VISOKA ŠKOLA ELEKTROTEHNIKE I RAČUNARSTVA

STRUKOVNIH STUDIJA

Seminarski rad iz Aplikativnog softvera

Autentifikacija

Student: Predmetni nastavnik:

Miloš Dukić, NRT-23/21 mr Jelena Mitić

Beograd, decembar 2021.

 Miloš Dukić Autentifikacija

SADRŽAJ
1. UVOD.........................................................................................................................1
2. FAKTORI AUTENTIFIKACIJE..............................................................................2
2.1 Faktor znanja................................................................................................2
2.2 Faktor posedovanja.......................................................................................2
2.3 Faktor inherencije.........................................................................................2
2.4 Dalji ravzoj faktora autentifikacije...............................................................2
3. VIŠEFAKTORSKA AUTENTIFIKACIJA.............................................................4
3.1 Značaj višefaktorske autentifikacije.............................................................4
3.2 Dvofaktorska autentifikacija........................................................................4
3.3 Praktičnost dvofaktorske autentifikacije......................................................5
4. LOZINKE...................................................................................................................7
4.1 Upotreba lozinka..........................................................................................7
4.2 Prednosti i mane lozinka..............................................................................7
4.3 Menadžeri lozinka........................................................................................8
5. BIOMETRIJSKA LOZINKA.................................................................................10
5.1 Prednosti i mane biometrijske lozinke.......................................................11
6. SIGURNOSNI KLJUČEVI.....................................................................................12
7. ZAKLJUČAK..........................................................................................................14
8. LITERATURA.........................................................................................................15
 Miloš Dukić Autentifikacija

1. UVOD
Autentifikacija predstavlja proces određivanja da li je neko ili nešto ustvari ono za
šta se predstavlja da jeste. Tehnologija autentifikacije omogućava pristup kontroli sistema
tako što proverava da li se informacije koje korisnik pruža podudaraju sa informacijama
koje se nalazi u bazi podataka autorizovanih korisnika. Obavljanje ovoga procesa
obezbeđuje da sistemi, servisi i usluge na Internetu budu najsigurniji što je moguće.
Autentifikacija ne postoji samo u svet računarstva, već se odavno primenjivala i u
stvarnome svetu. Ona dolazi u vidu ličnih karti, pasoša, i sličnih stvari koje mogu da
dokažu naš identitet.
Dokazivanje našeg identiteta, odnosno uspešan proces autentifikacije je prvi i
neophodan korak kako bismo mogli da koristime servise i usluge na Internetu, jer ukoliko
korisnik ne potvrdi svoj identitet, sajt koji koristimo neće biti u mogućnosti kojim
resursima možemo da pristupimo, kao ni da vodi računa o našim aktivnostima na njemu.
Kako bismo utvrdili da li je neko zaista on za koga se predstavlja da jeste, potrebno
je da proverimo informacije koje su za njega jedinstvene i nepromenljive. Za to postoji
nekoliko načina, a na filmovima su najčešće u obliku:
 Osoba mora da potvrdi određenu informaciju koju samo on/ona može da
zna
 Osoba mora da ima određeni objekat njemu/njoj svojstven
 Proverite da li osoba ima neku primetnu, jedinstvenu osobinu
Slične opcije su dostupne i za proveru korisnika onlajn i to su tri osnovne metode
koje se kolektivno nazivaju faktori autentifikacije. Pojedinačno, ovi faktori su poznati kao:
 Faktor znanja
 Faktor posedovanja
 Faktor inherencije ili pripadnosti

Slika 1.1. Prva tri faktora (osnovni faktori)

(izvor: https://blog.extreme.rs/2016/06/22/autentifikacija/)

1
 Miloš Dukić Autentifikacija

2. FAKTORI AUTENTIFIKACIJE
2.1 Faktor znanja
Faktor znanja, tj. nešto što znate, predstavlja autentifikaciju koja može da se izvrši
pomoću bilo koje informacije koju korisnik poseduje, uključujući lični identifikacioni broj
(PIN, Personal Identification Number), korisničko ime, lozinku ili odgovor na tajno
pitanje.
2.2 Faktor posedovanja
Faktor posedovanja, tj. nešto što imate, predstavlja autentifikaciju koja se izvršava
na osnovu onoga što korisnik poseduje i što može da ponese sa sobom. To mogu da budu
hardverski uređaji kao mobilni telefoni preko kojeg primamo SMS ili na koji instaliramo
aplikaciju za autentifikaciju koja može da generiše lozinku za jedno korišćenje, ili
sigurnosni tokeni.
2.3 Faktor inherencije
I na kraju od osnovna tri faktora, postoje i faktori inherecije. Faktor inherencije ili
pripadnosti, tj. ono šta jeste se uglavnom zasniva na nekoj vrsti biometrijske identifikacije,
kao što su otiski prsta, prepoznavanja lica ili mrežnjače, ili bilo koje druge biometrijske
karakteristike čoveka.
Ne tako davno bili su samo deo naučne fantastike i špijunskih filmova, a danas su
skoro redovne karakteristike prenosnih i mobilnih uređaja. Čitači otiska prsta, kao najčešći
primer, verifikuju identitet korisnika na osnovu jedinstvenog otiska prsta. Pojedini pametni
telefoni nude i skener zenice koji će na osnovu jedinstvenog rasporeda mrlja i kolornog
spektra proveriti identitet korisnika. Sve više su prisutni i skeneri za prepoznavanje lica i
poređenje sa poznatom bazom korisnika.
2.4 Dalji ravzoj faktora autentifikacije
Jedan od načina za unapređenje autentifikacije je pronalaženje novih faktora.
Nekolicina njih je već u upotrebi, a da ih možda i niste primetili:
 Faktor lokacije – gde se nalazite
 Faktor ponašanja – šta radite
 Faktor vremena – kada se autentifikujete
Iako se koriste kao dodatni faktori, oni sami za sebe nisu dovoljni, već je potreno
da se koriste zajedno sa bar jednim od osnovna tri faktora autentifikacije. Pošto se ljudi
stalno kreću sa jednog mesta na drugo, rade različite stvari, i koriste usluge kad god hoće,
ovi faktori možda zvuče beskorisno, ali se ipak dokazalo da mogu biti korisni u
zaustavljanju neovlašćenog pristupa.
Faktor lokacije, tj. gde se nalazite može da bude manje specifičan od prethodno
pomenutih faktora, ali se uglavnom koristi u sprezi sa ostalim faktorima. Lokacija
korisnika može da se odredi sa dovoljnom preciznošću pomoću korišćenja GPS sistema, ili
sa manje preciznosti, preko IP adresa i ruta. Faktor lokacije nije dovoljan da se koristi
samostalno, ali može da pomogne ostalim faktorima tako što će da odredi koji zahtevi za
autentifikaciju su očigledno od nekoga ko ima zle namere. Na primer, može da spreči
hakera koji živi na nekom udaljenom mestu da se predstavlja kao korisnik koji se uvek
autentifikuje samo od svoje kuće ili kancelarije.
Vremenom se ispostavilo da faktor ponašanja korisnika može biti jedinstven koliko
i otisak prsta – pretraživanje Interneta, glasovi, kretanje miša, dodiri po ekranu, rukopis i
2
 Miloš Dukić Autentifikacija

slični šabloni koje svakodnevno ponavljamo mogu biti dodatni način za proveru identiteta.
Pored uobičajnog unosa lozinke, noviji pametni telefoni nude i mogućnost definisanja
oblika koji ćete iscrtati na ekranu ukoliko želite da otključate uređaj.
Možda ste se čak i susretali sa ova dva faktora ako je neko ko je neovlašćen
pokušavao da se uloguje na vaše naloge na društvenim medijima, mejl naloge, ili slično.
Ako ste, na primer, na telefonu stalnu ulogovani, i neko iz druge države pokuša da se
uloguje na vaš nalog, izaćiće vam poruka o pokušaju logovanja koja će tražiti potvrdu o
tome da li ste to zaista vi pokušali da se ulogujete. Kako sam primetio, ovakve poruke će
vam takođe saopštiti iz koje države je osoba koja je pokušala da se uloguje na vaš nalog.
Od primera vezanih za ponašanje korisnika, susretao sam se sa njima prilikom pravljenja
novoga naloga na usluzi Gmail, kako bih napravio nove naloge na različitim sajtovima.
Ako Gmail primeti da se ponašate dovoljno sumnjivo, tako što na primer primate ili šaljete
veliki broj mejlova u kratkom vremenskom roku, on će vam ograničiti pristup nalogu dok
ne potvrdite vaš identitet tako što će te im dati broj vašeg mobilnog telefona.
Takođe, sem ova dva faktora koja dobijaju na primeni, postoji još i vremenski
faktor, koji omogućava pristup jedino u nekom određenom vremenskom intervalu, ali to
baš i nema puno smisla za većinu usluga i servisa koje koristimo na Internetu. Međutim,
ono što ima smisla, i vezano je za vremenski faktor je ograničeno vreme pristupa nekom
servisu posle uspešne autentifikacije. Može biti da je neko na neki način uspeo da pristupi
našem uređaju, koji je već ulogovan na neke servise. Ako se posle određenog vremena ta
autentifikacija poništi, šteta koju neovlašćena osoba može da napravi na našem nalogu se
smanjuje.

3
 Miloš Dukić Autentifikacija

3. VIŠEFAKTORSKA AUTENTIFIKACIJA
Višefaktorska autentifikacija (uključujući i dvofaktorsku autentifikaciju) je metoda
elektronske autentifikacije pomoću koje se identitet korisnika dokazuje jedino ako on uz
pomoć dva ili više faktora uspe da dokaže da je onaj za koga se predstavlja da jeste.
3.1 Značaj višefaktorske autentifikacije
Osnovna autentifikacija sa korisničkim imenom i lozinkom je česta meta napada,
pa je korišćenje više od jednog faktora autentifikacije sve popularniji pristup u proveri
identiteta korisnika.
Zašto je višefaktorska autentifikacija važna? Recimo da neko ko vas dobro poznaje
otkrije vašu lozinku za elektronsko bankarstvo. Lozinka je faktor znanja. Osoba koja vas
dobro poznaje, možda će moći bez problema da prođe i druge autentifikacije zasnovane na
faktoru znanja (ako ih je banka postavila): gde su se vaši roditelji upoznali, u koju školu ste
išli, itd.
Sa druge strane, ako bi postojao još jedan faktor sigurnosti, recimo verifikacioni
kod poslat na vaš mobilni telefon, hakovanje računa bi bilo znatno otežano, jer bi dolazak
u posed telefona (ili presretanje i dekriptovanje poruke na telefonu) tražilo još dosta truda.
Dakle, bilo koji faktor autentifikacije se može “provaliti”, ali je potrebno puno više
truda da se nekoliko različitih faktora autentifikacije provale odjednom. Na primer, ako
imate podešenu višestepenu autentifikaciju za e-banking aplikaciju, pa saznate da su
lozinke korisničkih naloga banke provaljene, vaš nalog će i dalje biti obezbeđen dodatnim
faktorom autentifikacije i imaćete vremena da promenite svoju lozinku.
U ovom trenutku većina nas poznaje barem jednog korisnika čiji je online nalog bio
„hakovan“. Osnovna autentifikacija sa korisničkim imenom i lozinkom je česta meta
napada, pa je korišćenje više od jednog faktora autentifikacije sve popularniji pristup u
proveri identiteta korisnika.
3.2 Dvofaktorska autentifikacija
Metod prijavljivanja korisnika kroz dva faktora autentifikacije se i zove tako –
dvostruka autentifikacija ili dvostruka verifikacija; skraćeno 2FA ili TFA (Two Factor
Authentication). Ukoliko je u procesu prijavljivanja aktivan 2FA, čak i ako korisnik
slučajno ili namerno oda svoje kredencijale, nalog će biti zaštićen sve dok napadač nema
pristup drugom faktoru.
Danas je u praksi najrasprostranjeniji upravo taj model višestepene autentifikacije –
dvostepena autentifikacija. Obično kombinacijom lozinke (faktor znanja) i potvrde kodom
sa aplikacije za mobilni telefon, ili SMS poruke (faktor posedovanja).
Važno je napomenuti da se SMS poruke relativno lako presreću, tako da je za 2FA
puno bezbednije koristiti aplikaciju za mobilni (koja koristi kriptovanu vezu za Internet).
Najpoznatije aplikacija je Google Authenticator. Velika većina sajtova podržava 2FA
logovanje pomoću ove aplikacije. Pored ove aplikacije, postoji i aplikacija Authy, koja je
možda čak i popularnija i koja takođe podjednako podržava veliki broj sajtova kao
prethodno navedena aplikacija.
Ove aplikacije su veoma pogodne za korisćenje pošto smo u današnje vreme
praktično neodvojivi od naših mobilnih uređaja. To znači da nam ovaj vid dvofaktorske
autentifikacije neće praviti nikakve nove poteškoće, a zauzvrat dobijamo veću bezbednost
naših korisničkih naloga.

4
 Miloš Dukić Autentifikacija

Slika 3.2.1. Primer upotrebe dvofaktorske autentifikacije

(izvor: https://dojowithrenan.medium.com/the-5-factors-of-authentication-bcb79d354c13)

Kako to radi? Kada podešavate 2FA za neki sajt, server generiše tajni ključ i šalje
ga aplikaciji (na mobilnom telefonu). Kasnije, kada se pokušavate ulogovati pomoću 2FA,
server izračuna neku vrednost (obično šestocifreni broj) na osnovu određene matematičke
formule koja koristi trenutno vreme i tajni ključ (podeljen sa aplikacijom pri podešavanju
2FA). Ipak, taj broj se ne prikazuje! Mobilna aplikacija, kada je pokrenete, računa broj
istim algoritmom. S tim što, za razliku od servera, ona pokazuje taj broj – kako biste ga
mogli uneti na sajtu i time se autentifikovati.
Ovaj broj se još naziva i “privremena lozinka za jednokratnu upotrebu” (TOTP –
Temporary One-Time Password). Obično važi 30 sekundi, a onda se računa novi broj, koji
opet važi svega 30 sekundi.
Šta se dešava ako ne možete koristiti mobilni telefon, ili ako je ukraden, izgubljen?
Pa, prilikom podešavanja 2FA, obično dobijate i nekoliko bekap (backup) kodova (svaki
pojedinačni se može koristiti samo jednom, tj. za jednokratnu upotrebu), baš u slučaju
ovakvih situacija. Te kodove možete da čuvate gde želite – možete da ih napišete
hemijskom na parče papira koje ćete da čuvate, u tekstualnoj datoteci na vašem računaru,
na određenim uslugama na Internetu, ili ako verujete da možete da zapamtite kod, u vašoj
glavi. Ali ipak to i dalje ne garantuje da taj kod nećete da zaboravite, ili ako ste ga negde
zapisali, da nećete da zaboravite gde ste ga sačuvali. U sledećem delu teksta će biti o reči o
načinu na koji možete da smanjite koliko zavisite od bekap kodova u slučaju gubitka
mobilnog uređaja na kome ste postavili aplikaciju za dvofaktorsku autentifikaciju.
3.3 Praktičnost dvofaktorske autentifikacije
Dvofaktorska autentifikacija ne bi trebalo da vam pruža nikakve smetnje u
dnevnom životu, pošto naše mobilne uređaje svejedno skoro uvek držimo pri sebi. Ali u
slučaju da smo naš telefon izgubili, ili da smo ga ostavili u nekoj drugoj prostoriji, a baš
sam se ne da da ustanemo i odemo po njega, dvofaktorska autentifikacija bi mogla da nam
se učini nezgodnom. Pogotovo ako nam se nešto tako često dešava, dvofaktorska
autentifikacija bi mogla da nam dosadi, i odlučili bi da je ne koristimo, iako ona pruža
veoma dobar vid sigurnosti.
Zbog toga bih rekao da je umesto aplikacije Google Authenticator bolje koristi
aplikaciju Authy, koja pruža opcije za lagodnije korišćenje dvofaktorske autentifikacije.

5
 Miloš Dukić Autentifikacija

Authy se može postaviti i na bilo koji računar, ne samo na mobilni telefon. Samo
autorizujete računar pomoću aplikacije (procedura je slična postavljanju 2FA na bilo koji
sajt). Možete računaru dati opisno ime lako za pamćenje (Posao, Home, Laptop…). U
slučaju da je bilo koji računar kompromitovan (ukraden), možete ga, preko bilo kojeg
drugo autorizovanog uređaja/računara, obrisati sa liste autorizovanih. Mada su i
autorizovani uređaji zaštićeni lozinkom, kao dodatna mera bezbednosti, tako da na primer
kolega ne može na brzinu sesti za računar i (zlo)upotrebiti vašu Authy dvofaktorsku
autentifikaciju.
Mnogo je praktičnije kada se ne mora uzimati mobilni telefon, već kada se
dvofaktorska autentifikacija može obaviti preko računara, preko koga ćemo svejedno
pristupati sajtovima i servisima kako bi smo se ulogovali na njih. Takođe onda nema
previše opterećenja o tome da li ćemo bekap kodove koje smo zapisali negde izgubiti, i da
li nam je telefon prazan, izgubljen ili nedostupan.
Poželjno je koristiti 2FA za sve stvari koje su vam bitne, odnosno one za koje bi u
slučaju neovlašćenog pristupa imali ozbiljnih problema. Nalog za banku, ili Fejsbuk
stranicu – na vama je da procenite. Naravno ništa nije 100% sigurno, ali dvofaktorska
autentifikacija vam u velikoj meri povećava šanse da ne budete hakovani.

6
 Miloš Dukić Autentifikacija

4. LOZINKE
Lozinke su jedne od najčešćih i glavnih metoda autentifikacije koje se koriste kako
bi se potvrdio nečiji identitet. Lozinka ili šifra je unapred ugovoren tajni signal, odnosno
reč kao elemenat raspoznavanja. One se još odavno koriste. Straža bi očekivala od onih
koji žele da uđu u područje da im dostave lozinku ili parolu, i dozvolila bi osobi ili grupi
da prođe samo ako znaju lozinku. Slično tome, kako bi pristupili nekom nalogu na nekom
od servisa na Internetu, potrebno je da damo lozinku koja će potvrditi da smo mi oni za šta
se predstavljamo da jesmo.
4.1 Upotreba lozinka
Kako bi naši korisnički nalozi na Internetu ostali što sigurniji, potrebno je da
imamo jedinstvene lozinke za svak od njih. Nije mudro koristiti jednu te istu lozinku za
svaki, jer ako jedna od tih lozinki postane ugrožena, zlonamerna osoba će da zna lozinku i
za sve naše ostale naloge, koji nam mogu biti veoma značajni, pogotovo ako je u pitanju
nalog za banku.
Kako bi naša lozinka bila što sigurnija, potrebno je da bude dugačka, i da ne bude
nešto očigledno, kao naše ime, prezime, datum rođenja, ime ljubimca i slično. Istraživanja
su pokazala da bi lozinke trebale da imaju minimalnu dužinu od 15 karaktera i da budu
sačinjene od različitih karaktera. To znači da se osim slova i brojeva, takođe trebaju
koristiti specijalni znakovi kao što su znakovi interpunkcije.
Takođe postoje i tehnike kako bi što lakše zapamtili naše lozinke. Možemo na
primer da uzmemo neku frazu ili rečenicu, ili da zamislimo neku sliku u glavi koja nas
asocira na nju. Takođe bi smo na na kraj te lozinke mogli da dodamo neke određene
brojeve ili reči koje nam je veoma lako zapamtiti. Ako imamo mnogo naloga, kako ne
bismo koristili jednu skroz istu lozinku za svaki nalog, takođe bi smo mogli da uzmemo tu
prethodnu smišljenu lozinku, i samo malkice je izmenimo. Na primer, da izmenimo par
karaktera lozinke, ili da dodamo još nešto na tu već postojeću lozinku. To će značajno
smanjiti težinu pamćenja svih naših različith lozinka.
4.2 Prednosti i mane lozinka
Postoji mnogo boljih i lakših načina autentifikacije nego što su lozinke. Međutim,
lozinke i dalje opstaju u upotrebi, zašto? Odgovor na to pitanje je da iako postoje lakši
načini autentifikacije kao što su čitači otiska prsta, lozinke su najlakše i najekonomičnije za
korišćenje. Uz to, svi smo takođe navikli na njih, a većina ljudi ne voli promene. Bilo bi
skupo potpuno izbaciti lozinke iz upotrebe.
Kod lozinka je dobro to što, ako se dobro čuvamo, možemo biti sigurni da niko
neće saznati za njih, a ako neko ih neko sazna to je zbog toga što je sajt na kome imamo
nalog čuvao lozinke na loši način i imao sigurnosne mane. Ne moramo da brinemo da će
neko da uzme naš prst i očita ga, pošto to sa lozinkom nije moguće uraditi.
Lozinke se svuda koriste, ne moramo da brinemo da takav način autentifikacije
neće biti moguć na nekim od usluga ili servisa Interneta koje želimo da koristimo. Takođe,
ako se ukaže potreba za menjanje lozinke, na primer ako je sajt na kome imamo nalog
kompromitovan, to možemo lako i brzo da učinimo. Lozinke se koriste dugi niz godina, i
dokazan i testiran su način za autentifikaciju.
Za mane bi smo mogli reći da su brojnije, ali moguće ih je prevazići. Ako želimo
da imamo sigurne lozinke, potrebno je da za svaki poseban sajt imamo jedinstvenu lozinku
koja se razlikuje od lozinka sa drugih sajtova. Što više naloga imamo, to postaje sve teže

7
 Miloš Dukić Autentifikacija

da zapamtimo. Takođe kako bi lozinke bile sigurno, potrebno je da budu dugačke ili
kompleksne, čineći ih još teže za pamćenje.
Neko može da sazna našu lozinku čak i bez naše krivice. Moguće je da se desi da
sajt koji koristimo bude napadnut i da hakeri saznaju šifre korisnika, ako je sajt bio
nemarljiv i nije šifrovao naše lozinke. U slučaju da se to desi, a lozinke su šifrovane, i dalje
je neophodno zameniti tu šifru nekom novom, radi maksimalne sigurnosti. Uz to, ako je
neko baš zacrtao da želi pristup našem nalogu, može da se obrati korisničkom servisu i da
se pravi da smo mi, kako bi mu korisnički servis restartovao šifru za naš nalog. Postoji
dosta takvih slučajeva, kao i slučajevi presretanja internet saobraćaja ili tehinka zamene
sim kartice, kako bi neko dobio neovlašćeni pristup tuđem nalogu.
Ako smo na nekom javnom mestu, ili na mestu gde su u blizini nas drugi ljudi, ili
čak kamere, a trebamo da se ulogujemo na neki sajt, tu takođe može doći do problema.
Moguće je da neko prati ili snimi pokrete koje pravimo i da iz toga sazna šta je naša
lozinka.
Takođe može da dođe i do to ga da računar koji delimo zajedno sa našim članovima
porodice bude zaražen virusima, a da mi to ne znamo. Možda neki član naše porodice nije
toliko vešt sa tehnologijom i slučajno skine virus koji za cilj ima da ukrade naše lozinke.
Onda će taj virus sledeći put kad se budemo logovali na neki sajt našu lozinku poslati tom
hakeru, a moguće je da takođe i pošalje tokene naloga na koje smo već ulogovani i tako
dobije pristup i tim nalozima.
4.3 Menadžeri lozinka
Menadžeri lozinka mogu biti aplikacije ili dodaci koje možete da dodate na vaš veb
pretraživač. Oni pomažu u vođenju računa o svim vašim lozinkama na svim različitim
sajtovima koje koristite, a neki od njih pružaju i dodatne mogućnosti, kao na primer
čuvanje bitnih podataka kao što su podaci o kreditnim karticama.
Oni u velikoj meri pomažu da se mane lozinki prevaziđu. Više ne morate da brinete
da li će vaša lozinka biti dovoljno jaka ali sa manom da ju je teško zapamtiti zato što
menadžer lozinka može to da zapamti umesto vas. Potrebno je samo da zapamtite jednu
glavnu lozinku, koju koristite da pristupite menadžeru lozinka, i onda imate pun pristup
svim vašim lozinkama. Zbog toga je mnogo lakše da koristite posebne lozinke za svaki sajt
kojem pristupate, što povećava sigurnost vaših naloga.
Menadžeri lozinka, sem toga što pamte sve vaše lozinke, mogu takođe da ih i
generišu. Možete da izaberete koliko duga može da bude vaša lozinka, kao i koji karakteri
mogu da se pojavljuju u njoj. To je još jedna opcija koja vam pomaže u tome da imate
jedinstvene lozinke za svaki nalog. Pored toga možete da izaberete da umesto nasumičnog
niza karaktera, menadžer generiše lozinke tako što će da spoji više različitih reči. To može
u velikoj meri da pomogne tako što, ako tu lozinku prekucavate sa vašeg mobilnog
telefona na nekom računaru koji ne posedujete ako ste na primer u školi ili na poslu, biće
vam mnogo lakše i brže da je prekucate, pošto ono što kucate ima smisla. Takođe mogu i
da vam saopšte koliko je vaša lozinka jaka, to jest koliko je bezbedna. Ako je šifra koju
trenutno koristite bila ranije ugrožena, menadžeri lozinki takođe imaju opciju da provere
sve poznate lozinke koje su hakeri saznali i da vas saopšte o tome, a na vama je da je
zamenite drugom.
Lozinke koje su zapamćene u mendažeru lozinka su šifrovane. To znači da niko ne
može da sazna koje su to lozinke čak iako dobije pristup vašem uređaju. Naravno, ako
neko sazna koja je lozinka koju koristite za pristup menadžeru lozinka, to ujedno znači da
mogu da ih dešifruju i saznaju vaše ostale lozinke, tako da je potrebno da vaša šifra bude
8
 Miloš Dukić Autentifikacija

dovoljno bezbedna i da je niko ne sazna. Kad smo već kod pitanja glavne lozinke za
menadžer, ako je zaboravite, izgubićete pristup lozinkama koje ste čuvali u menadžeru.
Ali, pošto je moguće da se menadžer lozinki koristi na više uređaja, kao na primer vašem
mobilom uređaju, ako ste na nekom drugom uređaju već ulogovani, moćete taj problem da
rešite.
Kao što je na početku rečeno, menadžeri lozinka mogu da budu u formi dodataka
za vaš veb pretraživač ili u vidu aplikacije koju instalirate na vašem računaru. Iako postoje
te dve opcije, eksperti se slažu da je umesto dodataka za veb pretraživač, menadžere
lozinka najbolje koristiti u formi aplikacija, pošto to pruža veću sigurnost. Ukoliko posetite
neki lošenamerni sajt, moguće je da sajt bez vašeg znanja pristupi informacijama na vašem
veb pretraživaču. Menadžeri lozinka kao ekstenzije se lakše koriste, tako što mogu
automatski da se uloguju na sajt kada ste na sekciji za logovanje, ali pitaje je šta vam je
bitnije, sigurnost ili koliko brzo ćete se ulogovati?

Slika 4.3.1. Izgled menadžera lozinka Bitwarden

(izvor: https://twitter.com/bitwarden/status/976822321922039809)

9
 Miloš Dukić Autentifikacija

5. BIOMETRIJSKA LOZINKA
Biometrija sve više postaje popularna kao način dokazivanja identiteta, pre svega
na vašim mobilnim uređajima. Većina savremenih telefona nudi opcije da se telefon
otključa pomoću otiska prsta, ili lica. Biometrijska lozinka koristi jedinstvene
karakteristike korisnikovog tela da dokaže da je on taj za kog se predstavlja da jeste.
Postoji više različitih načina realizacije biometrijskih lozinki:
 Skeniranje otiska prsta
 Prepoznavanje lica
 Autentifikacija putem glasa
 Skeniranje dužice ili mrežnjače oka
 Prepoznavanje rukopisa
 Uklapanje DNK
 Uklapanje oblika uva
 Prepoznavanje potpisa
Mi se danas najčešće susrećemo sa prva četiri tipa. Kao što je prethodno rečeno
najčešće ih primećujemo kod modernih mobilnih uređaja, poput mobilnih telefona ili
laptopova, ali možemo takođe da kupimo uređaje koji će omogućiti da biometrijske
lozinke koristimo i na našem personalnom računaru.

Slika 5.1. Očitavanje otiska prsta

(izvor: https://www.gettyimages.com/detail/photo/fingerprint-identification-access-granted-
royalty-free-image/934914760)

Podaci o biometrijskim karakteristikama korisnika se prikupljaju fizičkim putem,

pomoću skenera ili kamere koja poseduje sposobnosti snimanja i koja je opremljenja
softverom za prepoznavanje, odnosno identifikaciju. To znači da korisnik mora da bude
fizički prisutan kako bi uređaju pružio neophodne informacije za autentifikaciju.
Zbog toga što su ove fizičke karakteristike jedinstvene, one mogu da se koriste za
autentifikacju korisnika. Međutim, one ne menjaju u potpunosti ostale tipove
autentifikacije, uključujući klasične lozinke. Zbog toga, mnogi sistemi praktikuju
kombinacju biometrije, kao i lozinka kao način za autentifikacju korisnika. To se u
glavnom realizuje u vidu opcije gde možemo da izaberemo da li želimo da se ulogujemo
pomoću biometrije ili lozinke koju posedujemo. Takođe može da se desi da sistem od nas
zatraži da se ulogujemo pomoću lozinke, i da nam ne dopušta da se ulogujemo pomoću
biometrije na neki određeni vremenski period, kako ne bi zaboravili našu lozinku, ako bi
nam ona kojim slučajem bila potrebna u nekoj budućoj situaciji.

10
 Miloš Dukić Autentifikacija

Kada se koristi biometrijska lozinka, korisnik pruža fizičke dokaze o njegovom

identitetu tako što na primer pritiska prst na čitač otiska prsta. Sistem za autentifikacju
onda preuzme te informacije i upoređiva ih sa informacijom njihovog digitalnog identiteta.
Ako se informacije podudaraju, sistem izvlači lozinku koja je vezana za taj identitet i
koristi je kako bi autentifikovala korisnika na nekoj aplikaciji ili uređaju. Iako ovo izgleda
nepotrebno komplikovano, ovo u stvari omogućava korisnicima da na brži način pristupaju
servisima i uređajima za koje imaju naloge bez potrebe da se previše opterećuju sa
zapamćivanjem lozinka.
5.1 Prednosti i mane biometrijske lozinke
Kao što možemo da zaključimo iz prethodnog teksta, primena biometrije u
autentifikaciji donosi značajne prednosti, a najveća od njih je veoma prosti i brz način
autentifikacije. Zbog toga je pogodnost ovog vida autentifikacije jedna od najboljih. Ljudi
često zaboravljaju svoje lozinke ili loše rukovode sa njima, zbog čega bi lozinke često
morale da se resetuju. Primenom biometrije to ne ne predstavlja nikakav problem,
verovatnoće da će da odseku prst, izgube oko, ili da će im se unakazati lice su male.
Sem toga što je moguće zaboraviti klasičnu lozinku, mogućnost da će neki haker da
je ukrade je isto velika. Zlonamerni sajtovi mogu lako da ukradu lozinku koju ukucavate i
zato je pogodnije koristiti biometriju. Uz ovo, biometrija može da bude vrlo pogodan vid
za upotrebu multifaktorske ili dvofaktorske autentifikacije, a da se stvari puno ne
komplikuju. Samo pogledate u kameru ili stavite prst na skener otiska prsta – i gotovo,
ništa što će posebno da vam zauzima dragocene sekunde vremena.
Pogodno kod biometrije je takođe i to što je ona veoma fleksibilna i skalabilna
potom što je sistem implementiran. Biometriju je moguće koristiti na radnim stanicima,
pametnim telefonima, mobilnim uređajima i na velikom broju raznovrsnih aplikacija i
servisa. Za kompanije je veoma koristan zato što će da smanji svu zbrku i probleme koje
mogu da nastanu kod klasičnih lozinki, bez potrebe da ih tim zadužen za to razreši, pri čim
im to daje više vremena da posvete drugim stvarima. Biometrijski sistem može da bude
skuplji za implementaciju na početku, ali se vremenom to nadoknadi pošto se mnogi
skriveni problemi, a tako i troškovi mogu razrešiti primenom biometrije.
Međutim, biometrijske lozinke nisu bez svojih mana, i neophodno je da razumemo
bezbednosne mane koje mogu da se stvore ako se previše oslanjamo na njih. Biometriju je
moguće zaobići – kineski hakeri su našli način da hakuju biometrijske lozinke koje se
oslanjaju na otisak prsta koristeći samo mobilnu aplikaciju, hardver u vrednosti od 150
dolara i utisak nečijeg otiska prsta. Dok je biometrija tipično bezbedna i otporna, ona je
takođe podložna napadima na specifične načine.
Takođe, bitno je znati da su biometrijske lozinke u svojoj srži i dalje lozinke,
biometrija samo predstavlja prečicu koja lozinku direktno šalje aplikaciji ili servisu kada
prepozna odgovarajući tisak prsta, mesto toga da moramo samostalno da je otkucavamo.
Ako je korisnik ima podešenu slabu lozinku, ili ako je hakeri saznaju, onda je i dalje
moguće da pristupe metodama biometrijske autentifikacije, što je, kao što smo videli,
veoma moguće učiniti.
Iako je biometrija veoma pogodan način za autentifikaciju, to ne znači da svi servisi
i aplikacije podržavaju taj vid autentifikacije. Ako se previše oslonimo čisto na
biometrijsku autentifikaciju i zaboravimo kako treba da se ophodimo prema lozinkama
onda kada nam ponovo zatrebaju, stvari mogu olako da zaguste. Uz to, veoma bitno je to
da naše biometrijske karakteristike ne mogu da se promene. Ako podaci o našim
biometrijskim karakteristikama na neki način budu otkriveni i kompromitovani, onda ćemo

11
 Miloš Dukić Autentifikacija

biti primorani da pređemo na vid biometrijske autentifikacije za koju podaci o toj

karakteristici nisu bili prethodno registrovani, ili na neki potpuno drugi tip autentifikacije.

12
 Miloš Dukić Autentifikacija

6. SIGURNOSNI KLJUČEVI
Dvofaktorska autentifikacija je dobar način da se doda još jedan sloj sigurnosti za
vaše naloge na onlajn servisima ili aplikacijama. Međutim, za nju je potrebno upotreba
mobilnog uređaja, što i nije baš zgodno, a može i da predstavi problem ako taj uređaj
izgubite ili ako mu neko uspe pristupiti. Hardverski sigurnosni ključevi mogu da ponude
dodatni sloj sigurnosti vašim onlajn nalozima koji su zaštićeni lozinkom, a uz to i vaš
identitet. Dobra stvar kod njih je to što su jednostavni za upotrebu.
Sigurnosni ključ je fizički uređaj, odnosno hardver koji možete da koristite za
autentifikaciju. Jedan sigurnosni ključ je moguće koristiti na koliko god uređaja želite,
pošto su oni prenosivi. Tipično se umeću u uređaj preko USB porta, a moguće je i bezično
povezivanje. Nakon što ga povežete sa računarom, pritisnete dugme na sigurnosnom ključu
i on će verifikovati vaš identitet za određeni servis ili aplikaciju. Toliko su malih dimenzija
da ih možete nositi na privesku za ključeve, a postoje i neki koji su još manji da je
najbezbednije držati ih uvek priključene u uređaj. Uglavnom služi da se realizuje
dvofaktorska autentifikacija, to jest koristi se u paru sa klasičnom lozinkom.
Pre nego što možete da počnete da koristite vaš sigurnosni ključ potreno je podesiti
ga. Posle toga je moguć siguran pristup vašim onlajn nalozima na različitim sajtovima tako
što ukucate vašu lozinku, uključite sigurnosni ključ, i dodirnete dugme na njemu. Kada
sigurnosni uključite u vaš uređaj ili ga bežično uparite, vaš pretraživač šalje izazov
sigurnosnom ključu, koji sadrži ime domena sajta koji posećujete. Sigurnosni ključ zatim
kriptografski potpisuje i dopušta taj izazov, prilikom čega se logujete na servis.
Predstavlja vid faktora inherencija, to jest onoga što posedujete. Sigurnosni ključevi
mogu da se koriste za realizaciju jedinstvenog prijavljivanja (SSO, Single Sign-On),
multikfaktorske autentifikacije, a ponekad podržava i autentifikaciju standarda brze onlajn
provere identieta (FIDO, Fast Identification Online), kao što je univerzalni drugi faktor
(U2F, Universal Second Factor).
Zadržite na umu to da podatke na sigurnosnom ključu ne možete da kopirate,
menjate ili čuvate na nekom drugom sigurnosnom ključu, čak iako su istog modela. To nije
mana, nego su tako namerno napravljeni kako ključevi ne bi mogli lako da se kopiraju i
koriste negde drugde. To znači da za razliku od klasičnih lozinka, ukoliko vam neko fizički
ne ukrade ključ, neće moći da pristupi vašim nalozima. Ako izgubite vaš sigurnosni ključ,
moraćete da iskoristite dvofaktorsku autentifikaciju na vašem mobilnom uređaju ili
aplikaciju za dvofaktorsku autentifikaciju kako bi ste ponovo pristupili vašim nalozima, a
zatim ćete morati ponovo da autorizujete novi sigurnosni ključ.
Mnogi sajtovi i aplikacije podržavaju primenu sigurnosnih ključeva, a neki od njih
su Tviter, Fejsbok, Gugl, Instagram, GitHub, Dropboks, Majkrosoftove usluge računa,
Nintendo i Okta. Takođe, i većina veb pregledača podržava upotrebu sigurnosnog ključa
kako bi im se pristupilo. Jedina mana kod ovoga je što ne podržavaju baš svi sajtovi
sigurnosne ključeve, ali vremenom će sve veći broj njih da ih podržava. Pored svih tih
stvari, sigurnosni ključ takođe možete da koristite da se ulogujete u vaš računar. Brend
sigurnosnog ključa koji se smatra najboljim i sa najviše funkcionalist je sigurnosni ključ
YubiKey.

13
 Miloš Dukić Autentifikacija

Slika 6.1. Sigurnosni ključ YubiKey u upotrebi

(izvor: https://www.pocnetwork.net/tips/yubikey-5c-nfc-two-factor-or-multi-factor-authentication-
via-usb/)

Ako planirate da koristite sigurnose ključeve, bilo bi dobro da uzmete dva ključa i
da oba isto konfigurišete, kako bi i dalje imali pristup svim vašim podacima u slučaju
iznenadnog kvara jednog od njih. Dobra stvar kod ovih ključeva je to što hakeri ne mogu
nikako da vam ih ukradu, jedino što bi ste mogli da ih negde zaboravite ili da vam budu
ukradeni, ali odgovornost za to je na vama. Ipak ako se to desi, i dalje možete da se
ulogujete na klasični način dvofaktorske autentifikacije i uklonite taj sigurnosni ključ kako
ga niko ne bi mogao upotrebiti da pristupi vašim nalozima.
Pored prednosti sigurnosnih ključeva kao što su brzina autentifikacije i bezbednost
od hakera, oni imaju i svoje mane. Njihova loša strana je to što su skupi i što nisu
skalabilni. Za kompanije, oni su skupi, nezgodni za održavanje i što je neizbežno, nezgodni
su za zamenu u poređenju sa softverskim rešenjima za autentifikaciju. Takođe narušavaju
korisničko iskustvo zato što je potrebno da se svuda nose i da se ne zaborave.

14
 Miloš Dukić Autentifikacija

7. ZAKLJUČAK
Autentifikacija se pojavljuje svuda u našem životu, i pre nego što su se računari
pojavili. Njen zadatak je vrlo bitan, jer to predstavlja način na koji dokazujemo naš
identitet, ono ko smo. Postoje različiti tipovi faktora autentifikacije, i od svakog od njih su
nastali načini dokazivanja našeg identiteta, a novi faktori se i dalje istraživaju. Nijedan od
njih nije bolji od drugog, nego se oni zajedno koriste kako bi se postigao što veći nivo
bezbednosti.
Lozinke su klasičan vid autentifikacije koji je opstao i do dan danas. Iako su se
pojavili novi vidovi pomoću koje vršimo autentifikaciju, lozinka i dalje predstavlja glavni
način, ona je nezamenljiva. Ostali vidovi autentifikacije kao što su biometrija, tokeni i
sigurnosni ključevi se samo koriste kao dopuna za tradicionalnu lozinku, kako bi
korišćenje lozinka bilo lakše, jer pomoću njih ne trebamo da samostalno kucamo lozinku,
to jest oni su vezani za tu našu lozinku, i samo služe kao neka prečica kako bi lakše došli
do nje. Oni se takođe i koriste kako bi omogućili multifaktorsku autentifikacju, koja se
najčešće javlja u vidu dvofaktorske autentifikacije.
Osim korišćenja dvofaktorske autentifikacije kao dodatnog sloja zaštite naših
naloga na onlajn servisima, bitno je da čuvamo našu lozinku. Kako bi bili što sigurniji,
preporučuje se korišćenje dugačkih lozinki, kao i korišćenje jedinstvenih lozinki za svaki
od naših onlajn naloga. Kako je vođenje računa i pamćenje svih tih različitih lozinki veoma
naporan posao, možemo da koristimo menadžere lozinka koje u velikoj meri olakšavaju
ovaj proces. Menadžere lozinka je najbolje koristiti u vidu aplikacije, a ne kao dodatak u
okviru našeg veb pretraživača, pošto oni mogu biti podložni hakerskim napadima.
Znači, kako bi postigli maksimalnu sigurnost za podatke koje koristimo prilikom
autentifikacije, najbolje je da koristimo menadžer lozinka, kao i da koristimo dvofaktorsku
autentifikaciju gde god je to moguće. Da li ćemo za dvofaktorsku autentifikaciju koristiti
naš mobilni telefon, neku od naših biometrijskih karakteristika, ili sigurnosni ključ je u
potpunosti stvar ukusa i najbolje je koristiti ono što nam je najpogodnija opcija.

15
 Miloš Dukić Autentifikacija

8. LITERATURA
1. https://blog.extreme.rs/2016/06/22/autentifikacija/, pristupano: decembar, 2021.
2. https://io.bikegremlin.com/12434/2fa-objasnjenje/, pristuapno: decembar, 2021.
3. https://www.experian.com/blogs/ask-experian/should-you-use-a-password-
manager/, pristupano: decembar, 2021.
4. https://www.1kosmos.com/biometric-authentication/biometric-password/,
pristupano: decembar, 2021.
5. https://websetnet.net/bs/koji-su-sigurnosni-klju%C4%8Devi-kako-rade-i-koji-
je-najbolji-kupiti/, pristupano, decembar 2021.

16