Njeno veličanstvo LOZINKA
Prvi deo - Istorija
Bezbednost podataka je neiscrpna IT tema današnjice, a tako malo pažnje posvećujemo istoj. Zato ću se potruditi da koncizno, po sistemu činjenica-rešenje, iznesem što više znanja u nekoliko nastavaka ovog bloga.
Lozinka (eng. password) ili šifra, unapred je ugovoren tajni signal, odnosno reč kao element raspoznavanja.
Koristila sa praktično oduvek. Najpre se koristila u vojsci, gde su bili poznati termini „odziv i lozinka“ i korišćeni su za identifikaciju pri nailasku na stražara. Danas se koristi u mnogim sferama života i posla, ali je najzastupljenija u IT industriji.
U informacionim tehnologijama, koristi se od nastanka računara pa sve do danas, dobrih pola veka! U vreme kada se tehnologija menja na nekoliko godina i svaki rast je eksponencijalan, lozinka nije dinosaurus, već sama večnost.
Sa njom je teško, bez nje se ne može. Osnova je autentifikacije, kako na starim, tako i na modernim sistemima.
U teoriji sigurnosti postoje nekoliko vrsta sredstava sa kojim možete da se predstavite:
- Nešto što imate – kartica sa sertifikatom, USB ključ, pametan telefon…
- Nešto što znate – lozinka, PIN…
- Nešto što jeste – otisak prsta, skeniranje rožnjače oka, skeniranje vena u šakama…
Često ih nazivamo „faktori autentifikacije“ i sigurno ste čuli za njih u nazivima kao što su dvofaktorska autentifikacija (2FA) ili multifaktorska autentifikacija (MFA).
Da ne promakne, napisaću još jednom lozinka je (ili bi trebalo da bude) nešto što znate! Ne nešto što stoji zapisano na papiriću, zalepljeno na monitor, ili ispod tastature, ili u Notepadu ili Excelu,… Ne-ne, lozinka je nešto što SAMO VI ZNATE.
Ono što svi znamo je da ovo nije slučaj u 2020. godini i da postoji mnogo razloga zašto ovo nije moguće, pa neću sada ni da počinjem da nabrajam.
Udaljili smo se od originalne upotrebe lozinke, pre svega zato što lozinka koju može da zapamti prosečan korisnik računara jednostavno nije dovoljno sigurna. Kako su godinu za godinom računari povećavali svoju moć, tako je postalo trivijalno lako pogoditi nečiju šifru; probaćemo sve moguće kombinacije (eng. brute force).
Kako bismo kompenzovali nedostatke, počela je primena polise za lozinke. One su propisivale dužinu lozinke, njen sadržaj, koliko često moramo da je menjamo, pa onda da lozinka ne sme da bude ista kao prethodnih nekoliko njih… Pa-pa, pamćenje lozinke. Ovo je trenutak kada je lozinka izgubila smisao. Naravno ovo je bio samo početak, izmislili su ljudi i razna rešenja za problem koji su napravili sa polisama, ali više o tome u nekom od narednih nastavaka ovog bloga.
Skoro sam sa zavetovao da ne kritikujem ništa, a da ne ponudim rešenje. Ako je potrebno da koristimo nešto što znamo, neka to bude PIN. Na pin gledajte kao na kratku lozinku, laku za pamćenje i ne neophodno sastavljenu samo od brojeva. I pre nego što kažete šta ću sa kratkom lozinkom, to nije sigurno!? Ne brinite tu su polise, ali ne one zle polise iz prethodnog pasusa, koje su nas dovele u ovu situaciju, nego nove, dobre polise.
One kažu:
- Možete da se prijavite na sistem sa određenih mesta. Na primer, ja se na email prijavljujem samo iz Srbije. U većini slučajeva sa tri mesta, kuća, posao i mobilni telefon. Svaki pokušaj prevaljivanja sa drugog mesta trebalo bi da zahteva dodatnu potvrdu.
- Možete da pogrešite lozinku samo nekoliko puta. Ovim se branimo protiv napada pogađanja lozinki.
- Možete da se prijavite samo da određenih uređaja. Lični, poslovni računar i telefon.
Ovo su samo neki primeri, koji služe da pokažu da bi trebalo da razvijamo polise oko svega što ne kvari osnovnu namenu lozinke. Postoje sistemi koji koriste ovakve polise, na primer svi Google servisi dosta dobro vode računa o korisnicima (ako to korisnici žele), samo bi trebalo da budu šire prihvaćeni u industriji.
Čitamo se uskoro…