Geslar
Generator lozinki
geslostarohr.—lozinka, zaporka
·
-ar—tvorač, majstor
Vodič za sigurnost lozinki
Zašto su jake lozinke važne, kako ih stvoriti i kako ih pamtiti bez muke
Znate li?
< 1 sek
Toliko treba da se probije lozinka "123456" modernim računalom
1,1 mlrd
Kompromitiranih lozinki u HaveIBeenPwned bazi podataka
81%
Provaljenih računa koristi slabu ili ukradenu lozinku (Verizon DBIR)
51%
Korisnika koristi istu lozinku na više različitih stranica
2 sata
Prosječno potrebno za probijanje lozinke od 8 znakova bez posebnih znakova
tisuće god.
Koliko bi trebalo probiti dobru frazu poput "nebo-rijeka-planina-sunce"
Što se može dogoditi s probijenom lozinkom
Probijanje lozinke najčešće nije ciljani napad na vas osobno — napadači koriste automatizirane alate koji u sekundi isprobavaju milijune kombinacija na ukradenim bazama podataka. Ako koristite slabu ili ponavljanu lozinku, samo je pitanje vremena.
Financijska krađa
Pristup bankovnim ili PayPal računima, neovlaštene kupnje, transferi novca. Oporavak može trajati tjednima uz veliku birokratsku muku.
Preuzimanje e-maila
E-mail je ključ svega — tko ga ima, može resetirati lozinku za svaki drugi servis. Jedan kompromitirani račun može pokrenuti lančanu reakciju.
Krađa identiteta
Osobni podaci koriste se za otvaranje kredita, lažnih profila ili ucjenu. Oporavak od krađe identiteta prosječno traje 200 sati rada.
Ransomware
Napadač zaključa vaše datoteke i traži otkupninu. Česta ulazna točka su upravo slabe ili ponavljane lozinke za udaljeni pristup.
Zlouporaba profila
Slanje spam poruka vašim kontaktima, objavljivanje lažnog sadržaja ili traženje novca u vaše ime — sve dok ne primijetite što se dogodi.
Poslovne posljedice
Probijanje poslovnog računa može rezultirati curenjem podataka klijenata, novčanim kaznama po GDPR-u i gubitkom reputacije tvrtke.
Fraza ili nasumična lozinka — što je bolje?
Kratka ali kompleksna lozinka dugo je smatrana zlatnim standardom. Suvremena istraživanja pokazuju da su dugačke fraze od nekoliko poznatih riječi jednako sigurne — a daleko lakše za pamćenje.
✗ Tipična lozinka
X8#mK2@p
- Teška za zapamtiti — mozak loše pamti nasumične nizove
- Lako za unijeti pogrešno — posebno na mobilnom
- Korisnici je pišu na papir ili koriste istu svugdje
- ~40 bita entropije za 8 znakova
- Rječničke varijante ("P@ssw0rd") alati odmah prepoznaju
✓ Fraza od riječi
nebo-rijeka-planina
- Lako za zapamtiti — mozak pamti priče i slike
- Lako za unijeti čak i na tipkovnici mobitela
- Drugačija svaki put, nema potrebe za ponavljanjem
- ~26 bita entropije samo od 3 hrv. riječi
- Nije u rječnicima napada — kombinacija je jedinstvena
Što je entropija i zašto je važna
Entropija mjeri koliko je lozinka nepredvidiva — izražena je u bitima. Što više bita, to je više mogućih kombinacija koje napadač mora isprobati. Svaki dodani bit udvostručuje broj kombinacija.
2⁴⁰
~1 bilijun kombinacija za 40-bitnu lozinku — probijivo za minute
2⁶⁰
~1 kvadrilijun kombinacija za 60-bitnu — probijivo za dane/tjedne
2⁸⁰
~1,2 septiliuna kombinacija — praktički nemoguće probiti i s najboljim hardverom
0–28 bit
Vrlo slabo — probijivo odmah
28–40 bit
Slabo — probijivo za sate
40–60 bit
Dobro — sigurno za privatnu upotrebu
60–80 bit
Jako — preporučeno za osjetljive račune
80+ bit
Iznimno jako — za bankarske i poslovne sustave
Zašto koristiti upravitelja lozinki
Prosječan korisnik ima 100+ online računa. Nemoguće je zapamtiti jedinstvenu jaku lozinku za svaki. Upravitelj lozinki to rješava — vi pamtite samo jednu master lozinku, ostalo on pamti za vas.
Jedna master lozinka
Pamtite samo jednu dugačku, jaku lozinku. Upravitelj pamti sve ostale umjesto vas — sigurno enkriptirano u vašem trezoru.
Jedinstvena za svaku stranicu
Svaki račun dobiva svoju posebnu lozinku. Ako jedna procuri, ostale su potpuno sigurne — nema lančane reakcije.
Automatsko popunjavanje
Upravitelj prepoznaje stranicu i sam popunjava lozinku. Brže od pamćenja, bez grešaka pri tipkanju.
Upozorenje na curenja
Automatska provjera je li vaša lozinka pronađena u poznatim curenjima podataka — odmah vas obavijesti da je promijeni.
Sinkronizacija uređaja
Vaše lozinke dostupne na računalu, mobitelu i tabletu — sve sinkronizirano i sigurno enkriptirano u oblaku.
Zaštita od phishinga
Upravitelj popunjava lozinke samo na pravoj domeni. Na lažnoj stranici neće ponuditi popunjavanje — izvrsna zaštita od phishing napada.
Preporučeni upravitelji lozinki
BW
Bitwarden besplatan open source
Najpopularniji besplatni upravitelj s otvorenim kodom. Dostupan na svim platformama (Windows, macOS, Linux, iOS, Android) i svim browserima. Besplatna verzija pokriva sve potrebe većine korisnika. Preporučen za početnike i napredne korisnike jednako.
bitwarden.com
1P
1Password premium
Vrhunski korisnički doživljaj s naprednim funkcijama — dijeljenje unutar tima ili obitelji, Travel Mode (skriva osjetljive trezore na granici), integracija s 2FA aplikacijama. Plaćena pretplata, ali vrijedi za poslovne korisnike.
1password.com
KP
KeePassXC besplatan offline
Sve se čuva lokalno na vašem uređaju — bez oblaka, bez pretplate, bez interneta. Idealno za korisnike koji ne žele podatke ni na jednom serveru. Zahtijeva malo više tehničkog znanja za postavljanje i ručnu sinkronizaciju.
keepassxc.org
PP
Proton Pass besplatan
Novi igrač od tima iza ProtonMail-a — naglasak na privatnosti i end-to-end enkripciji. Besplatna verzija dostupna na svim platformama, dobra alternativa Bitwarden-u za korisnike koji već koriste Proton ekosustav.
proton.me/pass
Važno: Master lozinka upravitelja treba biti što jača — preporučujemo frazu od 5–6 hrvatskih riječi. Bez nje ne možete pristupiti svim ostalim lozinkama, a nitko je ne može resetirati umjesto vas.
Dvofaktorska autentikacija (2FA / MFA)
Čak i ako netko sazna vašu lozinku, 2FA ga sprječava da se prijavi — bez drugog faktora (vašeg mobitela ili uređaja) pristup je nemoguć. Multifaktorska autentikacija (MFA) kombinira dva ili više od sljedećih faktora:
Nešto što znate
lozinka, PIN
Nešto što imate
mobitel, hardverski ključ
Nešto što jeste
otisak prsta, Face ID
Autentikacijska aplikacija
Google Authenticator, Authy ili 2FAS generiraju jednokratne kodove (TOTP) koji istječu za 30 sekundi. Najsigurnija svakodnevna opcija — ne može se presresti kao SMS.
SMS kôd
Kôd dolazi porukom na mobitel. Bolje od ničega, ali ranjivo na SIM swapping napade — netko može preuzeti vaš broj i primiti kôd. Koristite samo ako nije dostupna druga opcija.
Hardverski ključ
YubiKey ili sličan USB/NFC uređaj koji fizički pritisnete za prijavu. Najpouzdanija opcija — ne može se remotely kompromitirati ni phishingom. Preporučeno za visokorizične račune.
Biometrija
Otisak prsta ili Face ID kao drugi faktor — praktično i sigurno na modernim uređajima. Biometrijski podaci ostaju lokalno na uređaju i ne šalju se na server.
Backup kodovi
Jednokratni kodovi za hitni pristup ako izgubite mobitel ili pristup 2FA aplikaciji. Svaki se koristi samo jedanput — pohranite ih sigurno: isprintajte ili stavite u upravitelja lozinki.
Passkey (bez lozinke)
Novi standard koji zamjenjuje i lozinku i 2FA — kriptografski ključ pohranjen na uređaju, otključava se biometrijom ili PIN-om. Otporan na phishing. Podržan na Googleu, Appleu i Microsoftu.
Na kojim računima obavezno uključiti 2FA
- E-mail (Gmail, Outlook…) — ključ za resetiranje svega ostalog
- Bankovni i financijski računi — PayPal, kripto burze, internetsko bankarstvo
- Upravitelj lozinki — štiti sve ostale lozinke odjednom
- Poslovni alati — Microsoft 365, Google Workspace, Slack, GitHub
- Društvene mreže — Facebook, Instagram, LinkedIn, Twitter/X
- Cloud pohrana — Google Drive, iCloud, Dropbox
Preporučeni redoslijed sigurnosti: Autentikacijska aplikacija > Hardverski ključ > Biometrija > SMS > Bez 2FA. Čak i SMS 2FA smanjuje rizik probijanja za više od 99% u usporedbi s korištenjem same lozinke.
Sigurno slanje lozinke
Aplikacija nudi funkciju Sigurno slanje — lozinka se enkriptira lokalno (AES-256-GCM) i nikad ne prolazi kroz server. Enkriptirani payload i ključ za dekriptiranje nalaze se isključivo u URL-u koji dijelite.
Link nije jednokratan. Svatko tko ima link može otvoriti lozinku neograničen broj puta — sve dok link ne istekne. Budući da aplikacija nema server koji prati pristupe, nije moguće tehnički ograničiti broj otvaranja. Podijelite link isključivo s osobom kojoj je namijenjen i koristite što kraći rok trajanja.
Što link štiti, a što ne
Što je sigurno
- Lozinka nije čitljiva bez URL-a (enkripcija AES-256-GCM)
- Link automatski istječe (1–90 dana, po izboru)
- Lozinka nikad ne prolazi kroz vanjski server
- Dekriptiranje se odvija lokalno u browseru primatelja
Ograničenja
- Link nije jednokratan — može se otvoriti više puta
- Netko tko presretne link ima pun pristup
- Nema obavijesti o tome je li link već otvoren
- Bez servera nije moguće pratiti niti ograničiti broj pristupa
Preporuka: Koristite najkraći rok trajanja koji je primatelju dovoljan (npr. 1 dan). Odmah nakon što primatelj potvrdi primitak, smatrajte lozinku kompromiranom i promijenite je ako se radi o osjetljivom servisu.
Česti mitovi o lozinkama
❌ "Sigurniji sam jer koristim malo poznatu stranicu"
Upravo manje poznate stranice često imaju lošiju sigurnosnu infrastrukturu. Curenja podataka događaju se svakodnevno na svim vrstama servisa — od velikih do malih.
❌ "Lozinka mi je jaka jer sadrži broj i veliki znak"
"Password1" ispunjava te kriterije, ali probija se u sekundi. Predvidivi uzorci (P@ssw0rd, Ime1234) prvi su na listama rječničkih napada.
❌ "Mijenjam lozinku svaka 3 mjeseca — siguran sam"
NIST više ne preporučuje prisilnu rotaciju lozinki. Česta promjena potiče korisnike da koriste slabije i predvidivije lozinke (npr. dodavanje broja na kraju). Mijenjajte samo ako sumnjate da je kompromitirana.
❌ "Pamtim lozinku u browseru — to je dovoljno"
Browser lozinke nisu enkriptirane na isti način kao namjenski upravitelju. Na dijeljenom računalu ili uz pristup profilu, lozinke su lako dostupne. Namjenski upravitelj nudi znatno jaču zaštitu.
❌ "Mene nitko neće ciljati — nisam važan"
99% napada nije ciljano na osobu nego na popis lozinki iz procurlih baza. Automatizirani botovi bez prestanka isprobavaju kombinacije na milijunima računa — nema razlike jeste li "važni" ili ne.
Sigurnosni savjeti — brzi pregled
✓ Radite ovo
- Koristite različitu lozinku za svaki račun
- Koristite upravitelja lozinki
- Uključite 2FA na svim važnim računima
- Koristite fraze — duge i pamtljive
- Redovito provjeravajte curenja na haveibeenpwned.com
- Master lozinka treba biti najjača od svih
- Koristite jedinstven e-mail alias za osjetljive servise
✗ Izbjegavajte ovo
- Pisanje lozinki na papir ili u nešifrirani dokument
- Ista lozinka na više mjesta (pa i s malim varijacijama)
- Osobni podaci u lozinci — ime, datum, grad
- Dijeljenje lozinke putem e-maila ili SMS-a
- Prijava na osjetljive račune na javnom Wi-Fi-ju bez VPN-a
- Pohrana lozinki u browser bez master lozinke
- Ignoriranje upozorenja o curenju podataka