Magazin o lozinkama

Entropija lozinke opisuje koliko je teško predvidjeti lozinku. Ne proizlazi iz deko složenosti, već iz stvarnog prostora pretraživanja.

Lozinke i zaporke mogu biti sigurne. Razlika je prvenstveno u duljini, nasumičnosti i praktičnoj pamtljivosti.

Duljina lozinke jedna je od najjačih poluga sigurnosti. Za važne račune, 16 znakova ili više je dobar standard.

Generator zaporki stvara nasumične nizove ili zaporke koje je puno teže pogoditi nego ručno smišljene zaporke.

Dobra pravila za lozinke štite korisnike bez prisiljavanja na nesigurna rješenja. Loša pravila samo rađaju frustraciju i slabiju praksu.

Nesigurne lozinke često se mogu identificirati prema predvidljivim obrascima, ponovnoj upotrebi i pokušaju da se ispune minimalna pravila uz što manje truda.

Dobri primjeri zaporki ne pokazuju točne predloške kopije, već razlike između slabih uzoraka, upotrebljivih zaporki i jakih, nasumičnih varijanti.

Najčešće pogreške u zaporkama su predvidljivi uzorci, ponovna upotreba i prekratke zaporke. Upravo te pogreške omogućuju stvarna preuzimanja.

Posebni znakovi mogu pomoći, ali nisu srž sigurnosti lozinke. Duljina i slučajnost gotovo su uvijek jače poluge.

Snažna lozinka je dugačka, jedinstvena i dovoljno nasumična da se ne može pogoditi ili učinkovito ponovno upotrijebiti s procurjelim podacima.

Upravitelji zaporki nisu bez rizika, ali su znatno sigurniji za većinu korisnika od ponovne upotrebe, kaosa u pregledniku i ručno upravljanih popisa zaporki.

Glavna lozinka štiti cijeli trezor. Stoga bi trebala biti duža, jedinstvenija i birana pažljivije od običnih lozinki za prijavu.

Pohrana u pregledniku je praktična, ali nije uvijek jednaka namjenskom upravitelju lozinki s jasnom sigurnosnom arhitekturom i boljim upravljanjem.

Upravitelj lozinki pohranjuje, organizira i generira vjerodajnice tako da svaki račun može imati vlastitu jaku lozinku.

Lozinke ne bi trebale završiti u bilješkama, tekstualnim datotekama preglednika ili ponovno korištenim uzorcima. Najsigurniji način je čista administracija s upraviteljem lozinki.

Gruba sila i raspršivanje lozinke napadi su prijavom, ali se razlikuju po tome testiraju li mnogo lozinki na jednom računu ili nekoliko lozinki na više računa.

Punjenje vjerodajnicama ne koristi magiju, već masovno: procurile vjerodajnice automatski se isprobavaju na mnogim drugim uslugama.

Ponovna upotreba lozinke jedan je od najvećih faktora štete. Inače, jedno curenje može odmah ugroziti nekoliko računa u isto vrijeme.

Provjera curenja pokazuje jesu li se lozinka ili povezani podaci pojavili u poznatim bazama podataka kompromitiranih vjerodajnica.

Ako je lozinka procurila, brzina je bitna: promijenite lozinku, provjerite ponovnu upotrebu, završite aktivne sesije i aktivirajte MFA.

Nije svaki račun jednako kritičan. E-pošta, bankarstvo i društveni mediji zahtijevaju malo drugačije prioritete, ali jedinstvenost i jake lozinke osnova su za sve.

Tvrtke ne trebaju pretjerano strogu politiku lozinki, već onu koja podržava sigurne navike, MFA i jasne procese.

Zaporke udaljavaju autentifikaciju od klasične lozinke. Međutim, oni ne rješavaju sva sigurnosna pitanja i ne uklanjaju lozinke preko noći.

MFA ne zamjenjuje dobre lozinke. Smanjuje rizik prijave, ali slabe ili ponovno korištene lozinke ostaju vektor napada.

Lozinke se ne smiju stalno mijenjati bez razloga. Odlučujući faktor je promjena nakon specifičnih rizika, curenja ili ako postoji slabo nasljeđe.

Ako usluga može dekriptirati lozinke, to je crvena zastavica. Dobri sustavi zaporki obično uopće ne trebaju ovu mogućnost.

Argon2, bcrypt i scrypt metode su raspršivanja lozinki različite snage. Moderni sustavi često se oslanjaju na Argon2 ako ga okolina pravilno podržava.

Sol i papar dodatni su zaštitni mehanizmi za hash lozinke. Otežavaju masovne napade i poboljšavaju otpornost u slučaju curenja.

Raspršivanje i enkripcija često se brkaju. Za lozinke, raspršivanje je pravi pristup jer poslužitelj ne bi trebao moći oporaviti izvornu lozinku.

Renomirane web stranice ne pohranjuju lozinke u običnom tekstu, već kao raspršene vrijednosti s dodatnim zaštitnim mehanizmima kao što su sol i moderni postupci raspršivanja zaporki.