Slaptažodžių tvarkytuvai: kodėl jie būtini ir kaip išsirinkti geriausią 2026 m.

Kiek slaptažodžių turite? Dešimt? Trisdešimt? Šimtą?

Vidutinis interneto vartotojas 2026 m. turi daugiau nei 100 paskyrų: el. paštas, bankas, socialiniai tinklai, parduotuvės, srautinio vaizdo platformos, darbo įrankiai, valstybinės paslaugos. Ir kiekvienai paskyrai reikia slaptažodžio.

Daugelis žmonių šią problemą „sprendžia” paprasčiausiu būdu: naudoja tą patį slaptažodį visur arba kuria lengvai atspėjamus variantus, pvz., „Slaptazodis123″ ir „Slaptazodis124″. Tai lyg visoms durims naudoti tą patį raktą ir palaikyti jo kopiją po kilimėliu.

Slaptažodžių tvarkytuvas yra įrankis, kuris šią problemą pašalina iš esmės. Šiame straipsnyje išsamiai aptarsime, kaip jie veikia, kodėl tapo būtinybe, kokį pasirinkti ir kaip pradėti naudoti dar šiandien.

Problema: kodėl žmonės naudoja silpnus slaptažodžius

Prieš kalbant apie sprendimą, verta suprasti problemos šaknis. Silpnų slaptažodžių priežastys yra visiškai žmogiškos:

Atminties ribotumas. Žmogaus smegenys nėra sukurtos prisiminti 100 atsitiktinių simbolių kombinacijų. Kai turime dešimtis paskyrų, natūraliai ieškome trumpinių: kartojame tą patį slaptažodį, pridedame skaičių prie galo arba naudojame lengvai atspėjamą informaciją (gimimo datą, augintinio vardą, mėgstamą komandą).

Patogumas laimi prieš saugumą. Kiekvieną kartą, kai svetainė prašo sukurti „stiprų slaptažodį su didžiosiomis raidėmis, skaičiais ir specialiais simboliais”, daugelis žmonių tiesiog prideda „!” prie savo įprasto slaptažodžio ir juda toliau.

Klaidingas saugumo jausmas. „Kas norėtų įsilaužti į mano paskyrą? Aš nesu svarbus žmogus.” Ši mintis yra pavojingai klaidinga. Automatizuotos atakos netaiko konkrečių žmonių, jos masiškai tikrina nutekintų slaptažodžių duomenų bazes prieš tūkstančius svetainių vienu metu.

Šie skaičiai iliustruoja realią situaciją:

Faktas	Skaičius
Dažniausias slaptažodis pasaulyje	123456
Vartotojų, naudojančių tą patį slaptažodį kelioms paskyroms	~65 %
Laikas nulaužti 8 simbolių slaptažodį (tik mažosios raidės)	< 1 minutė
Laikas nulaužti 16 simbolių mišrų slaptažodį	> 1 trln. metų
Nutekintų slaptažodžių duomenų bazėje (viešai prieinami)	> 12 mlrd.

Kas yra slaptažodžių tvarkytuvas?

Slaptažodžių tvarkytuvas (angl. password manager) yra programa, kuri:

Saugo visus jūsų slaptažodžius vienoje šifruotoje saugykloje.
Generuoja stiprius, atsitiktinius slaptažodžius kiekvienai paskyrai.
Automatiškai užpildo prisijungimo laukus naršyklėje ir programėlėse.
Sinchronizuoja duomenis tarp visų jūsų prietaisų (kompiuterio, telefono, planšetės).

Jums tereikia prisiminti vieną vienintelį slaptažodį, vadinamą „pagrindiniu slaptažodžiu” (master password). Šis slaptažodis atrakina visą jūsų saugyklą. Visą kitą atlieka tvarkytuvas.

Paprastas palyginimas: slaptažodžių tvarkytuvas yra kaip skaitmeninis seifas. Vietoj to, kad laikytumėte šimtą raktų kišenėje (ir nuolat juos pamestumėte), dedate visus raktus į seifą, kurį atidaryti galite tik jūs.

Kaip veikia slaptažodžių tvarkytuvas: techninė pusė

Daugelis žmonių baiminasi, kad slaptažodžių saugojimas vienoje vietoje yra rizikinga. Tai pagrįstas klausimas, todėl verta suprasti, kaip šie įrankiai užtikrina saugumą.

Šifravimas „nulinių žinių” principu (Zero-Knowledge Architecture).

Patikimi slaptažodžių tvarkytuvai naudoja vadinamąją „nulinių žinių” architektūrą. Tai reiškia:

Jūsų pagrindinis slaptažodis niekada neišsiunčiamas į tiekėjo serverius.
Jūsų duomenys šifruojami jūsų prietaise prieš patekdami į debesį.
Tiekėjas fiziškai negali perskaityti jūsų slaptažodžių, net jei to norėtų.
Jei tiekėjo serveriai būtų nulaužti, užpuolikai gautų tik užšifruotus duomenis, kurie be jūsų pagrindinio slaptažodžio yra beverčiai.

Šifravimo algoritmai.

Standartiniai slaptažodžių tvarkytuvai naudoja AES-256 šifravimą. Tai tas pats algoritmas, kurį naudoja karinės ir vyriausybinės organizacijos. Šifravimo stiprumas: norint nulaužti AES-256 „brute force” metodu, reikėtų daugiau energijos, nei egzistuoja visoje Saulės sistemoje.

Pagrindinio slaptažodžio apdorojimas.

Jūsų pagrindinis slaptažodis nėra tiesiogiai naudojamas šifravimui. Jis pirmiausia apdorojamas specialiais algoritmais (PBKDF2, Argon2 arba bcrypt), kurie paverčia jį šifravimo raktu. Šis procesas specialiai sulėtintas (šimtai tūkstančių iteracijų), kad automatizuotos atakos būtų nepraktiškai lėtos.

Štai kaip atrodo visas procesas:

graph TD
    A["Vartotojas įveda pagrindinį slaptažodį"] --> B["PBKDF2/Argon2 rakto išvedimas"]
    B --> C["Sugeneruojamas šifravimo raktas"]
    C --> D["AES-256 šifravimas/atšifravimas"]
    D --> E["Slaptažodžių saugykla prieinama"]

7 priežastys, kodėl slaptažodžių tvarkytuvas yra būtinas

1. Kiekviena paskyra gauna unikalų slaptažodį

Tai pati svarbiausia priežastis. Kai naudojate tą patį slaptažodį keliose svetainėse, vienos svetainės duomenų nutekėjimas atveria kelią į visas jūsų paskyras.

Kaip vyksta „credential stuffing” ataka:

Nulaužiama mažai žinoma svetainė (pvz., maisto pristatymo programa).
Nuteka milijonai el. pašto ir slaptažodžių kombinacijų.
Užpuolikai automatiškai bando šias kombinacijas Gmail, Facebook, Amazon, bankų svetainėse.
Jei naudojote tą patį slaptažodį, jūsų paskyros pažeidžiamos per minutes.

Su slaptažodžių tvarkyklę kiekviena paskyra turi atskirą, 20+ simbolių atsitiktinį slaptažodį. Net jei viena svetainė nulaužiama, visos kitos lieka saugios.

2. Slaptažodžiai tampa iš tikrųjų stiprūs

Žmogus negali sugalvoti tikrai atsitiktinio slaptažodžio. Mes naudojame žodžius, datas, sekas, kurios atrodo atsitiktinės, bet turi numanomas struktūras. Slaptažodžių tvarkytuvas generuoja kažką panašaus į:

k$7Lm#9pQ2xR!wN4vB8&jF5

Šio slaptažodžio neįmanoma atspėti, nulaužti žodyno ataka ar „brute force” metodu per žmogaus gyvenimo trukmę. Ir jums nereikia jo prisiminti, nes tvarkytuvas tai padaro už jus.

3. Prisijungimas tampa greitesnis, ne lėtesnis

Daugelis žmonių mano, kad slaptažodžių tvarkytuvas sulėtins prisijungimą. Tiesa yra priešinga:

Be tvarkytuvo: bandote prisiminti slaptažodį → įvedate neteisingą → spaudžiate „Pamiršau slaptažodį” → laukiate el. laiško → kuriate naują slaptažodį → bandote jį atsiminti kitą kartą.
Su tvarkytuvu: atidarote svetainę → tvarkytuvas automatiškai užpildo prisijungimo laukus → esate prisijungę per 2 sekundes.

Tai ne tik saugiau, bet ir patogiau.

4. Apsauga nuo phishing atakų

Slaptažodžių tvarkytuvai turi vieną savybę, kuri apsaugo geriau nei bet koks žmogaus budrumas: jie tikrina svetainės URL adresą prieš automatiškai užpildydami slaptažodį.

Praktinis pavyzdys:

Gaunate phishing el. laišką su nuoroda į paypa1.com (su skaičiumi „1″ vietoj raidės „l”).
Atidarote svetainę, kuri atrodo identiškai tikram PayPal.
Slaptažodžių tvarkytuvas nesiūlo automatinio užpildymo, nes jis žino, kad jūsų PayPal slaptažodis priklauso paypal.com, o ne paypa1.com.
Šis subtilus skirtumas, kurio žmogaus akis gali nepastebėti, tvarkytuvui yra akivaizdus signalas.

5. Saugus dalijimasis slaptažodžiais

Ar kada nors siuntėte slaptažodį SMS žinute, el. paštu arba „Messenger” žinute? Visi šie kanalai yra nesaugūs, nes pranešimai saugomi serveruose, gali būti perimti ar matyti kitiems.

Slaptažodžių tvarkytuvai siūlo saugų dalijimosi funkciją:

Galite dalintis konkrečiu slaptažodžiu su šeimos nariu, neatskleisdami paties slaptažodžio teksto.
Gavėjas mato slaptažodį tik savo tvarkytuvo viduje.
Galite bet kada atšaukti prieigą.
Kai kurie tvarkytuvai leidžia sukurti vienkartines nuorodas, kurios automatiškai pasibaigs po peržiūros.

6. Tamsiojo interneto stebėjimas

Daugelis pažangių slaptažodžių tvarkytuvų stebi tamsiojo interneto (dark web) forumus ir duomenų bazių nutekėjimus. Jei jūsų el. pašto adresas ar slaptažodis pasirodo nutekintoje duomenų bazėje, tvarkytuvas apie tai jus perspėja.

Tai leidžia reaguoti proaktyviai: pakeisti slaptažodį dar prieš užpuolikui juo pasinaudojant.

7. Daugiau nei slaptažodžiai

Šiuolaikiniai slaptažodžių tvarkytuvai saugo ne tik slaptažodžius:

Kredito kortelių duomenis – saugus automatinis užpildymas perkant internetu.
Asmens dokumentų informaciją – paso numeris, asmens kodas, vairuotojo pažymėjimas.
Saugias pastabas – Wi-Fi slaptažodžiai, PIN kodai, atkūrimo kodai.
Dviejų veiksnių autentifikacijos (2FA) kodus – kai kurie tvarkytuvai veikia kaip autentifikacijos programėlė.
Failus – mažus saugius dokumentus (pvz., skenuotą paso kopiją).

Slaptažodžių tvarkytuvų palyginimas: kurį pasirinkti?

Rinkoje yra dešimtys slaptažodžių tvarkytuvų. Štai detalus populiariausių variantų palyginimas:

Bitwarden

Tipas: atviro kodo, debesinis.
Kaina: nemokama versija (labai funkcionali); Premium – ~10 USD/metus.
Platformos: Windows, macOS, Linux, iOS, Android, visos naršyklės.

Stipriosios pusės:

Visiškai atviras kodas, todėl saugumo tyrėjai gali tikrinti programos vidų.
Nemokama versija apima beveik viską, ko reikia eiliniam vartotojui.
Galimybė talpinti savo serveryje (self-hosting) tiems, kas nori visiškos kontrolės.
Nepriklausomas saugumo auditas atliktas trečiųjų šalių.

Trūkumai:

Vartotojo sąsaja kiek mažiau intuityvi nei 1Password.
Mažiau papildomų funkcijų nei mokami konkurentai.

Geriausiai tinka: vartotojams, kurie vertina skaidrumą, atvirą kodą ir gerą kainos ir kokybės santykį.

1Password

Tipas: komercinis, debesinis.
Kaina: ~36 USD/metus (individualus); ~60 USD/metus (šeimos planas iki 5 narių).
Platformos: Windows, macOS, Linux, iOS, Android, visos naršyklės.

Stipriosios pusės:

Viena geriausių vartotojo sąsajų rinkoje: intuityvi, graži, aiški.
„Watchtower” funkcija, kuri stebi nutekėjimus ir vertina jūsų slaptažodžių stiprumą.
„Travel Mode”: galimybė laikinai pašalinti jautrius duomenis iš prietaiso (naudinga keliaujant per sienų kontrolę).
Puikus šeimos planas su bendrais ir privačiais seifais.

Trūkumai:

Nėra nemokamos versijos.
Neatviro kodo programa (nors reguliariai audituojama).
Nėra galimybės talpinti savo serveryje.

Geriausiai tinka: šeimoms ir vartotojams, kurie vertina patogumą bei švarų dizainą.

KeePass / KeePassXC

Tipas: atviro kodo, lokalus (offline).
Kaina: visiškai nemokama.
Platformos: Windows (KeePass); Windows, macOS, Linux (KeePassXC). Trečiųjų šalių programos iOS ir Android.

Stipriosios pusės:

Duomenų bazė saugoma tik jūsų prietaise arba jūsų pasirinktoje saugykloje.
Jokio debesies tiekėjo, jokių prenumeratų, jokių trečiųjų šalių.
Itin lanksti: daugybė plėtinių ir konfigūracijos galimybių.
Veikia be interneto ryšio.

Trūkumai:

Reikalauja daugiau techninių žinių nei debesiniai tvarkytuvai.
Sinchronizacija tarp prietaisų reikalauja rankinio nustatymo (per Dropbox, Google Drive ar pan.).
Naršyklės integracija mažiau sklandžiai veikianti.
Nėra oficialios mobilios programėlės (trečiųjų šalių variantai, pvz., KeePassDX, Strongbox).

Geriausiai tinka: techniškai pažengusiems vartotojams, kurie nori visiškos kontrolės ir nepriklausomybės nuo debesies.

Proton Pass

Tipas: atviro kodo, debesinis.
Kaina: nemokama versija (pagrindinės funkcijos); mokama – nuo ~24 USD/metus arba įtraukta į Proton Unlimited paketą.
Platformos: Windows, macOS, Linux, iOS, Android, visos naršyklės.

Stipriosios pusės:

Sukurtas Proton komandos (ProtonMail kūrėjų), turinčios stiprią privatumo reputaciją.
Šveicarijoje registruota kompanija, griežti privatumo įstatymai.
Integruotas el. pašto pseudonimų (alias) generatorius.
Atviras kodas, nepriklausomai audituotas.

Trūkumai:

Palyginti naujas produktas, mažesnė funkcijų bazė nei konkurentų.
Mažiau integracijų su trečiųjų šalių programomis.

Geriausiai tinka: privatumą vertinančiams vartotojams, ypač jau naudojantiems Proton ekosistemą.

Greitas palyginimas

Savybė	Bitwarden	1Password	KeePassXC	Proton Pass
Nemokama versija	Taip (turtinga)	Ne	Taip (viskas)	Taip (pagrindinė)
Atviras kodas	Taip	Ne	Taip	Taip
Debesinė sinchronizacija	Taip	Taip	Rankinė	Taip
Self-hosting	Taip	Ne	Taip (lokalu)	Ne
Šeimos planas	Taip	Taip	Ne (rankinis)	Taip
2FA integruota	Premium	Taip	Per plėtinį	Taip
Dark web stebėjimas	Premium	Taip	Ne	Mokama
Naršyklės integracija	Puiki	Puiki	Gera	Puiki

Ko vengti: naršyklės slaptažodžių saugojimas

Chrome, Firefox, Safari ir Edge turi integruotus slaptažodžių tvarkytuvus. Daugelis žmonių jais naudojasi, nes jie patogūs ir nereikalauja jokio papildomo diegimo. Tačiau naršyklės tvarkytuvas turi reikšmingų trūkumų, palyginti su specialia programa:

Silpnesnis šifravimas. Naršyklės tvarkytuvai ne visada naudoja „nulinių žinių” architektūrą. Kai kuriais atvejais Google ar Microsoft gali turėti techninę galimybę pasiekti jūsų slaptažodžius.

Pažeidžiamumas per prietaisą. Jei kažkas gauna prieigą prie jūsų kompiuterio (fiziškai arba per kenkėjišką programą), naršyklės išsaugoti slaptažodžiai dažnai pasiekiami be papildomo autentifikavimo.

Ribotas funkcionalumas. Nėra saugaus dalijimosi, tamsiojo interneto stebėjimo, kelionės režimo ar pažangaus slaptažodžių audito.

Pririšimas prie ekosistemos. Chrome slaptažodžiai neveikia Firefox naršyklėje, ir atvirkščiai. Specialus tvarkytuvas veikia visose naršyklėse ir platformose.

Mažesnis atsparumas phishing. Naršyklių tvarkytuvai kartais siūlo automatinį užpildymą net ant įtartinų svetainių, o specialūs tvarkytuvai yra griežtesni tikrinant URL atitikmenis.

Naršyklės tvarkytuvas yra geriau nei jokio tvarkytuvo. Bet jei rimtai žiūrite į savo saugumą, pereikite prie specialios programos.

Kaip sukurti stiprų pagrindinį slaptažodį

Pagrindinis slaptažodis (master password) yra vienintelis slaptažodis, kurį turėsite prisiminti. Jis apsaugo visus kitus, todėl turi būti stiprus ir lengvai atsimenamas.

„Passphrase” metodas – geriausias balansas tarp saugumo ir atminimo:

Vietoj trumpo ir sudėtingo slaptažodžio naudokite ilgą frazę iš nesusijusių žodžių:

medžiotojas pianinas kriauklė tramvajus 847

Kodėl tai veikia:

5-6 atsitiktiniai žodžiai sukuria slaptažodį, kurio nulaužimas „brute force” metodu užtruktų šimtmečius.
Žodžiai yra vaizdiniai, todėl juos lengviau prisiminti nei atsitiktines raides.
Galite sukurti absurdišką istoriją, padedančią atsiminti: „Medžiotojas grojo pianinu kriauklėje tramvajuje Nr. 847.”

Pagrindinio slaptažodžio taisyklės:

Bent 4-5 atsitiktiniai žodžiai (geriau 6).
Nenaudokite citatų, dainų tekstų, knygų pavadinimų ar kitų žinomų frazių.
Pridėkite bent vieną skaičių arba specialų simbolį.
Niekada nenaudokite šio slaptažodžio jokioje kitoje paskyroje.
Niekada jo neužrašykite skaitmeninėje formoje (jei reikia, užrašykite ant popieriaus ir laikykite saugioje vietoje).

Ko nedaryti:

ManoSlaptazodis2026 – per trumpas, per numanomas.
CorrectHorseBatteryStaple – tai garsusis XKCD pavyzdys, kurį žino visi, įskaitant užpuolikus.
password123!@# – paprastas šablonas, lengvai atspėjamas.

Žingsnis po žingsnio: kaip pradėti naudoti slaptažodžių tvarkytuvą

Perėjimas prie slaptažodžių tvarkytuvo gali atrodyti bauginantis, kai turite dešimtis paskyrų. Štai praktiškas planas, kurį galite įgyvendinti per savaitgalį:

1 diena: pasirinkimas ir nustatymas

Pasirinkite tvarkytuvą. Jei nesate tikri, pradėkite nuo Bitwarden (nemokamas, atviro kodo, patikimas) arba 1Password (mokamas, bet labai intuityvus).
Sukurkite paskyrą ir sugalvokite stiprų pagrindinį slaptažodį (passphrase metodas).
Užsirašykite atkūrimo informaciją. Dauguma tvarkytuvų pateikia atkūrimo kodą arba avarinį lapą (emergency sheet). Atspausdinkite jį ir laikykite saugioje fizinėje vietoje (pvz., seife). Jei pamiršite pagrindinį slaptažodį ir neturėsite atkūrimo kodo, prarasite prieigą prie visų slaptažodžių.
Įdiekite naršyklės plėtinį ir mobilią programėlę.

2 diena: svarbiausių paskyrų apsauga

Pradėkite nuo svarbiausių paskyrų ir pakeiskite jų slaptažodžius:

El. paštas (Gmail, Outlook) – tai svarbiausias, nes per el. paštą atkuriamos visos kitos paskyros.
Bankas ir finansinės paslaugos.
Socialiniai tinklai (Facebook, Instagram, LinkedIn).
Debesų saugyklos (Google Drive, Dropbox, iCloud).

Kiekvienai paskyrai:

Prisijunkite prie svetainės.
Eikite į paskyros nustatymus → slaptažodžio keitimas.
Leiskite tvarkytuvui sugeneruoti naują, atsitiktinį slaptažodį (20+ simbolių).
Išsaugokite jį tvarkytuve.

3 diena ir toliau: likusios paskyros

Neskubėkite keisti visų 100 slaptažodžių per vieną dieną. Pakeiskite likusias paskyras palaipsniui:

Kiekvieną kartą prisijungdami prie svetainės, pakeiskite slaptažodį ir išsaugokite tvarkytuve.
Per 2-3 savaites natūraliai atnaujinsite daugumą aktyvių paskyrų.
Senesnes, retai naudojamas paskyras galite atnaujinti vėliau arba visai jas uždaryti, jei jų nebereikia.

Dviejų veiksnių autentifikacija (2FA): būtinas papildomas sluoksnis

Slaptažodžių tvarkytuvas žymiai padidina saugumą, bet vienas slaptažodis, kad ir koks stiprus, visada turi silpnybę: jei jis kažkaip nuteka (per svetainės pažeidimą, per petį žiūrintį žmogų, per kenkėjišką programą), jūsų paskyra pažeidžiama.

Dviejų veiksnių autentifikacija (2FA) prideda antrąjį patikrinimo sluoksnį: net žinant jūsų slaptažodį, prisijungti neįmanoma be papildomo kodo.

2FA tipai nuo silpniausio iki stipriausio:

Tipas	Kaip veikia	Saugumo lygis
SMS kodas	Kodas siunčiamas telefono žinute	Žemas (SIM swap atakos)
El. pašto kodas	Kodas siunčiamas el. paštu	Žemas-vidutinis
TOTP programėlė	Kodas generuojamas programėlėje (Google Authenticator, Authy)	Aukštas
Fizinis raktas	USB/NFC aparatinis raktas (YubiKey, Google Titan)	Aukščiausias
Passkey	Biometrinė autentifikacija per prietaisą	Aukščiausias

Rekomendacija: įjunkite 2FA visose paskyroje, kurios tai palaiko. Pirmenybę teikite TOTP programėlei arba fiziniam raktui. Venkite SMS, jei yra alternatyva.

TOTP programėlės pasirinkimai:

Authy – palaiko debesinę atsarginę kopiją, veikia keliuose prietaisuose.
Google Authenticator – paprasta, patikima, dabar palaiko debesinę atsarginę kopiją.
Slaptažodžių tvarkytuvas – Bitwarden Premium ir 1Password gali veikti kaip TOTP generatorius, todėl nereikia atskiros programėlės.

7 dažniausios klaidos tvarkant slaptažodžius

1. Slaptažodžių saugojimas teksto failuose

passwords.txt darbalaukyje arba „Slaptažodžiai” pastaba telefone yra viena pavojingiausių praktikų. Šie failai nėra šifruoti, ir bet kas, gavęs prieigą prie jūsų prietaiso, juos iškart mato.

2. Slaptažodžių siuntimas el. paštu ar žinutėmis

El. laiškai ir žinutės saugomos serveruose, kartais dešimtmečiais. Slaptažodis, išsiųstas el. paštu 2019 m., vis dar gali būti jūsų pašto dėžutėje, o jei pašto paskyra bus nulaužta, užpuolikai ras ir jį.

3. Saugumo klausimų atsakymai tikra informacija

„Kokia jūsų motinos mergautinė pavardė?” arba „Kokioje mokykloje mokėtės?” – šią informaciją dažnai galima rasti socialiniuose tinkluose arba viešose duomenų bazėse.

Sprendimas: atsakykite į saugumo klausimus atsitiktinėmis frazėmis ir išsaugokite jas slaptažodžių tvarkytuve kaip pastabas. Pvz., motinos mergautinė pavardė: „PurpurinėŽirafa42!”.

4. Slaptažodžių keitimas per dažnai be priežasties

Paradoksalu, bet privalomas slaptažodžio keitimas kas 90 dienų (kaip reikalauja kai kurios organizacijos) gali mažinti saugumą. Vartotojai, priversti nuolat keisti slaptažodžius, linkę kurti numanomus variantus: Slaptazodis1, Slaptazodis2, Slaptazodis3.

NIST (JAV nacionalinis standartų institutas) rekomenduoja keisti slaptažodžius tik tada, kai yra priežastis: įtariamas nutekėjimas, pasidalinimas su kitu žmogumi arba paskyros kompromitavimas.

5. To paties slaptažodžio variacijos

Bankas2024!, Facebook2024!, Gmail2024! – tai nėra skirtingi slaptažodžiai. Užpuolikai žino šiuos šablonus ir pirmiausia bando būtent tokias variacijas.

6. Slaptažodžių užrašymas ant lipnių lapelių

Geltoni lapeliai ant monitoriaus su slaptažodžiais yra klasikinis saugumo košmaras. Tai ypač pavojinga biuro aplinkoje, bet ir namuose kelia riziką, jei kas nors fotografuoja jūsų darbo vietą (pvz., vaizdo skambutis, nuotrauka socialiniams tinklams).

7. Atsisakymas naudoti slaptažodžių tvarkytuvą dėl baimės „sudėti visus kiaušinius į vieną krepšį”

Šis argumentas skamba logiškai, bet praktikoje yra klaidingas. Alternatyva slaptažodžių tvarkytuvui nėra „kiekvienas slaptažodis saugomas atskirai saugioje vietoje”. Alternatyva yra: tie patys keli slaptažodžiai naudojami visur, saugomi galvoje (kuri pamiršta), naršyklėje (kuri mažiau saugi) arba teksto faile (kuris nešifruotas).

Slaptažodžių tvarkytuvas yra vienas krepšys, bet tai yra šarvuotas, užrakintas krepšys su apsaugos sistema. O dabartinė praktika, atsargiai tariant, yra slaptažodžiai, išbarstyti po skirtingas kišenes su skylėmis.

Ką daryti, jei slaptažodžių tvarkytuvo tiekėjas nulaužiamas?

Tai pagrįstas klausimas, ypač po 2022 m. LastPass incidento, kai buvo pavogtos užšifruotos vartotojų saugyklos.

Svarbu suprasti: net jei tiekėjo serveriai nulaužiami, užpuolikai gauna tik užšifruotus duomenis. Jei jūsų pagrindinis slaptažodis yra stiprus (ilga passphrase), duomenų atšifravimas yra praktiškai neįmanomas.

Ką daryti po tokio incidento:

Pakeiskite pagrindinį slaptažodį.
Pakeiskite svarbiausius slaptažodžius saugykloje (bankas, el. paštas).
Patikrinkite, ar 2FA įjungta visose svarbiausiose paskyrose.
Apsvarstykite perėjimą prie kito tiekėjo, jei incidentas buvo rimtas.

Prevencija:

Rinkitės tvarkytuvus su „nulinių žinių” architektūra.
Naudokite stiprią passphrase.
Įjunkite 2FA pačiai slaptažodžių tvarkytuvo paskyrai.
Rinkitės atviro kodo sprendimus (Bitwarden, KeePass), kuriuose saugumo tyrėjai gali tikrinti kodą.

Passkeys: slaptažodžių ateitis?

Technologijų pramonė aktyviai kuria slaptažodžių pakaitalą, vadinamą „passkeys” (liet. prieigos raktai). Tai FIDO2 standartu paremta technologija, palaikoma Apple, Google ir Microsoft.

Kaip veikia passkeys:

Vietoj slaptažodžio jūsų prietaisas sugeneruoja kriptografinį raktų porą (viešą ir privatų).
Viešasis raktas siunčiamas svetainei.
Privatusis raktas lieka jūsų prietaise, apsaugotas biometriniu atpažinimu (pirštų atspaudu, veido skenavimu) arba PIN kodu.
Prisijungiant svetainė siunčia iššūkį, jūsų prietaisas jį pasirašo privačiuoju raktu, ir esate prisijungę.

Passkeys privalumai:

Neįmanoma „nutekinti”, nes nėra slaptažodžio, kurį būtų galima pavogti.
Apsauga nuo phishing, nes raktai susieti su konkrečia svetaine.
Nereikia nieko prisiminti.

Kodėl slaptažodžių tvarkytuvai vis dar reikalingi:

Passkeys palaikymas dar nėra universalus. Dauguma svetainių vis dar reikalauja slaptažodžio.
Pereinamasis laikotarpis truks metus, galbūt dešimtmetį.
Slaptažodžių tvarkytuvai (Bitwarden, 1Password) jau palaiko passkeys saugojimą, todėl jie natūraliai tampa ir passkeys tvarkytuvais.

Ateityje slaptažodžių tvarkytuvai greičiausiai transformuosis į bendrus skaitmeninės tapatybės tvarkytuvus, saugančius slaptažodžius, passkeys, dokumentus ir kitus tapatybės duomenis vienoje vietoje.

Kontrolinis sąrašas: jūsų slaptažodžių saugumas

Nr.	Žingsnis	Atlikta?
1	Pasirinktas ir įdiegtas slaptažodžių tvarkytuvas	☐
2	Sukurtas stiprus pagrindinis slaptažodis (passphrase)	☐
3	Išsaugotas atkūrimo kodas saugioje fizinėje vietoje	☐
4	Įdiegtas naršyklės plėtinys ir mobilios programėlė	☐
5	Pakeisti el. pašto ir banko slaptažodžiai	☐
6	Pakeisti socialinių tinklų slaptažodžiai	☐
7	Įjungta 2FA visose svarbiausiose paskyrose	☐
8	Pašalintas slaptažodžių saugojimas naršyklėje	☐
9	Ištrintas bet koks `passwords.txt` failas	☐
10	Šeimos nariai informuoti apie slaptažodžių tvarkytuvą	☐

Slaptažodžių tvarkytuvas yra viena tų retų situacijų, kai vienas paprastas sprendimas drastiškai pagerina ir saugumą, ir patogumą vienu metu. Nereikia būti programuotoju ar IT specialistu. Tereikia valandos laiko savaitgalį, vieno stipraus pagrindinio slaptažodžio ir pasiryžimo daugiau niekada nebesinaudoti „Slaptazodis123″.

Koks bus jūsų pirmas žingsnis šiandien?