Správca hesiel a passkeys

Prečo dnes nestačí „dobré heslo“ a čo s tým

Heslá boli desaťročia hlavným mechanizmom prihlásenia. Ich slabinou je, že sú prenosné a ľahko zneužiteľné: dajú sa odpočúvať, phishovať, znovu použiť a lúštiť zo slovníkov. Moderný prístup k ochrane účtov preto stojí na troch pilieroch: silné unikátne heslá, správca hesiel na ich bezpečné generovanie a ukladanie a postupný prechod na passkeys (FIDO2/WebAuthn), ktoré heslá úplne nahrádzajú kryptografiou s verejným kľúčom.

Čo je „silné“ heslo v roku 2025

• Dostatočná dĺžka: prioritou je dĺžka. Pre bežné účty 14–16+ znakov, pre kritické 20+.
• Vysoká entropia: náhodne generované znaky alebo náhodné slová (diceware). Vyhnite sa vzorom, menám, dátumom, obohratým frázam a substitúciám typu „P4ssw0rd!“.
• Jedinečnosť: jedno heslo = jeden účet. Únik jedného nesmie ohroziť iné.
• Nezdieľanie a neukladanie „na papieri“ bez kontextu: ak papier, tak v uzamknutej schránke, ale lepšie je správca hesiel.

Poznámka: Zložité pravidlá typu „minimálne jedno veľké písmeno, číslo a symbol“ majú nižší prínos než samotná dĺžka a náhodnosť. Nechajte generovanie na nástroj.

Prečo potrebujete správcu hesiel

Správca hesiel rieši tri praktické problémy: pamäť, jedinečnosť a bezpečnú distribúciu. Umožní vám generovať dlhé náhodné heslá, automaticky ich vypĺňať a synchronizovať medzi zariadeniami. Navyše chráni pred phishingom (dopĺňa len na zhodnej doméne), upozorňuje na úniky a znovupoužitie a uľahčuje dvojfaktorové overenie.

• Bezpečné úložisko: šifrovaný trezor s nulovými znalosťami (provider nepozná obsah).
• Generátor hesiel: nastaviteľná dĺžka, typy znakov, profily podľa rizika.
• Audity a upozornenia: slabé/uniknuté heslá, neaktualizované prihlásenia, expirácie.
• Integrácie: TOTP, FIDO2 kľúče, bezpečné zdieľanie v tímoch, núdzový prístup.

Výber správcu hesiel: kritériá

• Architektúra „zero-knowledge“: šifrovanie na strane klienta, otvorená kryptografia, auditovateľné SDK.
• Multi-platformnosť: rozšírenia do prehliadačov, mobilné aplikácie, desktop klienti, podporované autofill API.
• Bezpečnostné funkcie: integrácia s passkeys, TOTP, podpora hardvérových kľúčov, detekcia phishingu.
• Správa firemných identít: SSO/SCIM, politiky, role, auditné logy, bezpečné zdieľanie trezorov.
• Obnova a núdzový prístup: bezpečný recovery proces (recovery key, guardians), export/import s kryptografickou ochranou.
• Transparentnosť: penetračné testy, bug bounty, incident response, história bezpečnostných udalostí.

Najčastejšie hrozby a ako ich zmierniť

• Phishing: použite správcu hesiel (autofill funguje len na správnej doméne), aktivujte passkeys, v e-mailoch neklikajte na prihlásenia – radšej otvorte web ručne.
• Credential stuffing: vyrieši jedinečnosť hesiel + MFA/passkeys.
• Únik databázy: dlhé náhodné heslá spomalia či znemožnia offline lámane; sledujte notifikácie o únikoch a ihneď rotujte.
• Keyloggery a malware: aktualizujte OS, používať oddelené profily/prehliadače, hardvérové kľúče a passkeys minimalizujú dopad.
• SIM swapping: vyhnite sa SMS ako jedinému druhému faktoru; preferujte TOTP/hardvérové kľúče/passkeys.

Passkeys: čo sú, prečo sú bezpečnejšie

Passkey je párový kryptografický kľúč vytvorený pri registrácii. Verejný kľúč ostáva u služby, súkromný kľúč je bezpečne uložený na vašom zariadení (alebo synchronizovaný cez dôveryhodný trezor). Pri prihlásení prebieha výzva-odpoveď podpisom, viazaná na konkrétnu doménu (origin binding), takže phishing nefunguje. Žiadne tajomstvo sa neprenáša ani neukladá na serveri, ktoré by bolo možné hromadne ukradnúť.

• Bez hesiel: koniec memorovania a znovupoužitia.
• Phishing-resistant: kryptografia je zviazaná s presnou doménou a kontextom.
• Rýchlosť a UX: odtlačok prsta, tvár, PIN zariadenia – prihlásenie na jeden dotyk.
• Štandardy: FIDO2/WebAuthn, podpora v moderných prehliadačoch a OS, roamingové (hardvérové) aj synchronizované (platformové) credentialy.

Typy passkeys a kde sa ukladajú

• Platformové passkeys: uchované v systéme a synchronizované v rámci ekosystému (napr. v trezore správcu hesiel alebo cloud trezore OS). Vhodné pre väčšinu používateľov.
• Roamingové passkeys: na bezpečnostnom kľúči (napr. USB/NFC). Prenositeľné medzi zariadeniami a často preferované v regulovaných prostrediach.

Prechodová stratégia: od hesiel k passkeys bez chaosu

1. Inventarizácia účtov: export zo správcu hesiel, rozdelenie na kritické (banky, e-maily), dôležité a zvyšok.
2. Stabilizácia hesiel: pre kritické účty vygenerujte dlhé náhodné heslá a zapnite MFA (TOTP/hardvérový kľúč).
3. Aktivácia passkeys tam, kde sú podporované: primárne e-mail, cloud disk, password manager, vývojárske repozitáre, banky a sociálne siete, ak to umožňujú.
4. Záložné mechanizmy: vytvorte recovery kódy a uložte ich offline (trezor, banková schránka); zaregistrujte aspoň dva autentizačné prostriedky (napr. platformový + roamingový kľúč).
5. Postupná migrácia: pri ďalšom prihlásení na podporovanú službu vytvorte passkey a heslo ponechajte len ako „break-glass“ s dlhým náhodným reťazcom, ideálne s vypnutým prihlásením heslom, ak to služba podporuje.
6. Priebežný audit: raz mesačne kontrola znovupoužitých/uniknutých hesiel a aktivovaných passkeys.

Správca hesiel a passkeys: ako to spolupracuje

Moderní správcovia hesiel už vedia vytvárať, ukladať a synchronizovať passkeys rovnako ako heslá. Z pohľadu používateľa ide o jednu databázu prihlasovacích metód, ktorá sa vyplní automaticky podľa toho, čo web podporuje. Výhody:

• Jednotné zálohovanie: heslá, TOTP a passkeys na jednom mieste (oddelené logické trezory).
• Zdieľanie v tíme: bezpečné delegovanie prístupu cez role; pri passkeys formou „zdieľaných prístupových tokenov“ alebo sekundárnych registrácií.
• Politiky: vynútenie MFA, minimálna dĺžka hesiel pri zvyšku účtov, pravidlá pre recovery.

Osvedčené postupy pre jednotlivcov

• Pre každý účet použite unikátne heslo generované správcom (16–24 znakov); kritické účty 24–32.
• Zapnite MFA: najprv TOTP, potom registrujte passkey; SMS ponechajte iba ako poslednú zálohu.
• Uchovávajte recovery kódy mimo počítača (papier v trezore, prípadne na šifrovanom USB).
• Používajte oddelené profily prehliadača (práca/osobné) a pravidelne aktualizujte zariadenia.
• Phishing kontrola: skontrolujte doménu; správca hesiel autofill neponúkne na falošnej stránke.

Osvedčené postupy pre tímy a organizácie

• Identitná stratégia: centrálne SSO, povinné MFA, postupné zavádzanie passkeys pre administrátorov a vývojárov (najvyššie riziko).
• Politiky trezorov: role-based access, minimálne oprávnenia, segregácia tajomstiev (prod vs. test).
• Onboarding/Offboarding: šablóny účtov, automatizované odoberanie prístupov, rotácia zdieľaných tajomstiev pri odchode.
• Incident response: runbook pre kompromitáciu účtu, okamžitá rotácia hesiel/tokenov, zneplatnenie relácií, audit prístupov.
• Compliance: záznamy o prístupoch, dôkaz o MFA, pravidelné bezpečnostné školenia a phishingové cvičenia.

Úskalia a ako sa im vyhnúť

• Strata zariadenia s passkeys: majte aspoň dva nezávislé autentizačné faktory (napr. platformový + hardvérový kľúč) a recovery kódy.
• Vendor lock-in: preferujte nástroje s exportom/importom a otvorenými štandardmi, udržiavajte „núdzový“ roamingový kľúč.
• Nesprávna deaktivácia hesiel: pred vypnutím hesiel overte, že máte min. dve passkeys a funkčné recovery.
• Neadresné zdieľanie hesiel v tíme: nepoužívajte chaty/e-maily – využite bezpečné zdieľanie v správci.

Rýchly postup nastavenia pre začiatočníka

1. Nainštalujte správcu hesiel (desktop, mobil, rozšírenia). Vytvorte silné hlavné heslo (fráza 5–7 náhodných slov) a zapnite MFA na trezor.
2. Na každodenné účty vygenerujte nové heslá a uložte ich do trezora. Skontrolujte duplicitné a slabé heslá – opravte ich.
3. Aktivujte passkeys na e-maile a hlavných cloudových službách. Uložte recovery kódy offline.
4. Pridajte hardvérový kľúč (ak je to možné) ako sekundárny faktor aj ako roamingový passkey.
5. Nastavte mesačné pripomenutie na audit hesiel a prístupov.

Bezpečné vytváranie a ukladanie obnovovacích informácií

• Vytlačte recovery kódy (nefotografujte ich mobilom) a uložte do fyzického trezora.
• Využite „núdzové kontakty“/guardians vo vašom správcovi hesiel – umožnia kontrolované odomknutie.
• Pri kritických prístupoch použite model 2-z-3: napr. platformový passkey + roamingový kľúč + recovery kódy.

FAQ: stručné odpovede

• Musím si passkeys synchronizovať cez cloud? Nie. Môžete používať aj čisto roamingové hardvérové kľúče; cloud však zvyšuje pohodlie a redundanciu.
• Čo ak služba passkeys nepodporuje? Použite dlhé náhodné heslo + TOTP a sledujte plán podpory; migrujte hneď, ako to pôjde.
• Je SMS 2FA zlá? Je lepšia ako nič, ale zraniteľná (SIM swap). Preferujte TOTP alebo FIDO2.
• Vie správca hesiel „vyplniť“ passkey? Nie vyplnením, ale priamo vykoná autenticáciu cez WebAuthn; pre vás to vyzerá rovnako pohodlne.

Checklist: minimum, ktoré by ste mali splniť tento týždeň

• ✔ Nainštalovaný správca hesiel s MFA a auditom trezora.
• ✔ Vygenerovaných 20 najdôležitejších hesiel nanovo (16–24 znakov).
• ✔ Aktivované passkeys aspoň na e-maile a cloud úložisku.
• ✔ Založený roamingový hardvérový kľúč a uložené recovery kódy offline.
• ✔ Vypnutá SMS ako jediný faktor pre kritické účty.

Slovníček pojmov

• Passkey (FIDO2/WebAuthn credential): párový kľúč pre prihlásenie bez hesla.
• TOTP: časovo založené jednorazové kódy v aplikácii (30-sekundový interval).
• Roamingový kľúč: prenosný bezpečnostný token (USB/NFC/BLE) s vlastným úložiskom.
• Platformový kľúč: kľúč viazaný na operačný systém alebo správcu s cloud synchronizáciou.
• Zero-knowledge: poskytovateľ služieb nevie dešifrovať váš trezor.

Zhrnutie

Bezpečnosť účtov dnes stojí na kombinácii unikátnych dlhých hesiel, spoľahlivého správcu hesiel a čoraz širšej adopcie passkeys. Kto začne už dnes, získa výrazne vyššiu odolnosť voči phishingu, únikom aj útokom znovupoužitých poverení – a pritom pohodlnejší a rýchlejší spôsob prihlásenia.