Ako nas je ugrožavanje bezbednosti Heartbleed išta naučilo, to je da lozinke ne obezbeđuju potpunu zaštitu.
Pretraživači bi trebalo bezbedno da čuvaju lozinke i druge osetljive podatke, ali ako postoji tehnička greška u bezbednosnoj tehnologiji koja je u širokoj upotrebi, hakeri će ipak doći do ovih informacija. I pre ovog najnovijeg otkrića, bezbroj puta se dešavalo da hakeri upadnu i ugrabe korisnička imena i lozinke, plus brojeve kreditnih kartica i drugo.
Zbog toga mnogi eksperti za bezbednost preporučuju dodatni sloj provere autentičnosti: obično u vidu numeričke šifre koja se šalje kao tekstualna poruka. Ako se, na primer, prijavljujete na neki veb sajt sa svog laptopa, vi najpre upišete svoju lozinku. Zatim upišete šifru koju ste primili kao SMS da biste potvrdili da ste to zaista vi a ne neki haker.
Ja već više od godinu dana koristim takozvanu dvostepenu autentifikaciju ili proveru u dva koraka na većini svojih naloga, nakon previše misterioznih pokušaja da neko (a to nisam ja) resetuje moju Facebook lozinku. Glavni izuzetak je bio Gmail, ali i to sam nedavno omogućio pošto je otkriven Heartbleed. Plašio sam se da će druga autentifikacija predstavljati gnjavažu, ali nakon početnog podešavanja sve ide glatko, lakše nego što sam očekivao.
Zamisao dvoslojne lozinke je se oteža upotreba lozinke koja je dovedena u pitanje. Zatraži Vam se još jedna informacija koja treba da je poznata samo Vama.
Da bi se našao kompromis između bezbednosti i ugodnosti, obično ćete uključiti opciju da se ova provera zaobiđe kada sledeći put upotrebite isti veb pretraživač, odnosno isti uređaj. To neće pomoći ako Vam neko ukrade laptop, ali će sprečiti da drugi koriste Vašu lozinku na svojoj mašini. Ako se prijavljujete u nekoj biblioteci ili na nekom drugom javnom računaru, ne zaboravite da poništite opciju da se ova provera sledeći put preskoči.
Drugi deo autentifikacije bi mogao da bude Vaš otisak prsta ili sken Vaše mrežnjače, mada se takva biometrička identifikacija retko koristi za potrošačke servise. Finansijski servisi obično, kada prvi put koristite konkretan veb pretraživač ili konkretan uređaj, zahtevaju neko bezbednosno pitanje, kao što je ime Vašeg ljubimca iz detinjstva. To je bolje nego da ne koriste ništa, mada se odgovori ponekad mogu naslutiti ili potražiti. Neke banke nude i šifre za proveravanje koje primite kao tekstualnu poruku.
Meni se taj način dopada i koristim ga za mnoge e-mail servise i društvene mreže. Po mom mišljenju, elektronska pošta je najosetljivija, zato što može da se upotrebi za resetovanje lozinki na drugim mestima, kao što su banke i sajtovi za kupovanje.
Zahtev za postupak u dva koraka se sasvim jednostavno namešta. Na primer, za Google, nalazi se na kartici Security u podešavanju naloga (account settings). Za Facebook, potražite Login Approvals ispod Security u podešavanju (settings). Za Apple ID, bolje je da posetite sajt appleid.apple.com nego da podesite nalog (account settings) na iTunes.
Pošto omogućite autentifikaciju u dva koraka, obično morate ponovo da se prijavite na svoj nalog preko različitih veb pretraživača i uređaja koje koristite. Pošto upišete svoje korisničko ime i lozinku, poslaće Vam se šifra na Vaš telefon. Moraćete da je upišete da biste dovršili prijavljivanje. Ponekad je to značilo da moram da ustanem sa kauča i uzmem telefon sa punjača, ali to je mala žrtva da bi se omogućila bezbednost.
A šta ako se nalazite negde gde vaš mobilni nema domet pa ne možete da primite poruku?
Većina servisa predviđa rezervni mehanizam. Google, Facebook i Microsoft imaju aplikacije koje omogućavaju primanje šifre za proveru čak i kada ste oflajn. Google i Facebook takođe dozvoljavaju da napravite 10 rezervnih šifara koje možete da preuzmete ili odštampate i čuvate u svom novčaniku. Svaku od tih šifara možete da upotrebite samo jednom.
Takođe možete privremeno da isključite zahtev za autentifikaciju u dva koraka, ako treba da putujete negde gde Vam mobilni nema domet, mada vam to ne bih preporučio. Prošle godine sam ga upravo uključio kad sam putovao u inostranstvo gde ne bih bio u stanju da se borim sa misterioznim zahtevima za resetovanje.
Povremeno ćete naići na neku aplikaciju koja neće hteti da primi tekstualnu šifru. Jedna od njih je Apple aplikacija Mail za iPhone, iPad i Mac računare. Druga je Microsoftov softver Outlook. U takvom slučaju, moraćete da uđete u podešavanja svog servisa i napravite privremenu lozinku za tu konkretnu aplikaciju. Gnjavaža, ali ja sam retko bio primoran na to.
Postoji još nekoliko situacija kada može da se javi problem. Na primer, ako imate zajednički Twitter nalog za celu kompaniju ili organizaciju proveravanje u dva koraka nije praktično, osim ako imate i zajednički telefon. Umesto toga možete da koristite jednu rezervnu šifru od 12 znakova koju je teško pogoditi, ali to nije nikakva bezbednost ako šifru zapišete pored svoje glavne lozinke.
Međutim, najveći je problem ako izgubite svoj telefon. Neki servisi dozvoljavaju da ponudite rezervni broj, kao što je mobilni nekog prijatelja ili neki fiksni telefon. Za Google, šifra može da se šalje kao govorna poruka umesto tekstualne. Drugi nude složenu šifru za obnavljanje koju morate da zapišete i čuvate na bezbednom mestu.
Znam da je dvoslojna bezbednost neprijatna. Već i sa prvom lozinkom nije lako. Ali pomislite samo koliko bi bilo neugodno kad bi neko provalio u Vaš nalog i isključio Vas. Najbolje da poruku za proveru smatrate kao osiguranje.