Koliko bi dugačka lozinka trebala biti

Lozinke štite gotovo sve što radimo na internetu—e-poštu, bankarstvo, društvene mreže, pohranu u oblaku, razvojne platforme i još mnogo toga. Pravilan odabir duljine (i sastava) lozinke jedan je od najjednostavnijih načina za poboljšanje sigurnosti bez prevelikih promjena u vašoj svakodnevici.

U ovom članku objašnjavamo koliko lozinka treba biti dugačka, zašto je duljina važna, što preporučuju vodeća tijela za standardizaciju te kako stvoriti jake i jedinstvene lozinke kojima je lako upravljati.

Što je jaka lozinka?

Jaka lozinka je ona koju je napadačima teško pogoditi ili izračunati. Njena snaga proizlazi iz dva glavna sastojka:

• Duljina: više znakova drastično povećava broj mogućih kombinacija.
• Nepridvidivost: nasumičnost i izbjegavanje uobičajenih uzoraka ili osobnih podataka.

Kada su ova dva čimbenika prisutna, lozinke se učinkovito suprotstavljaju brute-force napadima (sustavno isprobavanje kombinacija), napadima rječnikom (isprobavanje poznatih riječi i uzoraka) i mnogim automatiziranim tehnikama razbijanja lozinki.

Minimalna duljina lozinke: ciljati na 16 znakova (ili više)

Stručnjaci za sigurnost dosljedno ističu važnost duljine. Američka agencija za kibernetičku sigurnost i zaštitu infrastrukture (CISA) preporučuje odabir lozinki koje su “Dugačke—barem 16 znakova (još duže je još bolje).” Njihove smjernice možete pročitati ovdje: https://www.cisa.gov/secure-our-world/require-strong-passwords

I Nacionalni institut za standarde i tehnologiju (NIST) ima slično stajalište u svojim smjernicama za digitalni identitet, ističući da je duljina primarni faktor u određivanju jačine lozinke i da bi korisnike trebalo poticati na korištenje duljih lozinki, gdje god je to praktično. Pogledajte: https://pages.nist.gov/800-63-4/sp800-63b.html

U praksi, 14 znakova treba smatrati donjom granicom, dok je 16+ znakova bolji standard. Za posebno osjetljive ili dugoročne račune, još dulje lozinke su korisne—ako to stranica dopušta i možete ih sigurno pohraniti.

Je li najduža lozinka uvijek i najbolja?

Dulje lozinke su gotovo uvijek otpornije na brute-force napade. No, postoji nekoliko praktičnih razmatranja:

• Ograničenja stranica: Neke usluge postavljaju maksimalnu duljinu ili ograničavaju određene znakove. Kada je to slučaj, koristite najdužu dopuštenu duljinu uz maksimalnu nasumičnost.
• Upotrebljivost: Ako unosite lozinke na malim uređajima ili u otežanim uvjetima, iznimno dugački nizovi mogu biti nepraktični—osim ako koristite upravitelja lozinki za automatsko popunjavanje.
• Model prijetnje: Za račune sa snažnim ograničenjem brzine pokušaja i višefaktorskom autentifikacijom (MFA), prekoračenje 20–24 znaka možda daje manje koristi u odnosu na aktivaciju MFA i osiguravanje jedinstvenosti.

Zaključak: Koristite najdužu, najslučajniju lozinku koja odgovara pravilima stranice i vašem načinu rada—i uključite MFA gdje god je moguće.

Trebam li koristiti brojeve, velika slova i posebne znakove?

Mnoge stranice traže kombinaciju različitih skupova znakova (mala/slova, velika slova, brojevi, simboli). Uključivanje više skupova povećava broj mogućih varijacija i otežava napade nagađanja. Ipak, “pravila složenosti” su manje važna od duljine i slučajnosti. Nasumična lozinka od 20 slova često je jača od 8-znakovne lozinke sa svim vrstama znakova.

Ako stranica zahtijeva određena pravila sastava, dopustite da vam upravitelj lozinki generira nasumičnu lozinku koja ih ispunjava. Ako ne, stavite duljinu i nasumičnost ispred zamišljene “složenosti”.

Četiri skupine znakova na koje se često misli su:

1. Brojevi (0–9)
2. Mala slova (a–z)
3. Velika slova (A–Z)
4. Simboli (npr. ! $ % & ? # @)

Slučajnost: ključ prave snage

Sama duljina nije dovoljna ako lozinka slijedi predvidljive uzorke. Izbjegavajte:

• “Hodanja” po tipkovnici, kao što su 1qaz2wsx ili qwertyuiop
• Česte riječi i izraze (čak i vrlo dugačke)
• Osobne podatke (imena, datumi, adrese)

Dva odlična načina za postizanje potrebne razine slučajnosti:

• Nasumične lozinke: Dopustite generatoru lozinki da kreira nizove od 16–24 znaka s više skupova znakova. Pohranite ih u upravitelju lozinki pa ih ne morate pamtiti.
• Lozinke kao izrazi: Koristite 4–6 nasumično odabranih riječi (ne uobičajeni citat ili stih). Nasumične lozinke poput tunel-magnet-svila-kisik-duet mogu biti i duge i lako pamtljive. Dodajte razdjelnike, a ako je dopušteno, i poneki simbol ili broj.

Zašto “jako dugačke” lozinke ponekad mogu biti slabe

Neki dugački nizovi su laki za pogađanje jer slijede očite uzorke ili se pojavljuju u javno objavljenim skupovima kompromitiranih lozinki. Primjerci su dugački nizovi po tipkovnici, ponavljajući blokovi znakova ili poznati “trikovi”—upravo su to prvi pokušaji modernih alata za razbijanje lozinki. Duljina mora biti udružena s nepredvidljivošću da bi bila učinkovita.

Prije nego što upotrijebite lozinku, dobro je provjeriti nalazi li se ona u poznatim bazama podataka iz sigurnosnih proboja. Mnogo upravitelja lozinki i sigurnosnih alata ima opciju provjere “have I been pwned” ili slične. Također, možete koristiti i tester jačine lozinke za procjenu svoje lozinke.

Osim pogađanja: rizici krađe i ponovne upotrebe

Nisu svi napadi na račune posljedica pogađanja lozinki. Krađa putem phishinga i ponovna upotreba lozinki česti su razlozi kompromitacije:

• Phishing: Čak se i 30-znakovna lozinka može ukrasti ako je unesete na lažnu stranicu. Uključite MFA kad god možete i razmislite o hardverskim sigurnosnim ključevima za najvrednije račune.
• Ponovna upotreba: Ako koristite istu lozinku više puta, proboj na jednoj stranici može ugroziti sve ostale. Jedinstvene lozinke po stranici ograničavaju razmjer štete.

Duljina pomaže protiv “pogađanja”, ali krađu i ponovnu upotrebu sprječavaju MFA i upravitelj lozinki koji olakšava korištenje jedinstvenih vjerodajnica.

Najbolje prakse za jake lozinke

• Koristite upravitelja lozinki: Generirajte i pohranite jedinstvene, slučajne lozinke za svaki račun. Ne morate ih pamtiti i lako koristite duge ciljne nizove.
• Dajte prednost duljini i slučajnosti: Ciljajte na 16+ znakova. Ako je moguće, uključite više skupova znakova, ali nikad ne skraćujte lozinku radi ispunjavanja proizvoljnih pravila.
• Uključite MFA gdje god možete: Autentifikacija putem aplikacije (TOTP), obavijesti za potvrdu prijave ili fizički sigurnosni ključevi znatno smanjuju rizik.
• Nemojte koristiti istu lozinku na više stranica: Jedna lozinka, jedan račun—uvijek.
• Izbjegavajte osobne podatke i uzorke: Bez imena, datuma rođenja, adresa, hodanja po tipkovnici.
• Povremeno pregledajte ključne račune: E-pošta, financijske usluge, razvojne platforme i administratorske konzole zaslužuju dodatnu pažnju.

Upravljanje jedinstvenim, jakim lozinkama za svaki račun

Praktičan način za svakodnevnu upotrebu jedinstvenih lozinki od 16–24 znaka na desecima (ili stotinama) stranica je korištenje upravitelja lozinki. S upraviteljem možete:

• Generirati jake lozinke prilagođene svakom pravilniku na stranici (isprobajte naš generator lozinki)
• Automatski unositi lozinke kako biste izbjegli pogreške u tipkanju (i smanjili rizik “pogledavanja preko ramena”)
• Sigurno sinkronizirati podatke između uređaja
• Provjeravati postoji li ponovna upotreba, slabosti ili proboji lozinki (upotrijebite naš tester jačine lozinki)

Ako stranica ograničava duljinu ili simbole, konfigurirajte generator po tome—ali i dalje dajte prednost maksimalnoj dopuštenoj duljini.

Brze preporuke

• Računi svakodnevice: 16–20 nasumičnih znakova
• Računi visoke vrijednosti (e-pošta, bankarstvo, administratorske stranice u oblaku): 20–24 nasumična znaka + MFA
• Dugotrajne tajne (API ključevi, SSH ključevi): pohranite u upravitelju; slijedite smjernice platforme; upotrebljavajte izraze samo ako su stvarno nasumični

Završne misli

Koliko bi dugačka lozinka trebala biti? Što je moguće duža s obzirom na ograničenja stranice—ciljajte na barem 16 znakova—i neka bude slučajna i jedinstvena. Dodajte MFA za snažan drugi sloj zaštite. Uz upravitelja lozinki za generiranje i pohranu, možete imati snažnu sigurnost bez dodatnog umnog opterećenja.