=/= Passwords =/=
_ 2006-09-23 13:56:15 _

Lep suncan dan, opustam se i sredjujem neke stare arhive kad odjednom naletim
na nesto sto mi je pre bilo strasno interesantno - liste sa mejlovima i njihovim
siframa. U posed ovih listi mozete doci na vise nacina ali najjednostavniji je
da ih potrazite preko Google. Te moje liste su stare sigurno tri godine i mislio
sam da su za bacanje. Ali, rekoh aj da probam i iznenadio sam se. Nisam mogao da
verujem da neko jos uvek koristi iste sifre kao i pre tri godine.

Iz e-poste se moze doci do svega sto pozelite tako da mi nije jasno da neko
non-stop koristi jednu istu sifru. Siguran sam da ima mnogo Vas koji sada citaju
ovo i koriste stalno iste sifre svuda i pricaju da je ne moguce provaliti
njihovu sifru. Molim Vas da se uozbiljite i shvatiti da na ovom svetu postoje
ljudi koji su mnogo uporni da ostvare svoj cilj (a to mozete biti bas Vi) i
ispunice ga kad tad. Put do nabavljanja potrebnih informacija nije uvek kroz
propuste u raznim aplikacijama vec je u vecini slucajeva na jedan mnogo opasniji
nacin a to je Socijalni Inzenjering. O Socijalnom Inzenjeringu cu vam detaljnije
pricati kasnije a sad da se vratimo na temu.

Zamislite da neko sada cita vas e-mail preko kojeg zavrsavate sav posao i preko
koga vrsite sve registracije. Mislim da ste se najezili :) Znaci, odmah
promenite vasu sifru i odredite vreme na koliko ce te to raditi (npr tri
meseca), zatim napravite logiku po kojoj ce te menjati sifre da bi ih lakse
pamtili. Nikako sifre ne smeju da budu neki licni podaci ili podaci neke vase
blikse osobe, nikako ne smete koristiti istu sifru na vise mesta.

Ne mogu da vam opisem koliko je ovo ozbiljna tema i koliko ljudi ne obracaju
paznju ali navescu Vam jedan primer koji se desio kod nas i koji je bio javna
tajna ali naravno usled ne znanja i ne shvatanja znacenja reci "sigurnost" i
"privatnost" niko nije pokrenuo neku ozbiljniju raspravu o tome. Dakle kod nas
postoji jedan forum koji je veoma popularan i kvalitetan po sadrzaju ali imao je
dosta propusta sto se tice samog kodiranja scripti tj foruma. Necu vam reci o
kakvim je propustima rec ali je bilo moguce uz malo truda naterati bilo kojeg
korisnika da vam "ucini uslugu" i tako vam ustvari kroz taj propust omoguci da
"pogledate" njegove login podatke koji nisu nikako bili zasticeni (mislim na
neku enkripciju). Ne zelim da ulazim u detalje ali mozete zamisliti koliko je
ovo opasno. Zamislite da hiljade korisnika koristi istu sifru za taj forum i za
e-mail.