Теме

Jake osnove: Obezbeđivanje naloga i uređaja

Bezbedni nalozi: Lozinke i dvostruka potvrda identifikacije

U današnjem svetu vaša organizacija i njeno osoblje verovatno imaju desetine, ako ne i stotine naloga koji bi, ukoliko neko u njih upadne, mogli da otkriju osetljive informacije ili čak dovedu u opasnost neke pojedince. Pomislite na sve moguće naloge koje pojedinci ili organizacija mogu imati: imejl, aplikacije za četovanje, društvene mreže, elektronsko bankarstvo, skladištenje podataka na klaudu… i prodavnice odeće, lokalne picerije, novine i bilo koji drugi sajt ili aplikacija na koju se prijavite. Solidna bezbednost u današnjem svetu zahteva temeljan pristup kako bi se svi nalozi zaštitili od napada. Za početak je potrebno uspostaviti dobru higijenu lozinki i upotrebu dvostruke potvrde identiteta na nivou cele organizacije.

Šta čini jednu lozinku dobrom?

Postoje tri elementa dobre, jake lozinke: dužina, nasumičnost i jedinstvenost

Dužina:

Što je lozinka duža to je teže za protivnika da je pogodi. Danas većinu hakovanja lozinki obavljaju kompjuterski programi i njima ne treba mnogo da provale kratku lozinku. Zbog toga, od suštinskog je značaja da vaše lozinke imaju bar 16 znakova ili bar 5 reči, a po mogućstvu budu i duže.

Nasumičnost:

Čak i ukoliko je lozinka dugačka, nije dobra ako se odnosi na nešto o vama što protivnik može lako da pogodi. Nemojte za lozinku koristiti informacije poput sopstvenog rođendana, mesta rođenja, omiljenih aktivnosti, ili drugih činjenica koje neko može da sazna o vama ako vas izgugla na pet minuta.

Jedinstvenost:

Možda najuobičajenija loša praksa po pitanju lozinki je korišćenje iste na više internet sajtova. Ponavljanje lozinki je veliki problem pošto u tom slučaju provaljivanje jednog naloga znači da su i svi ostali dovedeni u opasnost. Ukoliko koristite istu lozniku na više sajtova, to može značajno povećati efekat jedne greške ili proboja podataka. Dok vas možda nije briga za lozinku koju koristite za vašu opštinsku biblioteku, ukoliko je hakuju a istu lozniku koristite na osetljivijem nalogu, mogu vam ukrasti važne informacije.

Jedan od načina da istovremeno obezbedite dužinu, nasumičnost i jedinstvenost jeste da odaberete tri ili četiri uobičajene ali nasumične reči. Na primer, vaša lozinka bi mogla biti „cvet lampa zeleni medved” što je lako zapamiti, ali teško pogoditi. Možete da pogledate ovu stranicu firme Better Buys da biste videli koliko brzo loše lozinke mogu da budu provaljene.

Koristite program za upravljanje lozinkama (Password Manager)

Sad znate da je važno da svako u organizaciji koristi duge, nasumične i različite lozinke za svaki od svojih ličnih i profesionalnih naloga, ali kako da to zaista i postignete? Pamćenje dobrih lozinki za desetine (ako ne i stotine) naloga je nemoguće, tako da svi moraju da varaju. Pogrešan način da to odradite je da više puta koristite istu lozinku. Na sreću, možemo se okrenuti programima za upravljanje lozinkama kako bi sebi olakšali život (i učinli prakse po pitanju lozinki mnogo bezbednijim). Ove aplikacije, od kojih mnogima možete pristupiti i na kompjuteru i na mobilnom telefonu, mogu da kreiraju, sačuvaju lozinke i upravljaju istima na nivou cele vaše organizacije. Uvođenje bezbednog programa za upravljanje lozinkama znači da ćete morati da zapamtite samo jednu veoma jaku dugu lozinku koja se naziva primarnom (nekad ranije i glavnom), a da istovremeno možete da imate bezbedne jedinstvene lozinke na svim nalozima. Ovu primarnu lozinku (i verovatno drugi faktor potvrde identiteta, tzv. 2FA koji ćemo predstaviti u sledećem odeljku) ćete koristiti kako biste otvorili svoj program za upravljanje lozinkama i otključali pristup svim drugim lozinkama. Ove programe takođe može deliti više osoba kako bi se olakšalo bezbedno deljenje lozinki na nivou cele organizacije.

Zašto moramo da koristimo nešto novo? Zar ne možemo samo da ih zapišemo na parčetu papira ili unesemo u tabelu na kompjuteru?

Nažalost, postoji mnogo uobičajenih pristupa upravljanju lozinkama koji nisu bezbedni. Ukoliko lozinke zapisujete na papiru (a taj papir ne zaključavate u sef) izlažete ih fizičkoj krađi, tuđim pogledima i lako ih možete izgubiti ili oštetiti. Ako lozinke čuvate u dokumentu na kompjuteru time samo olakšavate posao hakeru - ili pak nekom ko vam ukrade kompjuter dajete pristup ne samo vašem uređaju već i svim vašim nalozima. Korišćenje dobrog programa za upravljanje lozinkama je podjednako lako kao upisivanje u lozinki u dokument, samo mnogo bezbednije.

Zašto bi trebalo da verujemo programu za upravljanje lozinkama?

Kvalitetni programi za upravljanje lozinkama ulažu velike napore (i zapošljavaju odlične bezbednosne timove) kako bi njihovi sistemi bili bezbedni. Dobre aplikacije za upravljanje lozinkama (nekoliko smo preporučili u nastavku teksta) su takođe tako dizajnirane da ne mogu da „otključaju čvaše naloge. To znači da u većini slučajeva, čak i ukoliko ih hakuju ili zakonski primoraju da predaju informacije, ne bi bili u stanju da izgube ili predaju vaše lozinke. Takođe je važno zapamititi da je beskonačno verovatnije da će protivnik pogoditi jednu od vaših slabih ili ponovljenih lozinki, ili naći neku od njih u javnom proboju podataka, nego da će neko probiti bezbednosni sistem dobrog programa za upravljanje lozinkama. Važno je da budete skeptični i svakako ne bi trebalo da slepo verujete svakom programu ili aplikaciji, ali programima za upravljanje lozinkama sa dobrom reputacijom je u interesu da vas ne prevare.

A šta je sa čuvanjem lozinki u internet pretraživaču?

Čuvanje lozinki u pretraživaču nije isto kao upotreba bezbednog program za upravljanje lozinkama. Ukratko, ne bi trebalo da koristite Chrome, Firefox, Safari ili bilo koji drugi pretraživač za čuvanje lozinki. Iako su oni definitivno bolje rešenje od zapisivanja lozinki na papiru ili unošenja istih u Excell tabelu, bazično tehničko rešenje za čuvanje lozinki koje vaš pretraživač koristi nije baš idealno sa aspekta bezbednosti. Tako takođe gubite mnoge prednosti koje dobar program za upravljanje lozinkama može da pruži vašoj organizaciji. Ako ostanete bez tih prednosti, verovatnije je da će ljudi na svim nivoima organizacije nastaviti da kreiraju slabe lozinke i nebezbedno ih dele sa drugima.

Na primer, za razliku od specijalizovanih programa za upravljanje lozinkama, pretraživačeva ugrađena „sačuvaj ovu lozinku“ ili „zapamti ovu lozinku“ funkcija ne funkcioniše podjednako na mobilnim uređajima ili na različitim pretraživačima, niti poseduje jake alatke za kreiranje i reviziju lozinki. Ove funkcionalnosti predstavljaju veliki deo onoga što program za upravljanje lozinkama čini tako korisnim i dobrim za bezbednost vaše organizacije. Programi za upravljanje lozinkama takođe obuhvataju i specifične funkcionalnosti za potrebe organizacija (kao što je deljenje lozniki) koje se ne odnose samo na bezbednost pojedinaca, već poseduju vrednost sa aspekta bezbednosti organizacije u celini. 

Ukoliko ste čuvali lozinke u pretraživaču (namerno ili nenamerno), odvojite momenat da ih uklonite.

Save Password boxbitwarden

Umesto da koristite pretraživač (poput Chrome-a prikazanog na levoj strani) za čuvanje lozinki, koristite posebni program za upravljanje lozinkama (kao što je BitWarden, prikazan na desnoj strani). Programi za upravljanje lozinkama imaju funkcionalnosti koje čine život bezbednijim i lakšim za vašu organizaciju.

Koje programe za upravljanje lozinkama bi trebalo da koristimo?

Postoje mnoge dobre alatke za upravljanje lozinkama koje mogu biti instalirane i pokrenute za manje od pola sata. Ako tražite pouzdanu onlajn opciju za vašu organizaciju kojoj ljudi mogu da u bilo kom momentu pristupe sa više uređaja, 1Password (sa početnom cenom od $2,99 po korisniku mesečno) ili besplatni open-source BitWarden imaju dobru podršku i toplo ih preporučuju. 

Onlajn opcija kao što je BitWarden može istovremeno biti odlična za bezbednost i laka za korišćenje. BitWarden, na primer, će vam pomoći da kreirate jedinstvene jake lozinke i pristupite im sa više uređaja preko ekstenzija za pretraživač i mobilne aplikacije. Sa plaćenom verzijom ($10 za celu godinu) BitWarden takođe izveštava o više puta korišćenim, slabim i potencijalno provaljenim lozinkama kako biste bili u toku sa razvojem situacije. Jednom kad upišete svoju primarnu (ili glavnu) lozinku, takođe bi trebalo da uključite dvostruku potvrdu identiteta kako biste maksimalno zaštitili memoriju svog programa za upravljanje lozinkama.

Od suštinskog je značaja da se i prilikom upotrebe programa za upravljanje lozinkama pridržavate pravila bezbednosti. Na primer, ako koristite ekstenziju za pretraživač ili se ulogujete u Bitwarden (ili bilo koji dugi program za upravljanje lozinkama) na vašem uređaju, setite se da se odjavite nakon upotrebe ako delite taj uređaj sa nekim drugim ili verujete da postoji povećani rizik od fizičke krađe uređaja. Ovo podrazumeva i odjavljivanje sa naloga za upravljanje lozinkama i ukoliko ostavite kompjuter ili mobilni telefon bez nadzora. Ukoliko delite lozinke u okviru organizacije, postarajte se da obustavite pristup lozinkama (i promenite ih) kad neko napusti organizaciju. Na primer, ne želite da bivši zaposleni ima lozinku za pristup Facebook stranici vaše organizacije.

Šta ako neko zaboravi svoju primarnu lozinku?

Od suštinskog je značaja da zapamtite svoju primarnu lozinku. Dobri programi za upravljanje lozinkama poput gorenavedenih neće pamtiti primarnu lozinku niti vam dozvoliti da je resetujete direktno putem mejla kao što je moguće na internet sajtovima. Ovo je dobro sa aspekta bezbednosti, ali je zbog toga od ključnog značaja da zapamtite svoju primarnu lozinku kad po prvi put instalirate program. Kako biste to lakše postigli, možda možete da zakažete dnevne podsetnike da biste se setili svoje primarne lozinke kad budete po prvi oput pravili nalog u programu za upravljanje lozinkama.

Napredna lekcija: Korišćenje programa za upravljanje lozinkama u vašoj organizaciji

Možete unaprediti postupanje po pitanju loziniki na nivou cele organizacije i postarati se da svi članovi osoblja imaju pristup programu za upravljanje lozinkama (i koriste ga) tako što ćete jedan takav program uvesti na nivou cele organizacije. Umesto da svaki pojedinačni član osoblja otvara svoj nalog, razmotrite da kupie „timski“ ili „poslovni“ paket. Na primer, BitWarden-ov „timski organizacioni“ paket košta $3 po korisniku mesečno. Sa njim (ili drugim timskim paketima programa za upravljanje lozinkama kao što je 1Password), možete da upravljate svim deljenim lozinkama na nivou organizacije. Funkcionalnosti programa za upravljanje lozinkama na nivou organizacije ne samo da pružaju veću bezbednost već i pogodnosti za osoblje. Možete bezbedno da delite akreditive unutar samog programa sa različitim korisničkim nalozima. A BitWarden, na primer, u okviru svog timskog paketa takođe obezbeđuje zgodnu funkcionalnost za obostrano šifrirano slanje teksta i fajlova koja se zove „BitWarden Send“. Ovakve funkcionalnosti vašoj organizaciji daju veći stepen kontrole nad tim ko može da vidi i deli koje lozinke, i obezbeđuje bezbedniju opciju za deljenje akreditiva za timske ili grupne naloge. Ukoliko instalirate program za upravljanje lozinkama na nivou cele organizacije, postarajte se da neko bude posebno zadužen za to da briše naloge osoblja i menja bilo koje zajedničke lozinke kad neko napusti tim.

Two Factor Authentication

Šta je dvostruka potvrda identiteta?

Koliko god da ste oprezni sa lozinkama, hakeri veoma često umeju da ih zaobiđu. Da biste svoje naloge sačuvali od današnjih uobičajenih pretnji potreban vam je još jedna nivo zaštite. Tu u priču ulazi dvostruka potvrda identiteta ili 2FA (akronim engleskih reči „two factor authentication“ /prim.prev./).

Postoje brojni odlični vodiči i resursi koji objašanjavaju dvostruku potvrdu identiteta, među kojima i članak Martina Šeltona pod nazivom Two Factor Authentication for Beginners (Dvostruka potvrda identiteta za početnike) i Election Cybersecurity 101 Field Guide (Terenski vodič za osnovnu sajber bezbednost tokom izbora) Centra za demokratiju i tehnologiju. Ovaj odeljak koristi oba ova resursa kako bismo lakše objasnili zašto je tako važno uvesti 2FA na nivou cele organizacije. 

Ukratko, 2FA povećava bezbednost naloga tako što vam je potreban dodatni podatak - ne samo lozinka - da biste dobili pristup. Taj drugi podatak je obično nešto što dobijete, poput broja za autorizaciju sa aplikacije na vašem telefonu ili fizičkog tokena ili ključa.  Ovaj drugi podatak predstavlja drugu liniju odbrane. Ako vam haker ukrade lozinku ili je nađe u gomili lozinki koja je provaljena tokom masovne povrede podataka, delotvorna 2FA može da ga spreči da pristupi vašem nalogu (i samim tim privatnim i osetljivim podacima). Od kritične je važnosti da svi u organizaciji uključe dvostruku potvrdu identiteta na svojim nalozima.

Kako možemo da uključimo dvostruku potvrdu identiteta?

Postoje tri uobičajene metode za 2FA: sigurnosni ključevi, aplikacije za potvrdu identiteta i jendokratni brojevi za autorizaciju koji se šalju preko SMS-a.

Sigurnosni ključevi

Sigurnosni ključevi su najbolja opcija, delom i zato što su potpuno neprobojni sa aspekta ’’fišinga’’ (phishing). Ovi „ključevi2 su hardverski tokeni (nalik na male USB-e) koje možete prikačiti na privezak za ključeve (ili mogu stalno biti uključeni u kompjuter) kako ih ne biste izgubili. Kad dođe momenat da uz pomoć tog ključa otključate neki nalog, jednostavno ga ubacite u uređaj i fizički ga kucnete kad za to dobijete uputstvo tokom prijavljivanja.  Postoji čitav niz modela koje možete kupiti preko interneta (za 20-50 dolara),
укључујући веома цењене Yubikeys. Wirecutter, internet stranica Njujork tajmsa za ocenjivanje proizvoda, ima koristan vodič sa preporukama za kupovinu ključeva. Imajte na umu da isti ključ može da se koristi za koliko god želite naloga. Dok su ovi ključevi malo preskupi za mnoge organizacije, inicijative poput Google-ovog Programa za naprednu zaštitu ili Microsoft-ovog AccountGuard ove ključeve besplatno dele ugroženim grupama koje ispunjavaju određene kriterijume. Kontaktirajte one koji su vam dali ovaj priručnik kako biste videli da li mogu da vas povežu sa takvim programima ili nam pišite [email protected].

Sigurnosni ključevi u stvarnom svetu

A hand holding an actual key with a key ring attached to a 2 f a device

Obezbeđivanjem fizičkih ključeva za dvostruku potvrdu identiteta za svih svojih 85 i više hiljada zaposlenih, Google (veoma visoko rizična organizacija koja je stalno meta napada) je zapravo eliminisao mogućnost uspešnih pecaroških (phishing) napada na organizaciju. Ovaj slučaj pokazuje koliko delotvorni sigurnosni ključevi mogu biti čak i u najugroženijim organizacijama.

Authentication Apps

Druga najbolja opcija su aplikacije za potvrdu identiteta. One vam dozvoljavaju da primite privremenu šifru za prijavljivanje preko mobilne aplikacije ili push notifikacije na vašem pametnom telefonu.  Neke popularne i pouzdane opcije uključuju Google Authenticator, Authy i Duo Mobile.  Aplikacije za potvrdu identiteta su sjajne i zato što rade i kad nemate pristup mreži mobilne telefonije i besplatne su za pojedince. Međutim, one su podložnije fišingu od sigurnosnih ključeva jer korisnici mogu biti prevareni da šifru iz aplikacije ukucaju na lažnoj internet stranici. Pazite da šifre za prijavljivanje unosite samo na legitimnim sajtovima. I ne prihvatajte push notifikacije za prijavljivanje osim ako niste sigurni da ste poslali zahtev za prijavu. Takođe je od suštinskog značaja da prilikom upotrebe ovakvih aplikacija da imate rezervnu kopiju šifri (objašnjenje u daljem tekstu) u slučaju da izgubite telefon ili vam ga ukradu.

Codes via SMS

Najnebezbedniji ali nažalost najuobičajeniji oblik 2FA su brojevi za autorizaciju koji se šalju preko SMS poruka. Pošto se SMS može presresti, a brojevi telefona mogu biti lažirani ili hakovani preko vašeg mobilnog operatera, ovakve poruke nisu baš najsrećniji metod za traženje 2FA šifri. To jeste bolje nego da koristite samo lozinku, ali preporučujemo da ako je ikako moguće koristite aplikacije za potvrdu identiteta ili fizičke sigurnosne ključeve. Uporni protivnik može da dobije pristup SMS brojevima za dvostruku potvrdu identiteta, obično samo tako što može pozvati telefoniju i zameniti vašu SIM karticu.

Kad budete spremni da uključite 2FA na svim nalozima svoje organizacije, iskoristite ovu internet stranicu (https://2fa.directory/) da biste videli sažeti pregled informacija i uputstava za različite servise (kao što su Gmail, Office 365, Facebook, Twitter, itd) kao i koji dozvoljavaju koju vrstu 2FA.

2FA i civilno društvo

Image of a phishing website

Po nedavnom izveštaju organizacije Amnesty International, hakeri koji su napadali branitelje ljudskih prava u Uzbekistanu su koristili fišing (phishing) napade kako bi prevarili korisnike da s njima podele svoje lozinke *kao i* šifre za dvostruku potvrdu identiteta na njihovim imejl nalozima preko lažnih stranica za prijavu. Takvi napadi su sve češći način da se zaobiđe dvostruka potvrda identiteta. Važno je - čak i ako ste uključili opciju dvostruke potvrde identiteta - da pazite gde ukucavate šifre. Ili, još bolje, možete u potpunosti da eliminišete taj rizik upotrebom fizičkih ključeva.

Šta ako neko izgubi 2FA uređaj?

Ako je u pitanju sigurnosni ključ, mislite o njemu kao o svom kućnom ključu, ako ga imate. Ukratko, nemojte ga izgubiti. Međutim, isto kao u slučaju ključeva od kuće, nije loše imati rezervni ključ prijavljen na vaš nalog koji ćete zaključati na nekom bezbednom mestu (kao npr. kućnom ili bankovnom sefu) za slučaj gubitka ili krađe.  

Alternativno bi trebalo da (na nalozima na kojima je to moguće) kreirate rezervne šifre. Trebalo bi da ih čuvate na veoma bezbednom mestu, npr. u programu za upravljanje lozinkama ili u fizičkom sefu. Takve rezervne šifre je moguće generisati na većini sajtova koje nude uslugu dvostruke potvrde identiteta (na istom mestu gde ste i uključili opciju 2FA) i mogu funkcionisati kao rezervni ključevi u hitnoj situaciji. 

Do najuobičajenijih problema sa 2FA dolazi kad ljudi izgube ili zamene telefone na kojima imaju aplikaciju za potvrdu identiteta. Ukoliko koristite Google Authenticator nemate sreće ako vam ukradu telefon, osim ako niste sačuvali rezervne šifre koje se generišu kad neki nalog povežete sa Google Authenticator-om. Stoga, ako koristite Google Authenticator kao aplikaciju za dvostruku potvrdu identiteta, postarajte se da čuvate rezervne šifre za sve naloge koje ste povezali na sigurnom mestu.  

Ako koristite Authy ili Duo, ove ove aplikacije imaju funkcionalnosti za kreiranje bekapa sa jakim bezbednosnim podešavanjima koje možete da uključite. Ako izaberete ijednu od ove dve aplikacije možete konfigurisati ove opcije za bekapovanje u slučaju da vam se telefon pokvari, ukradu ga ili ga izgubite. Vidite uputstva za Authy ovde i Duo ovde.

Postarajte se da su svi u vašoj organizaciji upoznati sa ovim dok budu uključivali 2FA na svojim nalozima.

Napredna lekcija: Primena 2FA na nivou cele organizacije

Ukoliko vaša organizaicja obezbeđuje imejl naloge za celokupno osoblje preko platformi Google Workspace (prethodno poznate kao GSuite) ili Microsoft 365 i koristi svoj domen (na primer, @ndi.org), možete uključiti 2FA i stroge mere bezbednosti za sve naloge. To ne samo da štiti ove naloge, već i upoznaje vaše osoblje sa dvostrukom potvrdom identiteta i čini je normalnim delom svakodnevnog rada, tako da će je lakše usvojiti i za svoje privatne naloge. Kao administrator Google Workspace-a, možete pratiti sledeća uputstva kako biste uveli 2FA za svoj domen. Možete nešto slično uraditi i u okviru Microsoft 365 kao admin domena ako pratite ove korake. 

Takođe razmislite o tome da ubacite naloge svoje organizacije u Program za naprednu zaštitu (Google) ili AccountGuard (Microsoft) kako biste dodatno kontrolisali bezbednost i uveli fizičke sigurnosne ključeve za dvostruku potvrdu identiteta.

Bezbedni nalozi

  • Uvedite obavezu jakih lozinki za sve naloge koji pripadaju organizaciji; podstaknite osoblje i volontere da isto urade i na svojim privatnim nalozima.
  • Uvedite pouzdani program za upravljanje lozinkama na nivou organizacije (i podstaknite osoblje da ga koristi i u privatnom životu).
    • Uvedite obavezne jake lozinke i dvostruku potvrdu identiteta za sve naloge programa za upravljanjem lozinkama.
    • Podsetite sve da se odjavljuju iz programa za upravljanje lozinkama na zajedničkim uređajima ili kad postoji veći rizik od krađe ili konfiskacije uređaja.
  • Promenite zajedničke lozinke kad god neko napusti organizaciju.
  • Delite lozinke samo na bezbedni način, na primer preko programa za upravljanje lozinkama ili aplikacija sa obostranom enkripcijom.
  • Uvedite obaveznu dvostruku potvrdu identiteta na svim nalozima koji pripadaju organizaciji i podstaknite osoblje da je uključe i za sve privatne naloge.
    • Po mogućstvu celokupnom osoblju nabavite fizičke sigurnosne ključeve.
    • Ukoliko nemate sredstava za ove ključeve, ohrabrite upotrebu aplikacija za potvrdu identiteta umesto SMS poruka ili telefonskih poziva.  
  • Održavajte redovne sastanke kako biste se postarali da je osoblje upoznato sa najboljim praksama sa aspekta lozinki i dvostruke potvrde identiteta, uključujući i elemente jake lozinke i značaj korišćenja drugačijih lozinki za svaki nalog, prihvatanja samo legitimnih zahteva i kreiranja rezervnih šifara za dvostruku potvrdu identiteta.