Správce hesel (password manager)
Trezor, který si pamatuje hesla za tebe.
Co to je
Aplikace, která ti vygeneruje silné unikátní heslo pro každý účet, uloží ho šifrovaně a sama ho doplní, když se přihlašuješ. Stačí si pamatovat jedno hlavní heslo (nebo se přihlásit biometrií). Doporučené volby: 1Password, Bitwarden, Apple/Google Passwords.
Proč to záleží
Opakování stejného hesla na více službách je jednou z nejčastějších cest k masivním únikům dat. Správce hesel jediným úkonem odstraní celou tuhle kategorii rizika.
Jak útok funguje
Útoky na hesla typicky využívají toho, že lidé:
- Opakují stejné heslo — jeden únik (LinkedIn 2012, Adobe 2013, ...) odkryje tvoje heslo, útočník ho zkusí na Gmailu, e-shopech, bance. Stačí jediná služba bez 2FA. Útok se jmenuje credential stuffing a běží automatizovaně přes botnety — útočník nemusí ani vědět, kdo jsi.
- Volí slabá hesla —
Heslo123!, jméno + rok narození, jméno mazlíčka. Brute-force / dictionary attack tohle rozluští během minut. - Vyplňují hesla na phishingových stránkách — viz phishing. Když si pamatuješ heslo ručně, vyplníš ho kamkoli, co vypadá podobně. Když ho ukládá password manager, doplňuje ho jen na původní doméně.
Tři vektory útoku na samotný password manager:
- Slabé master heslo — celý trezor stojí na jednom hesle. Pokud je slabé (
Maminka1), útočník při kompromitaci souboru trezoru ho prolomí. Proto master heslo musí být passphrase (4+ náhodných slov, ~25+ znaků) NEBO za ním stojí passkey/biometrie. - Únik dat z poskytovatele — LastPass 2022 incident: útočník získal kopie šifrovaných trezorů. Trezory byly šifrované, ale uživatelé s slabým master heslem byli zranitelní. Lekce: i kdyby ti někdo trezor ukradl, silné master heslo = útok nepřejde.
- Malware na zařízení — keylogger na tvém počítači zachytí master heslo při zadání. Proti tomu pomáhá: aktualizované OS, žádný pirátský software, biometrie místo psaní hesla (Touch/Face ID), browser extension od oficiálního dodavatele.
Jak se chránit
Volba password manageru:
- 1Password — placený (~$3/měsíc), nejpolerovanější UX, dobrý pro rodiny i firmy. Doporučení pro většinu lidí.
- Bitwarden — open source, free tier pokrývá osobní použití. Premium ~$10/rok. Druhá top volba.
- Apple Passwords (iCloud Keychain) — pokud žiješ v Apple ekosystému, je zdarma a stačí. Funguje napříč Apple zařízeními. Méně funkcí (žádné sdílení s rodinou jinak než přes Apple Family).
- Google Password Manager — analogie pro Android/Chrome. Stejně dobré pro každodenní použití.
- NEvolit: built-in browser saving bez šifrované sync (starší Firefox), Notes/Apple Notes/Excel.
Setup (~30 minut):
- Nastav master heslo / phrase — 4 náhodná slova vygenerovaná password managerem (
vital-orange-piano-summit). Zapamatuj si jen toto jediné, nikam si ho nezapisuj. - Zapni biometrii (Face/Touch ID) pro odemčení — master heslo pak píšeš jen občas.
- Zapni 2FA pro password manager sám (viz 2fa) — ideálně aplikační kód nebo hardware klíč.
- Import existujících hesel — z Chrome / Safari / starého souboru. Většina manažerů má jeden import butt klik.
- Zapni "Watchtower" / "Security Report" — funkce, která ti řekne, která tvá hesla unikla v breachech, která jsou duplikátní nebo slabá. Postupně je projeď a změň.
Každodenní rutina:
- Pro novou registraci klikni "Vygeneruj heslo" v rozšíření prohlížeče. Manager si ho uloží sám.
- Při přihlášení se ti heslo doplní automaticky. Když se nedoplnilo, něco je špatně — možná falešná doména (phishing).
- Recovery e-mail a banky drž v password manageru s 2FA — to jsou kořeny tvé identity online.
Sdílení v rodině/týmu:
- 1Password, Bitwarden a Apple Passwords mají sdílené vaulty/složky. Streaming, Netflix, kabelovku tam dej — všichni v rodině vidí aktuální heslo, ale nemůžou je vidět všichni vůbec.
- Nikdy nesdílej heslo přes mail, Messenger nebo SMS — to je trvalá kopie kdekoli.
Časté mýty
Mýtus"Když ho zhackují, ztratím všechna hesla najednou. Lepší si je pamatovat."
RealitaPravděpodobnost, že serióznímu password manageru ukradnou data **A** prolomí tvoje silné master heslo, je nesrovnatelně nižší než pravděpodobnost, že některý z 50+ webů, na kterých máš účet, unikne — a tvoje opakované heslo bude v hromadném dumpu. LastPass incident 2022 ukázal, že i v nejhorším scénáři uživatelé se silným master heslem zůstali nedotčení.
Mýtus"Stačí mi pár silných hesel, který si dokážu zapamatovat."
RealitaPrůměrný uživatel má dnes 80–150 účtů. Žádný člověk si nepamatuje 80 unikátních silných hesel. Realita je, že "5 silných hesel" recykluješ → jeden únik kompromituje 30 účtů najednou. Password manager tu kategorii rizika prostě vypne.
Mýtus"Browser autofill (Chrome) mi stačí — to je vlastně to samé."
RealitaBuilt-in browser save je o krok lepší než nic, ale postrádá několik klíčových věcí: cross-device sync mimo browser ekosystém, sdílení s rodinou, security audit (kde máš slabá / duplikátní / unikla hesla), 2FA storage, secure notes. Pokud jsi začátečník, je to fajn step zero. Po měsíci přejdi na dedicated manager.
Quick checklist
Tento týden:
- Vybrat password manager (1Password / Bitwarden / Apple Passwords).
- Nastavit master heslo (4 random slova, nikam nezapisovat).
- Zapnout biometrii pro odemčení.
- Zapnout 2FA pro password manager sám.
Tento měsíc:
- Importovat existující hesla z browseru.
- Projet Watchtower / Security Report — vyměnit hesla v breachích.
- Vyměnit duplikátní hesla (postupně, 5–10 účtů týdně).
- Nastavit recovery — jak se dostat zpět, když ztratíš telefon (backup codes, recovery e-mail s 2FA).
Long term:
- Kdykoli registruješ nový účet — vygeneruj heslo přes manager, nepamatuj si ho.
- Po 6 měsících projet Watchtower znovu.
- Pro klíčové účty (e-mail, banka, password manager) přejít na passkey (viz passkey).
Podobná témata
Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity, Bezpečnost emailového účtu
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.