S Súkromie a bezpečnosť0

Správca hesiel a passkeys

By Simona ČesanáPosted on
Time to Read:-words

Prečo dnes nestačí „dobré heslo“ a čo s tým

Heslá boli desaťročia hlavným mechanizmom prihlásenia. Ich slabinou je, že sú prenosné a ľahko zneužiteľné: dajú sa odpočúvať, phishovať, znovu použiť a lúštiť zo slovníkov. Moderný prístup k ochrane účtov preto stojí na troch pilieroch: silné unikátne heslá, správca hesiel na ich bezpečné generovanie a ukladanie a postupný prechod na passkeys (FIDO2/WebAuthn), ktoré heslá úplne nahrádzajú kryptografiou s verejným kľúčom.

Čo je „silné“ heslo v roku 2025

  • Dostatočná dĺžka: prioritou je dĺžka. Pre bežné účty 14–16+ znakov, pre kritické 20+.
  • Vysoká entropia: náhodne generované znaky alebo náhodné slová (diceware). Vyhnite sa vzorom, menám, dátumom, obohratým frázam a substitúciám typu „P4ssw0rd!“.
  • Jedinečnosť: jedno heslo = jeden účet. Únik jedného nesmie ohroziť iné.
  • Nezdieľanie a neukladanie „na papieri“ bez kontextu: ak papier, tak v uzamknutej schránke, ale lepšie je správca hesiel.

Poznámka: Zložité pravidlá typu „minimálne jedno veľké písmeno, číslo a symbol“ majú nižší prínos než samotná dĺžka a náhodnosť. Nechajte generovanie na nástroj.

Prečo potrebujete správcu hesiel

Správca hesiel rieši tri praktické problémy: pamäť, jedinečnosť a bezpečnú distribúciu. Umožní vám generovať dlhé náhodné heslá, automaticky ich vypĺňať a synchronizovať medzi zariadeniami. Navyše chráni pred phishingom (dopĺňa len na zhodnej doméne), upozorňuje na úniky a znovupoužitie a uľahčuje dvojfaktorové overenie.

  • Bezpečné úložisko: šifrovaný trezor s nulovými znalosťami (provider nepozná obsah).
  • Generátor hesiel: nastaviteľná dĺžka, typy znakov, profily podľa rizika.
  • Audity a upozornenia: slabé/uniknuté heslá, neaktualizované prihlásenia, expirácie.
  • Integrácie: TOTP, FIDO2 kľúče, bezpečné zdieľanie v tímoch, núdzový prístup.

Výber správcu hesiel: kritériá

  • Architektúra „zero-knowledge“: šifrovanie na strane klienta, otvorená kryptografia, auditovateľné SDK.
  • Multi-platformnosť: rozšírenia do prehliadačov, mobilné aplikácie, desktop klienti, podporované autofill API.
  • Bezpečnostné funkcie: integrácia s passkeys, TOTP, podpora hardvérových kľúčov, detekcia phishingu.
  • Správa firemných identít: SSO/SCIM, politiky, role, auditné logy, bezpečné zdieľanie trezorov.
  • Obnova a núdzový prístup: bezpečný recovery proces (recovery key, guardians), export/import s kryptografickou ochranou.
  • Transparentnosť: penetračné testy, bug bounty, incident response, história bezpečnostných udalostí.

Najčastejšie hrozby a ako ich zmierniť

  • Phishing: použite správcu hesiel (autofill funguje len na správnej doméne), aktivujte passkeys, v e-mailoch neklikajte na prihlásenia – radšej otvorte web ručne.
  • Credential stuffing: vyrieši jedinečnosť hesiel + MFA/passkeys.
  • Únik databázy: dlhé náhodné heslá spomalia či znemožnia offline lámane; sledujte notifikácie o únikoch a ihneď rotujte.
  • Keyloggery a malware: aktualizujte OS, používať oddelené profily/prehliadače, hardvérové kľúče a passkeys minimalizujú dopad.
  • SIM swapping: vyhnite sa SMS ako jedinému druhému faktoru; preferujte TOTP/hardvérové kľúče/passkeys.

Passkeys: čo sú, prečo sú bezpečnejšie

Passkey je párový kryptografický kľúč vytvorený pri registrácii. Verejný kľúč ostáva u služby, súkromný kľúč je bezpečne uložený na vašom zariadení (alebo synchronizovaný cez dôveryhodný trezor). Pri prihlásení prebieha výzva-odpoveď podpisom, viazaná na konkrétnu doménu (origin binding), takže phishing nefunguje. Žiadne tajomstvo sa neprenáša ani neukladá na serveri, ktoré by bolo možné hromadne ukradnúť.

  • Bez hesiel: koniec memorovania a znovupoužitia.
  • Phishing-resistant: kryptografia je zviazaná s presnou doménou a kontextom.
  • Rýchlosť a UX: odtlačok prsta, tvár, PIN zariadenia – prihlásenie na jeden dotyk.
  • Štandardy: FIDO2/WebAuthn, podpora v moderných prehliadačoch a OS, roamingové (hardvérové) aj synchronizované (platformové) credentialy.

Typy passkeys a kde sa ukladajú

  • Platformové passkeys: uchované v systéme a synchronizované v rámci ekosystému (napr. v trezore správcu hesiel alebo cloud trezore OS). Vhodné pre väčšinu používateľov.
  • Roamingové passkeys: na bezpečnostnom kľúči (napr. USB/NFC). Prenositeľné medzi zariadeniami a často preferované v regulovaných prostrediach.

Prechodová stratégia: od hesiel k passkeys bez chaosu

  1. Inventarizácia účtov: export zo správcu hesiel, rozdelenie na kritické (banky, e-maily), dôležité a zvyšok.
  2. Stabilizácia hesiel: pre kritické účty vygenerujte dlhé náhodné heslá a zapnite MFA (TOTP/hardvérový kľúč).
  3. Aktivácia passkeys tam, kde sú podporované: primárne e-mail, cloud disk, password manager, vývojárske repozitáre, banky a sociálne siete, ak to umožňujú.
  4. Záložné mechanizmy: vytvorte recovery kódy a uložte ich offline (trezor, banková schránka); zaregistrujte aspoň dva autentizačné prostriedky (napr. platformový + roamingový kľúč).
  5. Postupná migrácia: pri ďalšom prihlásení na podporovanú službu vytvorte passkey a heslo ponechajte len ako „break-glass“ s dlhým náhodným reťazcom, ideálne s vypnutým prihlásením heslom, ak to služba podporuje.
  6. Priebežný audit: raz mesačne kontrola znovupoužitých/uniknutých hesiel a aktivovaných passkeys.

Správca hesiel a passkeys: ako to spolupracuje

Moderní správcovia hesiel už vedia vytvárať, ukladať a synchronizovať passkeys rovnako ako heslá. Z pohľadu používateľa ide o jednu databázu prihlasovacích metód, ktorá sa vyplní automaticky podľa toho, čo web podporuje. Výhody:

  • Jednotné zálohovanie: heslá, TOTP a passkeys na jednom mieste (oddelené logické trezory).
  • Zdieľanie v tíme: bezpečné delegovanie prístupu cez role; pri passkeys formou „zdieľaných prístupových tokenov“ alebo sekundárnych registrácií.
  • Politiky: vynútenie MFA, minimálna dĺžka hesiel pri zvyšku účtov, pravidlá pre recovery.

Osvedčené postupy pre jednotlivcov

  • Pre každý účet použite unikátne heslo generované správcom (16–24 znakov); kritické účty 24–32.
  • Zapnite MFA: najprv TOTP, potom registrujte passkey; SMS ponechajte iba ako poslednú zálohu.
  • Uchovávajte recovery kódy mimo počítača (papier v trezore, prípadne na šifrovanom USB).
  • Používajte oddelené profily prehliadača (práca/osobné) a pravidelne aktualizujte zariadenia.
  • Phishing kontrola: skontrolujte doménu; správca hesiel autofill neponúkne na falošnej stránke.

Osvedčené postupy pre tímy a organizácie

  • Identitná stratégia: centrálne SSO, povinné MFA, postupné zavádzanie passkeys pre administrátorov a vývojárov (najvyššie riziko).
  • Politiky trezorov: role-based access, minimálne oprávnenia, segregácia tajomstiev (prod vs. test).
  • Onboarding/Offboarding: šablóny účtov, automatizované odoberanie prístupov, rotácia zdieľaných tajomstiev pri odchode.
  • Incident response: runbook pre kompromitáciu účtu, okamžitá rotácia hesiel/tokenov, zneplatnenie relácií, audit prístupov.
  • Compliance: záznamy o prístupoch, dôkaz o MFA, pravidelné bezpečnostné školenia a phishingové cvičenia.

Úskalia a ako sa im vyhnúť

  • Strata zariadenia s passkeys: majte aspoň dva nezávislé autentizačné faktory (napr. platformový + hardvérový kľúč) a recovery kódy.
  • Vendor lock-in: preferujte nástroje s exportom/importom a otvorenými štandardmi, udržiavajte „núdzový“ roamingový kľúč.
  • Nesprávna deaktivácia hesiel: pred vypnutím hesiel overte, že máte min. dve passkeys a funkčné recovery.
  • Neadresné zdieľanie hesiel v tíme: nepoužívajte chaty/e-maily – využite bezpečné zdieľanie v správci.

Rýchly postup nastavenia pre začiatočníka

  1. Nainštalujte správcu hesiel (desktop, mobil, rozšírenia). Vytvorte silné hlavné heslo (fráza 5–7 náhodných slov) a zapnite MFA na trezor.
  2. Na každodenné účty vygenerujte nové heslá a uložte ich do trezora. Skontrolujte duplicitné a slabé heslá – opravte ich.
  3. Aktivujte passkeys na e-maile a hlavných cloudových službách. Uložte recovery kódy offline.
  4. Pridajte hardvérový kľúč (ak je to možné) ako sekundárny faktor aj ako roamingový passkey.
  5. Nastavte mesačné pripomenutie na audit hesiel a prístupov.

Bezpečné vytváranie a ukladanie obnovovacích informácií

  • Vytlačte recovery kódy (nefotografujte ich mobilom) a uložte do fyzického trezora.
  • Využite „núdzové kontakty“/guardians vo vašom správcovi hesiel – umožnia kontrolované odomknutie.
  • Pri kritických prístupoch použite model 2-z-3: napr. platformový passkey + roamingový kľúč + recovery kódy.

FAQ: stručné odpovede

  • Musím si passkeys synchronizovať cez cloud? Nie. Môžete používať aj čisto roamingové hardvérové kľúče; cloud však zvyšuje pohodlie a redundanciu.
  • Čo ak služba passkeys nepodporuje? Použite dlhé náhodné heslo + TOTP a sledujte plán podpory; migrujte hneď, ako to pôjde.
  • Je SMS 2FA zlá? Je lepšia ako nič, ale zraniteľná (SIM swap). Preferujte TOTP alebo FIDO2.
  • Vie správca hesiel „vyplniť“ passkey? Nie vyplnením, ale priamo vykoná autenticáciu cez WebAuthn; pre vás to vyzerá rovnako pohodlne.

Checklist: minimum, ktoré by ste mali splniť tento týždeň

  • ✔ Nainštalovaný správca hesiel s MFA a auditom trezora.
  • ✔ Vygenerovaných 20 najdôležitejších hesiel nanovo (16–24 znakov).
  • ✔ Aktivované passkeys aspoň na e-maile a cloud úložisku.
  • ✔ Založený roamingový hardvérový kľúč a uložené recovery kódy offline.
  • ✔ Vypnutá SMS ako jediný faktor pre kritické účty.

Slovníček pojmov

  • Passkey (FIDO2/WebAuthn credential): párový kľúč pre prihlásenie bez hesla.
  • TOTP: časovo založené jednorazové kódy v aplikácii (30-sekundový interval).
  • Roamingový kľúč: prenosný bezpečnostný token (USB/NFC/BLE) s vlastným úložiskom.
  • Platformový kľúč: kľúč viazaný na operačný systém alebo správcu s cloud synchronizáciou.
  • Zero-knowledge: poskytovateľ služieb nevie dešifrovať váš trezor.

Zhrnutie

Bezpečnosť účtov dnes stojí na kombinácii unikátnych dlhých hesiel, spoľahlivého správcu hesiel a čoraz širšej adopcie passkeys. Kto začne už dnes, získa výrazne vyššiu odolnosť voči phishingu, únikom aj útokom znovupoužitých poverení – a pritom pohodlnejší a rýchlejší spôsob prihlásenia.

Poradňa

Potrebujete radu? Chcete pridať komentár, doplniť alebo upraviť túto stránku? Vyplňte textové pole nižšie. Ďakujeme ♥