Лозинка
| Овај чланак је део серије чланака о |
| Информатичкој безбедности |
|---|
| Сличне категорије безбедности |
| Претње |
| Одбрана |
Лозинка(нем.das Losungswort,енгл.password) илишифра(нем.die Chiffre), унапред је уговорен тајнисигнал,односно реч као елеменат распознавања.[1]У свету рачунара, лозинка је нашла примену приенкрипцији,персонализацији података.[2]
| одзив | лозинка |
|---|---|
| нож | Ниш |
| пушка | Параћин |
| затварач | Зајечар |
У војсци се за идентификацију стражара и командира страже користио пар речиодзивилозинка.Стражар и командир страже су морали знати и одзив и лозинку, као и било која особа која би прилазила стражарском месту. Када стражар примети особу која прилази, тражи идентификацију, односно „одзив “. Када особа која прилази изговори одзив, тада стражар изговори своју „лозинку “и тада су се обојица идентификовали. У уобичајеним ситуацијама би и одзив и лозинку претходно одређивао дежурни официр и важили би 24 часа.[3]Постојало је једноставно правило за бирање речи. И одзив и лозинка су морали бити по једна реч и почињати на исто слово. Одзив је морао бити део војничке опреме а лозинка неки географски појам, најчешће град.[4]
Традиционално се очекивало да се лозинке запамте, али велики број услуга заштићених лозинком којима типичан појединац приступа може учинити меморирање јединствених лозинки за сваку услугу непрактичним.[5]Користећи терминологију NIST смерница за дигитални идентитет,[6]тајну чува странка која се називаподносилацзахтева, док се странка која верификује идентитет подносиоца захтева називаверификатором.Када подносилац захтева успешно демонстрира верификатору познавање лозинке путем успостављеногпротокола за потврду идентитета,[7]верификатор је у стању да изведе закључак о идентитету подносиоца захтева.
Уопштено, лозинка је произвољанниззнаковаукључујући слова, цифре или друге симболе. Ако су допуштени знакови нумерички, одговарајућа тајна се понекад називалични идентификациони број(PIN).
Упркос свом имену, лозинка не мора бити стварна реч; заправо, не-реч (у речничком смислу) може бити бољи избор, што је пожељно својство лозинки. Запамћена тајна која се састоји од низа речи или другог текста одвојеног размаком понекад се назива и приступном фразом. Приступна фраза је слична лозинци у употреби, али прва је генерално дужа ради додатне сигурности.[8]
Историја[уреди|уреди извор]
Лозинке се користе од давнина. Стража би очекивала од оних који желе да уђу у подручје да им доставе лозинку илипаролу,и дозволила би особи или групи да прође само ако знају лозинку. Лозинке у војној употреби су еволуирале тако да укључују не само лозинку, већ лозинку и протупротивну лозинку; на пример, у првим данимабитке за Нормандију,падобранци 101. ваздушно-десантне дивизије САД користили су лозинку -flash- која је представљена као изазов, а на њу је одговорено тачним одговором -thunder.Изазов и одговор су се мењали свака три дана. Амерички падобранци такође су чувено користили уређај познат као „цврчак” наДан Думесто система лозинки као привремен јединствен метод идентификације; један метални клик који је уређај дао уместо лозинке био би одговорен са два клика у одговору.[9]
Лозинке су кориштене са рачунарима од најранијих дана рачунарства.Компатибилни систем за дељење времена(CTSS), оперативни систем представљен наMIT1961. године, био је први рачунарски систем који је применио пријаву лозинком.[10][11]CTSS је имао наредбу LOGIN која је захтевала корисничку лозинку. „Након што је укуцаналозинка,систем по могућности искључује механизам за исписивање, тако да корисник може да унесе своју лозинку са приватношћу. “[12]Почетком 1970-ихРоберт Морисје развио систем за складиштење лозинки за пријављивање у хешираном облику као деоЈуниксоперативног система. Тај систем је био заснован на симулираној крипто машини Хагелин ротора, и први пут се појавио у 6. издању Јуникса 1974. Каснија верзија његовог алгоритма, позната каоcrypt(3),користила је 12-битнусои позвала се на модификовани обликDES-а алгоритам 25 пута за смањење ризика од унапред прорачунатихнападана речник.[13]
Референце[уреди|уреди извор]
- ^„passcode”.YourDictionary.Приступљено17. 5. 2019.
- ^„Passcode”.Your dictionary.Приступљено17. 1. 2020.
- ^„Šta znači LOZINKA?”.Sta znaci.Приступљено31. 1. 2019.
- ^„О примерима одзива/лозинки”.Web archive.Архивирано из оригинала 12. 10. 2008. г.Приступљено17. 1. 2020.
- ^Williams, Shannon (21. 10. 2020).„Average person has 100 passwords - study”.NordPass.Приступљено28. 4. 2021.
- ^Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (јун 2017).„NIST Special Publication 800-63-3: Digital Identity Guidelines”.National Institute of Standards and Technology(NIST).doi:10.6028/NIST.SP.800-63-3
.Приступљено17. 5. 2019.
- ^„authentication protocol”.Computer Security Resource Center (NIST). Архивирано изоригинала17. 05. 2019. г.Приступљено17. 5. 2019.
- ^„Passphrase”.Computer Security Resource Center (NIST).Приступљено17. 5. 2019.
- ^Mark Bando (2007).101st Airborne: The Screaming Eagles in World War II.Mbi Publishing Company.ISBN978-0-7603-2984-9.Архивираноиз оригинала 2. 6. 2013. г.Приступљено20. 5. 2012.
- ^McMillan, Robert (27. 1. 2012).„The World's First Computer Password? It Was Useless Too”.Wired magazine.Приступљено22. 3. 2019.
- ^Hunt, Troy (26. 7. 2017).„Passwords Evolved: Authentication Guidance for the Modern Era”.Приступљено22. 3. 2019.
- ^CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
- ^Morris, Robert; Thompson, Ken (1978-04-03). „Password Security: A Case History.”.Bell Laboratories.CiteSeerX10.1.1.128.1635 .
Литература[уреди|уреди извор]
- Brandom, Russell (2017-07-10).„Two-factor authentication is a mess”.The Verge.Приступљено2017-07-10.
- Jacomme, Charlie; Kremer, Steve (2021-02-01).„An Extensive Formal Analysis of Multi-factor Authentication Protocols”.ACM Transactions on Privacy and Security(на језику: енглески).24(2): 1—34.ISSN2471-2566.doi:10.1145/3440712.
- Seema, Sharma (2005).Location Based Authentication(Теза) (на језику: енглески). University of New Orleans.
- van Tilborg, Henk C.A.; Jajodia, Sushil, ур. (2011).Encyclopedia of Cryptography and Security, Volume 1.Springer Science & Business Media. стр. 1305.ISBN9781441959058.
- Andy Greenberg (2016-06-26).„So Hey You Should Stop Using Texts For Two-factor Authentication”.Wired.Приступљено2018-05-12.
- „NIST is No Longer Recommending Two-Factor Authentication Using SMS”.Schneier on Security. 3. 8. 2016.Приступљено30. 11. 2017.
- „Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"”.6. 7. 2017.Приступљено21. 5. 2019.
- Tung, Liam.„Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in”.ZD Net.ZD Net.Приступљено11. 9. 2017.
- Chance Miller (2017-02-25).„Apple prompting iOS 10.3”.9to5 Mac.9to5 Mac.Приступљено11. 9. 2017.
- „How Russia Works on Intercepting Messaging Apps – bellingcat”.bellingcat(на језику: енглески). 2016-04-30. Архивирано изоригинала2016-04-30. г.Приступљено2016-04-30.
- Toorani, Mohsen; Beheshti, A. (2008). „SSMS - A secure SMS messaging protocol for the m-payment systems”.2008 IEEE Symposium on Computers and Communications.стр. 700—705.ISBN978-1-4244-2702-4.S2CID5066992.arXiv:1002.3171 .doi:10.1109/ISCC.2008.4625610.
- Rosenblatt, Seth; Cipriani, Jason (15. 6. 2015).„Two-factor authentication: What you need to know (FAQ)”.CNET.Приступљено2016-03-17.
- „Location Authentication - Inside GNSS”.www.insidegnss.com.Архивирано изоригинала2018-04-18. г.Приступљено2016-07-19.
- „Continuous voice authentication for a mobile device”.
- „DARPA presents: Continuous Mobile Authentication - Behaviosec”.22. 10. 2013. Архивирано изоригинала12. 6. 2018. г.Приступљено19. 7. 2016.
- Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX.www.usenix.org.ISBN9781931971232.Приступљено2016-02-24.
- Alex Perekalin (мај 2018).„Why you shouldn't ever send verification codes to anyone”.Kaspersky.Приступљено17. 10. 2020.
- „Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication”(PDF).Приступљено17. 10. 2020.
- Shankland, Stephen.„Two-factor authentication? Not as secure as you'd expect when logging into email or your bank”.CNET(на језику: енглески).Приступљено2020-09-27.
- „The Failure of Two-Factor Authentication – Schneier on Security”.schneier.com.Приступљено23. 10. 2015.
Спољашње везе[уреди|уреди извор]
- Graphical Passwords: A Survey
- Large list of commonly used passwords
- Large collection of statistics about passwords
- Research Papers on Password-based Cryptography
- The international passwords conference
- Procedural Advice for Organisations and Administrators(PDF)
- Centre for Security, Communications and Network Research,University of Plymouth (PDF)
- 2017 draft update to NIST password standardsfor the U.S. federal government
- Memorable and secure password generatorАрхивиранона сајтуWayback Machine(29. септембар 2021)
- Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
- Banks to Use Two-factor Authentication by End of 2006,(slashdot.org, 20 Oct 2005)
- Microsoft to abandon passwords,Microsoft preparing to dumppasswordsin favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)
| Државне | |
|---|---|
| Остале | |
