Duomenų saugumo pamatas – slaptažodžiai: ką daryti, kad jūsų nenulaužtų? (0)
Ketvirtadienį minint Europos duomenų apsaugos dieną, didelis dėmesys skiriamas teisiniam reguliavimui, taisyklėms ir įmonių bei institucijų priežiūrai, kalbama apie įvykusius incidentus ir kaip jų buvo galima išvengti. Tačiau bet koks saugumas virtualioje erdvėje prasideda nuo elementaraus dalyko – slaptažodžių.
„Butus ir namus žmonės saugo šarvo durimis ir įmantriomis spynomis, tačiau virtualioje erdvėje į savo duomenų saugumą žvelgia atmestinai. Populiariausi slaptažodžiai nekinta dešimtmečius – kažkodėl žmonėms atrodo, kad jų virtualias esybes kuo puikiausiai apsaugos tokios kombinacijos, kaip „123456“ ar „qwerty“. Tai tolygu laikyti durų raktą po kilimėliu“, – pastebi „Telia“ Saugos komandos vadovė Odeta Baranauskienė.
Kaip programišiai sužino slaptažodžius?
Norint suprasti, kas yra geras slaptažodis, pirmiausia reikėtų žinoti programišių taikomas taktikas.
Pats paprasčiausias būdas – nusipirkti prisijungimo duomenis pogrindiniame internete. Jei tą patį slaptažodį naudojate daugelį metų ir dar keliose paskyrose, tikimybė, kad jis jau buvo nulaužtas arba nutekėjęs, smarkiai išauga. Būtent dėl to slaptažodžius patariama reguliariai keisti ir kiekvienai savo paskyrai susikurti atskirą slaptažodį.
Jei taip ir elgiatės, programišiams belieka naudoti slaptažodžių nulaužimo būdus. Dažniausiai taikoma vadinamoji „brute force“ ataka, kuomet speciali programa vieną po kito išbando kiekvieną įmanomą simbolių kombinaciją. Kuo slaptažodis ilgesnis, tuo tokia ataka trunka ilgiau, taigi šiuo atveju net įmantriai atrodantis „g5*E8o$“ bus įveiktas kur kas greičiau nei elementarus „LabaiMyliuSavoMama“.
Kitas populiarus atakos tipas – žodynu paremti slaptažodžių spėjimai. Tokiu atveju programa spėlioja ne visas įmanomas simbolių kombinacijas, o tikrina galimus slaptažodžius pagal iš anksto sudarytą žodyną. Beje, jį sudaro ne tik įprasti žodžiai ir jų junginiai, bet ir dažnai naudojami slaptažodžiai, kuriuos tokių žodynų kūrėjai „pasiskolina“ iš internete nutekėjusių duomenų bazių. Taigi svarbu, kad slaptažodį sudarytų ne tik kuo daugiau simbolių, bet ir kad jie būtų atsitiktiniai, neprimintų tikrų žodžių.
„Daugelis didžiųjų platformų, tokių kaip „Facebook“, „Google“ ir „Microsoft 365“, leidžia nustatyti patvirtinimą dviem veiksmais. Tokiu atveju, net jei jūsų slaptažodis būtų atspėtas, apie bandymą prisijungti prie jūsų profilio būsite įspėti SMS žinute ar el. laišku. Jei veiksmo nepatvirtinsite, programišiai liks it musę kandę“, – pastebi O. Baranauskienė.
Nepavykus slaptažodžio atspėti ar kitaip įveikti, programišiai imasi vadinamojo fišingo (angl. phishing), tiesiogiai susisiekdami su savo taikiniu ir tikėdamiesi, kad jis atliks tam tikrą veiksmą. Pavyzdžiui, jie gali atsiųsti el. laišką ar SMS žinutę nurodydami, kad jūsų banko sąskaita ar kredito kortelė įšaldyta, o paspaudus pateiktą nuorodą bus prašoma įvesti prisijungimo duomenis ar kitą asmeninę informaciją. Žinoma, tai tik vienas iš pavyzdžių: piktavaliai jums užkalbėti dantį gali ir per susirašinėjimo programėles ar net skambučiu.
Tobulo slaptažodžio dirbtuvės
Žinant kaip elgiasi ir mąsto įsilaužėliai, belieka susikurti naujus stiprius slaptažodžius bent jau pačioms svarbiausioms paskyroms ir juos pakeisti.
Pirmas ir svarbiausias patarimas – jokiu būdu, niekur ir niekada nenaudokite pasaulyje labiausiai paplitusių slaptažodžių. „NordPass“ duomenimis, praėjusių metų TOP10 atrodo taip:
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
Kiek žemiau yra ir tokie deriniai, kaip „qwerty“, „abc123“, „iloveyou“, „password1“, „qqww1122“.
Antra, jei norite tikrai stipraus slaptažodžio, naudokite kuo daugiau įvairių simbolių. „Jau dabar kai kurios platformos ir internetinės parduotuvės liepia susikurti ne trumpesnį nei 8 simbolių slaptažodį, būtinai įtraukiant didžiųjų raidžių ir skaičių ar simbolių. Kai kuriuos žmones tai erzina, kita vertus, taip daroma paslauga patiems vartotojams, nes jie priverčiami sugalvoti sudėtingesnius slaptažodžius. Aš patarčiau būti dar žingsniu priekyje ir, jei tik įmanoma, naudoti bent 12–15 simbolių“, – sako „Telia“ ekspertė.
Geriausia, kad slaptažodį sudarytų ne keli sujungti žodžiai, o atsitiktinių simbolių kratinys. Kaip tokį susikurti? Paprasta: susigalvokite lengvai įsimenamą sakinį ir naudokite pirmas dvi ar tris kiekvieno žodžio raides. Pavyzdžiui, sakinys „Kas rytą mėgstu eiti pasivaikščioti su savo šunimi Princu“ gali tapti geru slaptažodžio pagrindu: „karymeeipasusasupr“.
Dabar jį belieka patobulinti, įtraukiant didžiųjų raidžių, skaičių ir simbolių arba jais pakeičiant kai kurias raides. Pavyzdžiui: „kaRY*me3!Pasu5aSUPr@“, arba „k4RymE^eiP@5uSa$uPR“, arba... na, supratote.
Beje, šio metodo privalumas tas, kad susikurtas raidžių kratinys neprimena jokio žodžio, taigi jame raides galima drąsiai keisti jas primenančiais skaičiais ar simboliais (pvz., A į 4 arba @, E į 3, S į 5 ar $ ir kt.). Naudojant tiesiog kelis sujungtus žodžius toks pakeitimas didelės įtakos neturi, kadangi slaptažodžių spėjimo programos šią suktybę yra perpratusios.
Susikurti stiprų atsitiktinių simbolių kratinį gali padėti įvairios slaptažodžių kūrimo programos, tačiau jį įsiminti bus sudėtinga. Tokiu atveju gali praversti slaptažodžių tvarkyklė, pavyzdžiui, „1Password“, „Last Pass“, „Keeper“, „NordPass“ ir kt. Tiesa, dauguma jų mokamos.