Mjesečna serija o cyber otpornosti: Zašto lozinke i dalje predstavljaju problem

Lozinke nikada nisu bile osmišljene da nose teret koji danas imaju. Ipak, one su i dalje glavni ključ za naš email, bankovne račune, cloud servise, interne sisteme i poslovne alate.

Većina sigurnosnih incidenata ne počinje sofisticiranim napadima, nego kompromitovanim korisničkim nalogom. A kompromitovani nalozi najčešće su rezultat tri jednostavne stvari:

• Lozinke se ponovo koriste na više servisa.

• Lozinke su predvidljive ili prekratke.

• Lozinke su procurile u nekom drugom sistemu i automatski se testiraju drugdje.

Napadači danas ne “pogađaju” lozinke ručno. Oni koriste automatizirane alate i baze podataka sa milijardama ranije kompromitovanih kredencijala. Ako istu lozinku koristite na više mjesta, jedan incident postaje lančani problem.

Problem nije u tome što su korisnici nemarni. Problem je što sistem zasnovan isključivo na lozinkama od ljudi traži nemoguće: da zapamte desetine kompleksnih i različitih lozinki bez greške.

Takav model više ne funkcioniše.

Ako želimo bolju sigurnost, moramo prestati vjerovati da su “jake lozinke” same po sebi dovoljne.

Praktična perspektiva

1. Kako dolazi do kompromitacije lozinki

Najčešći načini su:

• Credential stuffing – automatsko testiranje već procurjelih lozinki na drugim servisima.

• Phishing – lažne stranice koje traže unos lozinke.

• Brute force napadi – pokušaji pogađanja slabih lozinki.

• Malware i keyloggeri – tajno snimanje unosa sa tastature.

U organizacijama, kompromitovani nalog je često prvi korak ka krađi podataka, ucjenjivačkom softveru (ransomware) ili prevari putem poslovne komunikacije.

2. Šta zaista povećava sigurnost

Ako su lozinke i dalje dio vašeg sistema, fokusirajte se na sljedeće:

A. Ukidanje ponovne upotrebe lozinki

Korištenje password managera omogućava:

• Jedinstvenu lozinku za svaki servis

• Duge i nasumično generisane lozinke

• Smanjenje oslanjanja na pamćenje

Najsigurnija lozinka je ona koju ne morate pamtiti.

B. Dužina je važnija od kompleksnosti

Duge lozinke ili fraze (npr. kombinacija nepovezanih riječi) otpornije su na napade od kratkih, ali kompleksnih kombinacija znakova.

C. Praćenje curenja podataka

Organizacije trebaju pratiti da li su službene email adrese dio javno objavljenih baza kompromitovanih podataka i u tim slučajevima odmah pokrenuti reset lozinki.

D. Prelazak na više faktora autentifikacije

Gdje god je moguće, potrebno je uvesti:

• MFA (višefaktorsku autentifikaciju)

• Sigurnosne hardverske ključeve

• Passkey rješenja zasnovana na FIDO standardima

Lozinka treba biti samo jedan sloj zaštite - nikako jedini.

3. Savremen pristup zaštiti identiteta

Moderni sistemi zaštite identiteta uključuju:

• Jaku autentifikaciju

• Princip najmanjih privilegija

• Kontrolu pristupa zasnovanu na kontekstu

• Praćenje sumnjivih prijava

Cilj nije savršenstvo. Cilj je spriječiti da jedna kompromitovana lozinka dovede do potpunog sigurnosnog incidenta.

4. Promjena načina razmišljanja

Umjesto poruke:

Treba razmišljati:

Lozinke vjerovatno neće nestati odmah. Ali sigurnost zasnovana samo na lozinkama više nije dovoljna.

U narednom tekstu bavit ćemo se temom pravilne implementacije MFA – i zašto pogrešno postavljen MFA može pružiti lažni osjećaj sigurnosti.