Pored toga, velika većina kompromitovanih lozinki ili počinje ili se završava cifrom, dok se često koriste i predvidivi numerički nizovi, datumi i sekvence sa tastature, što značajno olakšava posao hakerima.
Povodom 7. maja, Svetskog dana lozinki, stručnjaci kompanije Kasperski analizirali su 231 milion jedinstvenih lozinki pronađenih u velikim curenjima podataka u periodu od 2023. do 2026. godine i uočili nekoliko ključnih obrazaca, kao što je rast upotrebe aktuelnih i popularnih reči u lozinkama.
Na primer, upotreba reči "skibidi" u lozinkama je porasla čak 36 puta u poslednjih nekoliko godina, konstatuju eksperti.
Analiza pokazuje i da korisnici često biraju emocionalno pozitivne reči na engleskom jeziku poput "lav", "medžik", "frend", "tim", "ejndžel", "star" i "iden", dok se povremeno pojavljuju i negativni termini poput "hel", "devil", "najtmer" i "skar".
Stručnjaci upozoravaju da čak i kombinovanje jedne reči sa brojem ili simbolom ne pruža dovoljnu zaštitu, jer su takvi obrasci i dalje predvidivi i lako se kompromituju.
Podaci pokazuju da 53 odsto analiziranih lozinki završava ciframa, 17 odsto počinje ciframa, dok skoro 12 odsto sadrži datumske obrasce u rasponu od 1950. do 2030. godine.
Oko tri odsto lozinki uključuje jednostavne sekvence sa tastature poput "kverti" ili "1234".
Stručnjaci upozoravaju da ovakvi obrasci značajno skraćuju vreme potrebno za njihovo razbijanje, posebno kada napadači već poznaju najčešće korisničke navike.
Sve više servisa zahteva lozinke koje imaju najmanje 10 karaktera, sadrže veliko slovo i uključuju broj ili simbol.
Uporedna analiza kompromitovanih lozinki iz prethodnih godina pokazuje, međutim, da čak ni poštovanje nekih od ovih pravila ne garantuje otpornost na brute-force napade ili napade vođene veštačkom inteligencijom (AI-driven attacks).
Stručnjaci kompanije navode da su predvidivi simboli poput "@", "." (tačke) i "!" najčešći u kompromitovanim lozinkama, pri čemu se "@" pojavljuje u oko 10 odsto slučajeva kada je korišćen samo jedan simbol.
Istraživanje pokazuje da se kratke lozinke do osam karaktera razbijaju za manje od jednog dana, dok se više od 20 odsto lozinki od 15 karaktera može kompromitovati za manje od jednog minuta.
Prema istraživanju, 60,2 odsto lozinki može biti razbijeno za oko sat vremena, dok 68,2 odsto može biti kompromitovano u roku od jednog dana, pri čemu su proračuni zasnovani na korišćenju jedne RTX 5090 grafičke kartice i MD5 algoritma.
U savremenim uslovima, zaista bezbedne lozinke moraju da imaju bar 16 karaktera, kao i da sadrže nasumične kombinacije slova, brojeva i simbola, jedinstvene za svaki nalog, navode eksperti.
Stručnjaci preporučuju korisnicima da izbegavaju predvidive obrasce i generišu lozinke pomoću specijalizovanih alata.
Takođe se savetuje upotreba lozinki u formi fraza (passphrase), koje kombinuju nepovezane reči uz dodatne znakove i namerne pravopisne varijacije, kao i korišćenje dvofaktorske autentifikacije (2FA) gde god je to moguće.