Sve masovnija kupovina putem interneta, posebno u uslovima pandemije, pohranjivanje dokumenata putem servisa u oblaku, te brojne druge internet usluge koje za sobom nose potrebu autentifikacije postale su naša svakodnevnica.
Ovo je, s jedne strane pozitivan trend, jer nam omogućava bržu, kvalitetniju i bolju uslugu. S druge strane, sve ove usluge nose određeni rizik od potencijalne zloupotrebe podataka koje distribuiramo trećim stranama, posebno jer se obično radi o vrlo povjerljivim podacima.
U tom kontekstu korištenja Internet usluga i autentifikacije za iste, želimo skrenuti pažnju i na cyber kriminal koji se odvija na Internetu. Najčešći ciljevi cyber napada i jesu krađa kredencijala, a koji mu onda omogućavaju sticanje materijalne koristi ili nanošenje štete drugoj osobi ili subjektu, zavisno od ciljeva cyber kriminalaca.
Različiti su načini na koje cyber kriminalac pokušava doći do pristupnih podataka:
- Phishing e-mailovima
- Socijalnim inžinjeringom
- Špijuniranjem ili „gledanjem preko ramena“ (shoulder surfing)
- Korištenjem slabosti informacionog sistema i presretanjem saobraćaja i sl.
Ukoliko cyber kriminalac uspije doći do kredencijala, tada se to uglavnom otkrije tek nakon što je načinjena šteta: skinut je novac s računa, objavljena povjerljiva dokumenta ili su ista obrisana ili onemogućena za dalje korištenje i slično.
Stoga bi svakom pojedincu trebalo biti bitno da zaštiti korisničke kredencijale odnosno da spriječi krađu istih.
Iz Addiko Bank Sarajevo preporučili su nam nekoliko savjeta kako sačuvati sigurnost korisničkih kredencijala, sa posebnim akcentom na lozinku:
- Ne zapisivati korisničke kredencijale na papir. Ako kredencijali i jesu zapisani na papiru, onda je preporučljivo takav dokument čuvati u sefu ili „pod ključem“ i ne držati ga na, slučajnom prolazniku, vidljivom i dotupnom mjestu
- Ukoliko niste u mogućnosti zapamtiti veći broj lozinki, umjesto zapisivanja na papir možete koristiti i besplatne alate za upravljanje lozinkama, kao što su Dashlane, Sticky Password itd.
- Pristupne podatke sistemima ne odavati nikome, nikad ne znate ko može zloupotrijebiti vaše podatke. Ukoliko se i desi da neko otkrije vaše pristupne podatke, potrebno je da ih odmah promijenite
- Što je lozinka duža to je bolje, jer će teže biti otkrivena alatima za pogađanje lozinke koje koriste i cyber kriminalci; poželjno je da je minimalna dužina lozinke 8 znakova, da sadrži kombinaciju velikih i malih slova, brojeva i specijalnih znakova („.“, „?“, „#“, „$“ itd.)
- Nikako nije poželjno koristiti izraze koji se mogu povezati sa osobom koja koristi lozinku. Na primjer, lozinka ne treba da sadrži ime i/ili prezime osobe koja je koristi, datum rođenja, naziv mjesta u kojem živi i sl. Preporučuje se da lozinka bude što nerazumljivija, da riječ ne postoji, pogotovo, u engleskom rječniku. Prijedlog za odabir lozinke bi bio npr. da se uzmu početna slova refrena vaše najdraže pjesme, u kombinaciji s brojevima i specijalnim znakovima.
- Nije preporučljivo koristiti iste lozinke za više različitih servisa, na primjer za elektronsko bankarstvo i za privatni e-mail račun. Takođe, ne treba koristiti poslovne lozinke u privatne svrhe.
- Redovno mijenjajte lozinke. U slučajevima gdje sistem ne forsira promjenu lozinke, preporučuje se da lozinku ipak mijenjate barem jednom godišnje i da se razlikuje od pet posljednje korištenih lozinki.
- Ukoliko ste u mogućnosti, koristite dvo ili višrefaktorsku autentikaciju.
- Česti slučajevi napada socijalnim inžinjeringom su da korisnik dobije poziv od navodno „administratora IT sistema“ koji iz nekog razloga hitno traži pristupne podatke korisnika. Nikad nikome, pa ni IT administratorima ne otkrivajte kredencijale.
- U primjerima e-mailova u kojima se korisniku sugeriše otvaranje linka i prijava na sistem, provjerite ko šalje e-mail i provjerite vjerodostojnost sadržaja e-maila i posiljaoca. Ne unosite kredencijale na web stranice otvorene preko linkova iz sumnjivih e-mailova, jer je moguće da će vas link (naizgled vama poznat) preusmjeriti na lažnu web stranicu koja ima za cilj krađu pristupnih podataka
- Kredencijale ne unositi u mobilne uređaje ukoliko se nalazite na javnom mjestu, a gdje slučajni prolaznici mogu vidjeti šta kucate u mobilni uređaj. Ukoliko ipak morate uraditi prijavu na sistem, zaklonite ekran mobilnog uređaja tako da ih osobe u vašem okruženju ne mogu vidjeti (premjestite se na mjesto gdje vam niko ne može vidjeti ekran, kao i ono što kucate na tastaturu)
Slijeđenjem navedenih preporuka ne znači da ste 100% zaštitili svoje pristupne podatke, ali umnogome smanjujete vjerovatnoću da vam pristupni podaci budu ukradeni i na kraju zloupotrebljeni.
Upozoravajući na važnost digitalnog identiteta vjerujemo da će i svijest o zaštiti istog sve više biti u fokusu korisnika servisa na Internetu.