Sejf na hasła

Zanim cokolwiek klikniesz, zainstalujesz lub skonfigurujesz, najpierw przeczytajcie ten tekst do końca. Znajdziesz tu krótki opis co z czym i po co oraz podstawowe instrukcja w dwóch wersjach: dla wszystkich oraz dla tych co myślą ze sami to se ogarną. Pełna instrukcja i pois poszczególnych funkcji znajdziesz tutaj

Menadżer haseł – co i po co

Większość osób używa tych samych haseł do Facebooka, maila, Allegro, banku, Netflixa itd., bo inaczej się nie da tego spamiętać. Jeśli jedno z tych miejsc ma wyciek, ktoś może tym samym hasłem wejść też np. do maila, a stamtąd odzyskać dostęp do innych kont – efekt domina.
Menadżer haseł rozwiązuje to tak, że generuje długie, losowe hasła i trzyma je zaszyfrowane, a Ty musisz znać tylko jedno hasło główne do sejfu.

Menadżer haseł to taki sejf na dane logowania, czyli pamiętasz tylko jedno mocne hasło główne, a program "pamięta" wszystkie pozostałe. A dodatkowo może sam wpisywać je na stronach i w aplikacjach. Dzięki temu zyskujesz podwójne zabezpieczenie:

• masz różne, unikatowe, długie hasła do każdego serwisu i nie zapisując ich w zeszycie ani w pliku „hasła.xlsx” na pulpicie
• jesteś odporny na ataki phishingowe bo nie wpisujesz ręcznie swoich danych logowania w fałszywe strony WWW, bo system wyłapie taką próbę za Ciebie

Jakie są opcje: online i offline

Masz kilka typów rozwiązań:

• Online w chmurze: np. Bitwarden, 1Password, LastPass, Proton – zakładasz konto, instalujesz aplikację i wszystko „robi się samo”, ale sejf leży na serwerach jakiejś firmy i zazwyczaj usługa jest płatna.
• Wbudowane w system: Google (hasła w Chrome i Androidzie), Apple iCloud Keychain na iPhone i Macu – wygodne, ale zwykle powiązane tylko z jednym ekosystemem. Czyli nie użījesz na "komputerze kolegi" (swoją drogą i tak tego nie rób :] )
• Offline: np. KeePass – sejf to plik na Twoim dysku, bez „chmury”, ale synchronizację między urządzeniami musisz ogarniać sam (np. przez własny dysk sieciowy).

Vaultwarden to jeszcze inna opcja: własny, domowy serwer zgodny z Bitwardenem – więc wszystkie aplikacje Bitwarden działają normalnie, ale sam sejf leży na moim serwerze, a nie jakiejś firmy. Czyli jak nie działa to jest konkretny człowiek który musi się tłumaczyć.

Moja instancja Vaultwarden – jak to działa

U nas wygląda to tak (opis oczywiście mocno skrócony): serwer Vaultwarden działa "u mnie", do niego łączysz się aplikacją Bitwarden (w przeglądarce, na telefonie, na komputerze). Serwer jest dla Ciebie darmowy, nie ma żadnych abonamentów bo "za darmo to uczciwa cena" a "rodzina jest najważniejsza".

Jest kilka ważnych rzeczy jakie musiesz wiedzieć:

• Wszystko jest szyfrowane po Twojej stronie (na Twoim telefonie czy Twoim komputerze) – mój serwer widzi tylko „śmieci”, czyli zaszyfrowane dane (szyfrowanie end‑to‑end).
• Obowiązuje zasada „zero‑knowledge”: nawet administrator serwera (czyli ja) nie zna Twojego hasła głównego ani zawartości Twojego sejfu. Czyli jak stracisz dostęp do swojego sejfu nikt nie pomoże i dane są utracone. Upierdliwe, ale na tym polegają menadżery haseł - ma być bezpiecznie.
• Jako admin mogę np. założyć Ci konto albo je zresetować (kasując stare dane), ale nie mogę podejrzeć żadnych haseł w Twoim sejfie.

Jak z tego korzystać w rodzinie (wersja długa krok po kroku)

Pierwsze logowanie w przeglądarce

1. Wchodzisz adres sejfu Strona logowania

2. Logujesz się podanymi przeze mnie login danymi, czyli Twój e‑mail i tymczasowe hasło, jakie Ci przekazę.

3. System od razu poprosi Cię o ustawienie nowego hasła głównego – to będzie najważniejsze hasło w Twoim życiu, więc nie być łatwe i przewidywalne jak np imię dziecka + rok urodzenia.​
4. Jak wymyśleć długie hasło:
   • ułuz sobei w głowie jakieś zdanie, a potem zapisze je z cyframi i znakami specjalnymi np. zadanie: Lubię pizze z oliwkami. zapisz w postaci Lubi3_piZZ3_z_ol!wk@m!_18043 – tylko błagam!!! wymyśl własne, a nie zaraz wszyscy będą brać to z przykładu :)
   • (opcja dla odważnych) długi losowy ciąg znaków, czyli puść kota na klawiaturę :) albo użyj komendy (wypisane na końcu komendy )
5. Zapamiętaj to hasło
6. ... no dobra, zapisz je na kartce i schowaj w bezpiecznym miejscu (fizyczny sejf?) jak dokumenty do banku – jeśli je zgubisz, nikt go nie odzyska, nawet admin, ani nawet mama.

Po tym kroku masz już konto i pusty sejf na hasła.

Dodawanie haseł

Utwórzmy pierwszy wpis - pierwsze zapisane hasło. Może to być dowolne hasło. Ja dla przykładu posłużę się kontem google'a choćby pod gmail'a.

1. Klikamy Nowy i wybieramy z menu Dane logowania.

   

2. Wypełniamy podstawowe pola, czyli Nazawa konta, Nazwa użytkownika, Hasłow. Opcjonalnie dobrze jest wypełnić, jak znamy, Strona internetowa (URI) co pozwoli łatwiej i pewniej uzupełniać dane logowania (można to dodać później)

   

3. kliknij Zapisz i gotowe! Twój wpis jest widoczny i dostępny. Na przykładzie dopasował też ikonkę do użytego przeze mnie adresu.

Oczywiście, można dodawać innego rodzaju wpisy do naszego "sekretnego miejsca" ale o tym późńiej/kiedyindziej/niżej*

Teraz tylko to conajważneijsze aby zacząć używać.

Import haseł - opcja dla półzaawansowanych

Jeżeli masz już jakiś inny menadżer haseł możesz przenieść swoje wcześniejsze hasła tutaj. Pytanie czy warto :) Tak - jeśli kożystasz wyłącznie z innego menadżera i chcesz mieć backup. Tak - jeśli kożystasz z kilku różnych menadżerów haseł i chcesz mieć backup w jednym miejscu (oczywiście jak smienisz istniejące hasło lub dodasz nowe, musisz to zrobić we wszystkich swoich menadżerach haseł). Tak - jeśłi kożystasz wyłącznie z manadżera offline (a do tego bedziesz mieć backup) Nie - jeśli jesteś paranoikiem i wszystkie swoje hasła trzymasz tylko lokalnie wielkorotnie szyfrowane na kodowanych kryptach czy co tam jeszcze wymyślisz - ale to nie jesteś Ty więc jak masz co przenieść to chyba warto (dla backupu)

A skoro jesteś już półzaawansowanym userem to nie chce mi się tu teraz pisać co i jak bo wiesz, że trzeba kliknąć importuj a z formularza wybrać odpowiednią opcję i wgrać odpowiedni plik (CSV czy JSON), potem dalej dalej dalej, modlisz się aby wszystko się zintegrowało i kasujesz bezpowrtoeni ten plik co go importowałeś bo tam otwartym nie kodowanym jeżykiem wypisane wszystie Twoje hasła.

Instalacja rozszerzenia do przeglądarki na komputerze

1. Wejdź do sklepu dodatków przeglądarki:
   • dla Chrome, Brave -> https://chromewebstore.google.com/
   • dla Firefox -> https://addons.mozilla.org/
   • dla Opera/OperaXR -> https://addons.opera.com/
   • dla Edge Add‑ons -> https://microsoftedge.microsoft.com/addons
2. Wyszukaj „Bitwarden” (w zależności od przeglądarki to rozszerzenie może się różnie nazywać ale zawsze ma taką samą ikonkę/logo) i zainstaluj rozszerzenie. ALE koniecznie zwróć uwagę co instalujesz - jakie rozszerzenie! Wydaje się to mało prawdopodobne aby komuś udało się podszyć pod bitwardena na oficjalnym sklepie z rozszerzeniami (nie instalujemy niczego spoza oficjalnych miejsc) jednak strzeżonego pan Bóg strzeże (i jego haseł). Rozszerzenie jakie nas interesuje będzie miało duuużą liczbę pobrań i wysoką notę (powyżej 4). I przykładowo jak to może wyglądać: rozszerzenie dla chrome/brave Srozszerzenie dla firefox
3. Sama instalacja przebiega różnie na różnych przeglądarkach, ale zazwyczaj polega na klikaniu DALEJ lub DODAJ lub coś podobnego.
   Po instalacji otworzy się strona z animacjami jak przypiąć sobie iknonę do paska przeglądarki. Zazwyczja chodzi o kliknięcie na "puzzla" (różowa strzałka) a potem na pineskę (zelona strzałka)
   
4. Teraz się zalogujmy. Kliknij ikonę Bitwarden obok paska adresu i wybierz "Zaloguj się",
   
   a potem opcję na samym dole Serwer: / "samodzielnie hostowany" lub „Self‑hosted”
   
   
5. Wpisz adres serwera, który dostałeś w instrukcji rodzinnej razem z "https://"
   
   
6. Zapisz, zaloguj się swoim e‑mailem i hasłem głównym – od tej pory rozszerzenie będzie mogło zapisywać loginy, podpowiadać hasła i generować nowe.

Instalacja aplikacji na telefonie

1. Wejdź do Google Play (Android) lub App Store (iPhone) i wyszukaj "Bitwarden" lub „Bitwarden Password Manager”.
2. Zainstaluj i uruchom aplikację, a po jej pierwszym uruchomieniu widok jaki zobaczymi i dalsza konfiguracja jest podobna jak przy instalacji rozszerzenia do przeglądarki na komputerze.
   
   
3. Wybierz dla Serwer (zielona strzałka) opcję "Samodzielnie hostowany" lub „Self‑hosted” (różowa strzałka).
   
   
4. Wklej serwera https://sejf.suisen.it
   
   
5. I już zaloguj się tymi samymi danymi (e‑mail + hasło główne) co znamy klikając na konicec Logowani haslem głównym.
   
   
6. Dla wygody włącz odblokowanie sejfu odciskiem palca / FaceID / kod PIN (zależy jaki masz telefon taką bedziesz mieć opcję) – ale pamiętaj, że nadal najważniejsze jest to długie hasło główne, czasem trzeba będzie je podawać ręcznie. Wybieramy Ustawienia na dole ekranu a następnie zaznaczamy odcisk palca / FaceID / kod PIN (w przypadku kodu PIN trzeba nadać ten kod pin - BŁAGAM!!! nie ustawiać 0000 czy datę urodziń! ;)
   W polu Blokada ekranu ustaw niższą wartość np 5 minut - po tym czasie aplikacja z hasłami się blokuje i trzeba ją odblokować by poznać hasła.
   
7. Inne ustawienia jakie proponuję ustawić to:
   
8. Ustawienia / Inne włączamy synchronizację podczas odświeżania
   
   
9. Ustawienia / Autouzupełnianie możemy to uruchomić aby telefon potrafił za naszą każdorazową zogodą uzupełniam login/hasło właściwymi wartościami. Po wybraniu tej opcji pojawi się kolejne pole potwierdzające co chcemy zrobić i wygląda inaczej na Androidzie a inaczej na iPhone, ale zasada taka sama.
   Włączenie tej opcji pomoże taż zapisywać automatycznie hasła w naszym sejfie, aby nie wpisywać ich nie wiadomo ile razy ręcznie (uff!)
   
   
10. Ustawienia / O aplikacji wyłączoamy opcję wysyłania logów awarii
    
    

Jak używać czyli cykl życia Zapisanie pierwszego hasła na przykładzie Facebooka lub konto pocztowe na wp.pl (opcja prosta i opcja dłuższa)

1. Na komputerze, kożystając z przeglądarki z zainstalowaną "wtyczką" Bitwarden, wejdź na stronę Facebooka lub poczty wp.pl i zaloguj się tak jak zwykle swoim starym hasłem.
2. Powinno wyskoczyć okienko Bitwarden z pytaniem, czy zapisać hasło – kliknij „Zapisz”.​
   
   
3. Jeśli nic nie wyskoczy, kliknij ikonę Bitwarden na pasku przeglądarki (może jest zablokowana lub nie jesteś zalogowany), potem wybierz wybierz Nowy element / Dane logowania i ręcznie wypełnij, podobnie jak to robiliśmy bezpośrednio "w samym" menadżerze haseł:
4. Nazwa elementu: „Facebook”
5. Username: Twój e‑mail lub login do Facebooka
6. Password: aktualne hasło jakiego używasz do Facebook
7. Adres URI (będzie już wpisany automatycznie): https://www.facebook.com
   Zapisz
   
   
8. Wyloguj się z Facebooka/poczty wp.pl i zaloguj sięponownie – tym razem kliknij w ikonę sejfu obok pól logowania i pozwól Bitwardenowi uzupełnić dane.

Od tej chwili nie musisz pamiętać hasła do Facebooka, tylko hasło główne do sejfu.

jak włączyć 2FA dla Gmail i Facebooka (z użyciem Vaultwarden)

2FA (dwuskładnikowe logowanie) = hasło + jednorazowy kod z aplikacji (TOTP). Vaultwarden / Bitwarden może takie kody generować.

Gmail (konto Google)

Robimy to na komputerze na przeglądarce, która ma już rozszerzenie Bitwarden, i jest połączone z Vaultwarden.

1. Zaloguj się do swojego Gmaila w przeglądarce.
2. Wejdź w „Zarządzanie kontem Google” → „Bezpieczeństwo”.
3. Znajdź sekcję „Weryfikacja dwuetapowa” i kliknij „Rozpocznij”.
4. Google poprosi najpierw o numer telefonu – można go użyć, ale celem jest dojście do etapu „Aplikacja uwierzytelniająca” (Authenticator).
5. Na ekranie „Aplikacja uwierzytelniająca” Google pokaże kod QR i/lub tekst „klucz” (ciąg znaków).
6. Teraz:
7. otwórz rozszerzenie Bitwarden,
8. znajdź wpis do Gmaila (jeśli go nie masz – załóż jak w punkcie o Facebooku),
9. edytuj wpis,
10. znajdź pole „Authenticator Key (TOTP)” lub podobne,
11. kliknij ikonę skanowania QR (jeżeli używasz aplikacji mobilnej) LUB wklej tekstowy klucz, który pokazuje Google.
12. Bitwarden zacznie generować 6‑cyfrowe kody, zmieniające się co 30 sekund.
13. W konfiguracji Google wklej taki kod w okienko „Wpisz kod” i zatwierdź.
14. Zapisz zmiany w wpisie w Vaultwarden (przez Bitwarden).

Od tej pory:
- logowanie do Gmaila = hasło (z sejfu) + kod TOTP z Bitwarden (wpis do Gmaila → widoczny kod).

Facebook

Podobnie jak wyżej - na komputerze w odpowiedniej przeglądarce, tylko w ustawieniach Facebooka.

1. Zaloguj się na Facebooka w przeglądarce.
2. Wejdź w „Ustawienia i prywatność” → „Ustawienia” → „Bezpieczeństwo i logowanie”.
3. Znajdź „Używaj uwierzytelniania dwuskładnikowego / Two‑Factor Authentication” i kliknij „Edytuj”.
4. Wybierz „Aplikacja uwierzytelniająca” (nie SMS, chyba że chcesz mieć oba).
5. Facebook pokaże kod QR i/lub tekstowy klucz.
6. W Bitwarden/Vaultwarden:
7. otwórz wpis do Facebooka (jeśli już go wcześniej zapisałeś),
8. w edycji dodaj w polu TOTP klucz z Facebooka (lub zeskanuj QR w aplikacji mobilnej Bitwarden),
9. zapisz wpis.
10. Facebook poprosi o przepisanie 6‑cyfrowego kodu z aplikacji – weź go z wpisu w Bitwarden.
11. Zapisz zmiany.

Od teraz:
- logowanie do Facebooka = login + hasło (z sejfu) + jednorazowy kod z tego samego wpisu w sejfie.

Zastosowanie rodzinne( kolekcje i organizacje)

• NIGDY nikomu nie podawaj hasła do swojego menadżera haseł! – nawet mnie jako adminowi. Mogę resetować konto, ale nie powinienem i nie chcę znać Twojego hasła.
• Wspólne hasła (--zgłosić do mnie zapotrzebowanie--): można zrobić folder organizacji/rodzinny i trzymać tam np. hasło do Wi‑Fi, Netflixa, konta szkolnego dzieci – każdy ma dostęp, ale dalej tylko przez swój sejf.
• Ważne dane logowania: do maila, banku, Facebooka, Allegro, OLX, Google warto dodać nie tylko hasło, ale też 2FA (kody jednorazowe TOTP generowane przez Bitwarden).
• Nowe konto w internecie: zamiast wymyślać hasło samemu, klikasz generator w Bitwarden (np. 20 znaków, losowe) i zapisujesz je od razu w sejfie.
• Gdy coś jest niejasne (np. kod QR do 2FA), nie klikaj na chybił trafił, tylko daj znać – razem przejdziemy to krok po kroku.

Konfiguracja aplikacji klienckiej Bitwarden (wersja dla "tych bardziej")

1. Zainstaluj aplikację na telefonie z Google Play (Android) lub App Store (iPhone) lub F-Droid (Android).
   W przypadku F-Droid dodaj repozytorium zgodnie z instrukcją
   
2. Zainstaluj rozszerzenie przeglądarki Bitwarden
3. dla Chrome, Brave -> https://chromewebstore.google.com/
   • dla Firefox -> https://addons.mozilla.org/
   • dla Opera/OperaXR -> https://addons.opera.com/
   • dla Edge Add‑ons -> https://microsoftedge.microsoft.com/addons
4. Adres serwera: https://sejf.suisen.it
5. Ustaw 2FA do mendżera haseł.
6. Skonfiguruj sobie aplikacje zgodnie ze swoim poczuciem bezpieczeństwa.

Co konkretnie mam dziś zrobić (tylko 4 kroki + bonus)

1. Zaloguj się pierwszy raz do sejfu na sejf.suisen.it, ustaw mocne hasło główne i zapisz je na kartce w bezpiecznym miejscu.
2. Zainstaluj rozszerzenie Bitwarden w swojej przeglądarce i aplikację na telefonie, ustaw adres mojego serwera i zaloguj się.
3. Zapisz w sejfie hasła do minimum dwóch ważnych kont (np. Gmail i Facebook), a jeśli się da – od razu włącz 2FA z kodami TOTP w Bitwarden.
4. Zmień hasła do swoich kont pocztowych e-mail i facebooka na nowe bezpieczne hasła (ponad 12 znaków a najlepiej ponad 24 znaki: litery małe i duże-cyfry-znaki specjalne)
5. BONUS: Zmień hasła do wszystkich swoich kont internetowych nowe bezpieczne hasła :) a gdzie się da dodaj 2FA

---

Komendy

generowanie losowego hasła w unix/linux

LC_ALL=C tr -dc 'A-Za-z0-9!@#$%^&*()_+-=' </dev/urandom | head -c 36 ; echo

generowanie losowego hasła w windows

Add-Type -AssemblyName System.Web
[System.Web.Security.Membership]::GeneratePassword(36, 8)

---

Słowniczek

• Menadżer haseł – program, który bezpiecznie przechowuje loginy i hasła w zaszyfrowanym „sejfie” i automatycznie wypełnia je na stronach.

• Vaultwarden – lekki serwer zgodny z Bitwardenem, który można postawić na własnym serwerze i trzymać sejf haseł „u siebie”, a nie w cudzej chmurze.

• Bitwarden – aplikacja (telefon, komputer, przeglądarka), która łączy się z sejfem (w chmurze albo w Vaultwarden) i obsługuje Twoje hasła.

• Szyfrowanie end‑to‑end (E2EE) – dane są szyfrowane na Twoim urządzeniu i w takiej postaci idą na serwer, który nie widzi treści.

• Zero‑knowledge – model, w którym nawet administrator serwera technicznie nie ma możliwości poznać treści Twojego sejfu ani hasła głównego.

• 2FA / MFA – logowanie dwuskładnikowe: oprócz hasła wpisujesz jednorazowy kod np. z aplikacji, co mocno utrudnia włamanie.

• OTP / TOTP – krótkie, jednorazowe kody logowania, zmieniające się co kilkadziesiąt sekund, generowane przez aplikację uwierzytelniającą.