Gledamo na obe strane puta kada prelazimo put. Peremo ruke nakon toaleta. Ne zaboravljamo pojas kada vozimo. Mokri prsti ne idu u utikače. Ne jedemo žuti sneg.
Mala stvar zvana zdrav razum.
A sve te zdravorazumske stvari, ljudi su već nekako (hm, evolucijom) u životu naučili da primenjuju, rade ili ne rade. Od roditelja, na greškama, tuđim, ali ponajviše svojim.
Međutim, čini se kao da “zdrav razum” ne postoji kad je u pitanju naša svakodnevna sajber bezbednost.
I mi se pitamo zašto. Jer i dalje, i u ovaj digitalnoj 2017. godini, postoji na hiljade ljudi (optimistično) koji su uvereni da bi reč “šifra” bila savršena ideja za lozinku njihovog mejla. Kapirate, “šifra” je šifra.
Takođe, neretko, istu lozinku primenjuju na sve svoje naloge na internetu. Samo prošle godine, softver kompanija Keeper Security imala je uvid u 10 miliona lozinki zahvaljujući kojima su nastali brojni hakerski napadi i, za nekog dovoljno obazrivog do paranoičnog, ovi podaci mogu biti pomalo uznemiravajući.
Spremni?
Skoro dva, od pomenutih deset miliona šifri, imalo je istu numeričku konstrukciju. I to “123456”. A mislili ste da je “šifra” najgore moguće rešenje ikada.
Takođe, jedan od jačih napada u 2016. godini, pogodio je društvenu mrežu Twitter, sugerišući da ne bi bilo loše da više pažnje obratimo na internet bezbednost. Hakovano je neverovatnih 33 miliona korisnika, od kojih je više od 120 hiljada koristilo proširenu verziju gore pomenute šifre: “123456789”.
I pre nego što se nasmejete ovim šiframa (za šta vas zaista ne možemo kriviti), činjenica je da mnogi zanemaruju sopstvenu sajber bezbednost i zaštitu ličnih podataka. Takvi postupci postaju odličan šlagfort za napade kao što je skorašnji WannaCry. Ovaj virus mahom je “profitirao” upravo na nemaru većine korisnika kada je apdejtovanje softvera i lozinki na nove i sigurnije verzije u pitanju.
Međutim, iako se čini da je proste i očigledne šifre najlakše “provaliti”, ponekad kompleksnost lozinke zaista ne pravi veliku razliku. Šta to znači? Ukoliko haker uspe da beleži svaki vaš pritisak tastera na tastaturi, složenost šifre neće imati neki naročiti značaj. Dvostepena autentifikacija (two-step authentication) predstavlja najsigurniji način da bilo koji sajt, aplikacija ili web platforma, zaštite svoje korisnike. Na ovaj način, jedino vama će biti poslat jednokratni kod emailom ili SMS-om.
Za takozvani hibridni napad na slovno-numeričku kombinaciju, potrebno je svega sat vremena i 40 minuta.
Sa druge strane, šifru koja sadrži dvocifreni broj bilo kojih simbola je deset puta teže provaliti nego lozinku čija kombinacija ima manje od deset karaktera.
Možemo reći da generalno, svi znamo pravilo za kreiranje šifri: koristimo mala i velika slova, broj ili dva, poželjno i neki simbol, ukoliko želimo da budemo baš sigurni. Ova preporuka krenula je od Bila Blura koji ju je ove godine, povukao, jer kako kaže, u ovo doba, upravo takve šifre postale su najlakše za krekovanje.
Velika i mala slova/brojevi/simboli pravilo datira od 2003. godine kada ga je kao preporuku neformalno uveo Nacionalni intitut standarda i tehnologije (NIST), čiji je Blur u to vreme bio direktor. Pravilo je bilo sledeće: Svaki put kada otvarate novi nalog na nekom sajtu ili platformi, morali biste da kreirate šifru koja sadrži već toliko puta pominjanu kombinaciju različitih malih i velikih slova, brojeva i simbola.
Preporuka da se reči iz rečnika ne koriste kao i da šifre menjate na svakih 90 dana? I one su potekle iz Blurovih preporuka.
Međutim, te 2003. godine, nije bilo dovoljno informacija ni resursa o tome šta zaista jednu lozinku čini snažnom i otpornom na napade. Tako je Blur “napamet” doneo zaključak, koji i danas za mnoge može imati savršenog smisla. Ali i Blur se danas, na neki način, kaje.
Evo u čemu je zapravo problem.
Šifre koje se sastoje od brojeva i simbola su umnogome teške za pamćenje, a dodatno, velika većina korisnika interneta koristi neverovatno kratke šifre kako bi im one ostale “u glavi”.
Ali kada je online bezbednost u pitanju, dužina šifre je daleko važnija nego njena kompleksnost. Bar sudeći po InfoSec Institutu koji iznosi podatak da je šifru od 16 karaktera koja se sastoji samo iz brojeva, podjednako teško provaliti kao što bi to bio slučaj sa onom od osam karaktera koja sadrži bilo koji mogući simbol, broj ili slovo.
Pravilo koje naglašava važnost promene lozinki na svakih tri meseca je izgleda takođe zastarelo. Zašto? Psihologija čoveka koji je nateran da svako malo menja šifre, učiniće svoje. Umesto dužine i složenosti, biraće lakoću i memorabilnost, što je svakako loša vest u životu jedne internet šifre i njene bezbednosti.
Ne dešava se svakog dana da se webstrip ili meme koristi kao ključni dokaz za nefunkcionalnost nekog ustaljenog i opšte prihvaćenog pravila, ali upravo se to dogodilo tokom Blurovog intervjua za Wall Street Journal. Kolumnista ovog portala Robert Mekmilan, izračunao je da bi bilo potrebno 550 godina da se provali šifra “correcthorsebatterystaple”, dok bi “Tr0ub4dor&3” koja prati Blurova pravila, bila hakovana za tri dana. Obe tvrdnje potvrdio je i velikih broj stručnjaka sa sajber bezbednost.
Pravila se menjaju, ali njihova masovna primena i zamena već ustaljenih će verovatno biti dosta spora. Jer je odabir šifri, na koncu, ipak vrlo lična stvar.
U tom periodu, čak i kada ćete biti uslovljeni starim pravilima, možete da napravite dovoljno dugačku šifru koja sadrži miks velikiih i malih slova i par brojeva. I bićete daleko bezbedniji.
Ili, možete da koristite dobar password manager. 1Password i LastPass savršeno rade posao. Sa ekstenzijama za sve pretraživače, web, desktop i mobilnim aplikacijama, ovi programi biće vaši najpouzdaniji partneri u čuvanju lozinki.
A anketa sprovedena proteklog marta u Sjedinjenim Američkim Državama, donosi zapanjujuće podatke. Od 1000 ljudi, čak 900 nije tačno odgovorilo na pitanja iz opšte informisanosti o sajber bezbednosti: Da li im je pozat pojam dvostepene autentifikacije, virtuelnih privatnih mreža (VPN), koliko misle da su javni Wi-Fi bezbedni.
Dakle, od ukupnog broja ispitanika, samo je 1% njih bilo upoznato sa terminima iz naše svakodnevne online zaštite i njenoj prevenciji.
Zabrinjavajuće, znamo.
Ovakva generalna neiformisanost dovodi do ozbiljnih problema. Samo prošle godine je 689 miliona ljudi iz 21 države bilo pogođeno različitim oblicima sajber kriminala. A broj žrtava se u poslednje tri godine podiže za 10% godišnje.
Stručnjaci za sajber bezbednost kažu da bi se drastično smanjio broj žrtava ukoliko bi ljudi razvili dobre navike protiv sajber pretnji, kao što su razvili naviku da peru ruke, na primer. Na isti način na koji se smanjio rizik od saobraćajnih nesreća sa fatalnim ishodom za skoro 50% zbog upotrebe sigurnosnih pojaseva – smanjio bi se i broj žrtava sajber kriminala.
WannaCry ransomware, koji je u maju ove godine zahvatio preko 230 hiljada računara širom sveta, treba da nam bude mračni podsetnik na to šta se ljudima može desiti ukoliko ne vode računa o sajber bezbednosti.
U slučaju da niste upućeni, ransomware je vrsta štetnog softvera koji ograničava pristup (tada Microsoft) računarskom sistemu ili podacima i traži otkupninu od žrtve, uglavnom u bitkoinima. Takav je bio i WannaCry čije su žrtve bile mnoge poznate kompanije, bolnice, banke, univerziteti i aerodromi u više od 150 zemalja.
Majkl Kajzer, izvršni direktor Nacionalne alijanse za sajber bezbednost (NCSA) u Americi, kaže da na sajber bezbednost gleda kao na pitanje javnog zdravlja, bezbednosti u saobraćaju ili neki drugi univerzalni problem koji se tiče sigurnosti u društvu. Po njemu, najbitnije je pomoći ljudima da vremenom steknu bolje navike, a to se najvećim delom postiže ponavljanjem, odnosno rutinom.
Tako su se, u pomenutoj anketi, pet pitanja na koja su ljudi najčešće davali tačne odgovore, ticala baš onih stvari sa kojima se svakodnevno susreću. To su bila pitanja u vezi sa pravljenjem jakih lozinki, zatim o Wi-Fi sigurnosti i dvostepenoj autentifikaciji. Ali, što su se pitanja više odaljavala od onoga što su iz dana u dan ponavljali i kako su se pojavljivali neki (osnovni) tehnički pojmovi, to su ljudi bili manje upućeni.
Postoji nada da prosečan korisnik neće morati da brine o tehničkim pojedinostima u budućnosti, već da će zaštita od sajber kriminala biti jednostavna kao održavanje lične higijene.
Problem kod sajber bezbednosti je to što je teško izdvojiti ono što bi trebalo da se smatra zdravorazumskim ponašanjem kada se radi o online zaštiti. Postoji previše saveta, baš kao i previše uređaja sa stalnim pristupom internetu.
Tehnologija se menja iz dana u dan donoseći sa sobom nove manjkavosti i slabosti postojećih uređaja i sve više i više mera opreza koje treba preduzeti.
Zaštitili ste Facebook nalog sa dvostepenom autentifikacijiom. Odlično.
Sad promenite default lozinku na Vašem novom cPanel nalogu.
Zatim isključite Wi-Fi na javnim mestima.
I, da, ne zaboravite da redovno radite backup svega.
Naravno da je zamorno da pamtite hiljadu različitih stvari da biste bili bezbedni na netu. To je previše, slažemo se. Ali nažalost, u današnje vreme je vrlo lako zloupotrebiti uređaj koji je na bilo koji način povezan sa internetom.
Zamislite da svake godine izlazi novi sigurnosni pojas sa novim načinom ili sistemom vezivanja. To bi zaista bilo vrlo frustrirajuće. Što se tiče sajber bezbednosti, napadi poput WannaCry, ali i tromost u promeni ponašnja, su nažalost, realnost i najveća prepreka ka stvaranju bezbednog online prostora. A mnogi od nas ne vole promene.
Potrebno je vreme kako bismo razvili kolektivni smisao za sajber bezbednost i kako bismo naučili da menjamo navike rame uz rame sa tehnološkim promenama.
Polažu se nade u to da će današnja deca imati nešto svesniji odnos prema sajber bezbednosti i da će, kao rođeni digitalni nomadi, prenositi znanje kao što su ranije generacije prenele osnovne higijenske navike nama. Umesto “peri zube i na spavanje” biće “koristi VPN i ne kači se na svaki javni Wi-Fi u kafiću”.
Do tada, Nacionalna alijansa za sajber bezbednost u Americi će nastaviti da obeležava tematske dane za podizanje svesti o online bezbednosti, kao što su “Dan zaštite podataka” i “Svetski dan lozinki”.
Videćemo koliko smo daleko od toga da sajber bezbednost postane naša svakodnevna, gotovo nesvesna navika i brže nego što mislimo.
Na sajtu HaveIBeenPwned.com možete proveriti da li su Vaše šifre procurile na brojnim servisima.
Imaš pitanje ili komentar?