Varno prijavljanje v storitve – osnova varnosti

Lovro Vrtač

Pa saj nimam kaj skrivati …

Poznam možakarja, ki razmišlja približno takole:

»Teh gesel je enostavno preveč in si jih ne morem vseh zapomniti. Itak nimam kaj skrivati, zato bom imel povsod eno in isto geslo.«

Ko ga vprašam, če se mu slučajno ne zdi čudno, da bi kdorkoli dostopal do njegove elektronske pošte, navadno pove:

»Saj sem ti rekel, da nimam kaj skrivati. Jaz sem odprta knjiga.«

In navadno je prepričanega res težko prepričati v kaj drugega.

 

Zakaj je pomembno, da varujemo svoj elektronski predal

Prepričan sem, da mnogo uporabnikov, ki se o varnosti gesel še niso spraševali, enostavno ne ve, kaj vse se lahko zgodi in kako preprosto je danes ukrasti identiteto in kaj vse lahko zlikovci naredijo, če se dokopljejo do vaše elektronske pošte.

 

Z elektronskim naslovom se prijavljate v najrazličnejše storitve. V katere? No, recimo v Paypal, v Mimovrste, Enaa, Spar, Mercator, Ebay, Aliexpress, v račune za trgovanje s kripto valutami in tako naprej.

Kaj se zgodi, če nekdo pridobi dostop do vaše elektronske pošte? Kar naenkrat lahko na vseh prej omenjenih storitvah sproži spreminjanje gesla, ki je praktično vedno vezano le na elektronski naslov. V Aliexpressu, denimo, vpiše vaš elektronski naslov, do katerega ima dostop in v nekaj trenutkih bo prišel mail, s katerim bo spremenil geslo Aliexpress, nato pa zamenjal še naslov za dostavo, v račun pa je že povezana vaša kreditna kartica. In opravil bo kakšen nakup na vaš račun. Skratka, okradel vas bo.

Zlonamernež mora le malce pobrskati po vašem poštnem predalu in kmalu bo ugotovil, v katere spletne storitve ste se prijavljali z dotičnim elektronskim naslovom. In tak uporabnik je dejansko odprta knjiga.

 

Zakaj ni dobro uporabljati enega gesla na več krajih?

Z enim geslom, ki ga uporabljate povsod, je zelo enostavno. Vse imate pod nadzorom. Dokler enkrat nimate nobenega nadzora več. Problem je v tem, da se vdori v najrazličnejše spletne trgovine, portale, storitve dogajajo pravzaprav na dnevni bazi.

In hekerji so zelo pametni: vedo, da obstaja izjemno veliko uporabnikov, ki uporabljajo eno geslo na več koncih. Dovolj je torej, da vdrejo v neko malo spletno trgovino, v kateri nakupujete in nato z geslom, ki ga imate tam, poskusijo priti v vaš Facebook, Instagram, Dropbox in tako naprej. In imajo dostop do vsega.

Torej, zdaj ko smo vsaj malo postavili stvari na svoje mesto, pa lahko začnemo reševati omenjene varnostne probleme.

 

Kakšno mora biti geslo?

Pozabiti moramo na 15 let staro mantro, da je dovolj, da ima geslo 8 znakov in že je varno. Nekje sem našel podatek, da je 8 znakovno geslo z malimi črkami in številkami danes možno razbiti v nekaj sekundah. Čez kakšno leto pa bo zaradi bolj zmogljivih računalnikov to možno narediti hipno.

Že če poskrbimo, da 8 znakovno geslo vsebuje male in velike črke, številke ter kakšen poseben znak (vejica, pika, klicaj, …), se ta čas podaljša nekje na 2-3 dni. Seveda tudi s takim rezultatom ne moremo biti zadovoljni.

Če želimo, da je geslo varno, mora imeti danes več kot 15 znakov, vsebovati pa mora male in velike črke, številke in posebne znake. Le v tem primeru lahko računamo na to, da bo razbijanje gesla trajalo tako dolgo, da ga ne bo moč razbiti za čas našega življenja.

In če vzamemo še nekaj rezerve, bi bilo priporočilo, da ima geslo vsaj 20 znakov. »Better safe than sorry,« bi rekli čez lužo.

Dam primer varnega gesla? Sledečega je praktično nemogoče razbiti prej kot v nekaj milijonih let: w9AEl&uO1IY^1r!bOSEc

Kako sem prišel do njega? Z generatorjem naključnih gesel.

Taka gesla seveda prinesejo s seboj tudi kar nekaj težav, ampak pustimo to ta hip ob strani.

 

Dve enostavni formuli, kako narediti varno geslo

  1. uporabljajte kar frazo, namesto gesla. Kaj to pomeni? Dam primer. Naš moto je »Pozitivna stran informatike.« Moje geslo bi torej lahko bilo kar celoten stavek, vključno z veliko začetnico presledki in piko na koncu. Dolžina je precej velika, posebni znaki so prav tako (presledki in pika). Manjka še kakšna številka, ampak je že sama dolžina toliko povečala kompleksnost razbijanja, da je tudi brez številke varno.
  2. Vzamete neko frazo, nek stavek, ki vas morda spremlja že od otroštva in ga vzamete kot osnovo za tvorjenje gesla. Za primer bom vzel nekaj besedila z naše spletne strani.
    »Zakaj Moj servis? Imela sem že prej računalničarja, ki pa je včasih bil odsoten kar nekaj dni.« Tole bo torej osnova. Zdaj pa poberemo vsako prvo črko, pustimo notri ločila, odstranimo presledke, morda dodamo še kakšno številko, pa dobimo geslo 8ZMs?isžpr,kpjvboknd. Ima vse, kar varno geslo potrebuje.

In pridemo na točko, ko boste ugotovili:

  1. »To je pretežko.« Da, res je. Ni enostavno.
  2. »Preveč je teh gesel, da bi si vsa zapomnil.« Da, seveda. Povsem drži, se strinjam.
  3. »Okej, naredil bom, kot predlagate, ampak ker si ne morem zapomniti, si bom zapisal in prilepil na monitor ali pod tipkovnico – čisto za vsak slučaj, če pozabim.« No, to pa vsekakor ni pametno.

 

Gesla na steroidih – upravljalniki gesel.

Skratka, kot smo ugotovili imajo varna (kompleksna) gesla dve zelo veliki težavi: (1) ne da se jih zapomniti in (2) zato si jih ljudje zapisujejo na neprimerna mesta, kjer jih lahko vidi množica ljudi. In spet nismo nič naredili glede varnosti. Možne rešitve?

Tisti, ki uporabljate spletni brskalnik Chrome, lahko uporabite možnosti, ki vam jih ponuja sam Chrome. Zna si zapomniti vsa gesla, ki jih uporabljate znotraj tega brskalnika.

In kar je najbolj pomembno: ko ustvarjate nove račune v storitvam, vam Google lahko predlaga naključno varno geslo. Zelo toplo priporočam, da uporabljate ta gesla, ki so precej bolj varna od teh, ki si jih sami izmislite.

Takole to izgleda v Chromu.

Kar je zelo priročno je dejstvo, da se ta gesla sinhronizirajo na vseh napravah oz. brskalnikih, v katere ste prijavljeni z dotičnih Google računom. Tudi na telefonu, seveda.

Druga, prav tako varna in z moje strani še bolj priporočljiva rešitev pa je storitev LastPass (www.lastpass.com). Za osnovno rabo je brezplačna, če pa bi si denimo zaželeli, da si vaši sodelavci določena gesla tudi delijo med seboj ali če bi želeli, da imajo sodelavci dostop do nekaterih vaših gesel, pa bo potrebno seči v denarnico.

Deluje na Windows in na MacOS, na Android in iPhone ter v vseh največjih spletnih brskalnikih.

Ni torej nobenega razloga, da takih upravljalnikov gesel ne bi uporabljali.

Seveda pa je potem nujno, da sprejmemo, da  uporabljamo naključna gesla, ki jih taki pripomočki predlagajo, kajti njihov smisel je prav v tem, da si namesto nas zapomnijo nemogoče kombinacije znakov.

 

Gremo še nivo višje. Dvofaktorska avtentikacija

Že če začnete uporabljati varna gesla in upravljalnik gesel, ste naredili kvantni preskok, če ste bili prej na enostavnem geslu, ki ste ga uporabljali povsod.

Ampak vsaj eno ali dve kategoriji storitev je pametno še bolj oziroma čim bolj zaščititi: dostop do financ, do elektronske pošte ter dostop do socialnih medijev. V primeru zlorabe so to stvari, kjer nas lahko posledice najbolj prizadenejo.

Če torej postavimo to v perspektivo konkretnih najbolj uporabljanih storitev lahko rečemo, da moramo najbolj zaščititi dostop do banke, do poslovne elektronske pošte (Office 365), do Gmaila ter seveda tudi do Facebooka (Twitterja, Instagrama).

 

Kako deluje dvofaktorska avtentikacija?

Če sta uporabniško ime in geslo nekaj kar veste (prvi faktor), potem lahko dodate še drugi faktor v to enačbo – nekaj, do česar imate dostop – recimo prstni odtis ali telefon.

Kako to izgleda v praksi? V prvem koraku vpišete v storitev uporabniško ime in geslo, nato pa vam storitev pošlje SMS kodo ali pa v posebni aplikaciji na telefonu dobite elektronski žeton / pin kodo za dostop.

Na ta način se torej izognete primerom, ko bi nekdo vedel vaše geslo. Če nima vašega prstnega odtisa ali pa elektronskega žetona, ki je vezan na vaš telefon, v primeru dvofaktorske prijave ne more nikamor.

 

Zakaj priporočam dvofaktorsko avtentikacijo v poslovni pošti?

V bistvu bi lahko kar ponovil stvari, ki sem jih zapisal že zgoraj. Čeprav se vam morda zdi, da ni prav nobene potrebe po dodatni zaščiti, ker nimate kaj skrivati, pa je vseeno dobro malce razmisliti. Gre za vaš posel, vaše preživetje.

Sploh ni težko priti do najbolj črnih scenarijev, kako lahko nekdo, ki si pridobi nepooblaščen do vaše poslovne elektronske pošte, škoduje vašemu podjetju. Lahko se, denimo, vrine v komunikacijo med vami in vašim kupcem v tujini in strankam sporoči spremenjene plačilne podatke. In denar kar naenkrat ne prihaja več na vaš račun, marveč na kriminalčevega. To je resničen primer, s katerim smo imeli opravka pred nekaj leti. Dvofaktorska avtentikacija bi ga preprečila.

 

Dvofaktorska avtentikacija v Microsoft 365 (Office 365)

Ker Office 365 uporabljate za posel, vam zelo priporočam, da v prijavah v storitve vklopite dvofaktorsko avtentikacijo. Na telefon si boste namestili microsoftovo aplikacijo Authenticator, mi vam bomo priskrbeli posebno QR kodo, ki jo boste poskenirali v aplikaciji in s tem boste dodali svoj račun v aplikacijo.

Vse to bo služilo za pridobivanje prijave v aplikacijo oz. za elektronski žeton.

Povsod gre za isti princip, zato ko enkrat dojamete, kako stvari tečejo, je povsem brezpredmetno ali gre za Office 365, Google, Facebook ali še kaj tretjega.

Bodo pa z 2FA (kot je okrajšava za dvofaktorsko avtentikacijo) vaše finance, vaša elektronska pošte in osebni podatki neprimerno bolj varni, kot brez take avtentikacije.

 

Kako izgleda to v praksi?

Stvar je resnično enostavna za uporabo. Aplikacija z vašim dodanim računom izgleda takole.

In ko se prijavljate v Office 365 račun, vas bo telefon opomnil, da se nekdo (v tem primeru vi) želi vpisati v vaš račun. Preostane vam samo še, da potrdite ali pa zavrnete dostop. Spletna stran bo zaznala, kako ste se odločili in vas bo (ali pa ne) spustila naprej.

Dodana vrednost vsega tega? Poglejva. Nekdo vam je ukradel geslo. Ko se želi prijaviti v vašo elektronsko pošto, boste vi dobili obvestilo. Ker veste, da gre za nepooblaščen dostop, boste zahtevo zavrnili. In vaša elektronska pošta bo varna. Zlikovca bo pa na zaslonu pričakalo tako sporočilo:

Seveda pa v takem primeru že zaradi higiene vseeno priporočam menjavo gesla povsod tam, kjer morebiti še uporabljate isto geslo.

 

Dvofaktorska avtentikacija v Microsoft 365 (Office 365)

Vsaj v Google računu in v Facebooku si vklopite dvofaktorsko avtentikacijo. Nekoč, ko bo spet na obzorju kakšen škandal, si boste hvaležni, da ste to storili.

Res je, da gre za en dodaten korak, ki ga boste morali narediti vsakič, ko se prijavljate na novo (recimo v nov računalnik), varnost vaših podatkov bo pa spet naredila kvanten skok.

V Googlu gre takole: prijavite se v svoj Google račun (https://myaccount.google.com/), nato pa izberete Security (Varnost), in nato 2 stopenjska verifikacija.

V naslednjem koraku bo Google prikazal vaš telefon in vam preskusno poslal obvestilo nanj. Gre za preverjanje, da je res obvestilo prišlo na pravi telefon. Tako bodo izgledalo obvestilo na telefonu vsakič, ko se boste poskušali prijaviti v Gmail. Dovolj bo torej le pritisk na Yes in vas bo spustilo naprej – seveda boste morali vedeti tudi uporabniško ime in geslo.

Še korak kasneje boste vpisali svojo številko telefona, kot rezervno opcijo, da vam lahko pošljejo SMS sporočilo, če sporočila slučajno ne bi dobili na telefon. Poslali vam bodo tudi SMS kodo, ki jo boste morali vpisati, toliko da se preskusi če vse deluje. Sledi pa še vklop dvofaktorske avtentikacije in to je to. Enostavno in od trenutka vklopa tudi precej bolj varno.

V Facebooku gre podobno. V nastavitvah je med varnostjo prijave tudi poseben razdelek namenjen prav vklopu dvofaktorske avtentikacije.

 

Lovro Vrtač

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text.