Milyen hosszú legyen egy jelszó?
A hossz a jelszó legfontosabb tulajdonsága. Minden hozzáadott karakter megsokszorozza a lehetséges kombinációk számát — az alábbi táblázat mutatja, mit tesz ez a gyakorlatban a feltörési idővel.
Feltörési idő hossz és karakterkészlet szerint
| Hossz | a–z (26) | a–z, A–Z (52) | + 0–9 (62) | + !@#… (95) |
|---|---|---|---|---|
| 6 | azonnal | azonnal | azonnal | azonnal |
| 8 | azonnal | 27 másodperc | 109 másodperc | 55 perc |
| 10 | 71 másodperc | 20 óra | 5 nap | 346 nap |
| 12 | 13 óra | 6 év | 51 év | 8561 év |
| 14 | 373 nap | 16 746 év | 196 494 év | 77 M év |
| 16 | 691 év | 45 M év | 755 M év | 697 Mrd év |
| 20 | 316 M év | 331 B év | 11 161 B év | 56 798 667 B év |
Egy kiszivárgott jelszó-hash elleni offline támadás átlagos ideje kb. 1 billió (10¹²) próbálkozás/másodperc mellett, véletlenszerűen választott karaktereket feltételezve. Az emberek által kitalált jelszavak sokkal gyorsabban elesnek.
Miért győzi le a hossz a bonyolultságot
Egy szimbólum vagy számjegy minden pozíciót kicsit nehezebbé tesz, de egy plusz karakter az egész jelszó nehézségét sokszorozza meg. Tizenkét egyszerű karakter ezért legyőz nyolc „bonyolultat” — ráadásul a hosszú jelszó könnyebben megjegyezhető, mint a rövid, kriptikus.
Ajánlásaink
Használjon legalább 12 karaktert teljes karakterkészlettel a hétköznapi fiókokhoz, 16-ot vagy többet az e-mailhez és mindenhez, ami fizetési adatokat érint, és 20+ karaktert — vagy több véletlen szóból álló jelmondatot — a jelszókezelő mesterjelszavaként. Az e-mail külön figyelmet érdemel: aki a postafiókját irányítja, a legtöbb más jelszavát visszaállíthatja.
A szolgáltatás minimuma nem ajánlás
Sok szolgáltatás ma is elfogad 6 vagy 8 karaktert. Ez a küszöb, amely alatt a jelszót elutasítják — nem állítás arról, hogy biztonságos. Ahogy a táblázat mutatja, egy 8 karakteres jelszó offline támadásban gyorsan elesik, akárhány szimbólumot tartalmaz.
Biztonsági útmutatók
Milyen hosszú legyen egy jelszó?
Hogyan hat a jelszó hossza a feltörési időre — valós számok hossz és karakterkészlet szerint, valamint ajánlások fiókokhoz, e-mailhez és mesterjelszavakhoz.
A leggyakoribb jelszóhibák
Hat jelszóhiba, amelyet a támadók nap mint nap kihasználnak — újrahasználat, személyes adatok, billentyűzetminták, l33t-cserék, rövid jelszavak és nem biztonságos tárolás — és mit tegyen helyettük.
Kétfaktoros hitelesítés (2FA): mi az, és miért számít
Hogyan működik a kétfaktoros hitelesítés, melyik módszert válassza — biztonsági kulcs, hitelesítő alkalmazás vagy SMS — és mely nagy szolgáltatások támogatják.
Kell-e Önnek jelszókezelő?
Miért a jelszókezelő az egyetlen reális módja annak, hogy minden fiókhoz egyedi, véletlenszerű jelszava legyen — és hogyan védje magát a széfet.
Adatszivárgások: mi történik a jelszavaival, ha egy szolgáltatást feltörnek
Feltörés, scraping vagy credential stuffing? Mit jelent az egyes incidenstípus a jelszavaira nézve, dokumentált esetek nagy szolgáltatásoknál, és mi a teendő.