Povodom 7. maja, Svetskog dana lozinki, stručnjaci kompanije Kaspersky analizirali su 231 milion jedinstvenih lozinki. One su pronađene u velikim curenjima podataka u periodu od 2023. do 2026. Godine. Uočili su nekoliko ključnih obrazaca za takozvane loše lozinke. Jer, da nisu to bile – ne bi procurele, zar ne?!
Čak 68% savremenih lozinki može se razbiti u roku od jednog dana. Pored toga, pokazalo se da ogromna većina kompromitovanih lozinki ili počinje ili se završava cifrom. To je čest obrazac koji ih čini potencijalno ranjivim na brute-force napade (napade grubom silom). Konačno, korisnici često biraju pozitivne i aktuelne reči. Na primer, tokom poslednjih nekoliko godina, upotreba reči Skibidi u analiziranim lozinkama porasla je 36 puta, prateći rast tog trenda.
Pravila za bezbedne lozinke postala su široko diskutovana tema poslednjih godina. Sve više servisa zahteva lozinke koje imaju najmanje 10 karaktera, sadrže veliko slovo i uključuju broj ili simbol. Međutim, uporedna analiza kompromitovanih lozinki iz prethodnih godina pokazuje da čak ni poštovanje nekih od ovih pravila ne garantuje otpornost na brute-force ili napade vođene veštačkom inteligencijom (AI-driven attacks).
Kako izbeći loše lozinke – saveti za kreiranje
Stručnjaci kompanije Kaspersky dele praktične savete kako učiniti lozinke složenijim i bezbednijim, kao i kako izbeći najčešće greške.
Među kompromitovanim lozinkama koje sadrže samo jedan simbol, znak @ zauzima prvo mesto i pojavljuje se u 10% slučajeva. Sledeća po učestalosti je tačka ., prisutna u 3% lozinki. Kada se posmatraju sve analizirane lozinke na trećem mestu je !.
Brojevi takođe prate predvidive obrasce:
- 53% analiziranih lozinki završava se ciframa
- 17% počinje ciframa
- skoro 12% sadrži numerički niz koji liči na datum (od 1950. do 2030.) i
- 3% kompromitovanih lozinki uključuje sekvence qwerty ili ytrewq, ali većina su numeričke sekvence poput 1234.
Aleksej Antonov, rukovodilac Data Science tima u kompaniji Kaspersky, ističe da često korišćeni simboli, brojevi ili datumi, naročito kada su postavljeni na očiglednim mestima (kao što su početak ili kraj lozinke), značajno olakšavaju brute-force napade sajber kriminalcima. Zato se preporučuje korišćenje manje uobičajenih karaktera i izbegavanje numeričkih ili sekvenci sa tastature.
„Bruteforce funkcioniše tako što sistematski isprobava sve moguće kombinacije karaktera dok ne pronađe tačnu lozinku. Kada napadači već znaju koje karaktere korisnici najčešće biraju, vreme potrebno za pogađanje lozinke drastično se smanjuje. Da biste izbegli izbor predvidivih simbola, prepustite generisanje lozinki namenskim generatorima. Oni proizvode nasumične kombinacije slova, brojeva i simbola sa jednakom verovatnoćom”, kaže Antonov.
Šta da izbegavate, osim celih reči…
Istraživanje pokazuje da emocionalne i aktuelne reči često čine osnovu lozinki. Na primer, od 2023. do 2026. godine, upotreba reči Skibidi u lozinkama porasla je 36 puta.
Stručnjaci su takođe analizirali prisustvo pozitivnih i negativnih reči u lozinkama i ustanovili da su pozitivne znatno češće. Među najčešćima su: love, magic, friend, team, angel, star i eden. Ipak, pojavljuju se i negativne reči poput hell, devil, nightmare i scar.
„Korišćenje jedne reči kao lozinke, čak i uz dodatak broja ili specijalnog znaka, predstavlja loš izbor. Takav obrazac je previše predvidiv i lako ga je pogoditi. Umesto toga, kreirajte lozinku u obliku fraze (passphrase) koja kombinuje više nepovezanih reči. Takođe, uz dodatak brojeva i simbola unutar njih, kao i nekoliko namernih pravopisnih grešaka. Što je lozinka duža, nasumičnija i nepredvidivija, to ju je teže razbiti. Kao dodatnu meru zaštite, omogućite dvofaktorsku autentifikaciju (2FA) gde god je to moguće”, preporučuje Aleksej Antonov.
Loše lozinke nisu one koje su – duže, recimo…
Poznato je da su duže lozinke teže za razbijanje, a analiza potvrđuje da one nisu lođe lozinke. Međutim, razvojem AI alata, sama dužina više nije dovoljna garancija bezbednosti. Čak i duge lozinke mogu biti kompromitovane ako prate predvidive obrasce.
Istraživanje pokazuje da se kratke lozinke (do osam karaktera) obično razbijaju brute-force napadima za manje od jednog dana. Zahvaljujući pametnim algoritmima zasnovanim na veštačkoj inteligenciji, više od 20% lozinki dužine 15 karaktera može biti razbijeno za manje od jednog minuta.
Štaviše, 60,2% svih analiziranih lozinki – bez obzira na dužinu – može biti razbijeno za oko sat vremena. Čak 68,2% u roku od jednog dana. U datim primerima, proračuni su zasnovani na korišćenju jedne RTX 5090 grafičke karte i MD5 algoritma. U stvarnim uslovima, napadači mogu koristiti više grafičkih procesora – desetine ili stotine – što višestruko povećava brzinu razbijanja lozinki. Analiza je zasnovana na podacima koje pruža servis Kaspersky Digital Footprint Intelligence.
U savremenim uslovima, zaista bezbedne lozinke ne samo da ispunjavaju zlatni standard od 16+ karaktera, već se sastoje i od nasumičnih, neponavljajućih kombinacija slova, brojeva i simbola, i jedinstvene su za svaki nalog.
Mesto gde možete proveriti i popraviti loše lozinke
Kako bi pomogao korisnicima da kreiraju takve lozinke, Kaspersky je dodao funkciju generisanja lozinki na sajtu Kaspersky Password Generator. Sada korisnici mogu da provere da li su njihove lozinke kompromitovane i da besplatno generišu bezbedne lozinke.
Za jednostavno i bezbedno upravljanje lozinkama, automatsko popunjavanje i sinhronizaciju između uređaja, preporučuje se korišćenje menadžera lozinki. U njemu su svi akreditivi sačuvani u bezbednom trezoru i zaštićeni jednom glavnom lozinkom. Time se eliminiše potreba za pamćenjem stotina lozinki, uz njihovu zaštitu od kompromitovanja. Štaviše, ne samo lozinke, već i passkey akreditivi mogu se kreirati i čuvati direktno u Kaspersky Password Manageru. To omogućava prijavljivanje na podržane servise jednim dodirom, kao i pristup passkey akreditivima na svim uređajima zahvaljujući bezbednoj sinhronizaciji.
I na kraju – da li su i vaše lozinke možda loše lozinke?! Proverite, sad imate gde i kako, što bi vam bilo teško da živite lakše i lepše onlajn…
