Znate onaj osjećaj kad vam želudac propadne u pete? Meni se to dogodilo jednog utorka, negdje oko dva ujutro. Sjedio sam u boksericama, svijetlo monitora mi je pržilo oči, a ja sam buljio u poruku koja mi je ledila krv u žilama: “Pristup odbijen.” Nije to bio neki nebitan forum. Bio je to moj glavni mail.
U tom trenutku, sav onaj tehnički žargon koji prodajem klijentima postao je nebitan. Nije me bilo briga za enkripciju ili bitove. Razmišljao sam o skenovima putovnica koje imam u “Sent” folderu. O onim glupim fotkama s momačke koje ne bi smjele izaći u javnost. O činjenici da je netko, negdje, upravo ušetao u moj digitalni dnevni boravak i počeo kopati po ladicama.
To iskustvo me promijenilo. Shvatio sam da sigurnost nije softver koji instaliraš. To je način razmišljanja. I da budem iskren, većina nas – uključujući i mene prije tog incidenta – radi to potpuno krivo. Tretiramo lozinke kao onu dosadnu prepreku koju moramo preskočiti da bismo došli do serije na Netflixu.
A hakeri? Oni računaju na tu našu lijenost. Oni ne sjede u mračnim sobama s kapuljačama kucajući kodove kao u filmovima. Oni koriste alate koji iskorištavaju našu ljudsku prirodu.
Ovo što slijedi nije prepisano iz nekog udžbenika. Ovo su stvari koje sam naučio kroz godine spašavanja tuđih (i svojih) podataka. Nema uljepšavanja. Idemo ravno u glavu.
Više iz kategorije:
15 Super Mobitel Savjeta i 20 Brzih Baterija Trika
Ključne točke (Key Takeaways)
- Dužina je kralj: Zaboravite znakove, trebate kilometre teksta. Duga fraza uvijek pobjeđuje kratku šifru, ma koliko ona bila “komplicirana”.
- Jedan ključ, jedna brava: Ako koristite istu lozinku za sve, jedan probijeni sajt znači da ste izgubili sve. Doslovno sve.
- Prestanite glumiti hard disk: Vaš mozak nije stvoren za pamćenje 50 različitih šifri. Menadžeri lozinki jesu. Koristite ih.
- Dvostruka provjera spašava glavu: 2FA je kao da imate zaštitara ispred vrata. Čak i ako lopov ima ključ, zaštitar ga ne pušta bez iskaznice.
- Vi ste problem: Nema tog softvera koji će vas spasiti ako sami upišete lozinku na lažnu stranicu.
1. Zašto i dalje upisujemo “123456” i mislimo da će proći?
Ozbiljno vas pitam. Gledam statistike svake godine i “123456” je i dalje na vrhu. Zašto to radimo? Zato što smo ljudi. Umorni smo. Želimo liniju manjeg otpora. Kad se registrirate na neki web shop da biste kupili te tenisice na akciji, ne da vam se smišljati Fort Knox. Samo želite završiti s tim.
Ali evo u čemu je stvar. Hakeri ne pogađaju. Oni imaju “rječnike” – ogromne baze najčešćih lozinki. Njihov softver prođe kroz milijun takvih kombinacija dok vi trepnete. Ako je vaša lozinka u prvih 10.000 najčešćih, probit će je za manje od sekunde. Nije stvar u tome hoće li vas hakirati s takvom lozinkom, nego kada. To je kao da ostavite ključ u bravi s vanjske strane ulaznih vrata i nadate se da nitko neće proći ulicom.
2. Je li vaša lozinka zapravo priča koju samo vi znate?
Evo jedne tajne koju vam rijetko tko kaže: računala se muče s dužinom, ne s kompleksnošću. Nama su godinama tupili da lozinka mora izgledati kao da je mačka pretrčala preko tipkovnice: “P@$$w0rd1!”. Glupost. To računalo probije brzo jer zna zamjene (zna da je @ zapravo a).
Ono što računalo ne može lako probiti je entropija dužine. Umjesto “Tr0ub4dor&3”, koristite rečenicu. Nešto blesavo. “MojSusjedImaZelenogPsaKojiLajeNaMjesec”. Vidite? To je lako zapamtiti jer je slika u glavi. Ima preko 30 znakova. Za današnja superračunala, probijanje toga trajalo bi milijune godina. Budite kreativni. Budite čudni. Što je rečenica besmislenija, to je sigurnija.
3. Zašto se toliko bojite menadžera lozinki?
Često čujem od prijatelja: “Stari, neću staviti sva jaja u istu košaru. Što ako netko hakira taj LastPass ili 1Password?” Kužim strah. Imao sam ga i ja. Ali razmislite o alternativi. Koja je alternativa?
Alternativa je da ili koristite istu lozinku svugdje (katastrofa) ili ih zapisujete u bilježnicu (nespretno). Moderni menadžeri lozinki koriste AES-256 enkripciju. Da bi netko to probio, treba mu više energije nego što sunce proizvede u godini dana. Vaši podaci su zapravo gomila besmislenog koda na njihovim serverima. Jedini ključ imate vi. Da, postoji rizik, ali on je mikroskopski u usporedbi s rizikom korištenja lozinke “Marko1985”. Prepustite pamćenje stroju. Vaš mozak treba prostor za bitnije stvari, poput pamćenja godišnjica.
4. Tko čuva stražu dok vi spavate?
Lozinka je samo prva linija obrane. I vjerujte mi, ona pada. Često. Zato vam treba dvofaktorska autentifikacija (2FA). To je onaj kod koji vam stigne na mobitel. Ljudi to mrze. “Joj, ne da mi se tražiti mobitel svaki put kad se logiram.”
Shvaćam, tlaka je. Ali zamislite ovo: haker u Ukrajini je upravo kupio bazu lozinki i unutra je vaš Gmail. On upisuje vašu lozinku. Pritisne enter. I… zid. Sustav ga traži kod. Kod koji je na vašem mobitelu u vašem džepu u Zagrebu. Haker ne može ništa. Može se samo okrenuti i otići. Aktivirajte to. Svugdje. Ako servis nudi 2FA, a vi ga ne koristite, doslovno tražite nevolju.
5. Koristite li isti ključ za kuću, auto i vikendicu?
Ako izgubite ključ od kuće, promijenite bravu na kući. Ali ako taj isti ključ otvara i vaš auto i vikendicu i ured… e onda imate problem biblijskih razmjera. To se događa kad “reciklirate” lozinke.
Hakeri koriste metodu “Credential Stuffing”. Provale u neku slabo zaštićenu stranicu, recimo forum o ribolovu gdje ste se registrirali 2018. Uzmu vaš mail i lozinku od tamo. I onda? Onda skripta automatski isprobava te iste podatke na Facebooku, Amazonu, Netflixu, PayPalu. Ako ste lijeni i koristite istu šifru, padaju kao domine. Jedan proboj postaje deset proboja. Svaki, ali baš svaki račun mora imati jedinstvenu lozinku. Nema iznimke.
6. Mogu li vas “upecati” na jeftinu foru?
Sjećam se kad me skoro uhvatilo. Dobio sam mail od “Netflixa”. Pisalo je da mi je kartica odbijena i da ažuriram podatke ili gubim račun. Bilo je to usred gledanja nove sezone nečega, bio sam umoran, i skoro sam kliknuo.
Link je izgledao dobro. Logo je bio pravi. Ali adresa pošiljatelja je bila neka čudna zbrka slova. To je Phishing. Socijalni inženjering. Oni ne napadaju računalo, napadaju vas. Vaš strah, vašu hitnju, vašu znatiželju. Najbolja lozinka na svijetu (čak i ona s 50 znakova) ne vrijedi ništa ako je vi sami upišete na stranicu koju je haker napravio. Pravilo broj jedan: Nikad ne klikaj na linkove u mailovima koji traže hitnu akciju. Otiđi sam na stranicu, upiši adresu ručno i tamo provjeri.
7. Odajete li previše u “sigurnosnim pitanjima”?
“Ime majke?” “Prvi automobil?” “Grad rođenja?” Ovo nisu sigurnosna pitanja. Ovo su podaci s vašeg Facebook profila. Ozbiljno, ako netko želi provaliti u vaš račun, samo će proskrolati vaš Instagram do 2016. godine i naći sliku vaše prve Fieste.
Ovdje morate lagati. I to masno. Kad vas banka pita za djevojačko prezime majke, vaš odgovor treba biti “LjubičastiKlavirSviraJazz”. Tretirajte odgovore na sigurnosna pitanja kao dodatne lozinke. Nemojte davati istinite podatke jer su istiniti podaci javno dostupni. Budite paranoični. U ovom slučaju, laž je vrlina.
8. Jeste li već na “crnoj listi” a da ni ne znate?
Postoji tip, Troy Hunt. Legenda u svijetu sigurnosti. Napravio je stranicu “Have I Been Pwned”. Otiđite tamo. Sad. Unesite svoj mail. Ako se ekran zacrveni, to znači da su vaši podaci već negdje procurili.
Nemojte paničariti, ali shvatite to ozbiljno. To znači da je vaša lozinka (ona koju ste koristili na toj probijenoj stranici) sada javno dobro na Dark Webu. Svatko s Tor preglednikom je može skinuti. Ako tu istu lozinku koristite drugdje (vidi točku 5), mijenjajte je odmah. To je kao da saznate da kopije vaših ključeva leže na cesti.
9. Zašto je kava u kafiću najskuplja za vašu sigurnost?
Svi volimo besplatan Wi-Fi. Sjedneš, naručiš, spojiš se. Ali javni Wi-Fi je divlji zapad. To je otvorena mreža. Bilo tko s laptopom i pravim softverom tko sjedi dva stola dalje može “šmrkati” pakete podataka koji lete zrakom.
Vidio sam to svojim očima. Haker postavi pristupnu točku koja se zove isto kao kafić, recimo “Zagreb_Guest”. Vi se spojite na njega umjesto na pravi router. Sav vaš promet prolazi kroz njegovo računalo. On vidi sve. Ako baš morate raditi nešto osjetljivo u javnosti (bankarstvo, mailovi), ugasite Wi-Fi. Upalite mobilne podatke. Vaš 4G/5G je kriptiran i puno teže ga je presresti. Ili koristite VPN. Bez toga ste kao da vičete svoju lozinku u megafon.
10. Klikate li “Remind me later” ili odmah ažurirate?
Znam da Windows Update uvijek dođe u najgorem trenutku. Baš kad renderirate video ili pišete izvještaj. Ali ta ažuriranja nisu tu da vas živciraju. Ona krpaju rupe.
Softver je pun rupa. Programeri su ljudi, griješe. Hakeri traže te greške (exploits) i koriste ih da uđu u sustav. Kad Microsoft ili Apple izbace update, oni zapravo kažu: “Hej, našli smo rupu kroz koju lopovi ulaze, evo daske da je zakucate.” Ako ne ažurirate, ostavljate rupu otvorenom. Keyloggeri i trojanci obožavaju neažurirana računala. To im je najlakši ulaz. Stisnite taj “Update & Restart”. Isplati se.
11. Je li papir i olovka zapravo high-tech zaštita?
Zvuči ludo, ali u svijetu digitalnih prijetnji, analogno je ponekad najsigurnije. Ako imate šifru za kripto novčanik ili glavnu lozinku za menadžer, i bojite se da će vam netko hakirati komp – zapišite je na papir.
Haker iz Rusije ne može hakirati vašu ladicu s čarapama. Fizički pristup je prepreka koju digitalni napadači ne mogu preći. Naravno, ovo nosi druge rizike (požar, poplava, pas koji pojede papir), ali za one najkritičnije šifre, “hladna pohrana” na komadu papira skrivenom u knjizi je iznenađujuće robusna metoda. Samo nemojte, molim vas, lijepiti taj papir na monitor. To sam vidio u previše ureda i dođe mi da plačem svaki put.
12. Zašto su generatori lozinki bolji od vaše mašte?
Mi ljudi mislimo da smo nepredvidljivi, ali nismo. Očajni smo u tome. Kad vas tražim da smislite nasumičan broj, vjerojatno ćete reći 7 ili 3. Kad biramo lozinke, biramo uzorke na tipkovnici (QWERTY), datume rođenja, imena djece.
Generator lozinki nema sentiment. Njega ne zanima rođendan vaše supruge. On izbacuje “X9#mP2$Lq” – čisti kaos. Taj kaos je otporan na analizu. Prestanite se truditi biti pametni. Pustite algoritam da odradi prljavi posao. Vaš jedini zadatak je da te hijeroglife spremite u menadžer lozinki.
13. Mogu li vam ukrasti lice?
Biometrija (FaceID, otisak prsta) je super stvar. Ubrzava život. Ali nemojte se zavaravati da je to neprobojno. Sjećate se kad su hakeri uzeli visoku rezoluciju fotografije njemačke ministrice i rekreirali njezin otisak prsta? Da, to je moguće.
Ali veći problem je pravni. U mnogim državama, policija vas može natjerati da prislonite prst na mobitel. Ali vas ne mogu natjerati da im kažete šifru koja vam je u glavi (pravo na šutnju). Koristite biometriju za otključavanje mobitela radi praktičnosti, ali neka u pozadini uvijek bude jaka, alfanumerička šifra. I isključite biometriju kad prelazite granice ako ste paranoični (ili novinar).
14. Kako dijeliti lozinke a da ne ispadnete amater?
Moja supruga i ja dijelimo Netflix. I Amazon. I još hrpu toga. Kako smo to riješili prije? “E, koja je šifra?” Pa ja vičem iz druge sobe. Ili pošaljem na WhatsApp. Krivo.
Poruke ostaju. Serveri pamte. Ako baš morate dijeliti lozinku, koristite servise poput “OneTimeSecret”. Upišete lozinku, dobijete link. Pošaljete link. Čim osoba klikne na link i vidi lozinku, link se samouništi. Nema traga. Ili još bolje, koristite “Family” opcije u menadžerima lozinki. To je jedini civilizirani način dijeljenja pristupa u 21. stoljeću.
15. Treba li mijenjati lozinke kao donje rublje?
Nekad su nas IT odjeli tjerali da mijenjamo lozinku svakih 30, 60 ili 90 dana. I što se dogodilo? Ljudi su počeli pisati “LozinkaListopad”, pa “LozinkaStudeni”. Samo smo vrtjeli brojeve. Sigurnost je zapravo pala jer su lozinke postale predvidljive.
NIST (glavna faca za standarde u SAD-u) sada kaže: Ne mijenjajte lozinku ako ne morate. Ako imate jaku, dugu frazu koju nitko nije ukrao – ne dirajte je. Mijenjanje radi mijenjanja samo vas tjera na loše navike. Mijenjajte je samo ako čujete da je servis hakiran ili ako sumnjate da vas netko prati. Inače, pustite je na miru.
16. Jeste li onaj lik koji nikad ne klikne “Odjava”?
Dođete kod frenda, ulogirate se na Gmail da provjerite nešto, i onda samo zatvorite tab. “Ma nema veze, zatvorio sam Chrome.” E pa ima veze. Session cookies (kolačići sesije) mogu ostati aktivni danima. Sljedeći put kad frend otvori browser, hop – eto ga u vašem inboxu.
Neka vam uđe u mišićnu memoriju: Klik na sliku profila -> Odjava. Uvijek. Svugdje. Čak i na vlastitom kompu ako ga dijelite s ukućanima. A povremeno odite u postavke sigurnosti Googlea ili Facebooka i kliknite onu divnu tipku “Log out of all other sessions”. To je kao digitalni tuš. Osjećat ćete se čišće.
17. Je li “Sign in with Facebook” zamka?
Praktično je, zar ne? Jedan klik i unutra si. Ne moraš pamtiti novu lozinku. Ali to je mač s dvije oštrice. Ako koristite svoj Google ili Facebook račun za prijavu na 50 različitih aplikacija, stvorili ste jednu točku neuspjeha.
Ako netko hakira vaš Facebook, odjednom ima ključeve vašeg Spotifya, Tindera, Airbnba i one aplikacije za praćenje kalorija. Koristite SSO (Single Sign-On) samo za nebitne stvari. Za sve što sadrži vašu kreditnu karticu ili osobne podatke, kreirajte poseban račun. Nemojte vezati sve brodove za jedno sidro.
18. Zašto je vaš email najvažnija tvrđava?
Ljudi ne kuže ovo: vaš email nije samo za dopisivanje. To je vaš glavni identifikator. To je ključ svih ključeva. Ako zaboravite lozinku za banku, gdje stiže link za reset? Na email.
Ako haker preuzme vaš email, on posjeduje vaš život. Može resetirati lozinke na svim drugim servisima i izbaciti vas van. Zato vaš email mora biti Fort Knox. Najjača lozinka koju imate. Najstroži 2FA (po mogućnosti hardverski ključ kao YubiKey, a ne SMS). Budite paranoični oko svog emaila. On je temelj vaše digitalne kuće. Ako on padne, sve se ruši.
19. Imate li plan B kad sve ode kvragu?
Svi mislimo “ma neće se meni dogoditi da izgubim mobitel”. Dok ga ne izgubite. I odjednom ne možete dobiti 2FA kod. Ne možete u mail. Ne možete u banku. Panika.
Svaki servis vam kod postavljanja 2FA nudi “Recovery Codes” ili “Backup Codes”. To su oni dugi brojevi koje vam kažu da spremite. Većina ljudi ih ignorira. Nemojte biti ti ljudi. Isprintajte ih. Spremite ih u vatrostalnu kutiju s rodnim listom. Ti kodovi su jedini način da se vratite u svoj račun ako izgubite mobitel. Kad se dogodi katastrofa, ti papirići vrijede više od zlata.
20. Što ostaje nakon vas?
Malo mračna tema za kraj, ali bitna. Ako vas sutra udari bus, tko će moći pristupiti vašim računima? Tko će otkazati pretplate? Tko će doći do obiteljskih fotografija u oblaku? Tko će pristupiti kripto imovini?
Digitalna ostavština je ogroman problem. Menadžeri lozinki imaju opciju “Emergency Access”. Možete ovlastiti suprugu ili brata da zatraže pristup vašem sefu. Vi dobijete mail: “Marko želi pristup.” Ako ne odbijete zahtjev unutar, recimo, 7 dana (jer, eto, niste više tu), oni dobivaju pristup. Postavite to. Olakšajte onima koji ostaju iza vas. To je zadnji čin brige koji možete napraviti.
Zaključak
Gledajte, ne morate se pretvoriti u cyber-nindžu preko noći. To je recept za odustajanje. Ako pokušate primijeniti svih 20 savjeta odjednom, poludjet ćete. Krenite malim koracima.
Danas? Danas samo skinite menadžer lozinki i stavite sve bitne stvari unutra. Sutra? Sutra riješite 2FA na mailu. Do vikenda prestanite koristiti “Lozinka123”. Sigurnost je maraton, ne sprint. Bitno je da ste danas malo sigurniji nego što ste bili jučer. I molim vas, prestanite lijepiti post-it papiriće na monitor. Ozbiljno. Nemojte to raditi.
FAQs
Zašto je dužina lozinke važnija od složenosti?
Dužina lozinke je ključna jer matematički povećava njezinu entropiju i složenost, čime je teže za strojeve i hakere probiti je pomoću brute-force napada, dok komplicirane ali kratke lozinke ostaju lako probavljive.
Je li sigurno koristiti upravitelje lozinki, i zašto ih preporučujete?
Da, upravitelji lozinki su sigurni jer pohranjuju vaše komplicirane, nasumične lozinke u digitalni sef i omogućuju generiranje jedinstvenih, snažnih lozinki za svaki račun, čime se štitite od recikliranja i jednostavnog pogađanja.
Kako zaštititi račune ako haker dođe do moje lozinke?
Najbolja zaštita je višestruka autentifikacija (2FA ili MFA), koja dodaje dodatni sloj sigurnosti, poput koda na mobitelu ili hardverskog ključa, čak i kada je lozinka kompromitirana.
Zašto je važno koristiti različite lozinke za svaki račun?
Jer recikliranjem lozinki povećavate rizik da će, ukoliko je jedna od vaših lozinki procurila ili biti hakirana, hakeri pristupiti svim vašim računima koristeći tu istu lozinku.
Kako prepoznati lažne ili phishing e-mailove?
Obratite pažnju na domenu i URLove kojima pristupate, uvijek ručno upišite adresu servisa u preglednik, i nikada ne klikajte na sumnjive linkove ili privitke, posebno ako zahtijevaju vaše vjerodajnice.
