Milyen hosszú legyen egy jelszó?

A hossz a jelszó legfontosabb tulajdonsága. Minden hozzáadott karakter megsokszorozza a lehetséges kombinációk számát — az alábbi táblázat mutatja, mit tesz ez a gyakorlatban a feltörési idővel.

Feltörési idő hossz és karakterkészlet szerint

Hossza–z (26)a–z, A–Z (52)+ 0–9 (62)+ !@#… (95)
6azonnalazonnalazonnalazonnal
8azonnal27 másodperc109 másodperc55 perc
1071 másodperc20 óra5 nap346 nap
1213 óra6 év51 év8561 év
14373 nap16 746 év196 494 év77 M év
16691 év45 M év755 M év697 Mrd év
20316 M év331 B év11 161 B év56 798 667 B év

Egy kiszivárgott jelszó-hash elleni offline támadás átlagos ideje kb. 1 billió (10¹²) próbálkozás/másodperc mellett, véletlenszerűen választott karaktereket feltételezve. Az emberek által kitalált jelszavak sokkal gyorsabban elesnek.

Miért győzi le a hossz a bonyolultságot

Egy szimbólum vagy számjegy minden pozíciót kicsit nehezebbé tesz, de egy plusz karakter az egész jelszó nehézségét sokszorozza meg. Tizenkét egyszerű karakter ezért legyőz nyolc „bonyolultat” — ráadásul a hosszú jelszó könnyebben megjegyezhető, mint a rövid, kriptikus.

Ajánlásaink

Használjon legalább 12 karaktert teljes karakterkészlettel a hétköznapi fiókokhoz, 16-ot vagy többet az e-mailhez és mindenhez, ami fizetési adatokat érint, és 20+ karaktert — vagy több véletlen szóból álló jelmondatot — a jelszókezelő mesterjelszavaként. Az e-mail külön figyelmet érdemel: aki a postafiókját irányítja, a legtöbb más jelszavát visszaállíthatja.

A szolgáltatás minimuma nem ajánlás

Sok szolgáltatás ma is elfogad 6 vagy 8 karaktert. Ez a küszöb, amely alatt a jelszót elutasítják — nem állítás arról, hogy biztonságos. Ahogy a táblázat mutatja, egy 8 karakteres jelszó offline támadásban gyorsan elesik, akárhány szimbólumot tartalmaz.