Vodič za bezbedno upravljanje lozinkama

katanac sigurnost

Jedan od najvažnijih aspekata bezbednosti pojedinaca i kompanija je korišćenje kvalitetnih lozinki. U prethodnom članku smo pisali o bezbednosti web sajta, gde je bilo reči o odabiru dobrih lozinki, a u ovom tekstu ćemo detaljnije obraditi tu temu.

Prošlo je vreme kada je za kvalitetnu lozinku bilo potrebno oko 6 karaktera. Postali smo digitalno društvo, sve je na mreži, a to zahteva podizanje nivoa sigurnosti pristupa osetljivim podacima. Hakeri su razvili programe koji imaju ogromnu bazu već upotrebljenih lozinki, do kojih su došli upadima u sisteme raznih sajtova. Ti programi koriste sve moguće verzije reči iz rečnika, čak vrše i zamenu slova brojevima, kao na primer E=3, i=1, A=4, što se nekada smatralo dovoljnom promenom za kreiranje dobre šifre.

Kako i zašto dolazi do kompromitovanja lozinki?

  • Neko želi da vam naškodi, preuzme sajt, email nalog, kontakt listu, naloge na društvenim mrežama…
  • Hakeri jednostavno žele da pristupe vašem hosting nalogu, sajtu ili email nalogu radi daljih zloupotreba, širenja virusa putem vašeg sajta, vršenja DoS napada, slanja spam poruka i slično.

Do toga dolazi na sledeće načine…

  • Brute-force napadom. Uzastopnim pokušajima pristupanja servisu upotrebom velikog broja lozinki.
  • Hakerskim upadom u bazu podataka servisa koji koristite i krađom podataka korisnika.
  • Upotrebom suviše jednostavnih lozinki ili korišćenjem iste lozinke na više sajtova.
  • Neopreznim korišćenjem računara i interneta (virusi, fišing i slično).

Sa razvojem tehnologije povećava se opasnost od sajberkriminala. Zato je sada izuzetno važno koristiti neprobojne lozinke pri prijavi na sajtove i servise.

Šta sve treba da sadrži dobra lozinka?

Lozinka mora da bude jedinstvena. Nikada nemojte da upotrebljavate istu lozinku za prijavu na više sajtova. Ukoliko bi se dogodio zlonamerni upad u jedan sajt i vaši pristupni podaci postanu otkriveni, zloupotreba bi lako mogla da se proširi na druge naloge i servise, na kojima ste postavili istu lozinku.

Pokušajte da osmislite lozinku koja ima bar 10 karaktera. Više nije dovoljno da šifra ima 6 karaktera, mada većina sajtova još uvek dozvoljava korišćenje takvih lozinki. Što je lozinka duža, teže ju je probiti.

Napravite dovoljno kompleksnu šifru. To znači da nećete koristiti imena, mesta, reči… Treba da koristite velika i mala slova, brojeve i znakove.

Kako napraviti dugačku i kompleksnu lozinku?

Možete smisliti neku rečenicu koju ćete lako zapamtiti, ili frazu ili stih pesme, a onda početna ili poslednja slova pretvoriti u šifru uz upotrebu malih i velikih slova. Na primer: “Najbolje sam se proveo na letovanju na Kritu u Grčkoj 2014 godine”. Od toga može nastati recimo sledeća lozinka “NsspnlnKuG14g!”. To je već lozinka od 14 karaktera, kompleksna i jedinstvena, bez reči i imena. Kombinacije su neograničene, jer sve zavisi od vaše inspiracije. Ali jedno je sigurno, imaćete kvalitetnu šifru koju samo vi znate.

Pamćenje lozinki i upotreba menadžera

Kada imate više ovakvih komplikovanih lozinki, problem predstavlja njihovo pamćenje, odnosno zaboravljanje. U takvoj situaciji rešenje će vam biti upotreba aplikacije za upravljanje lozinkama, kao što su na primer LastPass i KeePass. To su aplikacije kroz koje u kriptovanu bazu ubacujete sve šifre koje su vam bitne i koje ćete automatski koristiti odlaskom na sajtove gde treba da se prijavite. Dovoljno je da osmislite jednu glavnu, izuzetno jaku šifru za pristup bazi sa lozinkama, a posle ćete u bazi čuvati lozinke za razne servise, sajtove, pa čak i razne druge vama bitne i tajne podatke. Sve lozinke su kriptovane uz pomoć vaše glavne lozinke koja se koristi kao ključ i nalaze se na sigurnom. Baza je neupotrebljiva bez vaše glavne lozinke. Ove aplikacije vam takođe mogu i generisati nasumičnu šifru i olakšati registraciju na novim internet servisima i sajtovima.

Prilikom upotrebe LastPass-a možete aktivirati i dvo-faktorsku autentifikaciju koja će bezbednost podići na još viši nivo, a zahtevaće da prilikom prijave unesete dodatnu šifru koju čitate sa mobilnog telefona iz aplikacije Google Authenticator.

LastPass ima besplatnu verziju za upotrebu na računarima, ali ukoliko želite da vam lozinke budu dostupne i na mobilnim uređajima, moraćete da pređete na premijum verziju koja se plaća. Premium verzija takođe nudi i više opcija za multi-faktorsku autentifikaciju.

KeePass je potpuno besplatno rešenje koje takođe čuva sve vaše lozinke u kriptovanoj bazi i može da generiše nove, ali ih skladišti na vašem računaru, pa zbog toga one nisu dostupne sa svakog uređaja. Možete i njegovu bazu čuvati recimo na USB fleš disku i tako uvek nositi sve lozinke sa sobom, ako ne želite da koristite „cloud“ rešenje koje nudi LastPass.

Oporavak lozinke

Kada koristite određene sajtove sa registracijom i prijavom, dobro je da u napred proverite mogućnosti i po potrebi podesite alternativne email adrese i načine za oporavak lozinke. U slučaju da zaboravite pristupne parametre, možete da zatražite resetovanje lozinke, a link za unos nove lozinke će vam biti poslat na email adresu iz naloga. Važno je da ta email adresa uvek bude aktuelna, jer će vam u suprotnom email biti poslat na adresu koju više ne koristite i tada ne biste mogli da rešite problem.

Beleženje šifri na papiru

Postoje različita gledišta na zapisivanje svih lozinki u papirni notes. Ukoliko neko dođe u posed tog notesa, imaće sve vaše pristupne parametre za sve sajtove i servise. Upravo iz tog razloga je dobro notes držati u sefu, kao neku dragocenost, jer on to i jeste.

Bez prijave na javnim kompjuterima

Izbegavajte prijave na sajtove i servise preko javnih kompjutera iz kafića, hotela, aerodroma, ali ukoliko to ne možete da izbegnete, obavezno očistite istoriju i keš iz pregledača. Nikako ne prihvatajte da browser zapamti unete parametre.

Pošto su to javni računari, oni nisu dovoljno bezbedni i ne znate da li su zaraženi zlonamernim softverom koji snima unošenje podataka, a samim tim i vaše lozinke. Što se tiče ličnih računara, važno je redovno ažurirati programe, a sistem skenirati antivirusnim softverima.

Pazite se fišinga

Za odavanje lozinki su često krivi sami vlasnici, koji ne paze dovoljno pri otvaranju linkova koje dobiju u porukama. Na društvenim mrežama, u emailovima i u komentarima na sajtovima se često šire spam poruke sa linkovima koji vode na sajtove koji podsećaju na originalne, ali se nalaze na sasvim drugoj adresi. Kada im pristupite, traže da se ulogujete sa korisničkim imenom i lozinkom. Unosom svojih pristupnih podataka zapravo šaljete te podatke hakeru, koji je postavio takav lažni (fišing) sajt.

Mnogi korisnici interneta ne primete da se radi o zlonamernom sajtu i unesu svoje podatke i na taj način kompromituju svoje naloge. Važno je uvek proveriti izvor poruke i ukoliko vam deluje sumnjivo, nikako ne otvarati linkove koji se u njoj nalaze. Takođe, ukoliko posetite neku stranicu iz sumnjivih poruka, proverite da li web adresa odgovara pravoj, pre bilo kakvog unosa podataka na takvom sajtu.

A u budućnosti…

Kao što vidite, kako vreme prolazi, raste potreba za sve kompleksnijim lozinkama. Jedno od rešenja su pomenuti menadžeri lozinki, ali biće nam lakše kada se tehnologija još više razvije i kada umesto unošenja šifri budemo skenirali palac, šaku ili rožnjaču. Ti nepromenljivi i jedinstveni biometrijski podaci se mogu koristiti kao drugi faktor u prijavama, bez kojeg nije moguć pristup servisima.

Upotreba biometrijskih podataka već postoji, ali samo za određene proizvode i dostupna je malom broju ljudi. Dok takva tehnologija ne postane standardna, moraćemo da primenjujemo savete iz ovog teksta.

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Neophodna polja su označena *