Bas to je najveci problem sto svi koriste isti pass za sve, hakens na jednom haknio si svagdi. A znam i za takve klijente i ovaj iz skucaja gore je imao slicnu zelju ali kad sam mu sa ozbiljnom pogledom rekao ne shvatio me je ozbiljno pa smo trazili alternative.
Svega sam se nagledao u karijeri, brojevi kreditne kartice, cvv , exp date, drzavna firma, jedno 50k kartica u pure plain textu, site imao sql injectable polja.... to je bilo prije pci dss, sad je to malo bolje, svima naporno ali bolje iako i dalje ima svega.
2 factor auth na svemu bitnom, passkey je dobra stvar ali ja volim znat svoj pass.
Razlicit pass na svemu bitnom, a na nebitnom ja jos nakon istog passa dodam domenu, dovoljno da skripte failaju a skripte su 99.999 posto pokusaja hackanja, nece se skripta pretjerano trudit pokusavat skuzit password, par matchanih passworda ce probat ako ne prolazi ide dalje.
Isto tako volim korisitit mail+nesto@gmail na gmailu tako da znam odakle breach dolazi, problem je sto dosta sajtova ne dozvoljava + u emailu.
Uglavnom se najbitnije zastiti od skripti, jer rijetko kad je osoba ko osoba meta napada, onda se cesce ide na social engineering. Sad sta ce nam ai/ml donit koji je sposoban prokuzit dodavanje domene i emaila u password, tesko je znat, ali opet mala je vjerojatnost da ce neko koristiti skupe resurse da skripta pokusa pogoditi razliku passworda ukoliko nisi highly exposed persona.