PrivaPass

Podstawy bezpieczeństwa haseł

Jak naprawdę kradnie się hasła

Większość przejęć kont wcale nie polega na łamaniu hasła. Miliardy par adresów e-mail i haseł z wcześniejszych wycieków danych są przedmiotem handlu w sieci, a atakujący po prostu wykorzystują je na innych stronach — to technika zwana credential stuffing, która działa, ponieważ ludzie używają tego samego hasła wszędzie. Słabe lub popularne hasła również szybko padają pod naporem zautomatyzowanych narzędzi do ataków słownikowych i siłowych, a strony phishingowe przechwytują wszystko, co wpiszesz. Ponowne używanie tego samego hasła to zdecydowanie największe zagrożenie: wyciek z jednej witryny może ujawnić każde konto, które korzysta z tego samego hasła.

Co sprawia, że hasło jest naprawdę silne

Długość liczy się bardziej niż symbole. Losowa, 16-znakowa fraza hasła opiera się atakom siłowym przez stulecia, podczas gdy krótkie "P@ssw0rd!" pada w kilka sekund, mimo że wygląda na skomplikowane. Każde konto powinno mieć własne, unikalne hasło, aby pojedynczy wyciek nie przeniósł się lawinowo na wszystkie twoje logowania. Unikaj imion, dat urodzenia i słów ze słownika — wszystkiego, co da się odgadnąć na podstawie twojego publicznego życia. Generator usuwa ludzką przewidywalność, tworząc ciągi o wysokiej entropii, na które nikt nie wpadłby samodzielnie.

Dlaczego sejf na urządzeniu bije chmurę

Menedżery haseł w chmurze przechowują zaszyfrowaną kopię twojego sejfu na swoich serwerach, co czyni je cennym celem ataków — a ty musisz ufać ich zabezpieczeniom, ich pracownikom i ich dostępności. PrivaPass przechowuje twój sejf zaszyfrowany algorytmem AES-256-GCM w pamięci twojej własnej przeglądarki, więc nie ma żadnego centralnego serwera do złamania, żadnego konta do wyłudzenia metodą phishingu ani żadnej subskrypcji, która mogłaby wygasnąć. Twoje hasło główne nigdy nie opuszcza urządzenia, a sprawdzanie wycieków korzysta z k-anonymity, dzięki czemu nawet samo zapytanie niczego nie ujawnia.

Czym jest PrivaPass?

PrivaPass to darmowy menedżer haseł działający w całości w przeglądarce, który generuje, przechowuje i zarządza wszystkimi Twoimi hasłami przy użyciu szyfrowania AES-256-GCM — tego samego standardu, na którym polegają banki i instytucje rządowe. Wbudowany generator tworzy kryptograficznie silne, losowe hasła o konfigurowalnej długości (64+ znaków) oraz z dowolnie wybranymi wielkimi i małymi literami, cyframi i znakami specjalnymi, dzięki czemu nigdy więcej nie musisz sam wymyślać słabego, powtarzalnego hasła. Ludzie używają go, aby nadać każdemu kontu unikalne hasło, przechowywać dane logowania do bankowości, poczty i mediów społecznościowych za jednym hasłem głównym, sprawdzać, czy hasło pojawiło się w znanym wycieku danych, oraz przenosić zaszyfrowaną kopię zapasową między laptopem a telefonem. Cały Twój sejf pozostaje w IndexedDB przeglądarki i jest szyfrowany, zanim w ogóle zostanie zapisany na dysku — nic nie jest przesyłane na żaden serwer, nawet podczas sprawdzania wycieków. Nie ma instalacji, rejestracji ani subskrypcji. Ponieważ cała kryptografia działa jako JavaScript bezpośrednio w Twojej przeglądarce, PrivaPass działa w pełni offline w chwili, gdy strona się załaduje, a Twój sejf i wygenerowane hasła nigdy nie opuszczają urządzenia.

Jak używać PrivaPass

  1. 1

    1. Wygeneruj hasło

    Użyj wbudowanego generatora haseł, aby stworzyć kryptograficznie silne, losowe hasła z konfigurowalnymi opcjami długości, zestawu znaków i poziomu złożoności.

  2. 2

    2. Zapisz w sejfie

    Bezpiecznie przechowuj hasła w zaszyfrowanym lokalnie sejfie chronionym Twoim hasłem głównym — które znasz tylko Ty i które nie jest nigdzie zapisywane.

  3. 3

    3. Eksportuj i utwórz kopię zapasową

    Pobierz zaszyfrowaną kopię zapasową swojego sejfu, aby bezpiecznie przenosić hasła między urządzeniami lub archiwizować na wypadek utraty danych przeglądarki.

Dlaczego PrivaPass jest bezpieczny?

Menedżery haseł w chmurze przechowują zaszyfrowaną kopię Twojego sejfu na własnych serwerach, co czyni je cennym celem ataków — a Ty musisz ufać ich zabezpieczeniom, ich pracownikom i ich dostępności. PrivaPass działa odwrotnie: wszystko generuje i szyfruje w Twojej przeglądarce za pomocą AES-256-GCM, a Twój sejf nigdy nie opuszcza urządzenia. Nie ma żadnego centralnego serwera do złamania, żadnego konta do wyłudzenia metodą phishingu ani żadnej subskrypcji, która mogłaby wygasnąć. Hasło główne nie jest nigdzie zapisywane ani przesyłane — ani na serwerze, ani w pamięci dłużej niż przez tę jedną chwilę potrzebną do odszyfrowania sejfu — przez co jego odzyskanie jest niemożliwe z założenia, co jednocześnie oznacza, że nikt poza Tobą nigdy go nie otworzy. Ponieważ wszystko działa w całości po stronie klienta, nie musisz brać tego na wiarę: otwórz kartę Sieć (Network) w narzędziach deweloperskich (DevTools) przeglądarki podczas generowania hasła lub zapisywania wpisu, a zobaczysz, że żadne żądanie wysłania danych nigdy nie jest wykonywane. Aby uzyskać jeszcze wyraźniejszy dowód, wyłącz Wi-Fi po załadowaniu strony — generowanie, zapisywanie, wyszukiwanie i eksportowanie nadal działają, bo nic nigdy nie trafiało na serwer. Jedyną funkcją, która łączy się z internetem, jest opcjonalne sprawdzanie wycieków, ale i ono korzysta z metody k-anonymity, wysyłając jedynie pierwszych pięć znaków skrótu hasła, dzięki czemu Twoje hasło pozostaje prywatne podczas zapytania.

Często zadawane pytania

Nie. PrivaPass przechowuje wszystkie dane wyłącznie w IndexedDB przeglądarki z silnym szyfrowaniem po stronie klienta. Hasło główne nie jest nigdzie zapisywane — ani lokalnie, ani zdalnie — co oznacza, że żaden serwer ani osoba trzecia nie może uzyskać dostępu do Twojego sejfu.
Hasło główne nie jest nigdzie zapisywane i nie istnieje żaden mechanizm jego odzyskania — to celowy element architektury zerowej wiedzy. Koniecznie przechowuj je w bezpiecznym miejscu offline, np. zapisane na kartce w sejfie. To jest cena pełnej prywatności i kontroli nad własnymi danymi.
Tak. Pobierz zaszyfrowany plik kopii zapasowej za pomocą funkcji eksportu w PrivaPass i zaimportuj go na dowolnym innym urządzeniu. Kopia zapasowa jest zaszyfrowana Twoim hasłem głównym, więc nawet jeśli plik wpadnie w niepowołane ręce, dane pozostają bezpieczne.
Sprawdzanie naruszonych haseł wykorzystuje usługę Have I Been Pwned. Na serwer przesyłanych jest tylko pierwszych kilka znaków skrótu hasła — na podstawie tej częściowej informacji serwer zwraca listę pasujących skrótów, a porównanie reszty odbywa się lokalnie. Dzięki temu rzeczywiste hasło nigdy nie jest ujawniane.
Tak. Ponieważ dane są przechowywane w IndexedDB przeglądarki, zostaną usunięte w przypadku wyczyszczenia danych przeglądania lub zmiany urządzenia. Dlatego zdecydowanie zaleca się regularne tworzenie zaszyfrowanych kopii zapasowych i przechowywanie ich w bezpiecznym miejscu.
Tak, działa offline, i nie, nic nie jest wysyłane. Generowanie haseł, zapisywanie i wyszukiwanie wpisów oraz eksportowanie zaszyfrowanej kopii zapasowej odbywają się w całości na Twoim urządzeniu, bez połączenia z internetem, więc możesz korzystać z PrivaPass w samolocie lub z wyłączonym Wi-Fi w chwili, gdy strona się załaduje. Twoje hasła i sejf nigdy nie są nigdzie przesyłane — możesz to potwierdzić, otwierając kartę Sieć (Network) w narzędziach deweloperskich (DevTools) przeglądarki podczas pracy lub po prostu odłączając się od internetu i obserwując, że wszystko nadal działa. Jedynym wyjątkiem jest opcjonalne sprawdzanie wycieków, które z założenia wysyła tylko pierwszych pięć znaków skrótu hasła, nigdy samo hasło.
Bardzo silne. PrivaPass korzysta z wbudowanego w przeglądarkę kryptograficznie bezpiecznego generatora liczb losowych (Web Crypto API) — a nie z przewidywalnego programowego skrótu — aby tworzyć hasła o wysokiej entropii, których żaden człowiek ani narzędzie oparte na wzorcach nie zdołałoby odgadnąć. Sam decydujesz o długości (do 64+ znaków) oraz o tym, które zestawy znaków uwzględnić: wielkie litery, małe litery, cyfry i znaki specjalne. Ponieważ długość zwiększa siłę o wiele bardziej niż sama złożoność, losowe hasło o 16 znakach już przez stulecia opiera się atakom siłowym. Hasła są generowane lokalnie i zapisywane w sejfie tylko wtedy, gdy zdecydujesz się je zapisać.