Čak 81 posto sigurnosnih proboja uzrokovano je lošim lozinkama i krađom korisničkih podataka. Unatoč tome, milijuni korisnika i dalje koriste lozinke koje se mogu pogoditi za manje od sekunde
Kibernetičke prijetnje danas su sve kompleksnije – od sofisticiranih virusa do mreža zaraženih uređaja. No ironija je u tome što napadi često uspijevaju zbog najslabije karike - lozinki koje je lako pogoditi.
Godinama se među najčešće korištenim lozinkama na svijetu nalaze varijante poput '123456', 'password', 'qwerty' i slične kombinacije koje su toliko predvidljive da ih osnovni napadački softver može pogoditi u djeliću sekunde. U 2024. godini, prema podacima NordPassa, više od 100 milijuna korisnika diljem svijeta koristi lozinku koja se može razbiti u manje od jedne sekunde.
U poslovnom kontekstu, gdje jedan proboj može značiti curenje financijskih podataka, korisničkih računa ili pristupa poslovnim sustavima – ovakva praksa nije samo neodgovorna, već i opasna. Podaci američkog instituta za kibernetičku sigurnost (Verizon DBIR) otkrivaju da je 81 posto sigurnosnih proboja povezan s kompromitiranim pristupnim podacima – što uključuje slabe, ponovno korištene ili ukradene lozinke.
Najčešće greške uključuju korištenje iste lozinke za više servisa (e-mail, ERP, CRM), dijeljenje lozinki među zaposlenicima, slanje lozinki e-mailom ili putem nezaštićenih poruka, izostanak promjene lozinke nakon sumnjivih aktivnosti, nedostatak višefaktorske autentifikacije (MFA).
Kako možete zaštititi svoje lozinke online?
Osim jakih lozinki i čestih promjena, evo što još možete poduzeti kako biste se zaštitili.
Revizija zaporki
Pregledajte lozinke za sve svoje račune. Pazite da ne koristite nijednu za više web stranica. Provjerite je li ih moguće pogoditi. Sadrže li osobne podatke kao što su rođendani ili adrese? Ako pronađete lozinke koje su slabe ili se ponavljaju, njih prve promijenite.
Koristite višestupanjsku provjeru
Postavite višestupanjsku provjeru za važne račune, poput financijskih institucija. Za prijavu na web stranicu s dvostupanjskom provjerom potrebno je unijeti kod poslan SMS-om ili e-poštom uz korisničko ime i lozinku.
Neki računi zahtijevaju višestupanjsku provjeru s biometrijskim čimbenicima za dodatnu sigurnost, kao što je otisak prsta ili skeniranje lica.
Koristite upravitelj lozinki
Upravitelj lozinki može spriječiti neovlašteni pristup vašim računima na mreži tako što će zaštititi lozinke snažnom enkripcijom.
Napadač ne mora biti vrhunski haker – dovoljno je da posjeduje listu ukradenih korisničkih podataka (kojih na dark webu ima milijarde) i osnovni softver za 'brute force' napade. U mnogim slučajevima, upravo ovakvi napadi otvaraju vrata većim i razornijim upadima.
Kibernetička sigurnost započinje onime što se često naziva 'perimetar identiteta', odnosno točkom gdje sustav prepoznaje i autentificira korisnika. Ako je ta točka ranjiva, svi ostali slojevi sigurnosti padaju. Ključno je, stoga, implementirati politike jakih lozinki i dodatne metode autentifikacije koje značajno otežavaju ili onemogućuju neovlašteni pristup, čak i ako netko posjeduje lozinku.
Višefaktorska autentifikacija (MFA) – zlatni standard sigurnosti
MFA zahtijeva barem dva različita faktora provjere identiteta: nešto što korisnik zna (npr. lozinka), nešto što ima (npr. mobilni uređaj) ili nešto što jest (biometrijski podaci). Primjenom MFA sustava čak i ako napadač dođe do korisničkog imena i lozinke, ne može pristupiti sustavu bez drugog faktora. Također, značajno se smanjuje rizik od phishing napada i krađe identiteta,
Moguća je preciznija kontrola pristupa osjetljivim dokumentima, servisima i uređajima. U poslovnim okruženjima, gdje se pristup često odvija s više uređaja i lokacija, MFA je jedan od najučinkovitijih načina smanjenja rizika – a danas je dostupan i implementiran bez dodatnih troškova unutar paketa kao što je Microsoft 365 Business Premium.
Business Premium: integrirana zaštita korisničkih identiteta
Microsoft 365 Business Premium nudi cjelovitu obranu temeljem principa 'zero trust' – svaki pristup mora biti provjeren, a korisnički identitet zaštićen višestrukim provjerama. Paket uključuje:
- Microsoft Entra ID (bivši Azure AD) – rješenje za upravljanje korisničkim identitetima i pristupom, uključujući MFA i jednokratne pristupne lozinke.
- Intune – upravljanje uređajima i aplikacijama koje pristupaju sustavu, uključujući mogućnost zabrane pristupa kompromitiranim uređajima.
- Politike jakih lozinki – obvezna promjena lozinke nakon određenog razdoblja, zabrana slabih kombinacija i ponovnog korištenja prethodnih lozinki.
- Self-service password reset – omogućuje korisnicima da sami resetiraju lozinku bez uključivanja IT-a, ali uz sigurnosne kontrole.
Uz to, sustav automatski nadzire pokušaje prijava, detektira sumnjive aktivnosti (npr. prijave iz neuobičajenih lokacija ili uređaja) i u realnom vremenu upozorava IT administraciju.
Jedna od najvećih prepreka sigurnosti nije manjak alata, već loše navike u (ne)korištenju tih alata. Organizacije koje imaju osnovna pravila sigurnosti, ali ih ne provode dosljedno često su ranjivije od onih koje koriste manji broj alata, ali ih koriste pravilno.
Zato je ključan prvi korak: provjeriti stvarne navike i ranjivosti korisnika unutar vlastite organizacije. Tko koristi lozinku '123456'? Tko se prijavljuje bez MFA? Tko još koristi računalo bez zaključavanja zaslona?
Besplatna sigurnosna analiza kao početna točka
Tvrtke koje koriste Microsoft 365 mogu zatražiti besplatnu sigurnosnu analizu svojih korisničkih računa i lozinki, kako bi identificirale gdje postoje rupe u obrani i kako ih zatvoriti prije nego netko drugi to iskoristi.
Kombinacija jednostavnih pravila (poput zabrane korištenja slabih lozinki) i naprednih rješenja (poput MFA) može uvelike smanjiti rizik, i to bez velikih ulaganja.
Digitalni napadi ne zahtijevaju više superračunala ni genijalne hakere – često je dovoljan običan korisnik koji nije promijenio lozinku pet godina. Ili onaj koji i dalje vjeruje da 'admin123' nije nešto što bi itko pokušao pogoditi. Vrijeme je da se ta praksa promijeni.
Prilog je napravljen u produkciji Tnative tima tportala u skladu s najvišim profesionalnim standardima u suradnji s Hrvatskim Telekomom.
