Lozinke se koriste tisućama godina kao sredstvo za identificiranje jednog čovjeka drugima a u novije vrijeme računala. To je jednostavan koncept – zajednička informacija koja se među pojedincima čuva u tajnosti i koristi za “dokazivanje” identiteta.
Lozinke u IT kontekstu pojavile su se 1960-ih s glavnim računalima (velika računala s centralnim upravljanjem s udaljenim “terminalima” za pristup korisnika). Sada se koriste za sve, od PIN-a koji unosimo na bankomat, do prijave na naša računala i razne web stranice.
Ali zašto svoj identitet moramo “dokazivati” sustavima kojima pristupamo? I zašto je lozinke tako teško dobiti ispravno?
Što čini dobru lozinku?
Do relativno nedavno, dobra lozinka mogla je biti riječ ili fraza od samo šest do osam znakova. Ali sada imamo smjernice o minimalnoj duljini. Zašto? Zbog “entropije”.
Kada govorimo o lozinkama, entropija je mjera predvidljivosti. Matematika koja stoji iza toga nije složena, ali ispitajmo to još jednostavnijom mjerom: brojem mogućih lozinki, koji se ponekad naziva i “prostorom lozinki”.
Ako lozinka s jednim znakom sadrži samo jedno malo slovo, postoji samo 26 mogućih lozinki (“a” do “z” u engleskoj abecedi). Uključujući velika slova, povećavamo prostor za lozinke na 52 potencijalne lozinke.
Prostor lozinki nastavlja se širiti kako se povećava duljina i dodaju se druge vrste znakova.
Gledajući gornju sliku, lako je razumjeti zašto se potiče upotreba dugih lozinki s velikim i malim slovima, brojevima i simbolima. Što je lozinka složenija, to je potrebno više pokušaja pogađanja.
Međutim, problem složenosti lozinke je taj što računala vrlo učinkovito ponavljaju zadatke – uključujući pogađanje lozinki.
Prošle je godine postavljen rekord za računalo koje pokušava generirati svaku zamislivu lozinku. Postigao je brzinu bržu od 100 000 000 000 nagađanja u sekundi.
Iskorištavajući ovu računalnu snagu, cyber kriminalci mogu upasti u sustav bombardirajući ga što većim brojem kombinacija lozinki, u procesu koji se naziva napadima grube sile (brute force).
Tehnologijom zasnovanom na oblaku, pogađanje lozinke od osam znakova može se postići za samo 12 minuta i koštati samo 25 dolara.
A budući da se lozinke gotovo uvijek koriste za pristup osjetljivim podacima ili važnim sustavima, to motivira cyber kriminalce da ih aktivno traže. Također pokreće unosno tržište za prodaju lozinki, od kojih neke dolaze s adresama e-pošte i/ili korisničkim imenima.
Kako se lozinke pohranjuju na web stranicama?
Lozinke website obično se pohranjuju na zaštićeni način pomoću matematičkog algoritma koji se naziva raspršivanje (hashing). Heširana lozinka je neprepoznatljiva i ne može se pretvoriti u prvotnu lozinku (nepovratan postupak).
Kada se pokušate prijaviti, lozinka koju ste unijeli raspršuje se istim postupkom i uspoređuje s verzijom pohranjenom na web stranici. Ovaj se postupak ponavlja svaki put kada se prijavite.
Na primjer, lozinka “Pa$$w0rd” kada se izračunava pomoću algoritma hash SHA1 daje vrijednost “02726d40f378e716981c4321d60ba3a325ed6a4c”.
Kad se suočite s datotekom punom raspršenih lozinki, može se upotrijebiti napad grubom silom, iskušavajući svaku kombinaciju znakova za niz duljina lozinki. To je postala toliko uobičajena praksa da postoje web stranice na kojima se pored njihove (izračunate) raspršene vrijednosti navode uobičajene lozinke. Jednostavno možete potražiti hash da biste potencijalno otkrili odgovarajuću lozinku.
Krađa i prodaja popisa lozinki sada je tako česta, tako postoji web stranica – haveibeenpwned.com – koja je dostupna kako bi pomoglo korisnicima da provjere jesu li njihovi računi komprimirani.
Ako je vaša adresa e-pošte navedena na ovoj web lokaciji, svakako biste trebali promijeniti otkrivenu lozinku, kao i na bilo kojoj drugoj web lokaciji za koju koristite iste vjerodajnice.
Je li složenost rješenje?
Možete pomisliti da bismo s toliko povreda lozinki koje se događaju svakodnevno poboljšali našu praksu odabira lozinke. Nažalost, prošlogodišnje istraživanje lozinke SplashData pokazalo je malo promjena tijekom pet godina.
Kako se računalne mogućnosti povećavaju, čini se da je rješenje povećana složenost. Ali kao ljudi, nismo vješti (niti motivirani) pamtiti vrlo složene lozinke.
Također smo prošli točku kada koristimo samo dva ili tri sustava koja trebaju lozinku. Sada je uobičajeno pristupati brojnim web stranicama, a svaka zahtijeva lozinku (često različite duljine i složenosti). Nedavno istraživanje sugerira da postoji prosječno 70-80 lozinki po osobi.
Dobra vijest je što postoje alati za rješavanje ovih problema. Većina računala sada podržava pohranu lozinki bilo u operacijskom sustavu ili u web design pregledniku, obično s opcijom dijeljenja na više uređaja.
TechXplore
EN 
HR