Sami smišljate svoje lozinke? Evo zašto to ne bi trebalo da radite

Vaša lozinka je najvjerovatnije već kompromitovana ili će biti u bliskoj budućnosti. Zbog toga je korišctenje menadžera lozinki koji može da generiše zaista nasumične lozinke toliko bitno, kaže stručnjak za bezbjednost Roger Graims iz kompanije koja se bavi edukacijom o sajber bezbjednosti KnowBe4.

Govoreći na vebinaru, Graims, koji se decenijama bavi hakovanjem i koji je autor brojnih članaka o sajber bezbjednosti, iznio je razloge zašto treba koristiti menadžer lozinki.

On kaže da su ljudi prilično nemaštoviti kada je u pitanju kreiranje lozinki i obično biraju slabe ili poznate lozinke koje koriste na više platformi. Ako se dogodi da jedan nalog bude hakovan, vjerovatno će i svi ostali nalozi biti ugroženi.

"Većina lozinki koje kreiraju korisnici su slabe jer imaju nisku entropiju, što znači da zaista nemaju puno slučajnosti, čak i ako se od njih zahtijeva "složenost". Složenost kod većine ljudi znači da moraju da koriste veliko slovo. Većina ljudi skoro uvijek stavlja veliko slovo na prvu poziciju, a obično ga prati malo slovo koje je samoglasnik."

Većina ljudi koristi imena ili riječi kao koren svoje lozinke, veliko slovo na prvoj poziciji je obično suglasnik iza kojeg slijedi mali samoglasnik. Ako se od njih traži da koriste brojeve, oni će u većini slučajeva biti 1 ili 2 i biće na kraju. A ako se od njih traži da koriste simbole, oni će obično biti na kraju.

"Prosječna tastatura ima oko 94 znaka, ali većina ljudi ne koristi ni blizu toliko. Većina ljudi će koristiti istih 17 znakova za svoje lozinke."

Ljudi ne vole da kucaju i ne vole da pamte lozinke sa 20 nasumično odabranih znakova koliko bi trebalo da ima lozinka koju čovjek sam kreira.

Menadžer lozinki može lako da kreira zaista nasumične lozinke, a zatim ih možete koristiti lako, jer menadžer lozinki radi sav posao umjesto vas.

Opasnosti od lozinki koje su smislili ljudi su prilično jasne: hakeri ih, uz savremenu tehnologiju, mogu pogoditi za nekoliko sekundi. Istraživački tim Cybernewsa nedavno je analizirao 56 miliona kompromitovanih i procurjelih lozinki, i otkrio da je lozinka "123456" korišctena u 111.417 slučajeva. Imajte na umu da je na internetu desetine milijardi procurjelih lozinki.

Graims je naveo sopstveni primer, rekavši da nije shvatao koliko bi bilo lako za hakere da pogode njegove lozinke a jedan od razloga za to je što su njegove lozinke imale šablon.

"Savršeno nasumična lozinka je najbolja moguća lozinka koju možete da koristite. To su lozinke koje dolaze iz menadžera lozinki." I takva lozinka, ako ima deset znakova, nije bezbjedna, jer je hakerima potrebno samo oko tri nedjelje da je provale.

Ali "savršeno nasumična" lozinka od 11 znakova ili još bolje 12 znakova, je već zaista bezbjedna.

Da rezimiramo: ako želite da sami smislite lozinku koja će biti neprobojna, ona mora da ima 20 znakova ili čak i više. Ako imate savršeno nasumičnu lozinku iz menadžera lozinki, onda ona može da ima samo 12 znakova.

Kako odabrati menadžer lozinki? Graims navodi razne faktore na koje treba obratiti pažnju: da li ga podržava vaš operativni sistem, da li ima podršku za preduzeća, funkciju automatskog popunjavanja i, što je najvažnije, da li može da generiše zaista nasumične lozinke.

"Mnogi menadžeri lozinki će vam omogućiti multifaktorsku autentifikaciju da biste ih zaštitili umjesto da morate da koristite glavnu lozinku (lozinku koja se koristi za prijavu u menadžer lozinki). Kod većine menadžera lozinki mora da se unese glavna lozinka da bi ih otključala. Ako možete da koristite višefaktorsku autentifikaciju da zaštitite svoj menadžer lozinki, to vam daje dodatnu sigurnost i sprječava neke vrste napada."

Naravno, i menadžeri lozinki takođe mogu biti hakovani i to daljinskim napadom, lokalnim napadom ili napadom na proizvođača.

"Ako je (napad) u vašem pretraživaču, napadači mogu odmah da preuzmu sve te lozinke veoma, veoma brzo. Ali ako imate program za upravljanje lozinkama i on je zaključan, oni neće odmah doći do vaših lozinki. Moraju ili da sačekaju da se prijavite, a zatim da vam ukradu lozinke ili će evidentirati glavnu lozinku, a zatim je iskoristiti protiv vašeg menadžera lozinki u nekom trenutku kada ne obraćate pažnju, prenosi Informacija.rs.

Bilo da se radi o daljinskom napadu ili lokalnom napadu, ako je haker ili malver na uređaju žrtve, igra je završena.

Argument na strani menadžera lozinki je i taj što proizvođači ovog softvera imaju tendenciju da vrlo brzo zakrpe bagove. Zato je vjerovatnoća hakovanja menadžera lozinki mnogo manja od rizika koje nosi korišctenje sopstvenih i najčešče slabih lozinki na više veb sajtova.