Лозинке

Аутор: Никола Харди

Иако постоје савременије методе које омогућавају боље начине за утврђивање идентитета корисника, лозинке су још увек најчешћи избор и то се вероватно неће променити још неко време. Управо због тога што су лозинке најчешћи избор, о њима би требало повести рачуна. Постоји неколико битних ствари на које треба обратити пажњу а најважније су генерисање лозинки, њихово чување и обнављање. Добра лозинка је само први корак за очување приватности и виртуелних идентитета али независно од сложености лозинке, увек треба пазити и на крађу. Лажни сајтови (phishing), крађа колачића (cookie stealing), снимање тастатуре (keylogging), пресретање конекције (man-in-the-middle) и сличне методе могу и те како да угрозе идентитет и податке корисника без обзира на сложеност лозинке коју користе.

При избору лозинке најчешће се приступа неком од следећа два метода: насумице генерисане лозинке или лозинке измишљене од стране корисника. Сложеност првих је углавном могуће лако измерити, док код мерења сложености „људских“ лозинки постоји и фактор познавања и погађања лозинке на основу познавања личних података о кориснику. Сложеност лозинке у уопштеном случају представља број покушаја који је неопходан да неко погоди лозинку, било „насилним методама“ (bruteforce) или укључивањем личних података о жртви (датум рођења, имена чланова породице, омиљени бендови, хобији). Дакле, лозинка има улогу да закомпликује посао онима који желе да је погоде и имајте то на уму.

Најчешћи приступ је да корисник комбинује неколико њему важних информација. Надимак, број куће или стана, име кућног љубимца у комбинацији са неким бројевима као што су број куће, неке важне године или датуми, бројеви телефона могу релативно лако да се погоде јер је број комбинација најчешће довољно мали. Уз мало креативности и овакве лозинке могу да постану, ако ништа друго, довољно добре. Неке од најчешћих метода за побољшавање оваквих лозинки су мењање слова знаковима и бројевима. На пример, заменити слово О нулом или слово А са 4 или @, слово L јединицом, изоставити самогласнике, мешати мала и велика слова и тако даље. Други занимљив приступ је да из неке реченице која се лако памти или из стиха узмемо само прва слова сваке речи. На пример од реченице „Нећу да користим власнички програм јер постоји слободан.“ може да се добије следећа лозинка – ndkvpjps. Лако се памти а наизглед не постоји никакав смисао. Када се ту убаце још велика и мала слова, добија се следећи резултат – NdkvPJps. На крају, убацимо још који број и знак – 4NDk\/PJp$2. Ово већ личи на озбиљну лозинку.

Људској машти нема краја али некада нас једноставно мрзи да будемо креативни и смислимо нову лозинку. Ту могу да нам помогну рачунари, тако што ће на неки начин да генеришу насумичан низ карактера (слова, знакова, бројева или неке комбинације по избору). Битно је напоменути да је врло тешко генерисати потпуно насумичан низ бројева (слова и знакови су такође бројеви) па програми за генерисање насумичних података често користе и променљиве факторе као што су тренутно време, садржај неки датотека на диску или позиција показивача миша. Код оваквих лозинки имамо могућност да изаберемо жељену сложеност лозинке на коју утичу њена дужина и скуп знакова који су употребљени и без проблема можемо добити лозинке чија је ентропија стотинак битова, што је довољно за свакодневну употребу. Ево примера једне овакве лозинке чија је ентропија 88 битова –

c%H@L+dAMlaXEk:8P53GY.2pz:Lo;hcN

Иако су овакве лозинке изузетно сложене, оне имају пар мана практичног карактера. Тешко се памте, оне дуже је практично немогуће запамтити. Решење су програми за управљање лозинкама који омогућују да лозинке буду сачуване на безбедном месту а помажу и при уносу лозинки али други проблем који се јавља је како да се пријавите када не радите на својем рачунару?

Програми за чување лозинки најчешће имају неколико заједничких особина, као што су главна (master) лозинка за откључавање базе података са осталим лозинкама, генератор лозинки и интеракција са осталим програмима (копирање лозинке у clipboard). Међу мноштвом оваквих програма, извдвојио бих keepass2, keepassx, seahorse, password gorilla, kwallet ipwsafe. Keepass2 постоји у верзијама за многе платформе што је увек плус а постоји чак и у преносној варијанти (portable apps) што је сјајно ако не користите често свој рачунар. KeepassX је врло сличан претходном али је нешто једноставнији. Seahorse је програм који је присутан у подразумеваној Ubuntu инсталацији и развија се као део GNOME пројекта а осим чувања лозинки омогућава и чување ssh и gpg кључева што је згодна могућност. Pwsafe је једноставан конзолни програм са генератором лозинки и комуникацијом са clipboardom. У суштини, било који од ових програма је добар избор.