Geslar — Vodič za sigurnost

Znate li?

< 1 sek

Toliko treba da se probije lozinka "123456" modernim računalom

1,1 mlrd

Kompromitiranih lozinki u HaveIBeenPwned bazi podataka

81%

Provaljenih računa koristi slabu ili ukradenu lozinku (Verizon DBIR)

51%

Korisnika koristi istu lozinku na više različitih stranica

2 sata

Prosječno potrebno za probijanje lozinke od 8 znakova bez posebnih znakova

tisuće god.

Koliko bi trebalo probiti dobru frazu poput "nebo-rijeka-planina-sunce"

Što se može dogoditi s probijenom lozinkom

Probijanje lozinke najčešće nije ciljani napad na vas osobno — napadači koriste automatizirane alate koji u sekundi isprobavaju milijune kombinacija na ukradenim bazama podataka. Ako koristite slabu ili ponavljanu lozinku, samo je pitanje vremena.

💳

Financijska krađa

Pristup bankovnim ili PayPal računima, neovlaštene kupnje, transferi novca. Oporavak može trajati tjednima uz veliku birokratsku muku.

📧

Preuzimanje e-maila

E-mail je ključ svega — tko ga ima, može resetirati lozinku za svaki drugi servis. Jedan kompromitirani račun može pokrenuti lančanu reakciju.

🪪

Krađa identiteta

Osobni podaci koriste se za otvaranje kredita, lažnih profila ili ucjenu. Oporavak od krađe identiteta prosječno traje 200 sati rada.

🔒

Ransomware

Napadač zaključa vaše datoteke i traži otkupninu. Česta ulazna točka su upravo slabe ili ponavljane lozinke za udaljeni pristup.

💬

Zlouporaba profila

Slanje spam poruka vašim kontaktima, objavljivanje lažnog sadržaja ili traženje novca u vaše ime — sve dok ne primijetite što se dogodi.

🏢

Poslovne posljedice

Probijanje poslovnog računa može rezultirati curenjem podataka klijenata, novčanim kaznama po GDPR-u i gubitkom reputacije tvrtke.

Fraza ili nasumična lozinka — što je bolje?

Kratka ali kompleksna lozinka dugo je smatrana zlatnim standardom. Suvremena istraživanja pokazuju da su dugačke fraze od nekoliko poznatih riječi jednako sigurne — a daleko lakše za pamćenje.

✗ Tipična lozinka

X8#mK2@p

Teška za zapamtiti — mozak loše pamti nasumične nizove
Lako za unijeti pogrešno — posebno na mobilnom
Korisnici je pišu na papir ili koriste istu svugdje
Rječničke varijante ("P@ssw0rd") alati odmah prepoznaju

✓ Fraza od riječi

nebo-rijeka-planina

Lako za zapamtiti — mozak pamti priče i slike
Lako za unijeti čak i na tipkovnici mobitela
Drugačija svaki put, nema potrebe za ponavljanjem
Nije u rječnicima napada — kombinacija je jedinstvena

Preporučena jačina po vrsti računa

Preporuke su minimumi — uvijek možeš jače. Za lozinke koristi kombinaciju malih i velikih slova, brojeva i posebnih znakova. Fraze su sigurne i pamtljive čak i bez posebnih znakova.

Vrsta računa Fraza Lozinka

🔑 Master lozinka 5+ riječi 20+ znakova, svi tipovi

📧 E-mail, cloud 4+ riječi 16+ znakova

🏦 Banka, financije 4+ riječi 16+ znakova

💼 Posao, VPN 4+ riječi 14+ znakova

📱 Društvene mreže 3+ riječi 12+ znakova

🛍 Kupovina, forumi 3+ riječi 10+ znakova

Geslar razine lozinki: Osnovna (8–12 zn.) · Dobra (13–16 zn.) · Jaka (17–20 zn.) · Maksimalna (21–32 zn.) — duljina se odabire nasumično unutar raspona svaki put.

Zašto koristiti upravitelja lozinki

Prosječan korisnik ima 100+ online računa. Nemoguće je zapamtiti jedinstvenu jaku lozinku za svaki. Upravitelj lozinki to rješava — vi pamtite samo jednu master lozinku, ostalo on pamti za vas.

🔑

Jedna master lozinka

Pamtite samo jednu dugačku, jaku lozinku. Upravitelj pamti sve ostale umjesto vas — sigurno enkriptirano u vašem trezoru.

🔀

Jedinstvena za svaku stranicu

Svaki račun dobiva svoju posebnu lozinku. Ako jedna procuri, ostale su potpuno sigurne — nema lančane reakcije.

⚡

Automatsko popunjavanje

Upravitelj prepoznaje stranicu i sam popunjava lozinku. Brže od pamćenja, bez grešaka pri tipkanju.

🔔

Upozorenje na curenja

Automatska provjera je li vaša lozinka pronađena u poznatim curenjima podataka — odmah vas obavijesti da je promijeni.

📱

Sinkronizacija uređaja

Vaše lozinke dostupne na računalu, mobitelu i tabletu — sve sinkronizirano i sigurno enkriptirano u oblaku.

🛡️

Zaštita od phishinga

Upravitelj popunjava lozinke samo na pravoj domeni. Na lažnoj stranici neće ponuditi popunjavanje — izvrsna zaštita od phishing napada.

Preporučeni upravitelji lozinki

BW

Bitwarden besplatan open source

Najpopularniji besplatni upravitelj s otvorenim kodom. Dostupan na svim platformama (Windows, macOS, Linux, iOS, Android) i svim browserima. Besplatna verzija pokriva sve potrebe većine korisnika. Preporučen za početnike i napredne korisnike jednako.

bitwarden.com

1P

1Password premium

Vrhunski korisnički doživljaj s naprednim funkcijama — dijeljenje unutar tima ili obitelji, Travel Mode (skriva osjetljive trezore na granici), integracija s 2FA aplikacijama. Plaćena pretplata, ali vrijedi za poslovne korisnike.

1password.com

KP

KeePassXC besplatan offline

Sve se čuva lokalno na vašem uređaju — bez oblaka, bez pretplate, bez interneta. Idealno za korisnike koji ne žele podatke ni na jednom serveru. Zahtijeva malo više tehničkog znanja za postavljanje i ručnu sinkronizaciju.

keepassxc.org

PP

Proton Pass besplatan

Novi igrač od tima iza ProtonMail-a — naglasak na privatnosti i end-to-end enkripciji. Besplatna verzija dostupna na svim platformama, dobra alternativa Bitwarden-u za korisnike koji već koriste Proton ekosustav.

proton.me/pass

NP

NordPass premium

Upravitelj od tima iza NordVPN-a s XChaCha20 enkripcijom. Čist i jednostavan sučelje, dostupan na svim platformama. Besplatna verzija dopušta samo jednu aktivnu sesiju istovremeno — za više uređaja potrebna je pretplata.

nordpass.com

LP

LastPass premium

Jedan od najpoznatijih upravitelja s dugom poviješću i velikim brojem korisnika. Dostupan na svim platformama s naprednim opcijama dijeljenja. Napomena: 2022. godine pretrpio je ozbiljnu sigurnosnu povredu u kojoj su ukradeni enkriptirani trezori — korisnici koji su koristili slabe master lozinke trebali su ih promijeniti.

lastpass.com

Važno: Master lozinka upravitelja treba biti što jača — preporučujemo frazu od 5–6 hrvatskih riječi. Bez nje ne možete pristupiti svim ostalim lozinkama, a nitko je ne može resetirati umjesto vas.

Dvofaktorska autentikacija (2FA / MFA)

Čak i ako netko sazna vašu lozinku, 2FA ga sprječava da se prijavi — bez drugog faktora (vašeg mobitela ili uređaja) pristup je nemoguć. Multifaktorska autentikacija (MFA) kombinira dva ili više od sljedećih faktora:

🧠

Nešto što znate

lozinka, PIN

📱

Nešto što imate

mobitel, hardverski ključ

👆

Nešto što jeste

otisak prsta, Face ID

📲

Autentikacijska aplikacija

Google Authenticator, Authy ili 2FAS generiraju jednokratne kodove (TOTP) koji istječu za 30 sekundi. Najsigurnija svakodnevna opcija — ne može se presresti kao SMS.

💬

SMS kôd

Kôd dolazi porukom na mobitel. Bolje od ničega, ali ranjivo na SIM swapping napade — netko može preuzeti vaš broj i primiti kôd. Koristite samo ako nije dostupna druga opcija.

🔐

Hardverski ključ

YubiKey ili sličan USB/NFC uređaj koji fizički pritisnete za prijavu. Najpouzdanija opcija — ne može se remotely kompromitirati ni phishingom. Preporučeno za visokorizične račune.

👆

Biometrija

Otisak prsta ili Face ID kao drugi faktor — praktično i sigurno na modernim uređajima. Biometrijski podaci ostaju lokalno na uređaju i ne šalju se na server.

📋

Backup kodovi

Jednokratni kodovi za hitni pristup ako izgubite mobitel ili pristup 2FA aplikaciji. Svaki se koristi samo jedanput — pohranite ih sigurno: isprintajte ili stavite u upravitelja lozinki.

🗝️

Passkey (bez lozinke)

Novi standard koji zamjenjuje i lozinku i 2FA — kriptografski ključ pohranjen na uređaju, otključava se biometrijom ili PIN-om. Otporan na phishing. Podržan na Googleu, Appleu i Microsoftu.

Na kojim računima obavezno uključiti 2FA

E-mail (Gmail, Outlook…) — ključ za resetiranje svega ostalog
Bankovni i financijski računi — PayPal, kripto burze, internetsko bankarstvo
Upravitelj lozinki — štiti sve ostale lozinke odjednom
Poslovni alati — Microsoft 365, Google Workspace, Slack, GitHub
Društvene mreže — Facebook, Instagram, LinkedIn, Twitter/X
Cloud pohrana — Google Drive, iCloud, Dropbox

Preporučeni redoslijed sigurnosti: Autentikacijska aplikacija > Hardverski ključ > Biometrija > SMS > Bez 2FA. Čak i SMS 2FA smanjuje rizik probijanja za više od 99% u usporedbi s korištenjem same lozinke.

Preporučene 2FA aplikacije

2F

2FAS besplatan open source

Najbolja cross-platform opcija — dostupan na iOS i Androidu s opcionalnom cloud sinkronizacijom. Otvoreni kod, nema reklama, bez pretplate. Podržava backup na Google Drive ili iCloud. Preporučen kao prva opcija za većinu korisnika.

2fas.com

AG

Aegis besplatan open source offline

Najboljа Android opcija — lokalno pohranjen šifrirani trezor, nema oblaka, nema praćenja. Podržava backup na vlastiti uređaj ili pohranište. Idealno za korisnike koji ne žele podatke ni na jednom serveru. Samo Android.

getaegis.app

AU

Authy besplatan

Popularna opcija s cloud sinkronizacijom i podrškom za više uređaja (iOS, Android, desktop). Jednostavan za korištenje i prebacivanje na novi mobitel. Napomena: u vlasništvu Twilia koji je 2022. pretrpio povredu — izloženi su bili samo telefonski brojevi, ne TOTP tajne.

authy.com

GA

Google Authenticator besplatan

Najrasprostranjenija aplikacija, dolazi preporučena na većini servisa. Jednostavna i pouzdana. Od 2023. podržava sinkronizaciju s Google računom — ranije nije, što je znalo uzrokovati gubitak kodova pri zamjeni mobitela.

g.co/authenticator

MA

Microsoft Authenticator besplatan

Odlična opcija za korisnike Microsoft ekosustava (Microsoft 365, Azure, Xbox). Podržava passwordless prijavu za Microsoft račune i push notifikacije umjesto kodova. Dostupan na iOS i Androidu.

microsoft.com/authenticator

Savjet: Backup 2FA kodova pohranite odvojeno od mobitela — u upravitelju lozinki ili isprintane na sigurnom mjestu. Gubitak mobitela bez backupa može vas trajno zaključati iz računa.

Sigurno slanje lozinke

Funkcija Sigurno slanje enkriptira lozinku lokalno (AES-256-GCM + PBKDF2) prije nego što napusti uređaj. Server pohrani isključivo enkriptirani sadržaj — ključ za dekriptiranje nalazi se samo u dijelu URL-a koji server nikad ne vidi (#fragment). Primatelj dekriptira lokalno u svom browseru.

⏱

Rok trajanja

Link automatski istječe nakon 1–90 dana. Nakon isteka enkriptirani payload briše se s poslužitelja — link postaje neupotrebljiv.

⚡

Jednokratni link

Opcija koja briše link odmah pri prvom otvaranju. Primatelj vidi obavijest da je link obrisan — nema mogućnosti ponovnog pristupa.

👁

Limit pregleda

Server broji koliko je puta link otvoren. Nakon dostignutog limita (zadano: 3) link se automatski briše. Postavlja se pri generiranju.

🔒

PIN zaštita

Neobavezni 4–8 znamenkasti PIN kao drugi sloj zaštite. PBKDF2 (200 000 iteracija) — PIN nikad ne napušta uređaj, server ga ne vidi ni ne pohranjuje.

▦

QR kod

Link se može podijeliti i kao QR kod direktno iz aplikacije. QR se generira lokalno — ne šalje se nikamo.

🛡

Rate limiting

Server ograničava broj zahtjeva po IP adresi (120/sat) kako bi spriječio automatiziranu zloupotrebu ili brute-force napade na PIN.

Što link štiti, a što ne

Što je sigurno

Sadržaj enkriptiran AES-256-GCM — server vidi samo šifrirani niz
Ključ za dekriptiranje nikad ne napušta URL fragment (#) — server ga ne prima
Link istječe automatski (1–90 dana)
Jednokratni link ili limit pregleda — server kontrolira broj pristupa
PIN kao drugi faktor — PBKDF2, server ga nikad ne vidi
Dekriptiranje se odvija lokalno u browseru primatelja

Ograničenja

Netko tko presretne cijeli URL (uključujući #fragment) ima pun pristup — osim ako je postavljen PIN
Nema obavijesti o tome je li link već otvoren
Link nije moguće opozvati prije isteka roka — jedino čekati da istekne ili da se dostigne limit
Sigurnost ovisi o tome komu i kako dijelite URL

Preporuka: Za osjetljive podatke koristite jednokratni link i neobavezni PIN. Koristite što kraći rok trajanja. Odmah nakon što primatelj potvrdi primitak, smatrajte lozinku kompromiranom i promijenite je na tom servisu.

Česti mitovi o lozinkama

❌ "Sigurniji sam jer koristim malo poznatu stranicu"

Upravo manje poznate stranice često imaju lošiju sigurnosnu infrastrukturu. Curenja podataka događaju se svakodnevno na svim vrstama servisa — od velikih do malih.

❌ "Lozinka mi je jaka jer sadrži broj i veliki znak"

"Password1" ispunjava te kriterije, ali probija se u sekundi. Predvidivi uzorci (P@ssw0rd, Ime1234) prvi su na listama rječničkih napada.

❌ "Mijenjam lozinku svaka 3 mjeseca — siguran sam"

NIST više ne preporučuje prisilnu rotaciju lozinki. Česta promjena potiče korisnike da koriste slabije i predvidivije lozinke (npr. dodavanje broja na kraju). Mijenjajte samo ako sumnjate da je kompromitirana.

❌ "Pamtim lozinku u browseru — to je dovoljno"

Browser lozinke nisu enkriptirane na isti način kao namjenski upravitelju. Na dijeljenom računalu ili uz pristup profilu, lozinke su lako dostupne. Namjenski upravitelj nudi znatno jaču zaštitu.

❌ "Mene nitko neće ciljati — nisam važan"

99% napada nije ciljano na osobu nego na popis lozinki iz procurlih baza. Automatizirani botovi bez prestanka isprobavaju kombinacije na milijunima računa — nema razlike jeste li "važni" ili ne.

Sigurnosni savjeti — brzi pregled

✓ Radite ovo

Koristite različitu lozinku za svaki račun
Koristite upravitelja lozinki
Uključite 2FA na svim važnim računima
Koristite fraze — duge i pamtljive
Redovito provjeravajte curenja — koristite Provjeri lozinku na Geslaru
Master lozinka treba biti najjača od svih
Koristite jedinstven e-mail alias za osjetljive servise

✗ Izbjegavajte ovo

Pisanje lozinki na papir ili u nešifrirani dokument
Ista lozinka na više mjesta (pa i s malim varijacijama)
Osobni podaci u lozinci — ime, datum, grad
Dijeljenje lozinke putem e-maila ili SMS-a
Prijava na osjetljive račune na javnom Wi-Fi-ju bez VPN-a
Pohrana lozinki u browser bez master lozinke
Ignoriranje upozorenja o curenju podataka

Vodič za sigurnost lozinki