Miért van szükséged jelszókezelőre 2026-ban (még a passkey-ek érkezése mellett is)
A passkey-ek terjednek a weben, de a lefedettség 2026-ban még hiányos. Egy jelszókezelő kezeli a passkey-eket, az OTP-ket és a régi jelszavak hosszú sorát. Íme az őszinte értékelés.
Mit csinál egy jelszókezelő
A jelszókezelő minden fiókhoz egyedi, véletlenszerű jelszót generál, ezeket a jelszavakat egyetlen mesterjelszóból levezetett kulccsal titkosítva tárolja, és bejelentkezéskor automatikusan kitölti a hitelesítő adatokat. Ez az architektúra megszünteti a jelszavak újrafelhasználását — messze a legkönnyebben kihasználható viselkedést a fiókátvételi támadásokban. Az ezen az oldalon összehasonlított mind az öt kezelő (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) zero-knowledge titkosítást valósít meg: a szolgáltató szervere, ha feltörik, csak titkosított adatblokkokat tartalmaz, amelyek a felhasználó mesterjelszava nélkül nem fejthetők vissza.
A passkey-ek 2026-ban nem váltják ki a jelszókezelőket
A passkey-ek (FIDO2 / WebAuthn) adathalászatnak ellenálló hitelesítő adatok, amelyek kriptográfiailag egy adott origóhoz kötődnek. Ahol támogatottak, ott egyértelmű előrelépést jelentenek a jelszavakhoz képest. A bökkenő a bevezetés: a nagy webhelyek passkey-támogatása 2026-ban még részleges és következetlen. A bankok, a kormányzati szolgáltatások, a niche SaaS-ek és a legtöbb régebbi vállalati rendszer továbbra is jelszavakra támaszkodik. A nagy jelszókezelők (Bitwarden, 1Password, Proton Pass) ma már a jelszavak mellett passkey-eket is tárolnak, így a kezelő mindkettő számára a megfelelő otthon marad.
Az első kezelő kiválasztása
Három lehetőség lefedi a felhasználók többségét. A Bitwarden Free korlátlan számú jelszót fed le egy nyílt forráskódú, auditált implementációval (a github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited szerint). A Proton Pass Free hasonló, svájci joghatósággal (a proton.me/pass/pricing szerint). A KeePassXC a kizárólag helyi opció, mindenféle felhőkomponens nélkül (a keepassxc.org szerint). Válaszd azt, amelyik megfelel a szinkronizálási preferenciádnak (auditált felhő vs. helyi), importáld a böngészőben mentett jelszavaidat, és engedélyezd a 2FA-t magán a kezelő fiókján.
Miért fontosabb a mesterjelszó, mint a kezelő megválasztása
Minden auditált zero-knowledge jelszókezelő egy olyan kulccsal védi a széfedet, amelyet a mesterjelszavadból vezet le egy memóriaigényes KDF-en keresztül (az Argon2id a jelenlegi legjobb gyakorlat; a nagy iterációszámú PBKDF2 a régebbi szabvány). Ha a mesterjelszó rövid vagy kitalálható, a titkosítás erőssége lényegtelen — egy támadó, aki ellopja a titkosított adatblokkot, offline, nyers erővel feltörheti. A megoldás egy jelmondat: 4–6 véletlenszerű szótári szó nagyjából 50–80 bit entrópiát ad, többet, mint bármely jelszó, amely elég rövid ahhoz, hogy kényelmesen begépelhető legyen.
Források
Bitwarden-auditok: bitwarden.com/help/is-bitwarden-audited. Bitwarden forráskód: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (a Password Hashing Competition győztese): password-hashing.net/argon2-specs.pdf. Minden URL elérve 2026-04-30-án.