Najczęstsze hasła w Polsce. Jeśli używasz jednego z nich, zmień je od razu

Najczęstsze hasła w Polsce – czy twoje jest na tej liście?

W 2025 roku najczęściej używanym hasłem w Polsce nie było już 123456, lecz admin. Według tegorocznego zestawienia opartego na analizie wycieków i repozytoriów z dark webu hasło admin pojawiło się w Polsce ponad 161 tys. razy. Drugie miejsce zajęło 123456 z wynikiem około 66 tys. użyć, a trzecie zaq1@WSX z wynikiem około 33 tys. użyć.

To nie jest drobny problem ani ciekawostka z raportu. To sygnał, że ogromna liczba użytkowników nadal wybiera hasła, które są krótkie, przewidywalne, łatwe do wpisania i równie łatwe do odgadnięcia. Jeśli twoje hasło przypomina prosty ciąg cyfr, układ klawiszy albo popularne słowo, ryzyko przejęcia konta rośnie bardzo wyraźnie.

Skąd biorą się takie rankingi?

Rankingi najpopularniejszych haseł nie powstają na podstawie ankiet ani deklaracji użytkowników. Zwykle opierają się na analizie realnych danych pochodzących z naruszeń bezpieczeństwa. W najnowszym badaniu NordPass i NordStellar przeanalizowano publiczne wycieki i zbiory z dark webu z okresu od września 2024 do września 2025 roku. Badanie objęło 44 kraje.

To ważne, bo oznacza, że mówimy o hasłach faktycznie używanych przez ludzi, a nie o teoretycznych przykładach. Tego typu analiza dobrze pokazuje, jakie schematy są najczęściej powtarzane i które z nich najłatwiej trafiają potem do gotowych list używanych przez przestępców przy automatycznych próbach logowania.

Najczęstsze hasła w Polsce w 2025 roku

Ta lista dobrze pokazuje trzy dominujące schematy.

Po pierwsze, użytkownicy nadal masowo wybierają ciągi cyfr. Po drugie, bardzo często używają układów klawiatury, takich jak zaq12wsx czy zaq1@WSX. Po trzecie, wciąż popularne są proste słowa i warianty administracyjne, jak admin i password.

Co ciekawe, w polskim zestawieniu pojawiają się też bardziej „lokalne” lub pozornie kreatywne przykłady, które nadal pozostają słabe. Sam fakt, że hasło nie wygląda jak 123456, nie oznacza jeszcze, że jest bezpieczne.

Jak to wyglądało wcześniej?

Rok wcześniej, w publicznie opisywanym zestawieniu dla Polski, na szczycie listy znajdowało się 123456, a dalej między innymi qwerty123, qwerty1, zaq12wsx, qwerty, polska, bartek, mateusz, marcin i lol123.

Z punktu widzenia bezpieczeństwa to zła wiadomość, bo właśnie takie wzorce są sprawdzane przez atakujących jako pierwsze.

Problem nie dotyczy tylko Polski

Słabe hasła są globalnym problemem. W najnowszym zestawieniu światowym hasło 123456 zostało użyte ponad 21,5 mln razy, admin około 21 mln razy, a 12345678 około 8,2 mln razy.

To ważne, bo pokazuje skalę. Nie mówimy o niszowym błędzie popełnianym przez niewielką grupę użytkowników. Mówimy o dziesiątkach milionów przypadków, w których ludzie nadal wybierają hasła możliwe do odgadnięcia niemal natychmiast.

Dlaczego takie hasła są niebezpieczne?

To ostatnie jest szczególnie groźne. Jeśli użytkownik używa tego samego hasła do poczty, sklepu internetowego i mediów społecznościowych, to wyciek z jednego miejsca może otworzyć drogę do kolejnych kont. To klasyczny scenariusz ataku typu credential stuffing, czyli automatycznego sprawdzania tych samych danych logowania w wielu usługach.

Skala problemu z wyciekami jest ogromna

Jeśli ktoś myśli, że wycieki danych to rzadkość, liczby mówią coś innego. Serwis Have I Been Pwned pokazuje obecnie 961 zarejestrowanych naruszeń i około 17,5 miliarda przejętych kont.

To nie oznacza, że każda osoba została przejęta 17,5 miliarda razy, ale pokazuje skalę zjawiska. Gdy hasło raz trafi do dużego wycieku, może przez lata krążyć w bazach używanych przez cyberprzestępców. Właśnie dlatego nawet pozornie „stare” wycieki nadal są groźne.

Czy mocne hasło wystarczy?

Co mówią aktualne zalecenia bezpieczeństwa?

Tu warto odrzucić stare mity. Aktualne wytyczne NIST są bardziej konkretne niż dawne internetowe porady o „jednej wielkiej literze i jednym wykrzykniku”.

Dla haseł używanych jako jedyny składnik logowania NIST wymaga dziś minimum 15 znaków. Jednocześnie zaleca akceptowanie haseł o długości co najmniej 64 znaków, nie narzucać sztucznych reguł typu „koniecznie znak specjalny” i nie wymuszać okresowej zmiany hasła bez powodu. Zmiana powinna nastąpić wtedy, gdy istnieje podejrzenie kompromitacji.

Dziś lepszym podejściem jest długość, unikalność i sprawdzanie, czy hasło nie wystąpiło już w wycieku.

Co zaleca CERT Polska?

To dobry, prosty zestaw zasad dla zwykłego użytkownika. Nie wymaga technicznej wiedzy, a realnie zmniejsza ryzyko przejęcia kont.

Jak sprawdzić, czy twój e-mail lub hasło wyciekły?

Najprostsza droga jest dwuetapowa.

Najpierw sprawdź adres e-mail w serwisie monitorującym naruszenia danych, takim jak Have I Been Pwned. Jeśli adres pojawia się w znanych wyciekach, dostajesz sygnał ostrzegawczy, że co najmniej część twoich danych mogła krążyć publicznie.

Drugi krok to sprawdzenie samego hasła w bazie haseł pochodzących z wycieków. Have I Been Pwned prowadzi usługę Pwned Passwords, czyli ogromny zbiór wcześniej ujawnionych haseł. Sam serwis podkreśla, że takie sprawdzanie jest zgodne z zaleceniami NIST i pomaga blokować hasła, które już wcześniej trafiły do obiegu po naruszeniach.

Jeśli twoje hasło pojawia się w takiej bazie, nie powinno być dalej używane.

Jak stworzyć bezpieczniejsze hasło?

Najlepsze hasło nie musi wyglądać jak losowy chaos, ale musi być trudne do przewidzenia i unikalne. W praktyce najlepiej sprawdzają się dwa podejścia.

Pierwsze to losowe hasło wygenerowane przez menedżer haseł. Drugie to długa fraza-hasło złożona z kilku nieoczywistych słów.

Czy passkeys są lepsze od haseł?

W wielu przypadkach tak. FIDO Alliance opisuje passkeys jako metodę logowania opartą na parach kluczy kryptograficznych i odporną na phishing. Google podkreśla z kolei, że passkeys nie da się po prostu przepisać, przypadkowo udostępnić ani łatwo wyłudzić tak jak zwykłego hasła.

To nie znaczy, że hasła znikną jutro z internetu. Ale tam, gdzie serwis wspiera passkeys, warto rozważyć ich włączenie. W praktyce mogą być bezpieczniejsze i wygodniejsze od klasycznego hasła.

Sygnały, że twoje hasło jest zbyt słabe

Jeśli widzisz tu swoje nawyki, nie warto czekać. To nie jest kwestia estetyki hasła, tylko realnego ryzyka.

Co zrobić, jeśli twoje hasło jest na tej liście?

To kilka minut pracy, które może oszczędzić bardzo dużo problemów.

Podsumowanie

Najczęstsze hasła w Polsce wciąż pokazują ten sam problem: użytkownicy wybierają wygodę zamiast bezpieczeństwa. W 2025 roku na szczycie polskiej listy znalazły się admin, 123456 i zaq1@WSX, a rok wcześniej dominowały 123456, qwerty123 i qwerty1. Zmieniają się szczegóły, ale nie zmienia się schemat.

Jeśli twoje hasło przypomina prosty ciąg cyfr, układ klawiatury, imię albo popularne słowo, najlepiej zmienić je od razu. Dziś bezpieczne logowanie to nie jedno „sprytne” hasło, lecz cały zestaw dobrych praktyk: długość, unikalność, 2FA, menedżer haseł i coraz częściej także passkeys.