Menadžeri lozinki: ne smišljaj, generiši

Koliko puta ste se mučili da smislite lozinku koja će ispuniti sve uslove – mala i velika slova, brojevi, specijalni znakovi, dužina najmanje 10 karaktera? Gde čuvate sve lozinke i da li za svaki nalog smišljate posebnu? Lozinke spadaju među naše najosetljivije podatke, ali se mahom ne odnosimo tako prema njima. Jedan probijeni nalog dovoljan je da prouzrokuje ogromnu štetu i koristi se za druge napade, kao što je fišing.

Sa velikim brojem naloga kojima redovno pristupamo teško je smisliti i zapamtiti jedinstvene, kompleksne i duge lozinke i jednostavno ih promeniti po potrebi. Ljudi su skloni da koriste iste lozinke za više naloga, postavljaju jednostavne lozinke koje se odgovarajućim alatima mogu razbiti relativno brzo i koje retko prelaze minimalnu dužinu, što je često jednocifren broj karaktera. 

Kvalitetne lozinke uopšte ne moraju da zadaju muke jer su nam dostupni tzv. menadžeri lozinki – specijalizovani programi koji u bezbednom formatu čuvaju sve vaše kredencijale. Ti programi funkcionišu po principu glavne lozinke (master password) koju jedino treba da zapamtite ili je imate sačuvanu na bezbednom mestu jer ona otključava pristup svim ostalim kredencijalima. Takođe poseduju opciju generisanja kvalitetnih lozinki što znači da ne morate više da ih smišljate, kao i kopiranje/pejstovanje kredencijala da ne biste pogrešili prilikom ukucavanja. Još jedna korisna funkcionalnost menadžera lozinki je prepoznavanje i automatsko popunjavanje sačuvanih kredencijala (autofill) prilikom logovanja na naloge.

Potrebno je malo navikavanja, ali iskustvo pravljenja novog naloga ili ažuriranja postojećih lozinki je daleko pogodnije – i bezbednije – od pisanja po sveskama, pamćenja i vrtenja u krug istih (lako pogodivih) kombinacija karaktera. 

Neka od okruženja koja već koristite poseduju opcije upravljanja lozinkama, kao Apple keychain ili menadžeri lozinki u brauzerima, što vam može olakšati privikavanje na bezbednosnu praksu odgovornog rukovanja kredencijalima. Kasnije u tekstu ćemo predstaviti neka od popularnih i preporučenih rešenja.

Lozinke kao primarna meta

Jedna od glavnih meta malicioznih aktera su kredencijali – ako uspeju da pronađu i iskoriste ranjivost u IKT sistemu koja će im omogućiti da dođu do baza korisničkih imena, mejl adresa i lozinki, imaju otvoren put ka brojnim drugim resursima. Iako zakoni i standardi nalažu da se ovi podaci čuvaju u šifrovanoj formi, dešava se da su sačuvani u čistom tekstu, što je odlika izuzetnog nemara i predstavlja ogroman rizik. 

Pružaoci usluge menadžera lozinki se takođe mogu naći na meti napada – kompanija LastPass je krajem 2022. obelodanila bezbednosni incident u kome su napadači došli do enkriptovanih bazi lozinki korisnika, dok je u martu objavila detalje o novom napadu koji je targetirao kućni računar zaposlenog sa visoko privilegovanim pristupom korporativnom sistemu. 

Primeri menadžera lozinki

Napomena: predstavljeni menadžeri lozinki su odabrani isključivo na osnovu iskustva i javno dostupnih informacija.

KeePass

KeePass je besplatan menadžer lozinki otvorenog koda koji čuva vašu bazu lozinki u enkriptovanoj formi lokalno, tj. na hard disku računara. Poseduje brojne korisne funkcije, poput naprednog generatora lozinki prema zadatim parametrima, mogućnosti da se koristi portabilna verzija na USB fleš memoriji i podrške za dodatke (plug-ins) ako želite još funkcionalnosti. Na raspolaganju su dve verzije: 1.x je namenjena početnicima u svetu menadžera lozinki i onima koji žele da isprobaju aplikaciju, dok se 2.x preporučuje naprednijim i zahtevnijim korisnicima. Na bazi KeePass-a razvijeni su brojni drugi menadžeri lozinki kao KeePassXC ili mobilne varijante KeePassDX (Android) i KeePassium (iOS).    

Bitwarden

Jedna od najvećih prednosti Bitwarden menadžera lozinki u odnosu na lokalne varijante poput KeePass-a je to što je reč o cloud aplikaciji: vaša baza ili trezor lozinki se apdejtuje automatski i sinhronizovana je na svim uređajima na kojima ste ulogovani. Kredencijali se čuvaju uz primenu end-to-end enkripcije, što onemogućava da Bitwarden ima pristup vašem trezoru lozinki. Reč je o aplikaciji otvorenog koda koja se može koristiti besplatno, dok se dodatne pogodnosti naplaćuju. Važno je imati u vidu da Bitwarden pruža opciju implementacije aplikacije na organizacionom nivou, što je naročito povoljno za kompanije i organizacije kojima je neophodno da uspostave politike upotrebe lozinki. Ukoliko to žele, organizacije mogu same da hostuju Bitwarden instancu na njihovom serveru.

Proton Pass

Prinova u Proton porodici enkriptovanih proizvoda (mejl, VPN, kalendar itd) je Proton Pass, takođe softver otvorenog koda sa mnoštvom korisnih funkcija u okviru besplatnog naloga. Dostupan je kao dodatak za popularne brauzere (Firefox, Brave, Chrome, Edge) i mobilna aplikacija, a najavljene su i desktop verzije za popularne operativne sisteme. Korisna mogućnost je kreiranje mejl alijasa direktno u aplikaciji, čime štitite vašu pravu mejl adresu u slučaju curenja podataka i drugih bezbednosnih incidenata, o čemu smo već pisali. Proton Pass vam takođe omogućava da u okviru aplikacije čuvate enkriptovane beleške. 

Nemojte da vas mrzi

Kao što piše na početku teksta, potrebno je privikavanje na menadžere lozinki ali malo uloženog vremena i truda u velikoj meri podiže bezbednost na internetu. Kreiranje novih naloga i logovanje na postojeće će vam biti znatno olakšano. U zavisnosti od potreba i svakodnevnih navika, postoji više opcija za menadžment lozinki od kojih smo neke ponudili u ovom tekstu. Za kraj, podsećamo vas da na servisu Have I Been Pwned proverite da li su onlajn servisi koje koristite bili pogođeni incidentima i da ako jesu što pre promenite lozinku. Dobra prilika da se isproba i uvežba korišćenje menadžera lozinki.