Sigurno upravljanje nalozima i lozinkama korisnika: Predostrožnost je najbolja odbrana
U vreme sve sofisticiranijih sajber napada koji prete da izazovu pogubne gubitke u poslovanju, prve mere zaštite odnose se na sigurno upravljanje nalozima i lozinkama korisnika. Da biste ih efikasno primenili, potrebno je da znate i na koji način razmišljaju hakeri, i šta je redosled najvažnijih koraka u odbrani od sajber zluopotreba.
Sajber napadi mogu biti motivisani različitim razlozima, ali svaki obavezno podrazumeva preuzimanje korisničkog naloga nekog od korisnika na sistemu, preko koga će dobiti pristup pojedinim kompanijskim resursima. Pri tom, što su veća ovlašćenja koja poseduje ukradeni nalog, poput Admin naloga na Windows operativnom sistemu ili root naloga na Unix/Linux sistemima, to su veće mogućnosti sajber napadača.
Korisnički nalog se može zloupotrebiti na više načina, u zavisnosti od tehnika kojima se sajber napadač koristi. U nekim slučajevima u pitanju su napadi društvenog inženjeringa, kada napadač pokušava da prevari zaposlene u kompaniji kako bi došao do korisničkog imena i lozinke za pristup informacionom sistemu. U drugim slučajevima koriste se razne tehnike probijanja korisničkih lozinki različitim alatima napravljenim za ovu namenu, od kojih su najpoznatiji john the ripper i l0pht crack.
Najvažniji koraci u zaštititi korisničkog naloga
Zato je prilikom zaštite korisničkog naloga posebno važno obratiti pažnju na nekoliko stvari koje se odnose na upravljanje korisničkim nalozima. Prvo, potrebno je uvek raditi s grupama a ne s pojedinačnim korisnicima, jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima, a ne pojedinačnim korisnicima. Drugo, neophodno je neprestano pratiti korisničke naloge, što podrazumeva logovanje svih aktivnosti korisnika na sistemu.
Treći važan korak zahteva da se posebno vodi računa o neaktivnim nalozima koji postoje na sistemu, jer hakeri mogu da ih reaktiviraju na različite načine. Poslednja ali možda i najbitnija mera predostrožnosti odnosi se na takozvane Shared accounts naloge, koje više ljudi koristi za pristup nekim resursima. Primera radi, kupi se samo jedna licenca nekog programa a potom se loguje više ljudi preko istog korisničkog imena i lozinke, po potrebi. Stoga stručnjaci preporučuju da se izbegava korišćenje ovakvih naloga, izuzev kada ne postoji druga mogućnost zbog skupih licenci.
Sprečavanje otkrivanja lozinke
Pored zaštite samog korisničkog naloga, potrebno je preduzeti mere koje će sprečiti, ili makar otežati otrkrivanje lozinke. Prvo o čemu bi trebalo da vodimo računa jeste neophodni minimum složenosti lozinke (Password strength) da bismo je zaštitili, odnosno koje elemente bi obavezno morala da sadrži (mala slova, velika slova, brojevi i specijalni simboli). Druga mera se odnosi na isticanje (Expiration) korisničkog naloga ili lozinke, a njena prednost se ogleda u tome što zahteva od korisnika da periodično promeni svoju lozinku, ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.
Treći preventivni korak jeste podešavanje koliko se puta može ponovo postaviti ista lozinka (Password history/reuse). Na ovaj način se onemogućava da korisnici stalno ponavljaju nekoliko istih lozinki, što ujedno otežava rad sajber napadaču na otkrivanju šifre. Još jedna važna mera odnosi se na minimalnu dužinu lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi najmanje 8 karaktera, a za naloge administratora i privilegovane naloge najmanje 12 karaktera.
Mera koja efikasno sprečava online napade poznata je kao Lockout i podrazumeva da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog na određeni period, što praktično onemogućava online napad grubom silom. Podsetimo da je sam MS Windows operativni sistem podešen tako da se nakon pet pogrešnih pokušaja unošenja lozinke nalog zaključa na 3 do 5 minuta, a ovi parametri se mogu menjati po potrebi.
Ono o čemu bi, takođe, trebalo povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery), bilo da je taj proces automatizovan preko nekog portala, ili se za te potrebe poziva odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti: ukoliko se oporavak lozinke vrši automatski, neko može pokušati da promeni šifru postojećeg korisnika; u slučaju da sistem nije automatizovan već to radi čovek, mogu se koristiti tehnike socijalnog inženjeringa kako bi se on prevario i promenio lozinku.
Kako se hakuje lozinka?
Kada govorimo o načinima koji se koriste za otkrivanje lozinki, potrebno je najpre da se taj proces razdvoji u odnosu na to da li onaj koji to radi ima pristup samom sistemu (online) ili je uspeo da iskopira fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađuje (offline).
Postoji više metoda koje se koriste za otkrivanje lozinke. To može biti pogađanje na osnovu podataka koje onaj koji hakuje zna o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično), ili tako što će pratiti šta korisnik radi na računaru i pokušati da sazna i lozinku koju unosi na tastaturi.
Druga tehnika, sniffing, može se koristiti samo ako je lozinka u čistom (clear) tekstu, u suprotnom će haker doći samo do onih podataka koji mu neće biti od koristi. Ukoliko koristi metodu dictionary, potrebno je da ima dobar rečnik za različite jezike, a što je rečnik sveobuhvatniji to su šanse za otkrivanje lozinke veće, ali ne i sigurne jer ako se u lozinci ne nalazi smislena reč, neće biti moguće naći odgovarajuću vrednost.
Još jedna tehnika koja se primenjuje jeste gruba sila (brute force), koja je vremenski izuzetno zahtevna jer je nužno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, što može potrajati i nekoliko vekova.
Šta izbegavati, a šta primeniti
Na osnovu analiziranih rizika, vrlo je važno da se korisnici pridržavaju nekoliko ključnih uputstava. Pre svega, nikada ne treba koristiti istu lozinku na više različitih mesta, jer ako neko uspe da je otkrije na jednom, sigurno će pokušati da isproba istu lozinku na drugom mestu. Lozinka se ne sme zapisivati na papiru i ostaviti ispod tastature, ili što je još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete lozinku, čuvajte je kod sebe u novčaniku ili negde gde može biti pod ključem). Prilikom odabira lozinke, treba voditi računa da se ne unose smislene reči koje je moguće otkriti upotrebom rečnika, kao i da se koristi složena lozinka sa svim potrebnim elementima i dužinom koja ne sme biti manja od 8 karaktera.
Veoma je bitno da se lozinka ne unosi na stranici koja nema sertifikat, a što se može videti kroz zeleni katanac s leve strane u internet pretraživaču – u suprotnom, ne treba unositi podatke. Lozinka se ne sme slati nikada niti bilo kome elektronskom poštom ili otkrivati u razgovoru telefonom, jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe, moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.
Potrebno je da se koristi program za upravljanje lozinkama – Password manager je aplikacija čija je osnovna namena da čuva vaše različite šifre za pristupanje raznim sajtovima i aplikacijama. Osnovna ideja jeste da imate jedan glavni master ključ koji koristite za logovanje na Password menadžer aplikaciju i dovoljno je da upamtite samo njega, jer će se za sve ostale šifre brinuti sama aplikacija.
Na kraju, potrebno je istaći da i pored svih tehničkih metoda zaštite uvek postoji rizik da zaposleni u kompaniji budu prevareni i da zato nenamerno otkriju korisničko ime i lozinku sajber napadaču. Da bi se ta opasnost sprečila, neophodno je sprovoditi stalnu edukaciju zaposlenih (security awareness training), kako bi bili upoznati sa najnovijim sigurnosnim pretnjama i kako ne bi nasedali na trikove sajber napadača koji postaju sve sofisticiraniji.
Više o ovoj temi možete saznati na eSecurity konferenciji koja će biti održana u Beogradu od 25. do 27. aprila.
Dr Igor Franc, predsednik Udruženja eSigurnost, osnivač i direktor agencije SECIT Security i profesor na Fakultetu informacionih tehnologija
Tekst je iz majskog izdanja časopis Biznis & Finansije