkuje wybrany alfabet jednostajnie losowo, stosuje wszelkie ograniczenia, które ustawiłeś (musi zawierać symbol, musi zawierać cyfrę), i skleja wynik. Jeśli poprosisz o świeże hasło, próbkuje od nowa — między kolejnymi wyjściami nie ma żadnego związku.
Ważny szczegół: generator domyślnie zapewnia, że Twoje hasło zawiera co najmniej jeden znak z każdej włączonej klasy. Bez tej gwarancji hasło 16-znakowe z pełnego 94-znakowego alfabetu ASCII mogłoby okazjonalnie nie zawierać symbolu, co potem nie przejdzie wymogów złożoności narzucanych przez serwis.
Dostosowywanie wyjścia
Domyślne ustawienia pasują do większości przypadków, ale każda opcja ma znaczenie w konkretnych scenariuszach:
| Opcja | Domyślnie | Zakres | Kiedy zmienić |
|---|---|---|---|
| Długość | 16 | 4–64 | Zwiększ do 20+ przy portfelach kryptowalut, hasłach głównych, kontach root |
| Wielkie litery A–Z | Włączone | Wł. / Wył. | Wyłącz tylko, gdy serwis odrzuca wielkie litery (rzadkie) |
| Małe litery a–z | Włączone | Wł. / Wył. | Zawsze zostaw włączone |
| Cyfry 0–9 | Włączone | Wł. / Wył. | Zawsze zostaw włączone |
| Symbole !@#$… | Włączone | Wł. / Wył. | Wyłącz, gdy serwis ich nie przyjmuje; zwiększ długość do 20, by zrekompensować |
| Pomiń niejednoznaczne | Wyłączone | Wł. / Wył. | Włącz, gdy będziesz musiał przepisać hasło ręcznie (wyklucza O, 0, I, l, 1) |
Dla większości stron 16 znaków ze wszystkich czterech klas to aż nadto. Matematyka: 16 znaków × ~94 możliwych symboli na pozycję ≈ 1031 możliwych kombinacji. Nowoczesna farma GPU robiąca ~100 mld prób na sekundę i tak potrzebowałaby rzędu bilionów lat, by wyczerpać tę przestrzeń.
Dla haseł głównych do menedżerów haseł, fraz seed do portfeli kryptowalut i podobnie wysokich stawek rozsądne jest pójść na 20–24 znaków. Koszt zapamiętania jednego dłuższego hasła (masz tylko jedno) jest dużo mniejszy niż koszt jego złamania.
Najlepsze praktyki i rozważania
Silne hasło jest konieczne, ale nie wystarczające. Generator Haseł załatwia część "zrób je losowe i silne"; pełen obraz ma kilka kawałków więcej:
- Jedno unikalne hasło na serwis. Recykling jest przyczyną nr 1 przejęć kont, nawet gdy pojedyncze hasła są silne.
- Używaj menedżera haseł. 1Password, Bitwarden, KeePass — każdy z nich. Cały sens generatora polega na tym, że nie musisz pamiętać jego wyjścia; menedżer pamięta.
- Włącz dwuskładnikowe uwierzytelnianie. Nawet wyciekłe hasło nie daje dostępu, jeśli 2FA jest włączone. Aplikacje uwierzytelniające biją SMS-y, gdzie tylko są wspierane.
- Pomiń "pytania o złożoność hasła". Łatwe do zapamiętania, ale niejasne frazy (cztery losowe słowa ze słownika, ~25 znaków) wystarczą dla nielicznych kont, które naprawdę musisz wpisywać — login do laptopa, PIN do telefonu. Wygenerowane losowe ciągi są na wszystko inne.
- Nie zapisuj haseł w czystych plikach tekstowych, na karteczkach ani w niezaszyfrowanych aplikacjach notatkowych. Menedżer haseł istnieje właśnie z tego powodu.
O długości kontra złożoności: hasło 20-znakowe z samych małych liter jest trudniejsze do złamania niż hasło 12-znakowe ze wszystkimi symbolami. Długość wygrywa. Jeśli serwis ogranicza i jedno, i drugie, najpierw zadbaj o 16+ znaków, potem martw się o różnorodność znaków.
Jeszcze jedno: nie ufaj miernikom siły hasła na stronach rejestracji. Większość jest prymitywna — nagradzają "P@ssw0rd!", bo ma żądane klasy znaków, ale to jedno z najczęściej łamanych haseł w historii. Naprawdę silne hasło jest jednocześnie długie i nieprzewidywalne, a miernik siły może zweryfikować tylko pierwszą połowę. Wyjście Generatora Haseł jest nieprzewidywalne z założenia, więc każde hasło, które wyprodukuje, łatwo przejdzie dowolny miernik, jaki spotkasz.
Warto wiedzieć o frazach hasłowych: ciąg czterech lub pięciu losowych polskich (lub angielskich) słów może być zarazem łatwy do zapamiętania i bezpieczny, z około 50–70 bitami entropii. Przydają się do tej małej puli haseł, które naprawdę musisz pamiętać — hasło główne do menedżera, login do laptopa, PIN do telefonu. Na całą resztę losowo generowane ciągi z Generatora Haseł są krótsze, lepiej kompatybilne z wymogami serwisów i równie silne. Używaj obu: frazy hasłowe do tych kilku, które pamiętasz, wygenerowane ciągi do setek, których nie pamiętasz.
Powiązane generatory
Budujesz zestaw bezpieczeństwa albo fixture testowe? Kilka powiązanych generatorów Microapp dopełnia całość:
- Generator UUID — do unikalnych identyfikatorów w bazach, zapytaniach API i śledzeniu sesji. Domyślnie losowy v4; nadaje się kryptograficznie.
- Generator Liczb Losowych — gdy potrzebujesz losowych liczb w przedziale (rzuty kostką, wylosowanie z puli, rozmiary próbki) zamiast ciągów znaków.
- Generator MD5 i Generator SHA-256 — do hashowania haseł, plików lub ciągów (uwaga: nie przechowuj haseł użytkowników jako surowe MD5/SHA-256; po stronie serwera używaj bcrypt albo argon2).
- Generator E-maili — adresy zastępcze do testów. Użyj wygenerowanych adresów z wyjściem Generatora Haseł dla pełnych fixture testowych.
Najczęściej zadawane pytania
Czy te hasła naprawdę są bezpieczne dla prawdziwych kont?
Tak. Generator używa crypto.getRandomValues(), czyli tego samego bezpiecznego RNG, którego używa się do generowania tokenów sesji i kluczy szyfrowania w aplikacjach produkcyjnych. Hasło 16-znakowe z tego generatora ma około 1031 możliwych wartości — daleko poza zasięgiem obecnego sprzętu w ataku brute-force. Do codziennych kont, haseł głównych w menedżerach haseł i fraz portfeli kryptowalut wyjście jest odpowiednie.
Czy wygenerowane hasło trafia na jakikolwiek serwer?
Nie. Generowanie działa w całości w Twojej przeglądarce w JavaScripcie. Nic nie idzie do sieci. Serwer Microapp nie ma śladu po żadnym kiedykolwiek wygenerowanym haśle.
Jeśli wygeneruję dwa razy z tymi samymi opcjami, dostanę to samo hasło?
Nie — i o to chodzi. Każde kliknięcie produkuje świeżą losową próbkę. Między kolejnymi wyjściami nie ma żadnego związku, nawet przy identycznych ustawieniach.
Czy mogę używać tego samego wygenerowanego hasła dla wielu kont?
Nigdy. Recykling haseł między serwisami jest główną przyczyną ataków credential stuffing (gdzie wyciekłe dane z jednego włamania są próbowane na innych usługach). Wygeneruj jedno na konto i trzymaj w menedżerze haseł.
Jakie jest najmocniejsze ustawienie?
Dla typowych kont 16 znaków ze wszystkimi czterema klasami to aż nadto. Dla haseł głównych, kluczy szyfrowania albo czegokolwiek, co uznałbyś za katastrofalne, gdyby zostało skompromitowane, idź na 20–24 znaki ze wszystkimi klasami. Powyżej tego marginalny zysk bezpieczeństwa maleje.
Dlaczego mój bank odrzuca wygenerowane hasło?
Niektóre serwisy mają stare ograniczenia zestawu znaków — odrzucają konkretne symbole (często $, %, &) albo ograniczają długość do 12. Wyłącz symbole i zwiększ długość do 20+, by zrekompensować. To daje mniej więcej równoważną siłę przy użyciu samych liter i cyfr.
A co z "frazami hasłowymi" — czterema losowymi słowami?
Frazy hasłowe (w stylu correcthorsebatterystaple) są świetne do tych nielicznych haseł, które musisz wpisać z pamięci: login do laptopa, hasło główne menedżera haseł, PIN telefonu. Na całą resztę losowy ciąg z tego generatora jest krótszy, lepiej kompatybilny z wymogami serwisów i równie silny. Używaj obu — odpowiednie narzędzie do odpowiedniego zadania.
Dlaczego niektóre wygenerowane hasła łatwiej się wpisuje niż inne?
Czysty przypadek. Generator próbkuje jednostajnie z wybranego alfabetu, więc dowolne pojedyncze hasło może akurat zmieszać podobne znaki (dużo O i 0) albo niewygodnie skakać między wielkością liter. Jeśli będziesz wpisywał hasło ręcznie zamiast wklejać, wygeneruj kilka i wybierz to, które pasuje — albo włącz opcję "pomiń niejednoznaczne znaki", by odfiltrować najtrudniejsze kombinacje.