Kako osigurati lozinke?

Što da radimo u ovom slučaju? Najlakše rješenje je koristiti isto korisničko ime i lozinku za nekoliko web stranica. Korisničko ime je često neka varijacija osobnog imena ili nadimka s dodanim brojevima, nasumičnim velikim slovima i slično. Iako nas na svakom koraku upozoravaju da lozinke moraju biti duge, složene i različite na svakoj web stranici, ipak prečesto koristimo jednostavne lozinke, kao što su lozinka, lozinka12!, lozinka1 i slično. Svaki malo iskusniji napadač moći će brutalno natjerati vaše lozinke, ali tada će biti prekasno.

Čak i na telefonima većina ljudi koristi jednostavne PIN kodove (123456, 2222, 0000...) i uzorke (prijeđite prstom desno i dolje...). Biometrijsko otključavanje, dostupno na gotovo svakom novijem telefonu, u rukama neiskusnog korisnika čak se i ne pojavljuje na popisu mogućih rješenja. Da ne spominjemo mogućnost da je PIN kod isti kao onaj koji se koristi za pristup uslugama mobilnog bankarstva ili trgovanja.

Postali smo samozadovoljni. Oslanjamo se na tvrtke da čuvaju naše podatke, iako mnogo toga možemo učiniti sami. Nećete zapamtiti više od stotinu lozinki osim ako nemate fotografsko pamćenje. Nećete ih ni zapisivati na komad papira.

Jedno od rješenja su namjenski upravitelji zaporki

Neki od vas već koriste upravitelje lozinki u preglednicima Chrome, Firefox, Safari... S njima možete kreirati složene lozinke, pohraniti ih u "trezor" i pustiti pregledniku da ih automatski popuni kada je potrebno.

Je li Googleov upravitelj zaporki siguran?

Googleov upravitelj lozinki puno je sigurnije rješenje od korištenja istih lozinki iznova i iznova - ali i dalje nije najbolji. Googleov upravitelj lozinki nije otvorenog koda, pa ne možemo znati točno kako funkcionira, kako pohranjuje lozinke itd. Također, oznaka "otvorenog koda" ne znači nužno da je riječ o sigurnom rješenju. Barem postoji mogućnost da neovisni stručnjaci pregledaju izvorni kod.

Ono što znamo je da Google ne koristi pristup enkripcije bez znanja, što znači da Google zna sve o podacima koje pohranjujete na njihovim poslužiteljima. Postoji opcija za omogućavanje lokalne enkripcije zaporki prije nego što se spreme na vaš Google račun. Nemamo podataka koliko ga je korisnika uključilo, ali možemo pretpostaviti da to nije većina. Također ne postoji mogućnost postavljanja glavne lozinke za pristup upravitelju lozinki. Osim transparentnosti, mana je što ne radi izvan preglednika Chrome.

Dakle, trebate li ga koristiti? Iako nije najbolji i ne nudi sve mogućnosti koje nude neki drugi upravitelji lozinkama, ipak je siguran i nadasve praktičan.

Kako Apple pohranjuje lozinke?

Slično Googleovom rješenju, Appleovo je također vrlo praktično za korisnike jer je standardno dostupno na svim Apple uređajima. S iCloud Keychain upraviteljem lozinki možete generirati nasumične lozinke, pohraniti ih, pohraniti brojeve kreditnih kartica, upravitelj ispunjava informacije umjesto vas, ukratko vrlo slično onome što rade svi drugi upravitelji lozinki. Za enkripciju koristi 256-bitnu AES enkripciju, lozinke su sinkronizirane s drugim Apple uređajima, dostupna je višefaktorska verifikacija, a nedavno su dodali i opciju korištenja "passkeyeva".

Djeluje vrlo slično Googleovom upravitelju lozinki i također ima iste nedostatke: transparentnost, nekompatibilnost izvan Appleovog ekosustava, nedostatak naprednijih značajki...

iCloud Keychain je siguran upravitelj lozinki i rješenje koje će većina ljudi koristiti na Apple uređajima - uglavnom zbog praktičnosti.

5 Korisnici % koji vole dublje istraživati sigurnost preferiraju namjenski upravitelj lozinki. Ima ih nekoliko i djeluju vrlo slično, pa je teško odrediti koji je najbolji.

Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper... Postoji poprilično izbora, a navedeni se smatraju najpopularnijima. Ne morate se ograničiti samo na jedno. Jednom je lakše upravljati, ali nema drugih razloga zašto ne biste trebali koristiti dva upravitelja lozinkama. Većina ovih upravitelja nudi besplatnu verziju koja će biti dovoljna za većinu, ali po izboru možete unajmiti jednu od plaćenih verzija za dodatne značajke, kao što je multifaktorska autentifikacija s uređajima kao što je YubiKey.

Budući da vjerojatno već imate lozinke pohranjene u Googleovom ili Appleovom upravitelju lozinki, prvo ćete ih morati izvesti da biste koristili druge upravitelje lozinki.

U Chromeu idite na Postavke, odaberite AutoFill & Passwords, zatim Google Password Manager. Tada ćete primijetiti još jedan odjeljak Postavke na lijevoj strani gdje ćete odabrati Izvoz lozinki u CSV formatu. Ako vam ikada zatreba, ove postavke također vam omogućuju da uključite enkripciju i uvezete lozinke iz drugih preglednika ili upravitelja lozinki.

Korisnici Applea, najlakši način za izvoz lozinki u iCloud Keychain je na Mac računalu. Idite na System Preferences ili Settings, odaberite Passwords iz odjeljaka, od vas će se najvjerojatnije tražiti da upišete svoju lozinku ili koristite Touch ID, a zatim ćete moći birati između nekoliko opcija za izvoz svih lozinki. Prema našim saznanjima, trenutno je nemoguće izvesti lozinke na iPhone uređajima bez korištenja rješenja trećih strana, stoga provjerite jeste li uključili sinkronizaciju lozinki na svim Apple uređajima.

Zatim možete jednostavno uvesti izvezenu CSV datoteku u odabrani upravitelj lozinki.

Što nude namjenski upravitelji zaporki?

Uzmimo za primjer Bitwarden.

Bitwarden je siguran upravitelj lozinki otvorenog koda. Iznimno je jednostavan za korištenje, funkcije su razrađene, otkud i njegova popularnost među korisnicima. Vanjski stručnjaci posljednji su put potvrdili njegov integritet 2022. Također vam omogućuje da instalirate njihovu uslugu na vlastiti poslužitelj ako želite upravljati vlastitim oblakom.

Prednost mu je i to što je dostupan na svim operativnim sustavima (Android, iOS, MacOS, Windows i također Linux) u obliku aplikacije ili web sučelja. Može se instalirati kao proširenje u gotovo svakom pregledniku, a također je kompatibilan s Windows Hello i Touch ID-om.

Bitwarden podržava autentifikaciju bez lozinke, što znači da se možete prijaviti jednokratnim kodom, biometrijskom verifikacijom ili sigurnosnim ključem. Bitwarden također ima izvrsnu podršku za pristupne ključeve, uključujući mogućnost prijave u Bitwarden s pristupnim ključem, što znači da čak ne morate koristiti korisničko ime ili lozinku za otvaranje trezora. Tu su i neki dodaci, poput značajke sigurnog dijeljenja datoteka (Bitwarden Send), aplikacije za autentifikaciju (nažalost koja se plaća), a uvijek se možete osloniti na iznimno aktivnu zajednicu korisnika.

Što su zaporke ili pristupni ključevi?

Zaporke su nova vrsta vjerodajnica za prijavu koje vam omogućuju prijavu na web stranice i usluge bez potrebe za unosom lozinke. Ne morate ih pamtiti, ali ih možete koristiti s uređajima koje već imate, poput pametnog telefona ili prijenosnog računala. Zaporke se temelje na standardima WebAuthentication ili WebAuthn. Oba koriste kriptografiju s javnim ključem.

Osim hakiranja podatkovnih sustava, pristupni ključevi ne mogu se ukrasti u phishing napadima. Cyberkriminalci se često koriste krađom identiteta ili društvenim inženjeringom kako bi došli do korisničkog imena i lozinke korisnika, koje zatim koriste za pristup vrijednim podacima. Zaporka se sastoji od privatnog ključa i javnog ključa. Javni ključ ostaje na poslužiteljima tvrtke, privatni ključ ostaje na vašem uređaju i ne može se lako ukrasti.

Bez obzira na to koje rješenje odaberete – ili se držite Googleovog ili Appleovog upravitelja lozinki – navikavajte se koristiti različite lozinke i korisnička imena. Također, nemojte pohranjivati lozinke u Word dokumente, Google disk ili nešto slično. Neka vaše lozinke budu dugačke i koristite i slova i brojeve. I nemojte dijeliti svoje lozinke ni s kim.

Naslovna fotografija: Slika korisnika starline na Freepiku