Menedżer haseł

Aplikacja przechowująca i generująca silne, unikalne hasła w zaszyfrowanym sejfie, do którego użytkownik dostaje się jednym hasłem głównym.

Menedżer haseł (ang. password manager) to aplikacja, która przechowuje Twoje loginy i hasła w zaszyfrowanym sejfie (tzw. vault) i potrafi generować nowe, mocne hasła za Ciebie. Cały sejf jest zamknięty jednym hasłem głównym (master password) — to jedyne hasło, które musisz pamiętać. Reszta może być losowym ciągiem w stylu k7$Wp!2zR@9mLqX, którego i tak nigdy nie wpiszesz ręcznie.

Pod spodem działa to prosto: sejf jest szyfrowany lokalnie (najczęściej AES-256), a klucz wyprowadzany jest z Twojego hasła głównego funkcją typu PBKDF2, scrypt albo Argon2. Kluczowa idea to zero-knowledge — dostawca usługi nie zna Twojego hasła głównego i nie potrafi odszyfrować sejfu, nawet gdyby chciał albo gdyby ktoś wykradł mu bazę. Dlatego utrata hasła głównego zwykle oznacza utratę dostępu na zawsze, bez opcji „przypomnij mi hasło”.

Do czego to służy w praktyce? Żebyś przestał używać tego samego hasła w 40 serwisach. Menedżer generuje unikalne hasło per serwis, zapamiętuje je i automatycznie podpowiada na właściwej stronie. To także obrona przed phishingiem: autouzupełnianie sprawdza domenę, więc na podrobionym g00gle.com menedżer po prostu nic nie wstawi.

Przykład z praktyki IT

Popularne narzędzia to Bitwarden (open source), 1Password, KeePassXC (lokalny, plik .kdbx) czy menedżery wbudowane w przeglądarki. Zespoły developerskie często sięgają po wersje CLI. W Bitwarden po zalogowaniu odblokujesz sejf i wyciągniesz sekret prosto do skryptu:

bw unlock zwraca sesję, a potem bw get password github-token wypluwa wartość — bez trzymania jej na sztywno w .env wrzuconym przypadkiem do repo.

Częste błędy i mity

  • „Słabe master password” — cały sejf jest tak mocny, jak to jedno hasło. Niech to będzie długa passphrase, nie haslo123.
  • Brak 2FA — włącz drugi składnik na koncie menedżera. Sejf w chmurze bez 2FA to proszenie się o kłopoty.
  • Mit „to jeden punkt awarii” — owszem, ale dobrze zabezpieczony jeden sejf bije w praktyce 40 powtarzanych haseł rozsianych po wyciekach.
  • Brak kopii i kodu odzyskiwania — zapisz recovery key offline, bo zero-knowledge działa też przeciwko Tobie.

Pojęcia powiązane: uwierzytelnianie dwuskładnikowe (2FA), passkeys, szyfrowanie AES, Argon2, phishing, wyciek danych (data breach), passphrase, zero-knowledge.