Ludzie różnie „radzą sobie” z hasłami. Jedni wybierają banalnie proste i krótkie, bo te łatwiej zapamiętać. Inni wymyślają jakieś skomplikowane, ale potem używają ich ponownie (recyklują) w różnych serwisach. Jeszcze inni zapisują swoje hasła – na kartce, w notesie, w pliku na ekranie. I wszyscy oni mogą się stać ofiarą hakera. Lub nadmiernie wścibskiego kolegi z pracy.
Zhakowany serwis, ale hasło „zaszyfrowane” – czy to nas chroni?
Być może słyszeliście, że po wycieku danych z serwisu hasła były „zaszyfrowane”, więc nie ma się czym martwić. To po części prawda, ale tylko po części – bo to, jakie mamy hasło, nadal ma olbrzymie znaczenie.
Porządne serwisy nie przechowują Waszego hasła w postaci jawnego tekstu. Zamiast tego przechowują jego skrót kryptograficzny (hash) – wynik działania specjalnej funkcji matematycznej, która z hasła „kot123” produkuje np. ciąg d8578edf8458ce06fbc5bb76a58c5ca4. Nie da się tego odwrócić i odzyskać oryginału. Kiedy się logujecie, serwis haszuje wpisane przez Was hasło i porównuje wynik z tym zapisanym w bazie. Jeśli się zgadzają – jesteście wewnątrz.
Brzmi bezpiecznie? Problem w tym, że przestępcy, którzy przejmą bazę danych z haszami, nie muszą „odszyfrowywać” haseł. Zamiast tego korzystają z gotowych tablic tęczowych (rainbow tables) – ogromnych, wstępnie obliczonych baz, które zawierają hasze dla milionów popularnych haseł. Sprawdzenie, czy hash z ukradzionej bazy odpowiada hasłu „password1”, „Admin2024!” albo imię dziecka + rok urodzenia, zajmuje ułamek sekundy.
Solenie – salting – co to jest?
Solenie (salting) to bezpośrednia odpowiedź na tablice tęczowe. Przed obliczeniem skrótu serwis dodaje do hasła losowy, unikalny ciąg znaków – tzw. sól. Wasze „kot123” staje się wtedy na przykład „kot123Xk8$mQzP2” i dopiero z tego liczony jest hash. Ponieważ każde konto ma inną sól, gotowe tablice tęczowe stają się bezużyteczne – przestępcy musieliby budować osobną tablicę dla każdego użytkownika z osobna. To radykalnie zwiększa koszt ataku.
Ale tu z pomocą przestępcom przychodzi jeszcze jeden czynnik: współczesna karta graficzna jest do łamania haseł nieproporcjonalnie skuteczniejsza niż procesor. Dobry CPU potrafi sprawdzić kilka miliardów wariantów MD5 na sekundę. Karta graficzna klasy RTX – kilkadziesiąt do ponad stu razy więcej, bo jej tysiące małych rdzeni równolegle przelatują przez hasła. W praktyce: 8-znakowe hasło zbudowane z liter i cyfr ma około 218 bilionów możliwości. Brzmi dużo? Dla topowego GPU to kwestia kilkunastu–kilkudziesięciu minut.
Jeśli więc z serwisu, na którym mamy konto, wyciekną nasze dane – hash i sól do naszego konta, to zdeterminowany haker może użyć GPU, by nasze hasło złamać. Macie krótkie hasło? Będzie złamane w minuty. Popularne hasło ze słownika? Złamane w sekundy.
Więcej o tym, jak stworzyć bezpieczne hasła, również bez menedżerów haseł, i o tym, że czasem hasła nie są nam w ogóle potrzebne, pisaliśmy w tym artykule.
Jest jednak dobra wiadomość: nowoczesne algorytmy do przechowywania haseł (bcrypt, Argon2) są celowo zaprojektowane tak, żeby GPU (za bardzo) nie pomagało. Są sekwencyjne i pamięciochłonne – karta graficzna jest wtedy zaledwie kilka razy szybsza od procesora, a nie kilkadziesiąt. Właśnie dlatego ważne jest, jaki algorytm stosuje serwis, któremu powierzacie hasło. Menedżery haseł korzystają właśnie z takich wolnych algorytmów z założenia.
Praktyczny wniosek jest jeden – nawet przy dobrej polityce solenia, hasło złożone z pospolitych słów lub krótkie jest podatne na połączenie ataku słownikowego z atakiem brute force. Jedyne hasło, które jest praktycznie niemożliwe do złamania metodą słownikową, to losowy ciąg co najmniej kilkunastu znaków – taki, który nie istnieje w żadnym słowniku. I właśnie takie hasła generuje dla Was menedżer haseł.
Credential stuffing – dlaczego recykling haseł jest tak niebezpieczny
Wyobraźcie sobie, że logujecie się tym samym hasłem do sklepu internetowego, Facebooka i poczty. Sklep pada ofiarą wycieku danych (co zdarza się regularnie). Przestępcy wchodzą w posiadanie Waszego adresu e-mail i hasła (bo sklep internetowy nie „solił” haseł). Pierwsza rzecz, którą robią? Próbują tego samego zestawu na Gmailu, Outlooku, Facebooku, Instagramie. To się nazywa credential stuffing – i jest w pełni zautomatyzowane. Firma Akamai szacowała, że tego typu ataków było około 193 miliardów w 2020 roku. Teraz jest to pewnie jeszcze więcej.
Jeśli macie to samo hasło w kilku miejscach, jeden wyciek z jednego serwisu – nawet takiego, do którego nie przywiązujecie wagi – może otworzyć drzwi do Waszego głównego konta pocztowego. A stamtąd praktycznie do wszystkiego innego.
Połowa z nas już tego doświadczyła. Jak pokazuje Forbes Advisor Password Statistics 2024, 46% internautów miało skradzione co najmniej jedno hasło, a 30% przyznało, że powodem był recykling haseł między serwisami.
Jak menedżer haseł rozwiązuje te problemy?
Menedżer haseł to sejf. Trzyma w nim wszystkie Wasze hasła – każde inne, każde długie i losowe – i sam je wpisuje, kiedy tego potrzebujecie. Żeby to było możliwe, zwykle działa jako „wtyczka” do przeglądarki. Wy pamiętacie tylko jedno hasło główne (tzw. master password), które otwiera sejf.
Jak to jest zabezpieczone? Tu pojawia się pojęcie, które warto zapamiętać: architektura zero-knowledge. To taka architektura systemu, w której producent aplikacji – nawet jeśli zostanie zhakowany albo zmuszony przez sąd do wydania danych – nie ma technicznej możliwości odczytania Waszych haseł. Wszystkie dane są szyfrowane na Waszym urządzeniu, zanim trafią na serwery. Klucz szyfrujący pochodzi z Waszego hasła głównego i nigdy nie opuszcza Waszego urządzenia. Tu jedna uwaga – postarajcie się, by wasze hasło główne było długie i nieoczywiste.
W praktyce, nawet jeśli nastąpi włamanie na serwery menedżera haseł, atakujący dostanie jedynie zaszyfrowane dane, które bez Waszego hasła głównego są bezużyteczne.
A jakie mamy opcje, jeśli chodzi o menedżery haseł? Przyjrzyjmy się kilku z najpopularniejszych – zacznijmy od najpopularniejszej darmowej opcji.
Bitwarden – darmowy, otwarty menedżer haseł
Bitwarden to odpowiedź na pytanie: „Co, jeśli chcę porządnego menedżera haseł za darmo, bez żadnych ograniczeń?” Plan darmowy oferuje nieograniczoną liczbę haseł na nieograniczonej liczbie urządzeń – bez żadnych warunków pisanych drobnym druczkiem. To rzeczywiście wyjątek na tym rynku.
Kod jest w pełni open source i dostępny publicznie na GitHubie. Dzięki temu każdy specjalista ds. bezpieczeństwa może go przejrzeć, co jest w tej branży znaczącą zaletą – a nie tylko marketingowym hasłem.
Plan Premium kosztuje około 7 zł miesięcznie (w rozliczeniu rocznym) i dodaje między innymi wbudowany generator kodów 2FA, raporty bezpieczeństwa haseł oraz dostęp awaryjny dla bliskiej osoby.
Warto wiedzieć, że w lutym 2026 roku badacze z ETH Zurich opublikowali pracę wskazującą potencjalne luki w mechanizmach odzyskiwania dostępu w Bitwarden, LastPass i Dashlane. Bitwarden wdrożył środki zaradcze, a w publicznych informacjach nie ma żadnych dowodów na to, by ktokolwiek te luki faktycznie wykorzystał. Niemniej warto o tym wspomnieć.
Wady: Interfejs jest funkcjonalny, ale mniej elegancki niż 1Password. Dla mniej technicznych użytkowników pierwsza konfiguracja może być nieco mniej intuicyjna. Też codzienne operowanie nim jest, z mojego doświadczenia, nieco mniej wygodne niż w przypadku 1Password czy ProtoPass.
Dla kogo? Dla wszystkich, którzy chcą solidnego rozwiązania bez miesięcznej subskrypcji. Bitwarden to jedna z najlepszych opcji dla rodzin i małych firm ze względu na stosunek funkcji do ceny.
Proton Pass – prywatność dzięki aliasom e-mail
Proton Pass to menedżer haseł od szwajcarskiej firmy Proton – tej samej, która stoi za ProtonMail i ProtonVPN. Jej mocną kartą jest podejście do prywatności, i to widać w produkcie.
Wyróżniającą cechą Proton Pass jest funkcja hide-my-email, czyli aliasy adresu e-mail. Zamiast podawać swój prawdziwy adres przy rejestracji w kolejnym sklepie, podajecie jednorazowy alias (np. losowy12345@pm.me), który przekierowuje pocztę na Wasz prawdziwy adres. Jeśli sklep padnie ofiarą wycieku albo zacznie zasypywać Was spamem – kasujecie alias i po sprawie. Wasze prawdziwe dane pozostają nieznane.
Plan darmowy oferuje nieograniczoną liczbę haseł, 10 aliasów e-mail i synchronizację między urządzeniami. Plan Plus kosztuje około 10 zł miesięcznie i daje nieograniczone aliasy, monitoring dark webu i wbudowany generator kodów 2FA. Aplikacja jest open source i przeszła niezależny audyt firmy Cure53.
Wady: Interfejs jest nieco mniej dopracowany niż 1Password. Darmowy plan ma limit 10 aliasów – dla kogo to mało, konieczny będzie upgrade.
Dla kogo? Przede wszystkim dla osób, które cenią prywatność i są już w ekosystemie Proton (lub chciałyby do niego wejść). Świetny wybór dla tych, którzy chcą maksymalnie ograniczyć ślad cyfrowy przy rejestracji w serwisach.
1Password – menedżer haseł droższy, ale dopracowany w każdym detalu
1Password to menedżer haseł, który uchodzi za wzór, jeśli chodzi o wygodę użytkowania. Interfejs jest wyjątkowo dobrze dopracowany, a funkcja Watchtower na bieżąco informuje Was o skompromitowanych hasłach i stronach, które doznały wycieków.
Warto wiedzieć o funkcji Travel Mode – przed przekroczeniem granicy możecie tymczasowo ukryć wybrane skarbce, tak by nie były widoczne w aplikacji. Niuans, ale dla niektórych osób nie do przecenienia. Zwłaszcza jeśli jedziecie do kraju, w którym służby specjalne mają szczególnie dużo do powiedzenia.
Tutaj nie ma jednak planu darmowego – 1Password oferuje wyłącznie 14-dniowy trial. Plan indywidualny to około 16 zł miesięcznie (w rozliczeniu rocznym). To tyle samo co dwie kawy na mieście. Ale istotne: w marcu 2026 roku firma bardzo istotnie podniosła ceny, co nie spotkało się z entuzjazmem użytkowników.
Wady: Brak darmowej opcji wyklucza tych, którzy nie chcą lub nie mogą płacić. Kod nie jest open source. Podwyżka cen w 2026 roku jest wyraźnym sygnałem, w którą stronę może zmierzać polityka cenowa tej firmy.
Dla kogo? Dla tych, którzy chcą najlepszego doświadczenia użytkownika bez kompromisów i są gotowi za to zapłacić. Świetny plan rodzinny sprawia, że można go rozważyć, gdy chcemy rozwiązanie dla całego gospodarstwa domowego.
NordPass – tani i prosty, ale z ograniczeniami
Warto wspomnieć jeszcze o NordPass – menedżerze haseł od firmy stojącej za NordVPN. Jest to jedna z tańszych opcji na rynku: plan premium zaczyna się od około 6 zł miesięcznie. Używa algorytmu szyfrowania XChaCha20 (stosowanego m.in. przez Google i Cloudflare).
Darmowy plan ma istotne ograniczenie: pozwala być zalogowanym tylko na jednym urządzeniu naraz. W praktyce oznacza to konieczność wylogowywania się z laptopa, żeby zalogować się na telefon. To poważna niedogodność w codziennym użytkowaniu. Plus, automatyczne wklejanie haseł podobno nie zawsze działa idealnie.
Dla kogo? Dla osób, które szukają bardzo taniego premium lub pracują głównie na jednym urządzeniu.
KeePassXC – menedżer haseł dla tych, którzy nie ufają chmurze
KeePassXC to zupełnie inne podejście do problemu. Zamiast synchronizować hasła przez serwery producenta, trzyma je wyłącznie na Waszym dysku, w zaszyfrowanym pliku. Żadnej chmury, żadnego serwisu zewnętrznego, żadnej subskrypcji. Program jest darmowy i open source.
Brzmi idealnie? Jest jeden haczyk. Synchronizacja między urządzeniami to Wasza sprawa – musicie sami przenieść plik bazy danych na telefon lub skonfigurować ją przez OneDrive czy Dropbox. Dla wielu użytkowników to za dużo zachodu.
KeePassXC doceni przede wszystkim osoba techniczna, która chce mieć absolutną kontrolę nad swoimi danymi i nie chce być zależna od żadnego dostawcy. Jeśli Wasz komputer nie jest podłączony do internetu, to w ogóle jedyna rozsądna opcja (tylko czy wtedy naprawdę potrzebny jest Wam menedżer haseł).
Wady: Brak wygodnej synchronizacji, słabe wsparcie mobilne, konfiguracja wymaga więcej pracy niż konkurencja. Jeśli zapomnicie hasła głównego – wszystkie dane bezpowrotnie przepadają.
Dla kogo? Dla zaawansowanych użytkowników, entuzjastów Linuxa i tych, którzy mają powody, by trzymać hasła całkowicie poza chmurą.
Który menedżer haseł lepszy dla Ciebie? Podsumowanie
Na rynku menedżerów haseł nie ma jednego zwycięzcy dla wszystkich. Wybór zależy od tego, co jest dla Was ważne.
Jeśli chcecie najlepszego stosunku funkcji do ceny i nie zależy Wam na dopracowanym interfejsie – rozważcie Bitwarden. Plan darmowy jest naprawdę darmowy, open source daje spokój ducha, a premium za 7 zł miesięcznie to znakomita cena.
Jeśli jesteście w ekosystemie Proton albo priorytetem jest dla Was prywatność i aliasy e-mail – to pierwszym wyborem powinien być ProtonPass.
Jeśli chcecie najlepszego doświadczenia użytkownika i możecie zapłacić to opcją jest 1Password. Dopracowany interfejs i funkcja Travel Mode to niewątpliwe plusy. Plan rodzinny jest wart rozważenia. NordPass jest tu tańszą alternatywą.
Jeśli chcecie pełnej kontroli bez chmury i jesteście techniczni – wybierzcie KeePassXC.
LastPass celowo pomijam w tym zestawieniu: choć przez lata był to jeden z najpopularniejszych menedżerów haseł (też go kiedyś używałem), to firma doświadczyła poważnego naruszenia bezpieczeństwa w 2022 roku, a przejrzystość komunikacji po incydencie pozostawiała wiele do życzenia.
Jedno jest pewne: jakikolwiek menedżer haseł jest lepszy niż jego brak. Bo w dzisiejszym świecie mamy tyle kont, że stworzenie do nich bezpiecznych haseł, a następnie zapamiętanie ich wszystkich nie wydaje się możliwe dla doskonałej większości z nas. Ale może z tym jednym – do menedżera haseł – jakoś damy sobie radę.
Źródło zdjęcia: Tim Evans/Unsplash
0 komentarzy
