Smeta li vam sigurnosni protokol vaše kompanije koji zahtjeva često mijenjanje lozinke? Najdraži web servis traži od Vas da mjenjate lozinku svakih petnaest dana. Ako vam ovo smeta, niste jedini. Što je još gore: to je zapravo loše za kibernetičku sigurnost, pokazalo je istraživanje.
Pravila zakazane zamjene lozinke jedna su od brojnih loših praksi koja čini prijavu na naše omiljene sustave kompleksnijom. Ne govorimo samo o problemima s državnim i korporativnim IT sustavima. Kompanije i usluge, uključujući Apple, Microsoft, Instagram i LinkedIn, među ostalima, sve imaju politiku lozinki koja nije optimalna, pokazalo je istraživanje koje je provedeno na Sveučilištu Princeton.
Ova pravila o zaporkama mogu povećati mogućnost provale u račune pojedinaca. Posebno ukoliko korisnici ne koriste dodatne načine zaštite svojih računa. Naprimjer, dvofaktorska autentifikacija, kaže Arvind Narayanan, profesor informatike na Princeton-u i jedan od autora istraživanja o lošim lozinkama. Zapravo, česti zahtjevi za promjenama lozinke, tjeraju korisnike da biraju jednostavne lozinke, pokazale su brojne studije. Još jedna pogrešna praksa je ograničavanje kombiniranih znakova koji se mogu koristiti. Još jedna loša praksa je prisiljavanje korisnika da uključe posebne znakove u svoje zaporke. Ispostavilo se da ni jedno od ovih pravila ne vodi do sigurnijih lozinki.
Ljudi su pametni, ali lijeni
Lorrie Cranor, profesorica je tehnologija sigurnosti i privatnosti na Sveučilištu Carnegie Mellon. Njen posao je pomalo je neobičan, kada je u pitanju kibernetička sigurnost. Njeno se istraživanje tiče ljudskog ponašanja koliko i tehnologije koju gradimo i koristimo. Otkrila je zanimljivosti promatrajući kako obični ljudi zapravo reagiraju na politike kibernetičke sigurnosti — uključujući pravila o lozinkama — koje su postavile kompanije. Evo nekoliko osnovnih činjenica o većini korisnika sigurnosnih IT sustava.
Kad je riječ o kibernetičkoj sigurnosti, ljudi su pametni, ali lijeni. Također se pokazalo da smo nevjerojatno predvidljivi. Pomiješajte sve te značajke s politikama kibernetičke sigurnosti koje su dobronamjerne, ali usmjerene na pravila, a ne na ishode, a rezultat je potencijalno bogatstvo za hakere.
Široko rasprostranjena politika koja zahtijeva redovite promjene lozinki seže desetljećima unatrag. Izvorna ideja je bila da bi, ako je lozinka probijena, periodično resetiranje isključilo napadača iz sustava.
Ali kada su prisiljeni redovito ažurirati svoje lozinke, ljudi su skloni odabrati najjednostavniju moguću lozinku koju će sustav prihvatiti. Također će raditi stvari poput izmjene svoje postojeće lozinke na neki sasvim predvidljiv način, kao što je postupno povećavanje broja na kraju, kaže dr. Cranor. Hakeri znaju sve ove trikove, djelomice je zato web pun baza podataka ukradenih zaporki.
Dr. Cranor počela je poticati kompanije da prestanu tražiti od korisnika redovite promjene lozinki 2016. godine, kada je bila glavni tehnolog u Saveznoj komisiji za trgovinu SAD-a. 2019. godine Microsoft je prestao preporučivati IT administratorima da resetiraju lozinke u određenom periodu. Navedenu praksu je nazvao zastarjelom.
Nažalost, politka za lozinke i dalje vrijedi
Većina kompanija je zadržala staru praksu promjene lozinke. Jedan od razloga je taj što odgovorni za sigurnost u kompanijama, dodavanje više pravila i ograničenja prezentiraju nadređenima, kao dodatnu sigurnost. Ukidanjem pravila, čelnici kompanija bi se zapitali je li to mudro, kaže dr. Cranor. Još jedan problem je što službene smjernice Nacionalnog instituta za standarde i tehnologiju u SAD, koje smatraju zlatnim standardom za procedure kibernetičke sigurnosti, nisu prestale preporučivati redovita poništavanja lozinki sve do 2019. godine.
Lozinke vs. Umjetna inteligencija
Nedavno objavljeno istraživanje s nekoliko kineskih sveučilišta i Sveučilišta Novog Južnog Walesa u Australiji dovodi nas do novih spoznaja. Nova generativna umjetna inteligencija je jako dobra u pogađanju. Tako će korištenje neznatno modificiranih lozinki postati gotovo jednako velika prijetnja našoj kibernetičkoj sigurnosti kao i korištenje prethodnih lozinki.
Desilo nam se već gotovo svima, da su nam lozinke bile provaljene i javno objavljene. Hakeri već imaju ideju kako izgleda vaša omiljena lozinka. Pretpostavit će da ćete ponovno koristit uz male izmjene, recimo, ime vašeg ljubimca.
Moraju se zabraniti jednostavne lozinke!
Jedna od grešaka korporativnih procedura sigurnosti su jednostavne lozinke. Kompanije kao što su Amazon, Netflix i Zoom dopušta korisnicima korištenje uobičajenih zaporki koje je lako pogoditi, kaže dr. Narayanan. Danas, ukoliko želite li svoju lozinku za Amazon postaviti na “12345678”? Možeš, kaže Kevin Lee, istraživač i jedan od koautora rada s dr. Narayananom. Hakeri vam mogu biti zahvalni. Podaci koje su prikupili dr. Narayanan i koautori otkrili su da od 120 najistaknutijih stranica i servisa na internetu, njih 71 nije blokiralo niti jednu od najčešće korištenih i lako pogodivih lozinki.
Još jedna loša politika lozinki koja je također kronična smetnja za mnoge od nas je pravilo da morate uključiti posebne znakove u svoju lozinku. Nekada je razlog iza ovog pravila bio da posebni znakovi mogu spriječiti napadače tako što će zaporke učiniti kompliciranijima. Stoga bi i zaporka bila teža za pogoditi, kaže Sten Sjöberg, treći koautor na Princeton-ovim novinama.
U praksi se desilo nešto sasvim drugo. Korisnici naprave kratke lozinke koje se mogu pogoditi i onda, recimo, dodaju uskličnik na kraj, kaže dr. Cranor.
Postoje moderne tehnologije, ali ih ne koristimo!
Nešto upućeniji u kibernetičku sigurnost vjerojatno misle da su ovo najprimitivniji slučajevi. Svi znamo da je tehnologija jako napredovala. Jeli važna složenost lozinke ako osoba koristi dvofaktornu autentifikaciju na svojim najvažnijim računima i koristi upravitelja lozinkama za generiranje jedinstvene i komplicirane lozinke? (Upravitelj zaporki, koji bi svatko trebao usvojiti, generira jake zaporke, pohranjuje ih i automatski unosi u aplikacije i web-mjesta.). Možda i ne — ako ljudi doista koriste te alate. Problem je, što istraživanja otkriva, da korisnici ne osiguravaju svoje račune. Ankete sugeriraju da 22 posto ljudi koristi upravitelje lozinkama.
Teže je doći do statistike o dvofaktorskoj autentifikaciji. Ona provjerava identitet korisnika tražeći od njega da daju drugu tajnu, kao što je šifra poslana tekstualnom porukom.
Microsoft od 2014. zahtijeva da svaki korisnički Microsoft račun koristi neki oblik dvofaktorske autentifikacije. A od 2021. kompanija je svim korisnicima omogućila da se potpuno oslobode lozinke i prijave s novom tehnologijom koja se zove “passkey”. Ova tehnologija koristi tehnike kao što je prepoznavanje lica za provjeru identiteta korisnika.
Preporuke vašem IT-ju za lozinke
Napisat ćemo najbolje prakse za politiku lozinki i kibernetičke sigurnosti.
Prvo, kompanije moraju prestati prisiljavati korisnike da prečesto mijenjaju lozinke.
Drugo, nemojte dopustiti ljudima da koriste lozinke koje se pojavljuju na javno dostupnim popisima ukradenih i lako pogodljivih lozinki.
Treće, omogućite provjeru kvalitete lozinke u stvarnom vremenu. Dok korisnik definira lozinku, pobrinite se da alat istu privjeri shodno gore navedenim pravilima.
Četvrto, nemojte zahtijevati posebne znakove u lozinci.
Peto, u redu je poticati ljude da koriste dulje lozinke nego što bi inače trebali.
Obveza korisnika da koriste dvofaktorsku autentifikaciju značajno će povećati sigurnost bilo kojeg računa. Isto tako, poticanje korisnika na korištenje upravitelja lozinkama može pomoći. Osim toga, prelazak na autentifikaciju može značajno unaprijediti sigurnost. Ključ za veću sigurnost pojedinaca i organizacija je stvaranje politika kibernetičke sigurnosti koja poštuju ljudske navike.
Sigurnost je uvijek bila problem kompanija i pojedinaca. Sada smo se uhvatili u koštac. Mislim da dobro osmišljen sigurnosni sustav može višestruko smanjiti troškove kompanije, te usmjeriti sredstva na konkurentnost i posao.
Lorrie Cranor, profesorica tehnologija sigurnosti i privatnosti na Sveučilištu Carnegie Mellon
