Za bolji san valja imati što složenije lozinke. Istovremeno, u moderno doba je potreban niz različitih lozinki za mnogobrojne servise kojima korisnici pristupaju i može doći do pravog malog kaosa. Kako onda uopće kreirati lozinke i gdje ih čuvati, kad ih je već teško popamtiti?
Neovisno o tome je li riječ o kakvom starom polunapuštenom korisničkom računu za kakvu opskurnu stranicu, forum, mail ili pak nečem potrebnom za pristup online trgovini Amazon, lozinki je danas pregršt čak i kod prosječnog korisnika. Spotify, Netflix, Google, Apple, spomenuti Amazon... za sve to (srećom!) ne postoji univerzalni pristup. Kako bi korisnički računi bili što sigurniji, lozinke za različite servise jednostavno ne smiju biti iste.
Kako se nositi sa svime i imati miran san? Na prvom mjestu valja pozatvarati korisničke račune koji se više ne koriste i nekako smanjiti kaos. Primjera radi, zadnji put je neki forum posjećen u doba kad je YouTube još bio u povojima. Kome je to uopće više potrebno? Za micanje pojedinih računa koji više nemaju smisla ili se ne koriste, potrebno je uložiti nešto vremena, no u gomili novih servisa koji niču svaki dan, problem s gomilom lozinki postajat će samo gori ako se stvari ne održavaju.
Idealna lozinka
S praktične strane priče, za stvaranje lozinki treba se držati nekih osnovnih pravila:
- Zaboravite na pravilo od minimalno osam znakova u lozinki. Brute force napadi su surova stvarnost, a kako hakeri danas mogu zagospodariti botnetima i snagom superračunala, ako baš žele mogu probiti uobičajenih osam znakova sa simbolima unutar dvije sekunde. Deset znakova je stoga minimum, dvanaest naviše - idealno.
- Lozinke moraju sadržavati brojeve, simbole, mala i velika slova. Pri stvaranju lozinki valja biti posebno oprezan da se ne prati neki jednostavan niz poput 1234, 4321, abc, qwerty i slično.
- Treba izbjegavati i korištenje stvari bliskih korisniku - imena iz obitelji, datum rođenja.
- Dok su ranije preporuke govorile o zamjeni nekih očitih slova brojevima, tu valja biti oprezan. Jednostavne riječi valja izbjegavati, posebno na engleskom jeziku (MyHous3s npr. neće nikoga zavarati, a kamoli algoritme). S druge strane Moy@Kuc4 je mnogo bolji izbor (iako prekratak).
- Na internetu je dostupan niz alata kojima je moguće provjeriti koliko je lozinka dobra. Topla preporuka ovdje je Kasperskyjev Secure Password Check, no kako i sama stranica preporučuje - na njoj ne treba testirati lozinke koje će se stvarno unijeti (dovoljno je izmijeniti koji znak za provjeru). Stranica će odmah prikazati i koliko vremena će biti potrebno prosječnom računalu, botnetu i superračunalu da probije lozinku.
Idealne lozinke su, dakle, nešto poput ovoga: C$3mp2v57v#%. Sad u igru ulazi kakvih pet korisničkih računa, svaki od njih ima lozinku složenu poput navedene i...tu nastaje kaos u glavi praktički svakog korisnika. Najgora moguća opcija za pamćenje lozinki je njihovo zapisivanje na papiriće koji ostaju po uredu ili kod kuće. Neke stranice će savjetovati stvaranje arhivske stranice za takvo što te umetanje stranice u kakav sef, no niti svatko ima sef, niti je ispisivanje te takvo arhiviranje svih lozinki praktičko rješenje.
KeePass i LastPass
Ovdje u pomoć uskaču brojni pomoćni alati s jednom svrhom - baratanjem lozinkama i korisničkim računima. Nije riječ o idealnom rješenju (jer se u svaki servis može provaliti), no svakako je praktično i za korištenje valja upamtiti tek jednu glavnu lozinku.
Što se besplatnih alata tiče, posebno vrijedi izdvojiti KeePass. U pitanju je open-source alat za upravljanje lozinkama, a unutar kojeg korisnik može kreirati vlastitu bazu podataka, koju je pak moguće otključati ili glavnom lozinkom ili posebnom datotekom/ključem. Sama baza podataka je zaštićena vrlo naprednim algoritmima (AES i Twofish). To ne vrijedi tek za lozinke - već za cjelokupan sadržaj (bilješke, korisnička imena, adrese).
Povrh toga, KeePass može stvarati iznimno kvalitetne lozinke uz korisničke paramtere (dužina i vrsta znakova za korištenje). Valja imati na umu da ovaj alat ne podržava dvostupanjsku ovjeru niti podjelu lozinki s drugima, a mnoge će odvratiti i sučelje koje služi baš kao vremeplov u 90-te. Neovisno o tom, alat ima toplu preporuku.
LastPass jedno je od popularnijih modernih rješenja, koje krasi podrška za sve zamislive uređaje i platforme (Windows, Android, iOS, Linux, Mac...). Ovaj virtualni sef je izveden u grafički bogatom okružju jednostavnom za korištenje, neovisno o uređaju i platformi. Da stvar bude bolja, stvari se sinkroniziraju na odabranim uređajima te korisnik uvijek pri ruci može imati pristup (jasno, uz glavnu lozinku).
Podaci su zaštićeni AES-256-bitnom enkripcijom, salted hashingom i PBKDF2 SHA-256. Ukratko do podataka ne može doći niti tvrtka LastPass. Kao i ostala rješenja, LastPass može kreirati vrhunske lozinke te omogućuje automatsko popunjavanje polja kada korisnik to želi, a tu je i dvostupanjska ovjera (2FA).
Ovaj alat stiže još i u Premium izdanju od svega 12 dolara godišnje, što korisnicima pruža poseban folder za obitelj (do pet članova), gigabajt spremišnog prostora zaštićenog vrhunskom enkripcijom, prioritetnu podršku i dr.
Najskuplji 1Password
1Password također je jedno od popularnih rješenja, a na sličan način kao i prethodna dva primjera - korisnik se mora brinuti praktički tek o jednoj glavnoj lozinki za pristup svojoj cijeloj bazi podataka. AES-256 enkripcija brine se o tom da niti jedan bajt s uređaja ne prođe nezaštićeno, uz niz drugih tehnika koje tvrtka koristi za zaštitu i sigurnost.
Tvrtka se hvali kako koriste Secret Key, rješenje bolje od uobičajene dvostupanjske ovjere - ali i složenijeg karaktera. Secret Key je duljine 34 znaka. 1Password je dostupan za Mac, Windows, iOS i Android.
Istovremeno je riječ o i najskupljem rješenju od spomenutih. Korištenje 1Passworda košta tri dolara mjesečno (uz godišnje plaćanje) za jednu osobu, dok će obitelji (do pet korisnika) trebati plaćati pet dolara mjesečno. U svakom slučaju, dostupne su besplatne probne verzije pa korisnici sami mogu vidjeti odgovara li im takvo što.