Co znaczą scores 0-4?

Skala 0-4 odpowiada czasowi złamania: - **Score 0**: łamane od razu (sekundy) - **Score 1**: słabe (godziny) - **Score 2**: przeciętne (online OK, offline 1-7 dni) - **Score 3**: dobre (online niezniszczalne, offline 1+ rok) - **Score 4**: bardzo silne (offline >100 lat) **Cel**: zwykłe konto **3+**, bankowość / główne hasło menedżera **4**.

Co to są "cztery scenariusze złamania"?

Cztery modele zagrożeń z różną szybkością ataku: - **Online throttle**: serwis ma rate-limit (np. "3 błędne próby = 5min lockout"), atakujący 100/godz. - **Online no throttle**: bez limitu, 10/s - **Offline slow hash**: atakujący ma DB z hashami **bcrypt/argon2**, 10 000/s na CPU - **Offline fast hash**: hashe **MD5/SHA-1** + klaster GPU, 10 mld/s **Twoje hasło musi przeżyć wszystkie 4 scenariusze**, patrz na ten z najgorszym czasem.

Czy zxcvbn rozpoznaje polskie hasła?

**Częściowo**. Lista popularnych haseł jest **globalna** (zawiera trochę polskich, np. "Polska123" rozpozna jako słownikowe). **Słowniki są tylko angielskie**, więc polskie nazwy własne ("kowalski") czy słowa ("zaprawdebardzo") NIE zostaną wykryte. **Reguła**: dla polskich haseł **odejmij 1 score** od wyniku (zxcvbn 4 = realnie 3 dla atakującego z polską listą).

Czy hasło wychodzi na serwer?

**Nie**. zxcvbn-ts to JS-owa biblioteka osadzona w przeglądarce, **cała analiza client-side**. Słowniki są też lokalne (~200KB ładowane przy pierwszej analizie). **DevTools → Network** = brak requestów z hasłem.

Mój password manager mówi że hasło jest silne, a tu jest słabe, czemu?

Większość menedżerów (1Password, Bitwarden, Keychain) pokazuje **entropy bits** albo własną prostszą analizę. Entropy bits **zakłada losowość** (mocno zawyża dla nielosowych haseł). **zxcvbn jest bardziej rygorystyczny**, rozpoznaje patterny, nie ufa długości. "pol25kuzaprzysieg" w prostej analizie = długie i mocne; w zxcvbn = sekwencja klawiszy + słowa = **słabe**. **Ufaj zxcvbn**.

Score 4 = idealne hasło?

**Score 4** = wystarczająco mocne na obecne ataki (2024-2026). **Nie idealne**, to maksimum oceny zxcvbn. **Hasło jest TYLKO takie silne, jak miejsce w którym je używasz**: jeśli używasz tego samego score-4 hasła w 5 serwisach, jeden wyciek = wszystkie. **Reguła**: każde konto = **osobne hasło**, każde **score 3+**, krytyczne (banking, e-mail, manager) **score 4**.

Jak zwiększyć score słabego hasła?

**Krok 1**: stosuj sugestie z zxcvbn (wskazują konkretną przyczynę). Typowo: **dłuższe** (6+ słów dla passphrase, 16+ znaków dla losowego), **mieszaj alfabety i cyfry NIE w przewidywalnych miejscach** (nie "Hasło2024", a coś bardziej losowego). **Krok 2**: wygeneruj nowe od zera w [generatorze haseł](/pl/generator-hasel) lub [generatorze passphrase](/pl/generator-passphrase). **Losowy 6-słów passphrase dostaje score 4 automatycznie**.

Tester siły hasła - darmowy

Twoje hasło

Wszystko liczone lokalnie. Hasło nie wychodzi z przeglądarki.

Jak sprawdzić, czy moje hasło jest naprawdę silne?

Wpisujesz hasło i dostajesz wynik 0-4 (od "Bardzo słabe" do "Bardzo silne") plus konkretne wyjaśnienie DLACZEGO.

Inaczej niż prosty entropy-meter, zxcvbn (biblioteka Dropboxa) wykrywa wzorce: słownikowe słowa, daty urodzenia, ścieżki klawiaturowe (qwerty), powtórzenia, leetspeak (P@ssw0rd), nazwiska.

Pokazuje czas złamania w 4 scenariuszach (online z rate-limitem, online bez, offline na bcrypt, offline na MD5+GPU). Wszystko lokalnie, hasło nigdy nie wychodzi.

Jak korzystać

Wpisz hasło, pole jest typu password (kropki). Klik ikonkę oka żeby pokazać.

Czytaj wynik na żywo, pasek koloru pokazuje 0-4 (czerwony→zielony).

Sprawdź sekcję "Wzorce wykryte", tu zobaczysz, KTÓRA część hasła jest słownikowa, KTÓRA datą urodzenia, KTÓRA sekwencją klawiatury.

Zastosuj "Sugestie" z biblioteki: "Add another word", "Avoid years", "Use mixed case". Każda sugestia podnosi score.

Cel: score=4 ("Bardzo silne") + brak warning. Czas złamania offline-fast >100 lat = praktycznie niezniszczalne.

Do czego się przydaje

Pięć typowych sytuacji, w których ocena siły hasła ratuje Cię przed katastrofą:

Audyt własnych haseł. Sprawdzasz każde hasło z menedżera, zaczynasz od najsłabszych.
Polityka firmowa. Testujesz przykładowe hasła wg polityki; sprawdzasz, czy "minimum 8 znaków, wielka litera, cyfra" daje rzeczywiście silne hasła (zwykle nie, zxcvbn pokaże, że "Lato2024!" jest słabe).
Edukacja zespołu. Pokażcie sobie, że hasło wymyślone "z głowy" ma 30 bitów entropii.
Onboarding nowego pracownika. Przed założeniem konta sprawdź proponowane hasło tymczasowe.
Hasła do dysków zewnętrznych, archiwów ZIP, kluczy PGP. Każde takie hasło zasługuje na rygorystyczny test, bo nigdy nie jest jednokrotne.

Po znalezieniu słabego hasła, wygeneruj silne i sprawdź czy nie wyciekło.

Pytania i odpowiedzi

Entropia liczona ze wzoru `długość × log2(charset)` zakłada, że hasło jest LOSOWE. Większość ludzkich haseł NIE jest losowa, "Lato2024!" wygląda na 11-znakowe = 67 bitów, ale w rzeczywistości to słownikowe słowo + rok + suffix (~25 bitów, łamane w godziny). zxcvbn rozpoznaje wzorce i daje realistyczną wycenę. Działa na podstawie 30 000+ popularnych haseł, słowników, dat, klawiaturowych ścieżek.

Jak sprawdzić, czy moje hasło jest naprawdę silne?

Wpisujesz hasło i dostajesz wynik 0-4 (od "Bardzo słabe" do "Bardzo silne") plus konkretne wyjaśnienie DLACZEGO.

Pokazuje czas złamania w 4 scenariuszach (online z rate-limitem, online bez, offline na bcrypt, offline na MD5+GPU). Wszystko lokalnie, hasło nigdy nie wychodzi.

Jak korzystać

Wpisz hasło, pole jest typu password (kropki). Klik ikonkę oka żeby pokazać.

Czytaj wynik na żywo, pasek koloru pokazuje 0-4 (czerwony→zielony).

Sprawdź sekcję "Wzorce wykryte", tu zobaczysz, KTÓRA część hasła jest słownikowa, KTÓRA datą urodzenia, KTÓRA sekwencją klawiatury.

Zastosuj "Sugestie" z biblioteki: "Add another word", "Avoid years", "Use mixed case". Każda sugestia podnosi score.

Cel: score=4 ("Bardzo silne") + brak warning. Czas złamania offline-fast >100 lat = praktycznie niezniszczalne.

Do czego się przydaje

Pięć typowych sytuacji, w których ocena siły hasła ratuje Cię przed katastrofą:

Audyt własnych haseł. Sprawdzasz każde hasło z menedżera, zaczynasz od najsłabszych.
Polityka firmowa. Testujesz przykładowe hasła wg polityki; sprawdzasz, czy "minimum 8 znaków, wielka litera, cyfra" daje rzeczywiście silne hasła (zwykle nie, zxcvbn pokaże, że "Lato2024!" jest słabe).
Edukacja zespołu. Pokażcie sobie, że hasło wymyślone "z głowy" ma 30 bitów entropii.
Onboarding nowego pracownika. Przed założeniem konta sprawdź proponowane hasło tymczasowe.
Hasła do dysków zewnętrznych, archiwów ZIP, kluczy PGP. Każde takie hasło zasługuje na rygorystyczny test, bo nigdy nie jest jednokrotne.

Po znalezieniu słabego hasła, wygeneruj silne i sprawdź czy nie wyciekło.

Pytania i odpowiedzi

Tester siły hasła

Jak sprawdzić, czy moje hasło jest naprawdę silne?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator haseł

Generator haseł zdaniowych

Sprawdzanie wycieków hasła

Tester siły hasła

Jak sprawdzić, czy moje hasło jest naprawdę silne?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator haseł

Generator haseł zdaniowych

Sprawdzanie wycieków hasła