Ako sami smišljate lozinke, verovatno ćete biti hakovani

Tekstovi o zaštiti, 27.01.2023, 10:00 AM

Vaša lozinka je najverovatnije već kompromitovana ili će biti u bliskoj budućnosti. Zbog toga je korišćenje menadžera lozinki koji može da generiše zaista nasumične lozinke toliko bitno, kaže stručnjak za bezbednost Rodžer Grajms iz kompanije koja se bavi edukacijom o sajber bezbednosti KnowBe4.

Govoreći na vebinaru, Grajms, koji se decenijama bavi hakovanjem i koji je autor brojnih članaka o sajber bezbednosti, izneo je razloge zašto treba koristiti menadžer lozinki.

On kaže da su ljudi prilično nemaštoviti kada je u pitanju kreiranje lozinki i obično biraju slabe ili poznate lozinke koje koriste na više platformi. Ako se dogodi da jedan nalog bude hakovan, verovatno će i svi ostali nalozi biti ugroženi.

„Većina lozinki koje kreiraju korisnici su slabe jer imaju nisku entropiju, što znači da zaista nemaju puno slučajnosti, čak i ako se od njih zahteva „složenost“. Složenost kod većine ljudi znači da moraju da koriste veliko slovo. Većina ljudi skoro uvek stavlja veliko slovo na prvu poziciju, a obično ga prati malo slovo koje je samoglasnik.”

Većina ljudi koristi imena ili reči kao koren svoje lozinke, veliko slovo na prvoj poziciji je obično suglasnik iza kojeg sledi mali samoglasnik. Ako se od njih traži da koriste brojeve, oni će u većini slučajeva biti 1 ili 2 i biće na kraju. A ako se od njih traži da koriste simbole, oni će obično biti na kraju.

„Prosečna tastatura ima oko 94 znaka, ali većina ljudi ne koristi ni blizu toliko. Većina ljudi će koristiti istih 17 znakova za svoje lozinke.”

Ljudi ne vole da kucaju i ne vole da pamte lozinke sa 20 nasumično odabranih znakova koliko bi trebalo da ima lozinka koju čovek sam kreira.

Menadžer lozinki može lako da kreira zaista nasumične lozinke, a zatim ih možete koristiti lako, jer menadžer lozinki radi sav posao umesto vas.

Opasnosti od lozinki koje su smislili ljudi su prilično jasne: hakeri ih, uz savremenu tehnologiju, mogu pogoditi za nekoliko sekundi. Istraživački tim Cybernewsa nedavno je analizirao 56 miliona kompromitovanih i procurelih lozinki, i otkrio da je lozinka „123456“ korišćena u 111.417 slučajeva. Imajte na umu da je na internetu desetine milijardi procurelih lozinki.

Grajms je naveo sopstveni primer, rekavši da nije shvatao koliko bi bilo lako za hakere da pogode njegove lozinke a jedan od razloga za to je što su njegove lozinke imale šablon.

„Savršeno nasumična lozinka je najbolja moguća lozinka koju možete da koristite. To su lozinke koje dolaze iz menadžera lozinki.” I takva lozinka, ako ima deset znakova, nije bezbedna, jer je hakerima potrebno samo oko tri nedelje da je provale.

Ali „savršeno nasumična” lozinka od 11 znakova ili još bolje 12 znakova, je već zaista bezbedna.

Da rezimiramo: ako želite da sami smislite lozinku koja će biti neprobojna, ona mora da ima 20 znakova ili čak i više. Ako imate savršeno nasumičnu lozinku iz menadžera lozinki, onda ona može da ima samo 12 znakova.

Kako odabrati menadžer lozinki? Grajms navodi razne faktore na koje treba obratiti pažnju: da li ga podržava vaš operativni sistem, da li ima podršku za preduzeća, funkciju automatskog popunjavanja i, što je najvažnije, da li može da generiše zaista nasumične lozinke.

„Mnogi menadžeri lozinki će vam omogućiti multifaktorsku autentifikaciju da biste ih zaštitili umesto da morate da koristite glavnu lozinku (lozinku koja se koristi za prijavu u menadžer lozinki). Kod većine menadžera lozinki mora da se unese glavna lozinka da bi ih otključala. Ako možete da koristite višefaktorsku autentifikaciju da zaštitite svoj menadžer lozinki, to vam daje dodatnu sigurnost i sprečava neke vrste napada."

Naravno, i menadžeri lozinki takođe mogu biti hakovani i to daljinskim napadom, lokalnim napadom ili napadom na proizvođača.

„Ako je (napad) u vašem pretraživaču, napadači mogu odmah da preuzmu sve te lozinke veoma, veoma brzo. Ali ako imate program za upravljanje lozinkama i on je zaključan, oni neće odmah doći do vaših lozinki. Moraju ili da sačekaju da se prijavite, a zatim da vam ukradu lozinke ili će evidentirati glavnu lozinku, a zatim je iskoristiti protiv vašeg menadžera lozinki u nekom trenutku kada ne obraćate pažnju.”

Bilo da se radi o daljinskom napadu ili lokalnom napadu, ako je haker ili malver na uređaju žrtve, igra je završena.

Argument na strani menadžera lozinki je i taj što proizvođači ovog softvera imaju tendenciju da vrlo brzo zakrpe bagove. Zato je verovatnoća hakovanja menadžera lozinki mnogo manja od rizika koje nosi korišćenje sopstvenih i najčešče slabih lozinki na više veb sajtova.

Naslovna fotografija: Pixabay, Pexels