Posudiš mi lozinku?



četvrtak , 30.08.2007.

Hakeraj!
Jedna tema koju nikad nije dovoljno ponavljati. Nakon svakog ponavljanja treba je ponoviti opet. Naučno je dokazano da kad nekome nešto ponoviš sto puta da mu to nekako sjedne u glavu. A nekima je dovoljno reći samo jednom.

Ako ste nekome dali svoju lozinku onda niste hakirani. Samo ste dali lopovu ključ svog stana te ga ne možete optužiti za provalu. Ali, ako ste mu ključ dali na prijevaru jer je rekao da mu treba za mazanje pekmeza na kruh onda je to smiješno. Odmah je potrebno shvatiti da je lozinka zapravo ključ vašeg bloga ili bilo čega drugog virtualnog i elektronskog. Treba razmisliti o tom ključu. Ne se igrati s tim. Kome biste dali svoj ključ? Točan odgovor je : nikome! A posebno ne administratoru bloga, jednako kao što ga ne biste dali ni vlasniku zgrade u kojoj imate stan. Postoje izuzeci. Ponekad damo ključ rodbini kako bi nam provjetrili stan ili zalijali cvijeće dok plutamo po moru. No to su izuzeci.

U prvim danima bloghaera često sam bio zamoljen da nekome počačkam po dizajnu jer je u to vrijeme bilo hit imati cool dizajn. Isto tako često je jedino rješenje bilo ući u taj bog i napraviti što treba. Uvijek sam zamolio vlasnike da u postavkama promijene svoju lozinku u nešto drugo, npr. “hal” pa kad ja završim posao da je vrate u prvobitno stanje. Razlog je jednostavan. Ne želim znati vašu lozinku jer bih u slučaju nečije budalaštine mogao postati prvi osumnjičeni.

Možda nekome blog nije toliko važan pa si misli “ah, lozinka, ko ga šiša, nek' ga obriše”. Ok, meni svejedno, ali kako god vam je blog marginalna stvar čuvanje njegove lozinke je dobra praksa posebno ako vam “čuvanje lozinke” općenito postane navika.

Jednog dana vam se možda jave iz uprave banke i zamole vas za vašu lozinku kako bi napravili upgrade vašeg računa novim funkcijama. I onda vam ne obrišu račun nego samo njegov financijski sadržaj. To je već opasno.

Jednom ćete dati nekome lozinku svog e-maila radi “testiranja servera”, a onda će s vašeg maila predsjednik Amerike dobiti prijeteće pismo. Glup primjer ali mail koji niste napisali a poslan je u vaše ime izazvat će prilično panike prije nego dokažete da ste nekome dali lozinku.

Dobro, ako netko misli “pa nisam glup, naravno da neću dati lozinku svog bankovnog računa”, zašto raditi razliku između banke i bloga. Znači li to da ne biste dali ključ od stana, ali od vikendice, garaže ili šupe bi mogli? Lozinka je lozinka, i to ne može biti “ja”, “mama” ili “keks”

Da malo ponovimo:

1. NITKO na ovom svijetu vas nema pravo tražiti lozinku. Čak i ako vam ju je on sam dodijelio. Ne nasjedajte autoritetima i nekome tko se predstavlja kao administrator, šef odjela, čovjek na održavanju servera, vaš voditelj IT-a u firmi, predsjednik republike ili Bill Gates osobno.
Tko je nasjeo, nasjeo je. Ja ne zamjeram nikome, jer i to je jedan od načina za brzo učenje i stjecanje iskustva. Pogriješiš pa ti postane jasno.

2. Napravite jaku lozinku. Jaka ne znači da treba upisati cijelu prvu rečenicu Da Vincijeva koda, ali bilo bi dobro da ima barem 8-9 znakova i da to budu velika i mala slova te brojevi. To bi trebalo spriječiti upad “grubom silom” odnosno “pogađanjem” vaše lozinke. Pogledajte koji film pa ćete vidjeti o čemu govorim. Riječ “mojmaliblog” je loše ali “m0Jm4L18Lo6” je već bolje. Ne razumijem se u matematiku ali kod prve riječi kombinacija se sastoji od tridesetak mogućih znakova (sva mala slova) dok je u drugom slučaju skup puno veći (preko sedamdeset). Blog.hr sada u postavkama ima i funkciju provjere “snage” vaše lozinke na probijanje “grubom silom”. Provjerite.

3. Pravi hakeraj je upravo ovo: vi ste se zaštitili, ali netko je provalio, na silu. Čak i legendarni Mitnick nije provaljivao u servere grubom silom već je telefonom nazivao sistemske administratore i slične tipove, predstavljao se različitim imenima i izmolio od njih lozinke na povjerenje. Nije baš pravi hakeraj već više prijevara.

Ja doduše nikad neću razumijeti koji je point provaljivanja na tuđe račune, stranice ili servere u cilju brisanja i uništavanja istih. To mi je jednako grebanju auta čavlom, trovanju nečijeg psa. Napraviti štetu, a ne se moći na sva usta hvaliti, osim svojim par prijatelja za koje ne znaš hoće li te cinkati jednog dana...

I ovaj mladac koji je švrljao po blogu... ne treba ga zbog toga smatrati kriminalcem. Tražio je način za dokazivanje, smislio prijevaru i iskoristio naivne koji su povjerovali. Sreća da to nisu bankovni računi i da šteta nije nepopravljiva.

Jedino što mi je žao da je brisao sadržaje i radio štetu. Bilo bi bolje da je svima objavio novi post:

Ja sam taj i taj.

Na prijevaru sam ušao u ovaj blog. Nisam ništa dirao, samo objavljujem ovaj post. Molim vas poradite na informiranju o sigurnosti i zaštitite svoje intelektualno vlasništvo. To je moj cilj.


E, da je to napravio... cijenio bih taj iskorak. Bilo bi bezazleno ukazivanje na pogrešku i otkrivanje načina na koji možete izgubiti, bilo bi to upozorenje svima da ne nasjednu nekome tko bi isto napravio s destruktivnim namjerama.

Ovako je sve ostala avantura s pojačanom medijskom pažnjom.

<< Arhiva >>