Без пари, без абонамент, без тригодишен договор
Имах имейл адрес от 2002 г., с парола, създадена пак тогава. Наложи се да reset-на паролата. До имейла за възстановяване обаче вече нямах достъп. Кръгът се затвори, аз не можех да вляза в собствения си акаунт, а там имаше неща, които ми трябваха.
Познато ви е. И ако сте си казвали „трябва да направя нещо с паролите“, продължете да четете.
Какво е мениджър на пароли (и как работи)
Тази статия е само за лични пароли. Корпоративни решения не покриваме.
Мениджър на пароли е приложение, което генерира, съхранява и автоматично попълва паролите ви. Вие помните само една главна парола, той помни всички останали вместо вас. Шифрира ги локално, преди да ги изпрати до сървър, така че никой (включително самата компания) не може да ги прочете.
Аналогията е проста: не дръжте ключовете за всяка врата под различна саксия из двора. Сложете ги в сейф с една комбинация. Тази комбинация е вашата главна парола (master password) – единственото, което трябва да запомните.
На практика работи така: инсталирате разширение за браузъра или приложение на телефона. Добавяте акаунтите си или ги импортирате от браузъра, ако Chrome или Safari вече ги е запомнил. Оттук нататък, когато отворите страница за влизане в акаунт (login), приложението предлага да попълни данните автоматично. Тази функция се казва autofill. Тя е причината хората да не се отказват от мениджъра, след като го пробват.
Средният потребител има десетки, понякога над сто акаунта, и рядко си дава сметка колко точно са. Какво е решението?
Мениджър на пароли!
Сигурен ли е? И по-сигурен от какво?
Разбираемо е защо „всичките ми пароли на едно място“ звучи притеснително. Но реалистичната алтернатива е: една парола навсякъде, или „Parola1!“ за важното и „parola123″ за останалото, или бележник в телефона с имена като „gmail – стария имейл“. Всеки от тези варианти е значително по-слаб от добре избран мениджър.
Повечето хора използват една и съща парола на много места. Когато паролите от един сайт изтекат (а това се случва често), хакерите не разбиват нищо: те просто пробват същата комбинация на всички останали места.
Давам местен пример: пробивът в НАП от 2019 г. засегна около 5 милиона записа на български граждани, практически цялото пълнолетно население на страната. Данните включваха имена, ЕГН и финансова информация. Ако някой от тези хора е ползвал имейла и паролата си за НАП и на друго място, рискът не е хипотетичен.
Добрите мениджъри на пароли работят с end-to-end шифриране: данните ви се кодират на вашето устройство, преди да напуснат браузъра. Дори при пробив на сървъра на Bitwarden нападателят получава нечетим шифриран пакет данни. Ключът за декодиране го знаете само вие, той е изведен от главната ви парола.
Добавете към това двуфакторна автентикация (2FA): допълнително потвърждение при всеки login, обикновено чрез код на телефона ви. Дори да знаят паролата ви, без телефона ви не влизат. Повечето мениджъри поддържат 2FA и за вашия акаунт при тях.
Кой да изберете (и стига ли безплатният)
Директният отговор: за повечето хора Bitwarden Free е достатъчен. Неограничени пароли, неограничени устройства, autofill, passkey поддръжка – всичко безплатно. Не е пробен период. Не изтича след месец.
Google Password Manager и Apple Keychain са удобни, ако сте дълбоко в съответната екосистема: Chrome на всички устройства, или iPhone + Mac. Проблемът идва, когато смените телефон или браузър. Данните не вървят безпроблемно с вас.
За банкови сайтове: autofill понякога не работи. Банките използват различни технически ограничения, за да блокират автоматичното попълване (по-стари системи, security политики). Практическият съвет е прост: пробвайте. Ако autofill не тръгне, паролата я имате в мениджъра и я копирате ръчно. Пак е по-добре от „сигурно помня“.
Какво никой не ви казва
Тук идва неудобната истина: ако забравите главната парола при Bitwarden, данните ви са загубени. Bitwarden не може да ви я върне. Архитектурата е умишлена: zero-knowledge означава, че компанията буквално не знае какво сте записали. При 1Password ситуацията е малко по-различна. Те издават Emergency Kit – документ с всичко необходимо за достъп, който препоръчват да разпечатате и съхраните физически. Но ако го изгубите и него, резултатът е същият.
А миграцията? Не е елегантна. Ако след година решите да смените мениджъра, ще минете през export на CSV файл, ръчен import в новия, проверка дали всичко е минало. Не е страшно, но не е еднократно кликане.
Autofill също не работи навсякъде. Банковите сайтове вече споменах, при тях е така. Има и корпоративни системи, custom login форми, стари enterprise портали. При тях ще копирате ръчно. Мениджърът пак ви помага, просто не толкова автоматично.
И най-важното: мениджърът на пароли не е антивирус. Не е VPN. Но тук има нюанс, който рядко се споменава: autofill всъщност е domain-specific. Мениджърът попълва данните само на сайта, за който ги е запазил.
Пример: имате запазена парола за dskbank.bg. Получавате имейл от ДСК с линк към dsk-bank.info. Страницата изглежда идентична, но мениджърът мълчи – не предлага autofill. Това е сигналът: домейнът не е този, за който е запазена паролата. А дори ръчно да въведете паролата, силна уникална парола означава, че е компрометирана само тази сметка, не и останалите. Мениджърът решава проблема с паролите. Проблемът „кликнах линк, който не трябваше“ – не.
Три стъпки да започнете днес. Не „някой ден тази седмица“. Днес отнема осем минути.
1. Инсталирайте Bitwarden.
Отидете на bitwarden.com, създайте акаунт, добавете разширението за браузъра. Безплатно, две минути.
2. Добавете петте си най-важни акаунта.
Не всичко наведнъж – това е рецептата за отказване. Изберете пет: банката, основния имейл, Facebook или LinkedIn, работния акаунт, Netflix или подобно. Добавете ги ръчно или ги импортирате от браузъра. Готово – вече имате ядро.
3. Запишете главната парола на хартия.
Буквално – на хартия. Сгънете я и я заключете на сигурно физическо място. Не я пращайте по имейл на себе си, не я снимайте. Правилото е просто: дигиталната ви сигурност не трябва да зависи изцяло от дигитална памет.
От тук нататък мениджърът расте сам – следващия път, когато влезете в акаунт, той предлага да запази паролата. Месец по-късно ще имате 40 записа, без да сте правили нищо специално – не перфектна система, но достатъчно добра, започната днес.
Речник
Главна парола (master password) – единствената парола, която трябва да помните. Тя отключва мениджъра и от нея се изчислява ключът за всичко останало. Ако я забравите и нямате резервен вариант – данните ви са недостъпни.
Autofill – функцията, при която мениджърът автоматично попълва потребителско име и парола на страниците, когато влизате в акаунт. Работи в браузъра и в мобилни приложения.
End-to-end шифриране – паролите ви се кодират на вашето устройство, преди да бъдат изпратени до сървъра. Компанията, при която сте се регистрирали, не може да ги прочете – дори при пробив на нейните сървъри.
Двуфакторна автентикация (2FA) – втори слой за потвърждение при login, обикновено код на телефона ви. Дори при открадната парола, без второто устройство достъпът е блокиран.
Passkey – по-нов стандарт, при който вместо парола се ползва криптографски ключ на устройството ви – телефонът или компютърът потвърждават самоличността ви чрез биометрия (пръстов отпечатък, лице). Bitwarden Free поддържа passkeys от 2024 г.
