Kao potvrdu identiteta korisnika velika većina servisa koristi korisničko ime i lozinku. Upravo zbog toga svaki korisnik mora pamtiti veliki skup različitih korisničkih lozinki kojima se autorizira na pojedine servise ili koristiti istu lozinku za prijavu na više servisa. Ovakva praksa predstavlja velik sigurnosni rizik u slučaju krađe ili "probijanja" (eng. password cracking) te jedne lozinke pa se nikako ne preporuča. Rješenje opisanog problema jest uporaba rukovatelja lozinki, koji pamti sve korisničke lozinke u šifriranom obliku te ih štiti zaključane glavnom lozinkom koju pamti korisnik. Dakle, korisnik treba pamtiti samo glavnu lozinku (eng. master password) za pristup sustavu u kojem su pohranjene sve lozinke.
Rukovatelji lozinkama (eng. password manager) postoje u tri varijante:
- samostalna aplikacija – programsko riešenje koje pamti korisničke lozinke te ih spreman na disk računala korisnika,
- prijenosna aplikacija – prijenosno programsko rješenje koje se nalazi na prijenosnom uređaju (USB disk, PDA i sl.) te na istu lokaciju sprema i lozinke te
- web aplikacija – programsko rješenje koje lozinke sprema u centralnom repozitoriju na internetu.
Spremljene lozinke rukovatelj na upit automatski pruža pa je time korisnik oslobođen uzastopnog upisivanja lozinke. Time je izbjegnuto zasićenje lozinkama (eng. password fatigue), tj. situacija gdje korisnik mora svakodnevno upisivati
Ranjivost koju dijele sva rješenja za rukovanje lozinkama jest da u slučaju probijanja glavne lozinke (eng. master password) potencijalni napadač dobiva pristup svim servisima (jer može iščitati sve lozinke iz datoteke s lozinkama). Stoga glavna lozinka mora biti što je moguće snažnija (eng. password strength) tj. trebala bi sadržavati mješavinu slova, znamenki i znakova.
LastPass
LastPass je besplatni alat za rukovanje lozinkama sa naprednim mogućnostima koje se naplaćuju (eng. freemium). Napredne mogućnosti odnose se na mobilne platforme, stoga alat u varijanti za osobna računala nije ni na koji način "ogoljen" (besplatna inačica ima sve funkcije kao i komercijalna). Izdan je pod vlasničkom licencom. Trenutna inačica alata je 1.73 izdana 14.3.2011. Budući da se interakcija s korisnikom i servisima koji zahtjevaju autentifikaciju odvija preko programa ugrađenog u preglednik, alat je dostupan na svim platformama (Windows, GNU/Linux, Mac OS X itd.). Podržani su svi popularni preglednici (Mozilla Firefox, Google Chrome, Internet Explorer, Opera, Safari), a za preglednike za koje ne postoji ugradbeni pomoćni program, postoji bookmarklet koji simulira funkcionalnost pomoćnog programa.
Alat se sastoji od web aplikacije te lokalnog pomoćnog programa ugrađenog u preglednik. Lokalni program pamti sve lozinke koje korisnik upisuje u preglednik te ih sprema na udaljenoj lokaciji na Internetu. Alat je dakle vrlo sličan rukovateljima lozniki početno ugrađenima u preglednike (npr. Mozilla Firefox i Google Chrome posjeduju rukovatelje), međutim, alat se od takvih rukovatelja razlikuje u tome što postoji udaljeno centralno spremište umjesto lokalnog. Kada su lozinke spremljene, korisnik više ne mora pružati lozinke, već to pomoćni program obavlja automatski. Standardno, sve lozinke su zaštićene glavnom lozinkom.
Instalacija i korištenje
Instalacija alata obavlja se preko samog preglednika. Većina modernih preglednika posjeduje opciju za pronalazak i dobavljanje dodatnih opcija i funkcionalnosti u obliku ugradbenih programa. Potrebno je pronaći i dobaviti takav LastPass pomoćni program te odabrati instalaciju.
Slika 1. Instalacija pomoćnog programa
Nakon što je LastPass postavljen u preglednik, potrebno se je registrirati (napraviti korisnički račun). Sustav je nakon obavljene registracije spreman za rukovanje lozinkama.
Pri unosu lozinke sustav umjesto rukovatelja lozinkama koji početno dolazi s preglednikom lozinke sprema LastPass. Nakon spremljene lozinke, LastPass detektira autorizacijski dio web stranice, te sam ispunjava korisničko ime i lozinku.
Slika 2. Automatsko popunjavanje korisničkih podataka
KeePass
KeePass je još jedan besplatni alat otvorenog koda za rukovanje lozinkama, međutim za razliku od prethodnog, ovaj alat je predstavnik skupine alata koja lozinke sprema lokalno. Dostupan je prvenstveno na Windows platformi, a postoji i neslužbena inačica za GNU/Linux (nazvana KeePassX). Trenutna inačica alata jest 2.15 izdana 10.4.2011.
Alat se sastoji od (prenosive) lokalne baze loziniki zaštićene jednom glavnom lozinkom. Baza lozniki prenosiva je između instanci alata, te između alata KeePass i KeePassX.
Korištenje
Nakon instalacije potrebno je stvoriti novu bazu korisničkih lozinki i zaštititi je glavnom lozinkom. Nedostatak u odnosu na prijašnji pristup jest da je potrebno ručno unositi svaku lozinku koja se želi zapamtiti.
Kada su lozinke unešene u sustav, u traženi ih se servis prenosi s nekoliko kratica (CTRL-B za korisničko ime te CTRL-C za lozinku). Korisničko ime i lozinka prenose se uz pomoć LINK:clipboard-a, međutim isti je šifriran od strane KeePass-a tijekom prijenosa (tj.potencijalni napadč nije u mogućnosti pristupiti clipboard-u).
Slika 3. Lokalna baza lozinki
Također, sve unesene loznike moguće je automatski unositi u forme na način da se definira slijed akcija koje će se izvršiti na korisnikov signal. Primjerice definira se slijed {USERNAME}{TAB}{PASSWORD}{ENTER} gdje su USERNAME i PASSWORD spremljeno korisničko ime i lozinka. Korisnik inicira definirani slijed kada se pojavi dijalog za upis korisničkog imena i lozinke, a KeePass automatski popunjava tražena polja.
Također postoje i pomoćni programi koji povezuju KeePass sa preglednicima. Takvi programi omogućuju atuomatsko popunjavanje korisničkog imena i lozinke bez ikakve interakcije s korisnikom. Navedena funkcionalnost je ostvarena na način da pomoćni program prepozna URL dijela stranice za autorizaciju te mu potom pruža autorizacijske podatke.
Alternative
Postoji mnoštvo besplatnih i komercijalnih alata za rukovanje lozinkama, međutim svi su ili siromašniji mogućnostima od navedenih, ili se naplaćuju.
Komercijalne alternative uključuju Sticky Password, SplashID i mnogo sličnih, a dodatne mogućnosti koje pružaju su specijaliziranog karaktera. Tako neki alati nude opciju ispisa svih podataka, dok drugi nude unos specifične vrste podataka, primjerice podataka o bankovnom računu i sl.
Posljednje sigurnosne preporuke