{"id":3220,"date":"2019-02-24T14:06:40","date_gmt":"2019-02-24T13:06:40","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=3220"},"modified":"2023-08-12T17:25:43","modified_gmt":"2023-08-12T15:25:43","slug":"lozinka-password-sifra","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/","title":{"rendered":"Lozinka \/ Password \/ \u0160ifra"},"content":{"rendered":"

Tehnologija nezadr\u017eivo napreduje, me\u0111utim jedna stvar je nezaobilazno jo\u0161 uvijek u upotrebi: lozinka.<\/span>
\n<\/span><\/span><\/p>\n

\"Lozinka

Lozinka \/ Password \/ \u0160ifra<\/p><\/div>\n

Lozinka (koriste se i izrazi: \u0161ifra, k\u00f4d) je kombinacija znakova (slova, brojeva, simbola i sl.) koje za\u0161ti\u0107eni dokument, ure\u0111aj, sistem ili servis istom pamti, te svaki put kada korisnik \u017eeli pristup, od njega se tra\u017ei unos te lozinke, \u010dime se utvr\u0111uje njegovo pravo da pristupa. Da, lozinke su nu\u017eno zlo. Danas imate nalog na internetu za: elektronsku po\u0161tu, banku, za skladi\u0161tenje u oblaku, kupovinu, rezervacije putovanja, posao, dru\u0161tvene mre\u017ee, igre, itd. Korisnik \u017eeli da pristupi potrebnom resursu i da ga upotrijebi, me\u0111utim svaki resurs tra\u017ei lozinku i preporu\u010duje da se ta lozinka ne koristi na drugom mjestu.<\/span><\/p>\n

Uop\u0161te nije te\u0161ko zamisliti da ignori\u0161emo upozorenja, pa koristimo dvije ili tri lozinke na svim nalozima koje imamo. Da stvari budu jo\u0161 zanimljivije, te iste lozinke ispi\u0161emo na papiru i to zalijepimo na ku\u0107i\u0161te ra\u010dunara ili prepustimo pretra\u017eiva\u010du interneta da ih zapamti umjesto nas, uporno ignori\u0161u\u0107i sigurnosne preporuke, pa je gotovo nemogu\u0107e da u jednom trenutku danas ne budete hakovani. Korisni\u010dki nalozi vrijede \u010ditavo bogatstvo napada\u010dima (hakerima) \u2013 koristi\u0107e ih za ucjenu, slanje ne\u017eenje po\u0161te drugim korisnicima, instalaciju zlonamjernog softvera<\/a> itd. To se mo\u017ee vidjeti na primjeru velikih kompanija koje ula\u017eu ogromne sume novca na sigurnost, a napadnute su i podaci su ukradeni kompanijama: TalkTalk, Yahoo!, Dropbox, Google, Facebook i <\/em>drugim. Ukratko re\u010deno, treba da se pobrinuti da hakovanjem jednog od naloga ne omogu\u0107i hakerima pristup svim ostalim nalozima koje korisnik posjeduje.<\/span><\/p>\n

Kada \u010dujemo za da je izvr\u0161en veliki hakerski napad, to uvijek zvu\u010di kao da je bio nevjerovatno zahtjevan i komplikovan. Me\u0111utim, vrlo \u010desto, istina je da su napada\u010di koristili rije\u010di iz rje\u010dnik kao osnovu za napad preko lozinki, oslanjaju\u0107i se na slabe korisni\u010dke lozinke i uspjeli. Ako pogledamo neke od \u201enajpopularnijih\u201c lozinki koje su bile ponu\u0111ene za prodaju na Internetu u poslednje vrijeme istina nije daleko:<\/span><\/p>\n

\"pass

“Najpopularnije” lozinke<\/p><\/div>\n

Svako bi trebao da koristi duge i te\u0161ke za pogoditi lozinke, koje su jedinstvene za svaki nalog. Na taj na\u010din, gubitak jednog naloga, ne\u0107e uticati na druge.<\/span><\/p>\n

Prije nego \u0161to shvatimo da trebamo promjenu pristupa kori\u0161tenja lozinki, potrebno je u potpunosti razumjeti kako lozinke funkcioni\u0161u i kako jedna lo\u0161a navika u njihovom kori\u0161tenju mo\u017ee biti sigurnosni propust za \u010ditav va\u0161 \u017eivot. Najjednostavnije re\u010deno, lozinke se skladi\u0161te zajedno sa korisni\u010dkim imenom u bazu podataka. Kada popunite obrazac za prijavu sa svojim korisni\u010dkim imenom i lozinkom, vr\u0161i se provjera da li podaci odgovaraju unosu u bazi podataka, ako da – vi mo\u017eete koristi zahtijevani resurs. Naravno, baza podataka nije obi\u010dan tekst. Malo je komplikovanije od toga, u protivnom svaki napada\u010d bi bio u mogu\u0107nosti do\u0111e to tih informacija. Ni jedan ozbiljan servis ne\u0107e korisni\u010dke informacije \u010duvati kao obi\u010dan tekst. U praksi korisni\u010dka informacija za prijavu i kori\u0161tenje servisa trebalo bi da da se skladi\u0161ti kao \u201eha\u0161\u201c (eng. hash<\/em>) algoritam \u2013 \u0161to je u ovom slu\u010daju naziv za jedinstvenu kombinaciju slova i brojeva koja predstavlja korisni\u010dki podatak. Uzmimo za primjer rije\u010d \u201elozinka\u201c, MD5<\/em> ha\u0161 algoritam za ovu rije\u010d je 8aa87050051efe26091a13dbfdf901c6<\/em>. Kada popunite polje za prijavu na nekom od servisa i potvrdite prijavu, taj servis bi trebao da uporedi ha\u0161 lozinke koju ste upisali sa onim koji je sa\u010duvan u bazi pored va\u0161eg korisni\u010dkog imena. Ako je vrijednost identi\u010dna, prijava je uspje\u0161na, u suprotnom morate poku\u0161ati ponovo.<\/span><\/p>\n

Ove vrijednosti ne mogu obrnutim in\u017einjeringom biti vra\u0107ene u tekst, ali ove vrijednosti za naj\u010de\u0161\u0107e kori\u0161tene lozinke su dobro poznate, tako da nije te\u0161ko napisati program koji \u0107e uporediti sve ukradene lozinke sa poznatim ha\u0161 vrijednostima. Sa druge strane, kompanije koje brinu o sigurnosti svojih korisnika koriste dodatnu za\u0161titu koriste\u0107i ne\u0161to \u0161to nosi termin\u00a0 \u201esalt<\/em>\u201c, odnosno dodatak. U ovom slu\u010daju, samoj lozinci se dodaje korisni\u010dko ime, adresa elektronske po\u0161te i sl. Tako da u na\u0161em primjeru iznad smo koristili pojam \u201elozinka<\/em>\u201c , ako sada njemu dodamo korisni\u010dko ime \u201ekorisnik<\/em>\u201c (korisniklozinka) dobijamo novu ha\u0161 vrijednost 76d77b52462fb753658e4e72f9e3136b<\/em>. U slu\u010daju kra\u0111e, napada\u010d \u0107e vjerovatno znati korisni\u010dko ime, ali ne\u0107e mo\u0107i da u navedenoj vrijednosti odredi \u0161ta je dodatak. Uz to, u posljednje vrijeme servisi su po\u010deli da pored kori\u0161tenja navedenih na\u010dina za\u0161tite baze podataka sa lozinkama, vr\u0161e enkripciju iste kao na\u010din dodatne za\u0161tite. \u00a0Ipak, na kraju ne mo\u017eemo sa sigurno\u0161\u0107u re\u0107i koji servis koristi sigurnije \u010duvanje lozinki, a koji ne. Ako se koristi jedna lozinka na vi\u0161e servisa, dovoljno je da samo jedan ima sigurnosni propust i svi va\u0161i servisi \u0107e biti dostupni napada\u010du ili napada\u010dima, bez obzira koliko ta lozinka bila \u201ejaka<\/em>\u201c. Zato je veoma va\u017eno imati jedinstvenu lozinku za svaki servis i \u010duvati je na siguran na\u010din.<\/span><\/p>\n

Svim je poznata osnova kreiranja lozinki, pa tako i na ve\u0107ini ozbiljnijih servisa prilikom prijave biti \u0107e prikazana obojena traka koja \u0107e pokazivati koliko je lozinka jaka. Naravno, tra\u017ei se da koristite velika i mala slova, brojeve i simbole; da lozinka bude \u0161to du\u017ea \u2013 minimalno osam znakova, a da ne koristite svoje ime, prezime ili korisni\u010dko ime i sl. To su sve korisni savjeti, ali takvu lozinku je te\u0161ko zapamtiti. Zbog toga su se po\u010deli koristiti \u201etajni izrazi<\/em>\u201c (passphrases<\/em>) kao lak\u0161i na\u010din za upotrebu i pam\u0107enje. Treba napomenuti da ovi tajni izrazi koriste rije\u010di koje se nalaze u rje\u010dniku, tako da je dobra praksa koristiti rije\u010di za koje ne bi imalo smisla da budu jedna pored druge. Ipak, skora\u0161nja istra\u017eivanja su pokazala da ovi tajni izrazi, iako su du\u017ei nisu sigurniji od kra\u0107ih kompleksnijih lozinki. Razlog se krije u tome \u0161to korisnici nisu u stanju da odaberu nasumi\u010dne rije\u010di, ve\u0107 koriste re\u010denice koje se koriste u svakodnevnom razgovoru. Zaklju\u010dak sprovedenih istra\u017eivanja pokazuje da je koncept tajnog izraza dobar, me\u0111utim korisnik je taj koji bira da koristi tajni izraz koji kao re\u010denica ima smisla, a sa tim postaje mnogo manje siguran za upotrebu.<\/span><\/p>\n

 <\/p>\n

Sa druge strane tajni izraz je dobar na\u010din za pravljenje osnovne lozinke na sljede\u0107i na\u010din:<\/span><\/p>\n

    \n
  1. Smisliti dobar tajni izraz. Npr. Ra\u010dunar koristim za pristup Internetu kada sam ku\u0107i<\/em>.<\/span><\/li>\n
  2. Iskoristiti prvo slovo svake rije\u010di: RkzpIksk<\/em><\/span><\/li>\n
  3. Ako se lozinka namjerava koristiti za pla\u0107anje preko Interneta, prona\u0107i rije\u010d koja asocira na to (npr. kupovina<\/em>) i ubaciti je prije zadnja dva slova u izrazu iznad, sa tim da drugo i zadnje slovo budu velika slova.<\/span><\/li>\n
  4. Nakon drugog slova u izrazu RkzpIksk<\/em> dodati broj (npr. 7<\/em>)<\/span><\/li>\n
  5. Prilikom ubacivanja u izraz RkzpIksk<\/em> rije\u010di kupovina, prije prvog slova staviti zvjezdicu, a posle zadnjeg navodnik.<\/span><\/li>\n
  6. Koriste\u0107i iznad sve navedeno, lozinka izgleda ovako: Rk7zpIk*kUpovinA\u201csk<\/em><\/span><\/li>\n
  7. Svaka budu\u0107a lozinka bi trebalo da koristi ovaj obrazac, sa tim da dodatna rije\u010d bude svaki put druga\u010dija.<\/span><\/li>\n<\/ol>\n

     <\/p>\n

    Na ovaj na\u010din svaki korisnik je u mogu\u0107nosti da napravi \u0161irok spektar lozinki za kori\u0161tenje, a da te lozinke budu jedinstvene i te\u0161ke za pogoditi. Sa druge strane, nakon nekoliko poku\u0161aja svi \u0107e se slo\u017eiti da je te\u0161ko zapamtiti ovih nekoliko koraka, a vrlo vjerovatno da \u0107e asocijacija na dodatnu rije\u010d, naravno, biti zaboravljena. Na sve ovo ako se dodaju i gre\u0161ke u unosu, ova opcija \u0107e biti brzo odba\u010dena u potrazi za ne\u010dim jednostavnijim.<\/span><\/p>\n

    U situaciji kada korisnik ima \u010ditav arsenal sigurnih lozinki, javlja se problem pam\u0107enja. Pretra\u017eiva\u010di interneta omogu\u0107avaju i nude da sa\u010duvaju lozinke kada prepoznaju formu za prijavu. Na\u017ealost, postoji nekoliko vrlo jednostavnih i besplatnih alata koji mogu da izvuku i prika\u017eu lozinke koje su sa\u010duvane u Internet pretra\u017eiva\u010dima. Ovdje u pomo\u0107 dolaze menad\u017eeri za lozinke, a najbolji su oni koji omogu\u0107avaju \u010duvanje lozinki u oblaku, daju\u0107i mogu\u0107nost pristupa sa bilo koje lokacije koriste\u0107i samo jednu kompleksnu glavnu lozinku. Nedostatak ovog sistema je to \u0161to korisnik nema vi\u0161e kontrolu, pa hakovanje davaoca usluge mo\u017ee da ugrozi korisni\u010dke lozinke. Za paranoi\u010dne korisnike ostaje opcija sa menad\u017eerima lozinki koji \u010duvaju lozinke samo lokalno na ure\u0111aju, uz nedostatak stalnog pristupa lozinkama sa svake lokacije.<\/span><\/p>\n

    Sa druge strane, uz sve navedeno i jo\u0161 malo dodatnog korisni\u010dkog truda, korisnik mo\u017ee koristiti i verifikacija u dva koraka (two-factor authentication \u2013 2FA<\/em>). Ova opcija omogu\u0107ava korisniku dodatnu za\u0161titu u slu\u010daju hakovanja korisni\u010dkog naloga. Ovo podrazumijeva povezivanje korisni\u010dkog broja telefona ili drugog naloga elektronske po\u0161te sa korisni\u010dkim nalogom koji se \u017eeli dodatno za\u0161titi. Kada se korisnik prijavi na ovako za\u0161ti\u0107en nalog, korisniku \u0107e biti poslat sigurnosni kod koji mora dodatno unijeti da bi kona\u010dno mogao koristiti \u017eeljeni servis. Napada\u010di su uspjeli prona\u0107i i nedostatak u ovom sistemu za\u0161tite, pa su uspjeli napraviti mehanizam za presretanje verifikacije u dva koraka (2FA<\/em>) preko SMS<\/em> poruka koriste\u0107i podatke o brojevima telefona i adresama elektronske po\u0161te iz prethodno hakovanih servisa.<\/span><\/p>\n

     <\/p>\n

    Postoji mnogo na\u010dina na koje hakeri dolaze do va\u0161ih lozinki, ovdje \u0107emo navesti neke koji se naj\u010de\u0161\u0107e koriste:<\/span><\/p>\n

     <\/p>\n

    Nasilno probijanje (Brute force<\/em>) \u2013<\/strong> je jednostavan na\u010din po kojem napada\u010d poku\u0161ava razene kombinacije lozinki po sistemu gre\u0161ke i uspjeha. Ovaj na\u010din napada se usavr\u0161io tokom vremena i sada napada\u010di prvo generi\u0161u ogromnu listu potencijalnih lozinki, a uz to koriste ogromne baze ukradenih lozinki koje razmjenjuju ili otkupljuju me\u0111usobno i tako pove\u0107avaju \u0161anse za uspjeh napada.<\/span><\/p>\n

    Popunjavanje kredencijala (Credential Stuffing<\/em>) \u2013<\/strong> je vrsta napada gdje je napada\u010d do\u0161ao u posjed ukradenih kredencijala (korisni\u010dkog imena, lozinke, elektronske po\u0161te i sl.) na jednom mjestu i sada poku\u0161ava automatizovanim napadom da unese te podatke u servise koji bi mogli imati veze sa ukradenim korisni\u010dkim kredencijalima. Ovaj napad se oslanja na naviku korisnika da recikliraju lozinke (ponovno kori\u0161tenje starih lozinki) ili naviku da se jedna lozinka koristi na vi\u0161e korisni\u010dkih naloga.<\/span><\/p>\n

    Servisne baze podataka \u2013<\/strong> Ovdje se ne radi samo o tome kako vi \u010duvate svoje podatke, ve\u0107 kako se drugi brinu o va\u0161oj sigurnosti. Bilo da se radi o davaocu internet usluge (ISP<\/em>), dru\u0161tvenoj mre\u017ei, hotelu, doktoru i sli\u010dno, svi imaju podatke o vama. Ako neko ima lo\u0161u praksu implementacije sigurnosnih zakrpa, ne koristi enkripciju podataka, ne omogu\u0107ava verifikaciju u dva koraka (2FA<\/em>), rezultat za vas mo\u017ee biti isti \u2013 napada\u010dima je olak\u0161an pristup va\u0161im podacima i vrlo vjerovatno da \u0107e do\u0107i do njih.<\/span><\/p>\n

    Pecanje (Phishing<\/em>) \u2013<\/strong> ova vrsta napada podrazumijeva kori\u0161tenje la\u017ene elektorske po\u0161te ili internet stranica, napravljenih tako da izgledaju kao prava stvar \u2013 kori\u0161tenje pravog teksta, dizajna, loga i ostalih elemenata kako bi vas uspje\u0161no prevarili. Ovdje je potrebno da kliknete na link ili unesete svoju lozinku i na taj na\u010din svoje podatke predate napada\u010dima.<\/span><\/p>\n

    Javni Wi-Fi<\/em> \u2013<\/strong> sam naziv ka\u017ee da javni Wi-Fi<\/em> nije privatan. Ova \u010dinjenica je poznata i op\u0161te prihva\u0107ena, me\u0111utim manje je poznato da napada\u010di mogu da izvr\u0161e nadzor javne mre\u017ee i da presretnu i analiziraju va\u0161u komunikaciju i tako do\u0111u do va\u0161ih kredencijala.<\/span><\/p>\n

    Zlonamjeran softver \u2013<\/strong> napada\u010di u dana\u0161nje vrijeme koriste razne vrste zlonamjernog softvera. Kada su korisni\u010dki kredencijali u pitanju napada\u010di koriste zlonamjerni softver za \u201ei\u0161\u010ditavanje<\/em>\u201c \u00a0lozinki iz programskih skladi\u0161ta na va\u0161em ure\u0111aju ili tzv. keylogger<\/em><\/a> zlonamjerni softver koji prati va\u0161u aktivnost unosa na tastaturi, snima i \u0161alje napada\u010du na analizu.<\/span><\/p>\n

    Slu\u010dajnost \u2013<\/strong> List papira sa nazivima servisa koje koristite uz korisni\u010dka imena i lozinke, ostavljen kraj ra\u010dunara, zalijepljen na monitor, sakriven ispod tastature, uba\u010den u rokovnik i sl. \u2013 mo\u017ee biti izgubljen ili uzet. Ako ste meta napada, neko \u0107e sigurno iskoristiti ovu priliku.<\/span><\/p>\n

    Tehnolo\u0161ka budu\u0107nost verifikacije korisnika je neizvjesna. Postoje biometrijska autentifikacija, autentifikacija oka, autentifikacija lica, razli\u010dite verzije autentifikacije koriste\u0107i razli\u010dite stvari (satove, nakit, tetova\u017ee i sl). Kako god, alternativni pristup pove\u0107ava cijenu kori\u0161tenja usluge, jer je potreban dodatni hardver, javlja se problem integracije sa postoje\u0107im sistemima i \u010desto je komplikovan za upotrebu, dok se lozinke lako kreiraju i potpuno su besplatne. Na vama je da se za\u0161titite najbolje \u0161to mo\u017eete…<\/span><\/p>","protected":false},"excerpt":{"rendered":"

    Tehnologija nezadr\u017eivo napreduje, me\u0111utim jedna stvar je nezaobilazno jo\u0161 uvijek u upotrebi: lozinka. Lozinka (koriste se i izrazi: \u0161ifra, k\u00f4d) je kombinacija znakova (slova, brojeva, simbola i sl.) koje za\u0161ti\u0107eni dokument, ure\u0111aj, sistem ili...<\/p>","protected":false},"author":1,"featured_media":3230,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[63,54,60],"class_list":["post-3220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-info","tag-lozinka","tag-sajber-bezbjednost","tag-socijalni-inzinjering"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=3220"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3220\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/3230"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=3220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=3220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=3220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}