Kako napraviti sigurnu lozinku i zaštititi se od hakera
Svaki stručnjak za sigurnost će vam reći da lozinke trebaju biti kompleksne kako ih nitko ne bi mogao pogoditi. Problem je u tome što je takve lozinke teško zapamtiti, a zapisivanje lozinke na različita mjesta, u najgorem slučaju na papiriću ispod tastature, je najgore što možete napraviti.
Uz par savjeta, dat ću vam i nekoliko trikova kako napraviti kompleksnu lozinku koju je ujedno i bez problema pamti.
Da bi znali što uopće znači „kompleksna lozinka“, prije svega, treba znati kako hakeri kradu lozinke. Imaju više metoda, pa krenimo redom.
Kako hakeri kradu lozinke?
Brute force metoda
Jedna od najčešće korištenih metoda koja se sastoji se od skripte koja pokušava probiti lozinku beskonačnim brojem pokušaja svih mogućih kombinacija slova brojeva i znakova. S obzirom na to da većina pružatelja usluga ima mehanizme za obranu od ovakvih napada, probijanje lozinke ovom metodom bit će efikasno samo ako je lozinka iznimno loša. Npr. „abc“ „123“ i slično. Ipak, metoda može biti vrlo efikasna ako je napadač došao do posjeda hash-eva lozinki i, lokalno na jakom poslužitelju, u kratko vrijeme može isprobati milijune kombinacija pa sve kratke lozinke, do osam znakova, za relativno kratko vrijeme mogu biti probijene. No čak i u tom slučaju, dobro odabrane i solidno duge lozinke bit će sigurne.
Kako bi se zaštitili od ovog napada, važno je da lozinka bude duža od 12 znakova, treba kombinirati slova (velika i mala), brojeve i posebne znakove („#%!$“ i sl.)
Napad rječnikom ili „mask“ napad
Ovaj napad je varijanta brute-force napada kod koje napadač, umjesto pokušavanja kombinacija znakova, lozinku pokušava pogoditi riječima ili kombinacijama riječi iz rječnika, listi imena, najčešće korištenih ili ranije provaljenih lozinki. Ovaj napad je, nažalost, vrlo efikasan jer mnogo ljudi za svoje lozinke bira neko ime, riječ ili jednostavnu kombinaciju dvije riječi ili riječi i broja. Kako biste se zaštitili od ovog napada, važno je da vam lozinka ne sadržava lako predvidive riječi (imena vaše djece, kućnih ljubimaca, korisničkog imena), jednostavne kombinacije riječi i brojeva ili samo riječi iz rječnika.
Napad Rainbow tablicom
Ako haker dođe do posjeda hashiranih lozinki s nekog poslužitelja, može koristiti tzv. Rainbow tablicu kako bi rekonstruirao lozinke. Hashiranje je proces konverzije lozinke (ili bilo kojeg seta znakova) u drugi set znakova nekom od metoda enkripcije. Samo starije metode hashiranja su ranjive na ovaj tip napada pa se ova metoda kod modernih načina spremanja lozinki sa „posoljenim“ hashevima sve rjeđe može uspješno koristiti. Zaštita od ovog načina najčešće nije pod vašom kontrolom, no odabir kvalitetnog pružatelja usluge i tehnologija kod kojih ovaj napad nije moguć, svakako je.
Phishing (i spear phishing)
Phishing je način krađe lozinki (i drugih npr. platnih podataka) zavaravajućom poštom. Tipičan phishing napad je e-pošta u kojoj se napadač lažno predstavlja kao pružatelj vaše usluge, te od vas traži upisivanje korisničkog imena i lozinke na svom poslužitelju. U takvoj zavaravajućoj pošti napadač traži od vas da ispravite neki izmišljeni problem. (nedostatak prostora na poslužitelju, čišćenje predmemorije i produljenje usluge i sl.) najčešće uz prijetnju da ako to odmah ne napravite, nećete nadalje moći koristiti uslugu. Nerijetke su i poruke koje izgledaju kao legitiman poslovni upit, sa poveznicom na dokument za koji traže upis vaše lozinke.
Spear phishing je podmetoda phishinga kod koje napadač zna neki specifičan detalj o vama, kako bi poruka bila manje sumnjiva jer je usmjerena direktno vama i vašoj trenutnoj situaciji. Npr. Napadač je došao do saznanja da ste tražili otvaranje nove web stranice od određene osobe, pa upravo pod tim izgovorom traži od vas korisničko ime i lozinku, lažno se predstavljajući kao ta osoba.
Zaštita od ovog načina krađe je izvjesno najkompliciranija, a zbog same proširenosti, raznovrsnosti i čestog korištenja ovakvih napada, posebno nužna. Sustavi AI analize dolazne e-pošte, kontrola i praćenje klikova na linkove u e-pošti, blokiranje sajtova koji su prijavljeni da omogućuju ovakve napade samo su neki od načina, no ni jedan od njih, ni zasebno ni ukupno nije savršen. Vrlo je važno educirati se (educirati zaposlenike) o ovakvim prijevarnim mailovima, pa redoviti treninzi o informacijskoj sigurnosti nužniji nego ikada. Korisnike treba naučiti kako prepoznati prijevarni mail, kako ga ispravno označiti, pa time spriječiti daljnje širenje takvih poruka i onemogućiti uspješnost napada.
Analiza prometa
Zlonamjerni akteri mogu prisluškivati promet koje vaše računalo ili mobilni telefon ostvaruje na internetu. Iako je promet u transmisiji danas najčešće zaštićen enkripcijom (SSL certifikatima), nije rijedak slučaj da dio prometa internetom prolazi nezaštićen, u formi običnog teksta. Iz takvog prometa se lako mogu razabrati korisnička imena i lozinke.
Jedna od čestih metoda za čitanje nezaštićenih komunikacija je otvaranje besplatnog WI-FI priključka (hotspota) od strane napadača u nadi da ćete se spojiti na njega i sav svoj promet ostvarivati preko kompromitiranog priključka.
Blokiranje/onemogućavanje nezaštićenog prijenosa podataka, korištenje korporativnog VPN pristupa i zabrana korištenja nepoznatih WI-FI priključaka dobri su načini zaštite, no ako nisu dostupni, važno je paziti da web stranice koje posjećujemo imaju SSL certifikat i da nam mailovi i druge komunikacije prolaze isključivo zaštićenim kanalom.
Uvijek treba izbjegavati nepoznate, naročito besplatne WI-FI priključke, jer nikad ne znate tko stoji iza njih. Danas prijenos podataka preko mobilne mreže vašeg teleoperatora više nije skup, a beskonačno je sigurniji od WI-FI hotspotova.
Malware
Korištenje računala kompromitiranog zloćudnim programom (malware-om) čest je način kako ćete izložiti svoje lozinke napadaču. Zapamtite da je upisivanje lozinke na nepoznatom (javnom) računalu, računalu druge osobe, računalu na kojem je instaliran nelegalan (piratski) software, zastarjelom računalu ili računalu na kojem nema adekvatne antivirusne/antimalware zaštite izuzetno rizično.
Socijalni inženjering
Kada krađa lozinke nije slučajna, nego ste vi osobno ili vaša tvrtka mete napada, zlonamjerni akteri će se najčešće poslužiti metodama socijalnog inženjeringa. Ove metode uključuju lažna predstavljanja, pokušaje stvaranja prijateljstava ili saznavanja informacija koje mogu poslužiti u drugim aktivnostima protiv vas na razne načine. Socijalni inženjering može se događati u fizičkom, no bitno je češći u online svijetu.
Od ovog načina napada u principu pomaže jedino svjesnost da se može dogoditi, pa i ovdje redoviti treninzi informacijske sigurnosti za vaše zaposlenike imaju izuzetnu vrijednost.
Kibiciranje
Ranije navedene metode od aktera zahtijevaju određena tehnička znanja i resurse, no postoji metoda za koju napadaču ne treba ni tastatura ni miš. Dovoljno je da vam se približi ili snimi kamerom u nekoj ležernoj situaciji. Na pauzi, u restoranu, kafiću, nekom socijalnom događanju ili javnom prijevozu i uhvati vas kad u svoj mobilni telefon upisujete svoju lozinku ili pin. Imajući u vidu da dosta ljudi radi grešku tako da koriste isti pin ili lozinke na različitim servisima (a telefon nije izuzetak), lako će viđeno iskoristiti za provalu u neki vaš račun.
Ostavite li, primjerice, mobilni telefon 30 sekundi bez nadzora, ako vas je haker prije toga vidio kako upisujete pin za otključavanje, bez problema će u tih nekoliko sekundi otključati mobitel, pristupiti vašem pregledniku i pročitati svaku lozinku koju ste spremili.
Naravno, postoji još metoda, no gore spomenute su najčešće i dobra su ilustracija što se može dogoditi i kako svoju lozinku i ponašanje online očvrsnuti da vas rizik od provale lozinke ne brine previše.
Nekoliko loših primjera iz prakse
Nedavno sam imao slučaj čovjeka koji mi se javio za pomoć jer mu je „haker“ provalio u e-mail. Interesantno, u manje od pet sati od postavljanja. Nisam izdržao i pitao sam: „Dobro, pa kakvu lozinku ste postavili?“. Pa username je bio „info“, a password „info2022“. Naravno, morao je nakon toga odslušati moje polusatno predavanje o lozinkama.
Jedan slučaj koji me prije svega dobro nasmijao je „Swipe to unlock“ lozinka. Čovjek je jednostavno povukao prst na tastaturi od CAPS LOCK do Enter i otključao računalo.
Lozinka koju je dobio glasi: „ASDFGHJKLČĆŽ“. Nisam se mogao oduprijeti glasnom smjehu i oduševljenju trikom – svojevrsnim life hack-om, ali to je izrazito loša lozinka.
Prvo, riječ je o jednostavnom obrascu s tastature koji će hakeri izvjesno probati, a drugo, svatko tko vidi način na koji je upisao lozinku, odmah će ga zapamtiti. Slični loši primjeri su i drugi obrasci s tastature: „qwertzuiop“ „asdfasdf“ „159753“ „123456“ itd.
Kako odabrati dobru lozinku?
Izrada kompleksne, a lako pamtljive lozinke nije problem, ako za lozinku koristite nešto što Englezi zovu passphrase. Sjećate li se lozinki (i odgovora na lozinke) iz ratnih i špijunskih filmova iz prošlog stoljeća? Smislite nešto poput toga.
Na primjer: „U Zadru je najljepši zalazak sunca!“
Ova lozinka je lako pamtljiva, ali možda predugačka za brzo upisivanje i sastavljena od riječi iz rječnika. Stručnjak za sigurnost Bruce Schneier preporuča da koristite upravo takve rečenice, te ih skratite i osnažite tako da koriste samo prvi slog svake riječi. (U – za – je – na – za – su!) U ovom primjeru dobili ste lozinku: „UZajenazasu!“
Ovakvu lozinku možete dodatno osnažiti nekim obrascem koji samo vi znate. Na primjer samoglasnike pišete velikim, a suglasnike malim slovom.
Dobili smo: „UzAjEnAzAsU!“
Odlična lozinka. Pokušajmo neki drugi obrazac. Npr. Leet (1337) metodu. Pojedina slova zamijenimo brojevima (ili znakovima) koji izgledaju kao ta slova. 0=O, 1=L, 2=Z, 3=E, 4=A, 5=S, 6=G, 7=T, 8=B (ili !=I, #=H, $=S, &=B, @=A, €=E, Ł=L, ?=Z, +=T, ©=C, ®=R)
Ako smo koristili brojeve, dobili smo: „U24j3n4245u!“, a ako smo koristili znakove to je „U?@j€n@?@$u!“
To su sada ozbiljno čvrste lozinke. Izgledaju potpuno nasumično odabrane, no ako se sjetite rečenice iz koje su nastale, znat ćete ih napamet ponovo upisati.
Naravno nemojte koristiti upravo ovu frazu. Pronađite neke nove, koje su samo vaše.
Ako baš volite passworde s riječima, nemojte koristiti imena ili riječi koje se nalaze u rječnicima. Vrlo jaku lozinku ćete dobiti ako koristite arhaične riječi kojih nema u rječnicima. Npr. Naslov hita grupe Violine Zagorja „Presračna nouči“ bi mogao biti dobra lozinka. ? (Ili bi bila da je sad ovdje nisam napisao.)
Kako čuvati lozinke?
Postoje dva načina:
- Pamtiti lozinke
Svakako je najbolje imati kompleksne lozinke koje ujedno možete i zapamtiti. U tome može pomoći ranije objašnjena metoda izrade kompleksne lozinke, no ako imate potrebu pamtiti veliki broj lozinki ili ste skloni zaboravljanju, uvijek ima i drugi način…
- Čuvati lozinke u digitalnom sefu, internetskom pregledniku ili password manageru.
Današnji moderni preglednici pružaju mogućnost spremanja lozinki, njihovu dodatnu zaštitu jedinstvenom lozinkom, čuvanje lozinki u oblaku i sl.
Treba voditi računa da je spremanje lozinki u Internet pregledniku napravljeno radi praktičnosti, a ne sigurnosti, pa je uz čuvanje lozinki u browseru nužno voditi računa o tome da vaše računalo ne koristi nitko drugi osim vas, da je adekvatno zaštićeno antivirusnim/antimalware programom te da je pristup njemu zaštićen lozinkom, a njegov datotečni sustav kriptiran.
Jakom lozinkom za ulaz u računalo i kriptiranjem datotečnog sustava osiguravate da čak i u slučaju krađe računala, vaši podaci, a time i lozinke neće doći u ruke lopova.
Digitalni sefovi, lokalni ili u oblaku su svakako dobar način čuvanja lozinki, no treba voditi računa da je lozinka ili enkripcijski ključ koje ste odabrali za zaštitu takvog sefa zapamćena ili čuvana na sigurnom mediju. Ako zaboravite glavnu lozinku, u principu nema više načina da vratite bilo koji spremljeni podatak. Osobno, ne volim ovakve programe i servise iz razloga što je svaki software podložan greškama i sigurnosnim propustima.
S obzirom na to da pronalaženjem sigurnosnih propusta kod ovakvih rješenja haker potencijalno može doći do velikog broja lozinki svih korisnika takvih rješenja, takvi programi i servisi su posebno interesantna meta napada.
U prilog ovoj tvrdnji ide nedavni incident koji se dogodio jednom od najvećih servisa za čuvanje lozinki Lastpass. Iako su u napadu potvrđeno ukradeni podaci njihovih korisnika, kompanija tvrdi da same lozinke nisu otkrivene jer su zaštićene 256-bitnom AES enkripcijom.
Dobra vijest, zar ne? Međutim 256-bitna AES enkripcija je relativno slaba i njeno probijanje je samo pitanje vremena.
Što se može dogoditi ako netko sazna vašu lozinku?
Zašto cijela priča o lozinkama. Što je najgore što se može dogoditi? Važno je znati jednu stvar. Lozinka čuva vaš digitalni identitet na servisu koji koristite.
Krađa lozinke znači krađa identiteta.
Ako je to lozinka za pristup vašoj e-pošti, kradljivac će moći u vaše ime slati elektroničku poštu, najčešće prijevarnog karaktera. Ako je lozinka za pristup nekoj društvenoj mreži, kradljivac će vašim prijateljima ili sljedbenicima krenuti slati neki svoj sadržaj. Ako je ukradena administrativna lozinka za neki poslovni resurs, to može značiti gubitak mogućnosti da obavljate svoje poslovanje.
Trebate znati i da će kradljivac nakon što je došao do vaše lozinke istu i promijeniti, kao i podatke za njen oporavak i time vam onemogućiti da ponovo preuzmete kontrolu nad svojim servisom ili identitetom na mreži. U nekim slučajevima svoj digitalni identitet na određenom servisu više nikad nećete moći vratiti jer vam ga pružatelj usluge može trajno zabraniti.
No, više o tome što se događa ako budete hakirani i kako se dodatno od toga zaštititi, opisat ću nekom drugom prilikom.
Autor: Neven Stanivuk, stručnjak za informacijsku sigurnost