PrivaPass
Podstawy bezpieczeństwa haseł
Jak naprawdę kradnie się hasła
Większość przejęć kont wcale nie polega na łamaniu hasła. Miliardy par adresów e-mail i haseł z wcześniejszych wycieków danych są przedmiotem handlu w sieci, a atakujący po prostu wykorzystują je na innych stronach — to technika zwana credential stuffing, która działa, ponieważ ludzie używają tego samego hasła wszędzie. Słabe lub popularne hasła również szybko padają pod naporem zautomatyzowanych narzędzi do ataków słownikowych i siłowych, a strony phishingowe przechwytują wszystko, co wpiszesz. Ponowne używanie tego samego hasła to zdecydowanie największe zagrożenie: wyciek z jednej witryny może ujawnić każde konto, które korzysta z tego samego hasła.
Co sprawia, że hasło jest naprawdę silne
Długość liczy się bardziej niż symbole. Losowa, 16-znakowa fraza hasła opiera się atakom siłowym przez stulecia, podczas gdy krótkie "P@ssw0rd!" pada w kilka sekund, mimo że wygląda na skomplikowane. Każde konto powinno mieć własne, unikalne hasło, aby pojedynczy wyciek nie przeniósł się lawinowo na wszystkie twoje logowania. Unikaj imion, dat urodzenia i słów ze słownika — wszystkiego, co da się odgadnąć na podstawie twojego publicznego życia. Generator usuwa ludzką przewidywalność, tworząc ciągi o wysokiej entropii, na które nikt nie wpadłby samodzielnie.
Dlaczego sejf na urządzeniu bije chmurę
Menedżery haseł w chmurze przechowują zaszyfrowaną kopię twojego sejfu na swoich serwerach, co czyni je cennym celem ataków — a ty musisz ufać ich zabezpieczeniom, ich pracownikom i ich dostępności. PrivaPass przechowuje twój sejf zaszyfrowany algorytmem AES-256-GCM w pamięci twojej własnej przeglądarki, więc nie ma żadnego centralnego serwera do złamania, żadnego konta do wyłudzenia metodą phishingu ani żadnej subskrypcji, która mogłaby wygasnąć. Twoje hasło główne nigdy nie opuszcza urządzenia, a sprawdzanie wycieków korzysta z k-anonymity, dzięki czemu nawet samo zapytanie niczego nie ujawnia.
Czym jest PrivaPass?
PrivaPass to darmowy menedżer haseł działający w całości w przeglądarce, który generuje, przechowuje i zarządza wszystkimi Twoimi hasłami przy użyciu szyfrowania AES-256-GCM — tego samego standardu, na którym polegają banki i instytucje rządowe. Wbudowany generator tworzy kryptograficznie silne, losowe hasła o konfigurowalnej długości (64+ znaków) oraz z dowolnie wybranymi wielkimi i małymi literami, cyframi i znakami specjalnymi, dzięki czemu nigdy więcej nie musisz sam wymyślać słabego, powtarzalnego hasła. Ludzie używają go, aby nadać każdemu kontu unikalne hasło, przechowywać dane logowania do bankowości, poczty i mediów społecznościowych za jednym hasłem głównym, sprawdzać, czy hasło pojawiło się w znanym wycieku danych, oraz przenosić zaszyfrowaną kopię zapasową między laptopem a telefonem. Cały Twój sejf pozostaje w IndexedDB przeglądarki i jest szyfrowany, zanim w ogóle zostanie zapisany na dysku — nic nie jest przesyłane na żaden serwer, nawet podczas sprawdzania wycieków. Nie ma instalacji, rejestracji ani subskrypcji. Ponieważ cała kryptografia działa jako JavaScript bezpośrednio w Twojej przeglądarce, PrivaPass działa w pełni offline w chwili, gdy strona się załaduje, a Twój sejf i wygenerowane hasła nigdy nie opuszczają urządzenia.
Jak używać PrivaPass
- 1
1. Wygeneruj hasło
Użyj wbudowanego generatora haseł, aby stworzyć kryptograficznie silne, losowe hasła z konfigurowalnymi opcjami długości, zestawu znaków i poziomu złożoności.
- 2
2. Zapisz w sejfie
Bezpiecznie przechowuj hasła w zaszyfrowanym lokalnie sejfie chronionym Twoim hasłem głównym — które znasz tylko Ty i które nie jest nigdzie zapisywane.
- 3
3. Eksportuj i utwórz kopię zapasową
Pobierz zaszyfrowaną kopię zapasową swojego sejfu, aby bezpiecznie przenosić hasła między urządzeniami lub archiwizować na wypadek utraty danych przeglądarki.
Dlaczego PrivaPass jest bezpieczny?
Menedżery haseł w chmurze przechowują zaszyfrowaną kopię Twojego sejfu na własnych serwerach, co czyni je cennym celem ataków — a Ty musisz ufać ich zabezpieczeniom, ich pracownikom i ich dostępności. PrivaPass działa odwrotnie: wszystko generuje i szyfruje w Twojej przeglądarce za pomocą AES-256-GCM, a Twój sejf nigdy nie opuszcza urządzenia. Nie ma żadnego centralnego serwera do złamania, żadnego konta do wyłudzenia metodą phishingu ani żadnej subskrypcji, która mogłaby wygasnąć. Hasło główne nie jest nigdzie zapisywane ani przesyłane — ani na serwerze, ani w pamięci dłużej niż przez tę jedną chwilę potrzebną do odszyfrowania sejfu — przez co jego odzyskanie jest niemożliwe z założenia, co jednocześnie oznacza, że nikt poza Tobą nigdy go nie otworzy. Ponieważ wszystko działa w całości po stronie klienta, nie musisz brać tego na wiarę: otwórz kartę Sieć (Network) w narzędziach deweloperskich (DevTools) przeglądarki podczas generowania hasła lub zapisywania wpisu, a zobaczysz, że żadne żądanie wysłania danych nigdy nie jest wykonywane. Aby uzyskać jeszcze wyraźniejszy dowód, wyłącz Wi-Fi po załadowaniu strony — generowanie, zapisywanie, wyszukiwanie i eksportowanie nadal działają, bo nic nigdy nie trafiało na serwer. Jedyną funkcją, która łączy się z internetem, jest opcjonalne sprawdzanie wycieków, ale i ono korzysta z metody k-anonymity, wysyłając jedynie pierwszych pięć znaków skrótu hasła, dzięki czemu Twoje hasło pozostaje prywatne podczas zapytania.