Sigurnost na Internetu je danas veliki problem, a posebice ako koristite veći broj web servisa. Još je veči problem ako svuda koristite istu lozinku. Ako vam je netko ukrade, može doći i do vaših drugih servisa i raditi što poželi, a da vi to ne znate. Zato je najbolje koristiti password managere, odnosno specijalizirani softver za pohranu lozinki i ostalih osjetljivih podataka
Ako ste prosječan korisnik računala, onda vrlo vjerojatno ne pazite previše na sigurnost svojih lozinki, odnosno radite greške kao i mnogi drugi Internet korisnici. To je danas prilično veliki problem jer svakodnevno možemo čitati kako su hakeri ukrali na milijune korisničkih imena i lozinki i to sa popularnih web servisa. Tako su se na udaru našli Google, Yahoo, Dropbox, Linkedin i mnoge druge kompanije.
Ako se vratimo na početak – prosječan korisnik na svim servisima ima jednake lozinke (op.a. tko bi pamtio 20 lozinki za 20 različitih servisa) i neka vam u javnost procuri jedna šifra, netko malo vještiji bi se sa tom istom lozinkom (u kombinaciji sa korisničkim imenom koji je često zapravo email adresa) mogao ući u sve vaše servise koje koristite. To je samo jedna od mana korištenja iste lozinke svuda. A da ne pričamo o tome da mnogi za lozinku imaju datum rođenja, svoje ime i godinu rođenja ili onu famoznu šifru „123456“. I upravo ćemo vam danas pokazati da postoje bolji načini za izradu šifre i čuvanje istih.
Postoje softveri uz pomoć kojih možete generirati šifre i logirati se na razne web stranice bez da zapravo upisujete te šifre i nitko vam ih neće moći tako lako ukrasti. Pa čak ni da na računalu imate key logger koji prati svako slovo koje vi napišete. Ovakvi softveri postoje za računala, odnosno sve operativne sustave, kao i za OS-ove na mobilnim telefonima. Koji su to, što s njima možete i po čemu se razlikuju od konkurencije, čitajte u nastavku teksta.
Piše: Boris Plavljanić
Kako se spremaju lozinke?
Ako koristite, recimo, Google Chrome kao primarni web preglednik onda kao i većina korisnika vrlo vjerojatno sinkronizirate svoje omiljene stranice i lozinke sa Google korisničkim računom kako biste na svakom uređaju na kojem se spojite sa dotičnim računom imali pristup tim istim web stranicama i servisima, te da ne biste morali upisivati lozinke. No, znate li kako su te lozinke pohranjene? Kao običan tekst, a ako netko sjedne za vaše računalo dok vas nema ili uzme uređaj na kojem ste logirani u Chrome web preglednik vrlo lako može vidjeti na kojem servisu koristite koje korisničko ime i lozinku. To je krađa lozinki lokalno sa računala i nekog drugog uređaja.
Naravno, može se provaliti i na druge načine. U svakom slučaju – vaše lozinke kao takve nisu sigurne na računalu i nemojte ih, ako ne morate, pohranjivati na taj način. Radije koristite Password managere. Ti isti password manageri, odnosno softveri za pohranu lozinki vas ne mogu spasiti ako netko ukrade šifre sa Googleovih servera, no ipak je šteta višestruko manja. Kako? Vidjeti ćete.
Što rade softveri za pohranu lozinki?
Softver za pohranu lozinki, ili po engleski password manager, ima jednu osnovnu funkciju, a to je pohrana vaših podataka za spajanje na razne servise i web stranice, a da to ne morate vi raditi. Kao što smo rekli, tu funkcionalnost imaju i svi moderni web preglednici, ali nisu sigurni. Dapače, to je jedna od onih ranjivih točaka koje mnogi hakeri traže, jer kad se dokopaju tih podataka, mogu raditi što hoće kada se ulogiraju umjesto vas. Zamislite samo da se sa vašim podacima spoje na PayPal i da vam povuku recimo 1000 kuna. Sigurno ne biste bili sretni. A cifre mogu biti i znatno veće od spomenute. I to je samo jedan od primjera. Mogli bismo ih naći još mnogo. Mnogo je sigurnije koristiti, recimo, Firefoxov plugin password manager, ako već ne želite imati dodatni softver koji će vam zaštititi lozinke.
Znači, softver za pohranu lozinki sprema vaše podatke za spajanje na razne servise, ali ima još mnogo dodatnih mogućnosti koje vam mogu pomoći u svakodnevnom radu i povećati vam sigurnost. Kao prvo, oni kriptiraju sve te podatke koje im date – od web stranica, do korisničkog imena, lozinke, broja kartice, broja bankovnog računa … Sve ono što oni dobiju od vas, kriptiraju i zaštite da nitko do toga ne može doći. Osim kriptiranja, ovaj softver vam dozvoljava i da na jednom mjestu imate pregled svih vaših lozinki, no o tome nešto kasnije. Nadalje, mnogi sotveri ovog tipa vam dozvoljavaju generiranje dugačkih, unikatnih i kompliciranih (npr. H4$&1apolk76S#$1232–+e2zuy) lozinki koje nitko na svijetu ne može pogoditi. Pa čak i sa brute force tehnikom bi pogađanje takve šifre trajalo možda i desecima godinama, ako ne i duže. Barem sa današnjim hardverom.
Pitate se kako ćete zapamtiti sve te dugačke šifre? U tome i je čar ovog softvera – ne morate pamtiti šifre – on to čini za vas.
Osim generiranja šifri, softver često ima i razne testove kojima možete vidjeti koliko su zapravo vaše šifre jake, koliko ih je teško probiti i koje su vam lozinke najslabije i najranjivije.
Ukratko, password manager je kriptirana datoteka u kojoj se nalaze vaši podaci. Oni su dohvatljivi jedino uz pomoć master šifre, odnosno jedine šifre koju vi morate znati. Kada tu datoteku otključate sa master šifrom, podaci iz nje su dohvatljivi i možete ih koristiti za spajanje na web servise, web stranice i tako dalje. Kada je datoteka zaključana, podaci nisu dohvatljivi. Ako netko i uzme tu datoteku, nema šanse da ju otvori, odnosno dekriptira, pogotovo ako ste napravili dobru master šifru (ona je ujedno i jedan od ključeva za kriptiranje/dekriptiranje podataka). Zato je samo bitno da master šifra bude dugačka i kompleksna.
Naravno, postoji i nekoliko različitih vrsta password managera. Neki od njih imaju svoje desktop varijante, odnosno instalirate ih na računalo (Windows/Mac/Linux), neki su bazirani na webu, odnosno cloudu i spremaju podatke negdje udaljeno na sigurne servere. Neki vam dozvoljavaju da kriptiranu datoteku držite na eksternim uređajima kako bi bili sigurni da vam nitko tu datoteku ne ukrade sa računala i slično. U biti imate različite varijante što se tiče spremanja dotične datoteke, a same aplikacije su vrlo slične i nude slične mogućnosti. Naravno, svaka od njih ima nešto po čemu je specifična, ali cilj im je jednak – zaštititi vas od krađe šifri i učiniti vaš boravak na Internetu sigurnijim.
KeePass
Pošto su password manageri vrlo vrijedni u svakodnevnom radu, sigurno biste pomislili da puno koštaju. No, pogriješili biste. Cijene se kreću od 0 dolara do 50-ak dolara za licencu po korisniku. Trenutačno nas ne zanimaju enterprise solucije i licence za velike firme. Znači neki alati su besplatni, a neki koštaju par desetaka dolara. KeePass spada u skupinu besplatnih alata, odnosno riječ je o open source projektu koji je radio veliki broj programera povezanih sa sigurnosti tako da su svi algoritmi u ovoj aplikaciji implementirani na pravi način i nema „back doorova“, tj. skrivenih rupa koje bi netko mogao iskoristiti da vam nađe lozinke. Čak možete vidjeti i izvorni kôd aplikacije, tako da se ništa ne skriva. No, pustimo sada cijenu i algoritme i pogledajmo po čemu je ovaj softver specifičan i zašto bismo ga preporučili.
Kao prvo, riječ je o aplikaciji koja je „portable“ (ili po hrvatski – prijenosna) i možete ju koristiti na bilo kojem računalo bez da ju instalirate. Naravno, s njom morate imati i kriptiranu datoteku koju ćete stvoriti kod prvog korištenja kako bi ona mogla spremati podatke u istu. Ovo je veliki plus jer olakšava korištenje, posebice na poslovnim računalima gdje možda ne želite ostaviti sve svoje šifre, a morate ih imati sa sobom. Donesete KeePass na USB sticku i koristite ga. Kada vam ne treba, samo izvucite USB iz računala i to je to. Uz to, KeePass koristi dva vrlo popularna i jaka algoritma za kriptiranje podataka – AES i Twofish. Čak je i NSA rekla da je AES fantastična enkripcija i da je ona odlična za kriptiranje najvećih tajni. Nismo sigurni da li je dobro ili loše kad NSA nešto hvali, no AES je za nas fantastičan enkripcijski algoritam.
Rekli smo da se baza sa šiframa (kriptirana datoteka) otključava sa master šifrom. Da, možete ju otključati sa njom ili sa vanjskim ključem. To znači da možete izgenerirati određenu datoteku i samo uz pomoć te datoteke u kojoj je nešto zapisano, možete otključati datoteku sa šiframa. Ovo je čak i sigurniji način zaključavanja šifri i preporuča se kao primarni način zaključavanja/otključavanja datoteke, ali jedini minus je što tu datoteku morate imati sa sobom. KeePass vam dozvoljava da koristite dodatnu datoteku umjesto master lozinke. Što još reći o KeePassu? Pa ništa previše – ima solidno korisničko sučelje kako biste se lakše u njemu snašli, možete u njega učitati šifre iz mnogo formata (TXT, HTML, XML, CSV) te ih odmah kriptirati, možete lako prenositi kriptiranu datoteku … Ako želite isprobati password manager, preporučamo vam da probate KeePass. On ima one osnovne (i neke naprednije) funkcije i odličan je ako ne želite nešto kompliciranije. Ponavljamo – to što je besplatan ne znači da je lošiji ili nesigurniji od konkurencije.
LastPass
Drugo vrlo popularno ime je LastPass. To je web baziran servis za pohranu vaših podataka i najveća prednost LastPassa je centralizirana pohrana vaših lozinki. No, prije nego pomislite kako će vam netko ukrasi podatke sa servera koji je na nepoznatoj lokaciji, pročitajte odlomak do kraja. LastPass od vas traži da kreirate korisnički račun te da postavite master šifru koja će otključavati i zaključavati vaše podatke. Kada to napravite, spremni ste za korištenje. Bilo bi još dobro skinuti na računalo plugin za vaš web preglednik kako biste lakše koristili LastPass. Sada se u njega možete logirati i unijeti podatke koje želite.
Najlakše ga je započeti koristiti tako da „normalno“ koristite web servise, no kod logiranja na iste, kada vas LastPass pita da li želite spremiti podatke u vaš LastPass vault (mjesto gdje se spremaju lozinke) vi stisnete „Da“. Na taj način ćete vrlo brzo popuniti korisnički račun sa potrebnim podacima. Te podatke možete naravno sortirati, grupirati, uređivati i slično. Kada se logirate na vaš LastPass korisnički račun, imate pregled svih podataka. Kada se drugi puta budete logirali na, recimo, Facebook moći ćete na jedan klik upisati sve vaše podatke (autofill form mogućnost). Kada skinete plugin za web preglednik, kraj polja za unos korisničkog imena i lozinke će stajati logo od LastPassa. Kada kliknete na njega, on će povući vaše kriptirane podatke i upisati ih u potrebna polja.
Naravno, to radi dok je vaša master šifra aktivna. Kada zaključate vault, više nećete moći povući šifre. Tako da se ne morate bojati da će netko doći i sjesti za vaše računalo i bez problema ući na neki od servisa. Neće ako nema master password. Možete čak i uključiti opciju da kad god zatvorite web preglednik, datoteka sa šiframa se zaključa i to je to.
LastPass sve podatke kriptira lokalno na računalu, a tek onda te iste podatke šalje na server. Ista stvar je sa dekriptiranjem. Podaci se skinu na računalo, dekriptiraju i tek onda koriste. Vraćamo se na početak odlomka – čak i da vam netko sa udaljenog servera ukrade kriptiranu datoteku, ne može ništa s njom učiniti, a kamoli ju otključati. Pretpostavimo da ipak nema mnogo ljudi pristup tim datotekama. Ono što nas veseli su neke sporedne mogućnosti koje LastPass ima. To su mogućnost korištenja Password generatora koji će za vas izgenerirati šifre – vi samo morate odrediti dužinu šifre i da li želite da se neki znakovi koriste ili ne. Uz to, tu su još „Hotkeys“ za brzo korištenje LastPassa, mogućnost stavljanja dodatnog sloja autentifikacije, neograničena mogućnost sinkronizacije podataka (možete ih sinkronizirati na neograničenom broju računala ili uređaja) … Ako vam ni to sve nije dovoljno, postoji i Premium verzija koja vam dozvoljava skidanje LastPassa i na mobilne uređaje i korištenje istoga na mobitelu.
Vrlo korisno, a košta svega 10-ak dolara godišnje. Ako ste vlasnik kompanije, znajte da postoji i LastPass Enterprise za iste. Jako nam se sviđa LastPass i koristili smo ga duže vrijeme kao primarni password manager. Nikada nismo imali nikakvih problema s njime.
1Password
Ako postoji softver za pohranu lozinki koji ne smijemo nikako zaboraviti, onda je to 1Password. Ovo je jedna od skupljih „investicija“ koje ćete morati napraviti kada govorimo o pohrani lozinki, no vjerujemo da se isplati. 1Password košta 35 dolara za Windows korisnike, te oko 50 dolara za Mac verziju. Zašto je Mac verzija skuplja? Iz razloga što su tamo implementirane neke mogućnosti koje u Windows verziji nisu jer govorimo o dva različita operativna sustava. No, Windowse verzija nije ništa lošija zbog toga.
1Password nas se jako dojmio zbog svoje jednostavnosti korištenja, a zapravo se radi o vrlo kompleksnom programu, tj. aplikaciji. Kompleksnom iz razloga što vam nudi jako puno toga i sve funkcionira savršeno, a korisnik vidi samo onaj mali dio koji mu je prikazan. Nećemo previše ići u detalje, no sa razlogom je 1Password skuplji od konkurencije.
1Password instalirate lokalno na računalo, te kreirate datoteku u kojoj će biti spremljeni vaši podaci, te odredite master šifru. Nakon toga ste spremni za raditi, iako vam kao i kod LastPassa, preporučamo da si skinete plugin za web preglednik. Biti će vam mnogo lakše raditi. Sada kod logiranja na razne web servise, 1Password vas pita da li želite spremiti podatke. Naravno, odgovor je da. Podaci se spremaju i to je to. Ako uđete u aplikaciju koju ste instalirali na računalo, vidjeti ćete te iste podatke. Podatke unutar aplikacije možete grupirati, odnosno staviti u jednu od predefiniranih grupa ili možete napraviti custom grupu. Bez obzira gdje stavili podatke, oni se nalaze na sigurnome. Unutar aplikacije imate raznih mogućnosti. Prva je generiranje šifre.
Preporučamo vam da što češće koristite tu mogućnost i da svaki servis koji koristite ima unikatnu lozinku. Nadalje, 1Password vam može na dnevnoj, tjednoj ili mjesečnoj bazi raditi sigurnosne kopije vaše datoteke i to na lokaciji kojoj vi želite. Preporučamo da na jednom disku imate „originalnu“ datoteku, a na drugom disku sigurnosne kopije. Ili čak da izradu sigurnosne kopije postavite u mapu od Dropboxa ili Google Drivea kako bi vam se svaka napravljena sigurnosna kopija odmah sinkronizirala u „vaš oblak“. Tako nikada nećete izgubiti ove datoteke ukoliko se nešto dogodi vašem računalu, točnije disku. 1Password nudi i mogućnost izrade više različitih kriptiranih datoteka – recimo jednu za osobnu upotrebu, a drugu za poslovnu upotrebu.
Čak je moguće i određene šifre podijeliti sa članovima tima ili obitelji, no to su detalji koje možete i sami pogledati ako budete koristili 1Password. 1Password možete koristiti na svim uređajima – od Maca, do PC-ja, Android telefona, iPhone, iPada i tako dalje. 1Password je fantastičan, jedini je problem što mnogi ne žele platiti 200-injak kuna koliko košta Windows verzija. Iskreno govoreći, isplati se jer u toj cijeni dobivate barem jednu besplatnu nadogradnju, potpunu tehničku podršku i još mnogo toga. Svakako pogledajte!
Android
Ljudi sve više koriste mobitele za spajanje na razno razne web servise i mobitel se kod mnogih ljudi koristi i više nego računalo. Barem za obavljanje privatnih stvari, kao i korištenje društvenih mreža. No, takvo korištenje računala zahtjeva zaštitu korisnika, a pogotovo lozinki. Zato je dobro password managere koristiti i na mobitelima. Posebice ako se često spajate na besplatne bežične mreže koje možete naći praktički svugdje – od kafića do trgovačkih lanaca. Android ima sve popularne softvere dostupne, a na vama je samo da odaberete koji ćete koristiti. LastPass premium košta 10-ak dolara. Isto toliko košta i 1Password.
Da, znamo da većina korisnika ne želi platiti aplikacije, no kada je zaštita ovako osjetljivih podataka u pitanju, mislimo da ovaj iznos i nije prevelik. Svakako preporučamo LastPass ili 1Password, no daleko je od toga da su to jedine aplikacije na Androidu koje se isplate. Moramo svakako spomenuti mSecure, Dashlane, SafeInCloud Password Manager, Enpass Password Manager … mSecure nam se svidjela jer također nije skupa (9.99 dolara), a nudi mogućnost sinkronizacije kriptirane datoteke direktno na Dropbox (a ako skinete mSecure za Windowse ili Mac možete otvoriti tu datoteku, odnosno koristiti ju i na računalu za pohranu podataka).
Ova aplikacija, kao i mnoge ima integrirani web preglednik u aplikaciju tako da se preporuča korištenje tog preglednika za sigurno spajanje na web servise/stranice, a ne korištenje defaultnog preglednika koji dolazi sa operativnim sustavom. Ista stvar je i sa Dashlaneom koji ima dvostruku zaštitu, te malo više opcija za korisnika … U svakom slučaju imate prilično velik raspon aplikacija koje možete koristiti i bilo bi šteta ne koristiti ih. Posebice ako ste „gost“ na tuđim wireless mrežama. Nikada ne znate tko stoji iza nje i kakve podatke skuplja preko mreže. Ne moramo govoriti koliko je lako zapravo prikupiti podatke od takvih uređaja na mreži.
iPhone
iPhone ima praktički iste aplikacije na raspolaganju kao i Android. Većina proizvođača radi paralelno aplikacije za oba operativna sustava tako da tu i nema nekih prevelikih razlika. Eventualno nekih sitnijih razlika u samom grafičkom sučelju, no i to je prilično jednako. Nama se na iPhoneu najviše svidjela mobilna aplikacija 1Passworda jer funkcionira najbolje i najbrže. Na računalima sve aplikacije rade jednako brzo, no nekako na iPhoneu ova radi malo brže nego ostale. Uz to, integrirani web preglednik radi savršeno, što ne možemo reći za neke druge aplikacije. U tim aplikacijama često web preglednik zna biti nešto malo sporiji. Istina, to vrijeme se mjeri u desetinkama sekunde, no vjerujte nam osjeti se nakon nekog vremena.
Zaključak
Zaključak ovog teksta je da postoje vrlo jednostavna rješenja koja vam mogu jako povećati sigurnost na Internetu, a na vama je da ih koristite ili ne koristite. Naše mišljenje je da ovakvi softveri jako dobro dođu, posebice naprednijim korisnicima koji imaju jako puno korisničkih računa, ali su i najranjiviji jer se svuda prijavljuju i mogu pokupiti razne zloćudne kôdove koji mogu naškoditi vašem računalu ali vam i ukrasti nezaštićene lozinke. Isto tako, vjerujemo da ćete se naviknuti na password manager u vrlo kratkom vremenskom roku i kasnije nećete htjeti bitiw bez njega i to upravo iz onih mnogobrojnih razloga koje smo nabrojali – generiranje šifri, jedna šifra koju morate zapamtiti (master šifra), mogućnost korištenja određene kombinacije tipki koja će vam popuniti web formu na ekranu i tako dalje. Ako ne želite plaćati softver – to je u redu.
Iskoristite neko od besplatnih rješenja. KeePass je fantastičan, a jedino što će vam uzeti je možda sat vremena dok ga malo iskoristite i vidite kako funkcionira. Za one koji žele nešto više, tu su ostali password manageri koje smo spomenuli, ali i mnogi koje nismo. Istražite, pogledajte što se još nudi i odlučite se za jedan. Svaki sigurnosni mehanizam dobro dođe, pogotovo kada se radi o ovako osjetljivim podacima kao što su korisnička imena i lozinke.