Dušan DINGARAC

1. avgust 2022.

Od davnina je poznat princip tajne reči - lozinke. Ona nije uvek korišćena za ulazak u pećinu ili u čarolijama, ali je svakako postala važan princip u ljudskoj civilizaciji. Sa nastankom računarskih sistema, ubrzo je postala neizbežni duo sa korisničkim imenom. Kombinacija koja omogućava pristup sistemu i definiše korisnička prava unutar njega.

Da bi lozinka imala svrhu, treba da bude tajna, poznata samo nekim ljudima. U računarskim sistemima, stvari su postavljene tako da samo onaj ko definiše lozinku treba da zna za nju. No, ljudi kao ljudi. U svom komforu i neodgovornosti koriste kratke lozinke ili one koje je lako pogoditi (12345, qwerty, admin, password...). Takođe, koriste lozinke koje lako mogu da zapamte, pa koriste ime devojke/momka, imena dece ili kućnih ljubimaca.

Zbog toga su računarski sistemi počeli da koriste neke od metoda poboljšavanja „jačine” lozinki. Korisnici su počeli da budu primoravani da izaberu lozinke sa većim brojem znakova, da koriste velika i mala slova, brojke i specijalne znakove, da im se onemogućava korišćenje lozinki u vidu reči koje mogu da se nađu u rečniku. Ove metode značajno su povećale bezbednost lozinki.

No, ne tako redak slučaj jeste „pozajmljivanje” lozinki drugim ljudima. Iz najrazličitijih razloga. Npr. nekoliko ljudi pristupa nekom računarskom servisu i lozinka stoji zapisana na nekom mestu u kancelariji. Kada je neko odsutan iz kancelarije, preostale kolege potraže lozinku i pristupe servisu kako bi odradile posao. Delimično rešenje za ovakvo ponašanje korisnika nađeno je u primoravanju da se lozinka redovno menja i da ne može da se koristi određeni broj prethodno korišćenih lozinki.

Drugi deo problematike predstavlja što u današnje vreme svaki korisnik ima pristup velikom broju sistema i servisa, pa samim tim, ima veliki broj lozinki. Korisnici problem pamćenja velikog broja lozinki rešavaju time što istu lozinku koriste na različitim servisima. Dakle, ako ona bude kompromitovana na jednom sistemu, svi ostali sistemi postaju laka meta. Takođe, korisnici danas najvećem broju servisa pristupaju putem internet pregledača. Svi moderni pregledači nude pomoć u vezi sa „pamćenjem” lozinki. Pamte ih za svaki sajt u kombinaciji sa korisničkim imenom, ako korisnik to dozvoli, a često nude i automatsko generisanje složenih lozinki koje onda pamte i sinhronizuju sa svojim serverima u oblaku.

Iako se lozinke u računarskim sistemima ne čuvaju u izvornom obliku, već u vidu izlaza neke hash funkcije koja za ulazni parametar ima korisničku lozinku, to ne važi za pregledače. Naime, oni moraju pojedinačnom sajtu da pošalju izvorni sadržaj zapamćene lozinke, pa je zato i čuvaju u tom obliku. Verovatno ste primetili da na većini pregledača možete da pretražite bazu zapamćenih lozinki, a neki od njih vrše i bezbednosne provere, pa prikazuju koliko ste puta istu lozinku koristili za različite servise ili koliko njih je potencijalno „iscurilo” na internetu.

Nedavno smo bili svedoci nekih analiza da pamćenje lozinki u pregledačima nije bezbedno. Najpoznatiji pregledači su se suočili sa ovim problemom. Gde je rešenje? Verovatno u korišćenju dodatnih programa koji koriste enkripciju lozinki i za njihovo „otključavanje” i slanje pregledačima traže ukucavanje centralne lozinke. Dakle, manje komfora za korisnika, a povećana bezbednost, ipak, zavisi od jedne centralne lozinke koja omogućava pristup sefu u kome čuvate lozinke.

S obzirom na to da su mnogobrojni servisi na internetu bili primorani da učine nešto po pitanju lozinki i čuvanja prava pristupa svojim korisnicima čak i ako im neko „otme” lozinku, nađeno je rešenje u takozvanoj dvostrukoj autentifikaciji. Naime, kao što se prilikom otvaranja naloga šalje link za potvrdu pristupa elektronskoj pošti koja je navedena prilikom registracije naloga, slična je ideja i kod dvostruke autentifikacije. Prilikom pokušaja logovanja, korisniku se na e-mail šalje generisani kôd, koji važi nekoliko desetina sekundi, ali češće se koristi SMS. Naime, e-mail ume da kasni, pa kôd može da istekne, zato je preferiran način dostave kôda putem SMS-a. No, kako se slanje SMS-a plaća, a danas gotovo svi koriste pametne telefone, razvijene su mobilne aplikacije za autentifikaciju koje se jednom povežu sa nalogom i nakon toga generišu kratkotrajne kôdove neophodne za logovanje.

Na ovaj način, znatno je podignuta bezbednost logovanja na različite sisteme. U slučaju krađe lozinke i pokušaja logovanja, korisnik najčešće biva obavešten i onda blagovremeno može da odreaguje promenom lozinke. A na ovaj način je efikasno rešen i problem pozajmljivanja lozinke drugim korisnicima.

Ali, tehnologija ide dalje. Autentifikovanje biometrijskim podacima postalo je popularnije i savršenije sa napretkom pametnih telefona. Čitači otiska prsta, ali i prepoznavanje lica, postaju sve popularniji načini autentifikacije. Uz pomoć tehnologije ključeva, smatra se da u budućnosti korisnici neće imati klasičnu lozinku, već da će autentifikaciju obavljati na pametnom telefonu.

Takvi servisi već su u upotrebi. Recimo, servis za upravljanje lozinkama LastPass ne traži više centralnu lozinku ako koristite LastPass Authenticator aplikaciju. U najavi su skeniranje biometrijskih podataka i hardverski bezbednosni ključevi. Apple je najavio passkey, sistem autentifikacije jedinstvenim digitalnim ključevima, čime se izbegava čuvanje lozinki na veb-serverima, pa samim tim i njihova krađa. Passkey omogućava bezbednu autentifikaciju, koristeći Touch ID ili Face ID za biometrijsku verifikaciju i iCloud Keychain za sinhronizaciju preko Mac, iPhone, iPad i Apple TV uređaja sa end-to-end enkripcijom. Passkey će moći da se koristi i za veb-lokacije i aplikacije na uređajima koji nisu Appleovi, koristeći lični iPhone uređaj.

Koliko je velik problem nebezbednih lozinki, možda najbolje govore podaci iz jednog nedavnog istraživanja. Čak tri četvrtine najpopularnijih veb-stranica na engleskom jeziku dozvoljava izbor najčešće korišćenih lozinki. Više od polovine od preko sto najbolje rangiranih veb-stranica dopušta izbor četrdeset lozinki koje su najčešće procurele na internetu i koje je lako pogoditi. Tek svaki šesti veb-sajt koristi merače „jačine” lozinki.

Očigledno je da veb-sajtovi ne mare preterano za bezbednost svojih korisnika, čim dopuštaju izbor ovakvih lozinki. Kada se tome doda nemar korisnika, onda dolazimo do zaključka da nešto treba da se menja. Da li je rešenje u raznim mobilnim aplikacijama, potpomognutim sa ključevima, biometrijskim skeniranjima i kojekakvim tehnologijama?

Ako jeste, onda to znači da će se zavisnost čoveka od pametnog telefona samo dodatno povećati. On će biti neophodan za gotovo bilo kakvo logovanje na internetu. Ako zaboravite telefon kod kuće, nećete moći da radite tog dana u kancelariji. Ako, pak, telefon izgubite, sve dok ne izvadite novu karticu (ako niste korisnik eSIM tehnologije) i ne podesite novi aparat iz nekog bekapa ili od nule, nećete moći ništa da radite na internetu. Nema ni elektronske pošte, ni pristupa sajtovima, ničega.

A, ako vam se gubitak ili kvar telefona desi na putovanju, onda ste obrali zelen bostan. Da li je veći rizik imati nebezbedne lozinke ili se u potpunosti osloniti na uređaje poput mobilnog telefona? Možda će sledeći korak biti neki potkožni čip sa NFC tehnologijom i digitalnim sertifikatom, koji će se činiti još bezbednijim rešenjem.

Tehnologija se sve više približava širokom krugu korisnika i postaje sve lakša za korišćenje. Ipak, u pozadini ona postaje sve komplikovanija a često je čovek, tj. korisnik, njena najslabija tačka. Da li će sve novije i sve komplikovanije metode zaštite uspeti da obuzdaju ljudsku glupost? Teško je u to poverovati.