Za koriščenje e-maila, plaćanje
računa, pristup mreži ili zaštićenim aplikacijama, da bi koristili bilo koju
socijalnu mrežu uvek će vam trebati korisničko ime i password odnosno lozinka.
Problem korisničkog imena je svakako
manje kritičan, mada se sa tim neće složiti veb developeri koji znaju da treba
izbegavati korišćenje standardnih korisničkih imena a posebno da treba
izbegavati naziv "Administrator" za pristup nalozima sa kojih se
administrira razvoj veb stranice.
Razmotrimo detaljnije pitanje
passworda odnosno lozinke.
Dužina i kompleksnost su dva
osnovna zahteva koje treba ispuniti da bi se koristio iole siguran password,
ali što je password duži i kompleksniji teže ga je zapamtiti.
Kada se tome doda zahtev da ne treba
da bude sastavljen od reči koje su uobičajene i koje se mogu otkriti putem
rečnika i da ne treba koristiti isti za više naloga, onda je jasno koliko je još
teže osmisliti siguran password.
Pokušao sam da osmislim jedan pasword
sastavljen od besmislenih 11 znakova i evo rezultata testiranja:
-
Kasperski - pasword of 11
znakova i brojeva potrebno je 10 godina - za
prosečan kućni kompjuter. (https://password.kaspersky.com/)
Kome verovati???
Pasword koji sam testirao ( ¢Æ²ⁿ√123#cA ) je sastavljen od 11 znakova
proširenog ASCII, jednu varijantu sam pokušao i sa znakovima iz različitih
jezika (Japanski, Kineski, Jevrejski) i
rezultati se nisu bitno razlikovali.
Predlažem vam da pogledate ovaj primer iz 2012 godine
koji govori da se pasword od osam znakova ovom tehnologijom može razbiti za
manje od 5,5 sati. To sigurno znači da i ovaj primer koji sam dao od 11 znakova
relativno lako može da se razbije.
U novije vreme koriste se različite
varijante zaštite i provere pristupa kao što su dvostepena zaštita (2FA) i
provere pristupa ka o i pravila periodične promene lozinki i ono što je uvek
najvažnije backup podataka , a insistira
se i na dužina trajanja lozinke od 14 karaktera ne duže od 90 dana.
Verovatno ste se već sreli sa Captcha i
reCaptcha v3 sistemom provere pristupa odnosno da ukucate pored pasworda i generisane
znakove koje vidite na ekranu kao potvrdu da niste robot, ili da odgovorite klikom na neke slike
kao odgovor na pitanje šta vidite.
A verovatno ste se već sreli i sa
softverom za generisanje lozinki kao i sa uređajima i softverom za čuvanje
lozinki, na vama je da im verujete ili im ne verujete.
Takodje su za poslovnu primenu u
upotrebi i drugi složeniji sistemi zaštite (PKI,OTP, kontekstualna zaštita),
ukratko :
PKI – public key
infrastructure (PKI je skup uloga, politika i procedura potrebnih za kreiranje,
upravljanje, distribuciju, korišćenje, skladištenje i opoziv digitalnih
certifikata i upravljanje šifrovanjem javnog ključa. Svrha PKI-ja je da olakša
siguran elektronski prenos informacija za niz mrežnih aktivnosti kao što su
e-trgovina, internet bankarstvo i poverljiva e-pošta. To je potrebno za
aktivnosti u kojima su jednostavne lozinke neadekvatan metod provere
autentičnosti i potreban je rigorozniji dokaz da bi se potvrdio identitet
strana uključenih u komunikaciju i da bi se potvrdila informacija koja se
prenosi
OTP – one-time password, poznat
i kao jednokratni pin, je lozinka koja važi samo za jednu sesiju prijave ili
transakciju, na kompjuterskom sistemu ili drugom digitalnom uređaju. OTP-ovi
izbegavaju brojne nedostatke koji su povezani sa tradicionalnom (statičkom)
autentifikacijom zasnovanom na lozinkama; brojne implementacije takođe
obuhvataju autentifikaciju u dva faktora tako što obezbeđuju da jednokratna
lozinka zahteva pristup nečemu što osoba ima (kao što je mali fob uređaj sa
ključevima sa ugrađenim OTP kalkulatorom, ili pametna kartica ili određeni
mobilni telefon), kao i kao nešto što osoba zna (kao što je PIN).
NoPassword (https://www2.nopassword.com/contextual-adaptive-authentication/#layer-12)
i Kontekstualna zaštita (https://www.computerworld.com/article/3105866/forget-two-factor-authentication-here-comes-context-aware-authentication.html)
su novi koncepti zaštite koji se zagovaraju u koji polako ulaze u primenu.
Kod kontekstualne zaštite, „Kontekstni engine analizira korisničke atribute za
prijavljivanje na osnovu skupa podesivih parametara - uključujući geografsku
lokaciju, IP adresu, doba dana i prepoznavanje uređaja - i generiše nivo
garancije konteksta. Ako je sigurnosna politika zadovoljena, korisnicima se
odobrava pristup. Ako sigurnosna politika nije zadovoljena, od korisnika se
može tražiti da poveća sigurnost tako što će dati dodatni faktor
autentifikacije.“ (https://safenet.gemalto.com/multi-factor-authentication/context-based-authentication/).
Da li će i to biti dovoljno ili se priča
samo ponavlja a sa njom i problemi zaštite podataka.
Kako god, ali mislim da će i dalje će čovek
biti u ključan za zaštitu podataka i pored već prisutnih noviteta u pogledu
brže obrade, Big Data koncepta, Chain tehnologije i Mašinskog učenja i samo će
on sa svojim znanjem i ponašanjem biti nosilac uspeha ili poraza pred
nastupajućom 4IR (Četvrta industrijska revolucija).
Čovek je još uvek, a verovatno će još
neko vreme biti nosilac i grešaka i propusta koji će i dalje biti najtanja
karika u lancu zaštite podataka, ali i verovatno još uvek ta snaga koja uspešno
rešava i otklanja te iste probleme.
Нема коментара:
Постави коментар