Najvažnija poruka koju biste trebali naučiti o lozinkama je da biste trebali koristiti dulje lozinke. Obično se preporučuje najmanje 15 znakova. Također, ne biste trebali upotrebljavati iste lozinke na više mjesta. Ako upotrebljavate istu lozinku na više mjesta i ona iscuri ili bude otkrivena, što sprečava napadače da se prijave na druga mjesta s istom lozinkom?
Možda biste se htjeli prijaviti za primanje obavijesti o vjerodajnicama koje su iscurile na https://haveibeenpwned.com/. Ako se utvrdi curenje vaše adrese e-pošte na internetu, velika je vjerojatnost da ćete dobiti obavijest i moći ćete promijeniti lozinku prije zlouporabe.
Kako olakšati pamćenje jedinstvenih lozinki
Teško je zapamtiti veliki broj jedinstvenih lozinki. Mnogi ljudi koji koriste jedinstvene lozinke pohranjuju ih u bilješkama bilo u digitalnom obliku, u bilježnici, ili na papiru. Ako netko dobije pristup bilješkama, moći će se prijaviti na sva mjesta koja ste pohranili. Kako biste ih spriječili?
Upravitelj lozinki
Upravitelji lozinki (engl. password managers) su softveri koji pamte vaše lozinke i druge tajne o vama. Obično šifriraju sve podatke koje u njima pohranjujete, omogućavajući samo vama da koristite pohranjene podatke. Sigurnost upravitelja lozinki ovisi, kao što ćemo vidjeti u zadnjem poglavlju, o ključu, a ne o algoritmu koji se koristi. Drugim riječima, ako izgubite pristup bazi podataka koja sadrži sve vaše šifrirane lozinke, nitko drugi im ne bi mogao pristupiti bez ključa.
Nemoguće je zapamtiti dugačak ključ pa možete koristiti glavnu lozinku za dešifriranje samog ključa, koji se zatim koristi za dešifriranje podataka. U suštini, ključ je onoliko siguran koliko je sigurna vaša glavna lozinka. To je ustupak uporabljivosti nauštrb potpune sigurnosti. Glavna lozinka lakše se može zapamtiti od dugačkog ključa koji se u potpunosti sastoji od nasumičnih bitova. Međutim, glavna lozinka trebala bi biti vrlo sigurna pa bi trebala biti dugačka i teška, ako ne i nemoguća, za pogoditi. Neki upravitelji lozinki imaju druge načine oporavka vašeg računa, ali budite oprezni ako se takve oporavljene informacije pohrane izvan vaše kontrole jer to znači da bilo tko s pristupom tim oporavljenim podacima može dešifrirati vaše lozinke.
Upravitelji lozinki također vam omogućuju funkcije koje mogu generirati sigurne lozinke za uporabu. Mnogi upravitelji lozinki također vam pokazuju relativnu sigurnost lozinki koristeći nešto nalik izračunu entropije koji smo ranije vidjeli. Gotovo svi upravitelji lozinki imaju opcionalne dodatke za preglednik koji vam omogućuju da automatski ispunite informacije za prijavu na web-mjestima koje posjećujete. Većina također funkcionira na više platformi tako da možete koristiti istu aplikaciju na vašim računalima, tabletima i mobilnim telefonima.
Korisna značajka koju imaju neki upravitelji lozinki je značajka koja vas obavještava o curenju lozinki na mjestima koje koristite. Kada primite obavijest, upravitelj lozinki može vam pomoći da promijenite lozinku i izradite novu, sprečavajući napadače da se prijave s pomoću vjerodajnica koje su možda iscurile.
Prilikom odabira upravitelja lozinki, trebali biste obratiti pozornost na to gdje i kako se pohranjuju baza podataka s lozinkama i ključevima za šifriranje. Neki upravitelji lozinki omogućuju vam da pohranite lozinke u lokalnoj bazi podataka. To znači da ste vi jedina osoba koja ima pristup datoteci baze podataka. Ovisno o softveru, možda biste mogli sinkronizirati bazu podataka između računala i drugih uređaja putem različitih usluga kao što su Dropbox ili iCloud. Neki upravitelji lozinki pohranjuju bazu podataka na svojim poslužiteljima. Ovdje je ključna stvar koja utječe na sigurnost razumijevanje šifriranja i ključeva za šifriranje. Neke usluge trebaju pohraniti glavni ključ za šifriranje na svojim poslužiteljima, ali to im ujedno daje mogućnost dešifriranja baze podataka lozinki. Druge usluge, kao što je 1Password, pohranjuju bazu podataka lozinki bilo na lokaciji koju sami odaberete (samostalna verzija) ili na njihovim poslužiteljima (verzija na pretplatu). U svim slučajevima vi ste jedina osoba koja ima glavni ključ za šifriranje.
Možda ste primijetili da korištenje upravitelja lozinki stvara situaciju koja je slična stavljanju svega na jednu kartu. Ako napadač dobije pristup vašoj bazi podataka lozinki i može je dešifrirati, istovremeno ćete izgubiti sve vaše lozinke. Međutim, korištenje upravitelja lozinki uglavnom ima mnogo više pozitivnih strana u odnosu na rizik od istovremenog gubitka svih lozinki. To vam omogućuje sigurnu pohranu jedinstvenih i dugačkih lozinki što bi bilo gotovo nemoguće za zapamtiti. Gubitak jedne lozinke uslijed hakiranja web-mjesta neće riskirati druge prijave jer ne koristite istu lozinku na drugim mjestima. Da biste zaštitili svoju bazu podataka, koristite dobru i dugačku glavnu lozinku. Možete čak koristiti pristupni izraz (engl. passphrase) (ili niz nekoliko nepovezanih riječi) da biste je čak još više produljili!
Ako brinete o tome hoće li se netko domoći vaših vjerodajnica, obično možete koristiti dodatnu zaštitu, kao što je višestruka provjera autentičnosti.
Višestruka provjera autentičnosti
Višestruka provjera autentičnosti (engl. multi-factor authentication, MFA) je kada korisnik provjerava autentičnost usluge s pomoću više od jednog čimbenika. Ti se čimbenici obično definiraju kao:
nešto što znate (znanje, kao što je lozinka),
nešto što imate (predmet koji posjedujete, kao što je mobilni telefon ili fizički token),
nešto što jeste (tzv. „inherentnost“, kao što je vaš otisak prsta ili mrežnica).
Najčešći način na koji se koristi višestruka provjera autentičnosti naziva se dvostruka provjera autentičnosti (ili dvostruka provjera valjanosti). Primjer dvostruke provjere autentičnosti ili 2FA je plaćanje kreditnom karticom. Prilikom plaćanja kreditnom karticom koristite nešto što imate (kreditnu karticu) i nešto što znate (vaš PIN) za provjeru autentičnosti plaćanja.
Kombinacija korisničkog imena i lozinke i dalje je samo jedan čimbenik. I korisničko ime i lozinka ulaze u kategoriju „nešto što znate“. Neka mjesta još uvijek koriste sigurnosna pitanja kao dodatan čimbenik, osobito za oporavak lozinke, ali to je samo još jedan token u nizu. Što je još gore, odgovori na ta sigurnosna pitanja obično se vrlo lako mogu pronaći na internetu.
Višestruka provjera autentičnosti koristi se za poboljšanje sigurnosti provjere autentičnosti. Možda ste vidjeli kršenja na web-mjestima koja koristite i čuli da su iscurila korisnička imena i lozinke na internetu. Ako ne koristite višestruku provjeru autentičnosti ili češću varijantu, dvostruku provjeru autentičnosti (2FA), bilo tko s pristupom tim vjerodajnicama može ih koristiti za dobivanje pristupa računu. Ako ste upotrijebili istu lozinku na više usluga, sve su one podložne zlouporabi koju može počiniti bilo tko s pristupom vjerodajnicama. Međutim, ako imate omogućen 2FA na uslugama koje koristite, napadač bi također morao imati pristup drugom čimbeniku da bi mogao pristupiti vašem računu.
Česti drugi čimbenici uključuju:
SMS (morate imati pristup telefonu da biste se mogli prijaviti),
jednokratne lozinke (OTP), korištenjem aplikacije ili fizičkog tokena poput RSA ključa (mali uređaj koji generira jednokratne lozinke),
sigurnosne ključeve, npr. Yubikey ili Googleov Titan key,
automatske obavijesti (npr. koje se koriste putem aplikacije Google ili Microsoftove aplikacije Authenticator),
otisak prsta ili prepoznavanje lica.
Budite oprezni s SMS-om
Iako je SMS i dalje najčešće korišteni dodatni čimbenik, podložan je zlouporabi. Mnogi različiti napadi mogu se koristiti za zaobilaženje sigurnosti dobivene SMS-om. Uz to, zločinci koriste trikove da namame korisnike na unošenje svojih jednokratnih šifriranih lozinki kao odgovor na neočekivane zahtjeve, što omogućuje napadaču da koristi tu šifru u svojem napadu.
Napad društvenim inženjeringom može biti u obliku SMS-a koji vam govori da je vaš račun napadnut te da morate unijeti jednokratnu lozinku kako bi usluga mogla potvrditi da vi niste napadač. Druga strategija koja se prilično često koristi je da vas napadač nazove predstavljajući se kao službenik iz vaše banke ili druge ustanove kojoj vjerujete i traži vas da potvrdite svoj identitet zahtjevom za jednokratnu lozinku. Napadač se zatim pokuša prijaviti na vaš račun i proslijedi vam zahtjev za unosom jednokratne lozinke. Napadač se može činiti pouzdanim jer vas može upozoriti da nikome ne dajete svoje vjerodajnice (a on ih već ima!). Zapamtite: bilo koja legitimna bankarska, vladina ili službena ustanova nikada vas neće tražiti lozinku ili PIN broj.
Još jedan pružatelj tokena koji se često koristi je aplikacija za provjeru autentičnosti (engl. authenticator app). Postoji više aplikacija koje nude istu uslugu tako da možete odabrati jednu koju želite koristiti. Većina aplikacija funkcionira na više platformi i može se koristiti na većini mobilnih telefona i računala. Najčešće aplikacije za provjeru autentičnosti su Google Authenticator, Authy i Microsoft Authenticator, ali dostupne su i mnoge druge. Često aplikacija za provjeru autentičnosti treba vrijednost započinjanja (engl. seed value) s poslužitelja kako bi vama mogla generirati jednokratnu lozinku. U današnje vrijeme, najčešće se to radi skeniranjem QR koda s pomoću kamere vašeg mobilnog telefona. Vremenski ograničena šifra započinjanja obično će se obnoviti za 30 sekundi. Šifra također ima mali vremenski okvir unutar kojeg funkcionira, obično oko jedne minute.
Sigurnosni ključevi
Sigurnosni ključ je najsigurniji od prethodno spomenutih čimbenika višestruke provjere autentičnosti. Njihova je uporaba zahtjevnija od aplikacije za provjeru autentičnosti, ali ujedno nude i veću sigurnost. Ako izgubite telefon s aplikacijom za provjeru autentičnosti, mogli biste izgubiti sve informacije koje štite vaše račune. Uz sigurnosni ključ, imate zasebni fizički uređaj koji je potreban uz vaše vjerodajnice. Prema tome, ako izgubite samo uređaj s lozinkama, to ne znači da se netko može prijaviti na vaš račun. Smatra se dobrom praksom čuvanje kopije sigurnosnog ključa na sigurnom mjestu u slučaju da izgubite ili slomite primarni ključ. Sigurnosni ključevi obično imaju dodatan korak za zaštitu podataka koje sadrže. Uglavnom je riječ o tipki koju morate pritisnuti prije nego što se tajna može koristiti. To sprečava zlonamjerni softver u vašem računalu da pročita sigurnosni token osim u slučaju fizičke radnje.
Prijave bez lozinke
Uporaba lozinki ima mnoge slabe točke. Primjerice, korisnici preferiraju lako pamtljive i slabe lozinke koje se moraju negdje pohraniti, obično na mjestu koje nije sigurno. Kada iscure, informacije za prijavu mogu se zlorabiti, čak i na drugim mjestima u slučaju lozinke koje se koriste za više web-mjesta. Dugine tablice i napad grubom silom više će se koristiti u budućnosti dolaskom sve bržih računala, napredaka u razumijevanju algoritama i kvantnog računalstva. Prijave bez lozinke nastoje to promijeniti korištenjem šifriranja privatnim i javnim ključem. Tom metodom se privatni ključ ne predaje poslužitelju i u takvim slučajevima gubitak javnog ključa pohranjenog na poslužitelju ne omogućuje nikome osim vlasniku privatnog ključa da se prijavi na korisnikov račun. Microsoftova provjera autentičnosti pod nazivom Windows Hello primjer je prijave bez lozinke.
Windows Hello može se koristiti uz različite metode, od PIN broja do otiska prsta ili čak prepoznavanja lica. Prvotna provjera autentičnosti odvija se lokalno na vašem računalu i nikada se ne prenosi na poslužitelj. Umjesto toga, PIN broj ili otisak prsta koristi se u pozadini za odobravanje kriptografske razmjene između vašeg računala i poslužitelja, koja vam na kraju daje pristup računalu.
Provjera autentičnosti bez lozinke naspram višestruke provjere autentičnosti
Prijava bez lozinke može se zamijeniti s višestrukom provjerom autentičnosti jer iskustvo krajnjeg korisnika može biti vrlo slično. U slučaju prijave bez lozinke sustav obično traži neke informacije za provjeru identiteta kao što je korisničko ime ili adresa e-pošte. Autentičnost se može provjeriti s pomoću više različitih čimbenika koji se dijele s višestrukom provjerom autentičnosti. Razlika je u tome što provjera autentičnosti bez lozinke ne traži od vas da zapamtite dijeljenu tajnu s poslužiteljem, kao što je lozinka. Čak i ako koristite PIN broj, što bi bila vrlo loša lozinka, PIN broj se ne prenosi poslužitelju, već se umjesto toga koristi za omogućavanje kriptografske provjere autentičnosti lokalno na vašem računalu.
Sign up to solve exercises
Nakon završetka drugog poglavlja, trebali biste znati:
Razumjeti kakvi bi se podaci trebali zaštititi i što se može ostaviti nezaštićeno.
Objasniti gdje i kako ostavljate tragove podataka i za što se koriste.
Razumjeti kako pronaći svoja prava i odgovornosti u vezi s uporabom podataka.
Razumjeti osnove stvaranja dobre lozinke i povećanja sigurnosti za prijavu na svim svojim mrežnim računima.
