понедељак, 4. јун 2018.

Sigurno upravljanje nalozima i lozinkama korisnika: Predostrožnost je najbolja odbrana


U vreme sve sofisticiranijih sajber napada koji prete da izazovu pogubne gubitke u poslovanju, prve mere zaštite odnose se na sigurno upravljanje nalozima i lozinkama korisnika. Da biste ih efikasno primenili, potrebno je da znate i na koji način razmišljaju hakeri, i šta je redosled najvažnijih koraka u odbrani od sajber zluopotreba.

Sajber napadi mogu biti motivisani različitim razlozima, ali svaki obavezno podrazumeva preuzimanje korisničkog naloga nekog od korisnika na sistemu, preko koga će dobiti pristup pojedinim kompanijskim resursima. Pri tom, što su veća ovlašćenja koja poseduje ukradeni nalog, poput Admin naloga na Windows operativnom sistemu ili root naloga na Unix/Linux sistemima, to su veće mogućnosti sajber napadača.

Korisnički nalog se može zloupotrebiti na više načina, u zavisnosti od tehnika kojima se sajber napadač koristi. U nekim slučajevima u pitanju su napadi društvenog inženjeringa, kada napadač pokušava da prevari zaposlene u kompaniji kako bi došao do korisničkog imena i lozinke za pristup informacionom sistemu. U drugim slučajevima koriste se razne tehnike probijanja korisničkih lozinki različitim alatima napravljenim za ovu namenu, od kojih su najpoznatiji john the ripper i l0pht crack.

Najvažniji koraci u zaštititi korisničkog naloga

Zato je prilikom zaštite korisničkog naloga posebno važno obratiti pažnju na nekoliko stvari koje se odnose na upravljanje korisničkim nalozima. Prvo, potrebno je uvek raditi s grupama a ne s pojedinačnim korisnicima, jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima, a ne pojedinačnim korisnicima. Drugo, neophodno je neprestano pratiti korisničke naloge, što podrazumeva logovanje svih aktivnosti korisnika na sistemu.

Treći važan korak zahteva da se posebno vodi računa o neaktivnim nalozima koji postoje na sistemu, jer hakeri mogu da ih reaktiviraju na različite načine. Poslednja ali možda i najbitnija mera predostrožnosti odnosi se na takozvane Shared accounts naloge, koje više ljudi koristi za pristup nekim resursima. Primera radi, kupi se samo jedna licenca nekog programa a potom se loguje više ljudi preko istog korisničkog imena i lozinke, po potrebi. Stoga stručnjaci preporučuju da se izbegava korišćenje ovakvih naloga, izuzev kada ne postoji druga mogućnost zbog skupih licenci.

Sprečavanje otkrivanja lozinke

Pored zaštite samog korisničkog naloga, potrebno je preduzeti mere koje će sprečiti, ili makar otežati otrkrivanje lozinke. Prvo o čemu bi trebalo da vodimo računa jeste neophodni minimum složenosti lozinke (Password strength) da bismo je zaštitili, odnosno koje elemente bi obavezno morala da sadrži (mala slova, velika slova, brojevi i specijalni simboli). Druga mera se odnosi na isticanje (Expiration) korisničkog naloga ili lozinke, a njena prednost se ogleda u tome što zahteva od korisnika da periodično promeni svoju lozinku, ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.

Treći preventivni korak jeste podešavanje koliko se puta može ponovo postaviti ista lozinka (Password history/reuse). Na ovaj način se onemogućava da korisnici stalno ponavljaju nekoliko istih lozinki, što ujedno otežava rad sajber napadaču na otkrivanju šifre. Još jedna važna mera odnosi se na minimalnu dužinu lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi najmanje 8 karaktera, a za naloge administratora i privilegovane naloge najmanje 12 karaktera.

Mera koja efikasno sprečava online napade poznata je kao Lockout i podrazumeva da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog na određeni period, što praktično onemogućava online napad grubom silom. Podsetimo da je sam MS Windows operativni sistem podešen tako da se nakon pet pogrešnih pokušaja unošenja lozinke nalog zaključa na 3 do 5 minuta, a ovi parametri se mogu menjati po potrebi.

Ono o čemu bi, takođe, trebalo povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery), bilo da je taj proces automatizovan preko nekog portala, ili se za te potrebe poziva odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti: ukoliko se oporavak lozinke vrši automatski, neko može pokušati da promeni šifru postojećeg korisnika; u slučaju da sistem nije automatizovan već to radi čovek, mogu se koristiti tehnike socijalnog inženjeringa kako bi se on prevario i promenio lozinku.

Kako se hakuje lozinka?

Kada govorimo o načinima koji se koriste za otkrivanje lozinki, potrebno je najpre da se taj proces razdvoji u odnosu na to da li onaj koji to radi ima pristup samom sistemu (online) ili je uspeo da iskopira fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađuje (offline).

Postoji više metoda koje se koriste za otkrivanje lozinke. To može biti pogađanje na osnovu podataka koje onaj koji hakuje zna o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično), ili tako što će pratiti šta korisnik radi na računaru i pokušati da sazna i lozinku koju unosi na tastaturi.

Druga tehnika, sniffing, može se koristiti samo ako je lozinka u čistom (clear) tekstu, u suprotnom će haker doći samo do onih podataka koji mu neće biti od koristi. Ukoliko koristi metodu dictionary, potrebno je da ima dobar rečnik za različite jezike, a što je rečnik sveobuhvatniji to su šanse za otkrivanje lozinke veće, ali ne i sigurne jer ako se u lozinci ne nalazi smislena reč, neće biti moguće naći odgovarajuću vrednost.

Još jedna tehnika koja se primenjuje jeste gruba sila (brute force), koja je vremenski izuzetno zahtevna jer je nužno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, što može potrajati i nekoliko vekova.

Šta izbegavati, a šta primeniti

Na osnovu analiziranih rizika, vrlo je važno da se korisnici pridržavaju nekoliko ključnih uputstava. Pre svega, nikada ne treba koristiti istu lozinku na više različitih mesta, jer ako neko uspe da je otkrije na jednom, sigurno će pokušati da isproba istu lozinku na drugom mestu. Lozinka se ne sme zapisivati na papiru i ostaviti ispod tastature, ili što je još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete lozinku, čuvajte je kod sebe u novčaniku ili negde gde može biti pod ključem). Prilikom odabira lozinke, treba voditi računa da se ne unose smislene reči koje je moguće otkriti upotrebom rečnika, kao i da se koristi složena lozinka sa svim potrebnim elementima i dužinom koja ne sme biti manja od 8 karaktera.

Veoma je bitno da se lozinka ne unosi na stranici koja nema sertifikat, a što se može videti kroz zeleni katanac s leve strane u internet pretraživaču – u suprotnom, ne treba unositi podatke. Lozinka se ne sme slati nikada niti bilo kome elektronskom poštom ili otkrivati u razgovoru telefonom, jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe, moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.

Potrebno je da se koristi program za upravljanje lozinkama – Password manager je aplikacija čija je osnovna namena da čuva vaše različite šifre za pristupanje raznim sajtovima i aplikacijama. Osnovna ideja jeste da imate jedan glavni master ključ koji koristite za logovanje na Password menadžer aplikaciju i dovoljno je da upamtite samo njega, jer će se za sve ostale šifre brinuti sama aplikacija.

Na kraju, potrebno je istaći da i pored svih tehničkih metoda zaštite uvek postoji rizik da zaposleni u kompaniji budu prevareni i da zato nenamerno otkriju korisničko ime i lozinku sajber napadaču. Da bi se ta opasnost sprečila, neophodno je sprovoditi stalnu edukaciju zaposlenih (security awareness training), kako bi bili upoznati sa najnovijim sigurnosnim pretnjama i kako ne bi nasedali na trikove sajber napadača koji postaju sve sofisticiraniji.


Tekst je objavljen u majskom izdanju časopis Biznis & Finansije 2018

2 коментара:

  1. Ako vam je potrebna usluga pouzdanog hakera za hakiranje baze podataka mobitela ili sustava, brisanje kriminalnih dosijea ili vraćanje ukradenog Bitcoina, obratite se easybinarysolutions@gmail.com ili whatsapp: +1 3478577580 koji su vrlo pouzdani i povjerljivi..

    ОдговориИзбриши
    Одговори
    1. TRADING SCAM ALERT

      Crypro Trading, Forex Trading, Stock Trading and their likes are a means of making money but it’s more like gambling. There are no sure means to guarantee that a person could make profit with them and that’s why it can also be reasoned to be scam. Let’s not forget that some individuals even give you % guarantee of making profits and end up running away with your money.

      You might have also come across some individuals that say they will give you guarantee on successful trades but they only end up as SCAMMERS as well. You here them say stuffs like 200% guaranteed in just 2 weeks and when you go into trade with them, they start telling you to pay profits percentage before you can get your income. These are all liars please avoid them. But if you have been a victim of this guys, then you should contact FIRMWARE now

      The internet today is full of Recovery Scam, you see so much testimonies been shared about how a firm or Company helped them recover what they lost to this Trading, but believe it, it’s just a way to lure more people and end up scamming them.


      The big Question is “Can someone Recover their money lost to Binary Option and Scam
      I will say yes, and will tell you how.

      The only way to Recovery your money back is by hiring HACKERS to help you break into the Firms Database Security System using the information you provide them with, Extract your file and get back your money. It seems like a really impossible thing to do, I will tell you, it should be impossible, but with the use of specially designed softwares known to HACKERS and Authorities (such as The FBI, CIA e.t.c) it is possible and the only way to recover your money.

      FIRMWARE are a group of hackers who use their hacking skill to hunt down SCAMMERS and help individuals recovery their money from Internet SCAMMERS.
      We just need the contact details of the SCAMMERS and Paymnet Info and within 4-8 hours your money will be return to you.

      This are services we offer-:
      Crypto scam money recovery
      lost loan money recovery
      money laundry recovery
      Device hack
      Bank issues
      Access to school/company/fellowship/organization files
      Lost cars tracking
      fraud payment
      Access to cheating husband/wife device
      . Loextending and subtracting of stamped file concerning a giving end line period of time
      tracing and recovering lost emails/ conversations/contacts / and accessories
      ETC


      You can contact us via the emails below-:
      cyberhackingcompany@gmail.com

       HACKERS ©️
      2022 All right reserved ®️

      Избриши