Ghiduri
Manager de parole: ce este, dacă e sigur și cum îl folosești corect
Ții minte o singură parolă, iar restul le generează și le păstrează un seif criptat. Vezi cum funcționează un manager de parole, dacă e sigur după breșa LastPass și cum începi corect.
Nimeni nu poate ține minte câte o parolă lungă și unică pentru zeci de conturi. Așa că majoritatea oamenilor fac un compromis periculos: folosesc aceeași parolă, sau mici variații, peste tot. Iar asta înseamnă că o singură scurgere de pe un site oarecare poate deschide brusc toate conturile tale.
Un manager de parole rezolvă exact această problemă: ții minte o singură parolă principală, iar el generează, păstrează și completează automat câte o parolă unică pentru fiecare cont. Vei vedea cum funcționează, dacă e sigur, mai ales după breșa LastPass din 2022, și cum începi să îl folosești fără bătăi de cap.
Ce este un manager de parole
Este un seif criptat pentru parolele tale, deschis cu o singură parolă principală. În el ții toate datele de logare, iar el le completează automat când intri pe un site. În loc să memorezi zeci de parole, ții minte una singură. Pe lângă parole, un manager bun îți generează parole lungi și aleatorii, te avertizează când o parolă e slabă sau a apărut într-o scurgere și poate păstra și alte secrete, de la coduri de rezervă la note.
Cum funcționează criptarea
Aici stă încrederea. Dintr-o parolă principală, aplicația derivă, pe dispozitivul tău, o cheie de criptare. Cu ea, seiful e criptat cu AES-256. Decriptarea se face local, pe telefonul sau calculatorul tău, iar furnizorul nu îți cunoaște parola principală și nu vede conținutul în clar. Modelul se numește „zero knowledge", fără cunoaștere: nici măcar compania nu poate citi ce ai în seif. Avantajul e evident, dar are și o consecință: dacă uiți parola principală, de regulă nu o poate reseta nimeni.
De ce contează: reutilizarea parolelor și credential stuffing
Când refolosești o parolă, o singură breșă te expune pe mai multe fronturi. Atacatorii iau perechile de email și parolă scurse dintr-un site și le încearcă automat pe sute de alte site-uri, mizând că le-ai refolosit. Tehnica se numește credential stuffing și funcționează tocmai pentru că reutilizarea e atât de răspândită. Un manager de parole taie problema din rădăcină: dacă fiecare cont are altă parolă, o breșă pe un site nu le mai deschide pe celelalte. Pentru detalii, vezi ghidul despre credential stuffing și cum îți aperi conturile.
Manager din browser sau aplicație dedicată
Ambele sunt mult mai bune decât reutilizarea parolelor. Alegerea ține de nevoile tale.
Managerul din browser
Chrome, Safari, Firefox sau Edge. Gratuit, fără setări, completează automat. Cel mai bun în interiorul unui singur ecosistem; sincronizarea între browsere diferite e mai slabă.
Aplicație dedicată
De exemplu Bitwarden, 1Password sau KeePass. Merge pe toate browserele și dispozitivele, are funcții în plus: note securizate, partajare, alerte de breșă, passkey-uri.
Cloud sau local
Variantele în cloud sincronizează automat, dar seiful criptat stă pe un server (o țintă). Variantele locale, ca KeePass, țin seiful pe dispozitiv, cu o suprafață de atac mai mică, dar fără sincronizare automată.
Sunt sigure? Lecția LastPass
Întrebarea e legitimă, iar răspunsul onest pornește de la un caz real. În 2022, LastPass a fost spart, iar atacatorii au exfiltrat copii ale seifurilor clienților. Datele includeau și câmpuri necriptate, ca adresele site-urilor, dar și câmpurile sensibile, criptate cu AES-256, ce puteau fi decriptate doar cu o cheie derivată din parola principală a fiecărui utilizator, pe care LastPass nu o cunoaște. Urmarea a confirmat avertismentul din comunicat: seifurile cu parole principale slabe au fost sparte prin forță brută, în timp ce cele cu o parolă principală lungă și unică au rezistat.
Concluzia experților nu e să renunți la managere, ci invers. Atât CISA, cât și autoritatea britanică NCSC continuă să le recomande. Diferența dintre un seif spart și unul intact, în cazul LastPass, a fost exact calitatea parolei principale plus autentificarea în doi pași pe seif.
Parola principală e singura pe care nu ai voie să o greșești
Cum începi, în câțiva pași
Alege un manager
Cel din browser pentru simplitate, sau o aplicație dedicată pentru mai multe dispozitive și funcții.
Setează o parolă principală puternică
O frază lungă, unică, pe care o ții minte. E singura pe care trebuie să o memorezi.
Activează 2FA pe manager
Pasul cel mai important după parola principală: protejează însuși seiful.
Importă parolele existente
Majoritatea managerelor importă rapid parolele din browser sau dintr-un fișier.
Înlocuiește parolele refolosite
Folosește generatorul ca să pui o parolă unică, întâi pe conturile importante: email, bancă, conturile principale.
Lasă autocompletarea să lucreze
De acum, managerul completează logările și te avertizează la parole slabe sau prinse în scurgeri.
Mituri despre managerele de parole
Mit: toate ouăle într-un singur coș
Da, seiful e o țintă, dar alternativa, parole refolosite peste tot, e dovedit mai rea. Cu o parolă principală puternică și 2FA, până și seifurile furate de la LastPass au rezistat.
Mit: managerul din browser nu e sigur
Exagerat. E o opțiune legitimă și recomandată pentru comoditate. Atenție doar să nu salvezi parole pe un dispozitiv public sau partajat.
Mit: un caiet sau un Excel sunt la fel de bune
Nu. Un fișier necriptat se scurge ușor, iar un caiet nu generează parole, nu completează automat și nu te avertizează la scurgeri.
Pasul următor
Un manager de parole lucrează cel mai bine împreună cu autentificarea în doi pași. După ce ai pus parole unice peste tot, verifică dacă vreuna a fost deja expusă, cu ghidul despre cum verifici dacă parola ta a fost într-o scurgere.
Vrei ordine și siguranță în parolele firmei
Întrebări frecvente
Ce este un manager de parole și cum funcționează?
Este un seif criptat în care ții toate parolele, deschis cu o singură parolă principală. El generează parole lungi și unice pentru fiecare cont, le memorează și le completează automat. Criptarea se face cu o cheie derivată din parola ta principală, iar seiful se decriptează local, pe dispozitivul tău; furnizorul nu îți vede parola principală. Practic, ții minte o singură parolă în loc de zeci.
E sigur un manager de parole după ce a fost spart LastPass?
Da, recomandarea rămâne să folosești unul. În 2022, LastPass a fost spart și au fost furate seifuri criptate, dar cele cu o parolă principală lungă și unică au rezistat; cele cu parole slabe au fost sparte prin forță brută. Lecția nu e să renunți la manager, ci să folosești o parolă principală lungă și unică plus autentificare în doi pași pe seif. Autorități precum CISA și NCSC continuă să recomande managerele de parole.
Ce se întâmplă dacă uit parola principală?
De regulă, o pierzi definitiv, împreună cu accesul la seif. Managerele serioase folosesc un model fără cunoaștere („zero knowledge"): nu îți cunosc parola principală și nu o pot reseta. De aceea parola principală trebuie să fie o frază lungă, pe care o ții minte, și e bine să folosești opțiunile de recuperare oferite de aplicație, cum ar fi un cod de recuperare sau un contact de urgență, dacă există.
E suficient managerul din browser sau îmi trebuie o aplicație dedicată?
Depinde de nevoi. Managerul din browser (Chrome, Safari, Firefox) e gratuit, simplu și mult mai bun decât reutilizarea parolelor. O aplicație dedicată, de exemplu Bitwarden, 1Password sau KeePass, merge pe toate browserele și dispozitivele și are funcții în plus. Oricare variantă e bună; important e să nu mai refolosești aceeași parolă și să nu o salvezi pe un dispozitiv public sau partajat.
Citește și
GhiduriAutentificarea în doi pași (2FA): ce e și cum o activezi
Parola singură nu mai ajunge. Vezi ce este autentificarea în doi pași, de ce codul prin SMS e cea mai slabă variantă, ce alternativă e mai sigură și cum activezi 2FA pe conturile importante, pas cu pas.
AmenințăriCredential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.
GhiduriVerifici dacă parola ta a fost într-o scurgere de date
Datele tale pot fi deja într-o scurgere fără să știi. Vezi cum verifici în siguranță dacă emailul sau parola ta au fost expuse, cu Have I Been Pwned și instrumentele din browser, și ce faci apoi.