Generátor hesel – vytváří silná náhodná hesla přímo v tvém prohlížeči

Entropie hesla je míra nepředvídatelnosti vyjádřená v bitech. Každý bit zdvojnásobuje počet odhadů, které musí útočník průměrně provést, takže 64 bitů vyžaduje 2^64 odhadů a 128 bitů vyžaduje 2^128. Přesná entropie náhodně vygenerovaného hesla se rovná log2(velikost_sady_znaků) vynásobenému délkou hesla. 16znakové heslo ze sady 95 znaků má 16 × log2(95) = 105 bitů. Cokoliv nad 75 bitů je považováno za bezpečné proti offline útokům hrubou silou s aktuálním GPU hardwarem; 128 bitů je neprolomitelných pro jakoukoliv předvídatelnou výpočetní technologii, včetně kvantových počítačů spouštějících Groverův algoritmus.

Útočníci spouštějí slovníkové útoky, které testují miliony běžných slov, frází a předvídatelných transformací (velká písmena, leetspeak substituce jako „a" za „@", přidávání číslic nebo roků) před pokusem o útok hrubou silou. Každé heslo, které si člověk snadno zapamatuje, včetně frází, jmen, dat nebo sportovních týmů, se obvykle objeví ve slovnících pro prolomení hesel (rockyou.txt, HaveIBeenPwned, vlastní korpusové dumpy) v prvních několika milionech odhadů. 16znakové náhodné heslo ze sady 95 znaků trvá přibližně 4 kvadrilionkrát déle uhodnout než typické 8znakové slovo s číslicovou příponou. Řešením je heslo generovat, ne vymýšlet.

Ano. Správce hesel (Bitwarden, 1Password, KeePass, Proton Pass, Apple Passwords) ti umožní používat jedinečné, náhodně vygenerované heslo pro každý účet, aniž bys si musel/a pamatovat jediné z nich. Zapamatuješ si jen jedno silné hlavní heslo. Trezor je šifrován lokálně pomocí hlavního hesla a volitelně synchronizován prostřednictvím poskytovatele. Alternativa, tedy opakované používání stejného hesla na různých stránkách nebo jejich ukládání do textového souboru či automatického vyplňování prohlížeče bez šifrování, znamená, že jeden únik odhalí každý účet. Moderní správci také generují přístupové klíče, sledují databáze úniků a varují tě před opakovanými nebo slabými hesly.

Neměň hesla podle pevného harmonogramu. NIST SP 800-63B (2017, potvrzeno v následujících revizích) výslovně nedoporučuje povinnou pravidelnou rotaci, protože vede uživatele k předvídatelným vzorcům. Změna „Summer2024!" na „Summer2025!" bezpečnost spíše oslabuje, než zlepšuje. Heslo změň pouze tehdy, když k tomu existuje konkrétní důvod: potvrzený únik (upozornění HaveIBeenPwned, oznámení poskytovatele), sdílený přístup, který je třeba zrušit, podezření na phishing nebo kompromitaci zařízení, nebo odhalení na nedůvěryhodném zařízení. Se správcem hesel a jedinečným náhodným heslem pro každou stránku je dopad úniku omezen na jeden zasažený účet.

Čtyři vlastnosti dohromady: délka, náhodnost, rozmanitost znaků a jedinečnost. Délka je nejdůležitější. Každý přidaný znak ze sady 95 znaků násobí počet odhadů 95krát. Náhodnost eliminuje slovníkové útoky. Rozmanitost (malá písmena, velká písmena, číslice, symboly) maximalizuje prohledávaný prostor na znak. Jedinečnost zajišťuje, že jeden únik nespustí řetězovou reakci na ostatních účtech. 16znakové heslo vygenerované kryptograficky bezpečným zdrojem ze všech čtyř tříd znaků má přibližně 105 bitů entropie a v současnosti nelze prolomit hrubou silou.

Dvanáct znaků je praktické minimum, šestnáct a více se doporučuje a dvacet a více je preferováno pro vysoce hodnotné účty (e-mail, finance, hlavní heslo správce hesel). Při 95 znacích na pozici dává 12 znaků 79 bitů entropie, 16 znaků dává 105 bitů a 20 znaků dává 131 bitů. Délka je nejlevnější entropie, kterou lze získat, protože každý přidaný znak násobí práci útočníka, zatímco složitost symbolů a velikosti písmen přidává jen okrajově. Pokud systém omezuje hesla na 12–16 znaků, preferuj povolené maximum a používej generátor.

Pouze pokud jsou dostatečně dlouhé. Čtyřslovná přístupová fráze ze slovníku EFF (7 776 slov) poskytuje 51 bitů entropie, což je méně než 9znakové náhodné heslo. Šest slov dává 77 bitů, což přibližně odpovídá 12 náhodným znakům. Přístupové fráze obchodují hustotu entropie za zapamatovatelnost, takže potřebují více znaků, aby dosáhly stejné bezpečnosti jako náhodné heslo. Přístupové fráze používej pro hlavní heslo trezoru (kde si ho musíš pamatovat) a generovaná náhodná hesla pro vše ostatní (kde si je pamatuje správce).

Ne. Tento generátor běží zcela v tvém prohlížeči pomocí WebCrypto API (window.crypto.getRandomValues), což je kryptograficky bezpečný zdroj náhodnosti zajištěný operačním systémem. Vygenerované heslo je vytvořeno lokálně, zobrazeno pouze tobě a nikam neodesláno. Server doručuje prostředky stránky a nemá žádný přehled o tom, co bylo vygenerováno. Díky tomu je nástroj bezpečné používat i pro produkční účty.