Lista srama za lozinke (i 10 saveta za bolju bezbednost lozinke)

Zabranite odmah ove uobičajene lozinke i primenite ove savete za bolju bezbednost lozinke. Nagradno pitanje: Koja je najpopularnija – i samim tim najmanje sigurna – lozinka svake godine od 2013.? Ako odgovorite sa „password“, bili biste blizu. „Qwerty“ je još jedan kandidat za to dubiozno isticanje, ali pobednik je najosnovnija, očigledna lozinka koju možete zamisliti: „123456“. Da, masa ljudi još uvek koristi „123456“ kao lozinku, prema NordPass-ovoj listi 200 najčešćih lozinki godine za 2020., koja se zasniva na analizi lozinki izloženih povredama podataka. Ovaj šestocifreni niz se takođe godinama visoko kotirao na drugim listama; SplashData, koji je izradio liste koristeći sličnu metodologiju, nalazi niz „123456“ na drugom mestu u 2011. i 2012. godini; da bi skočio na prvo mesto gde se nalazi svake godine sve do 2019. godine. Mnoštvo drugih veličanstveno nesigurnih lozinki i dalje čini godišnju listu srama za lozinke, uključujući i pomenutu „password“ (uvek u prvih pet, i broj 1 u 2011. i 2012. godini); „Qwerty“ (uvek u prvih deset); i nešto duža varijacija vladajućeg šampiona, „12345678“ (uvek u prvih šest).

10 najčešćih lozinki 2020

Ovo je 10 najčešće korišćenih i najgorih lozinki 2020. godine, prema NordPassovoj listi najčešćih lozinki:

  1. 123456
  2. 123456789
  3. picture1
  4. password
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. senha

Ostale liste najgorih lozinki, poput SplashData-ine i one iz UK-a, Nacionalnog centra za sajber bezbednost, uglavnom su saglasne. Sekvence brojeva koje se lako pogode i „reči“ sastavljene od slova koja se nalaze neposredno jedno uz drugo na standardnoj QWERTY tastaturi, uvek su popularne; tako i fraza „iloveyou“, pošto smo vrsta beznadežnih romantičara. Još jedan stalni pobednik koji izaziva jezu je reč „password“. S tim u vezi, jedan od novih dodataka na NordPassovoj listi ove godine bio je „senha“, što je na portugalskom – pogađate – „lozinka“. Ovo može odražavati rastuću populaciju Brazila koja je sve više povezana sa internetom, mada očigledno nije nimalo opreznija od onih koji koriste engleski.

Evo najčešćih lozinki u poslednje tri godine:

2020

  1. 123456
  2. 123456789
  3. picture1
  4. password
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. senha
  11. 1234567
  12. qwerty
  13. abc123
  14. Million2
  15. OOOOOO
  16. 1234
  17. iloveyou
  18. aaron431
  19. password1
  20. qqww1122
  21. 123
  22. omgpop
  23. 123321
  24. 654321
  25. qwertuiop

2019

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123
  11. abc123
  12. qwerty123
  13. 1q2w3e4r
  14. admin
  15. qwertyuiop
  16. 654321
  17. 555555
  18. lovely
  19. 7777777
  20. welcome
  21. 888888
  22. princess
  23. dragon
  24. password1
  25. 123qwe

2018

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

Ka boljoj bezbednosti lozinke

Preduzeća za jačanje bezbednosti sve više koriste višefaktorske potvrde identiteta (MFA – Multi-factor Authentication) i usluge jednokratnog prijavljivanja (SSO – Single sign-on). Bez obzira na to, previše zaposlenih „još uvek ima loše navike za lozinke koje slabe sveukupno bezbednosno stanje njihove kompanije“, prema 3. godišnjem izveštaju o globalnoj bezbednosti lozinki (2019) kompanije LogMeIn. Nije ni čudo da mnoge zaposlene lozinke zamaraju, što zauzvrat dovodi do labave bezbednosti lozinke. Izveštaj LogMeIn-a otkriva da korisnici većih kompanija (sa 1.001 do 10.000 zaposlenih) u proseku imaju 25 lozinki sa kojima mogu da se brane. Problem je akutniji za korisnike malih preduzeća (25 ili manje zaposlenih), koji u proseku imaju 85 lozinki na raspolaganju. Zaposleni u industriji medija/oglašavanja koriste u proseku najveći broj lozinki – 97 – u poređenju sa 54 lozinke po zaposlenom u državnoj upravi (sektor sa najmanjim prosečnim brojem lozinki po zaposlenom).

Postoje tri glavna načina na koje se lozinke ugrožavaju, prema Robertu O’Connor-u, Direktoru za bezbednost informacija za bankarskog provajdera Neocova i bivšem zameniku direktora za informacionu bezbednost u CIA-i: pogađanje (od strane čoveka), razbijanje (pomoću algoritma grube sile) , i hvatanje (dobijanjem pristupa nekom mestu gde je lozinka sačuvana, bilo da je to u bazi podataka ili na lepljivoj belešci). Svaka od sledećih tehnika pokušava da ublaži jednu ili više od ovih metoda; na primer, lozinke koje sadrže lične podatke je lakše pogoditi, a kraće lozinke je lakše razbiti. Evo šta stručnjaci kažu o problemima poslovnih lozinki i šta savetuju za poboljšanje lozinki i bezbednosti autentifikacije.
Zahtevajte da se koristi menadžer lozinki. Aplikacije za upravljanje lozinkama za poslovne korisnike (poput 1Password, Dashlane i LastPass) efikasan su prvi korak ka smanjenju bezbednosnih rizika povezanih sa lozinkama, primećuje dr.

David Archer, glavni naučnik za kriptografiju i višestrano računanje u kompaniji za istraživanje i konsalting Galois. On preporučuje da korporativni korisnici koriste menadžere lozinki za generisanje i čuvanje dugih lozinki tako da uključe sve opcije abecede (kao što su velika i mala slova). Sa postavljenim menadžerom lozinki, korisnici bi trebalo da pamte samo dve lozinke, dodaje on: lozinku za aplikaciju menadžera lozinki i lozinku za računarski nalog na koji se korisnik svakodnevno prijavljuje. Zahtevajte upotrebu višefaktorske potvrde identiteta (MFA). Faktori MFA obuhvataju ono što znate (lozinku), ono što imate (uređaj, kao što je pametni telefon) i ko ste (otisak prsta ili skenirano prepoznavanja lica). Korišćenje MFA-a za zahtevanje verifikacije, poput koda poslatog na mobilni uređaj, pored upotrebe jakih, jedinstvenih lozinki, može pomoći u pružanju bolje zaštite preduzeća, kaže Justin Harvey, vodeći svetski direktor za odgovor na incidente u kompaniji Accenture Security.

Nemojte dozvoliti korisnicima da prave lozinke od reči iz rečnika. U napadu grubom silom, zločinac koristi softver koji sistematski unosi svaku reč iz rečnika da bi otkrio lozinku. Da bi se takvi napadi osujetili, mnogi stručnjaci preporučuju da se ne koriste reči koje postoje u rečniku. Dužina je bitna, a izrazi su duži od reči. Međutim, dugogodišnji naglasak na čudnim ili „posebnim“ znakovima koji ne postoje u normalnim rečima možda ne uzima u obzir širu sliku. Umesto toga, „Dužina je snaga“, kaže Tyler Moffitt, viši analitičar za bezbednost u kompaniji Webroot. „Duže lozinke je, kriptografski govoreći, mnogo teže razbiti od kraćih, čak i kada su u pitanju posebni znakovi. Lozinka poput „AN3wPw4u! “ je za automatizovani kriptografski razbijač mnogo lakša od lozinke kao što je ‘SnežanaISedamPatuljaka.’ “

Savetujte korisnicima da se klone lozinki koje sadrže informacije o njima. Nemojte u lozinki koristiti imena supružnika, kućnog ljubimca, grada prebivališta, rodnog mesta ili bilo koje druge lične podatke, jer bi se ti podaci mogli utvrditi iz korisnikovih naloga na društvenim mrežama. „Mnogo je verovatnije da će kao vašu lozinku haker pogoditi „ime vašeg ljubimca + 1234“, nego što će shvatiti da lozinka glasi „D2a5n6fian71eTBa2a5er“, kaže Davey. Aleksander Maklakov, direktor informacionih tehnologija u MacKeeper-u, predlaže upotrebu duže lozinke kao što je „IdemDaTrčimBostonskiMaraton2022“ koja je vezana za vaše lične ciljeve, ali ne uključuje lične podatke koji se lako pronađu.
Obučite korisnike o tome šta čini jaku lozinku. Snažna lozinka ne postoji nigde drugde u javnom području (na primer u rečnicima), ne postoji nigde privatno (kao što su drugi nalozi koje korisnik ima) i sadrži dovoljno slučajnih znakova da bi bila potrebna čitava večnost da pogodite lozinku, čak i kada se koriste tehnike grube sile ili napadi tabelom, kaže Archer. Cameron Bulanda, inženjer bezbednosti u Infosec-u, predlaže da se uživo demonstrira proces razbijanja lozinke da bi se ljudi ubedili. „Mada bi mnogi od ovih alata mogli da se koriste u zlonamerne svrhe, stručnjaci za bezbednost mogu da ih upotrebe za prikaz stvarnog primera kako dodavanje složenosti u lozinku štiti korisnike od napada – posebno od napada grubom silom“, kaže on.

Redovno vršite revizije lozinki. U idealnom slučaju, vaša organizacija bi trebalo da koristi sistem za potvrdu identiteta koji omogućava revizije lozinki, kaže Tim Mackey, glavni strateg za bezbednost u Synopsys Cybersecurity Research Centru (CyRC). „Kontrolišite stvari poput ponovljene upotrebe lozinke kod zaposlenih ili upotrebe uobičajenih reči ili uobičajenih reči uz jednostavne zamene znakova. Ako otkrijete slabu lozinku, iskoristite je kao nastavni primer za korisnike. “
Podstaknite korisnike da provere sopstvene lozinke. Postoji veliki broj resursa koji će korisnicima omogućiti da istraže koliko je potencijalna lozinka sigurna pre nego što je stave u upotrebu. Na primer, MacKeeper-ov Maklakov ukazuje na My1Login-ov Password StrengthTest , koji vam kaže koliko bi vremena trebalo tipičnom algoritmu da provali vašu lozinku ili Have I Been Pwned?, koji upoređuje vašu lozinku sa širokom bazom hakovanih akreditiva koji kruže po mračnom Vebu.

Ne osuđujte greške. Stvorite okruženje u kojem zaposlenima neće biti neugodno da vam postave pitanja ili iznesu zabrinutost u vezi sa bezbednošću, posebno ako sumnjaju da su možda bili nesmotreni, predlaže 1Password-ov Davey. „Ne osuđujte ljude“, kaže on, jer će se oni možda plašiti da vam kažu kada su pogrešili. „Ako saznate za bezbednosne probleme čim se pojave, možete brzo da se pozabavite početnom pretnjom i preduzmete korake da se to ne ponovi u budućnosti.“

Poslednja napomena: „tradicionalna“ mudrost za lozinke se razvija i mnogi saveti koji su se ranije podrazumevali smatraju se pogrešnim ili zastarelim. Na primer, najnovija verzija NIST-ovih smernica za lozinke, koja se široko smatra zlatnim standardom u ovoj oblasti, ne savetuje uobičajenu praksu prisiljavanja korisnika da redovno resetuju lozinku, jer korisnicima predstavlja opterećenje da dođu do više visokokvalitetnih lozinki, a mnogi na kraju promene svoje prethodne lozinke na predvidljive načine – na primer, samo ubace znakove dolara za slovo S, na primer.

NIST takođe preporučuje da se korisnicima omogući da vide lozinku dok je unose; ovo povećava verovatnoću da će korisnici smisliti duže i složenije lozinke, što više nego izjednačava šansu da bi neko nevaljao mogao da pročita lozinku preko ramena korisnika. Opšta lekcija je da se vaše politike lozinke moraju razvijati, baš kao i ostatak vašeg bezbednosnog programa. To ne znači da ste grešili, već samo da radite u dinamičnoj industriji koja se brzo kreće!

Izvor: CSO

6406-xa-lista-srama-za-lozinke-i-10-saveta-za-bolju-bezbednost-lozinke-xa