Problem z hasłami w 2026 roku
W 2025 roku wyciekło ponad 1,7 miliarda rekordów z polskich serwisów i usług (dane CERT Polska). Każdy taki wyciek zawiera adresy e-mail i hasła - często niezaszyfrowane. Jeśli używasz tego samego hasła do poczty, bankowości i Allegro, jeden wyciek z mniejszego serwisu otwiera drzwi do wszystkich twoich kont.
Atakujący nie zgaduje haseł ręcznie. Kupuje bazę z wycieku, ładuje ją do narzędzia i automatycznie próbuje tych samych danych logowania na dziesiątkach popularnych serwisów. To się nazywa credential stuffing i działa, bo ludzie powtarzają hasła.
Silne hasło - co to właściwie znaczy
Zapomnij o regułach typu „wielka litera + cyfra + znak specjalny". Hasło P@ssw0rd1! spełnia te wymagania i jest łamane w sekundy - bo jest w każdym słowniku ataków.
Liczy się długość i losowość. Hasło koń-bateria-zszywka-lampa (4 losowe polskie słowa) jest bezpieczniejsze niż Tr0ub4dor&3 - dłuższe, trudniejsze do złamania, łatwiejsze do zapamiętania. To podejście spopularyzował komiks xkcd i potwierdzają je wytyczne NIST (amerykańskiego instytutu standaryzacji) z 2024 roku.
Minimalne wymagania dla hasła w 2026
- 14+ znaków - przy obecnej mocy obliczeniowej to minimum dla haseł odpornych na łamanie siłowe
- Unikalne dla każdego konta - żadnych powtórzeń, nawet z drobnymi modyfikacjami (haslo1, haslo2 to nie unikalne hasła)
- Losowe - nie imiona dzieci, daty urodzenia, nazwy ulic. Atakujący sprawdzają warianty informacji osobistych z mediów społecznościowych
Menedżer haseł - jedno hasło zamiast osiemdziesięciu
Menedżer haseł to aplikacja, która generuje losowe hasła, przechowuje je w zaszyfrowanym sejfie i automatycznie wypełnia formularze logowania. Ty pamiętasz tylko jedno hasło główne (master password) - resztę robi program.
Dodatkowy bonus, o którym mało kto mówi: menedżer haseł chroni przed phishingiem. Autouzupełnianie działa na podstawie domeny - jeśli trafisz na podrobioną stronę banku (np. mbank-logowanie.pl zamiast mbank.pl), menedżer nie wpisze hasła. Zauważysz, że coś jest nie tak.
1Password
Dla rodzin i zespołówWatchtower monitoruje wycieki i słabe hasła w czasie rzeczywistym. Travel Mode ukrywa sejfy podczas podróży (przydatne na granicy). Plan Family do 5 osób z osobnymi sejfami i wspólnymi folderami. Audyty bezpieczeństwa Cure53 (2022, 2023). Brak darmowego planu - 14-dniowy trial.
Sprawdź 1Password →Link bezpośredni do producenta - bez prowizji.
NordPass
Prosty interfejsOd twórców NordVPN. Skanowanie wycieków danych w planie Premium. Obsługa passkeys (logowanie bez hasła - przyszłość uwierzytelniania). Architektura zero-knowledge - nawet NordPass nie zna twoich haseł. Darmowy plan z podstawowymi funkcjami, aktualną cenę Premium sprawdzisz u producenta.
Sprawdź NordPass →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Proton Pass
Darmowy z e-mail aliasamiOd Proton (Szwajcaria) - ta sama firma co ProtonMail i ProtonVPN. Darmowy plan bez limitu haseł i urządzeń. Unikalna funkcja: aliasy e-mail (hide-my-email) - rejestrujesz się na serwisach używając losowego adresu, który przekierowuje na twoją skrzynkę. Wyciek aliasu nie ujawnia twojego prawdziwego maila. Wbudowany generator kodów 2FA.
Sprawdź Proton Pass →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Porównanie funkcji, cen i bezpieczeństwa tych trzech menedżerów (plus Bitwarden) znajdziesz w naszym szczegółowym porównaniu.
Dwuskładnikowe uwierzytelnianie (2FA)
Hasło to pierwszy składnik - coś, co znasz. Drugi składnik to coś, co masz: telefon z aplikacją, klucz sprzętowy, odcisk palca. Nawet jeśli ktoś zdobędzie twoje hasło (z wycieku, phishingu, podsłuchania na publicznym WiFi), bez drugiego składnika nie zaloguje się na konto.
Metody 2FA - od najsłabszej do najsilniejszej
- SMS - kod wysyłany na numer telefonu. Lepszy niż nic, ale podatny na atak SIM swap (przestępca przenosi twój numer na swoją kartę SIM dzwoniąc do operatora). W Polsce zdarzały się takie ataki na konta bankowe.
- Aplikacja uwierzytelniająca (Google Authenticator, Authy, Proton Pass) - generuje kody lokalnie na urządzeniu, nie przechodzą przez sieć. Nie da się ich przechwycić zdalnie. Proton Pass łączy menedżer haseł i generator kodów 2FA w jednej aplikacji.
- Klucz sprzętowy (YubiKey, Titan Security Key) - fizyczne urządzenie USB/NFC. Odporny na phishing - klucz sprawdza domenę i nie zadziała na podrobionej stronie. Używa go Google wewnętrznie dla swoich pracowników. Koszt porównywalny z roczną subskrypcją antywirusa, ale jednorazowy.
- Passkeys - nowy standard, który zastępuje hasła. Kryptografia kluczy publicznych, wbudowana odporność na phishing. Obsługują: Google, Apple, Microsoft, 1Password, NordPass. Jeszcze nie wszędzie dostępne, ale przyszłość logowania.
Co zrobić po wycieku danych
Dowiedziałeś się, że twoje dane wyciekły (z haveibeenpwned, z powiadomienia serwisu, z mediów). Co teraz?
-
Zmień hasło na zaatakowanym koncie. Natychmiast. Jeśli nie możesz się zalogować - użyj opcji „Zapomniałem hasła" i zresetuj przez e-mail. Jeśli atakujący zmienił też adres e-mail na koncie - skontaktuj się z obsługą serwisu.
-
Zmień to samo hasło wszędzie, gdzie je powtórzyłeś. To ten krok, który ratuje. Atakujący wie, że ludzie powtarzają hasła - automatycznie próbuje tych samych danych na dziesiątkach serwisów.
-
Włącz 2FA na zaatakowanym koncie i na poczcie. Nawet jeśli atakujący nadal zna hasło, bez kodu z telefonu nie wejdzie. Poczta jest priorytetem - kontrola nad pocztą = kontrola nad resztą kont.
-
Sprawdź historię logowań. Gmail: Ustawienia → Bezpieczeństwo → Ostatnia aktywność. Facebook: Ustawienia → Bezpieczeństwo → Miejsce logowania. Wyloguj nieznane sesje.
-
Jeśli wyciekły dane karty - zadzwoń do banku. Zablokuj kartę i zamów nową. Sprawdź historię transakcji - nawet drobne kwoty (1 zł, 5 zł) mogą oznaczać, że ktoś testuje, czy karta działa.
Monitoring wycieków, który działa sam
haveibeenpwned trzeba sprawdzać ręcznie. Jeśli wolisz dostawać powiadomienie automatycznie, gdy twój e-mail, hasło albo numer karty pojawi się w nowym wycieku, takie monitorowanie oferuje Surfshark Alert. Skanuje bazy wycieków na bieżąco i ostrzega zanim ktoś zdąży użyć twoich danych. Sensowna opcja, jeśli masz dziesiątki kont i nie chcesz pamiętać o ręcznych kontrolach.
Surfshark Alert
Automatyczne powiadomienia o wyciekach e-maili, haseł i danych kart płatniczych. Monitoring działa w tle 24/7. Dostępny osobno lub w pakiecie Surfshark One (VPN + antywirus + Alert).
Sprawdź Surfshark Alert →Link partnerski - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Zabezpieczanie konkretnych kont
Google (Gmail)
Wejdź na myaccount.google.com/security. Włącz 2FA (aplikacja lub klucz sprzętowy, nie SMS). Sprawdź „Dostęp aplikacji zewnętrznych" - odłącz te, których nie rozpoznajesz. Włącz „Zaawansowana ochrona" jeśli obsługujesz wrażliwe dane (dziennikarz, aktywista, właściciel firmy).
Facebook / Instagram (Meta)
Ustawienia → Bezpieczeństwo i logowanie → Uwierzytelnianie dwuskładnikowe. Usuń numer telefonu jako metodę odzyskiwania (SIM swap). Dodaj klucz sprzętowy lub aplikację uwierzytelniającą. Sprawdź „Rozpoznane urządzenia" - wyloguj te, których nie poznasz.
Bankowość internetowa
Polskie banki mają obowiązkowe 2FA (wymaganie PSD2). Ale sprawdź: czy autoryzacja operacji idzie przez aplikację mobilną (bezpieczniej) czy SMS (podatne na SIM swap). Ustaw powiadomienia o każdej transakcji - nawet 1 zł. Nigdy nie loguj się do banku z linku w mailu - zawsze wpisuj adres ręcznie.
Allegro / sklepy z zapisaną kartą
Allegro ma 2FA - włącz je. Sprawdź, czy nie masz zapisanych kart płatniczych na kontach sklepów, których dawno nie używasz. Każdy sklep z twoją kartą to potencjalny punkt wycieku. Lepiej podawać dane karty przy każdym zakupie niż zostawiać je zapisane w 20 serwisach.
Passkeys - przyszłość bez haseł
Passkeys (klucze dostępu) to nowy standard, który ma zastąpić hasła. Zamiast wpisywać hasło, logujesz się odciskiem palca, Face ID albo PIN-em urządzenia. Pod spodem działa kryptografia klucza publicznego - klucz prywatny nigdy nie opuszcza twojego urządzenia, więc nie ma co wykraść z serwera.
Odporność na phishing jest wbudowana - passkey jest przypisany do domeny. Nie zadziała na podrobionej stronie, nawet jeśli wygląda identycznie. Nie da się go powtórzyć na innym koncie, bo każdy passkey jest unikalny.
W 2026 roku passkeys obsługują: Google, Apple, Microsoft, Amazon, eBay, PayPal, GitHub, 1Password, NordPass, Proton Pass. Lista rośnie. Tam, gdzie możesz przejść na passkey - przejdź. Gdzie nie możesz - menedżer haseł + 2FA to aktualnie najlepsza kombinacja.
Najczęstsze pytania
Minimum 14 znaków, losowe, unikalne dla każdego konta. Długość jest ważniejsza niż skomplikowanie - „koń-bateria-zszywka-lampa" jest bezpieczniejsze niż „P@ssw0rd!". Generuj losowe hasła w menedżerze haseł i nie próbuj ich zapamiętywać.
Dodatkowa warstwa bezpieczeństwa przy logowaniu. Oprócz hasła potrzebujesz drugiego składnika: kodu z aplikacji (Google Authenticator, Authy), klucza sprzętowego (YubiKey) albo kodu SMS. Nawet jeśli ktoś pozna twoje hasło, bez drugiego składnika nie zaloguje się na konto.
Bezpieczniejszy niż alternatywy (to samo hasło wszędzie, notatnik, karteczki). Menedżery szyfrują dane algorytmem AES-256 - nawet po włamaniu na serwer zaszyfrowane dane są bezużyteczne bez master password. Bitwarden przeszedł audyt Cure53, 1Password audyty SOC 2 i Cure53.
Sprawdź haveibeenpwned.com. Zmień hasło na zaatakowanym koncie i wszędzie, gdzie używałeś tego samego. Włącz 2FA. Jeśli wyciekły dane karty - zadzwoń do banku i zablokuj kartę. Monitoruj konta bankowe przez kilka tygodni.
Lepszy niż brak 2FA, ale gorszy niż aplikacja uwierzytelniająca. SMS można przechwycić atakiem SIM swap. Aplikacje (Google Authenticator, Authy, Proton Pass) generują kody lokalnie - nie da się ich przechwycić zdalnie.
Wejdź na haveibeenpwned.com i wpisz adres e-mail. Menedżery haseł (1Password Watchtower, NordPass Data Breach Scanner) robią to automatycznie - powiadomią cię, gdy twoje dane pojawią się w nowym wycieku.