Informacijski sustavi poput društvenih mreža skladište veliku količinu informacija o svojim korisnicima. Kako bi društvene mreže (ali i mnogi drugu web servisi) uspjeli pružati usluge vlastitim korisnicama, moraju sve svoje korisnike međusobno razlikovati. Jedan od osnovnih preduvjeta za to predstavljaju digitalni identiteti i autentikacija korisnika.
Digitalni identitet podrazumijeva skup svih svojstava koji opisuju prisutnost i radnje jedne osobe u računalnom okruženju. Dio digitalnog identiteta pojedinca čine i korisnički računi na pojedinim web servisima i društvenim mrežama. Da bi korisnik pristupio pojedinom korisničkom računu, mora se autenticirati. Obzirom na široku prisutnost i potrebom za laku dostupnost web servisa, kao metoda autentikacije se najčešće koriste tekstualne lozinke (iako one predstavljaju najslabiju metodu autentikacije).
Informacijski sustavi poput društvenih mreža skladište veliku količinu informacija o svojim korisnicima. Kako bi društvene mreže (ali i mnogi drugu web servisi) uspjeli pružati usluge vlastitim korisnicama, moraju sve svoje korisnike međusobno razlikovati. Jedan od osnovnih preduvjeta za to predstavljaju digitalni identiteti i autentikacija korisnika.
Iako korisnik najčešće nema utjecaj na način na koji ga sustav autenticira, može vlastiti korisnički račun osigurati odabirom sigurnih lozinki. Sam pojam sigurnih lozinku predstavlja mjeru koja opisuje koliko se dobro tekstualna lozinka može oduprijeti pokušajima pogađanja. Najčešća mjera sigurnosti lozinke je vrijeme koje je potrebno za njezino pogađanje na prosječnom računalu. Kao primjer, moguće je koristiti web aplikaciju https://howsecureismypassword.net/. Ona daje izračun najduljeg mogućeg vremena u kojemu će se odabrana lozinka sigurno pogoditi. Napominjemo da vrijeme prikazano na navedenoj stranici predstavlja aproksimaciju, a ne precizno i stvarno vrijeme.
Prilikom odabira sigurne lozinke, preporučujemo pratiti sljedeća pravila:
- Uvijek koristiti lozinke od najmanje 8 znakova (preporučuje se i više, npr. 10 ili 14 znakova)
- Neka barem 3 znaka lozinke budu mala slova
- Neka barem 3 znaka budu velika slova
- Neka barem 3 znaka budu brojevi
- Neka barem 3 znaka budu posebni znakovi (npr. znakovi interpunkcije) ili simboli (npr. $, %, &, *, -)
Prihvatljivost lozinkeprema gore navedenim pravilima moguće je provjeriti putem aplikacije http://www.passwordmeter.com/.
Mnogi web servisi ne omogućuju pogađanje lozinke tako da ograniče broj pogrešnih pokušaja. Stoga, napadači u nekim situacijama koriste zloćudne program koje se pokreću na korisnikovom računalu kako bi im oteli lozinke (npr. Spyware). U tom slučaju, korisnici bi što prije trebali ukloniti sve zloćudne aplikacije s vlastitog računala putem raspoloživih antivirusnih alata i promijeniti lozinke svih svojih korisničkih računa.
Nedostatci lozinkasu već dulje vrijeme predmet mnogih istraživanja. Trenutno niti jedna alternativa nije dovoljno zrela ili prihvaćena da bi zamijenila tekstualne lozinke kao osnovu za autentikaciju korisnika u popularnim web servisima. Ipak, mnogi popularni web servisi kao što su Dropbox i Google, omogućuju uporabu dvofaktorske autentikacije korisnika u kojoj se osim tekstualnih lozinkikoristi i promjenjiva vrijednost proizvedena putem OTP generatora. CIS savjetuje uporabu navedenih opcija za autentikaciju kada je god to moguće.
Dodatni materijali mogu se pronaći u nastavku:
- Više o OTP generatorima i njihovoj ulozi u autentikaciji korisnika pogledajte u sljedećem prilogu: http://www.cis.hr/vijesti/poziv-na-webinar-metode-autentikacije-u-ecommerce-sustavima.html
- Passwords: If We're So Smart, Why Are We Still Using Them?, http://research.microsoft.com/pubs/80199/fc09.pdf
- A survey of password mechanisms: Weaknesses and potential improvements. Part 1, www.sciencedirect.com/science/article/pii/0167404889900515
- Password memorability and security: empirical results, ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=1341406