10 tehničkih pravila za izradu kompleksnih lozinki i sigurnu pohranu
Definirano je 10 konkretnih tehničkih pravila za generiranje, validaciju i pohranu lozinki koje onemogućuju kompromitaciju kroz brute-force, credential stuffing i hash cracking.
10 tehničkih pravila za izradu kompleksnih lozinki i sigurnu pohranu
Kompleksne lozinke i njihova pravilna obrada u sustavu predstavljaju osnovni sloj obrane od kompromitacije korisničkih računa. U nastavku su definirane tehničke smjernice za generiranje, validaciju i pohranu lozinki u skladu s trenutnim sigurnosnim standardima.
1. Duljina kao primarni sigurnosni faktor
Lozinka mora imati minimalno 16 znakova. Broj i vrsta znakova imaju sekundarnu ulogu u odnosu na duljinu. Preporučeno: 20+ znakova nasumično generiranih iz base64 skupa.
2. Korištenje passphrase pristupa uz lokalne jezične varijante
Generiranje lozinki putem nasumičnih riječi (npr. 4–6 riječi iz prilagođene wordliste bez semantičke povezanosti) povećava entropiju. Izbjegavati poznate fraze i šablone.
3. Obavezno korištenje kriptografskih hash funkcija s randomiziranim saltom
Lozinke moraju biti hashirane pomoću:
- bcrypt s cost ≥ 12
- ili Argon2id (memory_cost ≥ 64MB, time_cost ≥ 3, parallelism ≥ 2)
Salt mora biti generiran nasumično po korisniku, duljine min. 128 bita.
4. Unikatan credential per servis
Korisnici ne smiju koristiti istu lozinku za više servisa. Servis mora podržavati ili nametati random lozinke, najbolje kroz integraciju s password managerima.
5. Validacija lozinki kroz vanjske izvore kompromitiranih podataka
Svaka nova lozinka mora biti provjerena protiv poznatih povreda (npr. Have I Been Pwned API) prije prihvaćanja.
6. Eliminacija rotacije bez stvarnog incidenta
Automatska rotacija lozinki bez uzroka dovodi do slabih obrazaca. Rotacija se provodi isključivo:
- nakon sumnje na kompromitaciju
- nakon gubitka pristupnog uređaja
- kad MFA nije aktivan
7. Onemogućavanje sigurnosnih pitanja kao metodu oporavka
Servis ne smije nuditi pitanja s javno dostupnim odgovorima kao oblik autentikacije. Alternativa: više faktora (TOTP, push notifikacija, recovery tokeni).
8. Implementacija entropijske kontrole na backendu
Lozinke se ne smiju validirati samo prema duljini. Mora se provjeriti entropija i ponavljanje znakova. Preporučeno korištenje zxcvbn ili slično za heuristiku.
9. Crna lista poznatih lozinki
Sustav mora lokalno imati listu najmanje 10.000 najčešćih lozinki koje automatski odbacuje (npr. admin, 12345678, qwerty).
10. Primjena autentikacije bez lozinki gdje je moguće
Podrška za FIDO2/WebAuthn omogućava autentikaciju putem sigurnosnog ključa (privatni/privatni par) bez prijenosa lozinki. Idealno za kritične sustave i pristupne točke.
Kompleksnost lozinke nije rezultat simboličke zbrke već pravilne duljine, entropije i sustavne validacije. Bez implementacije ovih pravila, pohranjene lozinke ostaju najčešća točka kompromitacije.
Prijava na newsletter
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
.png)
.png)