Kodėl dauguma žmonių vis dar naudoja „123456”
Kiekvienais metais saugumo tyrimų kompanijos skelbia tą pačią liūdną statistiką – milijonai žmonių vis dar naudoja „password”, „123456” arba savo gimimo datą kaip slaptažodį. Ir ne, tai nėra tik „tie kiti žmonės”. Greičiausiai ir jūsų slaptažodžių sąraše yra bent vienas, kurio tikrai neturėtų būti.
Problema čia ne tik tingumas. Žmogaus smegenys tiesiog nėra sukurtos atsiminti dešimtis atsitiktinių simbolių kombinacijų. Mes mąstome asociacijomis, modeliais, prasmingais žodžiais. Todėl kai sistema pareikalauja „sukurti saugų slaptažodį”, dauguma žmonių paima kažką pažįstamo ir prideda skaičių arba šauktuką. Ir mano, kad to pakanka.
Nepakankamai. Šiandien kalbėsime apie tai, kaip iš tikrųjų veikia slaptažodžių saugumas, kodėl kai kurie metodai yra beverčiai, ir kaip sukurti sistemą, kuri realiai apsaugos jūsų duomenis – be to, kad reikėtų tapti kompiuterių mokslų specialistu.
Kaip hakeriai iš tikrųjų laužo slaptažodžius
Prieš kalbant apie apsaugą, verta suprasti grėsmę. Nes kai žmonės galvoja apie „hakerį”, dažnai įsivaizduoja kažką, kas sėdi tamsoje ir rankiniu būdu bando įvesti slaptažodžius. Realybė yra daug prozaiškesnė ir tuo pačiu daug baisesnė.
Žodyno atakos (Dictionary attacks) – tai automatizuoti įrankiai, kurie per sekundę išbando šimtus tūkstančių žodžių iš žodynų, populiariausių slaptažodžių sąrašų ir jų variacijų. Jei jūsų slaptažodis yra „vasara2023!” – jis bus nulaužtas per kelias minutes, nes tokios variacijos jau yra šiuose sąrašuose.
Brute force atakos – paprasčiausias metodas: išbandyti visas įmanomas kombinacijas. Skamba neefektyviai, bet šiuolaikiniai kompiuteriai gali išbandyti milijardus kombinacijų per sekundę. Aštuonių simbolių slaptažodis, sudarytas tik iš mažųjų raidžių, gali būti nulaužtas per kelias valandas.
Credential stuffing – tai galbūt labiausiai paplitusi ataka šiandien. Kai kokia nors svetainė patiria duomenų nutekėjimą (o tokių nutekėjimų vyksta nuolat), hakeriai gauna tūkstančius ar milijonus el. pašto ir slaptažodžio kombinacijų. Tada jie automatiškai išbando šias kombinacijas kitose svetainėse – bankuose, el. pašte, socialiniuose tinkluose. Jei naudojate tą patį slaptažodį keliose vietose, vienas nutekėjimas gali atverti duris visur.
Socialinė inžinerija ir phishing – techniškai tai ne slaptažodžio laužimas, bet rezultatas tas pats. Jūs patys įvedate savo slaptažodį suklastotoje svetainėje, manydami, kad tai tikroji. Šie metodai tampa vis sudėtingesni – kai kurie phishing puslapiai vizualiai neatskiriamai kopijuoja originalias svetaines.
Žinant šiuos metodus, tampa aišku, kodėl „stiprus slaptažodis” reiškia kažką konkretaus, o ne tik „sunkiai atspėjamas”.
Kas iš tikrųjų daro slaptažodį stipriu
Čia dažnai kyla painiava, nes daugelis sistemų reikalauja „bent vienos didžiosios raidės, skaičiaus ir specialaus simbolio” – ir žmonės mano, kad tai yra saugumo garantija. Iš dalies taip, bet tai toli gražu ne viskas.
Svarbiausi slaptažodžio stiprumo veiksniai:
- Ilgis – tai pats svarbiausias faktorius. Kiekvienas papildomas simbolis eksponentiškai padidina galimų kombinacijų skaičių. 8 simbolių slaptažodis ir 16 simbolių slaptažodis – tai ne dvigubai, o astronomiškai skirtingas saugumas.
- Atsitiktinumas – slaptažodis neturi sekti jokio nuspėjamo modelio. „Qwerty123!” atrodo sudėtingai, bet tai vienas pirmųjų, kuriuos išbandys automatizuoti įrankiai.
- Unikalumas – kiekviena paskyra turi turėti savo slaptažodį. Be išimčių.
- Simbolių įvairovė – didžiosios ir mažosios raidės, skaičiai, specialūs simboliai. Bet tik kaip papildymas prie ilgio, ne vietoj jo.
Yra vienas įdomus kontrargumentas, kurį verta žinoti. Saugumo ekspertas Bruce Schneier ir NIST (JAV Nacionalinis standartų ir technologijų institutas) jau kurį laiką tvirtina, kad ilga, bet paprasta frazė gali būti saugesnė nei trumpas, bet sudėtingas slaptažodis. Pavyzdžiui, „teismas-dramblys-violetinis-batas” yra statistiškai saugesnis nei „P@ssw0rd!” – ir daug lengviau įsimenamas. Tai vadinama passphrase metodu, ir jis tikrai veikia.
Slaptažodžių tvarkyklės: įrankis, kurio jums reikia
Gerai, dabar jūs žinote, kad kiekvienai paskyrai reikia unikalaus, ilgo, atsitiktinio slaptažodžio. Ir greičiausiai galvojate: „Kaip aš tai atsiminsiu?” Atsakymas paprastas – neatsiminkite. Naudokite slaptažodžių tvarkyklę.
Slaptažodžių tvarkyklė (password manager) yra programa, kuri saugo visus jūsų slaptažodžius užšifruotoje duomenų bazėje. Jums reikia atsiminti tik vieną – pagrindinį slaptažodį. Visa kita tvarkyklė padaro už jus: generuoja stiprius slaptažodžius, automatiškai juos įveda, sinchronizuoja tarp įrenginių.
Populiariausios ir patikimos opcijos:
- Bitwarden – nemokama, atviro kodo, puikiai veikia visuose įrenginiuose. Tai geriausias pasirinkimas daugumai žmonių, kurie nenori mokėti.
- 1Password – mokama, bet labai patogi naudoti. Ypač gera šeimoms ar komandoms.
- KeePassXC – visiškai nemokama, atviro kodo, duomenys saugomi tik jūsų įrenginyje (nėra debesies). Idealus tiems, kurie nori maksimalios kontrolės.
- Dashlane – geras pasirinkimas pradedantiesiems dėl intuityvios sąsajos.
Dažniausias klausimas: „O kas, jei nulaužs pačią tvarkyklę?” Tai teisėtas rūpestis. Bet reikia suprasti – gerų tvarkyklių duomenys yra užšifruoti taip, kad net pati kompanija negali jų perskaityti. Jei nutekėtų duomenų bazė, hakeriai gautų tik užšifruotą beprasmę informaciją. Be to, rizika, kad nulaužs jūsų tvarkyklę, yra daug mažesnė nei rizika, kad nulaužs vieną iš dešimčių svetainių, kur naudojate tą patį slaptažodį.
Dviejų faktorių autentifikacija: antroji gynybos linija
Net ir turėdami puikų slaptažodį, niekada negalite būti šimtu procentų tikri, kad jis nebus atskleistas – per phishing, per svetainės nutekėjimą, per kažkokį kitą būdą. Štai kodėl dviejų faktorių autentifikacija (2FA) yra ne prabanga, o būtinybė.
Principas paprastas: net jei kas nors žino jūsų slaptažodį, jiems dar reikia antro patvirtinimo – kažko, ką turite tik jūs. Dažniausiai tai yra kodas, kuris generuojamas jūsų telefone arba atsiunčiamas SMS žinute.
Tačiau ne visos 2FA formos yra vienodai saugios:
SMS žinutės – geriau nei nieko, bet ne idealios. Egzistuoja „SIM swapping” atakos, kai hakeriai perkelia jūsų telefono numerį į savo SIM kortelę. Tai sudėtinga ataka, bet įmanoma.
Autentifikavimo programėlės (Google Authenticator, Authy, Microsoft Authenticator) – daug geresnė opcija. Kodai generuojami pačiame įrenginyje ir keičiasi kas 30 sekundžių. Net jei kas nors perimtų kodą, jis bus nebegaliojantis per pusę minutės.
Fiziniai saugumo raktai (YubiKey ir panašūs) – aukščiausias saugumo lygis. Tai fizinis USB arba NFC įrenginys, kurį reikia prijungti arba priglausti prie telefono. Praktiškai neįmanoma nulaužti nuotoliniu būdu. Rekomenduojama žurnalistams, aktyvistams, verslininkams – visiems, kurie yra potencialiai aukšto rizikos taikiniai.
Praktinė rekomendacija: įjunkite 2FA bent jau el. paštui, banko paskyroms ir socialiniams tinklams. Naudokite autentifikavimo programėlę, o ne SMS, kai tik galite.
Slaptažodžių higiena kasdieniniame gyvenime
Teorija yra viena, bet kaip tai atrodo praktikoje? Čia yra keletas konkrečių įpročių, kuriuos verta ugdyti:
Reguliariai tikrinkite, ar jūsų duomenys nenutekėjo. Svetainė haveibeenpwned.com leidžia įvesti savo el. pašto adresą ir pamatyti, ar jis figūruoja žinomuose duomenų nutekėjimuose. Tai nemokama, greita ir labai naudinga. Jei jūsų el. paštas yra nutekėjęs – nedelsdami keiskite slaptažodžius tose paskyroms.
Niekada nesidalinkite slaptažodžiais. Net su draugais, šeima, IT specialistais. Jei kažkam reikia prieigos prie jūsų paskyros, yra geresnių būdų – bendros prieigos nustatymai, laikinosios paskyros ir panašiai.
Saugokitės „slaptažodžio atstatymo” klausimų. „Kokia buvo jūsų pirmojo augintinio vardas?” – šią informaciją dažnai galima rasti socialiniuose tinkluose arba atspėti. Naudokite tvarkyklę ir į šiuos klausimus atsakykite atsitiktiniais atsakymais, kuriuos išsaugosite tvarkyklėje.
Neįvedinėkite slaptažodžių viešuose kompiuteriuose. Bibliotekos, viešbučių kompiuteriai, kavinės – šiuose įrenginiuose gali būti keylogger programos, kurios fiksuoja viską, ką spausdinate.
Atkreipkite dėmesį į HTTPS. Prieš įvesdami bet kokius prisijungimo duomenis, patikrinkite, ar svetainės adresas prasideda „https://” ir ar yra spynos ikonėlė. Tai ne absoliuti garantija, bet bazinis saugumo ženklas.
Keiskite slaptažodžius po incidentų. Jei svetainė praneša apie duomenų nutekėjimą, keiskite slaptažodį nedelsiant. Bet nereikia keisti slaptažodžių „profilaktiškai” kas mėnesį – tai senas patarimas, kurį NIST jau atšaukė, nes dažnas keitimas dažnai veda prie silpnesnių slaptažodžių.
Verslo ir organizacinis kontekstas: kai vienas žmogus nėra vienas
Jei dirbate organizacijoje arba turite savo verslą, slaptažodžių saugumas įgauna papildomą dimensiją. Vieno darbuotojo neatsargumas gali atverti duris į visą įmonės infrastruktūrą.
Keletas dalykų, kurie ypač svarbūs organizacijoms:
Privilegijuotų paskyrų valdymas. Administratoriaus teisės turi būti suteikiamos tik tiems, kam jų tikrai reikia. Ir šios paskyros turi turėti ypač stiprius slaptažodžius bei privalomą 2FA.
Bendri slaptažodžiai – didelė problema. Kai keletas žmonių naudoja tą patį slaptažodį tam pačiam įrankiui, niekas nežino, kas ir kada prisijungė. Jei vienas darbuotojo išeina iš įmonės, slaptažodis turi būti pakeistas. Geresnė alternatyva – kiekvienas darbuotojas turi savo paskyrą.
Verslo slaptažodžių tvarkyklės. 1Password Teams, Bitwarden Organizations, LastPass Business – šie įrankiai leidžia saugiai dalintis reikalingomis prieigomis komandoje, kontroliuoti, kas turi prieigą prie ko, ir stebėti veiklą.
Darbuotojų mokymai. Techniniai sprendimai yra tik pusė darbo. Žmonės turi suprasti, kodėl tai svarbu. Reguliarūs mokymai apie phishing, socialinę inžineriją ir saugumo praktikas yra investicija, kuri atsipirks.
Incidentų valdymo planas. Kas nutinka, jei darbuotojas praranda prieigą prie paskyros? Jei kyla įtarimas dėl kompromitacijos? Turėkite aiškų planą iš anksto, o ne improvizuokite krizės metu.
Kai slaptažodžiai tampa praeities dalyku
Verta paminėti, kad technologijų pasaulis juda link „passwordless” ateities. Biometriniai duomenys (pirštų atspaudai, veido atpažinimas), „passkeys” technologija ir kiti metodai pamažu keičia tradicinį slaptažodį.
Passkeys – tai palyginti nauja technologija, kurią jau palaiko Google, Apple, Microsoft ir daugybė svetainių. Vietoj slaptažodžio naudojamas kriptografinis raktas, saugomas jūsų įrenginyje. Jums nereikia nieko atsiminti – tiesiog patvirtinate tapatybę biometriškai arba PIN kodu. Ir tai iš principo apsaugo nuo phishing, nes raktas veikia tik su konkrečia svetaine.
Tačiau kol ši technologija taps universali, slaptažodžiai niekur nedingsta. Ir net su passkeys, pagrindiniai saugumo principai – unikalumas, stiprumas, apsauga – išlieka aktualūs.
Taip pat verta žinoti apie „zero-knowledge” principą, kuriuo remiasi geriausios slaptažodžių tvarkyklės. Tai reiškia, kad net pati kompanija, teikianti paslaugą, negali perskaityti jūsų slaptažodžių. Visi duomenys užšifruojami ir iššifruojami tik jūsų įrenginyje. Rinkdamiesi tvarkyklę, visada patikrinkite, ar ji naudoja šį principą.
Nuo žinojimo prie veikimo: kur pradėti šiandien
Slaptažodžių saugumas nėra vienkartinis projektas – tai nuolatinis įprotis. Ir kaip visi įpročiai, jis formuojasi žingsnis po žingsnio, o ne vienu didžiuliu pokyčiu.
Jei šiandien norite pradėti, štai logiškas eiliškumas. Pirma – atsisiųskite Bitwarden arba kitą tvarkyklę ir sukurkite stiprų pagrindinį slaptažodį (naudokite passphrase metodą: keturi nesusiję žodžiai, atskirti brūkšneliais arba tarpais). Antra – įjunkite 2FA šiai tvarkyklei ir savo el. paštui. Trečia – per kelias savaites pakeiskite slaptažodžius svarbiausiose paskyroms: bankas, el. paštas, socialiniai tinklai, darbo įrankiai. Ketvirta – patikrinkite haveibeenpwned.com ir reaguokite į nutekėjimus. Penkta – pamažu perkėlę visas paskyras į tvarkyklę, galite atsikvėpti.
Tai nėra sudėtinga. Tai nereikalauja techninių žinių. Tai reikalauja tik sprendimo pradėti ir kelių valandų laiko. Ir apsauga, kurią gausite, yra nepalyginamai geresnė nei ta, kurią turi dauguma žmonių šiandien.
Saugumas internete dažnai atrodo kaip abstrakti grėsmė – kažkas, kas nutinka „kitiems”. Bet duomenų nutekėjimai, paskyros įsilaužimai, tapatybės vagystės – tai kasdienė realybė, ir ji retai praneša apie savo atėjimą iš anksto. Geriausia apsauga yra ta, kuri sukurta prieš tai, kai jos prireikia. O slaptažodžių saugumas – tai viena iš nedaugelio sričių, kur kelios valandos investicijų gali apsaugoti jus nuo metų galvos skausmų.
