Prema novim smjernicama američkog Nacionalnog instituta za standarde i tehnologiju, lozinke ne treba da budu komplikovane, već dugačke.
Kada smišljamo novu lozinku, veliki broj sajtova i platformi od nas zahtijeva da ispunimo određene uslove kao što su korišćenje znakova, brojeva i velikih i malih slova. Međutim, komplikovane lozinke zvanično više nisu najbolja praksa, kao ni njihovo redovno mijenjanje, tvrde stručnjaci.
Prema najnovijim smjernicama koje je objavio američki Nacionalni institut za standarde i tehnologiju (NIST), aktuelna metoda je učinila lozinke manje sigurnim, a svi koji žele da osiguraju bezbijednost svojih naloga i informacionih sistema treba da se pridržavaju novih preporuka.
Komplikovane lozinke su manje sigurne
Preporuka o korišćenju komplikovanih lozinki zaista djeluje kao dobra ideja. Miješanje brojeva, karaktera i malih i velikih slova može značajno otežati zlonamjernim akterima da pogode ili "provale" lozinku koju smo smislili. Međutim, kompleksnost se pokazala kao kontraproduktivna, a u praksi je zapravo oslabila sigurnost naših naloga.
Kako otkriva NIST, ove komplikacije su korisnicima teške za pamćenje, što je mnoge navelo da koriste istu lozinku za više sajtova ili da pribjegnu predvidivom ponašanju kao što je zamjena slova brojevima i simbolima sličnog izgleda. Na primjer - "P@ssw0rd123".
Korisnici su ka ovakvom obrascu ponašanja dodatno "gurnuti" od strane organizacija koje su od njih zahtijevale da svoju lozinku mijenjaju redovno, što NIST više ne preporučuje.
Dugačke, a ne komplikovane lozinke
Bezbijednost lozinke se često mjeri entropijom, odnosno mjerom nepredvidljivosti. Veći broj karaktera znači veći broj mogućih kombinacija, pa samim tim i veću entropiju koja napadačima dodatna otežava "provaljivanje" naših lozinki.
Komplikovane lozinke zaista povećavaju entropiju, ali kako računarska snaga raste, to je napadačima lakše da ih probiju. Umesto njih, NIST sada preporučuje upotrebu dugačkih lozinki.
Korišćenje više karaktera eksponencijalno povećava broj mogućih kombinacija, pa čak i da ne koristimo interpunkciju, brojeve ili velika slova u svojim lozinkama, napredni algoritmi bi imali značajno teži zadatak da ih pogode, a mi bismo ih lakše zapamtili. Priznaćete, mnogo je lakše sjetiti se lozinke "crnakapaplavajaknasivepantalonebelepatike" nego kombinacije kao što je "Kq2vB.HH!zSUzDnq585".
Nažalost, iako mnogi sajtovi i platforme od nas zahtijevaju da koristimo komplikovanu lozinku, vrlo često nas ograničavaju u broju karaktera koje smijemo da koristimo. Zato NIST, pored preporuka o upotrebi dugačkih lozinki koje se ne mijenjaju često, takođe preporučuje da se korisnicima pruži mogućnost unosa do 64 karaktera kada smišljaju novu lozinku.