Sigurnost lozinki – Šta treba da znate

  • SkyHosting
  • maj 25, 2022
Sigurnost lozinki - šta treba da znate
Verizonov DBIR izveštaj za 2020. pokazuje da je više od 80% hakovanja uključivalo grubu silu (brute force) ili izgubljene/ukradene kredencijale - evo šta trebate znati da biste ojačali sigurnost svojih lozinki.

Podelite ovaj post

Sigurnost lozinki je neophodna svakome – od kompanija do krajnjih korisnika. Da, znam – već čujem uzdah kako odzvanja u Vašoj glavi. Ali razlog zašto odvajamo vreme da napišemo celi članak posvećen zaštiti lozinki je sledeći:

  1. Ljudi nedovoljno ozbiljno shvataju sigurnost lozinki. Verovatno se možete setiti par ljudi koji odgovaraju ovom opisu.
  2. Mnogi ne znaju šta je jaka lozinka. Postoji mnogo različitih smernica koje se tiču dobre lozinke i loše lozinke. To ćemo vam pojasniti.
  3. Postoji više od samog kreiranja jakih lozinki da bi efikasnost zaštite bila bolja. Da, to je istina. Korišćenje jakih lozinki samo je jedan deo jednačine. Ali postoji nekoliko drugih važnih parametara i stvari koje trebate učiniti kako biste povećali efikasnost sigurnosti lozinki.

Dakle, šta je sigurnost lozinki? Kako izgledaju jake i slabe lozinke? Koji su rizici povezani sa nedostatkom jake lozinke za vašu organizaciju? I koje druge stvari postoje za sigurnost lozinki osim stvaranja jakih lozinki?

Odgovorićemo na ova pitanja i takođe ćemo na kraju proći kroz nekoliko brzih saveta za sigurnost lozinki (za one od vas koji ne žele pročitati celi članak).

Šta je sigurnost lozinki?

Sigurnost lozinki je kombinacija polisa, procesa i tehnologija koje čine lozinke i metode provere autentifikacije sigurnijim. Sama lozinka je vrsta memorisanog tajnog autentifikatora. U osnovi, to je nešto što samo vi trebate znati što vam omogućava da se autentifikujete trećim stranama. Drugi primeri autentifikatora uključuju kriptografske uređaje, jednokratne lozinke ili PIN-ove i kartice za pristup.

Ali šta predstavlja jaku sigurnost lozinke? Da bi se lozinka smatrala sigurnom, to znači da mora:

  • Sprečiti neovlašćene korisnike da dobiju pristup zaštićenim sistemima, informacijama i podacima.
  • Imati dovoljnu kompleksnost tako da je nepraktično da neko drugi pokuša da je pogodi ili provali.
  • Da bude dovoljno pamtiva da je ne zaboravite (na kraju krajeva, kakva je korist od lozinke ako je morate stalno resetovati?) ili koristite menadžer lozinki (što naravno nosi svoje rizike).
  • Nešto što čuvate u tajnosti i ne delite ni sa kim.
  • Mora se čuvati bezbedno i na način koji sprečava kompromise.

Iako lozinke nisu uvedene sve do 1960, lozinke su postale centralne za sigurnost naloga i celokupnu sajber sigurnost za kompanije i korisnike. Ali za sigurnost lozinke treba više od same lozinke. Takođe moraju se razmotriti i polise, procedure, tehnologija i obuka koja štiti te lozinke i pristup koji oni pružaju. Na primer:

  • Kreiranje i implementacija politike korišćenja računara koja ukazuje na to kojim se nalozima može pristupiti na kojim uređajima, zahteva korišćenje VPN-a kada radite na daljinu ili se povezujete na javni Wi-Fi itd.
  • Kreiranje i sprovođenje politike lozinki koja se bavi specifičnim zahtevima kreiranja, skladištenja i održavanja lozinke.
  • Pružanje obuke i smernica zaposlenima kako bi im se pomoglo da shvate važnost kreiranja sigurne lozinke i praćenja najboljih praksi upravljanja lozinkama.

Primeri slabih lozinki

Istina je da loše lozinke dolaze u svim oblicima i veličinama. Ali mnogi od njih imaju tendenciju da uključuju nekoliko uobičajenih sastojaka: najčešće korišćene reči, obrasce kucanja, uobičajena imena (deca, kućni ljubimci, itd.), datume od značaja (kao što su datumi rođenja i godišnjice) itd.

Dakle, koje su najčešće korišćene lozinke? Evo liste 10 najčešće korišćenih lozinki na svetu, prema CyberNews-u:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Koliko je ta lista samo zastrašujuća? Možda bi bilo više razumljivo da je ovo lista lozinki koju su kreirali predškolci. Ali ova lista je od 10 najčešćih lozinki za korisnike širom sveta! (I, bez sumnje, lozinke predškolaca bi verovatno bile kreativnije.)

Dakle, zašto ljudi koriste tako osnovne i proste lozinke? Iskreno, sve se svodi na to da ljudi dozvoljavaju da udobnost nadjača sigurnost. Mnogo je lakše zapamtiti lozinku poput “123456” nego zapamtiti složeniju lozinku kao što je “X89*2nkc_1m74WeF”. Ali pravljenje dužih fraza može biti zaista korisno. Siguran sam da biste se složili da je kreiranje i pamćenje jedinstvene dugačke pristupne fraze poput “SunshineFLOWERSBuildGreatScents” mnogo lakše nego zapamtiti “X89*2nkc_1m74WeF”, a da je i dalje sigurnije od “123456”.

Zbog toga je korišćenje dugih pristupnih fraza najbolje od oba sveta: nudi veću složenost koja odbija sajber kriminalce, a istovremeno je dovoljno laka za zaboravne korisnike da je upamte.

5 komponenti jake zaštite lozinkom

Koja su neka od ključnih karakteristika jakih lozinki?

1. Dužina i složenost lozinke

Opštepoznato je da lozinke treba da imaju najmanje 12 znakova, da koriste velika i mala slova i da imaju neke nasumične brojeve i posebne simbole ubačene u miks. Ali dugo prihvaćena mudrost da su složene lozinke sigurnije dolazi sa važnim malim upozorenjem: složena lozinka nije korisna ako je ne možete zapamtiti.

Naravno, jedna od opcija je korišćenje menadžera za lozinke. Ali postoji rizik povezan s tim u zavisnosti od toga koliko dobro te organizacije za upravljanje lozinkama štite te lozinke. U suštini stavljate sva jaja u jednu korpu, što je u redu sve dok organizacije preduzmu odgovarajuće korake da zaštite vaše lozinke. (Na primer, menadžeri lozinki ne bi trebali čuvati nikakve podatke o vašoj lozinki na svojim serverima (samo heševe lozinki), a i svi vaši drugi podaci koje delite sa njima trebali bi u svakom slučaju biti šifrirani.)

Ali ako menadžeri lozinkama ne odrade na svojoj strani ono što bi trebalo da obezbede lozinke, to ostavlja vaše lozinke – i vas – u opasnosti.

Ovde dolazi do izražaja ideja o frazama. FBI-jev resurs Protected Voices preporučuje korišćenje fraza umesto tradicionalnih lozinki. Ovde je naglasak na dužini fraza koje ćete zapamtiti umesto da se više fokusirate na složenost lozinki koje ćete gotovo sigurno zaboraviti. Čak su se oglasili i na Twitter-u kako bi se pozabavili pitanjem dužine lozinke zbog složenosti.

Snimak ekrana FBI Twitter posta u kojem se naglašavaju fraze umesto složenih lozinki.

Snimak ekrana sa zvaničnog FBI-jevog Twitter naloga koji govori o važnosti korišćenja dugih pristupnih fraza umesto složenih lozinki kao deo napora za bezbednost lozinki.

Ali šta čini pristupne fraze dovoljno komplikovanim da je hakerima nepraktično da pokušaju razbiti ih?

  • Moraju sadržati više reči (idealno, najmanje četiri).
  • Reči bi trebale biti neuobičajene (možete potražiti najčešće korišćene engleske reči na Oxford 3000 i 5000).
  • Izbegavajte zamenu slova uobičajenim brojevima i simbolima (Leet speek), poput “3nkr!pc!j@” umesto “Enkripcija” ili “G0r@n” umesto “Goran” (hakeri ih lako shvate).

Pogledajte ovaj sjajan video sa YouTube kanala Computerphile koji govori o složenosti i dužini lozinke:

2. Zahtevajte od korisnika da kreiraju jedinstvene lozinke za svaki nalog

Ljudi vole olakšice, a to je da ponovo koriste istu lozinku iznova i iznova. Međutim, kao što znate, recikliranje lozinki je očigledna sigurnosna greška. Ali nemojte samo reći ljudima da trebaju koristiti jedinstvene lozinke – zapravo ih naterajte da to učine primenom pravila za jedinstvenom lozinkom.

Ako korisnik pokuša kreirati novu lozinku koja ima X% istih alfa numeričkih znakova kao stara, oba u istom redosledu ili obrnutom, blokirajte promenu lozinke. Takođe, učinite deo vaše sigurnosne politike lozinki da korisnici moraju kreirati jedinstvene lozinke za svaki nalog i nikada ih ne deliti ni sa kim drugim.

3. Zaštitite lozinke

Takođe možete preporučiti korišćenje proverenog menadžera lozinki kako biste im pomogli da sve svoje lozinke bezbedno čuvaju. Prednost korišćenja menadžera lozinki:

  1. Omogućava vam da imate složene lozinke koliko to želite za sve svoje naloge, ali
  2. Morate zapamtiti samo jednu lozinku – ili ono što je poznato kao glavna lozinka.
Sledi lista 10 najpoznatijih menadžera lozinki:
  1. RoboForm
  2. NordPass
  3. Keeper
  4. Dashlane
  5. 1Password
  6. LastPass
  7. Notron
  8. Avira
  9. Enpass
  10. Passwarden
 

Neki ljudi odlučuju da vode knjigu lozinki. Iako je ovo bolje od korišćenja nesigurnih ili prostih lozinki, dobro je samo ako imate način da tu knjigu čuvate na sigurnom. (U suprotnom, to je i dalje velika ranjivost.) To znači da želite da bude bezbedno zaključana kada se ne koristi i da verovatno nećete želeti da je nosite sa sobom ako provodite mnogo vremena u pokretu. Ne daj Bože da je zaboraviš ili slučajno negde ostaviš!

4. Korišćenje uobičajenih lista lozinki kao svoju prednost

Znajući da postoje liste kompromitovanih lozinki dostupnih na internetu i dark webu (besplatno i za novac) zaista je loša vest. Ali dobra vest je da negativno možete pretvoriti u pozitivno korišćenjem tih lista na način koji poboljšava sigurnost lozinke vaše organizacije.

Ove liste možete koristiti kao crne liste koje vaši korisnici ne mogu koristiti prilikom kreiranja ili ažuriranja lozinki svojih naloga.

5. Implementacija najboljih praksi bezbednog skladištenja lozinki

Kritičan deo je da nikada, ni pod kojim okolnostima, ne biste trebali čuvati lozinke u formatu običnog teksta. Ne samo da je to loša praksa, već vas čini ranjivim na sajber napade. Imajući ovo na umu, najbolja praksa za sigurnost lozinke je dodavanje jedinstvenog salta (soli, začina) svakoj lozinki pre nego što je heširate. Salt je vrednost koju generiše kriptografska funkcija koja se dodaje na ulaz heš funkcije da bi kreirala jedinstvene hešove za svaki unos, bez obzira na to što unos nije jedinstven. Na ovaj način, svaka heš vrednost je zaista jedinstvena čak i ako različiti korisnici koriste istu lozinku.
salt password hashing

Za nestrpljive: 5 saveta za sigurnost lozinki koje možete implementirati odmah

  1. Ne delite svoje login podatke s drugim korisnicima. Ovo je pravilo #1. Vaša lozinka je vaša lozinka i nikada je ne smete deliti ni sa kim. Čak i ako pažljivo izgradite jaku lozinku, to ne znači da će vaša lozinka ostati sigurna ako je podelite sa nekim.
  2. Nikada nemojte reciklirati stare lozinke ili koristiti istu lozinku na više naloga. Česta greška koju većina korisnika čini je ponovno korišćenje starih lozinki na nalogu ili na više naloga. Opasnost je da ako ta lozinka postane kompromitovana, to znači da bi i ostali nalozi koji koristi tu lozinku bili u opasnosti od hakovanja.
  3. Koristite dugačke fraze umesto previše složenih (i teško pamtljivih) lozinki. O tome smo već pričali ranije. Ali da brzo rezimiramo, korisnici lakše pamte dugačku pristupnu frazu nego složenu lozinku. Ovo čini lozinku efikasnijom za korisnike koji se ne oslanjaju na menadžere lozinki.
  4. Blokirajte korisnike da koriste lozinke koje možete pronaći na kompromitovanim listama na internetu. Sprečite korisnike da koriste kredencijale koje se mogu naći na javnim listama!
  5. Osigurajte da vaša organizacija pravilno čuva svoje hešove lozinki. Nikada ne postoji razlog za čuvanje lozinki u samo tekstualnom formatu. Treba čuvati samo hešove lozinki, a čak i tada dodati salt pre heširanja. Ovo ne samo da će lozinke učiniti otpornim na brute force napade, već ih čini otpornim i na rainbow table napade.

Prijavite se na naš newsletter

Saznajte prvi o novostima i učite od najboljih

Ostali članci

Pratite nas na socijalnim mrežama

Najnovije na blogu

Kategorije

Prijavite se na Newsletter