Odabir dobre lozinke nije slučajna stvar. Za početak bitno je znati da to nije nimalo lagan zadatak i savršena lozinka, odnosno ona koju nije moguće probiti zapravo i ne postoji. No što možemo učiniti jest maksimalno otežati pogađanje lozinke onima koji imaju takve namjere. Naravno, koliko ćete truda uložiti za stvaranje svoje lozinke proizlazi iz toga u koju svrhu ćete ju koristiti.
Provjerite koliko vam je sigurna lozinka ovdje.
Radi li se o internet bankarstvu vjerojatno ćete koristiti sve moguće metode kako biste što bolje zaštitili svoj račun. Što nas dovodi do novog problema, je li ovdje jedini cilj napraviti što dulju lozinku? Odgovor nije nužno pozitivan, jer vjerojatno najgora lozinka je upravo ona koju ste zaboravili. Ovime se može doskočiti korištenjem nekog od programa za čuvanje lozinki na računalu, no to ne vrijedi i u situacijama kada nemamo pristup računalu. Prije nego počnemo sa stvaranjem lozinki, osvrnimo se na načine kako ih probiti. Za prvi primjer uzmimo hipotetsku situaciju da imate uistinu jako dobru lozinku koju je gotovo nemoguće pogoditi. Kada bismo se našli u ovoj situaciji trebali bismo paziti na tzv. socijalni inženjering koji uključuje da osoba koja vam želi ukrasti podatke dozna neke informacije o vama, a najjednostavniji način za to su e-mail poruke koje traže od vas da predate neke osobne podatke (ili u veoma jednostavnoj verziji i samu lozinku).
Danas svi koji imaju nekakvo iskustvo sa radom na računalu i osnovnu informatičku pismenost vjerojatno neće nasjesti na ovakve trikove, no treba biti oprezan jer oni više puta znaju izgledati i dosta uvjerljivo. Ovdje je bitno zapamtiti da vas nikada bilo koji profesionalac neće tražiti da mu prenesete vlastitu lozinku u svrhu da on nešto uradi/promijeni na vašem računu. Obično se uz nekoliko provjera pa i “googlanja” po internetu često ovakva ponuda pronalazi kao najčešći tip prijevare.
Krenimo sa primjerima dobrih lozinki. Kada kupujete neki uređaj (primjerice router) često ćete dobiti neku tvornički generiranu lozinku i savjetuje se da ju promijenite čim prije. Svakako, savjet biste trebali poslušati. Primjeri takvih lozinki su korisnik, administrator, password i sl. Potom nekoliko najčešće korištenih lozinki koje su pri samom vrhu loše zamišljenih koje se lagano pogađaju su 123456, qwertz, love, god, money, password… Ovo je zapravo poprilično očito i ne treba mnogo objašnjavati.
Sljedeća kategorija su osobne informacije poput stavljanja vlastitog imena, prezimena, datuma rođenja i povezanih podataka. Ovaj tip se često koristi zbog lakog pamćenja, no ako si netko želi dati truda i zna ponešto o žrtvi, postoji dobra vjerojatnost da pogodi lozinku. U ovu kategoriju mogli bismo svrstati i omiljene bendove, filmove, izvođače, likove i slično.
Iduća kategorija koja nije mnogo sigurnija od ove jesu lozinke koje sastavimo sami poput asfdg, poiuz te duple riječi poput imeprezimeimeprezime. Kategorija više su lozinke iz rječnika, odnosno riječi koje nešto znače, a mogu biti bilo materinjskom bilo na stranom jeziku. Iako nam se činilo da napadač ne bi nikada pogodio našu lozinku jer smo iskoristili neku podužu riječ ili pak onu koja se rijetko koristi, imamo opet loše vijesti. Programi koji koriste tzv. Dictionary Attack nisu ništa novoga, a isprobaju sve moguće riječi koje se nalaze u rječniku određenog jezika.
“Nadogradnja” na ovu kategoriju bila bi upotreba velikih i malih slova s obzirom da se ona razlikuju. Na taj način ćete povećati broj kombinacija što je ujedno i cilj stvaranja dobre lozinke. Ideja je da napadač i program kojega on koristi ima za obaviti što veći broj operacija usporedbe. Možemo na ovaj sustav dodati i brojeve čime nadodajemo još 10 znamenaka u kombinaciji sa velikim i malim slovima. Brojeve i velika i mala slova možemo stavljati i na početak i kraj ili pak u sredinu. Ovdje se počinje javljati onaj problem pamćenja lozinke jer ukoliko previše zakompliciramo stvari, može se dogoditi da ju zaboravimo. Ako koristimo lozinku samo od kuće, nije problem spremiti ju na neki način bilo programom u tu svrhu ili zapisivanjem na neko sigurno mjesto, no primjera radi ako imamo lozinku za pristup e-pošti moglo bi biti problema ukoliko je se trebamo sjetiti kada smo u internet caffee-u. Želimo li uzeti najsnažniju varijantu koja je ujedno i teška, da ne kažemo nemoguća za zapamtiti ukoliko je potrebno pamtiti nekoliko lozinki, to su slučajni brojevi, slova, znakovi, velika i mala slova, praktički sve što smo dosad ovdje spomenuli zajedno.
Na samom korisniku je da odluči koliki omjer težine probijanja lozinke i njezine mogućnosti pamćenja želi uzeti. Također vrlo je važna duljina same lozinke pogotovo kod ovih slučajnih koje se mogu probiti jedino brute-force napadom odnosno pogađanjem svih mogućih kombinacija. Za primjer da dočaramo ovu razliku uzmimo da računalo pogađa 500 000 lozinki u jednoj sekundi, a da se lozinka sastoji od isključivo malih slova. Za duljinu od 6 znakova, u tome slučaju bilo bi potrebno oko desetak minuta, za duljinu od 8 znakova pet dana, a za duljinu od devet znakova – gotovo pet mjeseci. Kao što vidimo povećanjem broja znakova, vrijeme pogađanja lozinke raste eksponencijalno.
Još nekoliko napomena koje je poželjno znati pri odabiru lozinke. Ne postoji najbolja lozinka niti ona neprobojna, već ona koju je lakše, odnosno teže pogoditi. Kada se god prijavljujete na neki servis gdje je potrebno odabrati lozinku, često će vas upozoriti na kvalitetu lozinke i trebate obratiti pozornost na to ukoliko vam je stalo do podataka. Danas dosta takvih servisa ima mogućnost ocjene upisane lozinke te ukoliko je ista ocijenjena kao loša, razmislite o nekoj kompliciranijoj. Savjetuje se i često mijenjanje lozinke, što je svakako poželjno ukoliko sumnjate na neke neuobičajene aktivnosti sa vašim računom.
Piše: Hrvoje Grdić
