Sigurnost lozinki 2025 nalazi se u središtu ove priče, a incident u Louvreu najbolji je dokaz da osnovna pravila i dalje presudno utječu na sigurnost sustava. U listopadu 2025. Louvre se suočio s jednom od najneobičnijih i najskupljih sigurnosnih grešaka u modernoj povijesti, iako je stvarni problem bio mnogo veći od same fizičke pljačke. Skupina lopova ukrala je neprocjenjivo kraljevsko blago, ali najveći šok nije bila pljačka.
Najveći šok bio je trenutak kada se otkrilo da je dio sustava videonadzora bio zaštićen samo jednom, bolno jednostavnom lozinkom:
“Louvre”
Jedna riječ.
Bez brojeva, simbola i dodatnih slojeva zaštite.
U 2025., godini umjetne inteligencije, biometrije i Zero Trust pristupa, najpoznatiji svjetski muzej izgubio je milijune jer nitko nije zamijenio zadanu lozinku.
I upravo tu je lekcija:
čak i najnapredniji sustavi padaju kada se zanemari osnova, sigurnost lozinki.
Osim toga, ovo nije problem samo jednog muzeja. Ovo je problem svake tvrtke koja razvija softver, pohranjuje podatke klijenata, koristi cloud servise ili upravlja internim alatima.
Što je tehnički pošlo po krivu (i zašto je to važno)
Sigurnosni stručnjaci naveli su nekoliko ključnih propusta:
- kritični dio CCTV sustava koristio je trivijalnu, lozinku koju je lako pogoditi
- firmware je zastario, sigurnosne nadogradnje su odgađane
- nije postojala nikakva segmentacija pristupa
- administrativni računi nisu imali MFA
- fizička i digitalna sigurnost nisu bile povezane
- nije postojao nadzor neuobičajenih prijava
Ukratko:
napad nije zahtijevao napredne tehnike.
Sustav je bio otvoren.
Ovo je klasičan primjer onoga što sigurnosni stručnjaci nazivaju low-hanging fruit attack.
U našem ranijem blogu objasnili smo osnove jakih lozinki, a ovaj incident iz Louvrea potvrđuje zašto te osnove ostaju ključne za sigurnost lozinki 2025.
Zašto je sigurnost lozinki 2025. ključna za softverske tvrtke
Današnja softverska okruženja složenija su i izloženija više nego ikad.
Tvrtke se oslanjaju na:
- cloud infrastrukturu
- udaljeni pristup
- API-je i integracije
- interne dashboarde
- CI/CD pipelineove
- mikroservise
- IoT uređaje
- razvojna i produkcijska okruženja
Svaki od ovih sustava predstavlja potencijalnu ulaznu točku.
Većina kibernetičkih napada ne počinje sofisticiranim hakiranjem, nego:
- slabim lozinkama
- procurjelim tokenima
- dijeljenim admin računima
Incident u Louvreu samo je ekstreman, dobro poznat primjer.
Što je MFA i zašto ga trebaš koristiti posvuda
MFA (Multi-Factor Authentication) znači potvrđivanje identiteta kroz dva ili više faktora:
Nešto što znaš – lozinka, PIN
Nešto što imaš – telefon, sigurnosni ključ, aplikacija
Nešto što jesi – otisak prsta, lice, iris
Tipičan MFA login:
- uneseš lozinku
- dobiješ jednokratni kod
- potvrdiš prijavu
Čak i ako lozinka procuri, MFA blokira uljeza.
Da je MFA bio uključen u Louvreu:
- neuobičajene prijave bile bi detektirane
- kamere se ne bi mogle isključiti
- pristup bi bio odbijen
Ne bi spriječilo fizičku krađu, ali bi spriječilo digitalne uvjete koji su omogućili pljačku.
Sigurnost lozinki 2025: minimum koji se ne smije preskočiti
- Jedinstvene lozinke za svaki sustav
Korištenje iste lozinke posvuda pretvara jedan propust u potpunu kompromitaciju. - Password manager za cijelu organizaciju
Bitwarden, 1Password, Dashlane… Odaberi alat i uvedi ga kao standard. - Redovita rotacija kritičnih računa
Admin i servisni računi rotiraju se najmanje dva puta godišnje. - RBAC (Role-Based Access Control)
Ne treba svatko admin ovlasti.
Ne treba svatko pristup produkciji.
Ne treba svatko sve. - Zero Trust filozofija
Ništa se ne podrazumijeva.
Svaki zahtjev mora biti provjeren. - Segmentacija pristupa
Ako jedan ugroženi račun može do svih sustava, to nije arhitektura, to je rizik.
Kako sigurnost lozinki 2025 utječe na moderne softverske timove
Softverski timovi rade s:
- git repozitorijima
- deploy ključevima
- API tokenima
- CI/CD tajnama
- staging i production bazama
- pristupima u cloudu
- internim timskim alatima
Najčešći sigurnosni propusti događaju se kada:
- lozinke ili tokeni završe u javnim repozitorijima
- zadani admin računi ostanu nepromijenjeni
- MFA se isključuje jer “smeta”
- staging i produkcija dijele iste pristupe
- Wi-Fi nije segmentiran
- koriste se dijeljeni računi radi “praktičnosti”
Drugim riječima:
ako je Louvre pao zbog jedne slabe lozinke, može i bilo koja softverska tvrtka koja sigurnost ne shvaća ozbiljno.
Kako zaštititi svoju organizaciju (bez usporavanja tima)
Uvedi MFA svugdje
E-mail, dashboardi, serveri, cloud, repozitoriji…
MFA dodaje ključni sloj zaštite ako lozinka zakaže.
Segmentiraj pristup prema ulozi
Developerima ne treba pristup računovodstvu.
Adminima ne treba stalni pristup produkciji.
Ojačaj sustave
- isključi zadane portove
- ograniči pokušaje prijave
- implementiraj firewalle i IDS/IPS
- razdvoji staging i produkciju
Godišnji sigurnosni auditi i pentestovi
Najmanje jednom godišnje. Češće ako radiš s osjetljivim podacima.
Redovite revizije pristupa
Zaposlenici koji odlaze gube pristup isti dan.
Obvezan password manager za cijeli tim
Jedan alat. Jedna politika. Nema iznimki.
Louvre nam je dao upozorenje. Vrijeme je da ga poslušamo.
Incident s lozinkom u Louvreu puno je više od zanimljivog naslova.
On je dokaz da:
- sigurnosni propusti počinju od najjednostavnijih grešaka
- MFA više nije opcionalan
- higijena lozinki ostaje temelj svake zaštite
- Zero Trust nije trend nego nužnost
- sigurnost lozinki 2025 mora biti prioritet svake organizacije
Između sigurnog sustava i višemilijunskog gubitka ponekad stoji samo:
Jedna.
Jedina.
Lozinka.
Pobrini se da tvoja ne bude “Louvre”.
Za dodatne informacije o softveru, sigurnosti i digitalnim praksama, pogledaj i ostale članke na našem blogu.