U današnjem svijetu zaporke i dalje predstavljaju oslonac zaštite naših
dragocjenih računa pa samim time naših podataka, ali također zaštićuju
nas od lažnog predstavljanja - u najmanju ruku netko s ukradenom
zaporkom može u naše ime predstavljati se na društvenoj mreži, u gorem
slučaju može imati pristup nekom financijskom računu.
No, zaporke su teške za koristiti ispravno. Ako su "slabe" onda je naša
sigurnost ugrožena, ako su "jake" onda su nezgodne za koristiti - teško
ih pamtimo, lijeni smo ih upisivati, što dovodi do frustracije i radnja
poput zapisivanja zaporki na svima vidljivo mjesto i slično što na kraju
zapravo pogorša stvar.
Svrha ove stranice moja je želja da Vam podijelim svojih par zrna pameti
i mišljenja o toj problematici, rješenjima, alternativama te i mali alat
integriran u ovu web stranicu koji Vam može biti polazna točka u izradi
sigurnije zaporke.
Napomena: sav sadržaj na ovoj stranici u edukativne
je svrhe i čisto rezultat moga osobnog mišljenja, ništa više. Za
konkretne potrebe za Vaš individualni slučaj posavjetujte se sa
stručnjacima. Svaki proizvod/softver/tvrtka koju navedem kao
preporuku nisu ni na koji način povezani sa mnom, niti sam
financijski (ili drugačije) potaknut od strane njihovih proizvođača
da ih spomenem.
Stranica ne prikuplja osobne podatke, jedino što se pohranjuje su
preferencije (poput tamnog ili svjetlog načina), i to se pohranjuje
samo lokalno na Vašem pregledniku i ne koristi se nigdje drugdje u
bilo koje druge svrhe.
Sav sadržaj ove stranice možete slobodno citirati i objavljivati uz
uvjet da navedete izvor.
Problematika
Svatko od nas danas u prosjeku posjeduje poveći broj računa: računi
društvenih mreža, e-mailovi, razni web-shopovi, studentski/učenički
računi, poslovni računi...
E sad, dolazimo do prve problematike, zapitajte sebe: koliko Vaših
računa djele istu zaporku? Ako je odgovor različit od "niti jedan",
vjerujete li da stranica "X" savršeno štiti vaše podatke (a samim time
i zaporku) te da nikako ne može utjecati na stranicu "Y", gdje imate
istu zaporku? Kvalitetno dizajnirani sustavi štite Vašu zaporku tako
da je šifriraju na način da nitko ne može pročitati koja je točno Vaša
zaporka. Ukratko, to funkcionira na način da Vašu zaporku pretvori u
kriptirani (naizgled) nasumični niz znakova te se ona sprema kao
takva, a obrnuti proces je gotovo nemoguć (naravno, uz pretpostavku
korištenja pravilnih i modernih praksi, ali to nije tema ovdje).
Prilikom svake vaše prijave zaporka koju ste unijeli pretvara se u taj
kriptirani niz znakova i s njime se uspoređuje, a Vaša prava zaporka
nigdje ne ostaje.
Došli smo do druge problematike, malo gore iznad sam rekao da
kvalitetno dizajnirani sustavi šifriraju Vaše zaporke. No što
je s onim koji nisu takvi? Pa ukratko, ukoliko dožive uspješni
hakerski napad, Vaša zaporka je otuđena istog trenutka. Ako koristite
tu zaporku na drugim mjestima, vrlo vjerojatno koristite i isti e-mail
s kojim ste se registrirali, koliko dugo mislite da hakerima treba da
isprobaju taj e-mail i tu zaporku na drugim servisima?
I da, ako mislite da ovakvi nekvalitetno dizajnirani sustavi
su samo oni "lošijih" kompanija, mnoge ozbiljne kompanije su bile
"uhvaćene" kako zaporke pohranjuju u čistom, nešifriranom obliku. Koje
su točno... neću spominjati, ali u par minuta surfanja se sazna.
E pa sad, okej, dogodio se hakerski napad na stranicu "X" koju
koristimo, no sustav im je dobro organiziran i zaporke su šifrirane,
što onda? E pa tu u igru ulazi koliko je "snažna" vaša zaporka. Zašto?
Ranije sam spomenuo da taj proces šifriranja pretvara zaporku u
(naizgled) nasumičan niz znakova, ali ništa ne sprječava hakera da
pokušava to isto (dakle, unosi neki tekst koji će sam šifrirati) dok
jednom ne pogodi identičan niz znakova kao Vaša šifrirana zaporka. Ako
je za unos "X", nakon šifriranja dobio rezultat "Y", a "Y" je jednak
Vašoj šifriranoj zaporci, onda haker zna da je Vaša zaporka "X".
Zvuči suludo malo? Pa kad se prvi put čuje, da, ali računala danas
mogu u manje od sekunde isprobati na stotine tisuća kombinacija... i
više, ali razlog zašto ne pišem točan broj je što se on preko noći
promijeni. Budem ovo još objasnio u nastavku...
Na stranici
Have I've been pwned?
možete upisati vaš e-mail i saznati postoji li u bazi (poznatih!)
hakerskih napada.
Dobra vs. Loša zaporka
Uglavnom, spomenuh da, doslovno, hakeri jednom kad ukradu šifrirane
zaporke, pogađaju zaporke dok ne pogode. Zvuči neefikasno kada se o
tome priča kroz aspekt ljudskog mozga, no računala to izvode iznimno
brzo. Postoje dva osnovna načina na koji hakeri to izvode:
Doslovno isprobavanje svake kombinacije: npr. zaporka ima samo dva
slova: haker će (ne on ručno, nego pomoću računala) isprobavati
kombinacije: aa, ab, ba, bb itd s tri, četiri slova...
Korištenje unaprijed pripremljenih rječnika (eng. dictionary attack) gdje se umjesto prolaženja kroz sve moguće kombinacije znakova
koriste unaprijed definirane liste riječi koje su najčešće zaporke,
primjer: 123456, zaporka, lozinka, password itd...
Postoji i još jedan način kako hakeri pokušavaju "razbiti" zaporke, a
to je u slučaju baš ciljanog napada. Radi se također o pogađanju, ali
u ovom slučaju prilagođenom informacijama o Vama, primjer: haker će
koristiti datume Vama važnih događaja i imena Vama dragih osoba. No
ovo je već slučaj kada netko radi ciljani napad na Vas, a u tom
slučaju neke druge metode bit će prije upotrijebljenje poput
keyloggera, social engineeringa i sličnog. Nije bitno što su
te metode ako ne znate, nisu trenutna tema.
Dobra zaporka
Dakle, polazeći od prethodno rečenog, možemo sve svesti na sljedeće
zaključke:
Računala JAKO BRZO mogu pogađati zaporke.
Hakeri to još dodatno ubrzaju koristeći listu najčešćih zaporki.
Ako ste im baš Vi "sjeli na žulj", rabit će i Vaše osobne podatke
(razmislite koliko osoba može saznati o Vama na društvenim
mrežama).
Iz toga preporučujem sljedeće:
Zaporka mora biti dugačka: 16 znakova minimum.
Zaporka mora biti nasumična, ne smije biti predvidljivo
ponavljanje, ako je zaporka 16 puta ponovljeno slovo "a" onda to
nije jaka zaporka
Zaporka ne koristi popularne riječi, izraze, fraze
Zaporka ne koristi ništa od vaših osobnih podataka
Zaporka se koristi samo na jednom mjestu!!!
Loša zaporka
Skoro pa suprotno prethdnome, loša zaporka je:
Kratka.
Nije uopće nasumična.
Koristi česte riječi i fraze.
Koristi vaše osobne podatke.
Koristi prividno dobre prakse poput zamijene slova s nekim
znakom, primjer: umjesto zaporka da napišemo
z4p0rk4. Hakeri su "nanjušili" takve spačke odavno i
takve zaporke mogu jedino sudjelovati u natjecanju najlošijih
zaporki.
Koristi se na više mjesta.
Pa sad kad se to nekako sve uzme u obzir, ispada da je dobra zaporka
nešto poput ove tu: X&T4MKchKw3kUTqJ
No, što je problem? Vjerojatno prvo što Vam je palo na pamet - tko će
to zapamtit? Ideja je da ne morate to pamtit.
Što...? Kako...?
Dobra higijena zaporki - kako pamtiti neupamtljivo
Dobra zaporka je nešto poput X&T4MKchKw3kUTqJ i koristimo je
samo na jednom mjestu, no samo jednu ovakvu zaporku izazov je
upamtiti, a kamoli još 5, 10, 50, 100+ njih.
Što onda uraditi? Koristite upravitelj zaporki (eng. password manager).
Upravitelji zaporki
Upravitelji zaporki su alati čija je namijena kao što im naziv kaže:
da upravljaju (odnosno Vi pomoću njih) zaporkama koristeći samo
jednu - glavnu zaporku. Omogućuju nam stvarati jake zaporke poput
X&T4MKchKw3kUTqJ ka tomu pamte i sve zaporke - što nam
omogućuje da na jednostavan način, bez da ih sami pamtimo, imamo za
svaku stranicu jedinstvenu zaporku. Naravno, u upravitelje zaporki
moguće je unijeti stare zaporke ako niste odmah spremni sve
mijenjati. Još jedna prednost upravitelja zaporki je što omogućuje
da se uz zaporke pohrane i stranice (te aplikacije) vezane uz
zaporku što omogućuje da se podaci o prijavi automatski ispune
pomoću upravitelja zaporke, također omogućuje i štiti od tzv.
phishing napada jer upravitelj zaporke neće ponuditi
automatsko popunjavanje polja prijave ukoliko nije na jednoj od
stranica koje smo naveli kao povezane sa zaporkom.
Okej, ali ne stavljam li onda sve svoje zaporke na jedno mjesto,
ili što bi se reklo - "Stavljam li sva jaja u istu košaru?"
Ovo je donekle istina, ali - nemoguće je upamtiti dugačke i
komplicirane zaporke za mnogo stranica. Pa će to neminovno dovesti
do toga da ponovno istu zaporku koristite na više mjesta ili da je
zaporka preslaba. Obje situacije su iznimno loše kao što sam gore
iznad objasnio pa na osnovu toga argumentiram: jedan softver
specijaliziran za rad sa zaporkama bolja je opcija nego voditi
računa o zaporkama "u glavi" ili što bi se reklo - "Bolje je nositi
sva jaja u korpi od čelika, nego ih razbacat po dvorištu."
Okej, ali nemam toliko zaporki, mogao bih smisliti par
kompliciranih i zapisati ih negdje u nekoj tekstualnoj datoteci
ili fizički na papiru.
Upravitelji zaporki sve zaporke šifriraju na Vašem uređaju, to znači
da ako netko dobije pristup Vašem računalu bez Vaše glavne zaporke
nemoguće je pristupiti ostalim zaporkama. S druge strane, ako
zapišete nešto u tekstualnoj datoteci bilo koji virus ili osoba s
pristupom Vašem računalu može ih pročitati. Ako ih zapisujete na
fizički papir, opet imate rizik da taj papir izgubite ili Vam ga
netko ukrade.
Kao bonus: upravitelji zaporki (većina njih barem) omogućuju da
sinkronizirate zaporke između drugih računala, mobitela itd., i tamo
ih također koristite.
Ja ne vjerujem onome tko je napravio upravitelj zaporki ili da mi
zaporke budu negdje na internetu.
Razumljivo, no valja uzeti tri stvari u obzir. Prvo - mnogo je
upravitelja zaporki otvorenog koda što znači da svatko može
pročitati i vidjeti što oni rade. Drugo - Vaše zaporke nikada nisu
na internetu u "čistom" obliku. Sve Vaše zaporke pohranjene su u
šifriranom obliku, a Vaša glavna zaporka je ključ koji ih dešifrira,
a to šifriranje/dešifriranje se događa na Vašem uređaju te se na
internet šalju samo kad su šifrirane. Ako se i dalje ne osjećate
sigurno oko toga, postoje i upravitelji zaporki koji rade samo
lokalno/offline. Treće - bilo kakve "sive" radnje onih koji
rade na upravitelju zaporki idu direktno protiv njihovog poslovnog
modela i svrhe postojanja - zamislite da postoji banka koja
povremeno skine ljudima 5000 KN s računa bez obrazloženja, koliko bi
ljudi nastavilo svoje članstvo u toj banci?
Ima toliko mnogo upravitelja zaporki, koji da odaberem?
Ja neću govoriti koji je najbolji po nekim tehničkim ili drugim
kriterijima, svi popularni su tu negdje. Ali moj subjektivni odabir i
savjet je
Bitwarden. Dolazi u besplatnoj i plaćenoj verziji. Besplatna verzija je i više
nego dovoljna. Pruža mogućnost online sinkronizacije, dostupan je na
svim uređajima i platformama (Windows, Mac, Linux, Android, iOS) te je
otvorenog koda.
Bitwarden upravitelj je zaporki koji zaporke pohranjuje na internetu
(u oblaku), a ako želite nešto što radi isključivo lokalno/offline
savjetujem onda
KeePassXC
iako sam ga osobno slabo koristio, no vidio ga dosta kod drugih u
upotrebi.
Zaključak je da je šifru poput X&T4MKchKw3kUTqJ teško
upamtiti. Kako onda da stvorim dobru zaporku za upravitelj zaporki
koju neću zaboraviti?
Dobro pitanje - preporučam korištenje tzv. passphrase, što
iskreno ne znam kako prevesti drugačije nego- "izraz kao zaporka."
Izraz kao zaporka
Problem što nekad moramo jednostavno znati i nositi zaporku u glavi.
Npr. moramo znati glavnu zaporku upravitelja zaporki da bi mogli
pristupiti ostalim zaporkama. Već smo zaključili da je
X&T4MKchKw3kUTqJ teško zapamtit. Neki savjetuju da se stvori
jaka zaporka iz neke priče ili obrnuto. Npr.
Zaporka je $k100aiJ2000G, a priča je
Dolarima sam kupio 100 automobila iz Japana 2000. godine.
Meni je osobno to glupost, ali evo, svakome po volji.
Pravo rješenje po meni je korištenje izraza kao zaporke - dosta je
slično ovoj prethodnoj metodi, ali umjesto da morate pamtiti i priču i
zaporku vezanu uz nju, pamtite samo zaporku koja se sastoji od
nekolicine nasumičnih riječi koje je jednostavno zapamtiti same po
sebi.
Npr. ovo je jedan izraz: auto-avion-lopta-teren-maska
Samo, problem je što ovaj izraz kojeg sam ja sad smislio i nije toliko
nasumičan. Riječi su ili srodne ili prečeste u uporabi. Važan faktor u
stvaranju nasumičnih zaporki sama je nasumičnost - ljudi često misle
da su nasumični dok nisu, a postići nasumičnost na računalima nije
toliko jednostavno kao što bi netko pomislio.
Na internetu postoji mnogo stvaratelja nasumičnih izraza, ali slabo
sam pronašao one na hrvatskom jeziku što me motiviralo da zapravo i
napišem ovo sve. U nastavku umožete koristiti alat koji će
izgenerirati nasumični izraz na hrvatskom jeziku.
Generator izraza kao zaporke
Ovo je generator izraza kao zaporke na hrvatskom jeziku. Moj savjet je
- ne odabirite manje od 4 riječi za izraz.
Sastoji se od 35497 hrvatskih riječi (ne nužno književnih). Što znači
da, ako odaberete 4 riječi, broj kombinacija koje se mogu stvoriti je
35497 na četvrtu potenciju, Vama ostavljam kalkulator da izračunate
koliko je to.
(1,587,693,264,049,666,081)
Također postoji opcija da se umetne $, ! ili
# nasumično u jednu od riječi, što dodatno povećava broj
kombinacija.
Volio bih napomenuti i molim Vas da pročitate:
Web pregednici nisu najbolji u nasumičnom odabiru, potrudio sam se
to napraviti najbolje što znam.
Ovo je više u edukativne svrhe i da dobijete polaznu točku. Nikad ne
vjerujte nekome na internetu. Sva kalkulacija odvija se lokalno i ne
napušta preglednik, ali nikada ne znate može li mene netko hakirat!
Uvijek možete sami pogledati listu riječi na ovom
linku
i sami nekom drugom metodom nasumičnog odabira odabrati riječi.
Da bi ste dodatno zaštitili ostale račune, a pogotovo glavnu zaporku
upravitelja zaporki, koristite tzv. potvrdu u dva koraka. To je
način prijave gdje nakon što je točna zaporka unesena treba još
dodatno na neki način potvrditi da se to stvarno Vi prijavljujete.
Neki od načina su: dobivanje dodatnog koda putem SMS-a kojeg potom
trebate unijeti, aplikacija na mobitelu koja traži da potvrdite da
ste to Vi, no najčešći oblik s kojim ćete se susresti je potvrda u
dva koraka pomoću jednokratne zaporke bazirane na vremenu (TOTP). To
funkcionira na način da preuzmete aplikaciju na koju dodajete
povezane račune, a aplikacija stalno generira jednokratne kodove
koji se vrte svakih 30 sekundi.
Osobno od ovih gore navedenih metoda strogo preporučujem izbjegavati
SMS. SMS je nesiguran, nešifriran kanal, a preporučam najbolje
potvrdu pomoću jednokratne zaporke bazirane na vremenu (TOTP) iz
razloga što je to otvoreni i dogovoreni protokol te funkcionira uz
niz aplikacija.
Koju god metodu odabrali izradite i sačuvajte pričuvne kodove koje
možete koristiti umjesto dodatne potvrde ukoliko izgubite pristup
sredstvu dodatne potvrde.
Neke od aplikacija za TOTP omogućuju šifrirano izvezivanje računa
koje možete prebaciti na računalo ili neko drugo sigurno mjesto.
Prednosti toga su da ih možete ponovno uvesti na novi mobilni uređaj
ili ih brzo oporaviti ako izgubite trenutni. Neke od takvih su:
andOTP
te
Aegis.
Dodatni i najsigurniji korak, ako ste voljni potrošiti novce, kupnja
je jednog od hardverskih ključeva kojima je namijena biti "drugi
korak". Npr.
YubiKey,
Google Titan
Prednost ovakvih hardverskih rješenja je što će oni raditi samo na
fizički dodir ključa i to što će takvi ključevi pomoću
kriptografskih algoritama moći utvrditi je li stranica ili
aplikacija stvarno ta kojom se predstavlja. Mali problem kod svih
ostalih metoda dvostruke provjere je taj što ako Vas napadač navede
na lažnu stranicu, koja izgleda kao ona prava, vrlo lako može
ukrasti i zaporku, pa nakon toga i jednokratni kod.
S obzirom da vjerojatno nemate hardverski ključ, u upravitelju
zaporke uvijek uz račun navedite povezane stranice i aplikacije kako
bi ograničili mjesta na kojima se zaporka može popuniti. Na taj
način ako vi ne primjetite da ste na lažnoj stranici onda upravitelj
zaporki hoće.
Uvijek koristite sigurne veze (HTTPS + lokot pored adrese) jer svaki
savjet koji sam dosad naveo pada u vodu na nesigurnoj vezi.
U istom duhu kao i prethodna stavka, vodite računa o tome što
preuzimate s interneta te posebice o onome što pokrećete na
računalu. Niti jedna metoda, pa ni upravitelji zaporki neće
spriječiti loš scenarij ako Vaše računalo bude zaraženo zlonamjernim
softverom.
I za kraj - zapamtite:
sigurnost je jaka ono koliko je jaka njena najslabija
karika.