| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:sigurnost_lozinki_na_internetu [2021/01/17 21:17]
ibratovic dodan čitav tekst seminara |
racfor_wiki:sigurnost_lozinki_na_internetu [2024/12/05 12:24] (trenutno)
|
| |
| Ključne riječi: lozinke; sigurnost; Internet; zaštita | Ključne riječi: lozinke; sigurnost; Internet; zaštita |
| | |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| Lozinke su najčešći način autentikacije korisnika na Internetu [1]. Lozinke su nizovi znakova - slova, brojeva i ostalih znakova - koje korisnici unose uz svoje ime, adresu elektroničke pošte ili neki drugi podatak koji ih definira. Zabrinjavajuća je statistika da samo 54% korisnika koristi različite lozinke za svoje račune. Osim toga, lozinke su često prekratke i jednostavne, što predstavlja veliku slabost sigurnosti korisničkih računa [2]. Cilj seminara je istaknuti neke od ovih slabosti, demonstrirati ih te dati neke osnovne načine kako se mogu ukloniti. | Lozinke su najčešći način autentikacije korisnika na Internetu [1]. Lozinke su nizovi znakova - slova, brojeva i ostalih znakova - koje korisnici unose uz svoje ime, adresu elektroničke pošte ili neki drugi podatak koji ih definira. Zabrinjavajuća je statistika da samo 54% korisnika koristi različite lozinke za svoje račune. Osim toga, lozinke su često prekratke i jednostavne, što predstavlja veliku slabost sigurnosti korisničkih računa [2]. Cilj seminara je istaknuti neke od ovih slabosti te dati neke osnovne načine kako se mogu ukloniti. |
| |
| Lozinke su jedan od najjednostavnijih načina za postići brzu i za korisnika jednostavnu autentikaciju. Korisnik upisuje svoje korisničko ime te kratki niz znakova koje je sam osmislio i zapamtio. U davanju previše povjerenja samom korisniku, lozinke pate od jedne velike slabosti - da se lako mogu probiti postupkom grube sile [4]. Međutim, više o slabostima i tom postupku bit će riječ u idućim poglavljima. Još jedna ljudska slabost je tendencija da se koristi ista lozinka za više ili čak sve sustave na kojima postoji njihov korisnički račun [4]. Ovo je iznimno opasno jer jedan slabiji sustav može ugroziti sigurnost ostalih sustava, bez obzira na njihovu sigurnost. | ===== 1. Lozinke u Internetu ===== |
| |
| Lozinke se, u pravilu, ne bi na sustavima smjele spremati kao običan tekst. Razlog za to je jednostavan - prilikom napada na neki sustav i otkrivanja sadržaja bazi podataka, sve se lozinke mogu odmah otkriti i povezati s korisničkim imenima ili adresama elektroničke pošte. Zato se u sustavima sprema sažetak (engl. //hash//) lozinke. Sažetak je postupak koji nekakvu informaciju, na predvidiv način, pretvara u naizgled nasumični niz podataka. Iz tog niza je gotovo nemoguće saznati informaciju iz koje je nastao. Ako sustavi spremaju sažetak lozinke, a ne samu lozinku, i dalje mogu provjeriti poklapa li se unešena lozinka sa spremljenom tako da ponove postupak sažetka. Na to se svodi probijanje lozinke. U praksi se najčešće koristi postupak sažimanja s tzv. solju (engl. //salt//) [5], ali ovaj seminar neće ulaziti u detalje tog postupka. Napadom na sustav i dalje je moguće doći do sažetaka, a u tom trenutku sigurnost lozinki ovisi o korisniku koji ju je osmislio. U sljedećem poglavlju bit će izložene dodatne slabosti lozinki, ali ne iz perspektive sustava, već tog korisnika. | Lozinke su jako jednostavan način pružanja sigurnosti - one su jedan od načina autentikacije korisnika. Autentikacija je proces kojim neki informacijski sustav provjerava korisnikov identitet. Točnije, provjerava se je li korisnik onaj za kojeg on tvrdi da jest. Primjerice, jedan od načina autentikacije je osobna iskaznica, koja sadržava dovoljne informacije da se osobu koja posjeduje iskaznicu usporedi s onom čija je iskaznica. Međutim, na Internetu nemamo samo jedan identitet - osobni - već je naš identitet povezan s mnogim korisničkim računima. Zato bi nepraktično bilo da sve svoje informacije moramo upisivati pri svakoj prijavi, već su osmišljeni načini kako bi se taj proces olakšao i ubrzao. |
| |
| | Lozinke su jedan od najjednostavnijih načina za postići brzu i za korisnika jednostavnu autentikaciju. Korisnik upisuje svoje korisničko ime te kratki niz znakova koje je sam osmislio i zapamtio. U davanju previše povjerenja samom korisniku, lozinke pate od jedne velike slabosti - da se lako mogu probiti postupkom grube sile [4]. Međutim, više o slabostima i tom postupku bit će riječ u idućim poglavljima. Još jedna ljudska slabost je tendencija da se koristi ista lozinka za više ili čak sve sustave na kojima postoji njihov korisnički račun [4]. Ovo je iznimno opasno jer jedan slabiji sustav može ugroziti sigurnost ostalih sustava, bez obzira na njihovu sigurnost. |
| |
| ===== 1. Lozinke u Internetu ===== | Lozinke se, u pravilu, ne bi na sustavima smjele spremati kao običan tekst. Razlog za to je jednostavan - prilikom napada na neki sustav i otkrivanja sadržaja bazi podataka, sve se lozinke mogu odmah otkriti i povezati s korisničkim imenima ili adresama elektroničke pošte. Zato se u sustavima sprema sažetak (engl. //hash//) lozinke. Sažetak je postupak koji nekakvu informaciju, na predvidiv način, pretvara u naizgled nasumični niz podataka. Iz tog niza je gotovo nemoguće saznati informaciju iz koje je nastao. Ako sustavi spremaju sažetak lozinke, a ne samu lozinku, i dalje mogu provjeriti poklapa li se unešena lozinka sa spremljenom tako da ponove postupak sažetka. Na to se svodi probijanje lozinke. U praksi se najčešće koristi postupak sažimanja s tzv. solju (engl. //salt//) [5], ali ovaj seminar neće ulaziti u detalje tog postupka. Napadom na sustav i dalje je moguće doći do sažetaka, a u tom trenutku sigurnost lozinki ovisi o korisniku koji ju je osmislio. U sljedećem poglavlju bit će izložene dodatne slabosti lozinki, ali ne iz perspektive sustava, već tog korisnika. |
| | |
| Lozinke su jako jednostavan način pružanja sigurnosti - one su jedan od načina autentikacije korisnika. Autentikacija je proces kojim neki informacijski sustav provjerava korisnikov identitet. Točnije, provjerava se je li korisnik onaj za kojeg on tvrdi da jest. Primjerice, jedan od načina autentikacije je osobna iskaznica, koja sadržava dovoljne informacije da se osobu koja posjeduje iskaznicu usporedi s onom čija je iskaznica. Međutim, na Internetu nemamo samo jedan identitet - osobni - već je naš identitet povezan s mnogim korisničkim računima. Zato bi nepraktično bilo da sve svoje informacije moramo upisivati pri svakoj prijavi, već su osmišljeni načini kako bi se taj proces olakšao i ubrzao. | |
| |
| ===== 2. Načini probijanja zaštite ===== | ===== 2. Načini probijanja zaštite ===== |
| ==== 2.2 Napad rječnikom ==== | ==== 2.2 Napad rječnikom ==== |
| |
| Napad rječnikom uključuje ogroman niz lozinki probijenih lozinki i njihovih sažetaka. Taj niz se zove rječnik, a u prosjeku sadrži preko 100 milijuna lozinki [7]. Napad rječnikom je puno efikasniji od napada grubom silom jer se koristi znanje o postojećim, već probijenim lozinkama te statističke informacije o frekvenciji pojedinih lozinki. Osim toga, neki programi koji koriste rječnike imaju i ugrađena pravila koja govore koji su znakovi istovjetni. Na primjer, lozinka "facebook" nije značajno slabija od lozinke "f4c3b00k", jer obje lozinke koriste znakove za koje se zna da ih ljudi često mijenjaju. Taj postupak mijenjanja znakova zove se mungeing i dobro je poznat [6]. | Napad rječnikom uključuje ogroman niz lozinki probijenih lozinki i njihovih sažetaka. Taj niz se zove rječnik, a u prosjeku sadrži preko 100 milijuna lozinki [7]. Napad rječnikom je puno efikasniji od napada grubom silom jer se koristi znanje o postojećim, već probijenim lozinkama te statističke informacije o frekvenciji pojedinih lozinki. Osim toga, neki programi koji koriste rječnike imaju i ugrađena pravila koja govore koji su znakovi istovjetni. Na primjer, lozinka "facebook" nije značajno slabija od lozinke "f4c3b00k", jer obje lozinke koriste znakove za koje se zna da ih ljudi često mijenjaju. Taj postupak mijenjanja znakova zove se //mungeing// i dobro je poznat [6]. |
| |
| |
| - Koristiti različite lozinke za različite sustave. | - Koristiti različite lozinke za različite sustave. |
| - Koristiti dovoljno dugačke lozinke. Nije sigurno kolika je minimalna duljina lozinke, neki izvori tvrde da se ta brojka kreće oko 11 [9], dok neki tvrde kako bi ta brojka trebala biti i 16 [10]. Naravno da je dulja lozinka svakako sigurnija. | - Koristiti dovoljno dugačke lozinke. Nije sigurno kolika je minimalna duljina lozinke, neki izvori tvrde da se ta brojka kreće oko 11 [9], dok neki tvrde kako bi ta brojka trebala biti i 16 [10]. Naravno da je dulja lozinka svakako sigurnija. |
| - Koristiti dovoljno raznovrsne lozinke, sa što više različitih tipova znakova. Primjerice, slova, brojeve, posebne znakove "&", "%", "#"... Pritom je dobro znati da postupak mungeinga [6] nije pretjerano efikasan. | - Koristiti dovoljno raznovrsne lozinke, sa što više različitih tipova znakova. Primjerice, slova, brojeve, posebne znakove "&", "%", "#"... Pritom je dobro znati da postupak //mungeinga// [6] nije pretjerano efikasan. |
| |
| Ovi se naputci jednostavno mogu ostvariti jednom od dvije sljedeće taktike: | Ovi se naputci jednostavno mogu ostvariti jednom od dvije sljedeće taktike: |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] "5 Authentication Methods that Can Prevent the Next Breach" - IDR&D, 2020, https://www.idrnd.ai/5-authentication-methods-that-can-prevent-the-next-breach/, posjećeno 16.1.2021. | [1] "5 Authentication Methods that Can Prevent the Next Breach" - IDR&D, 2020, URL: https://www.idrnd.ai/5-authentication-methods-that-can-prevent-the-next-breach/, posjećeno 16.1.2021. |
| |
| [2] "User Authentication: Understanding the Basics & Top Tips", Swoop, 2020.https://swoopnow.com/user-authentication/, posjećeno 15.1.2021. | [2] "User Authentication: Understanding the Basics & Top Tips", Swoop, 2020., URL: https://swoopnow.com/user-authentication/, posjećeno 15.1.2021. |
| |
| [3] "What is Authentication? Definition of Authentication, Authentication Meaning". The Economic Times. URL: https://economictimes.indiatimes.com/definition/authentication, posjećeno 15.1.2021. | [3] "What is Authentication? Definition of Authentication, Authentication Meaning". The Economic Times. URL: https://economictimes.indiatimes.com/definition/authentication, posjećeno 15.1.2021. |
| |
| [4] Gary C. Kessler, PASSWORDS — STRENGTHS AND WEAKNESSES, Siječanj 1996., posjećeno: 17.1.20212. https://www.garykessler.net/library/password.html posjećeno 16.1.2021. | [4] "Passwords — strengths and weaknesses", Gary C. Kessler, siječanj 1996., URL: https://www.garykessler.net/library/password.html, posjećeno 16.1.2021. |
| |
| [5] "Šifriranje, hashing, soljenje – u čemu je razlika?", Heritage Offshore, URL: https://heritage-offshore.com/sigurnost-informacija/ifriranje-hashing-soljenje-u-emu-je-razlika/ posjećeno 15.1.2021. | [5] "Šifriranje, hashing, soljenje – u čemu je razlika?", Heritage Offshore, URL: https://heritage-offshore.com/sigurnost-informacija/ifriranje-hashing-soljenje-u-emu-je-razlika/, posjećeno 15.1.2021. |
| |
| [6] "Munged password" s Wikipedije, URL: https://en.wikipedia.org/wiki/Munged_password, posjećeno 17.1.2021. | [6] "Munged password" s Wikipedije, URL: https://en.wikipedia.org/wiki/Munged_password, posjećeno 17.1.2021. |
