Danas je većina vašeg života online ili digitalno: e-mail kao prvi, razni servisi, online banking, društvene mreže … Tu su vaše slike i video zapisi, dokumenta, računi… Gomilu stvari zato možete uraditi u pokretu, koristeći vaš mobilni telefon. I svi ti servisi, aplikacije, društvene mreže koriste e-mail (ili sve ređe username) + password za zaštitu.
I to je ok … za ljude koji su ok 😊 Sa druge strane, ima i onih (mnogo) manje dobrih; onih koji žele da vam uzmu deo novca, ili da vam ukradu digitalni identitet ili prosto da vam naprave štetu, iz “zabave”. Tu grupu obični ljudi (= oni bez zle namere) vrlo često previde, ali na žalost, to ne važi obratno. Dodajte na to i ljudsku prirodu 😊 (lenjost) i činjenicu da se vrlo često jedan te isti password koristi na milion sajtova, što je loša, vrlo loša praksa.
Zato treba tretirati vaš online identitet kao i off-line (pravi) – kao što iza sebe pažljivo zaključavate stan, i online se treba zaštiti – naći meru između dodatnog posla i mnogo većeg stepena zaštite vaše digitalne persone. U protivnom, možete doživeti razne probleme: od sitnica (neko objavljuje tekstove u vaše ime) do krupnih stvari (neko isprazni vaše bankovne račune).
Ok, nadam se da sam vas barem malko zaplašio – to je dobar način da se pokrenete na akciju 😊 Da vas zaplašim i konkretnije: prošetajte se do sajta https://haveibeenpwned.com/ (da li su mi ukradeni e-mail/password?) i unesite vaš e-mail / vaše e-mailove – zapanjićete se kada vidite u koliko je sajtova koje ste koristili provaljeno i vaš e-mail/lozinka je na izvol’te svim hakerima. Niste dovoljno zaplašeni? A šta mislite o 26 milijardi ukradenih username/password kombinacija? To bi trebalo da je dovoljno za malo straha 😊
Sad na posao: za početak treba da definišemo šta je dobra praksa za naloge, koje naloge ( zaštiti), kako (ih zaštiti) i kada (odmah, naravno 😊)
DOBRA PRAKSA: Svaki nalog treba da ima jaku, jedinstvenu (da se ne koristi nigde drugde) lozinku i 2FA/MFA dodatak. 2FA/MFA je skraćenica od 2 Factor Authentication / Multi Factor Authentication. U oba slučaja je to dodatna zaštita (dodatni faktor) za logovanje i to obično numerički kod koji može da stigne na e-mail, SMS ili bude generisan iz odgovarajuće aplikacije (važna napomena: od svih pomenutih, najsigurniji je pristup preko aplikacije koji ću opisati dole; e-mail je siguran koliko vam je jaka lozinka a SMS je podložan takozvanoj SIM swap prevari)
(Zašto dobra a ne najbolja praksa? Zato što vam za najbolju praksu treba praktično fizički ključ (kao što je YubiKey) što nije udobno, ali je itekako korisno).
KOJE: Ja bih rekao sve 😊 ali to nije realno. Najvažniji (e-mail, online banking) zaslužuju najveću pažnju, dok je za neke nebitne kombinacija e-mail/lozinka sasvim dovoljna (definicija “nebitnog”: nema u njemu ništa od ličnih podataka i ako bi ostali bez tog naloga, ništa/niko ne bi trpeo). Odluka je na vama, ali lično bih sve naloge koje ste koristili u poslednjih 60 – 90 dana zaštitio (to možete proveriti iz istorije vašeg browsera i/ili telefona).
E-mail je posebno bitan – resetovanje (promena ili zaboravljena) lozinke obično ide preko e-mail naloga; ako neko provali u vaš email praktično može da vam resetuje (i time uđe) u bilo koji nalog koji koristi vaš mail za reset.
KAKO: Ok, operativa. Ako ste pratili na času 😉 treba nam nešto za lozinke (= Password Manager – niste valjda mislili da ćete neke ogromantne lozinke pamtiti 😜) i nešto za 2FA/MFA kodove – Authenticator aplikacija.
Password Manager – BitWarden
Zadatak Password Managera je da se brine i čuva sve vaše lozinke. Praktično kreirate nalog, zaštitite ga master lozinkom i u “sef” (vault) koji ste tako napravili držite sve vaše lozinke. Ovim pamtite samo jednu lozinku – master. Za sam Password Manager toplo preporučujem BitWarden – odličan i besplatan.
Master lozinka ili lozinka svih lozinki je lozinka za ulazak u sam BitWarden. Treba da bude:
- Netrivijalna (ne sme da bude jedna reč)
- Dugačka (14+ – ne stidite se 😊),
- lako pamtljiva (strofa pesme, rečenica iz filma, nešto iz vašeg života – primer: KoToTamoPeva1980).
- Dovoljno je da stavite veliko slovo u svakoj reči te rečenice i sigurni ste (pogledaj primer gore).
Opet, ovu lozinku ne smete zaboraviti – ni BitWarden ekipa je ne zna i ne postoji način da vam otključaju “sef” ako je zaboravite (a da, protivno popularnom uverenju, jačina lozinke ne zavisi od toga koliko ste brojeva ili specijalnih znakova uneli; zavisi samo od dužine – što duža lozinka, to duže ili nemoguće razbijanje).
Da naravno ne bi unosili pešaka (copy/paste iz password managera) lozinke na sajtovima/aplikacijama ili same kombinacije u PM, PM ima dodatke za uobičajene browsere (Chrome, MS Edge, Opera, Firefox …) kao i mobilne aplikacije (Android, iPhone). Instalirajte dodatak (instalirajte mobilnu aplikaciju) i većina stvari će se odraditi automatski: kada ste na sajtu, BitWarden dodatak to prepozna (vidite broj kombinacija gore desno), vi kliknete na odgovarajući slog i on vas uloguje:
Da ponovimo recept za ovo:
- Smislite master lozinku
- Idite na https://bitwarden.com/ i sa vašom mail adresom i master lozinkom otvorite nalog
- Instalirajte mobilnu aplikaciju (Android, iPhone)
- Instalirajte dodatak u vaš browser (Chrome, MS Edge, Opera, Firefox …)
Inače, BitWarden ima gomilu korisnih stvarčica i pored samog čuvanja lozinki – generisanje lozinki, čuvanje podataka o vašim karticama, čuvanje beleški koje ne treba svako da vidi, adresa koje unosite po sajtovima:
2FA / MFA Authenticator aplikacija
Većina sajtova nudi, sada već kao standardnu opciju, dodavanje još jednog faktora ulaska (odatle “2” ili “M” u nazivu). Praktično, prilikom ulaska na sajt (i to ne uvek, već periodično; može se desiti da vas na istom uređaju, sajt “pita” za 2FA kod jednom u nekoliko nedelja), pored e-mail/lozinke (što se naravno čuva u BitWarden-u) traži i token/numerički kod koji je promenljiv i generiše se svakih 30-ak sekundi. Ovaj token praktično potvrđuje dodatno vaš identitet.
Kako da dođete do tokena?
Pa, aktivirate višefaktorsku opciju (od svakog sajta / aplikacije zavisi kako ali ćete kao krajnji rezultat dobiti QR kod na ekranu), otvorite Authenticator aplikaciju i skenirate gorepomenuti QR kod. Time ste dodali slog za tu aplikaciju i svaki put kada sajt zatraži token, otvorite Authenticator i date novi kod iz tog reda (ovo komplikovanije zvuči nego što je zaista).
Od Authenticator aplikacija preporučujem dve:
Za oba programa vam treba odgovarajući nalog: Google Account (imate ga ako imate recimo @gmail adresu; ako ne, otvorite ga preko gornjeg linka) ili Microsoft Account
(Dodatak (2024-01-31): od skora i Google Authenticator podržava backup kodova na Vaš Google account, pa je praktično stvar vaše odluke koju od aplikacija da koristite)
Moja preporuka je da idete sa Microsoft Authenticator-om zbog jedne proste stvari – omogućava čuvanje svih vaših naloga na OneDrive i time lako vraćanje u slučaju da zamenite/izgubite telefon: tri tačkice / Settings / Cloud Backup:
Da ponovimo recept za ovo:
- [JEDNOM] Izaberite Google ili Microsoft i otvorite nalog ako ga već nemate (Google Account, Microsoft Account)
- [JEDNOM] Skinite odgovarajuću aplikaciju za izabrani nalog (i, ako je to MS Authenticator, aktivirajte Cloud Backup)
- [JEDNOM PO SAJTU] Aktivirajte 2FA u account sekciji sajta – dobićete QR kod koji skenirate aplikacijom iz (2)
- [NADALJE ZA TAJ SAJT] S vremena na vreme, sajt će vas pitati za numerički kod iz aplikacije, kao dodatnu potvrdu da ste to vi
Eto 😊
Dodatak: sledeći sajtovi sigurno imaju 2FA/MFA:
- PayPal
- Microsoft
- Amazon
- DropBox
- BitWarden
- GitHub
Ako sajt nema 2FA/MFA – dobro razmislite da li želite da ostavite na tom sajtu išta bitno.
Ako primenite sve gornje (a nije teško – jedan password manager i jedna MFA aplikacija) – bićete mnogo sigurniji uz minimalnu šansu da vam neko provali u vama važne naloge. A to vredi utrošenog vremena 😊