Čuvanje passworda – kako ih čuvati pravilno i sigurno

Prva i najčešća greška webmastera je nepravilno i nesigurno čuvanje passworda. Passwordi su Vaša zadnja linija obrane od treće, ne baš uvijek prijateljski raspoložene strane.

6 stvari koje password ne smije sadržavati

Donosimo 6 važnih stavaka koje lozinka ne smije sadržavati. Ako koristite ove pojmove, čuvanje passworda Vam ne ide na ruku.

1. imena Vaše djece, kućnih ljubimaca, prijatelja
2. imena likova iz filmova, serija, stripova
3. niti jedan dio riječi na bilo kojem jeziku
4. Vaš JMBG, godinu ili datum rođenja i sl.
5. nikako ne biti isti kao username
6. biti isti za sve, svaki dio kojeg štitite passwordom (npr. email account, ftp account) mora imati drukčiji password

3 stvari koje password mora sadržavati

Ako su Vam čuvanje passworda i sigurnost podataka na prvom mjestu onda predlažem sljedeće 3 stavke:

1. imati bar 8 znamenki, sastavljenih od slova brojeva i specijalnih znakova
2. biti često mijenjan
3. biti sakriven od druge strane, a u slučaju da Vam se učini da bi teoretski netko mogao doći do passworda, promijenite ga odmah, bez iznimaka

Primjeri dobrih i loših passworda

Loš password je npr:

• ivan1234
• 1234
• 0000
• password
• 15021971

Dobar password je npr:

• kjgb)(k7%$5K

Pravilno čuvanje passworda

Bitno je i kako čuvate lozinke. Nije mudro imati papirić s passwordima zalijepljen na rub monitora.

• Passworde čuvati u password manageru, npr, Personal Vault, Revelation, ili neki drugi. Najgore je passworde ponovo pretipkavati, ili imati u tekstualnom fileu na desktopu. U tom slučaju, ako bilo tko sjedne za računalo, ima dostup do svega.
• Računalo držati čistim od virusa i spyware-a. Često u njima se nalaze tzv. keylogeri koji prate što tipkate na tipkovnici i šalju “kući” sve sto Vi tipkate i radite. Na taj je način vrlo lako shvatiti da se spajate na ftp ili cpanel. Iduća riječ koja je slična domeni kada se piše na način: ftp://ftp.domena.com je vjerojatno username. Prva iduća je vjerojatno password. To što je password skriven od Vaših očiju zvjezdicama kada ga utipkavate, računalo jako dobro zna što tipkate, a isto tako i keyloger. Čak bih preporučio i korištenje sigurnijih OS-ova od Windows, tipa Linux, FreeBSD, MacOSX. Isti su puno otporniji na viruse i spyware. Bez obzira na to što se ovaj način dobivanja passworda u prvi mah čini kao SF, spyware software je u današnje vrijeme postao iznimno sofisticiran, a ovaj put do Vašeg passworda je najčešći.
• Nakon što Vam provider pošalje password za cpanel, ftp, mail, bilo što, ODMAH ga promijenite i pohranite u password manage. Email putuje u plain textu, vrlo je lako “snifanjem” mrežnog prometa dobiti sadržaj Vašeg emaila. Username i password su tada vrlo vidljivi. Tako postoji opasnost da će stići u krive ruke.
• Tzv. “Social Engineering” je najbolji način kako dobiti nečiji password. To nije ništa novo, koristi se već desetljećima. Ne dajte se nagovoriti dati password nikome. Ljudi se daju “preveslati” vrlo lako.

Primjer kako lako doći do nečije lozinke

Npr, izmišljena situacija: “Dobar dan ovdje poduzeće Plava Obrva, izvolite!”

“Dobar dan, ovdje Plus Hosting korisnička podrška. Dobili smo dojavu da ponekad imate problema sa spamom na Vašim emailovima.  S obzirom da to da radimo na novom revolucionarnom sustavu antispam zaštite, postavio bih Vam par pitanja.”

“Da, može, uistinu imamo problema sa spamom.”

“Ok, na koji Vam email account dolazi najviše spama?”

“Najviše nam dolazi na info@plavaobrva.hr”

“Ok, imate li taj email izložen na web stranici?”

“Ne znam, znate ja sam samo tajnica, no pošto niti gazda o tome ne zna ništa, ja sam im morala sve emailove namjestiti kako sam god znala. Sada se gazda na mene ljuti što mu dolaze emailovi u kojima se reklamira Viagra i sl.”

“Ok, sada ćemo pogledati jesu li Vaše antispam postavke optimalne i dali je sve dobro namješteno”

“Odlično, joj baš Vam hvala, ugodno ste me iznenadili. To mi je bio jedan od najvećih problema. Znate, nikako da gazdi objasnim da nisam ja kriva što mu šalju ono za Viagru”

“Nema problema gospođo, sada ćemo Vam sve to podesiti, trebao bih samo username i password za Vaš cpanel.”

“Ok, evo, samo da nađem…..evo ga…..pišete?”

Ne moram Vam niti pominjati da u ovom slučaju, ovo uopće nije bila korisnička podrška, što se moglo dogoditi nakon toga, probajte zamisliti sami. Čak i ako morate dati pristupne podatke nekome tko Vam mora nešto iz nekog razloga negdje na vašem siteu ili računalu podesiti, instalirati ili slično. Nakon što Vam to odradi, ODMAH promijenite password, bez iznimaka, uvijek.

Još jedan primjer možete pročitati u našem blogu.

Za sigurnost Vaših podataka ste odgovorni isključivo Vi. Passworde čuvajte ispravno i redovito ih mijenjajte, kompromitiranje podataka se ne dešava nekom drugom, desit će se upravo Vama ako potencijalnom napadaču ostavite vrata otvorena.