Dlaczego w 2026 roku potrzebujesz menedżera haseł (nawet gdy nadchodzą passkeys)
Passkeys są wdrażane w całej sieci, ale w 2026 roku ich pokrycie jest wciąż częściowe. Menedżer haseł obsługuje passkeys, kody OTP oraz długi ogon starszych haseł. Oto uczciwe spojrzenie na sprawę.
Co robi menedżer haseł
Menedżer haseł generuje unikalne, losowe hasło dla każdego konta, przechowuje te hasła zaszyfrowane kluczem wyprowadzonym z jednego hasła głównego i automatycznie wypełnia dane logowania w momencie zalogowania. Taka architektura eliminuje ponowne wykorzystywanie haseł — pojedyncze, najłatwiejsze do wykorzystania zachowanie w atakach przejęcia konta. Wszystkie pięć menedżerów porównywanych na tej stronie (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) wdraża szyfrowanie zero-knowledge: serwer dostawcy, w razie włamania, przechowuje wyłącznie zaszyfrowane bloki danych, których nie da się odszyfrować bez hasła głównego użytkownika.
Passkeys nie zastępują menedżerów haseł w 2026 roku
Passkeys (FIDO2 / WebAuthn) to odporne na phishing poświadczenia, które wiążą się kryptograficznie z konkretnym pochodzeniem (origin). Tam, gdzie są obsługiwane, stanowią jednoznaczne ulepszenie w stosunku do haseł. Haczyk tkwi we wdrożeniu: obsługa passkeys na dużych stronach jest w 2026 roku wciąż częściowa i niespójna. Banki, usługi administracji publicznej, niszowe SaaS oraz większość starszych systemów korporacyjnych nadal opierają się na hasłach. Główne menedżery haseł (Bitwarden, 1Password, Proton Pass) przechowują obecnie passkeys obok haseł, więc menedżer pozostaje właściwym miejscem dla obu.
Wybór pierwszego menedżera
Trzy opcje obejmują większość użytkowników. Bitwarden Free zapewnia nieograniczoną liczbę haseł w otwartoźródłowej, audytowanej implementacji (wg github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free jest podobny, z jurysdykcją Szwajcarii (wg proton.me/pass/pricing). KeePassXC to opcja wyłącznie lokalna, bez komponentu chmurowego (wg keepassxc.org). Wybierz to, co pasuje do Twoich preferencji synchronizacji (audytowana chmura vs lokalnie), zaimportuj hasła zapisane w przeglądarce i włącz 2FA na samym koncie menedżera.
Dlaczego hasło główne liczy się bardziej niż wybór menedżera
Każdy audytowany menedżer haseł typu zero-knowledge chroni Twój sejf kluczem wyprowadzonym z hasła głównego za pomocą pamięciożernej funkcji KDF (Argon2id to obecnie najlepsza praktyka; PBKDF2 z dużą liczbą iteracji to starszy standard). Jeśli hasło główne jest krótkie lub łatwe do odgadnięcia, siła szyfrowania nie ma znaczenia — atakujący, który wykradnie zaszyfrowany blok danych, może go złamać metodą brute force w trybie offline. Rozwiązaniem jest fraza hasłowa: 4–6 losowych słów ze słownika daje około 50–80 bitów entropii, więcej niż jakiekolwiek hasło na tyle krótkie, by dało się je wygodnie wpisać.
Źródła
Audyty Bitwarden: bitwarden.com/help/is-bitwarden-audited. Kod źródłowy Bitwarden: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (zwycięzca Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Wszystkie adresy URL otwarte 2026-04-30.