Политика на лозинки

(Пренасочено од Полиса на лозинка)

Полиса на лозинка (англиски: Password policy) е мерка која се презема со цел зголемување на компјутерската безбедност. Со оваа мерка, се поттикнуваат корисниците на компјутери да користат силни лозинки (англиски: strong password). Полисите на лозинки се воведени во употреба затоа што напаѓачи би можеле да го нападнат речиси секој криптографски систем доколку би имале доволно време, податоци итн. Отежнување на ваквите напади се постигнува токму со полисите на лозинки. Отежнителна околност е тоа што компаниите треба да ја зголемат компјутерската безбедност така што лозинките би биле тешки за напаѓање од страна на потенцијални напаѓачи, но сепак, ако корисникот ја заборави својата лозинка, компанијата да може да му овозможи нејзино ресетирање.

Најчесто, полисата за лозинки претставува некој вид на рамнотежа меѓу сигурноста и психологијата на човечкото однесување.[1]

Компоненти

уреди

Должина на лозинката

уреди

Важен компонент на полисите на лозинки е должината на лозинката.

Речиси сите полиси имаат одредено минимална, а поретко и максимална должина (број на знаци) на лозинката. Најчесто, минималната должина е осум знаци. На пример, компанијата Google не дозволува лозинки помали од осум знаци. Компаниите Facebook и Yahoo овој број го имаaт намалено на шест знаци.

Што се однесува до максималната должина, компаниите Facebook и Google немаат ограничување. Компанијата Yahoo дозволува лозинката да се состои од максимум 32 знаци.

Содржина на лозинката

уреди

Многу полиси се разликуваат кога станува збор за содржината на лозинката. Најчесто, во сите полиси се среќаваат комбинации од следниве правила:[2]

  • Користење на најголема можна должина на лозинка
  • Користење на барем една цифра од 0 до 9
  • Користење на барем еден специјален неалфанумерички знак. На пример, тоа се знаците @, #, %, ^, $, итн.
  • Користење на множество од мали и големи букви[3]

Многу ретко може да се сретне следнава опција:

  • Самата компанија создава неколку различни лозинки и му нуди на корисникот да одбере една од нив.
  • компанијата создава една лозинка и му ја дава на корисникот. Корисникот нема можност сам да ја одбере лозинката или да учествува при нејзиното создавање.

Покрај горенаведените правила, можат да се сретнат и забрани:

Животен век на лозинката

уреди

Оваа компонента од полисите за лозинки служи за ограничување на животниот век на лозинката. Откога истиот ќе помине, корисникот добива известување дека треба да ја смени неговата лозинката. Корисничките профили кои имаат лозинки со изминат животен век повеќе не смеат да се користат.

Животниот век на лозинката (ако воопшто е ограничен), најчесто е ограничен на 90 или на 180 дена. Освен тоа, кога ќе дојде времето за сменување на лозиката, корисниците најчесто се спречени да одберат лозинка која би била многу слична на онаа која претходно ја имале. Но, ова има негативни последици на приватноста на корисниците. Ако системот забранува лозинката да е слична на претходната, тоа значи дека некаде постои база на податоци која ги содржи и старите лозинки, за кои корисниците веруваат дека се избришани.

За оваа компонента од полисите за лозинки може да се каже дека има повеќе негативни страни отколку позитивни. Тоа е причината и поради која не се применува често и од страна на многу компании. Најголемата нејзина негативност е тоа што на корисниците им е тешко да доаѓаат до нови лозинки на секој одреден период, кои би биле тешки за погодување од страна на некој напаѓач, а лесни за нивно паметење. Затоа, корисниците кои мора да ја сменат лозинката на определен временски период најчесто немаат силна лозинка. Може да се заклучи дека подобра е другата алтернатива – силна лозинка со неопределен животен век. Сепак, и таа алтернатива има огромен недостаток, а тој е следниов: ако определено лице ја дознае лозинката на некој корисник, тој може да ги користи привилегиите на корисникот неопределен временски период, токму поради тоа што лозинката нема определен животен век.

Од корисници кои имаат многу големи привилегии се очекува и лозинката да им биде силна, и нејзино почесто менување. На пример, ова може да се очекува од систем администратори.

Казни

уреди

Компонент на полисите за лозинки се и соодветните санкции. Санкциите можат да бидат од најобични предупредувања до губење на комјпјутерски привилегии. Во некои места, непочитувањето на полисата за лозинки се смета за кривично дело.

Совети за правилно управување со лозинки

уреди

Мерки за заштита

уреди

Речиси секоја компанија има воведено мерки за заштита од потенцијални напаѓачи на лозинките. Повеќето системи го ограничуваат бројот на последователни внесени погрешни лозинки. Најчесто овој број изнесува три. Ако тој се достигне, може да се случи замрзнување на корисничкиот профил. Ако се случи наближување кон три последователни внесувања на погрешни лозинки, кога корисникот точно ќе се најави ќе му стигне известување дека компанијата се сомнева дека некој сака да изврши сомнителни акции врз неговиот кориснички профили.

Работи кои треба да се земат предвид

уреди

При правење на кориснички профили за некое мрежно место или некоја апликација, покрај тоа што треба да внес е лозинка, корисникот треба да ја свнесе својата електронска пошта. Најчесто на неговата електронска пошта се праќа лозинката. Поради ова, мрежните места кои овозможуваат електронски пораки, треба да инсистираат на силни лозинки, бидејќи сандачињата на корисниците најчесто содржат лозинки за други мрежни места или прилози.

Нормалниот корисник на компјутер има различни кориснички профили за различни компании. Ако тој користи различни лозинки за секој од овие десетици кориснички профили, многу е веројатно дека некаде ќе ги запише овие лозинки. Ова би можело да резултира со напад на неговиот кориснички профил. Ако сепак се очекува корисникот да ги запише своите лозинки, најдобро е тоа да го направи во некој компјутерски документ кој би се отворал со лозинка. Така, корисникот може да памети само една лозинка. Но, треба да се има предвид дека ова е метод кој има свои недостатоци. [5]

Добро би било ако корисникот има различна лозинка за секоја апликација која ја користи. Доколку тоа не е случај, би требало да има исти лозинки за оние апликации за кои е потребна мал степен на сигурност. На пример, ова може да се однесува на апликациите или мрежните места кои не се користат често. Ова сигурно дека не може да се однесува на корисничките профили за електронските пошти.

Доколку од полисата за лозинки се бара корисникот да има барем еден специјален неалфанумерички знак како дел од својата лозинка, тоа може да биде проблем за корисниците кои често патуваат, затоа што компјутерите во други држави најчесто имаат различен распоред на копчињата на тастатурата.

Често, како алтернатива за лозинка се користат повеќе од едно сигурносни прашања. На пример, компанијата Facebook користи сигурносни прашања за оние корисници кои тврдат дека ги заборавиле своите лозинки. Сигурносни прашања се најчесто прашања за минатотo на корисникот, од типот “Каде е родена Вашата мајка?”, “Како се викаше Вашето прво домашно милениче?”, “Која е Ваша омилена книга?” итн. Ако корисникот ја избрал опцијата за сигурносни прашања (кај некои компании не е опција, туку е задолжителна алтернатива на лозинките), и изјави дека ја има заборавено својата лозинка, му се појавуваат прашањата кои самиот тој ги има одбрано. Тој треба да ги внесе соодветните одговори. Ако тие се точни, ќе добие можност за ресетирање на старата лозинка или компанијата автоматски ќе му ја замени старата лозинка со нова, автоматски генерирана, која корисникот подоцна може да си ја смени. Но, треба да се има предвид дека одговорите на овие прашања можат многу лесно да се најдат или да се погодат. [6]

Некои компании наместо лозинки користат други алтернативи. Вакви алтернативи можат да бидат еднократен систем за лозинки или користење на безбедносен знак (англиски: Socket).

Компаниите можат лесно, со едноставна проверка да се осигураат дека корисниците ги почитуваат нивните полиси на лозинки.

Зачувување на лозинките

уреди

Кога корисниците првпат (при регистрација) ќе ја внесат својата лозинка, лозинката се кодира. Тоа најчесто се прави со криптографско хеширање (англиски: hash) или сол (англиски: salt).

Постојат бесконечно многу алгоритми за кодирање на лозинки. Но, кога станува збор за декодирање, некои компании претпочитаат еднонасочни алгоритми. Тоа значи дека декодирањето не е возможно за лозинките. На овој начин, на корисниците им се овозможува поголема приватност, бидејќи вработените во компанијата имаат пристап единствено до хешираниот код за лозинката и немаат можност да ја откријат самата лозинка преку овој хеш код. На овој начин, кога корисникот ја внесува својата лозинка, се врши едноставно пребарување и споредување со соодветниот хеш код. Доколку постои совпаѓање, тоа значи дека лозинката е точна. Но, овој пристап има недостаток. Доколку корисникот ја заборави својата лозинка, системот не може да го декриптира записот кој го има во својата база на податоци за да му го прати. Најмногу што може да направи во ваков случај е ресетирање на лозинката, односно комплетно исчезнување на старата лозинка.[7]

Наводи

уреди
  1. Статија за полиси на лозинки Password policy
  2. Статија за совети за полиси на лозинки Password Policy Guidelines, Архивирано од изворникот на 2012-03-02, Посетено на 2012-03-04
  3. Статија за совети за создавање на лозинки Password Best practices
  4. Статија за полисата на лозинки на Microsoft SQL Server Password Policy
  5. Електронски полиси на лозинки Electronic password policy (PDF)[мртва врска]
  6. Статија за полиси на лозинки Password Policy (PDF), Архивирано од изворникот (PDF) на 2012-06-17, Посетено на 2012-03-20
  7. Статија за најдобри совети за полиси на лозинки Best Practices for Enforcing Password Policies