„Ukoliko neko koristi svoju poslovnu e-mail adresu i lozinku za prijavljivanje, recimo za platformu LinkedIn, a LinkedIn je „napadnut“ od strane sajber kriminalaca, to znači da se njihova „univerzalna lozinka“ koju koriste i za poverljive informacije unutar kompanije sada nalazi na internetu tako da je svi vide“, rekao je Dan Kalarco sa Univerziteta u Indijani, koautor nove studije koji se bavi ispitivanjem prakse ponovne upotrebe iste lozinke.
Baveći se ovom tematikom, koja je sve češća u praksi, istraživači sa Univerziteta u Indijani otkrili su jednostavan način sprečavanja zloupotrebe poslovnih podataka i upada u sistem kompanije.
„Otkrili smo da kreiranje dužih i komplikovanijih lozinki rezultuje manjom verovatnoćom ponovnog korišćenja te lozinke za neke druge namene“, pišu autori članka „Faktori koji utiču na ponovno korišćenje lozinke: studija slučaja“.
Da bi ispitali uticaj politike poslovanja na ponovnu upotrebu lozinke, studija je analizirala politiku poslovanja i upotrebu lozinki na 22 različita univerziteta u SAD, uključujući i njihovu matičnu instituciju – Univerzitet Indijana. Zatim su izvukli skup e-pošte i lozinki iz dve velike baze podataka koji su zatim objavljeni na mreži i koja je sadržala preko 1,3 milijarde e-mail adresa i kombinacija lozinki. Na osnovu adresa elektronske pošte koja pripada domenu univerziteta, lozinke su sastavljene i upoređene sa zvaničnom politikom upotrebe i kreiranja lozinki univerziteta.
Rezultati su bili sledeći: stroža pravila o lozinkama znatno su smanjila rizik od upada i zloupotrebe podataka.
„Naša studija pokazuje da uslovi za kreiranje lozinke, kao što je minimalna dužina od 15 karaktera, odvraćaju većinu korisnika i zaposlenih (99,98 %) od ponovnog korišćenja iste na drugim platformama. Ostali univerziteti sa zahtevima za lozinke koje su kraće imaju procenat ponovnog korišćenja čak i do 40 odsto“, objašnjavaju autori.
Njihova analiza pokazala je da je najbolje rezultate imao Univerzizet Indijana, koji je imao najopsežnije zahteve. Autori međutim, nisu mogli pravno da testiraju da li su akreditivi stvarno valjani; umesto toga su ispitali da li lozinke mogu biti validne s obzirom na zahteve javnih lozinki kao što su dužina lozinke, složenost i drugo.
„Pomenuti Univerzitet je sarađivao sa Fakultetom za bezbednost kako bi dizajnirao svoju politiku kreiranja lozinke, a rezultat je politika koja štedi vreme i ublažava rizik od zloupotrebe“, rekao je Kamp. „Dužina i složenost lozinke su izbalansirani, produžen je period generisanja nove lozinke i omogućeno je korišćenje dužeg vremenskog okvira provere autentičnosti. Uvođenje multi-faktorske autentifikacije na Univerzitetu Indijana je slično ovom modelu“, objašnjavaju autori.
Autori nude sledeće preporuke za kreiranje lozinke:
- Povećajte minimalnu dužinu lozinke na preko 8 znakova;
- Povećajte maksimalnu dužinu lozinke;
- Zabranite korisničko ime ili korisničko ime unutar lozinke;
- Upotrebite multi-faktorsku autentifikaciju.
„Naše preporuke ne važe samo za univerzitete, koji su korišćeni za studiju slučaja već ih mogu koristiti i druge organizacije, poput kompanija čije poslovanje takođe može biti ugroženo na ovaj način“, zaključuju autori.
