Лозинка

Лозинка (од нем. Losung) или шифра (од нем. die Chiffre), унапред је уговорен тајни сигнал, односно реч као елеменат распознавања.^[1] У свету рачунара, лозинка је нашла примену при енкрипцији, персонализацији података.^[2]

У војсци се за идентификацију стражара и командира страже користи пар речи одзив и лозинка. Стражар и командир страже су морали знати и одзив и лозинку, као и било која особа која би прилазила стражарском месту. Када стражар примети особу која прилази, тражи идентификацију, односно „одзив“. Када особа која прилази изговори одзив, тада стражар изговори своју „лозинку“ и тада су се обојица идентификовали. У уобичајеним ситуацијама би и одзив и лозинку претходно одређивао дежурни официр и важили би 24 часа.^[3] Постојало је једноставно правило за бирање речи. И одзив и лозинка су морали бити по једна реч и почињати на исто слово. Одзив је морао бити део војничке опреме а лозинка неки географски појам, најчешће град.^[4]

Традиционално се очекивало да се лозинке запамте, али велики број услуга заштићених лозинком којима типичан појединац приступа може учинити меморирање јединствених лозинки за сваку услугу непрактичним.^[5] Користећи терминологију NIST смерница за дигитални идентитет,^[6] тајну чува странка која се назива подносилац захтева, док се странка која верификује идентитет подносиоца захтева назива верификатором. Када подносилац захтева успешно демонстрира верификатору познавање лозинке путем успостављеног протокола за потврду идентитета,^[7] верификатор је у стању да изведе закључак о идентитету подносиоца захтева.

Уопштено, лозинка је произвољан низ знакова укључујући слова, цифре или друге симболе. Ако су допуштени знакови нумерички, одговарајућа тајна се понекад назива лични идентификациони број (PIN).

Упркос свом имену, лозинка не мора бити стварна реч; заправо, не-реч (у речничком смислу) може бити бољи избор, што је пожељно својство лозинки. Запамћена тајна која се састоји од низа речи или другог текста одвојеног размаком понекад се назива и приступном фразом. Приступна фраза је слична лозинци у употреби, али прва је генерално дужа ради додатне сигурности.^[8]

Историја

Лозинке се користе од давнина. Стража би очекивала од оних који желе да уђу у подручје да им доставе лозинку или паролу, и дозволила би особи или групи да прође само ако знају лозинку. Лозинке у војној употреби су еволуирале тако да укључују не само лозинку, већ лозинку и протупротивну лозинку; на пример, у првим данима битке за Нормандију, падобранци 101. ваздушно-десантне дивизије САД користили су лозинку - flash - која је представљена као изазов, а на њу је одговорено тачним одговором - thunder. Изазов и одговор су се мењали свака три дана. Амерички падобранци такође су чувено користили уређај познат као „цврчак” на Дан Д уместо система лозинки као привремен јединствен метод идентификације; један метални клик који је уређај дао уместо лозинке био би одговорен са два клика у одговору.^[9]

Лозинке су кориштене са рачунарима од најранијих дана рачунарства. Компатибилни систем за дељење времена (CTSS), оперативни систем представљен на MIT 1961. године, био је први рачунарски систем који је применио пријаву лозинком.^[10]^[11] CTSS је имао наредбу LOGIN која је захтевала корисничку лозинку. „Након што је укуцана лозинка, систем по могућности искључује механизам за исписивање, тако да корисник може да унесе своју лозинку са приватношћу.“^[12] Почетком 1970-их Роберт Морис је развио систем за складиштење лозинки за пријављивање у хешираном облику као део Јуникс оперативног система. Тај систем је био заснован на симулираној крипто машини Хагелин ротора, и први пут се појавио у 6. издању Јуникса 1974. Каснија верзија његовог алгоритма, позната као crypt(3), користила је 12-битну со и позвала се на модификовани облик DES-а алгоритам 25 пута за смањење ризика од унапред прорачунатих напада на речник.^[13]

Алтернативе памћењу

Традиционални савети да се лозинке памте и никада не записују постали су изазов због огромног броја лозинки за које се очекује да их корисници рачунара и интернета одржавају. Једно истраживање је показало да просечан корисник има око 100 лозинки.^[5] Да би управљали ширењем лозинки, неки корисници користе исту лозинку за више налога, што је опасна пракса јер би повреда података на једном налогу могла да угрози остале. Мање ризичне алтернативе укључују употребу менаџера лозинки, система за једнократну пријаву и једноставно вођење папирних спискова мање критичних лозинки.^[14] Такве праксе могу смањити број лозинки које се морају запамтити, као што је главна лозинка менаџера лозинки, на број којим се лакше управља.

Референце

^ „passcode”. YourDictionary. Приступљено 17. 5. 2019.
^ „Passcode”. Your dictionary. Приступљено 17. 1. 2020.
^ „Šta znači LOZINKA?”. Sta znaci. Приступљено 31. 1. 2019.
^ „О примерима одзива/лозинки”. Web archive. Архивирано из оригинала 12. 10. 2008. г. Приступљено 17. 1. 2020.
^ ^а ^б Williams, Shannon (21. 10. 2020). „Average person has 100 passwords - study”. NordPass. Приступљено 28. 4. 2021.
^ Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (јун 2017). „NIST Special Publication 800-63-3: Digital Identity Guidelines”. National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3 . Приступљено 17. 5. 2019.
^ „authentication protocol”. Computer Security Resource Center (NIST). Архивирано из оригинала 17. 05. 2019. г. Приступљено 17. 5. 2019.
^ „Passphrase”. Computer Security Resource Center (NIST). Приступљено 17. 5. 2019.
^ Mark Bando (2007). 101st Airborne: The Screaming Eagles in World War II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Архивирано из оригинала 2. 6. 2013. г. Приступљено 20. 5. 2012.
^ McMillan, Robert (27. 1. 2012). „The World's First Computer Password? It Was Useless Too”. Wired magazine. Приступљено 22. 3. 2019.
^ Hunt, Troy (26. 7. 2017). „Passwords Evolved: Authentication Guidance for the Modern Era”. Приступљено 22. 3. 2019.
^ CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
^ Morris, Robert; Thompson, Ken (1978-04-03). „Password Security: A Case History.”. Bell Laboratories. CiteSeerX 10.1.1.128.1635 .
^ Fleishman, Glenn (24. 11. 2015). „Write your passwords down to improve safety — A counter-intuitive notion leaves you less vulnerable to remote attack, not more.”. MacWorld. Приступљено 28. 4. 2021.

Литература

Brandom, Russell (2017-07-10). „Two-factor authentication is a mess”. The Verge. Приступљено 2017-07-10.
Jacomme, Charlie; Kremer, Steve (2021-02-01). „An Extensive Formal Analysis of Multi-factor Authentication Protocols”. ACM Transactions on Privacy and Security (на језику: енглески). 24 (2): 1—34. ISSN 2471-2566. doi:10.1145/3440712.
Seema, Sharma (2005). Location Based Authentication (Теза) (на језику: енглески). University of New Orleans.
van Tilborg, Henk C.A.; Jajodia, Sushil, ур. (2011). Encyclopedia of Cryptography and Security, Volume 1. Springer Science & Business Media. стр. 1305. ISBN 9781441959058.
Andy Greenberg (2016-06-26). „So Hey You Should Stop Using Texts For Two-factor Authentication”. Wired. Приступљено 2018-05-12.
„NIST is No Longer Recommending Two-Factor Authentication Using SMS”. Schneier on Security. 3. 8. 2016. Приступљено 30. 11. 2017.
„Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"”. 6. 7. 2017. Приступљено 21. 5. 2019.
Tung, Liam. „Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in”. ZD Net. ZD Net. Приступљено 11. 9. 2017.
Chance Miller (2017-02-25). „Apple prompting iOS 10.3”. 9to5 Mac. 9to5 Mac. Приступљено 11. 9. 2017.
„How Russia Works on Intercepting Messaging Apps – bellingcat”. bellingcat (на језику: енглески). 2016-04-30. Архивирано из оригинала 2016-04-30. г. Приступљено 2016-04-30.
Toorani, Mohsen; Beheshti, A. (2008). „SSMS - A secure SMS messaging protocol for the m-payment systems”. 2008 IEEE Symposium on Computers and Communications. стр. 700—705. ISBN 978-1-4244-2702-4. S2CID 5066992. arXiv:1002.3171 . doi:10.1109/ISCC.2008.4625610.
Rosenblatt, Seth; Cipriani, Jason (15. 6. 2015). „Two-factor authentication: What you need to know (FAQ)”. CNET. Приступљено 2016-03-17.
„Location Authentication - Inside GNSS”. www.insidegnss.com. Архивирано из оригинала 2018-04-18. г. Приступљено 2016-07-19.
„Continuous voice authentication for a mobile device”.
„DARPA presents: Continuous Mobile Authentication - Behaviosec”. 22. 10. 2013. Архивирано из оригинала 12. 6. 2018. г. Приступљено 19. 7. 2016.
Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX. www.usenix.org. ISBN 9781931971232. Приступљено 2016-02-24.
Alex Perekalin (мај 2018). „Why you shouldn't ever send verification codes to anyone”. Kaspersky. Приступљено 17. 10. 2020.
„Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication” (PDF). Приступљено 17. 10. 2020.
Shankland, Stephen. „Two-factor authentication? Not as secure as you'd expect when logging into email or your bank”. CNET (на језику: енглески). Приступљено 2020-09-27.
„The Failure of Two-Factor Authentication – Schneier on Security”. schneier.com. Приступљено 23. 10. 2015.

Спољашње везе

Graphical Passwords: A Survey
Large list of commonly used passwords
Large collection of statistics about passwords
Research Papers on Password-based Cryptography
The international passwords conference
Procedural Advice for Organisations and Administrators (PDF)
Centre for Security, Communications and Network Research, University of Plymouth (PDF)
2017 draft update to NIST password standards for the U.S. federal government
Memorable and secure password generator Архивирано на сајту Wayback Machine (29. септембар 2021)
Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)

[:0-1] „passcode”. YourDictionary. Приступљено 17. 5. 2019.

[2] „Passcode”. Your dictionary. Приступљено 17. 1. 2020.

[3] „Šta znači LOZINKA?”. Sta znaci. Приступљено 31. 1. 2019.

[4] „О примерима одзива/лозинки”. Web archive. Архивирано из оригинала 12. 10. 2008. г. Приступљено 17. 1. 2020.

[nordpass100-5] а ^б Williams, Shannon (21. 10. 2020). „Average person has 100 passwords - study”. NordPass. Приступљено 28. 4. 2021.

[NIST-SP-800-63-3-6] Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (јун 2017). „NIST Special Publication 800-63-3: Digital Identity Guidelines”. National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3 . Приступљено 17. 5. 2019.

[7] „authentication protocol”. Computer Security Resource Center (NIST). Архивирано из оригинала 17. 05. 2019. г. Приступљено 17. 5. 2019.

[8] „Passphrase”. Computer Security Resource Center (NIST). Приступљено 17. 5. 2019.

[9] Mark Bando (2007). 101st Airborne: The Screaming Eagles in World War II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Архивирано из оригинала 2. 6. 2013. г. Приступљено 20. 5. 2012.

[10] McMillan, Robert (27. 1. 2012). „The World's First Computer Password? It Was Useless Too”. Wired magazine. Приступљено 22. 3. 2019.

[11] Hunt, Troy (26. 7. 2017). „Passwords Evolved: Authentication Guidance for the Modern Era”. Приступљено 22. 3. 2019.

[12] CTSS Programmers Guide, 2nd Ed., MIT Press, 1965

[13] Morris, Robert; Thompson, Ken (1978-04-03). „Password Security: A Case History.”. Bell Laboratories. CiteSeerX 10.1.1.128.1635 .

[14] Fleishman, Glenn (24. 11. 2015). „Write your passwords down to improve safety — A counter-intuitive notion leaves you less vulnerable to remote attack, not more.”. MacWorld. Приступљено 28. 4. 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Нормативна контрола
Државне	Израел Сједињене Државе
Остале	Енциклопедија Британика