Znanje / Sigurnost lozinki

Iste lozinke: rizici ponovne upotrebe lozinki

Jedna prijava je hakirana – svi pristupi su ugroženi.

IT administratori nose glavni teret zaštite sustava i podataka. Posebno uporan rizik predstavljaju iste odnosno ponovno upotrijebljene lozinke. Time korisnici – često nenamjerno – napadačima širom otvaraju vrata za credential stuffing, preuzimanje računa i lateralno kretanje unutar mreže. Studije pokazuju da upotreba ukradenih pristupnih podataka spada među najčešće početne vektore sigurnosnih incidenata (vidi izvore u nastavku).

Nikada nemojte koristiti istu lozinku za različite račune.
Nema prisilne, redovite promjene lozinki bez konkretnog razloga – umjesto toga duge, jedinstvene lozinke/lozinke u obliku fraza te MFA/Passkeys.
Nove i postojeće lozinke provjeriti u odnosu na kompromitirane popise; u Password Depot: Dodaci → Sigurnosna provjera → Provjeri u Pwned‑lozinkama.

Rizik višestruke kompromitacije

Ako je jedan račun kompromitiran, napadači automatizirano testiraju iste pristupne podatke na drugim uslugama (Credential‑Stuffing). Jedno jedino curenje podataka tako može prerasti u lančanu reakciju – od e‑pošte preko alata za suradnju pa sve do Cloud usluga. Rezultat: krađa podataka, zlouporaba identiteta i neovlašten pristup resursima poduzeća.

Posebno su kritični „Basic Web Application Attacks“, u kojima dominiraju ukradeni odnosno ponovno korišteni pristupni podaci – jasan pokazatelj da je ponovna upotreba lozinki u praksi izravno iskoristiva (vidi izvore).

Ransomware i preuzimanje računa

Kada napadači jednom dođu do valjanih pristupnih podataka, mogu proširiti privilegije, lateralno se kretati mrežom i distribuirati zlonamjerni softver – sve do implementacije ransomwarea. Službene preporuke stoga naglašavaju: eliminirati ponovnu upotrebu lozinki i MFA otpornu na phishing (npr. FIDO2/Passkeys) aktivirati gdje god je to tehnički moguće (CISA, NIST).

Mjere za poboljšanje sigurnosti lozinki

Smjernice (Policy)

Bez preventivne, redovite promjene lozinki – nametnuti samo u slučaju sumnje ili dokaza o kompromitaciji (NIST, NCSC).
Jedna lozinka po računu/usluzi – strogo zabraniti ponovnu upotrebu (NIST, NCSC).
Povećati minimalnu duljinu (npr. ≥ 14 znakova) i izbjegavati nepotrebne zahtjeve za složenošću; umjesto toga staviti naglasak na duljinu, jedinstvenost i blokiranje „raširenih lozinki” (NIST).
Provjeravati lozinke prema kompromitiranim popisima (NIST SP 800–63B) – pogledajte praktičnu napomenu za Password Depot u nastavku.
MFA kao obveza, po mogućnosti otporno na phishing (FIDO2/Passkeys), barem za administratorske, udaljene i Cloud pristupe (CISA).

Tehničke kontrole

Rate-Limiting i nadzor pri prijavama; prepoznati i blokirati sumnjive obrasce (npr. mnogo pokušaja prijave iz distribuiranih mreža) (NIST).
Dopustiti „Paste”/lijepljenje, kako bi se Password-Manager mogao sigurno upotrebljavati – bez zabrane copy/paste u polju za lozinku (NIST).
MFA izazovi temeljeni na riziku i dosljedno MFA registriranje provoditi (CISA).
Passkeys uvesti gdje god je to moguće; dugoročno zamijeniti unos lozinke.
Identificirati kompromitirane lozinke: U Password Depot putem Extras → Sicherheitscheck → In Pwned-Kennwörter prüfen provjeriti i odmah promijeniti zahvaćene unose.

Praksa s Password Depot:

Otvorite Dodaci → Sigurnosna provjera → Provjeri u Pwned‑lozinkama, kako biste provjerili spremljene lozinke u odnosu na kompromitirane popise.
Provodite ovu provjeru redovito – osobito nakon javnih curenja podataka ili phishing incidenata.
Označene lozinke odmah zamijenite dugim, jedinstvenim pristupnim frazama i aktivirajte, gdje je moguće, MFA/Passkeys.

Awareness & operativa

Redovito educirajte korisnike o Credential‑Stuffingu, phishingu i ponovnoj upotrebi lozinki (NCSC/CISA).
Password manager preporučiti i osigurati; cilj: duge, nasumične, jedinstvene lozinke za svaku uslugu.
Incidente (curenja podataka, phishing, zaraza zlonamjernim softverom) definirati kao okidač za trenutačnu promjenu lozinke i obnovu tokena (NIST/CISA).

Jasno rečeno: Ponovna upotreba je stvarni neprijatelj. Prisilne, redovite promjene bez povoda pogoršavaju kvalitetu lozinki – i ne rješavaju problem. Oslonite se na duljinu, jedinstvenost, MFA/Passkeys i provjeru u odnosu na kompromitirane popise (npr. izravno u Password Depot).

Zaključak: Ponovna upotreba lozinki predstavlja znatan sigurnosni rizik i pogoduje preuzimanju računa pa sve do ransomware incidenata. Admin timovi moraju provoditi jasne, ažurne smjernice i tehnički ih osigurati – uključujući redovitu provjeru kompromitiranih lozinki pomoću Password Depot – kako bi dugoročno zaštitili identitete i sustave.

Izvori (odabir)

NIST SP 800–63B: Smjernice za digitalni identitet – zapamćene tajne (među ostalim, bez prisilnih promjena; provjera u odnosu na komprimirane popise; dopušteno lijepljenje)
CISA „Secure Our World”: Koristite snažne lozinke (preporuka za upravitelje lozinki i jedinstvene lozinke)
NCSC (UK): Problemi s prisilnim redovitim istekom lozinki & Upozorenje o credential stuffing napadima
Verizon DBIR: Stranica izvješća & Izvršni sažetak (ažurira se svake godine)
Have I Been Pwned: Pwned Passwords (javni izvor podataka za kompromitirane lozinke)

Održavajte lozinke jedinstvenima

Saznajte kako vam Password Depot pomaže da svaku lozinku upravljate kao jedinstvenu i sigurnu.

Savjeti za sigurne lozinke