Данас је пријављивање на рачунар или било коју онлајн услугу са слабом лозинком као да оставите улазна врата полуотворена. Свесни смо ризика, али и даље настављамо да га користимо једноставне лозинкеЛозинке се понављају и пуне су предвидљивих образаца. Проблем је што су алати за нападе направили огроман корак напред. То је углавном захваљујући снази графичких процесора и коришћењу алгоритама и вештачке интелигенције, а многе лозинке које сматрамо „прихватљивим“ се дешифрују за неколико минута.
Разне студије компанија за сајбер безбедност показују да Већина правих лозинки које користимо на нашим налозима може се провалити за мање од једног данаИ чак за мање од сат времена. Истовремено, Мајкрософт уводи нову еру: остављајући иза себе слабе лозинке и СМС аутентификацију и прелазећи на робусније методе попут шифри, посебно у Windows окружењима. Ако желите да ваш налог на Windows-у (и остатак ваших услуга) неће бити следећи који ће пасти, заинтересовани сте да разумете шта се дешава.
Зашто се кратка лозинка може провалити за мање од једног дана
Анализе великих кршења акредитива остављају једну јасну поруку: Стварна отпорност лозинке на аутоматизоване нападе је много мања него што обично замишљамо.Касперски је, у различитим периодима, проучавао базе података са између 193 и 231 милиона лозинки откривених у масовним кршењима безбедности између 2023. и 2026. године, симулирајући нападе са тренутним хардвером и алгоритмима.
Једна од ових студија закључује да Око 60% најчешћих лозинки може се провалити за отприлике један сатИ око 68% Може се дешифровати за мање од једног данаУ другој сличној анализи, са узорком од 193 милиона кључева, резултати су још забрињавајућији: 45% се пробије за мање од једног минута, а само 23% издржава више од годину дана против систематских напада грубом силом и напредних алгоритама. Прилично алармантно.
Ови прорачуни претпостављају употребу једног, врхунског, модерног графичког процесора (GPU). У пракси, сајбер криминалци обично комбинују више графичких процесора паралелно и користе специјализовани софтвер који максимизира могућности хардвера. То значи да стварно време напада може бити још краће.
Технички закључак је једноставан: Кратка лозинка, до 8 карактера, скоро увек спада у категорију „дешифрује се за мање од једног дана“.А најгоре је што многи од оних који прелазе ту дужину нису безбедни ако прате предвидљиве обрасце које су алати за крековање већ интернализовали.
Приликом анализе дугих лозинки у узорку (нпр. 15 знакова), примећено је да Више од 20% њих се такође може покварити за мање од једног минута користећи оптимизоване алгоритме и листе уобичајених образаца. Ово показује да сама дужина више није гаранција безбедности.
Опасни обрасци: бројеви, симболи и датуми који откривају вашу лозинку
Касперскијеве студије о стотинама милиона филтрирани кључеви Они показују да већина уопште није „случајна“. Исти обрасци се понављају изнова и изнова.Ово омогућава нападачима да драстично смање стварни простор претраге и убрзају дешифровање.
Што се тиче бројева, подаци су веома јасни: Више од половине анализираних лозинки, око 53%, завршава се бројевимаЈош 17% почиње бројевима, а скоро 12% укључује низове који подсећају на датуме између 1950. и 2030. године (године рођења, годишњице итд.). Другим речима, многи људи завршавају своје лозинке годином рођења. Лудо.
Поред тога, око 3% кључева укључује шаблони на тастатури као што су „qwerty“ или његово обрнуто „ytrewq“, и предвидљиви нумерички низови попут „1234“ или слични се и даље појављују. То су менталне пречице које користимо да бисмо запамтили наше лозинке. Веома корисне, али и прве које алати за напад покушавају.
Нешто веома слично се дешава са симболима. Међу процурелим лозинкама које су садржале један посебан знак, Убедљиво најчешће коришћени симбол је знак (@), присутан у око 10% случајеваТачка (.) следи на приближно 3%, а узвичник (!) на нижем проценту, близу 1%. Поново, обично се постављају на почетак или, посебно, на крај тоналитета.
Алексеј Антонов, шеф тима за науку о подацима у компанији Касперски, сумира проблем: Ако нападачи знају који су најчешћи обрасци, број комбинација које заправо морају да испробају драстично се смањује.Више не морају да истражују цео могући теоријски простор, већ се фокусирају на веома вероватне комбинације, што дешифровање многих лозинки из стварног света чини „брзим“.
Емотивне речи, вирални трендови и друге предвидљиве пречице
Поред бројева и симбола, велики део лозинки је састављен од уобичајених речи. Студије Касперског показују да Многи кључеви су засновани на емотивно набијеним терминима или у модним концептима у одређеном времену.
На пример, између 2023. и 2026. године, примећен је запањујући пораст лозинки које укључују реч „Skibidi“, веома популаран мем током тог периода. Истовремено, Преовлађују позитивне речи, као што су „љубав“, „магија“, „пријатељ“, „тим“, „анђео“, „звезда“ или „еден“и појављују се негативне речи попут „пакао“, „ђаво“, „ноћна мора“ или „ожиљак“.
Проблем је што се ови термини толико често користе да Речници лозинки их већ подразумевано укључујуКоришћење једне речи, чак и са бројем на крају или симболом у средини, и даље оставља веома предвидљиву структуру за алгоритме напада. Софтвер прво испробава најчешће речи (са варијацијама великих и малих слова), а затим почиње да их комбинује са суфиксима попут „1“, „123“, „!“ или одређеним годинама.
Зато стручњаци препоручују избегавање употребе изолованих речи, без обзира на то колико личне везаности имамо за њих. Уместо тога, најефикаснији приступ је коришћење дугачке лозинке састављене од неколико наизглед неповезаних речиуметањем бројева и симбола на нејасне позиције, па чак и са малим, намерним варијацијама. Ова комбинација дужине, случајности и недостатка препознатљивог обрасца умножава време потребно за његово дешифровање.
Дужина је битна... али више није довољна.
Годинама смо деловали под претпоставком да „што је лозинка дужа, то боље“. Та идеја је и даље делимично тачна, али недавни подаци указују да само повећање дужине више није довољно ако Континуирано уводимо обрасце које алати за крековање знају напамет..
Касперскијева анализа показује да, иако су дугачке лозинке генерално јаче, Само дужина више није гаранцијаУз подршку напредних алгоритама, па чак и техника вештачке интелигенције, нападачи се могу фокусирати на логичке структуре које су веома типичне за кориснике: име + година, реч + број + симбол, комбинације тастатуре и сличне обрасце.
Отуда упечатљиве бројке као што су Више од 20% лозинки од 15 карактера може се дешифровати за мање од једног минута ако одржава те предвидљиве структуре. На супротној крајности, само око 23% свих анализираних кључева у једној од студија може се сматрати заиста робусним, у смислу да би било потребно више од годину дана да се пробију грубом силом под експерименталним условима.
У пракси, то значи да лозинка од 10 или 11 знакова која прати очигледне обрасце може бити много слабија од случајна фраза од 4 или 5 неповезаних речи, која лако прелази 16 карактера и мешају слова, бројеве и симболе на начин који није интуитиван.
Тренутни консензус међу више безбедносних актера је да је данас Безбедна лозинка треба да буде дужа од 16 знакова.Користите велика и мала слова, укључујте бројеве и симболе и, пре свега, не пратите никакав очигледан образац (без значајних година, уобичајених речи, секвенци на тастатури или типичних замена попут „а“ за „@“).
Напади грубом силом, напади речником и крековање лозинки
Да бисмо разумели зашто је све горе наведено толико важно, корисно је да размотримо како криминалци заправо нападају наше налоге. Не постоји само једна метода, већ неколико стратегија које се комбинују. како би се повећале шансе за успех и смањио ризик од откривања.
У класичном нападу грубом силом на један налог, нападач покушава све могуће комбинације карактера за дату дужину док се не пронађе исправна. Иако може деловати споро, са моћним графичким процесорима и робусним хешовима, милиони или чак милијарде комбинација могу се тестирати у секунди. Поготово ако су невероватни обрасци претходно одсечени.
У напади на речникУместо да испробавају потпуно насумичне комбинације, они користе огромне листе уобичајених речи, фраза и образаца (имена, популарни термини, чести датуми итд.), са аутоматским варијацијама (велика слова, типичне замене, нумерички суфикси итд.) да би циљали одређени налог. Ово их чини много ефикаснијим јер се фокусирају на то како заправо креирамо лозинке.
La распршивање лозинки Распршивање лозинки функционише на супротан начин: уместо да циља један налог, нападач бира уобичајену лозинку (на пример, „Password123“ или „123456“) и испробава је на огромном броју различитих налога. Овом техником смањују број покушаја по налогу, лакше заобилазе аутоматска закључавања и даље проналазе кориснике који настављају да користе изузетно слабе лозинке.
За појединачне кориснике, ризик је да ће се овај спреј примењивати на свакодневне услуге: имејл, друштвене мреже, платформе за куповину или онлајн банкарство. Безбедно прегледајте интернет А примена основних безбедносних мера значајно смањује утицај. Једна срећна комбинација лозинки на било ком од ових налога може довести до крађе идентитета, лажног представљања на мрежи, ланца промена лозинки или чак директних финансијских губитака.
Поновна употреба лозинки: грешка која отвара многа врата одједном
Једна од порука коју стручњаци најчешће понављају јесте да Сваки налог мора имати другачију лозинку.И то није хир. Чим се једна од ваших лозинки појави у кршењу безбедности података, нападачи је користе да покушају да добију приступ било којој другој услузи где сумњају да можда имате налог (е-пошта, друштвене мреже, банкарство, складиштење у облаку итд.).
Овај приступ је познат као пуњење акредитива (пребацивање акредитива). Праве комбинације корисничког имена и лозинке добијене из претходног кршења безбедности користе се и покрећу на више страница и платформи, ослањајући се на то да ће многи корисници поново користити потпуно исту лозинку или минималне варијације.
Ако је ваша лозинка за Инстаграм иста као лозинка за вашу е-пошту и та комбинација корисничког имена/лозинке на крају буде откривена током напада, Криминалци могу добити директан приступ вашој е-поштиОдатле је релативно лако ресетовати лозинке за друге налоге, одобрити измене или извршити друштвени инжењеринг лажним представљањем.
Стога је једна од кључних тачака свих препорука комбиновање добрих лозинки са јасна политика забране поновне употребеУ почетку може изгледати незгодније, али постаје сасвим изводљиво ако користите модерни менаџер лозинки да се он брине о свему.
Како данас креирати заиста безбедне лозинке
Добра вест је да не морате бити техничар да бисте обезбедили своје налоге. Уз неколико једноставних смерница, ниво заштите се може значајно повећати.чак и против систематских и аутоматизованих напада.
Пре свега, избегавајте по сваку цену коришћење очигледних личних података: властита имена, презимена, тривијални надимци, датуми рођења, годишњице или бројеви телефонаОни су међу првим стварима које су тестиране и у циљаним нападима и у масовним нападима речником.
Уместо тога, размислите о коришћењу дуге прелазне фразе (такође се називају лозинке) са неколико неповезаних речи, испреплетајући бројеве и симболе на неочекиваним позицијама. Неправилно се игра великим и малим словима, уводи слово које замењује необичан број и избегава коришћење бројева који одговарају датумима са личним значајем.
Неки практични савети преузети из препоруке Компаније попут Касперског или Квалитеаса укључују:
- Увек прекорачите 16 знакова кад год је то могуће.
- Комбинујте различите врсте знакова (слова, бројеве и симболе).
- Не понављајте обрасце у различитим сервисима.
- Периодично обнављајте најосетљивије лозинке, посебно ако сумњате на кршење безбедности.
Да би се смањио напор памћења десетина сложених кључева, Користите поузданог менаџера лозинкиОве апликације чувају све ваше пријаве у шифрованој бази података којој приступате помоћу једног, јаког главног кључа. Такође обично укључују аутоматске генераторе насумичних лозинки, функције аутоматског попуњавања, синхронизацију на више уређаја и, у неким случајевима, управљање лозинкама.
Компаније попут Касперског су га такође укључиле на своју веб страницу Бесплатни алати за проверу да ли је лозинка већ процурела у познатим рањивостима и да аутоматски генеришу безбедне лозинке. Чак и ако не желите да користите њихов комплетан менаџер лозинки, ове врсте услуга су веома корисне за процену ризика ваших тренутних лозинки.
Како посебно заштитити свој налог у оперативном систему Windows
У Windows окружењу, безбедност вашег налога не зависи искључиво од сложености лозинке. Начин на који се пријављујете, како управљате својим акредитивима и које додатне факторе омогућавате чине велику разлику.. То је оно што треба учинити:
- Подесите јаку лозинку за свој Microsoft налогТо јест, више од 16 знакова, мешавина типова знакова, без личних података и без типичних образаца. Ако одржавате локални кориснички налог, примените исте безбедносне критеријуме на њега, чак и ако га користите само повремено.
- Активирајте вишефакторску аутентификацију (MFA) на свом Microsoft налогуОво додаје другу проверу приликом пријављивања на Microsoft сервисе (Outlook, OneDrive, Xbox итд.). А у многим случајевима, такође појачава процес пријављивања на Windows ако користите свој онлајн налог.
- Активирајте Windows Hello (ако је ваш рачунар компатибилан)Ово вам омогућава да се пријавите помоћу препознавања лица, отиска прста или ПИН-а повезаног са уређајем.
- Редовно проверавајте недавне активности вашег Microsoft налога.Проверите пријаве са непознатих локација или уређаја, омогућите безбедносна обавештења која вас упозоравају на сумњиво понашање итд.
- Проверите да ли ваша опрема има добар ниво опште заштитеТо значи: ажурирање програма Windows Defender, одржавање оперативног система ажурираним, опрез у вези са фишинг линковима и прилозима е-поште итд.
MFA, TOTP, SMS и слање лозинки
Последњих година, Мајкрософт и други велики добављачи су почели да препоручују значајну промену у аутентификацији. Према њиховој стратегији основно учвршћивање идентитетаОни подстичу избегавање одређених фактора вишеструке функционалне примене који се сматрају слабим или лако изопаченим.
Посебно, саветују да се не користи једнократни кодови послати путем СМС-аЈеднократне лозинке (OTP) засноване на имејлу и временски генерисани кодови које генерише апликација (TOTP) такође су ефикасне мере безбедности. SMS поруке су подложне замени SIM картице и нападима отмице линије. Међутим, једнократне лозинке засноване на имејлу постају неефикасне ако нападач већ има приступ пријемном сандучету имејла.
Што се тиче TOTP-а, главна забринутост је то што Могу бити мета фишинга или напада типа „човек у средини“Ако унесете код на лажној веб страници или у пресретнутој сесији, нападач га може поново употребити у реалном времену да би приступио вашем налогу. И даље су много бољи него да немате ништа, али се више не сматрају крајњим циљем у погледу безбедности.
У том контексту, Мајкрософт препоручује промоцију употребе шифре и методе засноване на стандардима као што је FIDO2Ова решења се ослањају на криптографију јавног кључа и поуздане уређаје (мобилни телефон, физички безбедносни кључ итд.). Она су по својој природи отпорна на многе фишинг нападе.
То не значи да морате да напустите своје TOTP апликације ако их користите. Остаје веома вредан слој заштите од једноставних напада. И боље је него ослањати се искључиво на лозинку. Али ако имате могућност да активирате лозинке или физичке безбедносне кључеве на својим критичним налозима, то је занимљив корак ка моделу без традиционалних лозинки.
Како се одбранити од прскања лозинки и других напада
Иако напади могу звучати веома софистицирано, Већи део заштите је у вашим рукама уз добре основне навикеНе морате бити систем администратор да бисте драстично смањили шансе да постанете жртва крађе лозинки или застоја у акредитивима. Три савета:
- Активирајте неки облик вишефакторске аутентификације на свим платформама које то дозвољавају.Иако неке методе нису савршене, оне додају додатни слој заштите који је обично довољан да спречи већину масовних напада. Дајте приоритет безбеднијим решењима када су доступна (шифре, физички кључеви, Windows Hello итд.).
- Омогући упозорења о пријављивању и безбедносна обавештења где год је то могуће. На тај начин, ако неко покуша да приступи вашем налогу из стране земље или са непознатог уређаја, добићете одмах обавештење. Ово вам омогућава да реагујете променом лозинке или одјављивањем.
- Усвојите здрав скептицизамски начин размишљањаБудите опрезни са линковима који траже ваше акредитиве, чак и ако делују званично, и избегавајте повезивање са необезбеђених јавних рачунара. Не делите лозинку ни са ким и периодично проверавајте подешавања за опоравак налога (алтернативна е-пошта, број мобилног телефона, безбедносна питања) како бисте се уверили да нема сумњивих промена.
Одаберите дугачке, насумичне и јединствене лозинке, користите менаџере лозинки, омогућите вишефакторску аутентификацију и, у случају Windows-а, искористите опције попут Windows Hello-а или лозинки. То трансформише та „полуотворена врата“ у много јачу баријеру против аутоматизованих напада и сајбер криминалаца који имају предност.
