Proboj od 16 milijardi lozinki: Što se zapravo dogodilo? U lipnju 2025. , istraživači cyber sigurnosti iz Cybernews otkrili su jedno od najvećih curenja pristupnih podataka ikada zabilježenih: više od 16 milijardi podataka za prijavu raspršenih po otprilike 30 velikih skupova podataka bilo je slobodno dostupno na internetu. Umjesto pojedinačnog proboja, ovo curenje rezultat je godina tajnog zaraze uređaja infostealer malverom, koji je tiho izvlačio sve od lozinki i kolačića do aktivnih tokena sesija i povijesti prijava na webu. Mnoge vjerodajnice i danas su važeće, utječući na velike platforme poput Googlea, Applea, Facebooka, Telegrama, GitHub-a, pa i na različite državne sustave. Neki skupovi podataka sadržavali su do 3, 5 milijardi unosa, a tijekom određenog razdoblja velik dio tih podataka bio je dostupan na javnim poslužiteljima bez potrebe za hakerskim vještinama. Samo u 2024. godini, infostealer malver je ukrao 2, 1 milijardu vjerodajnica, što čini gotovo dvije trećine svih ukradenih vjerodajnica tim alatima, čime se ističe rastuća prijetnja. Zašto curenje od 16 milijardi lozinki otkriva ograničenja tradicionalnih sustava prijave Ovo curenje ističe temeljne ranjivosti tradicionalnih sustava identiteta koji su još uvijek u širokoj uporabi. Ponovno korištenje lozinki je uobičajeno, pa kada je jedna lozinka kompromitirana, napadači mogu pristupiti drugim uslugama putem napada sličnih lozinkama (credential stuffing). Prisutnost tokena sesija—digitalnih ključeva za autentificirane račune—u tim probojima pogoršava problem. S alatima za malver kao usluga dostupnima na tržištu, napadači mogu kupiti ukradene podatke i automatizirati preuzimanje računa bez izravnog ciljanog napada na žrtve. Ovi čimbenici stvaraju idealne uvjete za krađu identiteta, financijsku prijevaru i narušavanje privatnosti, što ukazuje da dvostruka autentifikacija (2FA) i upravitelji lozinki sami po sebi nisu dovoljna zaštita. Stoga se sve više pažnje usmjerava na temeljna rješenja poput blockchain-baziranih sustava digitalnog identiteta koji se ne oslanjaju na lozinke. Potreba za autentifikacijom bez lozinki i blockchainom Nakon ovakvih proboja, ponovno se pojavljuje uobičajeni savjet: koristite snažne, jedinstvene lozinke; usvojite upravitelje lozinki poput 1Password ili Bitwarden; omogućite 2FA; pređite na paskeye koristeći biometriju; i pratite curenja putem alata za skeniranje tamnog weba. Iako su korisni, to su samo privremena rješenja za sustav koji nedostaje otpornosti.

Korisnici i dalje ostaju izloženi phishing napadima, malverima i ranjivim aplikacijama. Kako proboji postaju sve opširniji i sofisticiraniji, stručnjaci sve više zagovaraju upravljanje identitetom putem Web3 tehnologije za dugoročna sigurnosna poboljšanja. Omogućavanjem autentifikacije bez lozinki putem blockchaina, cilja se na evoluciju cyber zaštite od reaktivne obrane prema proaktivnim i infrastrukturnim razinama—doslovno zamjenjujući pokvareni sustav. Naime, računalni sustavi s lozinkama potječu još iz 1960-ih, kada je MIT razvio kompatibilni sustav dijeljenih vremena, što potvrđuje da ranjivosti lozinki nisu novost. Može li blockchain digitalni identitet biti rješenje? S obzirom na bilijune izloženih lozinki, pitanje je zašto i dalje ovisimo o lozinkama. Mnogi developeri, institucije i zagovornici privatnosti sada vide blockchain-bazirani digitalni identitet kao nužnu alternativu. Što rješava blockchain digitalni identitet Decentralizirani identiteti pokretani blockchainom preokreću tradicionalni model tako da vlasništvo i kontrolu digitalnih identiteta vraćaju korisnicima putem self-sovereign identity (SSI). Umjesto centraliziranih baza podataka podložnih velikim probojima, blockchain koristi decentralizirane identifikatore (DID-ove)—jedinstvene privatne ključeve pohranjene na lancu, koji pripadaju isključivo korisniku—bez centralnog trezora za napad. Ključne prednosti uključuju: - Nema jednog točke kvara: Za razliku od centraliziranih sustava s milijunima vjerodajnica, blockchain identiteti nemaju jedan poslužitelj koji je moguće kompromitirati. - Minimalno otkrivanje podataka: Korištenjem vjerodajnica za provjeru (Verifiable Credentials), korisnici mogu potvrditi svoje osobine (npr. dob ili obrazovanje) bez dijeljenja cjelovite identifikacijske dokumentacije. Napredni sustavi dokaza s nultom saznajnošću omogućuju potvrdu tvrdnji (npr. " Imam više od 18 godina") bez otkrivanja osnovnih podataka. - Otporni na manipulacije i provjerljivi: Vjerodajnice izdane digitalnim novčanicima korisnika kriptografski su potpisane i označene vremenom, što onemogućava falsificiranje ili neotkrivenu izmjenu. Ovaj paradigm—self-sovereign identitet—temeljito zamjenjuje današnju ranjivu infrastrukturu identiteta. Tko testira rješenja digitalnog identiteta putem blockchaina? Iako je još u razvoju, upravljanje identitetom u Web3 području ostvaruje konkretne pomake. Europska unija provodi eIDAS 2. 0 i Europsku infrastrukturu blockchain usluga (EBSI) radi izdavanja zaštićenih digitalnih diploma i vjerodajnica u svim državama članicama. Njemačka i Južna Koreja testiraju sustave digitalnog identiteta temeljenog na blockchainu koji bi mogli zamijeniti fizičke iskaznice na nacionalnoj razini. U međuvremenu, start-upovi kao što su Dock Labs, Polygon ID i TrustCloud razvijaju platforme koje omogućuju pojedincima kreiranje, upravljanje i selektivno dijeljenje vjerodajnica za pristup državnim službama, bankarstvu, obrazovanju i drugome. Ukratko, curenje od 16 milijardi lozinki otkriva ključne nedostatke zastarjelih sustava prijave i ističe potrebu za inovativnim, blockchain-baziranim rješenjima identiteta koja obećavaju veću sigurnost, privatnost i kontrolu korisnika.