Vesti

Menadžeri lozinki: ne smišljaj, generiši

Koliko puta ste se mučili da smislite lozinku koja će ispuniti sve uslove – mala i velika slova, brojevi, specijalni znakovi, dužina najmanje 10 karaktera? Gde čuvate sve lozinke i da li za svaki nalog smišljate posebnu? Lozinke spadaju među naše najosetljivije podatke, ali se mahom ne odnosimo tako prema njima. Jedan probijeni nalog dovoljan je da prouzrokuje ogromnu štetu i koristi se za druge napade, kao što je fišing.

Sa velikim brojem naloga kojima redovno pristupamo teško je smisliti i zapamtiti jedinstvene, kompleksne i duge lozinke i jednostavno ih promeniti po potrebi. Ljudi su skloni da koriste iste lozinke za više naloga, postavljaju jednostavne lozinke koje se odgovarajućim alatima mogu razbiti relativno brzo i koje retko prelaze minimalnu dužinu, što je često jednocifren broj karaktera. 

Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni tzv. menadžeri lozinki – specijalizovani programi koji u bezbednom formatu čuvaju sve vaše kredencijale. Ti programi funkcionišu po principu glavne lozinke (master password) koju jedino treba da zapamtite ili je imate sačuvanu na bezbednom mestu jer ona otključava pristup svim ostalim kredencijalima. Takođe poseduju opciju generisanja kvalitetnih lozinki što znači da ne morate više da ih smišljate, kao i kopiranje/pejstovanje kredencijala da ne biste pogrešili prilikom ukucavanja. Još jedna korisna funkcionalnost menadžera lozinki je prepoznavanje i automatsko popunjavanje sačuvanih kredencijala (autofill) prilikom logovanja na naloge.

Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije – od pisanja po sveskama, pamćenja i vrtenja u krug istih (lako pogodivih) kombinacija karaktera. 

Neka od okruženja koja već koristite poseduju opcije upravljanja lozinkama, kao Apple keychain ili menadžeri lozinki u brauzerima, što vam može olakšati privikavanje na bezbednosnu praksu odgovornog rukovanja kredencijalima. Kasnije u tekstu ćemo predstaviti neka od popularnih i preporučenih rešenja.

Lozinke kao primarna meta

Jedna od glavnih meta malicioznih aktera su kredencijali – ako uspeju da pronađu i iskoriste ranjivost u IKT sistemu koja će im omogućiti da dođu do baza korisničkih imena, mejl adresa i lozinki, imaju otvoren put ka brojnim drugim resursima. Iako zakoni i standardi nalažu da se ovi podaci čuvaju u šifrovanoj formi, dešava se da su sačuvani u čistom tekstu, što je odlika izuzetnog nemara i predstavlja ogroman rizik. 

Pružaoci usluge menadžera lozinki se takođe mogu naći na meti napada – kompanija LastPass je krajem 2022. obelodanila bezbednosni incident u kome su napadači došli do enkriptovanih bazi lozinki korisnika, dok je u martu objavila detalje o novom napadu koji je targetirao kućni računar zaposlenog sa visoko privilegovanim pristupom korporativnom sistemu. 

Primeri menadžera lozinki

Napomena: predstavljeni menadžeri lozinki su odabrani isključivo na osnovu iskustva i javno dostupnih informacija.

KeePass

KeePass je besplatan menadžer lozinki otvorenog koda koji čuva vašu bazu lozinki u enkriptovanoj formi lokalno, tj. na hard disku računara. Poseduje brojne korisne funkcije, poput naprednog generatora lozinki prema zadatim parametrima, mogućnosti da se koristi portabilna verzija na USB fleš memoriji i podrške za dodatke (plug-ins) ako želite još funkcionalnosti. Na raspolaganju su dve verzije: 1.x je namenjena početnicima u svetu menadžera lozinki i onima koji žele da isprobaju aplikaciju, dok se 2.x preporučuje naprednijim i zahtevnijim korisnicima. Na bazi KeePass-a razvijeni su brojni drugi menadžeri lozinki kao KeePassXC ili mobilne varijante KeePassDX (Android) i KeePassium (iOS).    

Bitwarden

Jedna od najvećih prednosti Bitwarden menadžera lozinki u odnosu na lokalne varijante poput KeePass-a je to što je reč o cloud aplikaciji: vaša baza ili trezor lozinki se apdejtuje automatski i sinhronizovana je na svim uređajima na kojima ste ulogovani. Kredencijali se čuvaju uz primenu end-to-end enkripcije, što onemogućava da Bitwarden ima pristup vašem trezoru lozinki. Reč je o aplikaciji otvorenog koda koja se može koristiti besplatno, dok se dodatne pogodnosti naplaćuju. Važno je imati u vidu da Bitwarden pruža opciju implementacije aplikacije na organizacionom nivou, što je naročito povoljno za kompanije i organizacije kojima je neophodno da uspostave politike upotrebe lozinki. Ukoliko to žele, organizacije mogu same da hostuju Bitwarden instancu na njihovom serveru.

Proton Pass

Prinova u Proton porodici enkriptovanih proizvoda (mejl, VPN, kalendar itd) je Proton Pass, takođe softver otvorenog koda sa mnoštvom korisnih funkcija u okviru besplatnog naloga. Dostupan je kao dodatak za popularne brauzere (Firefox, Brave, Chrome, Edge) i mobilna aplikacija, a najavljene su i desktop verzije za popularne operativne sisteme. Korisna mogućnost je kreiranje mejl alijasa direktno u aplikaciji, čime štitite vašu pravu mejl adresu u slučaju curenja podataka i drugih bezbednosnih incidenata, o čemu smo već pisali. Proton Pass vam takođe omogućava da u okviru aplikacije čuvate enkriptovane beleške. 

Nemojte da vas mrzi

Kao što piše na početku teksta, potrebno je privikavanje na menadžere lozinki ali malo uloženog vremena i truda u velikoj meri podiže bezbednost na internetu. Kreiranje novih naloga i logovanje na postojeće će vam biti znatno olakšano. U zavisnosti od potreba i svakodnevnih navika, postoji više opcija za menadžment lozinki od kojih smo neke ponudili u ovom tekstu. Za kraj, podsećamo vas da na servisu Have I Been Pwned proverite da li su onlajn servisi koje koristite bili pogođeni incidentima i da ako jesu što pre promenite lozinku. Dobra prilika da se isproba i uvežba korišćenje menadžera lozinki.

Povezani sadržaj

Treninzi za novinare: zaštita podataka o ličnosti

SHARE Fondacija u saradnji sa Misijom OEBS-a u Srbiji organizuje besplatni online trening iz oblasti zaštite podataka o ličnosti za novinare i medijske organizacije širom Srbije. Cilj treninga je da unapredi poštovanje zaštite podataka o ličnosti i pomogne medijima da implementiraju propise, standarde i dobre prakse u skladu sa njihovim mogućnostima. Sprovođenje treninga je podržano […]

Zašto je svake godine sve teže pratiti izbornu kampanju na mrežama?

Uoči novih izbora i predizborne kampanje, koja deluje da će biti intenzivna koliko i kratka (6 nedelja), opet smo suočeni sa komplikovanom situacijom – kako istraživati kampanje na društvenim mrežama kada u svakom izbornom ciklusu imamo sve manji pristup podacima? Kakve su razlike u odnosu na prethone izborne cikluse i zašto se opseg dostupnih podataka […]

Projekat Pegasus: šta se dogodilo i kako se zaštititi

Više od 180 novinara otkriveno je u bazi telefona određenih za potencijalnu špijunažu, zahvaljujući curenju dokumenata predatih novinarskom kolektivu Forbidden Stories i organizaciji Amnesty International. Izbor meta za nadzor pravili su klijenti izraelske firme NSO, specijalizovane za proizvodnju špijunskog softvera koji prodaje vladama širom sveta. Njen primarni proizvod, Pegasus, može da kompromituje telefon, izvuče iz njega sve podatke […]