Više od 50% kompromitovanih lozinki završava se cifrom, pokazuje najnovije istraživanje kompanije Kaspersky

Povodom 7. maja, Svetskog dana lozinki, stručnjaci kompanije Kaspersky analizirali su 231 milion jedinstvenih lozinki pronađenih u velikim curenjima podataka u periodu od 2023. do 2026. godine i uočili nekoliko ključnih obrazaca. Čak 68% savremenih lozinki može se razbiti u roku od jednog dana. Pored toga, pokazalo se da ogromna većina kompromitovanih lozinki ili počinje ili se završava cifrom – čest obrazac koji ih čini potencijalno ranjivim na brute-force napade (napade grubom silom). Konačno, korisnici često biraju pozitivne i aktuelne reči; na primer, tokom poslednjih nekoliko godina, upotreba reči „Skibidi” u analiziranim lozinkama porasla je 36 puta, prateći rast tog internet trenda.

Pravila za bezbedne lozinke postala su široko diskutovana tema poslednjih godina. Sve više servisa zahteva lozinke koje imaju najmanje 10 karaktera, sadrže veliko slovo i uključuju broj ili simbol. Međutim, uporedna analiza kompromitovanih lozinki iz prethodnih godina pokazuje da čak ni poštovanje nekih od ovih pravila ne garantuje otpornost na brute-force ili napade vođene veštačkom inteligencijom (AI-driven attacks).

Stručnjaci kompanije Kaspersky dele praktične savete kako učiniti lozinke složenijim i bezbednijim, kao i kako izbeći najčešće greške.

Među kompromitovanim lozinkama koje sadrže samo jedan simbol, znak „@” zauzima prvo mesto i pojavljuje se u 10% slučajeva. Sledeća po učestalosti je tačka (.), prisutna u 3% lozinki. Kada se posmatraju sve analizirane lozinke, „@” je drugi najzastupljeniji simbol, dok je na trećem mestu „!”.

Brojevi takođe prate predvidive obrasce:

53% analiziranih lozinki završava se ciframa
17% počinje ciframa
skoro 12% sadrži numerički niz koji liči na datum (od 1950. do 2030.)
3% kompromitovanih lozinki uključuje sekvence sa tastature poput „qwerty” ili „ytrewq”, ali većina su numeričke sekvence poput „1234”

Alexey Antonov, rukovodilac Data Science tima u kompaniji Kaspersky, ističe da često korišćeni simboli, brojevi ili datumi – naročito kada su postavljeni na očiglednim mestima (kao što su početak ili kraj lozinke) – značajno olakšavaju brute-force napade sajber kriminalcima. Zato se preporučuje korišćenje manje uobičajenih karaktera i izbegavanje numeričkih ili tastaturnih sekvenci.

„Bruteforce funkcioniše tako što sistematski isprobava sve moguće kombinacije karaktera dok ne pronađe tačnu lozinku. Kada napadači već znaju koje karaktere korisnici najčešće biraju, vreme potrebno za pogađanje lozinke drastično se smanjuje. Da biste izbegli izbor predvidivih simbola, prepustite generisanje lozinki namenskim generatorima koji proizvode nasumične kombinacije slova, brojeva i simbola sa jednakom verovatnoćom”, kaže Antonov.

Istraživanje pokazuje da emocionalne i aktuelne reči često čine osnovu lozinki. Na primer, od 2023. do 2026. godine, upotreba reči „Skibidi” u lozinkama porasla je 36 puta.

Stručnjaci su takođe analizirali prisustvo pozitivnih i negativnih reči u lozinkama i ustanovili da su pozitivne znatno češće. Među najčešćima su: „love”, „magic”, „friend”, „team”, „angel”, „star” i „eden”. Ipak, pojavljuju se i negativne reči poput „hell”, „devil”, „nightmare” i „scar”.

„Korišćenje jedne reči kao lozinke, čak i uz dodatak broja ili specijalnog znaka, predstavlja loš izbor. Takav obrazac je previše predvidiv i lako ga je pogoditi. Umesto toga, kreirajte lozinku u obliku fraze (passphrase) koja kombinuje više nepovezanih reči, uz dodatak brojeva i simbola unutar njih, kao i nekoliko namernih pravopisnih grešaka. Što je lozinka duža, nasumičnija i nepredvidivija, to ju je teže razbiti. Kao dodatnu meru zaštite, omogućite dvofaktorsku autentifikaciju (2FA) gde god je to moguće”, preporučuje Alexey Antonov.

Poznato je da su duže lozinke teže za razbijanje, a analiza to potvrđuje. Međutim, sa razvojem AI alata, sama dužina više nije dovoljna garancija bezbednosti – čak i duge lozinke mogu biti kompromitovane ako prate predvidive obrasce.

Istraživanje pokazuje da se kratke lozinke (do osam karaktera) obično razbijaju brute-force napadima za manje od jednog dana. Međutim, zahvaljujući pametnim algoritmima zasnovanim na veštačkoj inteligenciji, više od 20% lozinki dužine 15 karaktera može biti razbijeno za manje od jednog minuta.

Štaviše, 60,2% svih analiziranih lozinki – bez obzira na dužinu – može biti razbijeno za oko sat vremena, a 68,2% u roku od jednog dana. U datim primerima, proračuni su zasnovani na korišćenju jedne RTX 5090 grafičke kartice i MD5 algoritma. U stvarnim uslovima, napadači mogu koristiti više grafičkih procesora – desetine ili stotine – što višestruko povećava brzinu razbijanja lozinki.

U savremenim uslovima, zaista bezbedne lozinke ne samo da ispunjavaju zlatni standard od 16+ karaktera, već se sastoje i od nasumičnih, neponavljajućih kombinacija slova, brojeva i simbola, i jedinstvene su za svaki nalog. Kako bi pomogao korisnicima da kreiraju takve lozinke, Kaspersky je dodao funkciju generisanja lozinki na veb-sajtu Kaspersky Password Generator. Sada korisnici ne samo da mogu da provere da li su njihove lozinke kompromitovane, već mogu i besplatno da generišu bezbedne lozinke.

Za jednostavno i bezbedno upravljanje lozinkama, automatsko popunjavanje i sinhronizaciju između uređaja, preporučuje se korišćenje menadžera lozinki u kojem su svi akreditivi sačuvani u bezbednom „trezoru” i zaštićeni jednom glavnom lozinkom. Time se eliminiše potreba za pamćenjem stotina lozinki, uz njihovu zaštitu od kompromitovanja. Štaviše, ne samo lozinke, već i passkey akreditivi mogu se kreirati i čuvati direktno u Kaspersky Password Manageru, što omogućava prijavljivanje na podržane servise jednim dodirom, kao i pristup passkey akreditivima na svim uređajima zahvaljujući bezbednoj sinhronizaciji.