Mnoho firem a soukromých uživatelů stojí před stejnou otázkou: Jak lze spolehlivě chránit hesla a další citlivé informace a přitom je pohodlně používat – včetně revizně bezpečného mazání již nepotřebných dat a bez zbytečných rizik souvisejících s umístěním v cloudu?

Níže ukážeme, jak Password Depot umožňuje vysoký standard zabezpečení – od správy hesel přes silné šifrování a bezpečné generování hesel až po konečné mazání dat a důvěryhodná úložiště.

Efektivní správa autentizačních údajů

Počet požadovaných přístupových údajů (hesla, uživatelská jména, PIN kódy) neustále roste. Poznámkové lístky, tabulky nebo paměť prohlížeče jsou sice v každodenním životě běžné, ale jsou náchylné k chybám a podporují opětovné používání hesel. Odborné úřady, jako je BSI a britský NCSC, proto doporučují používání správce hesel: ten generuje silná hesla, varuje před slabými nebo kompromitovanými hesly a usnadňuje jejich jednoznačné přiřazení. Zdroj: BSI, Zdroj: NCSC

Praktický tip: Pro každou službu používejte vlastní silné heslo a pokud je to možné, aktivujte vícefaktorové ověřování (MFA).

Maximální bezpečnost při ukládání a přístupu

Password Depot ukládá hesla a další důvěrné informace (např. licenční klíče, identifikační a platební údaje) v zašifrované podobě. Používá se AES‑256 – standardizovaný postup podle FIPS 197; NSA používá AES‑256 v aktuální sadě CNSA 2.0. FIPS 197, NSA CNSA 2.0

Hlavní heslo je klíčem k vaší databázi. Není uloženo v otevřeném textu, místo toho se při přihlášení používá kryptografická odvozená hodnota. Moderní pokyny vyžadují mimo jiné paměťově náročné postupy hashování hesel a salt a omezení rychlosti na straně ověřovatele. NIST SP 800‑63B‑4

Důležité: Pravidla složitosti (povinné speciální znaky atd.) jsou považována za kontraproduktivní. Doporučujeme používat dlouhé hesla a porovnávat je s blocklisty (častá/kompromitovaná hesla). Hesla měňte pouze v případě podezření na kompromitaci, nikoli v pevně stanovených cyklech. NIST SP 800‑63B‑4, NCSC: Tři náhodná slova

Generování silných hesel – skutečně náhodných a správně ověřených

Password Depot používá k generování silných hesel kryptograficky bezpečné náhodné hodnoty. Entropie může pocházet mimo jiné z nepředvídatelných interakcí uživatelů (např. pohyby myši) a systémových zdrojů, aby inicializoval generátor náhodných čísel ve vysoké kvalitě. Generátor navíc kontroluje kvalitu (včetně porovnání se slovníkem a seznamem úniků), aby zabránil slabým nebo již známým heslům – v souladu s aktuálními pokyny pro porovnání s kompromitovanými hodnotami. NIST SP 800‑63B‑4

Doporučení: Používejte automaticky generovaná hesla s vysokou délkou (např. ≥ 20 znaků) nebo – v případě kritické použitelnosti – dlouhé fráze (např. tři až čtyři náhodná slova). NCSC‑Hintergrund

Finální mazání dat – co dnes skutečně platí

Password Depot poskytuje postupy pro bezpečné odstranění důvěrných souborů, včetně často citovaného přepisování DoD 5220.22‑M (několik cyklů). Historicky významné – ale: Pro moderní média (zejména SSD) je dnes rozhodujícím standardem NIST SP 800‑88 Rev.1. Ten rozlišuje mezi Clear, Purge (např. Cryptographic Erase, ATA Secure Erase) a Destroy a zabývá se postupy specifickými pro jednotlivá zařízení. NIST SP 800‑88 Rev.1

V praxi to znamená, že HDD lze v mnoha scénářích bezpečně vyčistit pomocí dokumentovaného přepsání (Clear/Purge); u SSD jsou preferovanými způsoby Sanitize/Secure Erase nebo Cryptographic Erase. NIST tyto možnosti výslovně uvádí (včetně příkazů TCG/ATA). Podrobnosti v NIST SP 800‑88 Rev.1

Klartext: DoD 5220.22-M je spíše historický odkaz; v americkém právním systému byla směrnice NISPOM (DoD 5220.22-M) mezitím nahrazena 32 CFR Part 117 (NISPOM Rule). Měřítkem pro praxi mazání je dnes NIST 800‑88. DCSA k pravidlu NISPOM, NIST SP 800‑88 Rev.1

Bezpečné ukládání a suverenita dat s Password Depot

Password Depot nabízí organizacím maximální flexibilitu: S Password Depot Client a Password Depot Enterprise Server si sami určíte místo uložení – např. zcela on-premises (bez přenosu do třetích zemí) nebo v hostingu EU podle vašeho výběru.

Právní kontext (toky dat EU↔USA): V roce 2020 Soudní dvůr Evropské unie zrušil Privacy Shield (Schrems II), od té doby jsou pro předávání do třetích zemí nezbytná další opatření. V roce 2023 vydala Evropská komise nový EU‑US Data Privacy Framework (DPF), který byl v roce 2025 potvrzen Soudním dvorem EU – existuje určitá právní jistota, ale právní debaty pokračují. Kdo si svrchovaně vybírá úložiště (např. On‑Prem nebo EU‑Hosting), minimalizuje závislosti. EuGH C‑311/18, prováděcí rozhodnutí EU 2023/1795, Potvrzení 2025

Závěrečné úvahy

Bezpečnost není jednorázový projekt, ale proces. Password Depot vám pomáhá vytvářet silná přístupová data, bezpečně je ukládat, kontrolovaně je používat a – v případě potřeby – trvale mazat. V kombinaci s jasnými směrnicemi (MFA, hesla, pravidelná kontrola kompromitovaných hesel, procesy mazání v souladu s NIST) dosáhnete robustní a praktické úrovně ochrany.