Autentifikacija, lozinke i preporuke za povećanje zaštite - ContraTeam

lozinke i zastita

Autentifikacija, lozinke i preporuke za povećanje zaštite

Objavljeno: avgust 29, 2018 11:56 am U kategoriji:

Državni revizor vlade Zapadne Australije je pre par dana izneo zabrinjavajuć podatak po pitanju bezbednosti njihovih državnih informacija. Čak 26 procenata zvaničnika je na nalogu imalo slabu i često korištenu lozinku, a od oko 230.000 zaposlenih, njih 5.000 je imalo reč “password” u svojoj lozinki. Na ovaj način su zaposleni u državnom sektoru nesvesno (ili nemarno) doveli u pitanje bezbednost osetljivih državnih podataka. Bitno je reći da ne postoji savršena lozinka, ali nas je ova vest o nemaru australijiskih činovnika inspirisala da vam skrenemo pažnju na to koliko je jaka lozinka bitna i koje još nivoe bezbednosti možete postaviti kako bi zaštitili svoj nalog.

Autentifikaciju možemo definisati kao proces u okviru kojeg korisnik ili izvor informacija dokazuje da je to za šta se predstavlja, odnosno, proces utvrđivanja identiteta korisnika koji pokušava da pristupi nekom sistemu.
Generalno posmatrano, postoje tri načina autentifikacije:

1. Nešto što znate (lozinke, PIN kodovi)
2. Nešto što posedujete (mobilni telefoni, tokeni)
3. Nešto što jeste (otisak prsta, lični potpis, skeniranje zenice)

 

Dva stepena autentifikacije

U današnje vreme se sve češće praktikuje kombinacija dva tipa autentifikacije, odnosno dopunjavanje nečega što znamo (lozinka) sa još nekim kodom koji ćemo dobiti preko nečega što posedujemo (uglavnom putem mobilnog telefona). Neke banke praktikuju da pristup nalogu osiguravaju putem jednokratnog generatora koda tj. tokena koji i nije toliko praktična stvar jer ukoliko biste imali posebne tokene za banku, nalog na Gmailu, Instagramu i slično morali biste sa sobom da nosite desetine takvih spravica.

Ukratko ćemo predstaviti kako funkcioniše dvostepeni autentifikacioni sistem. Kada prilikom prijavljivanja na neki sajt unesete vaše korisničko ime i lozinku, u sledećem koraku sistem će zamrznuti proces logovanja i poslati jedinstveni kod (koji uglavnom sadrži nekoliko karaktera) na vaš mobilni telefon. Tek kada u odgovarajuće polje unesete dobijeni kod, proces prijavljivanja će biti uspešno završen i dobićete pristup željenom sajtu.

Dakle, ukoliko neko otkrije važu lozinku neće moći da se prijavi bez koda sa vašeg mobilnog telefona. Ako na neki način dođe do vašeg telefona, neće moći da se prijavi bez lozinke.

Ovaj način autentifikacije je svakako bolji i sigurniji od tradicionalnog, međutim i on ima neke svoje nedostatke kao što su troškovi slanja sms-a sa kodom, mogućnost hakovanja sms-a koji kroz mobilne mreže putuje u neekriptovanom obliku, stalna veza sa internetom u slučaju da se kod šalje preko odgovarajućeg softvera ili aplikacije.

Čak i kada uzmemo u obzir nesavršenost ovog oblika, brojna istraživanja su ipak dokazala da je verovatnoća njegove zloupotrebe daleko manja.

dva stepena autentifikacije

 

Kako (ne)kreirati dobru lozinku

Nekoliko stvari koje bi trebalo da izbegnete kod kreiranja lozinke jesu korišćenje ličnih podataka (vaših ili vaše porodice) kao što su imena, prezimena i nadimci, datumi ili godine rođenja kao i naziv firme u kojoj ste zaposleni. Ono što bi bilo poželjno je da vaša lozinka sadrži kombinaciju velikih i malih slova i znakova, kao i da dužina lozinke bude između 12 i 14 karaktera. Takođe, bilo bi dobro da ne koristite istu (ili sličnu) lozinku na više platformi kao i da, s vremena na vreme, promenite sve lozinke jer time smanjujete šanse onima koji svakodnevno provode vreme razbijajući šifre na internetu.

 

Slučaj twitter

Društvena mreža Twitter je početkom Maja ove godine pozvala svoje korisnike, kojih ima preko 330 miliona, da hitno promene svoje lozinke jer ih je razotkrio bag. Prema tvrdnjama ljudi zaduženih za održavanje Twittera, greška je nastala usled problema sa hešovanjem i lozinke su čuvane kao običan tekst u internom logu umesto da budu zamaskirane. Ono što je ostalo nepoznato je broj lozinki korisnika koje bi mogle biti ugrožene i koliko dugo je bag držao lozinke otkrivenim pre nego što je problem rešen. Kada se ovakve stvari dešavaju na velikim društvenim mrežama, u koju svakako spada i Twitter, moramo da se zapitamo koliko su naše lozinke bezbedne.

 

Password menadžeri (upravljači lozinkama)

Prelazak na neki od upravljača lozinki i izbegavanje ponavljanja lozinki na različitim platformama svakako predstavljaju dobra rešenja u situacijama kao što je bio slučaj sa Twitterom. Ipak, najčešće pitanje na koje se nailazi kada su ovakvi softveri u pitanju je “Kako verovati njima, njihovom načinu skladištenja i master lozinci?”. Odgovor na ovo pitanje zapravo razdvaja dobre od prosečnih (ili loših) rešenja.

Jedan od najpopularnijih password menadžera (LastPass) je, da bi ubedio korisnike u “moć” master lozinke i enkripcije, objasnio proces “maskiranja” lozinke kao i načina na koji čuva podatke unutar samog servisa. Više o ovome možete pročitati na linku.

 

Umesto zaključka

U današnje vreme, kada podatke uglavnom čuvamo u digitalnom obliku, postavlja se pitanje kojim softverskim kućama se najviše veruje. Kako je poznato da su svi u određenom trenutku bili kompromitovani, odluka se ipak prepušta pojedincu.

PODELITE