U vječitoj borbi između sigurnosti i jednostavne upotrebe, lozinke ostaju najslabija karika. Iako kompanije nameću stroga pravila o kompleksnosti, korisnici se u praksi okreću predvidljivim obrascima, najčešće koristeći termine iz sopstvenog poslovnog okruženja. Napadači su ovaj psihološki fenomen odavno prepoznali, piše Bleeping Computer.
Umjesto sofisticirane umjetne inteligencije, moderni hakeri koriste znatno jednostavniju, ali ubojitiju metodu: prikupljanje kontekstualnog jezika organizacije i njegovo pretvaranje u precizne pogađalice.
Glavno oružje u ovom procesu je CeWL (Custom Word List generator), alat otvorenog koda koji je sastavni dio sistema kao što su Kali Linux i Parrot OS. Ovaj program pretražuje javne web-siteove kompanija i izvlači specifičnu terminologiju, opise usluga i industrijski rječnik koji se ne mogu naći u običnim rječnicima lozinki.
Efikasnost ove metode ne leži u tehničkoj složenosti, već u relevantnosti. Dobijene liste riječi direktno odražavaju vokabular s kojim se zaposleni svakodnevno susreću, što dramatično povećava šansu za uspješan napad. Na primjer, u zdravstvu će napadači targetirati nazive ustanova, lokacije ili specifične tretmane, modifikujući ih jednostavnim dodacima poput brojeva ili simbola.
Najveći izazov za odbranu je to što lozinke nastale na ovaj način – poput „BolnicaIme123!”, formalno ispunjavaju sve standardne zahtjeve za složenošću, ali ostaju ekstremno ranjive. Analiza kompanije Specops, sprovedena na više od šest milijardi kompromitovanih lozinki, pokazuje da dodatna dužina ili raznovrsnost karaktera ne znače ništa ako je osnova lozinke lako predvidljiv kontekstualni termin.
Kada se ovi ciljani spiskovi ukrste sa alatima kao što je Hashcat, napadači mogu generisati i testirati milione varijacija u rekordnom roku, često bez rizika da budu detektovani.
Sigurnosni stručnjaci naglašavaju da bi lozinke trebalo tretirati kao aktivnu kontrolu, a ne kao statičnu stavku za ispunjavanje propisa. Ključne preporuke uključuju:
Blokiranje kontekstualnih riječi: Onemogućavanje korištenja imena firme, proizvoda ili industrijskih termina pri kreiranju lozinke.
Dužina ispred kompleksnosti: Insistiranje na frazama (passphrases) od najmanje 15 karaktera, koje nude najbolju zaštitu od „brute-force” tehnika.
Multifaktorska autentifikacija (MFA) kao obavezna brana: Iako ne sprečava krađu lozinke, MFA drastično ograničava štetu, sprečavajući da lozinka bude jedini faktor provjere.
Dok napadači postaju sve precizniji u korištenju javno dostupnih podataka, jedini put ka otpornijem sistemu je usklađivanje sigurnijih politika sa realnim metodama napada.