PrivaPass

Podstawy bezpieczeństwa haseł

Jak naprawdę kradnie się hasła

Większość przejęć kont wcale nie polega na łamaniu hasła. Miliardy par adresów e-mail i haseł z wcześniejszych wycieków danych są przedmiotem handlu w sieci, a atakujący po prostu wykorzystują je na innych stronach — to technika zwana credential stuffing, która działa, ponieważ ludzie używają tego samego hasła wszędzie. Słabe lub popularne hasła również szybko padają pod naporem zautomatyzowanych narzędzi do ataków słownikowych i siłowych, a strony phishingowe przechwytują wszystko, co wpiszesz. Ponowne używanie tego samego hasła to zdecydowanie największe zagrożenie: wyciek z jednej witryny może ujawnić każde konto, które korzysta z tego samego hasła.

Co sprawia, że hasło jest naprawdę silne

Długość liczy się bardziej niż symbole. Losowa, 16-znakowa fraza hasła opiera się atakom siłowym przez stulecia, podczas gdy krótkie "P@ssw0rd!" pada w kilka sekund, mimo że wygląda na skomplikowane. Każde konto powinno mieć własne, unikalne hasło, aby pojedynczy wyciek nie przeniósł się lawinowo na wszystkie twoje logowania. Unikaj imion, dat urodzenia i słów ze słownika — wszystkiego, co da się odgadnąć na podstawie twojego publicznego życia. Generator usuwa ludzką przewidywalność, tworząc ciągi o wysokiej entropii, na które nikt nie wpadłby samodzielnie.

Dlaczego sejf na urządzeniu bije chmurę

Menedżery haseł w chmurze przechowują zaszyfrowaną kopię twojego sejfu na swoich serwerach, co czyni je cennym celem ataków — a ty musisz ufać ich zabezpieczeniom, ich pracownikom i ich dostępności. PrivaPass przechowuje twój sejf zaszyfrowany algorytmem AES-256-GCM w pamięci twojej własnej przeglądarki, więc nie ma żadnego centralnego serwera do złamania, żadnego konta do wyłudzenia metodą phishingu ani żadnej subskrypcji, która mogłaby wygasnąć. Twoje hasło główne nigdy nie opuszcza urządzenia, a sprawdzanie wycieków korzysta z k-anonymity, dzięki czemu nawet samo zapytanie niczego nie ujawnia.

Czym jest PrivaPass?

PrivaPass to darmowy menedżer haseł działający w całości w przeglądarce. Generuje, przechowuje i zarządza hasłami z silnym szyfrowaniem po stronie klienta. Wszystkie dane pozostają wyłącznie w przeglądarce — żadne informacje o hasłach nie trafiają na zewnętrzne serwery.

Jak używać PrivaPass

  1. 1

    1. Wygeneruj hasło

    Użyj wbudowanego generatora haseł, aby stworzyć kryptograficznie silne, losowe hasła z konfigurowalnymi opcjami długości, zestawu znaków i poziomu złożoności.

  2. 2

    2. Zapisz w sejfie

    Bezpiecznie przechowuj hasła w zaszyfrowanym lokalnie sejfie chronionym Twoim hasłem głównym — które znasz tylko Ty i które nie jest nigdzie zapisywane.

  3. 3

    3. Eksportuj i utwórz kopię zapasową

    Pobierz zaszyfrowaną kopię zapasową swojego sejfu, aby bezpiecznie przenosić hasła między urządzeniami lub archiwizować na wypadek utraty danych przeglądarki.

Dlaczego PrivaPass jest bezpieczny?

PrivaPass przetwarza wszystko lokalnie w przeglądarce z silnym szyfrowaniem po stronie klienta. Hasło główne nigdy nie jest zapisywane ani wysyłane na zewnątrz, a cały sejf haseł pozostaje na Twoim urządzeniu — żadne dane uwierzytelniające nie trafiają na serwery.

Często zadawane pytania

Nie. PrivaPass przechowuje wszystkie dane wyłącznie w IndexedDB przeglądarki z silnym szyfrowaniem po stronie klienta. Hasło główne nie jest nigdzie zapisywane — ani lokalnie, ani zdalnie — co oznacza, że żaden serwer ani osoba trzecia nie może uzyskać dostępu do Twojego sejfu.
Hasło główne nie jest nigdzie zapisywane i nie istnieje żaden mechanizm jego odzyskania — to celowy element architektury zerowej wiedzy. Koniecznie przechowuj je w bezpiecznym miejscu offline, np. zapisane na kartce w sejfie. To jest cena pełnej prywatności i kontroli nad własnymi danymi.
Tak. Pobierz zaszyfrowany plik kopii zapasowej za pomocą funkcji eksportu w PrivaPass i zaimportuj go na dowolnym innym urządzeniu. Kopia zapasowa jest zaszyfrowana Twoim hasłem głównym, więc nawet jeśli plik wpadnie w niepowołane ręce, dane pozostają bezpieczne.
Sprawdzanie naruszonych haseł wykorzystuje usługę Have I Been Pwned. Na serwer przesyłanych jest tylko pierwszych kilka znaków skrótu hasła — na podstawie tej częściowej informacji serwer zwraca listę pasujących skrótów, a porównanie reszty odbywa się lokalnie. Dzięki temu rzeczywiste hasło nigdy nie jest ujawniane.
Tak. Ponieważ dane są przechowywane w IndexedDB przeglądarki, zostaną usunięte w przypadku wyczyszczenia danych przeglądania lub zmiany urządzenia. Dlatego zdecydowanie zaleca się regularne tworzenie zaszyfrowanych kopii zapasowych i przechowywanie ich w bezpiecznym miejscu.

Powiązane artykuły

Bezpieczeństwo haseł: budowanie cyfrowej obrony