Zašto hakeri kradu lozinke?

„Ruski hakeri ukrali lozinke šest miliona članova mreže LinkedIn!“

Kako vam zvuči ova vest? Kada sam je pročitala, prvo što mi je palo na pamet bilo je: „Šta će im? Zar će prodati CV-je na crnom tržištu?“

Nedugo zatim, pojavila se vest da su pokradene lozinke obelodanjene na internetu, ali bez pripadajućih elektronskih adresa koje bi ih povezale s korisnicima naloga. „O čemu se radi?“

Da stvar bude zanimljivija, ista hakerska grupa „poskidala“ je lozinke i sa mreže eHarmony – sajta za međusobno upoznavanje samaca. „Šta će im to? Da šalju lažne bračne ponude?“

Stručnjaci za online sigurnost ne razmišljaju kao ja. Zato i jesu stručnjaci.

Najpre, poduhvat nije bilo nimalo lako izvesti i nijedna hakerska grupa se ne bi izlagala opasnosti da u tome ne vidi potencijalnu zaradu. Dakle, nisu to uradili iz zabave, i ne, nije stvar u tome da će prodavati rezimee. Ukratko, ako imate naloge na jednom od dva pomenuta sajta, imate razloga da budete zabrinuti. Naročito ako na njima koristite lozinke kojima se služite i na drugim, osetljivijim sajtovima, kao što je Fejsbuk, na primer. I u jednom i u drugom slučaju, treba odmah da promenite lozinke.

Kako hakeri koriste ukradene lozinke?

Najpre, njima osvežavaju tzv. rainbow tables – baze podataka koje služe kao digitalni ključevi za krekovanje „hešova“ – dodatnog sloja zaštite koji korisnicima pružaju bezbednije mreže. Zahvaljujući njima, na zaštićenijim sajtovima može postojati više korisnika sa istom lozinkom; imaće različite hešove.

Ako, kao u slučaju LinkedIn i eHarmony, hakeri poseduju i lozinke i mejl adrese korisnika, jedna od prvih stvari koje će uraditi biće sledeće: pokrenuće softver koji će isprobati istu kombinaciju lozinke i mejla na drugim sajtovima, u nadi da će doći do podataka o bankovnim računima, nalozima na društvenim mrežama…

Osim toga, članovi mreže LinkedIn ostavljaju na svojim nalozima određene lične informacije, koje su javno dostupne. To ih čini savršenim metama za tzv. pecanje s kopljem (spear fishing). Ono se sastoji u tome da vas navede na skidanje malicioznog softvera, pristupanjem elektronskoj pošti koja izgleda kao poruka poslata od kolege, nekoga iz LinkedIn mreže ko vam se obraća za profesionalnu uslugu i sl.

Dok pecanje s kopljem podrazumeva posvećenost i pažnju od strane hakera i obično je upravljeno prema moćnim i istaknutim pojedincima, tzv. obično pecanje moglo bi da zadesi većinu vlasnika hakovanih naloga. Naime, hakeri znaju da će vlasnici naloga, kada čuju vest o krađi lozinki, požuriti da iste promene. Zato će se hakeri potruditi da na provaljene adrese pošalju mejlove koji izgledaju kao da su poslati od LinkedIn administratora, sa linkom koji navodno vodi ka mestu gde se može promeniti lozinka. Na taj način, doći će i do novih lozinki članova LinkedIn zajednice.

Da biste izbegli opisani scenario, nikada ne menjajte pasvord putem linka koji ste dobili mejlom. Idite direktno na sajt na kojem imate nalog čije elemente želite da izmenite.

Kako smisliti sigurnu lozinku?

Standardni saveti su sledeći:

1. Nemojte za lozinku koristiti svoje ime ili druge uobičajene reči.

2. Koristite različite lozinke za različite sajtove.

3. Povremeno menjajte lozinke.

4. Kada birate tzv. sigurnosno pitanje, nemojte birati ono na koje bi ispravno mogli da odgovore svi koji vas znaju ili svi koji imaju pristup vašem Fejsbuk profilu, gde često ostavljate privatne informacije o sebi.

Mada su jednostavna, većini ljudi, uključujući mene, teško pada poštovanje ovih pravila. Vremenom, imamo sve više online naloga i kreirati iznova snažne lozinke, pa ih još povremeno menjati, nije jednostavan zadatak. U tome mogu da pomognu programi, poput LastPass, koji generiše i pamti pasvorde za sve sajtove, ali i korišćenje pasvord menadžera ume da zamara. Većina nas naprosto ignoriše pravila; formiramo lozinku i računamo da „neće baš mene da zadesi“.

Na sreću, postoji jednostavniji način da osmislite veoma snažnu, a ipak jednostavnu lozinku.

Lako do jake lozinke

Smislite za vas lako pamtljivu frazu. Na primer, „Kim Kardašijan platila venčanicu 2 miliona.“ Poželjno je da fraza sadrži i velika slova, kao i brojeve. Nakon što ste to uradili, napravite lozinku od početnih slova reči u datoj rečenici: „KKpv2m“. Ne samo što sadrži šest po tipu različitih karaktera, ovakva lozinka ne sadrži neku smislenu reč, kao ni datum koji je vezan za vas lično ili neki važan istorijski datum.

Drugi primer: „Fejsbuk spada u 5 najposećenijih stranica.“ Početna slova reči koje sadrži ova rečenica mogu da kreiraju dobru šifru za Fejsbuk nalog. Ako prvu reč zamenite sa „Tviter“, dobićete dobru lozinku za tu mrežu… Na taj način, lako pamtljivu matricu koristite za kreiranje različitih lozinki za različite sajtove kojima pristupate. Tačno da promena nije velika, ali ako vam neko hakuje Fejsbuk nalog, neće vam naneti mnogo veću štetu time što će provaliti i vaš Tviter profil.

Neki sajtovi već nude mogućnost da za lozinku uzmete kraću frazu. To je još jača zaštita nego ona koju pruža fraza skraćena u početna slova reči od kojih je sačinjena. Naime, hakeri napadaju lozinke softverima koji „listaju“ sve moguće kombinacije karaktera. Da bi se na taj način „razbila“ šifra od šest karaktera koji ne čine smislenu reč, potrebno je 219 godina, izračunao je Tomas Bekdal, urednik online magazina Baekdal, gde postoje korisni saveti za prosečne korisnike informatičkih tehnologija. Da bi isti softver „krekovao“ lozinku u vidu kratke fraze, poput „ovo je zabavno“, potrebno je 2.5 hiljade godina.

Advertisements

One comment

  1. Praktično sve što koristimo danas omogućava korišćenje šifre od dvadesetak karaktera. Ne treba ići ispod desetak-petnaest. Par dodatnih karaktera pored alfabeta i pass je siguran. Ne treba praviti kompromis oko ovoga.

    Sviđa mi se

Ostavite komentar

Popunite detalje ispod ili pritisnite na ikonicu da biste se prijavili:

WordPress.com logo

Komentarišet koristeći svoj WordPress.com nalog. Odjavite se / Promeni )

Slika na Tviteru

Komentarišet koristeći svoj Twitter nalog. Odjavite se / Promeni )

Fejsbukova fotografija

Komentarišet koristeći svoj Facebook nalog. Odjavite se / Promeni )

Google+ photo

Komentarišet koristeći svoj Google+ nalog. Odjavite se / Promeni )

Povezivanje sa %s

%d bloggers like this: