Kako osigurati lozinke?

Što da radimo u ovom slučaju? Najlakše rješenje je koristiti isto korisničko ime i lozinku za nekoliko web stranica. Korisničko ime je često neka varijacija osobnog imena ili nadimka s dodanim brojevima, nasumičnim velikim slovima i slično. Iako nas na svakom koraku upozoravaju da lozinke moraju biti duge, složene i različite na svakoj web stranici, ipak prečesto koristimo jednostavne lozinke, kao što su lozinka, lozinka12!, lozinka1 i slično. Svaki malo iskusniji napadač moći će brutalno natjerati vaše lozinke, ali tada će biti prekasno.

Čak i na telefonima većina ljudi koristi jednostavne PIN kodove (123456, 2222, 0000...) i uzorke (prijeđite prstom desno i dolje...). Biometrijsko otključavanje, dostupno na gotovo svakom novijem telefonu, u rukama neiskusnog korisnika čak se i ne pojavljuje na popisu mogućih rješenja. Da ne spominjemo mogućnost da je PIN kod isti kao onaj koji se koristi za pristup uslugama mobilnog bankarstva ili trgovanja.

Postali smo samozadovoljni. Oslanjamo se na tvrtke da čuvaju naše podatke, iako mnogo toga možemo učiniti sami. Nećete zapamtiti više od stotinu lozinki osim ako nemate fotografsko pamćenje. Nećete ih ni zapisivati na komad papira.

Jedno od rješenja su namjenski upravitelji zaporki

Neki od vas već koriste upravitelje lozinki u preglednicima Chrome, Firefox, Safari... S njima možete kreirati složene lozinke, pohraniti ih u "trezor" i pustiti pregledniku da ih automatski popuni kada je potrebno.

Je li Googleov upravitelj zaporki siguran?

Googleov upravitelj lozinki mnogo je sigurnije rješenje u usporedbi s upotrebom istih lozinki iznova i iznova – ali još uvijek nije najbolje. Googleov upravitelj lozinki nije otvorenog koda, tako da ne možemo točno znati kako radi, kako pohranjuje lozinke itd. Inače, čak ni oznaka "open source" ne znači nužno da se radi o sigurnom rješenju. Ali barem postoji mogućnost da izvorni kod mogu pregledati neovisni stručnjaci.

Ono što znamo je da Google ne koristi pristup enkripcije bez znanja, što znači da Google zna sve o podacima koje pohranjujete na njihovim poslužiteljima. Postoji opcija za omogućavanje lokalne enkripcije zaporki prije nego što se spreme na vaš Google račun. Nemamo podataka koliko ga je korisnika uključilo, ali možemo pretpostaviti da to nije većina. Također ne postoji mogućnost postavljanja glavne lozinke za pristup upravitelju lozinki. Osim transparentnosti, mana je što ne radi izvan preglednika Chrome.

Dakle, trebate li ga koristiti? Iako nije najbolji i ne nudi sve mogućnosti koje nude neki drugi upravitelji lozinkama, ipak je siguran i nadasve praktičan.

Kako Apple pohranjuje lozinke?

Slično Googleovom rješenju, Appleovo je također vrlo praktično za korisnike jer je standardno dostupno na svim Apple uređajima. S iCloud Keychain upraviteljem lozinki možete generirati nasumične lozinke, pohraniti ih, pohraniti brojeve kreditnih kartica, upravitelj ispunjava informacije umjesto vas, ukratko vrlo slično onome što rade svi drugi upravitelji lozinki. Za enkripciju koristi 256-bitnu AES enkripciju, lozinke su sinkronizirane s drugim Apple uređajima, dostupna je višefaktorska verifikacija, a nedavno su dodali i opciju korištenja "passkeyeva".

Djeluje vrlo slično Googleovom upravitelju lozinki i također ima iste nedostatke: transparentnost, nekompatibilnost izvan Appleovog ekosustava, nedostatak naprednijih značajki...

iCloud Keychain siguran je upravitelj lozinki i rješenje koje će većina ljudi koristiti na Apple uređajima – prvenstveno zbog praktičnosti.

5 Korisnici % koji vole dublje istraživati sigurnost preferiraju namjenski upravitelj lozinki. Ima ih nekoliko i djeluju vrlo slično, pa je teško odrediti koji je najbolji.

Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper... Postoji poprilično izbora, a navedeni se smatraju najpopularnijima. Ne morate se ograničiti samo na jedno. Jednom je lakše upravljati, ali nema drugih razloga zašto ne biste trebali koristiti dva upravitelja lozinkama. Većina ovih upravitelja nudi besplatnu verziju koja će biti dovoljna za većinu, ali po izboru možete unajmiti jednu od plaćenih verzija za dodatne značajke, kao što je multifaktorska autentifikacija s uređajima kao što je YubiKey.

Budući da vjerojatno već imate lozinke pohranjene u Googleovom ili Appleovom upravitelju lozinki, prvo ćete ih morati izvesti da biste koristili druge upravitelje lozinki.

U Chromeu idite na Postavke, odaberite AutoFill & Passwords, zatim Google Password Manager. Tada ćete primijetiti još jedan odjeljak Postavke na lijevoj strani gdje ćete odabrati Izvoz lozinki u CSV formatu. Ako vam ikada zatreba, ove postavke također vam omogućuju da uključite enkripciju i uvezete lozinke iz drugih preglednika ili upravitelja lozinki.

Korisnici Applea, najlakši način za izvoz lozinki u iCloud Keychain je na Mac računalu. Idite na System Preferences ili Settings, odaberite Passwords iz odjeljaka, od vas će se najvjerojatnije tražiti da upišete svoju lozinku ili koristite Touch ID, a zatim ćete moći birati između nekoliko opcija za izvoz svih lozinki. Prema našim saznanjima, trenutno je nemoguće izvesti lozinke na iPhone uređajima bez korištenja rješenja trećih strana, stoga provjerite jeste li uključili sinkronizaciju lozinki na svim Apple uređajima.

Zatim možete jednostavno uvesti izvezenu CSV datoteku u odabrani upravitelj lozinki.

Što nude namjenski upravitelji zaporki?

Uzmimo za primjer Bitwarden.

Bitwarden je siguran upravitelj lozinki otvorenog koda. Iznimno je jednostavan za korištenje, funkcije su razrađene, otkud i njegova popularnost među korisnicima. Vanjski stručnjaci posljednji su put potvrdili njegov integritet 2022. Također vam omogućuje da instalirate njihovu uslugu na vlastiti poslužitelj ako želite upravljati vlastitim oblakom.

Prednost mu je i to što je dostupan na svim operativnim sustavima (Android, iOS, MacOS, Windows i također Linux) u obliku aplikacije ili web sučelja. Može se instalirati kao proširenje u gotovo svakom pregledniku, a također je kompatibilan s Windows Hello i Touch ID-om.

Bitwarden podržava autentifikaciju bez lozinke, što znači da se možete prijaviti jednokratnim kodom, biometrijskom verifikacijom ili sigurnosnim ključem. Bitwarden također ima izvrsnu podršku za pristupne ključeve, uključujući mogućnost prijave u Bitwarden s pristupnim ključem, što znači da čak ne morate koristiti korisničko ime ili lozinku za otvaranje trezora. Tu su i neki dodaci, poput značajke sigurnog dijeljenja datoteka (Bitwarden Send), aplikacije za autentifikaciju (nažalost koja se plaća), a uvijek se možete osloniti na iznimno aktivnu zajednicu korisnika.

Što su zaporke ili pristupni ključevi?

Zaporke su nova vrsta vjerodajnica za prijavu koje vam omogućuju prijavu na web stranice i usluge bez potrebe za unosom lozinke. Ne morate ih pamtiti, ali ih možete koristiti s uređajima koje već imate, poput pametnog telefona ili prijenosnog računala. Zaporke se temelje na standardima WebAuthentication ili WebAuthn. Oba koriste kriptografiju s javnim ključem.

Osim hakiranja podatkovnih sustava, pristupni ključevi ne mogu se ukrasti u phishing napadima. Cyberkriminalci se često koriste krađom identiteta ili društvenim inženjeringom kako bi došli do korisničkog imena i lozinke korisnika, koje zatim koriste za pristup vrijednim podacima. Zaporka se sastoji od privatnog ključa i javnog ključa. Javni ključ ostaje na poslužiteljima tvrtke, privatni ključ ostaje na vašem uređaju i ne može se lako ukrasti.

Koje god rješenje odabrali – ili se držite Google ili Apple upravitelja zaporkama – neka svakodnevna praksa bude korištenje različitih zaporki i korisničkih imena. Lozinke također ne pohranjujete u Word dokumente, Google Drive ili bilo što slično. Lozinke trebaju biti dugačke i sadržavati i znakove i brojeve. I ni u kojem slučaju ne vjerujte lozinke drugima.

Naslovna fotografija: Slika starline na Freepiku