Lozinke

Autor: Nikola Hardi

Iako postoje savremenije metode koje omogućavaju bolje načine za utvrđivanje identiteta korisnika, lozinke su još uvek najčešći izbor i to se verovatno neće promeniti još neko vreme. Upravo zbog toga što su lozinke najčešći izbor, o njima bi trebalo povesti računa. Postoji nekoliko bitnih stvari na koje treba obratiti pažnju a najvažnije su generisanje lozinki, njihovo čuvanje i obnavljanje. Dobra lozinka je samo prvi korak za očuvanje privatnosti i virtuelnih identiteta ali nezavisno od složenosti lozinke, uvek treba paziti i na krađu. Lažni sajtovi (phishing), krađa kolačića (cookie stealing), snimanje tastature (keylogging), presretanje konekcije (man-in-the-middle) i slične metode mogu i te kako da ugroze identitet i podatke korisnika bez obzira na složenost lozinke koju koriste.

Pri izboru lozinke najčešće se pristupa nekom od sledeća dva metoda: nasumice generisane lozinke ili lozinke izmišljene od strane korisnika. Složenost prvih je uglavnom moguće lako izmeriti, dok kod merenja složenosti „ljudskih“ lozinki postoji i faktor poznavanja i pogađanja lozinke na osnovu poznavanja ličnih podataka o korisniku. Složenost lozinke u uopštenom slučaju predstavlja broj pokušaja koji je neophodan da neko pogodi lozinku, bilo „nasilnim metodama“ (bruteforce) ili uključivanjem ličnih podataka o žrtvi (datum rođenja, imena članova porodice, omiljeni bendovi, hobiji). Dakle, lozinka ima ulogu da zakomplikuje posao onima koji žele da je pogode i imajte to na umu.

Najčešći pristup je da korisnik kombinuje nekoliko njemu važnih informacija. Nadimak, broj kuće ili stana, ime kućnog ljubimca u kombinaciji sa nekim brojevima kao što su broj kuće, neke važne godine ili datumi, brojevi telefona mogu relativno lako da se pogode jer je broj kombinacija najčešće dovoljno mali. Uz malo kreativnosti i ovakve lozinke mogu da postanu, ako ništa drugo, dovoljno dobre. Neke od najčešćih metoda za poboljšavanje ovakvih lozinki su menjanje slova znakovima i brojevima. Na primer, zameniti slovo O nulom ili slovo A sa 4 ili @, slovo L jedinicom, izostaviti samoglasnike, mešati mala i velika slova i tako dalje. Drugi zanimljiv pristup je da iz neke rečenice koja se lako pamti ili iz stiha uzmemo samo prva slova svake reči. Na primer od rečenice „Neću da koristim vlasnički program jer postoji slobodan.“ može da se dobije sledeća lozinka – ndkvpjps. Lako se pamti a naizgled ne postoji nikakav smisao. Kada se tu ubace još velika i mala slova, dobija se sledeći rezultat – NdkvPJps. Na kraju, ubacimo još koji broj i znak – 4NDk\/PJp$2. Ovo već liči na ozbiljnu lozinku.

Ljudskoj mašti nema kraja ali nekada nas jednostavno mrzi da budemo kreativni i smislimo novu lozinku. Tu mogu da nam pomognu računari, tako što će na neki način da generišu nasumičan niz karaktera (slova, znakova, brojeva ili neke kombinacije po izboru). Bitno je napomenuti da je vrlo teško generisati potpuno nasumičan niz brojeva (slova i znakovi su takođe brojevi) pa programi za generisanje nasumičnih podataka često koriste i promenljive faktore kao što su trenutno vreme, sadržaj neki datoteka na disku ili pozicija pokazivača miša. Kod ovakvih lozinki imamo mogućnost da izaberemo željenu složenost lozinke na koju utiču njena dužina i skup znakova koji su upotrebljeni i bez problema možemo dobiti lozinke čija je entropija stotinak bitova, što je dovoljno za svakodnevnu upotrebu. Evo primera jedne ovakve lozinke čija je entropija 88 bitova –

c%H@L+dAMlaXEk:8P53GY.2pz:Lo;hcN

Iako su ovakve lozinke izuzetno složene, one imaju par mana praktičnog karaktera. Teško se pamte, one duže je praktično nemoguće zapamtiti. Rešenje su programi za upravljanje lozinkama koji omogućuju da lozinke budu sačuvane na bezbednom mestu a pomažu i pri unosu lozinki ali drugi problem koji se javlja je kako da se prijavite kada ne radite na svojem računaru?

Programi za čuvanje lozinki najčešće imaju nekoliko zajedničkih osobina, kao što su glavna (master) lozinka za otključavanje baze podataka sa ostalim lozinkama, generator lozinki i interakcija sa ostalim programima (kopiranje lozinke u clipboard). Među mnoštvom ovakvih programa, izvdvojio bih keepass2, keepassx, seahorse, password gorilla, kwallet ipwsafe. Keepass2 postoji u verzijama za mnoge platforme što je uvek plus a postoji čak i u prenosnoj varijanti (portable apps) što je sjajno ako ne koristite često svoj računar. KeepassX je vrlo sličan prethodnom ali je nešto jednostavniji. Seahorse je program koji je prisutan u podrazumevanoj Ubuntu instalaciji i razvija se kao deo GNOME projekta a osim čuvanja lozinki omogućava i čuvanje ssh i gpg ključeva što je zgodna mogućnost. Pwsafe je jednostavan konzolni program sa generatorom lozinki i komunikacijom sa clipboardom. U suštini, bilo koji od ovih programa je dobar izbor.