Fejsbuk, Tviter, Bloger, Flikr, Linkdin, privatni mejl, poslovni mejl, lični kompjuter, kompjuter na poslu, dokumenti zaključani šiframa, komentarisanje na forumima, novinskim člancima – koliko puta dnevno unesete negde korisničko ime i šifru? Koliko puta dnevno dođete u situaciju da negde morate da se registrujete i upišete svoje korisničko ime i šifru? Sve je više mesta na Internetu koja od nas zahtevaju da se registrujemo, i mi smo sve ležerniji i opušteniji dok pristajemo da nekome damo podatke o sebi. Da mi je neko 2003. godine kada sam aktivno počela da koristim Internet rekao da ću se bez problema potpisivati punim imenom i prezimenom, rekla bih mu da je lud. Kako bismo skratili proces i ubrzali dan, registrujemo se putem Fejsbuka/Tvitera gde je moguće, ili koristimo isto korisničko ime i/ili šifru širom Interneta.
I, eto ga problem.
Neko će reći: Ali, baš me briga, ionako nemam šta da krijem! A da li biste voleli da sa vašeg profila na Fejsbuku neko šalje raznorazne poruke vašim prijateljima bez vašeg znanja? Ili da neko dobije pristup vašem mejl-adresaru i svim poslovnim partnerima čestita božićne i novogodišnje praznike u vaše ime, a sa svojim proizvodima (Neko rekao “Enlarge your penis”?)?
Ovo je informatičko doba, zlato XXI veka je informacija!
Da vas neko zaustavi na ulici i krene da postavlja pitanja poput:
- Gde živite?
- Koliko imate godina i koji je vaš bračni status?
- Koliko često izlazite u grad i na koja mesta idete?
- Šta najviše volite da jedete i pijete?
- Sa kojim se prijateljima najčešće družite?
- Njihovi odgovori na prethodna pitanja?
u najboljem slučaju biste ga pogledali bledo, opsovali i brzo produžili dalje. Ukoliko neko dobije pristup vašem Fejsbuk nalogu, potrebno mu je oko 7-10 minuta da prikupi sve ove podatke. Da li i dalje mislite Baš me briga, ionako nemam šta da krijem?
Zašto su informacije važne? Odgovor na ovo pitanje zna svaka osoba koja je vodila bilo kakav posao. Znati šta potrošači žele i koje su njihove mogućnosti – pa to je Sveti gral bilo koje firme/kompanije/preduzetnika! Na istraživanja tržišta se troše milijarde evra godišnje samo da se dobiju ovi podaci, koje vi Fejsbuku ostavljate besplatno :)
Naravno da nećete dozvoliti da se neko služi vašim podacima. I naravno da ćete odmah sad promeniti svoju šifru! Neće više biti 123456, nego mojanovašifra. Ili datum rođenja nekog vama bliskog. Devojačko prezime vaše majke. volimmikijanajvišenasvetu. I nijedna od njih neće biti dovoljno jaka – jer svi ti podaci o vama negde već postoje…
Koja je najbolja šifra? Ona koja nema ama baš nikakve veze s vama.
Najbolje šife su one koje prestavljaju nasumičan niz između 8 i 12 brojeva i slova, poput: 1Px44Es8, Lw23s8Df, z8M1kl35XC i slično. Jasno vam je da je ovo već malo teže “provaliti” i slučajno pogoditi. A sad se javlja drugi problem – ili prvi, onaj zbog kojeg svuda i stavljamo istu šifru (i time olakšavamo posao dokonima): kako popamtiti sve to?! Najjednostavnije rešenje je: zapisati sve u neki dokument na kompjuteru! Da? Ne.
Prva opcija je da zapišete na papir, koji ćete čuvati na nekom sigurnom mestu. I onda ga izvlačiti svaki put kada vam je neophodno da se negde ulogujete.
Druga opcija je da šifre ipak izmenite tako da budu sigurne, vama pamtljive, a ne tako lake za “razbijanje”, recimo: da zamenite slovo A sa 4, E sa 3, I sa 1, O sa 0, pa tako dobijete recimo M0j4N0v4Š1fr4 – što ne znači da je ova sintagma dobro rešenje, naravno – data je samo kao primer. Ovo je dovoljna predostrožnost za sve obične korisnike Interneta.
Treća opcija je password management system – sistem za upravljanje šiframa. Zbog sve veće potrebe da se upamti ogroman broj šifara, neki pametniji ljudi su napravili razne aplikacije koje čuvaju vaše šifre. Potpuno subjektivno ću vam preporučiti Tefter – password management system, koji će sve one nasumično odabrane šifre pamtiti umesto vas. Jednostavan za korišćenje, dovoljno siguran da ga koriste profesionalci – oni koji čuvaju malo bitnije podatke od toga šta su danas jeli i gde idu u šoping. Zapravo, svi čiji poslovi zahtevaju sigurnost podataka bi morali da se imaju potpuno nasumične šifre i da se služe nekim od ovih sistema.
U svakom slučaju, birajte šifre pažljivo, kao i osobe kojima ćete šifre eventualno poveravati.
Jer, recimo, dovoljno mi je da znam u kojoj banci imate račun i koje vam je devojačko prezime majke (ponegde se eventualno traži i JMBG) i da mogu da dobijem bez problema telefonskim putem stanje na vašem računu :)
Photo: http://www.securityaegis.com
Kompjuteru koji izvodi "brute force" napad je skoro svejedno da li je vaša šifra M0j4N0v4Š1fr4 ili MojaNovaŠifra, on će svakako isprobati sve kombinacije u tih nekoliko karaktera. Sa druge strane ako stavite "Ovo je moja mnogo lepa nova lozinka" sa sve razmacima, trebaće mu par vekova da izvrti sve kombinacije.
Stavite nešto pamtljivo ali dugačko i rešen problem, barem što se "brute force" napada tiče.
Ako je na računaru sa kojeg pristupate instaliran keylogger, upamtiće sve što ste ukucali. Promenite, dovoljna je i mala izmena, lozinku posle logovanja sa nekog javnog ili računara u čijeg vlasnika nemate poverenja.
Sad, kako je nagovestio Ptiki, razlika je da li želimo da zaštitimo pass od ljudi ili od kompjutera/programa.
Mislim da na webu nema potrebe da se štitimo od brute force provaljivanja passworda zato što svaki web server koji je iole konfigurisan (a verujem da su takva i default podešavanja popularnijih servera, poput Apacha ili IIS-a) brani suviše veliki broj requestova za suviše mali vremenski period, između ostalog i zbog sprečavanja brute force-a.
Najčešći razlog "hakovanja" naloga je nemar i ljudska glupost. Treba razviti kulturu relativno čestog menjanja passworda, biranja passworda koji nisu nešto što je lako pogoditi (12345, datum rođenja, pass isti kao kao username, ime deteta…), korišćenja različitih passworda za različite servise i, last, but not the least, vođenje računa o tome gde sve pišemo password i kome ga odajemo (a najbolje da ga ne pišemo nigde, ne unosimo nigde gde nismo sigurni zašto ga unosimo i ne odavati ga nikome).
Ja sam nedavno pisao o tome… kako da izaberete lozinku koja je sigurna, a pritom se lako pamti… pogledajte clanak ovde: http://www.jovicailic.com/2011/11/u-3-koraka-do-s…
Trebalo bi odvojiti neke bitne, privatne stvari, tipa mail, FB, itd..od nekih nebitnih, registrovali ste se na forumu nekom, ili gde već. Obavezno koristiti različite šifre za te grupacije jer neki sajtovi nenamerno, ili namerno ne poštuju bezbednost, privatnost, tj. šifre u bazi ne čuvaju enkriptovane, a trebalo bi da koriste MD5, SHA1, ili tako nešto. To je jedan od najlakših načina da uzmeš nekome šifru, imaš sajt, ljudi se registruju, obično koriste 1 šifru, imaš i mail, i samo probaš gde možeš da uđeš.