Политика на лозинки
Полиса на лозинка (англиски: Password policy) е мерка која се презема со цел зголемување на компјутерската безбедност. Со оваа мерка, се поттикнуваат корисниците на компјутери да користат силни лозинки (англиски: strong password). Полисите на лозинки се воведени во употреба затоа што напаѓачи би можеле да го нападнат речиси секој криптографски систем доколку би имале доволно време, податоци итн. Отежнување на ваквите напади се постигнува токму со полисите на лозинки. Отежнителна околност е тоа што компаниите треба да ја зголемат компјутерската безбедност така што лозинките би биле тешки за напаѓање од страна на потенцијални напаѓачи, но сепак, ако корисникот ја заборави својата лозинка, компанијата да може да му овозможи нејзино ресетирање.
Најчесто, полисата за лозинки претставува некој вид на рамнотежа меѓу сигурноста и психологијата на човечкото однесување.[1]
Компоненти
уредиДолжина на лозинката
уредиВажен компонент на полисите на лозинки е должината на лозинката.
Речиси сите полиси имаат одредено минимална, а поретко и максимална должина (број на знаци) на лозинката. Најчесто, минималната должина е осум знаци. На пример, компанијата Google не дозволува лозинки помали од осум знаци. Компаниите Facebook и Yahoo овој број го имаaт намалено на шест знаци.
Што се однесува до максималната должина, компаниите Facebook и Google немаат ограничување. Компанијата Yahoo дозволува лозинката да се состои од максимум 32 знаци.
Содржина на лозинката
уредиМногу полиси се разликуваат кога станува збор за содржината на лозинката. Најчесто, во сите полиси се среќаваат комбинации од следниве правила:[2]
- Користење на најголема можна должина на лозинка
- Користење на барем една цифра од 0 до 9
- Користење на барем еден специјален неалфанумерички знак. На пример, тоа се знаците @, #, %, ^, $, итн.
- Користење на множество од мали и големи букви[3]
Многу ретко може да се сретне следнава опција:
- Самата компанија создава неколку различни лозинки и му нуди на корисникот да одбере една од нив.
- компанијата создава една лозинка и му ја дава на корисникот. Корисникот нема можност сам да ја одбере лозинката или да учествува при нејзиното создавање.
Покрај горенаведените правила, можат да се сретнат и забрани:
- забрана на зборови кои претставуваат календарски датуми, телефонски броеви и какви било броеви достапни за сите
- забрана за користење на компаниско име како лозинка
- забрана за користење на зборови кои се среќаваат во личните податоци на корисникот
- Компанијата Microsoft за користење на програмата SQL Server не дозволува идентични или слични корисничко име и лозинка [4]
Животен век на лозинката
уредиОваа компонента од полисите за лозинки служи за ограничување на животниот век на лозинката. Откога истиот ќе помине, корисникот добива известување дека треба да ја смени неговата лозинката. Корисничките профили кои имаат лозинки со изминат животен век повеќе не смеат да се користат.
Животниот век на лозинката (ако воопшто е ограничен), најчесто е ограничен на 90 или на 180 дена. Освен тоа, кога ќе дојде времето за сменување на лозиката, корисниците најчесто се спречени да одберат лозинка која би била многу слична на онаа која претходно ја имале. Но, ова има негативни последици на приватноста на корисниците. Ако системот забранува лозинката да е слична на претходната, тоа значи дека некаде постои база на податоци која ги содржи и старите лозинки, за кои корисниците веруваат дека се избришани.
За оваа компонента од полисите за лозинки може да се каже дека има повеќе негативни страни отколку позитивни. Тоа е причината и поради која не се применува често и од страна на многу компании. Најголемата нејзина негативност е тоа што на корисниците им е тешко да доаѓаат до нови лозинки на секој одреден период, кои би биле тешки за погодување од страна на некој напаѓач, а лесни за нивно паметење. Затоа, корисниците кои мора да ја сменат лозинката на определен временски период најчесто немаат силна лозинка. Може да се заклучи дека подобра е другата алтернатива – силна лозинка со неопределен животен век. Сепак, и таа алтернатива има огромен недостаток, а тој е следниов: ако определено лице ја дознае лозинката на некој корисник, тој може да ги користи привилегиите на корисникот неопределен временски период, токму поради тоа што лозинката нема определен животен век.
Од корисници кои имаат многу големи привилегии се очекува и лозинката да им биде силна, и нејзино почесто менување. На пример, ова може да се очекува од систем администратори.
Казни
уредиКомпонент на полисите за лозинки се и соодветните санкции. Санкциите можат да бидат од најобични предупредувања до губење на комјпјутерски привилегии. Во некои места, непочитувањето на полисата за лозинки се смета за кривично дело.
Совети за правилно управување со лозинки
уреди- Никогаш да не се користи истата лозинка за повеќе различни кориснички профили
- Никогаш да не се запишува лозинката во некоја податотека во компјутер или на хартија
- Никогаш да не се споделува лозинка со други луѓе
- Никогаш да не се станува од компјутер без одјавување
- Никогаш да не се дели еден кориснички профили меѓу повеќемина корисници
- За секоја различна апликација да се има различна лозинка. Никогаш да не се користи една лозинка за повеќе различни апликации.
- лозинката секогаш да биде силна
- Секогаш да се смени лозинката, доколку постои сомневање за нејзино компромитирање
- Сите прелистувачи (Internet Explorer, Mozilla Firefox, Opera, Google Chrome) нудат опција за запаметување на лозинката при првото најавување на речиси секое мрежно место. Корисниците треба да бидат посебно внимателни со оваа опција, особено ако компјутерот има повеќе различни корисници.
Мерки за заштита
уредиРечиси секоја компанија има воведено мерки за заштита од потенцијални напаѓачи на лозинките. Повеќето системи го ограничуваат бројот на последователни внесени погрешни лозинки. Најчесто овој број изнесува три. Ако тој се достигне, може да се случи замрзнување на корисничкиот профил. Ако се случи наближување кон три последователни внесувања на погрешни лозинки, кога корисникот точно ќе се најави ќе му стигне известување дека компанијата се сомнева дека некој сака да изврши сомнителни акции врз неговиот кориснички профили.
Работи кои треба да се земат предвид
уредиПри правење на кориснички профили за некое мрежно место или некоја апликација, покрај тоа што треба да внес е лозинка, корисникот треба да ја свнесе својата електронска пошта. Најчесто на неговата електронска пошта се праќа лозинката. Поради ова, мрежните места кои овозможуваат електронски пораки, треба да инсистираат на силни лозинки, бидејќи сандачињата на корисниците најчесто содржат лозинки за други мрежни места или прилози.
Нормалниот корисник на компјутер има различни кориснички профили за различни компании. Ако тој користи различни лозинки за секој од овие десетици кориснички профили, многу е веројатно дека некаде ќе ги запише овие лозинки. Ова би можело да резултира со напад на неговиот кориснички профил. Ако сепак се очекува корисникот да ги запише своите лозинки, најдобро е тоа да го направи во некој компјутерски документ кој би се отворал со лозинка. Така, корисникот може да памети само една лозинка. Но, треба да се има предвид дека ова е метод кој има свои недостатоци. [5]
Добро би било ако корисникот има различна лозинка за секоја апликација која ја користи. Доколку тоа не е случај, би требало да има исти лозинки за оние апликации за кои е потребна мал степен на сигурност. На пример, ова може да се однесува на апликациите или мрежните места кои не се користат често. Ова сигурно дека не може да се однесува на корисничките профили за електронските пошти.
Доколку од полисата за лозинки се бара корисникот да има барем еден специјален неалфанумерички знак како дел од својата лозинка, тоа може да биде проблем за корисниците кои често патуваат, затоа што компјутерите во други држави најчесто имаат различен распоред на копчињата на тастатурата.
Често, како алтернатива за лозинка се користат повеќе од едно сигурносни прашања. На пример, компанијата Facebook користи сигурносни прашања за оние корисници кои тврдат дека ги заборавиле своите лозинки. Сигурносни прашања се најчесто прашања за минатотo на корисникот, од типот “Каде е родена Вашата мајка?”, “Како се викаше Вашето прво домашно милениче?”, “Која е Ваша омилена книга?” итн. Ако корисникот ја избрал опцијата за сигурносни прашања (кај некои компании не е опција, туку е задолжителна алтернатива на лозинките), и изјави дека ја има заборавено својата лозинка, му се појавуваат прашањата кои самиот тој ги има одбрано. Тој треба да ги внесе соодветните одговори. Ако тие се точни, ќе добие можност за ресетирање на старата лозинка или компанијата автоматски ќе му ја замени старата лозинка со нова, автоматски генерирана, која корисникот подоцна може да си ја смени. Но, треба да се има предвид дека одговорите на овие прашања можат многу лесно да се најдат или да се погодат. [6]
Некои компании наместо лозинки користат други алтернативи. Вакви алтернативи можат да бидат еднократен систем за лозинки или користење на безбедносен знак (англиски: Socket).
Компаниите можат лесно, со едноставна проверка да се осигураат дека корисниците ги почитуваат нивните полиси на лозинки.
Зачувување на лозинките
уредиКога корисниците првпат (при регистрација) ќе ја внесат својата лозинка, лозинката се кодира. Тоа најчесто се прави со криптографско хеширање (англиски: hash) или сол (англиски: salt).
Постојат бесконечно многу алгоритми за кодирање на лозинки. Но, кога станува збор за декодирање, некои компании претпочитаат еднонасочни алгоритми. Тоа значи дека декодирањето не е возможно за лозинките. На овој начин, на корисниците им се овозможува поголема приватност, бидејќи вработените во компанијата имаат пристап единствено до хешираниот код за лозинката и немаат можност да ја откријат самата лозинка преку овој хеш код. На овој начин, кога корисникот ја внесува својата лозинка, се врши едноставно пребарување и споредување со соодветниот хеш код. Доколку постои совпаѓање, тоа значи дека лозинката е точна. Но, овој пристап има недостаток. Доколку корисникот ја заборави својата лозинка, системот не може да го декриптира записот кој го има во својата база на податоци за да му го прати. Најмногу што може да направи во ваков случај е ресетирање на лозинката, односно комплетно исчезнување на старата лозинка.[7]
Наводи
уреди- ↑ Статија за полиси на лозинки Password policy
- ↑ Статија за совети за полиси на лозинки Password Policy Guidelines, Архивирано од изворникот на 2012-03-02, Посетено на 2012-03-04
- ↑ Статија за совети за создавање на лозинки Password Best practices
- ↑ Статија за полисата на лозинки на Microsoft SQL Server Password Policy
- ↑ Електронски полиси на лозинки Electronic password policy (PDF)[мртва врска]
- ↑ Статија за полиси на лозинки Password Policy (PDF), Архивирано од изворникот (PDF) на 2012-06-17, Посетено на 2012-03-20
- ↑ Статија за најдобри совети за полиси на лозинки Best Practices for Enforcing Password Policies