Nadamo se da ste do sada već napravili nalog na ProtonMail-u ili Tutanota-i i da ste spremni da počnete sa prebacivanjem svojih naloga. Vreme je da se pozabavimo savetima kako da vaši nalozi ostanu bezbedni i van domašaja napadača. Ovaj deo se uglavnom odnosi na zaštitu od privatnih aktera sa zlonamernim namerama. Ako državni organ, poput FBI-a, želi pristup, dovoljan im je sudski nalog.
Najvažnija stvar koju treba uzeti u obzir jeste kako se vaš nalog verifikuje. Većina sajtova koristi email jer postoji veoma dugo. Povezivanje vašeg ProtonMail naloga dodatno povećava sigurnost jer je ProtonMail veoma otporan na upade, osim ako neko ne gleda kako unosite lozinku (što se može sprečiti korišćenjem LastPass ekstenzije u pretraživaču), ili ako nemate keylogger na računaru (što LastPass takođe može da neutrališe). Čak i ako je vaš ProtonMail nalog poznat široj javnosti jer ste ga podelili ili objavili na blogu, napadač i dalje mora da pristupi vašem emailu da bi resetovao šifru nekog naloga.
Zatim, proverite sve bezbednosne opcije koje vam sajt nudi i istražite kako funkcionišu. Na primer, Twitter omogućava da zahtevate unos ličnih podataka prilikom resetovanja naloga. To znači da napadač mora uneti vaš email ili broj telefona kako bi uopšte započeo proces resetovanja lozinke. PayPal, recimo, zahteva unos broja kartice i potvrdu putem email-a ili SMS-a pre promene lozinke. Ali gde god je moguće, uvek koristite dvofaktorsku autentifikaciju.
Dvostepena verifikacija i dvofaktorska autentifikacija
Postoji velika debata oko razlike između ova dva pojma. Google, Apple i Microsoft koriste termin dvostepena verifikacija, dok većina drugih koristi dvofaktorska autentifikacija (2FA). Ključna razlika je što 2FA uključuje nešto fizičko što posedujete, poput Yubikey-a, pametne kartice, otiska prsta ili kripto ključa. Dvostepena verifikacija podrazumeva dodatni način autentifikacije uz lozinku, kao što je TOTP kod iz autentifikatorske aplikacije ili SMS poruka.
Iako ne bi trebalo, ove izraze često koristim naizmenično. Najčešće koristim „dvofaktorska autentifikacija“, iako to tehnički nije uvek tačno kada se radi o SMS kodovima ili TOTP-u, ali tako ću ih zvati do kraja ovog teksta. Slanje verifikacionog koda putem emaila se generalno smatra nesigurnim oblikom 2FA jer ako vam je email kompromitovan, napadač ima i 2FA i način da resetuje lozinku. Slično, SMS i glasovna 2FA su rizične jer vaš telefonski operater može biti prevaren da preusmeri vaše poruke drugom broju, a neki operateri nude i čitanje poruka putem online naloga. Najbolje metode 2FA su TOTP aplikacije, Yubikey i biometrijska autentifikacija.
TOTP (Time-based One-time Password Algorithm) koristi deljeni tajni ključ i trenutno vreme za generisanje jednokratnog koda. Instalirate aplikaciju poput Google Authenticator-a na telefon, povežete je sa nalogom unosom tajnog ključa, i ona svakih 30 sekundi generiše novi šestocifreni kod. Kada se logujete, posle lozinke unosite i kod iz aplikacije. Ovo kombinuje nešto što znate (lozinku) i nešto što imate (TOTP kod) za dodatnu sigurnost. Ja koristim TOTP i kodovi mi se prikazuju i na pametnom satu, tako da često ni telefon ne moram da koristim.
Yubico najbolje objašnjava kako YubiKey funkcioniše:
„YubiKey je mali uređaj koji registrujete na sajtu koji podržava 2FA. Svaki put kad se prijavljujete, sajt traži dokaz da imate svoj YubiKey, pored korisničkog imena i lozinke. Phishing, malver i drugi napadi ne rade jer je potrebno da napadač poseduje i fizički ključ i lozinke da bi upao u nalog. Dvofaktorska autentifikacija sa YubiKey-om čini vaš login sigurnim. Potrebno je samo da dodirnete uređaj, nema drajvera ni dodatnog softvera. Možete ga koristiti na više računara i mobilnih uređaja, i jedan ključ može biti registrovan na više naloga. Gotovo je neuništiv — stavite ga na privezak sa ključevima.“
Bezbednosna pitanja i odgovori treba da se čuvaju u vašem LastPass nalogu, kako bi bili zaštićeni. Umesto da kao odgovor na pitanje koristite „Baxter“ (ime psa), možete dodati simbol na početku, npr. „%Baxter“. Za maksimalnu bezbednost, koristite nasumične karaktere i zabeležite ih.
Za influensere, poznate ličnosti i vlasnike biznisa — dvofaktorska autentifikacija je obavezna na svakom servisu koji je podržava. Možda je potrebno vreme da se naviknete, ali će vas spasiti ako neko pokuša da preuzme vaš identitet.