Tehnologija
Brez panike z gesli, dobro pa je imeti sistem
MAREC 2019 | čas branja:
Zadnja sprememba: 25. 03. 2019 ob 12:59:31
Gesla nas spremljajo na vsakem koraku. Morda bomo sčasoma prešli na biometrično prijavljanje ali na kakšen drug način vstopanja v svoje uporabniške račune, a še nismo tam. Zato je treba razmišljati o tem, kako se čim bolje organizirati in zavarovati. Kajti po eni strani vedno obstaja nevarnost, da kdo ukrade, ugane ali zlomi zaščito in vstopi v storitev namesto nas, po drugi strani pa je prijavnih podatkov toliko, da je težko že imeti pregled nad vsemi, nemogoče pa si jih je zapomniti. V poštev pride dober sistem za močno geslo in tudi kakšen elektronski pomočnik.
Koliko pisateljske domišljije je treba imeti za močno geslo?
Strokovnjaki predlagajo nekaj osnovnih načel, tukaj bom zadevo malo omilil.
1. načelo: izmislite si močna gesla in ne uporabljajte povsod enakih.
To se mogoče sliši enostavno. Pa niti ni. Zelo hitro lahko postane kompleksno, saj nas ima večina več deset, lahko tudi precej čez sto uporabniških računov v različnih storitvah. Zato si je treba izmisliti sistem ali poseči po zunanji pomoči, kjer pridejo v poštev upravljalniki gesel, ampak o več o njih malo kasneje.
Kdor ne prepusti izmišljanja in vpisovanja gesel programski opremi, mora imeti enoten način, kako si za vsak račun oblikuje malo drugačno prepreko za vstop. Lahko je to določena osnova (beseda, kombinacija besed, skovanka, naključno zaporedje črk oz. znakov) s permutacijo ločil in številk pri vsakem od računov. Toda to si je skoraj nemogoče zapomniti. Primer bi bil VisokaOvira,1 in variacije z drugimi števili ter znaki.
2. načelo: Uporabljajte geselske fraze
Precej bolje se je zateči h geselskim frazam, ki jih snujete po enakem kopitu. Denimo nekaj v slogu OblačnaŽoga za shrambo v oblaku (dropbox, google drive, itd), PisemskaŽoga za e-poštno storitev, FilmskaŽoga za pretočni video. Pri čemer za še večjo varnost lahko dodajate števila in ločila, spet po nekem ustaljenem ključu, da ni treba več kot treh ali štirih poskusov, če se slučajno ne spomnite, katero kombinacijo imate v uporabi pri posameznem računu, oz. da ni treba vsakič sproti preverjati v upravljalniku.
Kot je že iz primerov razvidno, je priporočljivo uporabljati kombinacijo malih in velikih črk, ne nujno kot veliko začetnico, vsekakor pa tako, da je sistem ustaljen in veste, katere črke v besedi morajo biti pisane z veliko.
Morda upravljalniki oblikujejo močnejša gesla, toda raje se zanašajte na svojo domišljijo, ker si jih tako tudi zapomnite.
3. načelo: Različna gesla so nujna
Različna gesla so absolutno nujna, še posebej, če so vezana na isti e-poštni naslov. Kajti morebiten vdor pri določenem ponudniku lahko pomeni, da napadalci, ki bi se dokopali do podatkov, s poskušanjem preprosto vstopijo še v druge storitve, ne samo v tisto, od koder so ukradli bazo prijavnih podatkov.
Res je, da so ti običajno šifrirani in jih je težko zares dobiti, toda vseeno je boljša previdnost kot popravljanje škode. Pogosto namreč o napadu izvemo šele čez nekaj časa, vmes pa se lahko že zgodi katastrofa.
Tudi če imate eno geslo za določeno vrsto storitev, je to še vedno bolje, kot če uporabljate enega samega vsepovsod. V takem primeru ga bo treba naglo spremeniti na največ desetih koncih, pri enem samem bi bilo dela, časa in trepetanja veliko več.
Mnoge storitve ponujajo možnost dvonivojske avtentikacije (2FA), kjer poleg gesla pride v poštev še potrditveni sms, potrditev na telefonu ali kaj drugega za dodaten nivo zaščite.
4. načelo: Če so gesla močna, redno menjavanje ni nujno
Še eno od načel je pogosto menjavanje gesel, ki pa se mi ne zdi nujno potrebno. Mislim, da za tako paranojo ni prave potrebe.
Če je geslo močno in če se ni znašlo na kakšnem seznamu ukradenih, potem danes enako varno ščiti kot je ščitilo pred petimi leti. Ni ravno enostavno vsakih nekaj mesecev iznajti nove fraze ali kombinacije in si vsega skupaj zapomniti.
Seveda si je mogoče pomagati z »umetno« pametjo, a kot rečeno, dobro je vsaj prijavne podatke za najbolj pogosto uporabljane storitve imeti v glavi.
Pogosto se kot močna omenjajo tudi gesla v slogu Dsd45Kef7, taka običajno tudi oblikujejo upravljalniki, vendar je težava znova v pomnjenju.
Lahko pa se celo izkaže, da določena kombinacija predstavlja vnos za azijske znake na tipkovnici z latinico. Kitajske pismenke imajo namreč ustreznice v določenih kombinacijah številk in črk na »naših« tipkovnicah. Tako je nekaj, kar je na prvi pogled trdno geslo, v resnici podobno, kot bi uporabljal password ali 123456, ker je v njihovi pisavi osnovno geslo. To pa je sploh eno prvih pravil pri vsaki storitvi ali napravi – takoj stran od privzeto nastavljenih (admin, password, itd), ker to lahko vsakdo ugane.
Upravljalniki gesel: pomoč za hrambo in prijavo
Upravljalniki gesel so ena od elegantnejših rešitev zagat z gesli. Opravljajo več nalog, med njimi je glavna, a še zdaleč ne edina varna hramba kombinacij uporabniških imen in gesel ter drugih kočljivih informacij (denimo številk bančnih kartic). Poleg tega lahko prevzamejo izmišljanje gesel in tudi njihovo vpisovanje ter opozarjajo na morebitne vdore pri ponudnikih.
Živijo lahko na različnih napravah in sinhronizirajo podatke med temi namestitvami (običajno prek oblaka) ter tudi znotraj brskalnika. Je pa v zadnjem času večina ponudnikov prešla na naročniški model, tudi moj priljubljeni 1Password.
Če se vam tak program zdi vreden vsakomesečnega nakazila, potem v redu, v nasprotnem primeru pa je treba iskati alternative, ki na srečo še obstajajo.
Lastpass, ki je po funkcionalnostih in eleganci vmesnika povsem primerljiv s prej omenjenim 1Password, je za osebno uporabo še vedno zastonj. Brezplačen je tudi odprtokodni KeePass, ki pa ima uradno aplikacijo samo za Windows, za Android, iOS in ostale sisteme pa so na voljo neuradne, večinoma ne tako lepe in dodelane.
Seveda pa se da zagato rešiti tudi drugače. Denimo s seznamom v (z geslom) zaščiteni datoteki ali pa kar na papirju. Verjetnost, da se kdo dokoplje do enega ali drugega je približno enaka.
Vsak upravljalnik ima glavno geslo za vstop in praviloma ne bi smel ponujati možnosti njegove obnovitve, ker bi ga potencialno lahko spremenil tudi kakšen napadalec, ne samo uporabnik.
Shranjevanje gesel ponuja tudi večina brskalnikov, in to je lahko zelo priročno, ni pa najbolj varno. Ali z drugimi besedami, varno je toliko, kolikor je zaščiten računalnik. Tudi za vstop v sistem (Windows ali MacOS ali Linux) mora biti nastavljeno konkretno geslo ali vsaj šestmestni PIN.
Določeni prenosniki ponujajo tudi možnost odklepanja z obrazom ali prstnim odtisom, tako kot telefoni, kar je sicer dobra varnost, toda alternativno se vedno da vstopiti s PIN-om ali geslom, zato tu absolutno ne sme biti šibke točke. Poleg tega so te shrambe slabše zaščitene kot tiste v oblaku, z zlonamerno kodo ali kakšno drugo obliko napada se jih potencialno da prestreči.
Zaupati Applu ali Googlu?
Tako Apple kot Google ponujata shranjevanje gesel kot del njunega ekosistema, torej vezano na uporabniški račun ali za iCloud ali za Googlove storitve (Gmail, Drive, Youtube in ostale).
Pri Applu se temu reče iCloud Keychain in zahteva izrecen vklop. Google pa kar pri shranjevanju v brskalniku, če je uporabnik prijavljen s svojim računom, geslo prenese v račun, ne samo v bazo brskalnika. Tako so podatki v »oblaku« in vedno, kadar je uporabnik prijavljen, na katerikoli napravi, bo sistem ponudil možnost, da sam opravi prijavo v želeno storitev.
Upravljalniki sicer ponujajo večji nabor funkcionalnosti, glede varnosti pa večjih pomislekov nimam, dokler se držite vseh načel za zaščito in vestno uporabo tako telefona kot računalnika. Torej PIN in biometrika za vstop, protivirusni programi, previdnosti pri odpiranju povezav in priponk ter ostalo, kar narekuje zdrava pamet.
Katera gesla imate shranjena v svojem uporabniškem računu za Googlove storitve, lahko preverite na naslovu passwords.google.com.
WebAuthn
Morda pa kmalu sploh ne bomo več uporabljali te klasične metode za vstop v različne storitve in račune. Nedavno so namreč potrdili standard WebAuthn, ki ga že podpira večina brskalnikov in proizvajalcev naprav. Gre za poskus, kako se prijavljati drugače, s pomočjo varnih modulov za hrambo identitet (Trusted Platform Module, TPM), ki so lahko v strojni ali programski opremi.
Tako bodo storitve za avtentikacijo lahko priklicale nekaj, kar je že vgrajeno v računalniku oz. telefonu (kamero, čitalnik prstnih odtisov), ali dale poziv za potrditev na drugi napravi.
Poanta je v tem, da samo uporabnik lahko da pravo informacijo, najsi bo biometrična ali nekaj, česar nihče drug ne ve, ter da ti podatki prebivajo samo na napravi sami. Na ta način ni mogoče prestreči gesla, ki je vedno najšibkejša linija obrambe.
Članek izraža stališča avtorja in ne nujno tudi stališč Zavarovalnice Triglav, d.d.