PC Press
O nama
O nama
Pretplata
O nama
Postanite saradnik PC-ja
Kontakt sa redakcijom
PC Press
Novi broj
Novi broj   
Pretrazivanje
Arhiva
Arhiva   
PC Online
PC Plus   
Specijalna izdanja
Softver Softver
PC #111 : Maj 2005 TehnoGuru

 Naslovna  Sadržaj 
Dražen Dotlić  

Stoj, lozinka!

Moderno doba donosi moderne izazove. Pristup velikom broju servisa na Mreži danas zahteva lozinku, pa čuvanje i zaštita lozinki postaje problem za sebe. Poverite svoje lozinke Password Agent-u...

Dok nije bilo Interneta pamtili smo samo lozinku za Sezam. Kako se sve veći broj svakodnevnih operacija seli na Internet tako se i broj važnih lozinki povećava. Da i ne pominjem nevažne, kao što su one za pristup raznim on‑line zajednicama u obliku foruma. Autor ovog teksta je upravo izbrojao trideset (!) važnih lozinki koje koristi.

Kako izabrati dobru lozinku

(kliknite za veću sliku)

Niko ne voli da se bakće sa sigurnim ali komplikovanim lozinkama, a o besmislenim (najboljim sa stanovišta bezbednosti) da i ne govorimo – njih je nemoguće zapamtiti (dobro... veoma teško). Zato se većina korisnika opredeljuje za nešto što je lako upamtiti, ali je takve lako i pogoditi. Broj lozinki takođe može da vas obeshrabri i natera da koristite istu za sve. Neumoljiva posledica ovakvog ležernog stava je da ako zlonarmerna osoba pogodi vašu lozinku dobiće pristup svim mestima zaštićenim njome. Dakle, birajte posebnu lozinku za svaki servis ili uslugu.

S druge strane, birati jednostavne lozinke (ili samo jednu) je dobro jer ćete ih sigurno upamtiti. Ovaj konflikt je teško razrešiti pa se ljudi opredeljuju za sigurnije rešenje i biraju jednostavnu lozinku koju je možda lako pogoditi ali je oni barem nikada neće zaboraviti. Imajte u vidu da moderne tehnike čuvanja lozinki podrazumevaju čuvanje samo hash vrednosti (više o tome kasnije), a ne i same lozinke pa je u slučaju da je zaboravite istu nemoguće povratiti, što je opet argument u prilog „slabim“ lozinkama.

Aplikacija za lozinke

(kliknite za veću sliku)

Rešenje je aplikacija za čuvanje lozinki. Logika je sledeća – umesto da koristimo „slabe“ lozinke i rizikujemo da nam neko ukrade novac, naručuje robu u naše ime ili nam naruši ugled lažno se predstavljajući, sve ćemo važne lozinke „zaključati“ uz pomoć posebne aplikacije a pristup toj aplikaciji zaštitićemo jednom, glavnom lozinkom. Da problem ne bi postao rekurzivan, glavnu ćemo lozinku izabrati tako da bude bezbedna a relativno laka za pamćenje. Jedan od načina je da glavna lozinka ne bude jedna reč, nego cela fraza. Na primer, citat iz nekog filma („ala je opravio, svaka mu čast“), stih neke pesme, deo nekog vica i slično. Fraze su mnogo duže od običnih reči i teško ih je pogoditi, a lake su za pamćenje.

Još bolje bi bilo da izaberete frazu toliko dugu da je se ni vi sami ne možete uvek odmah setiti, ali da imate 100% siguran način da se podsetite pretragom Interneta ili korišćenjem „nagoveštaja“. Svaka pristojna aplikacija za lozinke omogućiće vam da sačuvate smernicu ili nagoveštaj (eng. hint) o tome šta je u pitanju, i ovaj izraz je predviđen za vas u slučaju da zaboravite lozinku pa nije zaštićen. Nikako ga nemojte birati tako da se iz njega lozinka može trivijalno izvesti! U svakom slučaju korišćenjem aplikacije za lozinke problem je sveden na izbor jedne lozinke dok su sve ostale zaključane i mogu biti bilo šta, pa čak i besmisleni niz znakova.

Neki proizvođači mogućnost „zadnjih vrata“ ugrađuju iz vrlo praktičnog razloga – dešava se da korisnik zaboravi glavnu lozinku pa onda zahteva od proizvođača da povrati podatke. No, ako je proizvođač sposoban da rekonstruiše vaše podatke, isto to će moći i svaki haker koji nađe programski kod za „sporedni ulaz“. Zato ne preporučujemo aplikacije koje na bilo koji način mogu da rekonstruišu podatke – pomirite se sa činjenicom da glavnu lozinku ne smete zaboraviti, pametno izaberite nagoveštaj i uživajte u osećaju sigurnosti.

Postoji nekoliko načina kako sagledati kvalitet aplikacije za lozinke – privatnost, stepen i vrsta zaštite. Stepen zaštite se najčešće odnosi na vrstu algoritma kojim su podaci šifrovani. U principu je najbolje birati algoritam koji zvanično odobrava neka od vlada ili agencija, kao što je recimo američka NSA. Trenutno je najpopularniji algoritam u ovoj oblasti Rijndael, takođe poznat pod imenom AES. Sigurnim se smatra AES algoritam čiji je ključ za šifrovanje dug 256 bita.

Lozinke tokom rada obitavaju na nekoliko mesta – u fajlu na disku gde su trajno smeštene, u memoriji tokom rada programa, u swap fajlu, na clipboard‑u kao i u elementima korisničkog interfejsa. U idealnom slučaju aplikacija za lozinke trebalo bi da podatke na skoro svim mestima čuva u nekom od šifrovanih oblika. Ne zaboravite najbanalniji od načina krađe – ako lozinke dovoljno dugo stoje na ekranu u čitljivom obliku, svako ko vam viri preko ramena može doći do njih.

Password Agent

(kliknite za veću sliku)

Ostatak osobina solidne aplikacije za lozinke pokazaćemo na konkretnom primeru programa Password Agent. Proizvod mikro-firme iz Estonije (Moon Software, www.moonsoftware.com ) odličan je primer dobro osmišljene aplikacije za čuvanje lozinki. Za početak, skup mogućnosti nije beskonačan i razuđen. Svrha aplikacije je da bezbedno čuva lozinke i omogući njihov lak i siguran unos... i ništa osim toga. Aplikacija je mala, jeftina (oko 20 evra) ili pak besplatna, ako imate manje od 25 lozinki.

Instalacija je prosta, a uz aplikaciju stiže help fajl kao i detaljno uputstvo u PDF formatu. Da biste bili sigurni u autentičnost programa autor ga je digitalno potpisao, što možete proveriti tako što ćete kliknuti desnim tasterom na program i proveriti jezičak Digital Signatures. Aplikaciju je moduće upisati na prenosni USB disk za šta postoji wizard koji će na njega upisati i registracione informacije o registraciji programa. Imajte u vidu da je korišćenje svake aplikacije na računarima koji nisu pod vašom kontrolom rizično – to što je Password Manager generalno bezbedan ne znači da treba da ga izvršavate sa USB diska na bilo kom (neproverenom) računaru.

Prvi korak je pravljenje novog fajla za čuvanje lozinki – birate lokaciju na disku i glavnu lozinku. Ovaj korak je vrlo važan – iako glavnu lozinku možete uvek da promenite, ako je zaboravite podaci će biti zauvek izgubljeni. Kao što i dolikuje, možete sačuvati hint koji će vas podsetiti na glavnu lozinku.

Password Agent brine i o mogućem slučajnom oštećenju podataka na disku, pa u svakom trenutku čuva tri rezervne kopije fajla za lozinkama (možete podesiti i više, do devet). Fajl sa lozinkama je šifrovan korišćenjem 256‑bitnog AES algoritma, a jedan od parametara je derivat vaše glavne lozinke. On se izračunava jednosmernim hash algoritmom što znači da je iz hash vrednosti nemoguće rekonstruisati lozinku. Sledstveno tome, fajl je nemoguće otključati bez glavne lozinke a ista nigde nije smeštena (nagoveštaj je smešten u fajl kao običan tekst). Sve ovo znači da sam fajl ne morate posebno štititi.

Tokom izvršavanja aplikacije lozinke obitavaju u memoriji i swap fajlu (što se ne može izbeći), ali Password Manager i podatke u memoriji čuva šifrovane (ne na isti način kao i u fajlu). Algoritam za šifrovanje je slabiji, ali se kao ključni parametar koristi nasumičan broj koji je drugačiji za svaku sesiju. Opšte je poznata stvar je da je memorija za svaki proces na modernim Windows sistemima odvojena za svaku aplikaciju, ali je manje poznato da je trivijalno napisati modul koji će hakeru omogućiti pristup memoriji. Zato je odluka da se podaci čuvaju šifrovani i u memoriji jako dobra.

Slabe tačke

(kliknite za veću sliku)

Koje su potencijalne slabe tačke? Za početak, unos glavne lozinke. Password Agent za unos koristi posebnu kućicu za lozinke pa se umesto lozinke prikazuju samo zvezdice, ali se i tome može doskočiti – dovoljno je da haker na računar instalira tzv. key logger i biće mu dostupan sav unos sa tastature. Zato je veoma važno da računar na kome koristite Password Agent bude očišćen od virusa i svake druge vrste spyware‑a ili malware‑a. Dalje, kad unesete glavnu lozinku videćete da se korisnička imena i lozinke tokom pregleda ne vide, te se umesto njih prikazuje simbol „#“. Tek ako stavku otvorite, podaci će biti vidljivi – nemojte držati ovaj prozor otvorenim u prisustvu drugih osoba. Password Agent ima ugrađen sjajan automatski generator nasumičnih adresa na čiji sastav (odnos slova i brojeva i raspored) možete da utičete. Ovako generisane lozinke biće uistinu sigurne jer ih ni sami nećete moći upamtiti, što nije problem dok god znate glavnu lozinku i možete da otvorite fajl.

Sledeća slaba tačka je i mogućnost izvoza podataka u čitljvom obliku u CSV ili HTML/XML fajl. Zašto biste to radili? Ponajpre zato što želite da podatke preselite u neki drugi program koji vam se čini boljim, lepšim ili sigurnijim. Kad ova mogućnost ne bi postojala morali biste sve stavke ručno da kopirate jednu po jednu. No, izvezeni podaci postaju čitljivi svakome, pa preporučujemo da ih u novu aplikaciju što pre uvezete, a odmah zatim fajl na disku temeljno obrišete.

Poslednja slaba tačka je mogućnost da lozinku, umesto da je ručno prepisujete iz Password Agent‑a, stavite na clipboard odakle je možete vratiti u kućicu za unos servisa u koji se pokušavate prijaviti. Po prirodi stvari lozinka biva iskopirana na clipboard u čitljivom obliku što je čini trivijalnom za skupljanje. Password Agent ovaj problem donekle ublažava time što sadržaj clipboard‑a automatski briše dva minuta nakon upotrebe ove mogućnosti. Najbolje bi bilo da ovu mogućnost ne koristite jer postoje mnogo bolje alternative u obliku automatskog popunjavanja kućica za unos od strane Password Agent‑a.

Koliko je komforan?

Bezbednost je, sve u svemu, na visokom nivou, pod uslovom da ste i vi pažljivi, ali koliko je Password Agent lak za upotrebu? Po skromnoj oceni autora teksta, veoma je komforan kako za početnike tako i za napredne korisnike. Radna površina aplikacije izdeljena je vertikalno na dva dela – levo je hijerarhija grupa u koje možete smeštati korisnička imena/lozinke, a desno je spisak stavki u trenutno izabranoj grupi. Uz svaku stavku možete vezati nekoliko često potrebnih informacija kao što je npr. Web adresa. Podrazumeva se da bitne informacije neće biti prikazane ali to možete promeniti ako isključite opciju Hide sensitive information. Hijerarhija grupa stavki nije ničim ograničena i omogućava vrlo preciznu podelu. S druge strane, kako broj stavki raste tako je navigacija sve teža sve do tačke kada je „ručno“ tražiti stavku nepraktično. Zato Password Agent omogućava brzu pretragu/filter po delu imena stavke direktno sa toolbar‑a – recimo, prikažete samo imena koja u sebi imaju „sez“. Dodatno postoji i „klasična“ pretraga po bilo kom delu teksta vezanom za stavku.

Aplikacija se ponaša veoma logično – kada vam zatreba, otvorićete je, pronaći ili upotrebiti lozinku koja vam treba i što pre je zatvoriti ili zaključati. Posle kratkog (ali podesivog) perioda nekorišćenja aplikacija automatski prelazi u „zaključan“ mod – i dalje je aktivna, ali se podacima ne može prići dok ponovo ne unesete glavnu lozinku. U zaključani mod će preći i ako se pokrene screen saver ili ako prenosni računar recimo krene u stand‑by, što su sve simptomi da vi kao korisnik neko kraće vreme nećete koristiti računar te stoga nije pod vašom fizičkom kontrolom.

Podrazumeva se da sve operacije možete obaviti „ručno“ – naći stavku, otvoriti je, pogledati, zapamtiti lozinku pa je onda prekucati u kućicu za unos. No, to je dosadno i brzo postaje zamorno, pa Password Agent omogućava automatsko popunjavanje kućica za unos – kad god vam iskoči prozor koji vam traži da se predstavite, otvorite aplikaciju, nađete stavku (najbrže preko filtera), pritisnete Ctrl+A i to je to! Moguće je i posebno automatski popunjavati samo korisničko ime ili lozinku. Automatski unos radi sa svim aplikacijama jer se svodi na simulaciju pritisaka tastera. Štaviše, moguće je promeniti podrazumevanu sekvencu tastera u slučaju da se ona razlikuje za pojedine slučajeve, ali autor teksta još nije naišao na takvu situaciju.

Password Agent je posebno upotrebljiv za napredne korisnike koji preferiraju tastaturu – sve mogućnosti su dostupne kroz logične prečice, pa ne morate dizati ruke sa tastature i potezati miša. Nakon upotrebe aplikacija se automatski „sklanja“, a ako je tako podesite odmah i zaključava. Kratko rečeno, Password Agent je beskrajno komforniji od rasutih škrabotina po papirićima, sigurniji od vaše memorije, a o bezbednosti da i ne govorimo...