1,2 milijarde ukradenih korisničkih podataka naglašava koliko je loš trenutačan sustav lozinki

Autor: Poslovni.hr , 18. rujan 2014. u 09:40
Foto: Thinkstock

Previše je lako koristiti istu lozinku po bezbrojnim stranicama ili napraviti lozinke koje je lako pogoditi.

Jedan je nedavni izvještaj tvrdio da je ruska cyberkriminalna skupina ukrala 1.2 milijarde korisničkih imena i lozinki s 420 tisuća siteova. Upad navodno utječe na veliki broj subjekata, od kompanija na listi Fortune 500 do vrlo malih siteova. Oni koji su njime pogođeni nisu navedeni jer su mnogi još uvijek ranjivi.

Skupina je, kako kažu, uspjela prikupiti podatke tako što je koristila botnete da provjeri koji su siteovi ranjivi. Prema izvještaju, kad bi jedno od zaraženih računala posjetilo neke stranice, napadači bi ga prisilili da izvede SQL injection napad na stranice da vide imaju li ranjivosti. Ako je site ranjiv, napadači bi ga zabilježili i vratili se kasnije da ukradu informacije iz baze podataka.

Kako se prenosi, napadači nisu prodali puno ukradenih podataka na Internetu, nego su umjesto toga informacije koristili da šalju spam na društvenim mrežama. Ipak, te informacije mogu biti od velike vrijednosti drugim cyberkriminalcima. Ako ljudi koriste iste lozinke na više servisa, tada ih napadači mogu upotrijebiti za kompromitiranje drugih korisničkih računa i dobivanje daljnjih osjetljivih informacija o žrtvi.

Problem s lozinkama

Ovaj incident još jednom pokazuje koliko ne valja trenutačni sustav s lozinkama. Previše je lako koristiti istu lozinku po bezbrojnim stranicama ili napraviti lozinke koje je lako pogoditi. Kao rezultat, ako napadač uspije dobiti pristup korisnikovim podacima provalom na jedan site, potencijalno ih može upotrijebiti i za neovlašteni pristup drugim računima istog korisnika.

Čak ni vijesti o velikim ranjivostima nisu dovoljne da bi uvjerile većinu korisnika da promijene svoje lozinke. Nedavni izvještaj Pew Research Centera kaže da je manje od 40% ljudi koji su znali za Heartbleed ranjivost promijenilo svoje lozinke zbog toga.

Umjesto da krivimo korisnike, možda bi bilo bolje da potražimo način kako poboljšati prijavu na online servise. A uzevši u obzir koliko se brzo potrošačka i poslovna tehnologija razvijala zadnjih godina, sad je možda savršen trenutak da djelujemo.

Mobilne prijave

Sve veća raširenost pametnih telefona pomogla je populariziranju prijava u dva koraka. Kad se korisnik prijavi lozinkom, treba provjeriti e-mail, SMS ili mobilnu aplikaciju preko kojih će im stići drugi privremeni kod za prijavu. To znači da čak i ako je korisniku lozinka kompromitirana, napadač i dalje treba zadobiti pristup drugoj metodi prijave da bi provalio u taj račun.

Idući korak u sigurnim prijavama bi trebala biti biometrijska prijava. Iako sama tehnologija postoji već neko vrijeme, Apple ju je uveo u široku primjenu ugradivši senzor otiska prsta na iPhone 5S prošle godine. Korisnici mogu otključati telefon ili potvrditi kupnju na iTunesima tako što stave prst na tipku za povratak na početni ekran (home button). I drugi proizvođači pametnih telefona se ugradili tu mogućnost u svoje uređaje, a u lipnju je Apple otvorio mogućnost za sve aplikacije, što pomaže u daljnjem širenju ove tehnologije.

Kod biometrijskih prijava nije riječ samo o otiscima prsta. Jedan od Samsungovih menadžera nedavno je kazao da kompanije razmatra proizvodnju uređaja koji upotrebljavaju korisnikovu šarenicu za identifikaciju.

Budućnost autentifikacije

Autentifikacija se neće na tome zaustaviti jer istraživači stalno traže nove načine kojima će revolucionizirati sustav. Prošle je godine Regina Dugan, voditeljica Googleovog odjela Advanced Technology and Projects (Napredne tehnologije i projekti), nagovijestila da bi tetovaža ili progutana pilula mogli autentificirati korisnika. Korisnici bi trebali samo dodirnuti svoje uređaje – čak i auto ili ulazna vrata – da ih otključaju.

Kompanija koja je nastala na sveučilištu Oxford također radi na novom sustavu za prijavljivanje. Sustav Oxford BioChronometricsa mjeri bezbrojne različite načine postupanja korisnika s njihovim uređajem. To bi moglo uključivati način kako korisnik naginje svoj telefon dok tipka, brzinu skrolanja (pomicanja kroz sadržaj), pokrete miša, kao i druge. Sustav kombinira ove informacije i od njih sačinjava korisnikove "elektronički Definirane Naturalne Atribute (eDNA)", koji se onda koristi za autentifikaciju.

Frank Stajano, znanstvenik sa sveučilišta Cambridge, vjeruje da ima drugi odgovor na problem lozinki – elektroničku auru. U tom sustavu korisnik nosi dodatnu opremu ili ima implantat ispod kože koji stvaraju elektroničku auru. Ta bi se aura prostirala na otprilike pola metra ili metar od tijela i njen signal bi dopuštao da rade samo uređaji koji pripadaju tom korisniku. Kao rezultat, mogli biste otključati svoj auto beskontaktnim ključem u tom polju, ali ako ključ ispadne iz polja, ne bi radio. Stajano radi i na uređaju nazvanom "pico" koji pohranjuje bezbrojne lozinke za online servise. I taj bi uređaj radio samo unutar elektroničke aure.

Zaštita vaših podataka

Vjerojatno će proći neko vrijeme prije nego ovi ambiciozni autentifikacijski projekti postanu stvarnost. Symantec zasad savjetuje korisnike da čuvaju svoje online podatke od napadača na sljedeće načine:

* Uvijek koristite jake lozinke i ne koristite istu lozinku za više siteova.

* Uključite prijavu u dva koraka na siteovima koji je omogućavaju. Symantecov Validation and ID Protection (VIP) Service – Servis za potvrđivanje i zaštitu identiteta – omogućava kompanijama da koriste i prijavu u dva koraka i risk-based prijavu bez tokena.

* Razmislite o korištenju programa za upravljanje lozinkama, kao što je Norton Identity Safe koji sigurno pohranjuje lozinke za različite online servise.

Kursor komunikacije

Komentirajte prvi

New Report

Close