Zašto su jake lozinke važne, kako ih stvoriti i kako ih pamtiti bez muke
Posljednja izmjena:
Znate li?
< 1 sek
Toliko treba da se probije lozinka "123456" modernim računalom
1,1 mlrd
Kompromitiranih lozinki u HaveIBeenPwned bazi podataka
81%
Provaljenih računa koristi slabu ili ukradenu lozinku (Verizon DBIR)
51%
Korisnika koristi istu lozinku na više različitih stranica
2 sata
Prosječno potrebno za probijanje lozinke od 8 znakova bez posebnih znakova
tisuće god.
Koliko bi trebalo probiti dobru frazu poput "nebo-rijeka-planina-sunce"
Što se može dogoditi s probijenom lozinkom
Probijanje lozinke najčešće nije ciljani napad na vas osobno — napadači koriste automatizirane alate koji u sekundi isprobavaju milijune kombinacija na ukradenim bazama podataka. Ako koristite slabu ili ponavljanu lozinku, samo je pitanje vremena.
💳
Financijska krađa
Pristup bankovnim ili PayPal računima, neovlaštene kupnje, transferi novca. Oporavak može trajati tjednima uz veliku birokratsku muku.
📧
Preuzimanje e-maila
E-mail je ključ svega — tko ga ima, može resetirati lozinku za svaki drugi servis. Jedan kompromitirani račun može pokrenuti lančanu reakciju.
🪪
Krađa identiteta
Osobni podaci koriste se za otvaranje kredita, lažnih profila ili ucjenu. Oporavak od krađe identiteta prosječno traje 200 sati rada.
🔒
Ransomware
Napadač zaključa vaše datoteke i traži otkupninu. Česta ulazna točka su upravo slabe ili ponavljane lozinke za udaljeni pristup.
💬
Zlouporaba profila
Slanje spam poruka vašim kontaktima, objavljivanje lažnog sadržaja ili traženje novca u vaše ime — sve dok ne primijetite što se dogodi.
🏢
Poslovne posljedice
Probijanje poslovnog računa može rezultirati curenjem podataka klijenata, novčanim kaznama po GDPR-u i gubitkom reputacije tvrtke.
Fraza ili nasumična lozinka — što je bolje?
Kratka ali kompleksna lozinka dugo je smatrana zlatnim standardom. Suvremena istraživanja pokazuju da su dugačke fraze od nekoliko poznatih riječi jednako sigurne — a daleko lakše za pamćenje.
✗ Tipična lozinka
X8#mK2@p
Teška za zapamtiti — mozak loše pamti nasumične nizove
Lako za unijeti pogrešno — posebno na mobilnom
Korisnici je pišu na papir ili koriste istu svugdje
Rječničke varijante ("P@ssw0rd") alati odmah prepoznaju
✓ Fraza od riječi
nebo-rijeka-planina
Lako za zapamtiti — mozak pamti priče i slike
Lako za unijeti čak i na tipkovnici mobitela
Drugačija svaki put, nema potrebe za ponavljanjem
Nije u rječnicima napada — kombinacija je jedinstvena
Preporučena jačina po vrsti računa
Preporuke su minimumi — uvijek možeš jače. Za lozinke koristi kombinaciju malih i velikih slova, brojeva i posebnih znakova. Fraze su sigurne i pamtljive čak i bez posebnih znakova.
Vrsta računaFrazaLozinka
🔑 Master lozinka5+ riječi20+ znakova, svi tipovi
📧 E-mail, cloud4+ riječi16+ znakova
🏦 Banka, financije4+ riječi16+ znakova
💼 Posao, VPN4+ riječi14+ znakova
📱 Društvene mreže3+ riječi12+ znakova
🛍 Kupovina, forumi3+ riječi10+ znakova
Geslar razine lozinki: Osnovna (8–12 zn.) · Dobra (13–16 zn.) · Jaka (17–20 zn.) · Maksimalna (21–32 zn.) — duljina se odabire nasumično unutar raspona svaki put.
Zašto koristiti upravitelja lozinki
Prosječan korisnik ima 100+ online računa. Nemoguće je zapamtiti jedinstvenu jaku lozinku za svaki. Upravitelj lozinki to rješava — vi pamtite samo jednu master lozinku, ostalo on pamti za vas.
🔑
Jedna master lozinka
Pamtite samo jednu dugačku, jaku lozinku. Upravitelj pamti sve ostale umjesto vas — sigurno enkriptirano u vašoj Škrinji.
🔀
Jedinstvena za svaku stranicu
Svaki račun dobiva svoju posebnu lozinku. Ako jedna procuri, ostale su potpuno sigurne — nema lančane reakcije.
⚡
Automatsko popunjavanje
Upravitelj prepoznaje stranicu i sam popunjava lozinku. Brže od pamćenja, bez grešaka pri tipkanju.
🔔
Upozorenje na curenja
Automatska provjera je li vaša lozinka pronađena u poznatim curenjima podataka — odmah vas obavijesti da je promijeni.
📱
Sinkronizacija uređaja
Vaše lozinke dostupne na računalu, mobitelu i tabletu — sve sinkronizirano i sigurno enkriptirano u oblaku.
🛡️
Zaštita od phishinga
Upravitelj popunjava lozinke samo na pravoj domeni. Na lažnoj stranici neće ponuditi popunjavanje — izvrsna zaštita od phishing napada.
Zašto Geslar Škrinjar
G
Geslar besplatanlokalan
Hrvatski password manager s AES-256-GCM enkripcijom i zero-knowledge arhitekturom. Local-first — podaci su po zadanom lokalni, a sinkronizacija s oblakom vaš je izbor (Premium). Ugrađeni TOTP 2FA, auto-fill, zdravlje Škrinje i sigurno slanje — osnovno besplatno. Jedini upravitelj s generatorom fraza na hrvatskom.
Čak i ako netko sazna vašu lozinku, 2FA ga sprječava da se prijavi — bez drugog faktora (vašeg mobitela ili uređaja) pristup je nemoguć. Multifaktorska autentikacija (MFA) kombinira dva ili više od sljedećih faktora:
🧠
Nešto što znate
lozinka, PIN
📱
Nešto što imate
mobitel, hardverski ključ
👆
Nešto što jeste
otisak prsta, Face ID
📲
Autentikacijska aplikacija
Google Authenticator, Authy ili 2FAS generiraju jednokratne kodove (TOTP) koji istječu za 30 sekundi. Najsigurnija svakodnevna opcija — ne može se presresti kao SMS.
💬
SMS kôd
Kôd dolazi porukom na mobitel. Bolje od ničega, ali ranjivo na SIM swapping napade — netko može preuzeti vaš broj i primiti kôd. Koristite samo ako nije dostupna druga opcija.
🔐
Hardverski ključ
YubiKey ili sličan USB/NFC uređaj koji fizički pritisnete za prijavu. Najpouzdanija opcija — ne može se remotely kompromitirati ni phishingom. Preporučeno za visokorizične račune.
👆
Biometrija
Otisak prsta ili Face ID kao drugi faktor — praktično i sigurno na modernim uređajima. Biometrijski podaci ostaju lokalno na uređaju i ne šalju se na server.
📋
Backup kodovi
Jednokratni kodovi za hitni pristup ako izgubite mobitel ili pristup 2FA aplikaciji. Svaki se koristi samo jedanput — pohranite ih sigurno: isprintajte ili stavite u upravitelja lozinki.
🗝️
Passkey (bez lozinke)
Novi standard koji zamjenjuje i lozinku i 2FA — kriptografski ključ pohranjen na uređaju, otključava se biometrijom ili PIN-om. Otporan na phishing. Podržan na Googleu, Appleu i Microsoftu.
Na kojim računima obavezno uključiti 2FA
E-mail (Gmail, Outlook…) — ključ za resetiranje svega ostalog
Bankovni i financijski računi — PayPal, kripto burze, internetsko bankarstvo
Upravitelj lozinki — štiti sve ostale lozinke odjednom
Poslovni alati — Microsoft 365, Google Workspace, Slack, GitHub
Društvene mreže — Facebook, Instagram, LinkedIn, Twitter/X
Cloud pohrana — Google Drive, iCloud, Dropbox
Preporučeni redoslijed sigurnosti: Autentikacijska aplikacija > Hardverski ključ > Biometrija > SMS > Bez 2FA. Čak i SMS 2FA smanjuje rizik probijanja za više od 99% u usporedbi s korištenjem same lozinke.
Geslar Ključar — 2FA autentikator
Naš izbor: Geslar Ključar — mobilni autentikator iz Geslar ekosustava. AES-256-GCM enkripcija, lokalno bez oblaka, uvoz iz 7 autentikatora. Besplatno, bez registracije. Preuzmi Ključar →
GK
Geslar Ključar besplatanoffline
Mobilni TOTP/HOTP autentikator s AES-256-GCM enkripcijom. Svaki ključ enkriptiran zasebno, biometrijsko otključavanje, uvoz iz Google Authenticatora, Aegis, 2FAS, Raivo, andOTP, FreeOTP+ i Geslar. Potpuno lokalno — bez oblaka, bez registracije, bez praćenja. Android i iOS.
Savjet: Backup 2FA kodova pohranite odvojeno od mobitela — u upravitelju lozinki ili isprintane na sigurnom mjestu. Gubitak mobitela bez backupa može vas trajno zaključati iz računa.
Sigurno slanje lozinke
Funkcija Sigurno slanje enkriptira lozinku lokalno (AES-256-GCM + PBKDF2) prije nego što napusti uređaj. Server pohrani isključivo enkriptirani sadržaj — ključ za dekriptiranje nalazi se samo u dijelu URL-a koji server nikad ne vidi (#fragment). Primatelj dekriptira lokalno u svom browseru.
⏱
Rok trajanja
Link automatski istječe nakon 1–90 dana. Nakon isteka enkriptirani payload briše se s poslužitelja — link postaje neupotrebljiv.
⚡
Jednokratni link
Opcija koja briše link odmah pri prvom otvaranju. Primatelj vidi obavijest da je link obrisan — nema mogućnosti ponovnog pristupa.
👁
Limit pregleda
Server broji koliko je puta link otvoren. Nakon dostignutog limita (zadano: 3) link se automatski briše. Postavlja se pri generiranju.
🔒
PIN zaštita
Neobavezni 4–8 znamenkasti PIN kao drugi sloj zaštite. PBKDF2 (200 000 iteracija) — PIN nikad ne napušta uređaj, server ga ne vidi ni ne pohranjuje.
▦
QR kod
Link se može podijeliti i kao QR kod direktno iz aplikacije. QR se generira lokalno — ne šalje se nikamo.
🛡
Rate limiting
Server ograničava broj zahtjeva po IP adresi (120/sat) kako bi spriječio automatiziranu zloupotrebu ili brute-force napade na PIN.
Što link štiti, a što ne
Što je sigurno
Sadržaj enkriptiran AES-256-GCM — server vidi samo šifrirani niz
Ključ za dekriptiranje nikad ne napušta URL fragment (#) — server ga ne prima
Link istječe automatski (1–90 dana)
Jednokratni link ili limit pregleda — server kontrolira broj pristupa
PIN kao drugi faktor — PBKDF2, server ga nikad ne vidi
Dekriptiranje se odvija lokalno u browseru primatelja
Ograničenja
Netko tko presretne cijeli URL (uključujući #fragment) ima pun pristup — osim ako je postavljen PIN
Nema obavijesti o tome je li link već otvoren
Link nije moguće opozvati prije isteka roka — jedino čekati da istekne ili da se dostigne limit
Sigurnost ovisi o tome komu i kako dijelite URL
Preporuka: Za osjetljive podatke koristite jednokratni link i neobavezni PIN. Koristite što kraći rok trajanja. Odmah nakon što primatelj potvrdi primitak, smatrajte lozinku kompromiranom i promijenite je na tom servisu.
Kako Geslar štiti vaše podatke
Geslar koristi zero-knowledge arhitekturu — vaši podaci enkriptiraju se i dekriptiraju isključivo na vašem uređaju. Ni poslužitelj ni razvojni tim nikada ne vide vaše lozinke u nekriptiranom obliku.
🔐
AES-256-GCM enkripcija
Svi osjetljivi podaci enkriptiraju se algoritmom AES-256-GCM — istim standardom koji koriste vojne i financijske institucije. Enkripcija se izvršava lokalno u vašem pregledniku.
🔑
PBKDF2 derivacija ključa
Vaš glavni ključ prolazi kroz PBKDF2 s 200 000 iteracija prije nego postane enkripcijski ključ. To drastično otežava brute-force napade čak i na slabije lozinke.
🛡
Lokalna obrada
Generiranje lozinki, provjera jačine i analiza fraza odvijaju se potpuno lokalno. Vaše lozinke nikada ne napuštaju uređaj — ništa se ne šalje na server.
🕵
k-Anonymity provjera curenja
Provjera putem HaveIBeenPwned koristi k-Anonymity protokol — šalje se samo prvih 5 znakova SHA-1 hasha. Vaša puna lozinka nikada ne napušta uređaj ni u hashiranom obliku.
📡
Bez praćenja i analitike
Geslar ne koristi kolačiće, analitičke alate ni skripte za praćenje. Nema Google Analytics, Facebook Pixel ni bilo kakvog prikupljanja podataka o korisnicima.
📦
Samostalni fontovi i resursi
Svi resursi (fontovi, skripte, stilovi) posluživani su s vlastite domene. Nema poziva prema Google Fonts, CDN-ovima trećih strana ili vanjskim servisima koji bi mogli pratiti korisnike.
Usklađenost sa standardima
Geslar je dizajniran s obzirom na vodeće sigurnosne standarde i regulativu. Iako je Geslar aplikacija za osobnu upotrebu, slijedimo ista načela koja se očekuju od profesionalnih sigurnosnih rješenja.
🇪🇺
GDPR
Potpuna usklađenost s Općom uredbom o zaštiti podataka. Ne prikupljamo osobne podatke. Nema kolačića, nema praćenja. Svi podaci obrađuju se lokalno na uređaju korisnika. Više u politici privatnosti →
📋
ISO 27001
Geslarove sigurnosne mjere usklađene su s kontrolama iz ISO 27001 Dodatka A: upravljanje kriptografskim ključevima (A.8.24), zaštita podataka u mirovanju (A.8.5) i upravljanje pristupom (A.8.9).
🏛
NIS2 direktiva
Dobrovoljno primjenjujemo mjere upravljanja sigurnosnim rizicima iz članka 21. NIS2 direktive: enkripciju podataka, sigurnu autentikaciju, zaštitu lanca opskrbe (bez vanjskih ovisnosti za kritične funkcije) i redovite sigurnosne provjere.
🇺🇸
NIST smjernice
Slijedimo NIST SP 800-63B preporuke: podržavamo dugačke fraze umjesto forsiranja složenosti, ne zahtijevamo periodičnu rotaciju lozinki i provjeravamo lozinke protiv poznatih curenja (HaveIBeenPwned).
Iako Geslar nije subjekt obvezan Direktivom NIS2, dobrovoljno se usklađujemo s mjerama upravljanja sigurnosnim rizicima iz NIS2 (čl. 21) — kako bi nas tvrtke koje jesu obvezane NIS2 mogle bez brige uvrstiti u svoj usklađeni sustav. Detaljan pregled sigurnosnih mjera i NIS2 (čl. 21) usklađenosti dostupan je na zahtjev; ugovor o obradi (DPA po čl. 28) nudimo poslovnim korisnicima.
Transparentnost: Besplatni Geslar Škrinjar radi potpuno lokalno — bez računa, bez registracije, bez prikupljanja podataka. Premium sinkronizacija je opcionalna i zahtijeva račun; tada pohranjujemo samo nužne identifikacijske i naplatne metapodatke (detalji u Politici privatnosti). Jedina vanjska komunikacija u lokalnom modu je anonimna provjera lozinki putem HaveIBeenPwned API-ja (k-Anonymity).
Česti mitovi o lozinkama
❌ "Sigurniji sam jer koristim malo poznatu stranicu"
Upravo manje poznate stranice često imaju lošiju sigurnosnu infrastrukturu. Curenja podataka događaju se svakodnevno na svim vrstama servisa — od velikih do malih.
❌ "Lozinka mi je jaka jer sadrži broj i veliki znak"
"Password1" ispunjava te kriterije, ali probija se u sekundi. Predvidivi uzorci (P@ssw0rd, Ime1234) prvi su na listama rječničkih napada.
❌ "Mijenjam lozinku svaka 3 mjeseca — siguran sam"
NIST više ne preporučuje prisilnu rotaciju lozinki. Česta promjena potiče korisnike da koriste slabije i predvidivije lozinke (npr. dodavanje broja na kraju). Mijenjajte samo ako sumnjate da je kompromitirana.
❌ "Pamtim lozinku u browseru — to je dovoljno"
Browser lozinke nisu enkriptirane na isti način kao namjenski upravitelju. Na dijeljenom računalu ili uz pristup profilu, lozinke su lako dostupne. Namjenski upravitelj nudi znatno jaču zaštitu.
❌ "Mene nitko neće ciljati — nisam važan"
99% napada nije ciljano na osobu nego na popis lozinki iz procurlih baza. Automatizirani botovi bez prestanka isprobavaju kombinacije na milijunima računa — nema razlike jeste li "važni" ili ne.
Sigurnosni savjeti — brzi pregled
✓ Radite ovo
Koristite različitu lozinku za svaki račun
Koristite upravitelja lozinki
Uključite 2FA na svim važnim računima
Koristite fraze — duge i pamtljive
Redovito provjeravajte curenja — koristite Provjeri lozinku na Geslaru
Master lozinka treba biti najjača od svih
Koristite jedinstven e-mail alias za osjetljive servise
✗ Izbjegavajte ovo
Pisanje lozinki na papir ili u nešifrirani dokument
Ista lozinka na više mjesta (pa i s malim varijacijama)
Osobni podaci u lozinci — ime, datum, grad
Dijeljenje lozinke putem e-maila ili SMS-a
Prijava na osjetljive račune na javnom Wi-Fi-ju bez VPN-a
Pohrana lozinki u browser bez master lozinke
Ignoriranje upozorenja o curenju podataka
Preuzmite kontrolu nad svojim lozinkama
AES-256-GCM enkripcija, lokalno, besplatno za osnovno korištenje.
Ako ste otkrili sigurnosni propust u Geslaru — generatoru, Škrinjar proširenju, Ključar aplikaciji ili infrastrukturi — molim Vas da ga prijavite odgovorno. Cijenimo rad sigurnosnih istraživača i obvezujemo se na pravovremeni odgovor.
Kontakt
Pošaljite e-mail s opisom problema, koracima za reprodukciju i potencijalnim utjecajem. Po mogućnosti enkriptirajte poruku PGP-om.
U dosegu su: geslar.app, *.geslar.app, Škrinjar Chrome/Firefox/Edge proširenje, Ključar Android/iOS aplikacija. Izvan dosega: third-party servisi (Cloudflare, Creem — platni posrednik za privatne pretplate), social engineering, fizički pristup, DoS testiranje.
Naš odgovor
Potvrda primitka unutar 48h. Inicijalna procjena unutar 7 dana. Prioritetni popravak za kritične i visoko-rizične ranjivosti. Javno priznanje (uz Vaš pristanak) nakon riješavanja.