Sigurnost i korišćenje lozinke

Sistem lozinki je svoj evolutivni vrhunac doživeo u prošlom veku. Šta nas očekuje u budućnosti?

Lozinka (engleski: password), reč koja omogućava prolaz, nije izum novijeg datuma. No, sa omasovljenjem računarstva i posebno interneta, kombinacija korisničkog imena i lozinke je postala osnova bezbednosti gotovo svih sistema.

Najveća slabost na početku masovne upotrebe lozinki su bili ljudi, a to su ostali i do današnjih dana. Svi ste sigurno mnogo puta čuli i pročitali preporuke za pravljenje sigurnih ili popularno „jakih” lozinki. Pa opet, kada se god vrše masovne provere bezbednosti sistema veliki je broj lozinki tipa „qwerty”, „Password”, „password1” ili „12345”. Još je veći broj onih koje se veoma lako pogađaju ako se samo malo bolje upozna njihov vlasnik.

Pored već tradicionalno najslabije karike u sigurnosnim sistemima – čoveka, danas je veoma popularno prikupljanje lozinki raznim metodama koje se baziraju na sigurnosnim propustima. Ako mislite da to ne može da se desi vama jer koristite komplikovane lozinke i usluge najpoznatijih servisa na internetu, možda se ipak varate? Da li stvarno koristite različitu, ili zaista dovoljno različitu lozinku za svaki od silnih sistema na kojima ste se registrovali?

Ako ipak više verujete da vašu sigurnost štite najpoznatiji internet servisi možda će vas razočarati nekoliko podataka. Oktobra meseca 2013. godine, zabeležena je krađa čak 142 miliona lozinki sa Adobe sistema. Mesec dana nakon toga sa jednog sajta za pronalaženje srodnih duša ukradeno je 42 miliona zapisa.

U septembru prošle godine, objavljena je priča po kojoj je prikupljeno preko pet miliona Gmail podataka uključujući korisnička imena i lozinke. Odmah je zaključeno da Google nije izvor prikupljanja podataka i da su informacije stare bar tri godine. Procene stručnjaka su govorile da je u trenutku kada su informacije objavljene, oko 60 odsto podataka i dalje bilo aktuelno.

Zatim je, u oktobru prošle godine, Dropbox dospeo u žižu javnosti. Neko je postavio na internet fajlove koji sadrže preko sedam miliona korisničkih imena i lozinki za koje se tvrdilo da su sa Dropboxa. Analize su pokazale da Dropbox nije izvor informacija već da su šifre prikupljene sa drugih servisa, a s obzirom na navike korisnika da identične šifre koriste za različite servise, neke šifre su radile i na Dropboxu.

Početkom avgusta prošle godine objavljeno je da je jedna grupa sa juga centralne Rusije ukrala čak 1,2 milijarde lozinki sa preko 420 hiljada sajtova! Da, dobro ste pročitali. Oni nisu uradili ništa epohalno inovativno po pitanju krađe identiteta. Jednostavno su to uradili bolje i tako masovno da je to imalo uticaj na sve korisnike interneta.

Da je lozinka kao jedini vid zaštite mrtva, pričao je Bil Gejts na RSA bezbednosnoj konferenciji još pre deset godina. U SAD je Federalni savet za proveru finansijskih institucija zahtevao od banaka da uvedu dodatne mere strože autentifikacije najkasnije do 2005. godine. To je sve već tada bilo poznato i smišljeni su dodatni nivoi provere.

Najpoznatiji od njih je dvostruka autentifikacija po posebnom kanalu komunikacije. Recimo, korišćenjem SMS-a korisniku se šalje šifra koja važi samo nekoliko minuta. Unapređeni metod ove tehnike je korišćenje specijalnih aplikacija na pametnim telefonima, a često finansijske institucije koriste i uređaje koji generišu ove jednokratne dodatne lozinke – tokene.

Drugi poznati metod je geolokacijska provera i provera uređaja sa koga se vrši logovanje. Ovi metodi su vam verovatno poznati sa Google servisa i Facebooka. Kada otputujete u neku drugu zemlju i pokušate da se ulogujete na pomenute servise, dobićete zahtev za dodatnim proverama putem registrovanog e-mail naloga. Provera se vrši po IP adresi, ali i po lokaciji uređaja ako je u pitanju pametni telefon ili tablet, a alarm se pali i ako pristupate sa novog uređaja koji nema kolačiće koje sistemi šalju vašim web pregledačima.

Ove pametne metode zaštite uveli su prvi veliki sistemi poput Googlea i Facebooka. Međutim, veliki broj servisa je dugo izbegavao da uvodi dvostruke šifre i dodatne sisteme provere. Razlog su bili korisnici i njihovo deranžiranje, povezano sa prihodima koje servisi dobijaju od masovnih poseta korisnika (čitaj od reklama). U ovakvim kompanijama, bezbednosni timovi sasvim su svesni problema i često imaju odlične ideje da dodatne provere, ali biznis deo onda uspori čitavu implementaciju.

Realnost je da danas postoji veliki broj servisa na internetu koji koriste samo korisničko ime i lozinku. I upravo su te kompanije najviše na udaru ruske grupe.

Zbog tih problema, razvijeni su mnogi sistemi provere koji uopšte ne deranžiraju korisnika, rade u pozadini i čekaju neku neuobičajenu aktivnost. Ide se dotle da se profilišu korisnici na osnovu svojih navika i da se na uređajima sa ekranima na dodir „uče” njihovi karakteristični pokreti po ekranu.

Dakle, očigledno je da je ceo ovaj koncept sa lozinkama u vidu niza znakova prevaziđen. Šta možemo da očekujemo kao njegovog naslednika?

Prvo što pada na pamet jesu biometričke metode autentifikacije. Priroda se pobrinula da smo svi dovoljno različiti da je moguće obaviti prepoznavanje jedinke na osnovu otiska prsta, skeniranja dlana ili oka.

Upravo je tokom prošle godine na tržište lansirano nekoliko modela vrhunskih pametnih telefona sa čitačima otiska prstiju. Ovo je svakako zanimljiv metod umesto klasičnog otključavanja telefona, no sumnjamo da će se vrlo ozbiljno primenjivati. Setite se da je pre desetak godina gotovo svaki bolji poslovni prenosni računar imao ugrađen čitač otiska prsta. No, oni nisu naišli na preveliku upotrebu čak ni u najvećim kompanijama iz raznoraznih razloga (delom tehnološki problemi, a većim delom organizacioni i čuveni problem ljudskih navika). Rezultat svega toga je da danas ovakve čitače veoma retko možete naći u upotrebi.

Da, u pravu ste da otisak prsta i nije stoprocentna jedinstvena identifikacija jedinke i nije baš preterano teško ni kopirati nečiji otisak prsta. Najbolju potvrdu toga su izveli momci iz čuvenog nemačkog Chaos Computer Club. Oni tvrde da su uspeli da kloniraju otisak prsta nemačke ministarke odbrane korišćenjem fotografija snimljenih na konferenciji za štampu korišćenjem standardnog foto aparata uz upotrebu komercijalnog softvera.

Danas ni scene iz mnogobrojnih SF filmova u kojima se sa lakoćom kopiraju ili podmeću razni biometrijski i DNK otisci nisu daleko od stvarnosti. Zato vojska SAD koristi sasvim drugačije metode. U razvoju i delimičnoj upotrebi je tehnologija koja prepoznaje korisnika po ritmu i brzini kucanja po tastaturi ili načinu na koji pokreće miša. No, vojska ovo koristi u kombinaciji sa biometričim i DNK sistemima, a na osnovu svih tih istraživanja došlo se do novog izraza „kognitivni otisak”. On se odnosi na sve digitalne tragove koje ostavlja naš mozak tokom korišćenja različitih tehnologija.

S obzirom na to da naše telo ne ostavlja dovoljno različite tragove, koji su pri tom relativno laki za kopiranje, mnogi su se okrenuli nizovima brojeva tj. ključevima i sertifikatima koje onda čuvaju na različitim sistemima poput USB dongleova i RFID kartica. Korak dalje su otišli u Švedskoj gde su počeli da ugrađuju ljudima RFID čipove u meki deo tkiva ruke. Taj RFID čip se koristi za pristup prostorijama umesto kartica, za promenu lozinki i druge namene, a sve unutar jedne ultramoderne poslovne zgrade. Da neće sve ostati samo na eksperimentu govori i podatak da će se u tu zgradu uskoro useliti lokalne kancelarije Googlea i Microsofta.

No, da li će RFID čipovi biti zaista budućnost? Po svemu sudeći neće. Iako je ova tehnologija u različitim oblicima prisutna već duže vreme, tek je njenom ugradnjom u platne kartice (PayPass, PayWave) postala zanimljiva za zloupotrebe. Danas su zabeleženi slučajevi krađa podataka sa ovakvih kartica u tržnim centrima i železničkim stanicama uz pomoć specijalnih uređaja koje je dovoljno približiti na 15 cm od kartice tokom procesa bežičnog plaćanja.

Lozinka je prošlost, još uvek tražimo kandidata koji će je zameniti u narednom periodu. Do tada, oprez i što bi narod rekao „pamet u glavu”.

Dušan DINGARAC