Sami smišljate svoje lozinke? Evo zašto to ne bi trebalo da radite

- Fato, koja ti je lozinka na računalu?"
- Velkom. - odgovori Fata.
Probaju oni 'WELLCOME' - neće. Probaju 'VELKOM' - neće. 'VELLCOME', 'VELKOM' - ništa neće. Zovu oni Fatu ponovo:
- Fato, kaži nam koliko slova ima ova tvoja lozinka?
- Pa jedno. - kaže Fata.
- Pa kako jedno, pobogu!?
- Pa vel'ko M!

a menadžer lozinki hakovan uglavnom..Samo pričate gluposti..

Pa taj isti automatski generator lozinki koriste hakeri za upad...

A menadžer lozinki treba da bude neka plaćena varijanta koja čuva vaše lozinke u Cloudu...
Kao na primer LastPass :) Pa se sad prodaju lozinke za sve i svašta na kilo po internetu.

Glupost. Sta ako sam negde i nemam svoj racunar a treba da pristupim nekoj sluzbi? ako znam lozinku, nalogovacu se sa bilo kog uređaja. ako koristim menadžer, samo tamo gde ga imam instaliranog.

Cekajte jesam ja jedini koji ima svesku sa svim upisanim lozinkama za sve naloge koje Sam ikada napravio I svaka mi je drugacije?

To su gluposti, nasumični brojevi, slova i znakovi su za kompjuter isti kao i lozinke koje su na primjer neki izraz ili rečenica koja nama ima smisla i lako je pamtimo.

Evo na primjer:

SvakiDanKupiKruhiMlijeko2022!!!

Šifra od 31 karaktera jednako (ne)slomiva kao da je umjesto toga da je password neki nasumični niz od slova, brojaka i specijalnih znakova koji nama ne znače ništa.

Za stroj to ne postoji razlika pošto na password ne gleda tako kao i ljudi, obe kombinacije su manje-više jednako jake šifre!

Није проблем написати лозинку насумичним редоследом слова, бројева и знакова, проблем је то запамтити или складиштити све те силне лозинке на неко безбедно (а ипак увек доступно) место. Зато људи користе само неколико лозинки за све приступе.

Kakve gadosti smislim kao lozinku, to ni najmoćniji hakeri ne mogu da provale.

Pa da... ne valja da se koristi ista lozinka za vise sajtova, ali je savrseno ok da se koristi JEDNA lozinka za SVE sajtove (master lozinka u menadzeru).

Drugo, zaista nasumicno ne postoji.

naqrcuten8. Asparagus. Takuma1Sato. Šalabajzerići. Bilo ih raznih.

nego da vam lozinka bude janko1984
(JaSam, 27. januar 2023 22:03)

Moja lozinka nije janko1984 nego kombinacija od 31 karaktera, mala i velika slova, brojevi i posebni znakovi, i tu šifra od 31 nasumičnih karaktera koji meni ne znači ništa i ne bi je mogao zapamtiti ne bi bila ništa jača.

Nikako neče provaliti ako imate nešto od toga;
123456
lozinka
gost
qwertz

SvakiDanKupiKruhiMlijeko2022!!!

Šifra od 31 karaktera jednako (ne)slomiva kao da je umjesto toga da je password neki nasumični niz od slova, brojaka i specijalnih znakova koji nama ne znače ništa.

Za stroj to ne postoji razlika pošto na password ne gleda tako...
(Sine ratio, 27. januar 2023 21:35)

Malim delom je to tacno. Zavisi sve koji se kriptografski algoritam koristi za kriptovanje lozinki.

Za razbijanje lozinki koje su generisane jednosmernom kriptografijom koristi se baza podataka sa kombinacijom karaktera. Posto serveri detektuju napade i veoma je velika verovatnoca automatskog banovanja, manje rucnog ali sve jedno moze da se desi i zavisi od vremena reagovanja i broja pokusaja od strane hakera/skripte/bot-a, kako god. Samim tim te baze podataka u prvih sat vremena rokaju smislene lozinke ne bi li bili blize upadanju u sisteme. Kasnije i redje potezu za nasumicnim kombinacijama.

Imajuci to u vidu, bolje je imati nasumicnu lozinku do koje ce bot teze doci, uz vece koriscenje procesorske moci i uz veci protok podataka, pri vecem riziku da bude banovan, blokiran itd nego da vam lozinka bude janko1984

Uostalom kakvu god šifru da stavim, neka mi neko proba hakirati Yubikey!

Lozinke padaju zbog hakovanja baze.Nema veze koja je lozinka.

Da,sami smisljamo lozinke.
Na neko vreme ih menjam,pa lupetam gluposti.
Kao /polaBanane556, kiseliKupuskanta234, Reno4kanta_77 polaKIlekilo0@,1Kuvani_kukuruz2 itd a zavisi sta mi padne u tom trenutku.

ja sam na ebanking stavio lozinku, i zaboravio je, otkljucavam ga prstom, pa dok radi radi. znaci niko na svetu ne zna moju lozinku, pa ni ja

Još malo ni dupeta nećemo smeti da čistimo sami

Skoro je hakovan jedan poznati menadzer softvera u koji je ulozeno milione za razvoj. Nije nastao u podrumu ili kao kucna radinost.
Tako da ovakvi clanci su budalastine. Sami pravite svoje lozinke sa blagim varijacijama ne zapisujte ih. Koristite veliko malo slovo, brojeve i neki znak. Probajte da memorisete u skracenicama ili delovima. Niko vam je nece provaliti. Sve ostalo su gluposti. Nikakav menadzer sa sifre nije pouzdan samo je legitimna meta hakerima jer jednom muvom dobijaju sve.

Osim lozinke za ono putem čega se plaća, sve drugo nije ni bitno, kad mi je lidl tražio da za njihovu aplikaciju izmislim odgovarajuću lozinku, jednostavno sam prekinuo instalaciju. Za maxi ti ne treba ništa, a za lidl sve, broj stana, poštanski broj, lozinka,... Šta ja radim sa tim? Mogu da upropastim lidl, ili sebe, dokazujući da sam redovan kupac za neki bedni popust?

menadzer lozinki koji ste skinuli od nekog hakera xD

Imam isti password od 2003. godine.

Jedino zašto sam ga ikada menjao jesu ove gluposti oko velikog slova i znakova.

I pazi boga ti, niko me nije hakovao do sada

Da poverite jednom programu sve svoje lozinke, a on neće biti nikada hakovan. Ko ne može da pamti, a malo nas je takvih, nek piše.

Kakve gadosti smislim kao lozinku, to ni najmoćniji hakeri ne mogu da provale.
(Mikii, 27. januar 2023 21:55)

Hahahahaha!

A potvrda logovanja preko mobilnog? Preko Autentikatora? Vredi li čemu?

Šta ćemo ako hakuju sajt gde čuvate lozinke :) Zar nije LastPass nedavno imao problema. Znam ozbiljne kompanije koje listu sa master lozinkama drže u sefu. Probajte da pravite lozinke od fraza. dMpMgSSMDpPs = devojko mala pesmo moga grada… sa malim slovima za imenice. Ubacite neke brojeve i specijalne karaktere i bićete ok. Nije problem da vam generator napravi lozinku koju je trško provaliti. Problem je što je takvu lozinku teško i zapamtiti. Rezultat su lozinke zapisane na poleđini tastature, monitoru, ili u tekst fajlu na računaru. Takođe, ako postoji šansa da koristite multi factor verifikaciju, setujte to obavezno.

imam čitav tim ljudi,svako mi kaže po 1 slobo ili broj i tako napravim šifru.

imao sam neki menadzer lozinki pre 10ak godina, tada neki najpopularniji, ne secam se kako se zvao. Reko aj da probam i skontam da neko ko se slucajno nadje pored mog kompa moze na dva klika u istom menadzeru da vidi ceo spisak svih mojih lozinki. Isto kao i chrome sto cuva sifre.

Lozinke padaju zbog hakovanja baze.Nema veze koja je lozinka.
(Dragan, 28. januar 2023 01:25)

Nema, ako se koristi salt, i ako je hash algoritam novijeg datuma, odnosno ako se ne koristi npr. MD5 koji je kompromitovan još pre 10 godina, a znam da ga još uvek koristi npr. Wordpress, mada je u većini slučajeva i on dovoljan.

Na žalost, postoje baze u kojima se čuvaju samo heševi šifri, bez korišćenja salt-a, što znači da će iste šifre u bazi imati istu heš vrednost, pa kad neko ko je došao do te baze, vidi npr. 1000 identičnih heševa, znači da 1000 korisnika ima istu šifru - onda mu se isplati da brute-force metodom pokuša da dođe do te šifre. Još ako se koristi poznat algoritam (npr. MD5), možda haker već ima heš vrednosti često korišćenih šifri i možda je među njima baš ta iz baze koja je identična za 1000 korisnika.

Zato je potrebno da se koristi "originalna" šifra, jer praktično sigurno ne postoji u nekom spisku šifri od kojih su generisani heševi koji se porede sa heševima u ukradenoj bazi.
Veći broj karaktera u šifri otežava brute-force metod (ne u smislu logovanja na sajt, već se za ukradenu bazu lokalno na računaru generišu heševi brute-force metodom i porede sa onima u bazi), tako da je poželjan, i u tom smislu je jača šifra od 15 karaktera koja sadrži samo mala slova nego šifra od 8 karaktera koja sadrži velika i mala slova, kao i cifre 0-9.

Lupetate!!!
Menadžer za lozinke, ejjj!

nego da vam lozinka bude janko1984
(JaSam, 27. januar 2023 22:03)

Moja lozinka nije janko1984 nego kombinacija od 31 karaktera, mala i velika slova, brojevi i posebni znakovi, i tu šifra od 31 nasumičnih karaktera koji meni ne znači ništa i ne bi je mogao zapamtiti ne bi bila ništa jača.

Glupost. Sta ako sam negde i nemam svoj racunar a treba da pristupim nekoj sluzbi? ako znam lozinku, nalogovacu se sa bilo kog uređaja. ako koristim menadžer, samo tamo gde ga imam instaliranog.

Uostalom kakvu god šifru da stavim, neka mi neko proba hakirati Yubikey!

To su gluposti, nasumični brojevi, slova i znakovi su za kompjuter isti kao i lozinke koje su na primjer neki izraz ili rečenica koja nama ima smisla i lako je pamtimo.

Evo na primjer:

SvakiDanKupiKruhiMlijeko2022!!!

Šifra od 31 karaktera jednako (ne)slomiva kao da je umjesto toga da je password neki nasumični niz od slova, brojaka i specijalnih znakova koji nama ne znače ništa.

Za stroj to ne postoji razlika pošto na password ne gleda tako kao i ljudi, obe kombinacije su manje-više jednako jake šifre!

- Fato, koja ti je lozinka na računalu?"
- Velkom. - odgovori Fata.
Probaju oni 'WELLCOME' - neće. Probaju 'VELKOM' - neće. 'VELLCOME', 'VELKOM' - ništa neće. Zovu oni Fatu ponovo:
- Fato, kaži nam koliko slova ima ova tvoja lozinka?
- Pa jedno. - kaže Fata.
- Pa kako jedno, pobogu!?
- Pa vel'ko M!

Cekajte jesam ja jedini koji ima svesku sa svim upisanim lozinkama za sve naloge koje Sam ikada napravio I svaka mi je drugacije?

SvakiDanKupiKruhiMlijeko2022!!!

Šifra od 31 karaktera jednako (ne)slomiva kao da je umjesto toga da je password neki nasumični niz od slova, brojaka i specijalnih znakova koji nama ne znače ništa.

Za stroj to ne postoji razlika pošto na password ne gleda tako...
(Sine ratio, 27. januar 2023 21:35)

Malim delom je to tacno. Zavisi sve koji se kriptografski algoritam koristi za kriptovanje lozinki.

Za razbijanje lozinki koje su generisane jednosmernom kriptografijom koristi se baza podataka sa kombinacijom karaktera. Posto serveri detektuju napade i veoma je velika verovatnoca automatskog banovanja, manje rucnog ali sve jedno moze da se desi i zavisi od vremena reagovanja i broja pokusaja od strane hakera/skripte/bot-a, kako god. Samim tim te baze podataka u prvih sat vremena rokaju smislene lozinke ne bi li bili blize upadanju u sisteme. Kasnije i redje potezu za nasumicnim kombinacijama.

Imajuci to u vidu, bolje je imati nasumicnu lozinku do koje ce bot teze doci, uz vece koriscenje procesorske moci i uz veci protok podataka, pri vecem riziku da bude banovan, blokiran itd nego da vam lozinka bude janko1984

a menadžer lozinki hakovan uglavnom..Samo pričate gluposti..

Pa taj isti automatski generator lozinki koriste hakeri za upad...

naqrcuten8. Asparagus. Takuma1Sato. Šalabajzerići. Bilo ih raznih.

Pa da... ne valja da se koristi ista lozinka za vise sajtova, ali je savrseno ok da se koristi JEDNA lozinka za SVE sajtove (master lozinka u menadzeru).

Drugo, zaista nasumicno ne postoji.

imao sam neki menadzer lozinki pre 10ak godina, tada neki najpopularniji, ne secam se kako se zvao. Reko aj da probam i skontam da neko ko se slucajno nadje pored mog kompa moze na dva klika u istom menadzeru da vidi ceo spisak svih mojih lozinki. Isto kao i chrome sto cuva sifre.

Није проблем написати лозинку насумичним редоследом слова, бројева и знакова, проблем је то запамтити или складиштити све те силне лозинке на неко безбедно (а ипак увек доступно) место. Зато људи користе само неколико лозинки за све приступе.

A menadžer lozinki treba da bude neka plaćena varijanta koja čuva vaše lozinke u Cloudu...
Kao na primer LastPass :) Pa se sad prodaju lozinke za sve i svašta na kilo po internetu.

Kakve gadosti smislim kao lozinku, to ni najmoćniji hakeri ne mogu da provale.

Nikako neče provaliti ako imate nešto od toga;
123456
lozinka
gost
qwertz

Osim lozinke za ono putem čega se plaća, sve drugo nije ni bitno, kad mi je lidl tražio da za njihovu aplikaciju izmislim odgovarajuću lozinku, jednostavno sam prekinuo instalaciju. Za maxi ti ne treba ništa, a za lidl sve, broj stana, poštanski broj, lozinka,... Šta ja radim sa tim? Mogu da upropastim lidl, ili sebe, dokazujući da sam redovan kupac za neki bedni popust?

imam čitav tim ljudi,svako mi kaže po 1 slobo ili broj i tako napravim šifru.

Imam isti password od 2003. godine.

Jedino zašto sam ga ikada menjao jesu ove gluposti oko velikog slova i znakova.

I pazi boga ti, niko me nije hakovao do sada

A potvrda logovanja preko mobilnog? Preko Autentikatora? Vredi li čemu?

Da,sami smisljamo lozinke.
Na neko vreme ih menjam,pa lupetam gluposti.
Kao /polaBanane556, kiseliKupuskanta234, Reno4kanta_77 polaKIlekilo0@,1Kuvani_kukuruz2 itd a zavisi sta mi padne u tom trenutku.

Lupetate!!!
Menadžer za lozinke, ejjj!

Još malo ni dupeta nećemo smeti da čistimo sami

Skoro je hakovan jedan poznati menadzer softvera u koji je ulozeno milione za razvoj. Nije nastao u podrumu ili kao kucna radinost.
Tako da ovakvi clanci su budalastine. Sami pravite svoje lozinke sa blagim varijacijama ne zapisujte ih. Koristite veliko malo slovo, brojeve i neki znak. Probajte da memorisete u skracenicama ili delovima. Niko vam je nece provaliti. Sve ostalo su gluposti. Nikakav menadzer sa sifre nije pouzdan samo je legitimna meta hakerima jer jednom muvom dobijaju sve.

Lozinke padaju zbog hakovanja baze.Nema veze koja je lozinka.

Da poverite jednom programu sve svoje lozinke, a on neće biti nikada hakovan. Ko ne može da pamti, a malo nas je takvih, nek piše.

ja sam na ebanking stavio lozinku, i zaboravio je, otkljucavam ga prstom, pa dok radi radi. znaci niko na svetu ne zna moju lozinku, pa ni ja

menadzer lozinki koji ste skinuli od nekog hakera xD

Kakve gadosti smislim kao lozinku, to ni najmoćniji hakeri ne mogu da provale.
(Mikii, 27. januar 2023 21:55)

Hahahahaha!

Šta ćemo ako hakuju sajt gde čuvate lozinke :) Zar nije LastPass nedavno imao problema. Znam ozbiljne kompanije koje listu sa master lozinkama drže u sefu. Probajte da pravite lozinke od fraza. dMpMgSSMDpPs = devojko mala pesmo moga grada… sa malim slovima za imenice. Ubacite neke brojeve i specijalne karaktere i bićete ok. Nije problem da vam generator napravi lozinku koju je trško provaliti. Problem je što je takvu lozinku teško i zapamtiti. Rezultat su lozinke zapisane na poleđini tastature, monitoru, ili u tekst fajlu na računaru. Takođe, ako postoji šansa da koristite multi factor verifikaciju, setujte to obavezno.

Lozinke padaju zbog hakovanja baze.Nema veze koja je lozinka.
(Dragan, 28. januar 2023 01:25)

Nema, ako se koristi salt, i ako je hash algoritam novijeg datuma, odnosno ako se ne koristi npr. MD5 koji je kompromitovan još pre 10 godina, a znam da ga još uvek koristi npr. Wordpress, mada je u većini slučajeva i on dovoljan.

Na žalost, postoje baze u kojima se čuvaju samo heševi šifri, bez korišćenja salt-a, što znači da će iste šifre u bazi imati istu heš vrednost, pa kad neko ko je došao do te baze, vidi npr. 1000 identičnih heševa, znači da 1000 korisnika ima istu šifru - onda mu se isplati da brute-force metodom pokuša da dođe do te šifre. Još ako se koristi poznat algoritam (npr. MD5), možda haker već ima heš vrednosti često korišćenih šifri i možda je među njima baš ta iz baze koja je identična za 1000 korisnika.

Zato je potrebno da se koristi "originalna" šifra, jer praktično sigurno ne postoji u nekom spisku šifri od kojih su generisani heševi koji se porede sa heševima u ukradenoj bazi.
Veći broj karaktera u šifri otežava brute-force metod (ne u smislu logovanja na sajt, već se za ukradenu bazu lokalno na računaru generišu heševi brute-force metodom i porede sa onima u bazi), tako da je poželjan, i u tom smislu je jača šifra od 15 karaktera koja sadrži samo mala slova nego šifra od 8 karaktera koja sadrži velika i mala slova, kao i cifre 0-9.