U ovom kratkom blog postu pokušaćemo na praktičnim primerima da vam objasnimo svima poznat savet: Istu lozinku ne koristite na dva različita mesta.
Da li znamo zbog čega ovo nije dobro?
Kolega Nikola Krgović je prošle nedelje u postu „Kako kreirati sigurnu lozinku“ objasnio na koji način možete da kreirate lozinku koja je sigurna i koju je teško probiti.
Ipak, ako sigurnu lozinku koristite na više sajtova treba da znate da tako značajno smanjujete svoju sigurnost.
Kompromitovanje jednog vašeg naloga može vrlo lako da dovede do kompromitovanja i svih ostalih koji dele iste login podatke.
Što više reciklirate svoju lozinku i koristite je na većem broju servisa, rizik je sve veći.
Još jedan bitan faktor u ovoj jednačini jeste i starost same lozinke. Potrebno je da ih redovno menjate.
Ukoliko reciklirate lozinke, a takođe ih godinama ne menjate, možemo reći da uopšte niste sigurni, iako vam je sama lozinka jaka i sigurna.
Videćemo odmah i zbog čega.
Iskustva koja imamo iz prakse govore nam da sve češće kompromitacije naloga dolaze nakon hakovanja „malih sajtova“ i zaboravljenih servisa. Recimo da je u pitanju neki forum na koji ste se registrovali pre 5-6 godina. Forum ste prestali da posećujete, a administrator je prestao da ga održava. Forum sa zastarelim aplikacijama i nezakrpljenim serverom laka je meta za bilo kog napadača.
Kompromitovanjem tog servera napadač je došao do vaše lozinke ali i do vaše e-mail adrese. Samim tim, on sada zna gde može da vas dalje napadne (ima vašu e-mail adresu) a ima i adekvatno oružje (vašu lozinku).
Početkom maja, na sličan način kao što smo opisali, istraživači su uspeli da dođu do login podataka za 272 miliona Google, Yahoo i Microsoft naloga. Samo su kombinovali podatke prikupljene u raznim „sitnim“ kompromitacijama manje bitnih servisa, a uspeli su da dođu do poražavajućih rezultata.
Zbog čega su bili ovako uspešni?
Zato što korisnici recikliraju lozinke i zato što ih neredovno menjaju.
Ukoliko želite da budete sigurni, nikada ne bi trebalo da reciklirate lozinke.
Nadam se da vam je posle ovog posta jasnije i zbog čega.
Sta je sa uloskom na nalog preko drugog sajta, npr kao sto imamo za Limundo – Ulaz preko Facebok-a ?
Da li se i na taj nacin smanjeje sigurnost (oba) naloga ?
ja godinama koristim istu lozinku zza razlicite naloge, pa se josh nista nije desilo. Sto ne znaci da nece. ali vazniji nalozi imaju bolje sifre, tako da su sigurni. Ipak savet stoji, jedino je potrebno puno pamtiti ako se svuda stavljaju novi passwordi