Svaki dan koristimo niz aplikacija, mail naloga, naloga društevenih mreža (Facebook, Twiter, Linkedin) i svaku put nam je potrebno korisničko ime (user name) i lozinka (password) kako bismo pristupili istima. Relano, generisanje šifre i korisničkog imena predstavlja jedan od najjednostavnijih bezbjednosnih stavki za implementaciju, ali moram reći da sam primjetio da upravo njih korisnici nekako olako definišu. Stoga, želim da skrenem pažnju na upotrebu alata za generisanje šifri poput Strong Password Generator ili Strong Random Password Generator. Nedavno je kolega Aleksandar napisao dobar članak o tome kako ispravno generisati lozinku (password). Ovdje je moguće pročitati pravila, ideje i načine oko kreiranja jake šifre.
U ovom blogu, želio bih da odem korak dalje i da napišem kratka uputstva i informacije o drugim vidovima zaštite. Recimo dvo-faktorska autentifikacija je dobar način zaštite naloga. 2FA (two-factor authentication) je autentifikacija koja zahtjeva dva faktora da bi se izvršila identifikacija iz različitih kategorija akreditacije. Omogućavanje 2FA dodaje još jedan sloj zaštite. 2FA radi na način da od vas traži neku informaciju koju samo vi možete da pružite, npr. kod koji je poslat na Vaš telefon kako bi potvrdili logovanje na dati nalog.
Slika 1 . – prikaz dvo-faktorske autentifikacije
Dodaci koje preporučujem za 2FA su:
Obzirom da se dosta bavim web stranicama, a time i WordPress-om. Želio bih da istaknem nekoliko sigurnosnih “caka”, odnosno stvari na koje u ovom slučaju treba obratiti pažnju.
- Obavezno promijeniti podrazumjevani admin nalog
WordPress podrazumjevano kreira primarni domenski nalog „admin“. Zadržavanje ovog naziva predstavlja veliki bezbjednosni propust iz razloga što zlonamjerni korsnici imaju još samo jedan korak da pristupe vašem nalogu – treba da otkriju šifru „admin“ naloga. Mijenjanje podrazumjevanog domenskog naloga se vrši na veoma jednostavan način tako što ćete u sekciju „Users“ u WordPress panelu izabrati admin nalog i preimenovati ga. - Ograničavanje broja pokušaja logovanja
WordPress NEMA ograničenja u broju pokušaja pogrešnog logovanja. Na ovaj način zlonamjerni korisnici mogu neograničeno pokušavati da pogode lozinku i da pristupe Vašem sistemu.
Da bi riješili ovaj problem preporučujem sljedeće dodatke:
Najvažnije: iskoristite sve mogućnosti zaštite koje jedan sistem pruža. Kreirajte “pametan” username i “jak” password, koristite dvofaktorsku zaštitu ukoliko je moguće, vodite računa kako upravljate svojim nalogom.