Kako odabrati dobru šifru za e-mail ili nalog?

U poslednjih nekoliko godina mnogo se priča i radi na novim tehnikama obezbeđivanja podataka, i mnogi sistemi uvode višestruke korake u autorizaciji kako bi rešili večiti problem – kako zaista zaštititi osetljive podatke korisnika. I iako su u upotrebi otisci prsta, snimci zenice, glas, razni tokeni i generatori, ipak je osnova svega i najčešće prisutan način zaštite – šifra. Ovaj niz slova, brojeva i znakova je ono što čini vaše informacije nedostupnim. Zato ćemo mi u ovom tekstu objasniti kako da kreirate dobru šifru za e-mail ili nalog.

Napadači koji znaju šta rade, biraju najslabiju kariku. Iako na prvi pogled to možda i ne izgleda tako, najčešće je to čovek. Velike prevare i hakerske akcije o kojima su se pisale knjige i snimali filmovi u svojoj osnovi su se svodile na društveni inžinjering (social engineering). Ovaj izraz opisuje niz akcija koje napadač izvodi ne bi li, manipulišući drugima, došao do informacija do kojih inače ne bi mogao da dođe. Čak i Kevin Mitnik (Kevin Mitnick), verovatno najpoznatiji haker svih vremena, u svojoj knjizi Umetnost obmane, priča gotovo isključivo o tome. Ako ste uverljivi, ljudi će vam lako poverovati jer ljudi biraju da veruju u ono u šta žele da veruju.

Kada je naša sigurnost u pitanju, najčešće padamo na glupostima. Ili ne razmišljamo da je to važno, ili nam je u nekom trenutku pažnja na niskom nivou, tek, vrlo često nedovoljno pazimo o svojim osetljivim informacijama. Živimo u vremenu u kome su e-mail adresa, Facebook profil, Linkedin profil, naš digitalni identifikacioni dokument. Takodje, iza neke šifre koju je moguće resetovati na e-mail nalazi se pristup našim bankovnim računima, računima za mobilni telefon, i raznim drugim važnim ličnim podacima. Sve što nama ima neku potencijalnu vrednost, može imati i nekom drugom. Vaš bežični internet je iza neke šifre, a ako neko zlonameran bude na vašoj mreži, može prisluškivati vaš saobraćaj, ili učiniti neko delo „u vaše ime“.

Danas, kada otvaramo novi nalog negde, uz sve podatke o sebi koje dajemo, susrećemo se i sa sistemima koji mere kompleksnost šifara koju koristimo, a neki sajtovi nam nude i mogućnost da nam skrate proces registracije time što će nam nasumično generisanu šifru poslati na e-mail. Ovakve šifre su po pravilu ocenjene kao teške za provaljivanje i samim dobre za vas, međutim, nije baš tako.

Postoje tri osnovna načina kako se hakuju šifre:

1. Pogađanje – Mnogi od nas biraju za šifre nešto što će lako zapamtiti, ili kombinaciju više stvari iz neposrednog okruženja. Ime, prezime, nadimak, imena članova porodice, godišta, kućni ljubimci, omiljeni pisac, knjiga, muzičar, film, klub, i razne druge stvari. Mnoge od ovih informacija odajemo lakše nego što bi trebalo, a često čak iako neko ne zna našu šifru, odgovaranjem na neko od ovakvih pitanja može doći do njih.
2. Brute force napad – Ovaj napad podrazumeva testiranje šifara tako što će se redom probati sve kombinacije. Ovo je najčešći i najprimitivniji način, za koji često treba i najviše vremena, ali koji u slučaju loših šifara daje rezultate. Ovo je razlog zašto ljudi u IT odeljenjima savetuju da ne koristite kratke šifre.
3. Liste reči i rečnici – Ova tehnika koristi definisane liste reči ili čitave rečnike u kombinaciji sa drugim karakterima. Na ovaj način se ubrzava proces, svodeći kombinovanje na smislenije kombinacije, a ne na apsolutno sve varijacije koje postoje.

U praksi koliko god kompleksna bila, kratka šifra je uvek ranjivija na ove metode od duge. Problem i sa dugim i sa kratkim šiframa koje sistemi ocenjuju kao dobrim je što su takve da se jako teško pamte, a kako je poželjno da za svaki bitan nalog imate jedinstvenu šifru, to podrazumeva mnogo čudnih kombinacija brojeva i slova koje morate pamtiti.

Kako dužina skoro uvek pobeđuje kompleksnost postoji i mnogo elegantnije rešenje. Rešenje koje je za računar kompleksnije, a za ljude neuporedivo jednostavnije – korišćenje više reči, pa i kratkih rečenica.

Naravno, i ovde morate voditi računa da ne koristite očigledne rečenice, ili ako je to iz pesme koju volite da ne pevušite baš stalno taj stih, ali svakako je lakše zapamtiti – ja-volim-lubenice nego 8iL49dxE. Da li koristite ja_volim_lubenice ili JaVolimLubenice (koje je tri slova kraće, zbog crtica, pa je samim tim i malo manje bezmedno), ili neku drugu kombinaciju samo je do vas, ali je svakako dobro imati dobru šifru koja se lako pamti.

Ovo je samo primer, možete kombinovati šta god želite, i super je ako u kombinacije možete uvesti i brojeve, velika i mala slova, ali najvažnije je da znate svoju šifru onda kada vam je potrebn

Pogledajte spisak 25 najlošijih šifara koje možete koristiti i razmislite koliko puta ste neku od njih iskoristili za neki svoj nalog?

Da li ste ovime rešili sve svoje probleme?

Ne, naravno.

I dalje morate paziti da se ne upecate na neki phisling, da neko ne prisluškuje besplatni WiFi koji koristite, da ne zakačite virus ili keylogger, da ne ostavite papirić sa šifrom, ne izgubite mobilni ili laptop na kome ste ulogovani na mail, a koji pritom nema nikakvu zaštitu. Ovime nećete rešiti ni problem sajtova koji ne čuvaju vaše šifre na pravi način, sajtova koji nisu bezbedni. Poštujući ovo, tj. imajući i ovo u vidu razmišljajući o vašoj šifri uradićete sve što je do vas. I to je najviše što možete uraditi.

Da li treba da koristite neki password manager?

Većina modernih browsera ima neki dodatak na ovu temu, postoji i mnogo ozbiljnih programa. Ovakva rešenja vam pomažu da na jednom mestu čuvate sve osetljive informacije enkriptovane, najčešće pod master šifrom. Neka od ovih rešenja rade i na računarima i na telefonima, deleći podatke i pomažući vam na svim uređajima. Ako imate mnogo ovakvih podataka, razmislite o nekom od njih, ali budite obazrivi.

Da li treba da menjate šifre s vremena na vreme?

Ne, osim ako ne sumnjate na potencijalni problem. Mnoge kompanije u okviru svojih sigurnosnih pravila nalažu česte promene šifara, ali u realnosti, time se ne postiže gotovo ništa, a unosi se često zabuna jer ljudi moraju da menjaju nešto na šta su navikli nečim novim. Ono što treba da uradite je da uključite višestepenu verifikaciju za one naloge koji su vam zaista bitni – jer većina e-mail sistema, e-banking sistema, naloga na društvenim mrežama to nudi.

Ne postoji ni jedan sigurnosni sistem koji je dovoljno dobar, ako vi ne pazite.