Gyvename pasaulyje, kur bent kiek ryšio su išoriniu pasauliu palaikantis žmogus turi turėti bent vieną-kitą slaptažodį. Na, bent jau prisijungimo prie elektroninės bankininkystės kodą ir kortelės PIN kodą. Kiti naudojamus slaptažodžius skaičiuoja dešimtimis – belaidžio interneto prisijungimo taškų, „Google“, „Microsoft“, įvairiausių socialinių tinklų ir naudojamų elektroninių paslaugų.
Kodėl reikia rūpintis savo slaptažodžiais?
Naujausiais JAV ryšio paslaugų teikėjo „Verizon“ duomenimis, būtent atspėtų arba pavogtų prisijungimo duomenų panaudojimas tampa pagrindine priemone vykdyti kibernetinius nusikaltimus.
Ir nors prastą slaptažodį galima būtų palyginti su rakto nuo buto laikymu po kilimėliu, didžiulės pavogtų slaptažodžių duomenų bazės rodo, kad reikšminga dalis žmonių prisijungimui naudoja tokius kibernetinio saugumo šedevrus, kaip „123456“ ar „qwerty“. Dar blogiau – tie patys slaptažodžiai yra naudojami ne vienoje paskyroje, o tai programišiui suteikia galimybę su tuo pačiu raktu atrakinti iškart kelias duris: net 75 proc. žmonių prie „Facebook“ ir prie savo elektroninio pašto paskyros jungiasi su tuo pačiu slaptažodžiu (plačiau čia).
Pagrindinės elektroninio pašto paskyros slaptažodžio saugumas itin svarbus – prie jos prieigą gavę programišiai gali pasinaudoti kitų paslaugų slaptažodžio pakeitimo įrankiu ir užvaldyti didžiulę dalį įvairiausių asmens paskyrų.
O jei manote, kad ir tai nėra pernelyg rimta priežastis susirūpinti, įvertinkite, ką su svetimais slaptažodžiais gali padaryti blogo jums linkintys žmonės ar kibernetiniai nusikaltėliai: amerikietiško futbolo žvaigždė Laremy Tunsilas dėl prarasto „Twitter“ slaptažodžio pateko į tokius nemalonumus dėl kurių veikiausiai neteko kelių dešimčių milijonų JAV dolerių (plačiau čia), o pavogus naujienų agentūros AP „Twitter“ slaptažodį, buvo publikuota paniką kelianti žinutė apie sprogimus Baltuosiuose rūmuose ir sužeistą JAV prezidentą (plačiau čia) – dėl to biržos makleriai puolė į paniką, kuri kainavo 136 mln. JAV dolerių.
Slaptažodžių vagys neaplenkia ir Lietuvos – „Interneto vizijos“ technologijų ekspertas Gintaras Skridulis teigia, kad jo atstovaujamos įmonės klientams taip pat kartkartėmis tenka susidurti su slaptažodžių nutekėjimu, dėl ko patiriami tiesioginiai finansiniai nuostoliai.
Gero slaptažodžio receptas
Jeigu norėtumėte sužinoti, kokie yra patys blogiausi slaptažodžiai pasaulyje, turėtumėte susipažinti su populiariausiais slaptažodžiais nuo 2011 iki 2017 metų – ir lyderiai, ir bendras sąrašų turinys pastaraisiais metais visiškai nekinta. Bet kurio iš jų pasirinkimas yra tolygus programišių ir problemų kvietimuisi.
Norint savo paskyras apsaugoti tiek, kiek tai įmanoma iš paties vartotojo pusės, reikia laikytis keleto nesudėtingų taisyklių. O iš jų pati svarbiausia – susikurti slaptažodį, kuris būtų sunkiai atspėjamas, bet lengvai atsimenamas. Svarbiausias reikalavimas, kad slaptažodžio nebūtų lengva atspėti – tai simbolių kiekis: ilgas slaptažodis vien iš didžiųjų ir mažųjų raidžių yra gerokai saugesnis nei trumpas slaptažodis iš raidžių, skaičių ir specialiųjų simbolių. Mat kuo simbolių kiekis mažesnis, tuo lengviau jį atspėti vadinamuoju „brute-force“ būdu, kai automatizuotai paeiliui sudarinėjamos ir tikrinamos simbolių sekos: kompiuteris per vieną sekundę gali išbandyti dešimtis milijonų simbolių kombinacijų.
Tiesa, šiuolaikinės kibernetinės apsaugos sistemos gerokai apsunkina tokių automatizuotų spėliojimų vykdymą: pastebėti itin dažnai besikartojančius nesėkmingus bandymus prisijungti iš to paties šaltinio labai paprasta, todėl programišiai savo spėjimus iš vieno IP adreso arba prieš vieną paskyrą sudalina porcijomis, kad nebūtų peržengta riba, už kurios įsijungia mechanizmai, blokuojantys programišių vykdomus spėliojimus.
Jeigu norite patikrinti, kiek laiko užtruktų automatizuotas Jūsų susigalvoto slaptažodžio spėliojimas, išbandykite šią svetainę. Patarimas: norėdami patikrinti slaptažodžio stiprumą naudokite panašaus ilgio, sudarytą iš panašių simbolių (didžiųjų, mažųjų raidžių, skaičių ir specialiųjų simbolių) kombinaciją, tačiau kitokį slaptažodį, nei ketinate naudoti ar naudojate, nes jūsų asmeninis slaptažodis neturi būti užrašinėjamas niekur kitur, kaip tik į prisijungimo langelį.
Antras slaptažodžių Achilo kulnas – jų susiejimas su pačiu vartotoju. Pavyzdžiui, asmens, šeimos narių, augintinių vardo, gimimo datos panaudojimas: auką nusižiūrėjęs ir kruopščiai žvalgybą atlikęs programišius būtinai patikrins tokias galimybes. Slaptažodžiai turėtų būti visiškai nesusiejami su pačiu asmeniu ir, pageidautina, su jokia prasme.
Idealiu atveju galima būtų pasirinkti poros ar trejeto nesusijusių, tačiau lengvai įsimenamų žodžių junginį ir jį „pagardinti“ skaičiais ir specialiaisiais simboliais. Tarkime, tebūnie tai kopūstas rožyne. Jeigu šiek tiek pažaistume su raidžių pakaitalais, kopūstas tikrai sužydėtų: K0pūst4s_R0žyne.
O toliau?
O toliau bus labai svarbu slaptažodžius saugoti kaip savo akį: niekur jų neužsirašinėti – nei ant popierėlių, nei kompiuteriniuose užrašuose. Netikrinti savo genialumo įvairiose slaptažodžių stiprumą vertinančiose svetainėse – kas žino, kiek tokios svetainės yra patikimos. Ir jokiu būdu niekam nesakyti savo slaptažodžių.
Net jeigu sugalvosite geriausią slaptažodį pasaulyje – ilgą, sudėtingą, bet lengvai prisimenamą, kad niekur jo nereikėtų užsirašinėti – jokios naudos nebus jeigu tą patį slaptažodį naudosite visose savo paskyrose. Mat pirmas dalykas, kurį programišiai padarys gavę vienos paslaugos prisijungimo duomenų derinį, tai pabandys su tais pačiais duomenimis jungtis ir kitur. Todėl tame pačiame slaptažodyje galima būtų užkoduoti ir paslaugos, kurią slaptažodis atrakina, pavadinimą: K0pūst4s_FB_R0žyne ar K0pūst4s_Win_R0žyne. O dar vieną apsaugos sluoksnį galima būtų pridėti slaptažodį periodiškai keičiant – štai ir kopūstas yra vienmetis augalas, todėl jį kiekvienais metais reikia persodinti. Šiemet tai galėtų būti K0pūst4s_20Win18_R0žyne, o kitais metais jį galima būtų pakeisti į K0pūst4s_20Win19_R0žyne.
Prie prastesnių įpročių galima priskirti ir slaptažodžių išsaugojimą naršyklėje – tokį pasiūlymą gausite po kiekvieno pirmo prisijungimo prie kokios nors paskyros. Kita vertus, bandant pamatyti savo slaptažodžius naršyklės formoje, bent jau kuomet naudojama „Windows“ operacinė sistema, reikia įvesti prisijungimo prie „Windows“ slaptažodį. Ir tai įmanoma padaryti tik tame pačiame kompiuteryje, kur išsaugoti slaptažodžiai – pavogus ir atsisiuntus rinkmeną, kurioje saugomi slaptažodžiai, didelės naudos nebus. Vadinasi, savame kompiuteryje, kuriuo naudojasi tik vienas asmuo, toks gyvenimo pasilengvinimo būdas yra ganėtinai saugus. Tačiau to tikrai negalima pasakyti apie viešo naudojimo kompiuterius – tokiuose įrenginiuose jokiu būdu nereikėtų saugoti savo prisijungimo prie įvairių paskyrų slaptažodžių.
O ką gali padaryti paslaugų teikėjai?
Savo klientų saugumu privalo rūpintis ir įmonės, prie kurių tinklų jungiatės. Ypač jeigu tai yra tinklai, kuriuose teikiamos itin jautrios ar finansinės paslaugos. Pavyzdžiui, naudoja dviejų veiksnių autorizavimą. Tokia sistema apsaugo nuo rizikos, kad prie jūsų paskyros bus prisijungta pasinaudojus ir nutekėjusiais ar pavogtais duomenimis.
Dviejų veiksnių autorizavimo pavyzdžiu, anot G.Skridulio, galima vadinti paprasčiausią mokėjimo kortelę: vienas autorizavimo veiksnys yra fizinis kortelės turėjimas, kitas – keturių skaitmenų PIN kodas, kuris (idealiu atveju) yra tik vartotojo galvoje. Antrasis autorizavimo veiksnys yra ir vis rečiau naudojama prisijungimo prie el.bankininkystės paslaugos kodų kortelė, kodų generatorius, m.parašas ar naujausia priemonė – „SmartID“programėlė, kuri reikalauja tapatybę patvirtinti telefonu.
Tačiau, kaip tvirtina „Interneto vizijos“ kibernetinio saugumo specialistas, šiais laikais dviguba autorizacija yra aktyviai integruojama ne tik į finansines ar verslo, bet ir į kitas sistemas. Pavyzdžiui, vartotojas gali ją įsijungti net feisbuke.
Tiesa, net ir dviejų veiksnių autorizavimą, G.Skridulio teigimu, įmanoma įveikti. Pavyzdžiui, „įprastiniu būdu“ praradus prisijungimo vardą bei slaptažodį ir skaitmeniniam įsilaužėliui gavus prieigą prie aukos telefono ar el.pašto dėžutės. Žinoma, tai jau yra gerokai sudėtingiau, reikalauja kur kas rimtesnių pastangų. Tačiau tai nėra „Misija neįmanoma“. Ypač kai įsilaužėlis yra ne „konvejeriu“ dirbantis kibernetinis nusikaltėlis iš Rusijos ar Kinijos, o artimos aplinkos žmogus.
Kita apsaugos priemonė, kurią siūlo ir „Interneto vizija“ – tai bandymų spėlioti slaptažodžius blokavimas: jeigu tarnybinės stoties apsaugos užfiksuoja, kad vyksta daugkartiniai nesėkmingi bandymai jungtis prie paskyros, tai visų įmonės tarnybinių stočių lygiu blokuojamas IP adresas, iš kurio vykdyti prisijungimai, tokiu būdu nuo programišių atakos apsaugant ne tik konkretų ataką patiriantį klientą, bet apskritai visus tos įmonės klientus.
Negalintiems pasigirti savo fantazija „Interneto vizija“ siūlo ir automatinį slaptažodžių generavimo įrankį – žodžiai tarpusavyje niekaip nesusiję ir jų junginiai niekur anksčiau nebuvo užrašinėjami, todėl galima pasitikėti, kad jie yra saugūs – ypač pridėjus savas modifikacijas, kurios saugumą padidins.
Kai kurių interneto paslaugų teikėjai besikuriant savo paskyrą įvertina slaptažodžio stiprumą ir neleidžia pasirinkti tokio simbolių derinio, kuris paskyrą saugos pernelyg silpnai.
Kaip sužinoti, ar mano slaptažodis pavogtas?
Paprastai apie pavogtą slaptažodį sužinoma tada, kai šaukštai jau būna po pietų ir žala padaryta. Bet jeigu kibernetinė nelaimė dar neįvyko, šiek tiek nusiraminti (arba atvirkščiai – sužinoti, kad slaptažodžius keisti reikia skubiai) galima apsilankius svetainėse „PWD Query“ arba „Have I been pwned“ ir patikrinus, ar nutekėjusių slaptažodžių duomenų bazėse nesate pažymėtas kaip potenciali auka.
Abu šie interneto įrankiai buvo sukurti „torrent“ svetainėse aptikus nuorodą į milžinišką slaptažodžių duomenų bazę – joje buvo net 1,4 mlrd. skirtingų įrašų. Duomenų bazę piktybiniai programišiai sujungė iš įvairių kibernetinių atakų metu nutekėjusių mažesnių duomenų masyvų.
Abi svetainės veikia labai panašių pradinių duomenų pagrindu, tačiau lankytojams pateikia skirtingą informaciją: pirmoji parodo, koks yra nutekėjęs slaptažodis (su kelių slaptažodžio simbolių paslėpimu po „žvaigždutėmis“), antroji informuoja, kokios kibernetinės atakos metu – kuriuo metu ir prieš kurį paslaugų teikėją – jūsų duomenys tapo nebe tokiais slaptais, taip pat – koks buvo šių duomenų likimas.
