Proč v roce 2026 potřebujete správce hesel (i když přicházejí passkeys)
Passkeys se na webu postupně zavádějí, ale v roce 2026 je jejich pokrytí stále jen částečné. Správce hesel zvládne passkeys, OTP i dlouhý chvost starších hesel. Tady je upřímné zhodnocení.
Co správce hesel umí
Správce hesel vygeneruje pro každý účet jedinečné náhodné heslo, uloží tato hesla zašifrovaná klíčem odvozeným z jediného hlavního hesla a při přihlášení automaticky vyplní přihlašovací údaje. Tato architektura eliminuje opakované používání hesel — zdaleka nejsnáze zneužitelné chování při útocích na převzetí účtu. Všech pět správců porovnávaných na této stránce (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) implementuje šifrování se zero-knowledge: pokud dojde k narušení serveru poskytovatele, obsahuje pouze zašifrované datové bloky, které nelze dešifrovat bez hlavního hesla uživatele.
Passkeys v roce 2026 nenahrazují správce hesel
Passkeys (FIDO2 / WebAuthn) jsou přihlašovací údaje odolné vůči phishingu, které se kryptograficky vážou ke konkrétní origin. Tam, kde jsou podporovány, jsou jednoznačným vylepšením oproti heslům. Háček je v zavádění: podpora passkeys u velkých webů je v roce 2026 stále jen částečná a nejednotná. Banky, státní služby, nišové SaaS a většina starších firemních systémů se nadále spoléhají na hesla. Velcí správci hesel (Bitwarden, 1Password, Proton Pass) dnes ukládají passkeys vedle hesel, takže správce zůstává tím správným domovem pro obojí.
Výběr prvního správce
Tři možnosti pokryjí většinu uživatelů. Bitwarden Free pokrývá neomezený počet hesel s open-source auditovanou implementací (podle github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free je obdobný, s jurisdikcí ve Švýcarsku (podle proton.me/pass/pricing). KeePassXC je čistě lokální možnost bez jakékoli cloudové komponenty (podle keepassxc.org). Vyberte ten, který odpovídá vaší preferenci synchronizace (auditovaný cloud vs. lokální), naimportujte hesla uložená v prohlížeči a u samotného účtu správce zapněte 2FA.
Proč na hlavním heslu záleží více než na volbě správce
Každý auditovaný správce hesel se zero-knowledge chrání váš trezor klíčem, který je z vašeho hlavního hesla odvozen pomocí paměťově náročné KDF (Argon2id je aktuální best practice; PBKDF2 s vysokým počtem iterací je starší standard). Pokud je hlavní heslo krátké nebo uhodnutelné, je síla šifrování bezpředmětná — útočník, který ukradne zašifrovaný blok, ho může offline prolomit hrubou silou. Řešením je passphrase: 4–6 náhodných slovníkových slov dává zhruba 50–80 bitů entropie, více než jakékoli heslo dostatečně krátké na pohodlné napsání.
Zdroje
Audity Bitwarden: bitwarden.com/help/is-bitwarden-audited. Zdrojový kód Bitwarden: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (vítěz Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Všechny URL navštíveny 2026-04-30.