„Руски хакери украли лозинке шест милиона чланова мреже LinkedIn!“

Када сам, у среду, прочитала ову вест, изненадила сам се значајем који су јој светски медији дали. „И шта сад“, помислила сам у себи, „продаће CV-је на црном тржишту?“ Недуго затим, појавила се вест да су покрадене лозинке објављене на интернету, али без припадајућих електронских адреса које би их повезале с корисницима налога.
„О чему се ради?“
Да ствар буде занимљивија, иста хакерска група „поскидала“ је лозинке и са мреже eHarmony – сајта за међусобно упознавање самаца. „Шта ће им то? Да шаљу лажне брачне понуде?“

09.06.2012. извор: mindreadings, за ФБР приредила Биљана Диковић

Стручњаци за online сигурност не размишљају као ја. Зато и јесу стручњаци.

Најпре, подухват није било нимало лако извести и ниједна хакерска група се не би излагала опасности да у томе не види потенцијалну зараду. Дакле, нису то урадили из забаве и не, није ствар у томе да ће продавати резимее.
Укратко, ако имате налоге на једном од два поменута сајта, имате разлога да будете забринути. Нарочито ако на њима користите лозинке којима се служите и на другим, осетљивијим сајтовима, као што је Фејсбук, на пример. И у једном и у другом случају, треба одмах да промените лозинке.

Како хакери користе украдене лозинке?

Најпре, њима освежавају тзв. rainbow tables – базе података које служе као дигитални кључеви за крековање „хешова“ – додатног слоја заштите који корисницима пружају безбедније мреже. Захваљујући њима, на заштићенијим сајтовима, може постојати више корисника са истом лозинком; имаће различите хешове.

Ако, као у случају LinkedIn и eHarmony, хакери поседују и лозинке и мејл адресе корисника, једна од првих ствари које ће урадити биће следеће: покренуће софтвер који ће испробати исту комбинацију лозинке и мејла на другим сајтовима, у нади да ће доћи до података о банковним рачунима, налозима на друштвеним мрежама…

Осим тога, чланови мреже LinkedIn остављају на својим налозима одређене личне информације, које су јавно доступне. То их чини савршеним метама за тзв. „пецање с копљем“ (spear fishing). Оно се састоји у томе да вас наведе на „скидање“ малициозног софтвера – приступањем електронској пошти која изгледа као порука послата од колеге, некога из LinkedIn мреже ко вам се обраћа за професионалну услугу и сл.

Док „пецање с копљем“ подразумева посвећеност и пажњу од стране хакера и обично је управљено према моћним и истакнутим појединцима, тзв. обично „пецање“ могло би да задеси већину власника хакованих налога. Наиме, хакери знају да ће власници налога, када чују вест о крађи лозинки, пожурити да исте промене. Зато ће се потрудити – а то вероватно већ чине – да на „проваљене“ адресе пошаљу мејлове који изгледају као да су послати од LinkedIn администратора, са линком који води ка месту где могу да обаве жељену промену лозинки. На тај начин, доћи ће до ваше нове лозинке. Да бисте избегли тако нешто, никада не мењајте pasword путем линка који сте добили мејлом. Идите директно на сајт на којем имате налог чије елементе желите да измените.

Како смислити сигурну лозинку?

Стандардни савети су следећи:

1. Немојте за лозинку користити своје име или друге уобичајене речи.

2. Користите различите лозинке за различите сајтове.

3. Повремено мењајте лозинке.

4. Када бирате тзв. сигурностно питање, немојте бирати оно на које би исправно могли да одговоре сви који вас знају или сви који имају приступ вашем Фејсбук профилу, где често остављате приватне информације о себи.

Мада су једноставна, већини људи, укључујући мене, тешко пада поштовање ових правила. Временом, имамо све више online налога и креирати изнова снажне лозинке, па их још повремено мењати, није једноставан задатак. У томе могу да помогну програми, попут LastPass, који генерише и памти пасворде за све сајтове, али и коришћење pasword менаџера уме да замара. Већина нас напросто игнорише правила; формирано лозинку и рачунамо да „неће баш мене да задеси.“

На срећу, постоји једноставнији начин да осмислите веома снажну, а ипак једноставну лозинку.

Смислите за вас лако памтљиву фразу.
На пример, „Ким Кардашијан платила венчаницу 2 милиона.“ Пожељно је да фраза садржи и велика слова, као и бројеве. Након што сте то урадили, направите лозинку од почетних слова речи у датој реченици: „KKpv2m“. Не само што садржи шест по типу различитих карактера, оваква лозинка не садржи неку смислену реч, као ни датум који је везан за вас лично или неки важан историјски датум.

Други пример: „Фејсбук спада у 5 најпосећенијих страница.
“ Почетна слова речи које садржи ова реченица могу да креирају добру шифру за Фејсбук налог. Ако прву реч замените са „Твитер“, добићете добру лозинку за ту мрежу…
На тај начин, лако памтљиву матрицу користите за креирање различитих лозинки за различите сајтове којима приступате. Тачно да промена није велика, али ако вам неко хакује Фејсбук налог, неће вам нанети много већу штети тиме што ће провалити и ваш Твитер профил.

Неки сајтови већ нуде могућност да за лозинку узмете краћу фразу. То је још јача заштита него она коју пружа фраза скараћена у почетна слова речи од којих је сачињена.
Наиме, хакери нападају лозинке софтверима који „листају“ све могуће комбинације карактера. Да би се на тај начин „разбила“ шифра од шест карактера који не чине смислену реч, потребно је 219 година, израчунао је Томас Бекдал, уредник online магазина Baekdal, где постоје корисни савети за просечне кориснике информатичких технологија. Да би исти софтвер „крековао“ лозинку у виду кратке фразе, попут „ово је забавно“, потребно је 2.5 хиљаде година.