Kako kreirati lozinke (uputstvo za mazohiste)
![[datum]](/sajt/slike/datum.png){kind=small}
2010-06-15
Ovo je tekst sa starog bloga i totalno mi je simpatičan pa sam odlučio da ga ubacim i ovde. Uživajte u "uputsvu za ludake" :)
Budući da smo danas okruženi raznim sajtovima koji nude zabavu "instant iz kesice" javlja se sve veći broj korisnika koji mnogo neozbiljno shvataju lozinke i sigurnosna pitanja. Ovaj tekst će se osvrnuti na neke interesantne činjenice i savete vezane za ovaj problem.
Prvo što bih naglasio jeste edukacija! Ako ja objasnim mom bratu da lozinke na Facebook-u i Twitteru ne treba da budu "kuf93" onda smo jedan korak bliže tome da moj brat razvije svest o tome šta su lozinke i kako ih pravilno koristiti. Svi se secamo Yahoo mail servisa kada je tek poceo sa radom. Svi smo zeleli da imamo nas mail i sve sto ste trebali uciniti jeste da prodjete (relativno) bezbolnu registraciju. Tada niko nije pricao o tome koliko je bitno koristiti RaZNOlike K@r4kt3R3 prilikom kreiranja lozinki dok danas svaki servis savetuje da bi to trebalo da bude kombinacija slova (malih i velikih), brojeva i ostalih karaktera. Sta to znaci? To znaci da lozinke u danasnje vreme ne bi, ni pod stavkom razno, trebale biti oblika "MOJE_IME_godina rodjenja" niti "djurina_maca_koja_se_vere_na_drvecu".
Nemojmo se zavaravati: ako je neko dobar kreker (en: cracker) on ce vam srusiti ono sto pozeli. Administartori, servisa koje koristite, ce se baviti sigurnoscu i zastitom a korisnik moze da pomogne tako sto ce se edukovati o tome sta znaci zastiti svoj nalogna korisnickom nivou. Pod ovim podrazumevam prvenstveno zastitu naloga standardnim mehanizmima.
# Kako napraviti dobru lozinku
Dacu vam 2 primera lozinki koje se secto koriste (koje sam ja licno vidjao):
-primer #1: "MaJa88"
-primer #2: "Djurina_slatka_cupava_maca_jefimija"
Primer #1 sadrzi kombinaciju od 4 slova i 2 broja. Ovo dobro izgleda medjutim ovoj lozinci nedostaju "ostali karakteri" poput !"#$%/()=?*\|EUR@{}[]... Takodje je evidentno da ovakva lozinka predstavlja suvise jednostavan sablon po kome se pisu lozinke ;)
Primer #2 sadrzi kombinaciju od 31 slova i 3 specijalna znaka (karakter "_"). Neko bi rekao da je duzina lozinke sasvim dobra ali imajte na umu da je duzina bitna ali predugacke lozinke, koje sadrze samo slova, se lako provaljuju pa sadrzale i 550 karaktera ;)
Primer #1 mozemo da unapredimo tako sto cemo da dodamo specijlane karaktere i malo istumbamo redosled slova i brojeva. Evo par primera:
- "_ma8JA8_"
- "MA_MAjA8_8_JA"
- "88_maja_\0/"
Glupi primeri? SIgurno su daleko bolji od prvog primera. Obratite paznju na to da umesto slova mozete koristiti i brojeve pa tako "_ma8JA8_" moze postati "_m48JA8_". Problemi? Pa lozinka se moze "zaciniti" sa mnogim karakterima. Evo primera zanimljive lozinke:
- "D-u5i_0sam8"
Ova lozinka se "prevodi" u rec "Djusi_88" ("D-"="?", 5=S, 0sam=8). Ova lozinka sadrzi sve sto bi trebala jedna jaca lozinka da sadrzi:
-dobru ideju (dooh)
-kombinaciju slova, brojeva i specijalnih karaktera
-dobru duzinu
Ovakava lozinka je dobra! Ideja je dobra, duzina je dobra, kombinacija karaktera je dobra. Sada se pitate zasto je sve to "samo" dobra lozinka? Pa jaka i kvalitetna lozinka bi morala da sadrzi mnogo kompleksnije pojmove. Praktican primer: par ljudi mene zove "Djusi". Ako taj neko odluci da provali moju lozinku lako ce doci do zakljucka da postoji velika sansa da ja koristim rec "Djusi" unutar same lozinke. Sve sto treba da uradi jeste da pokrene neki od programa (koji su danas lako dostupni na internetu) i da unese neke parametre i eto ga. Sifra je probijena i moj nalog je ranjiv. Sta sada? Predjite na sledece poglavlje ovog teksta :)
# Kako napraviti odlicnu lozinku
Prvo cu da nalgasim: duzina lozinke, upotreba raznih karaktera i dobra ideja su i dalje kljucin sastav vase lozinke! Sada cu vam dati ideju o nacinu na koji mozete razmislajti kako bi kreirali bolje lozinke.
Svako od nas moze da sklopi recenicu koja se lako pamti zar ne? Recimo da recenica ima 5 reci. Da li ste razmisljali o tome da koristite tu recenisu kao lozinku? Naravno, ne mislim na to da ukucate kompletnu recencu vec samo neke njene delove? Zbunjeni? Evo primera: Ja mnogo volim recenciu "Precica je najvece rastojanje izmedju 2 tacke". U ovoj recenici imamo 7 reci. Od ovakve recenice ja mogu napraviti lozinku koja ce sadrzati prva 2 karaktera svake reci. Rezultat:
Vau... Vec izgleda tesko zar ne? Ajde da malo zacinimo tu lozinku tako sto cemo da promenimo slovo "a" u "@":
Huh... Vec je teska ali imajte u vidu da vi znate kako glasi vasa recenica stoga cete je lako i pamtiti!
Sta ce biti ako promenimo crtice u brojeve prema kome se nalaze u reci? Dakle prva crtica postaje broj "1", druga crtica postaje "2"...
Mozemo i slovo "I" da prebacimo u "!":
Prva 2 slova posle svakog parnog broja mozemo da prebacimo u velika slova:
Dosta. Ovakva lozinka ce namuciti sve koji zele da je provale a vi ipak mozete da budete sigurni da ste dali sve od sebe prilikom kreiranja ove lozinke. Ovakva lozinka sadrzi sve sto vam treba:
-odlicnu ideju (karakteri su "nabacani" i nemaju mnogo smilsa nikome osim vas)
-odlucnu duzinu (preko 15 karaktera)
-odlicnu kombinaciju karatera (slova, brojevi+ specijalni karakteri
-lako se pamti (vi znate kako glasi recenica i znate koje ste metode koristili prilikom kreiranja ove lozinke)
Pod "lako se pamti" podrazumevam cinjenicu da ste vi kreirali tu lozinku stoga je samo vi lako mozete pamtiti ;)
Paznja: Neke lozinke ne mogu da sadrze sve karaktere! Ovo zavisi prvenstveno od vrste aplikacije i od nacina na koji se cuvaju lozinke. Vecina aplikacija danas podrzava sve karaktere ali ipak imajte ovu napomenu u obziru!
Takodje imajte u vidu da je odlicna praksa koriscenje jedne lozinke za jedan nalog sto znaci da na Facebooku i Twitteru nikako ne bi smeli da imate iste lozinke! Ako vam je tesko da pratite sve lozinke koristite neke tekstualne fajlove na vasem racunaru u koje mozete stavljati sve lozinke koje pravite. Ovakve fajlove mozete stavljati u direktorijume u koje ostali korisnici vaseg racunara ne zalaze (poput "C:\Windows\system" u windowsu ili "/usr/src" u linux i slicnim operativnim sistemima).
Sta je sigurnosno pitanje i kako ga koristiti Sigurnosno pitanje je pitanje koje ce vam biti postavljeno u slucaju dapozelite da resetujete vasu lozinku. Razlozi da ovo uradite mogu biti razni medjutim nacesci je zaboravljena lozinka. Kako to funkcionise? Vecina aplikacija ce vas pitati za sigurnosno pitanje prilikom kreiranja naloga. Sigurnosno pitanje se sastoji iz:
1. Sigurnosnog pitanja
2. Odgovora na sigurnosno pitanje.
Sigurnosno pitanje moze biti:
1. Ponudjeno od strane aplikacije (imate listu sa 2 ili vise sigurnosnih pitanja koje sami birate)
2. Uneto od strane korisnika (imat eblanko polje pa sami unostie pitanja poput "Kako mi se zove macka?" ili "Sa koliko godina sam otisao u vojsku?"
U oba slucaja zapamtite sledece:
-sigurnosno pitanje je bitno buduci da vas ono deli od resetovanje vase lozinke
-sigurnosno pitanje mora imati odgovor koji mozete samo vi znati
Odgovor na sigurnosno pitanje moze biti rec ili recenica! Imajte u vidu sledece prilikom kreiranja odgovora na sigurnosno pitanje:
-odgovor ne bi trebalo da sadrzi samo 1 rec (ovako izbegavate najjednostavnije moguce varijante tipa: "Pitanje: Kako mi se zove majka?" "Odgovor: Zorica").
-(opet) odgovor ne bi trebalo da zna iko osim vas (ovaj odgovor vam moze biti "poslednja slamka" za vracanje lozinke stoga shvatate zasto je bitno da izbegavate deljenje ovog odgovora sa drugima).
Odgovor moze biti svakav a moj savet vam je da procitate ovaj tekst jos jednom (od vrha) i razmislite o vaznosti kreiranja odgovora na sigurnosno pitanje i "obliku" odgovora (da li ce sadrzati 1, 2 ili 3 reci, da li ce sadrzati brojeve i ostale "kukice i kvakice" itd.).
Budući da smo danas okruženi raznim sajtovima koji nude zabavu "instant iz kesice" javlja se sve veći broj korisnika koji mnogo neozbiljno shvataju lozinke i sigurnosna pitanja. Ovaj tekst će se osvrnuti na neke interesantne činjenice i savete vezane za ovaj problem.
Prvo što bih naglasio jeste edukacija! Ako ja objasnim mom bratu da lozinke na Facebook-u i Twitteru ne treba da budu "kuf93" onda smo jedan korak bliže tome da moj brat razvije svest o tome šta su lozinke i kako ih pravilno koristiti. Svi se secamo Yahoo mail servisa kada je tek poceo sa radom. Svi smo zeleli da imamo nas mail i sve sto ste trebali uciniti jeste da prodjete (relativno) bezbolnu registraciju. Tada niko nije pricao o tome koliko je bitno koristiti RaZNOlike K@r4kt3R3 prilikom kreiranja lozinki dok danas svaki servis savetuje da bi to trebalo da bude kombinacija slova (malih i velikih), brojeva i ostalih karaktera. Sta to znaci? To znaci da lozinke u danasnje vreme ne bi, ni pod stavkom razno, trebale biti oblika "MOJE_IME_godina rodjenja" niti "djurina_maca_koja_se_vere_na_drvecu".
Nemojmo se zavaravati: ako je neko dobar kreker (en: cracker) on ce vam srusiti ono sto pozeli. Administartori, servisa koje koristite, ce se baviti sigurnoscu i zastitom a korisnik moze da pomogne tako sto ce se edukovati o tome sta znaci zastiti svoj nalogna korisnickom nivou. Pod ovim podrazumevam prvenstveno zastitu naloga standardnim mehanizmima.
# Kako napraviti dobru lozinku
Dacu vam 2 primera lozinki koje se secto koriste (koje sam ja licno vidjao):
-primer #1: "MaJa88"
-primer #2: "Djurina_slatka_cupava_maca_jefimija"
Primer #1 sadrzi kombinaciju od 4 slova i 2 broja. Ovo dobro izgleda medjutim ovoj lozinci nedostaju "ostali karakteri" poput !"#$%/()=?*\|EUR@{}[]... Takodje je evidentno da ovakva lozinka predstavlja suvise jednostavan sablon po kome se pisu lozinke ;)
Primer #2 sadrzi kombinaciju od 31 slova i 3 specijalna znaka (karakter "_"). Neko bi rekao da je duzina lozinke sasvim dobra ali imajte na umu da je duzina bitna ali predugacke lozinke, koje sadrze samo slova, se lako provaljuju pa sadrzale i 550 karaktera ;)
Primer #1 mozemo da unapredimo tako sto cemo da dodamo specijlane karaktere i malo istumbamo redosled slova i brojeva. Evo par primera:
- "_ma8JA8_"
- "MA_MAjA8_8_JA"
- "88_maja_\0/"
Glupi primeri? SIgurno su daleko bolji od prvog primera. Obratite paznju na to da umesto slova mozete koristiti i brojeve pa tako "_ma8JA8_" moze postati "_m48JA8_". Problemi? Pa lozinka se moze "zaciniti" sa mnogim karakterima. Evo primera zanimljive lozinke:
- "D-u5i_0sam8"
Ova lozinka se "prevodi" u rec "Djusi_88" ("D-"="?", 5=S, 0sam=8). Ova lozinka sadrzi sve sto bi trebala jedna jaca lozinka da sadrzi:
-dobru ideju (dooh)
-kombinaciju slova, brojeva i specijalnih karaktera
-dobru duzinu
Ovakava lozinka je dobra! Ideja je dobra, duzina je dobra, kombinacija karaktera je dobra. Sada se pitate zasto je sve to "samo" dobra lozinka? Pa jaka i kvalitetna lozinka bi morala da sadrzi mnogo kompleksnije pojmove. Praktican primer: par ljudi mene zove "Djusi". Ako taj neko odluci da provali moju lozinku lako ce doci do zakljucka da postoji velika sansa da ja koristim rec "Djusi" unutar same lozinke. Sve sto treba da uradi jeste da pokrene neki od programa (koji su danas lako dostupni na internetu) i da unese neke parametre i eto ga. Sifra je probijena i moj nalog je ranjiv. Sta sada? Predjite na sledece poglavlje ovog teksta :)
# Kako napraviti odlicnu lozinku
Prvo cu da nalgasim: duzina lozinke, upotreba raznih karaktera i dobra ideja su i dalje kljucin sastav vase lozinke! Sada cu vam dati ideju o nacinu na koji mozete razmislajti kako bi kreirali bolje lozinke.
Svako od nas moze da sklopi recenicu koja se lako pamti zar ne? Recimo da recenica ima 5 reci. Da li ste razmisljali o tome da koristite tu recenisu kao lozinku? Naravno, ne mislim na to da ukucate kompletnu recencu vec samo neke njene delove? Zbunjeni? Evo primera: Ja mnogo volim recenciu "Precica je najvece rastojanje izmedju 2 tacke". U ovoj recenici imamo 7 reci. Od ovakve recenice ja mogu napraviti lozinku koja ce sadrzati prva 2 karaktera svake reci. Rezultat:
pr_je_na_ra_iz_2_taVau... Vec izgleda tesko zar ne? Ajde da malo zacinimo tu lozinku tako sto cemo da promenimo slovo "a" u "@":
pr_je_n@_r@_iz_2_t@Huh... Vec je teska ali imajte u vidu da vi znate kako glasi vasa recenica stoga cete je lako i pamtiti!
Sta ce biti ako promenimo crtice u brojeve prema kome se nalaze u reci? Dakle prva crtica postaje broj "1", druga crtica postaje "2"...
pr1je2na3r@4iz526t@Mozemo i slovo "I" da prebacimo u "!":
pr1je2n@3r@!z526t@Prva 2 slova posle svakog parnog broja mozemo da prebacimo u velika slova:
pr1je2N@3r@!Z526t@Dosta. Ovakva lozinka ce namuciti sve koji zele da je provale a vi ipak mozete da budete sigurni da ste dali sve od sebe prilikom kreiranja ove lozinke. Ovakva lozinka sadrzi sve sto vam treba:
-odlicnu ideju (karakteri su "nabacani" i nemaju mnogo smilsa nikome osim vas)
-odlucnu duzinu (preko 15 karaktera)
-odlicnu kombinaciju karatera (slova, brojevi+ specijalni karakteri
-lako se pamti (vi znate kako glasi recenica i znate koje ste metode koristili prilikom kreiranja ove lozinke)
Pod "lako se pamti" podrazumevam cinjenicu da ste vi kreirali tu lozinku stoga je samo vi lako mozete pamtiti ;)
Paznja: Neke lozinke ne mogu da sadrze sve karaktere! Ovo zavisi prvenstveno od vrste aplikacije i od nacina na koji se cuvaju lozinke. Vecina aplikacija danas podrzava sve karaktere ali ipak imajte ovu napomenu u obziru!
Takodje imajte u vidu da je odlicna praksa koriscenje jedne lozinke za jedan nalog sto znaci da na Facebooku i Twitteru nikako ne bi smeli da imate iste lozinke! Ako vam je tesko da pratite sve lozinke koristite neke tekstualne fajlove na vasem racunaru u koje mozete stavljati sve lozinke koje pravite. Ovakve fajlove mozete stavljati u direktorijume u koje ostali korisnici vaseg racunara ne zalaze (poput "C:\Windows\system" u windowsu ili "/usr/src" u linux i slicnim operativnim sistemima).
Sta je sigurnosno pitanje i kako ga koristiti Sigurnosno pitanje je pitanje koje ce vam biti postavljeno u slucaju dapozelite da resetujete vasu lozinku. Razlozi da ovo uradite mogu biti razni medjutim nacesci je zaboravljena lozinka. Kako to funkcionise? Vecina aplikacija ce vas pitati za sigurnosno pitanje prilikom kreiranja naloga. Sigurnosno pitanje se sastoji iz:
1. Sigurnosnog pitanja
2. Odgovora na sigurnosno pitanje.
Sigurnosno pitanje moze biti:
1. Ponudjeno od strane aplikacije (imate listu sa 2 ili vise sigurnosnih pitanja koje sami birate)
2. Uneto od strane korisnika (imat eblanko polje pa sami unostie pitanja poput "Kako mi se zove macka?" ili "Sa koliko godina sam otisao u vojsku?"
U oba slucaja zapamtite sledece:
-sigurnosno pitanje je bitno buduci da vas ono deli od resetovanje vase lozinke
-sigurnosno pitanje mora imati odgovor koji mozete samo vi znati
Odgovor na sigurnosno pitanje moze biti rec ili recenica! Imajte u vidu sledece prilikom kreiranja odgovora na sigurnosno pitanje:
-odgovor ne bi trebalo da sadrzi samo 1 rec (ovako izbegavate najjednostavnije moguce varijante tipa: "Pitanje: Kako mi se zove majka?" "Odgovor: Zorica").
-(opet) odgovor ne bi trebalo da zna iko osim vas (ovaj odgovor vam moze biti "poslednja slamka" za vracanje lozinke stoga shvatate zasto je bitno da izbegavate deljenje ovog odgovora sa drugima).
Odgovor moze biti svakav a moj savet vam je da procitate ovaj tekst jos jednom (od vrha) i razmislite o vaznosti kreiranja odgovora na sigurnosno pitanje i "obliku" odgovora (da li ce sadrzati 1, 2 ili 3 reci, da li ce sadrzati brojeve i ostale "kukice i kvakice" itd.).
Ukoliko nije drugačije naglašeno, sav sadržaj na ovom sajtu je pod WTFPL (v2) licencom
2008-danas djura-san
2008-danas djura-san