Stiprus slaptažodis: kaip ji susikurti ir kur saugoti?

Pasaulinė slaptažodžių diena, minima pirmą gegužės ketvirtadienį, turėtų visiems priminti atnaujinti savo slaptažodžius į saugesnius. Statistika rodo, kad lengvai atspėjami slaptažodžiai – itin paplitę ir užsienyje, ir Lietuvoje. Silpnas slaptažodis dažnai gali niekais paversti kitas saugumo priemones, kurių imamės savo asmeninei ar darbinei informacijai apsaugoti.

„NordPass“ sudarytame populiariausių lietuviškų slaptažodžių dvidešimtuke vyrauja skaičių ar raidžių sekos (pvz.: 123456, 111111, qwerty, asasas), vardai, vietovardžiai ir prekės ženklai (mantas, karolis, lietuva, kaunas, samsung) bei atsitiktiniai kasdieniai žodeliai (katinas, mamyte, nesakysiu, labas). Versle situacija ne ką geresnė: kas penktas slaptažodis – tikslus įmonės pavadinimas arba nesudėtingos jo variacijos.

„Daugelį tokių nesudėtingų slaptažodžių, pasitelkus specialią programinę įrangą, galima įveikti per kelias sekundes ar minutes“, – teigia „Baltnetos komunikacijų“ „Microsoft“ sistemų administratorių skyriaus vadovas Dominykas Žaliauskas.

„Pasitelkus specialią programinę įrangą nesudėtingus slaptažodžius galima įveikti per kelias sekundes ar minutes.“

Nesudėtingi slaptažodžiai – tiesus kelias į nuostolius

Pasaulio ekonomikos forumas apskaičiavo, kad dėl kibernetinių atakų pasaulio ekonomika patiria 2,9 mln. JAV dolerių nuostolių kas minutę. Nuostolius sudaro prarasti duomenys, paslaugų sutrikdymai ar pavogtos įmonių lėšos. „Verizon“ duomenimis, 37 proc. šių atakų įvyksta pavogus ar išviliojus prisijungimo duomenimis.

„Neretai kibernetiniams nusikaltėliams nereikia naudoti labai sudėtingų įsilaužimo metodikų, nes jų darbą gerokai palengvina patys vartotojai“, – perspėja D. Žaliauskas. – „Programišių sukurti algoritmai bando prisijungti prie sistemų naudodami žodyne esančius žodžius ir jų kombinacijas (angl. dictionary attacks), taip pat neretai naudojami ir grubesni metodai (angl. brute-force attacks), bet dažnu atveju neprireikia ir to. Prisijungimo duomenys išviliojami apsimetus kolegomis, tiekėjais ar įdiegus kenkėjišką programinį kodą, kuris „vagia“ slaptažodžius. Ne kartą esame susidūrę su situacija, kai prie vartotojų paskyrų programišiai prisijungia atspėję nesudėtingą slaptažodį.“

„Ne kartą esame susidūrę su situacija, kai prie vartotojų paskyrų programišiai prisijungia atspėję nesudėtingą slaptažodį.“

Nerūpestingas požiūris į slaptažodžius gali kainuoti labai brangiai – nuo prarastos reputacijos iki realių finansinių nuostolių ir grėsmės verslo tęstinumui. Pavyzdžiui, gavę prieigą prie e. pašto, įsilaužėliai gali perimti finansinę korespondenciją ir suklastoję sąskaitas išsiųsti jas e. pašto savininko partneriams ir klientams, kurie nieko neįtardami (juk laiškas atėjo iš pažįstamo siuntėjo!) nurodytas sumas perves nusikaltėliams.

Taip pat dažnu atveju programišiai, pasinaudoję lengvu slaptažodžiu ir prisijungę prie įmonės serverių, kuriuose saugomi veiklos tęstinumui kritiškai svarbūs verslo duomenys, juos užšifruoja ir siekia pasipelnyti prašydami išpirkos už šifro „raktą“. Pandemijos metu tokio pobūdžio atakos sutrikdė ne vienos „Fortune 500“ kompanijos veiklą, o vos prieš porą savaičių nukentėjo net „Apple“ – kibernetiniai nusikaltėliai tvirtina pavogę „Apple Watch“ ir „MacBook Pro“ brėžinius.

Ką turėtų apibrėžti įmonės slaptažodžių politika?

Yra du pagrindiniai reikalavimai saugiam slaptažodžiui – jo ilgis bei kuo didesnė panaudotų simbolių įvairovė. Darbinių paskyrų prisijungimo duomenims turėtų būti keliami papildomi reikalavimai, apibrėžiami įmonės slaptažodžių politikoje. Formuojant ją reikėtų vadovautis keliomis bazinėmis taisyklėmis:

• minimalus slaptažodžio ilgis: bent 8 simboliai ar ilgesnis;
• ženklų įvairovė: mažosios ir didžiosios raidės, skaičiai, skyrybos ženklai ir specialūs simboliai. 8 ženklų didžiųjų ir mažųjų raidžių bei skaičių kombinacijos leidžia sukurti net 218 340 105 584 896 slaptažodžių variantus, tai – jau sudėtinga užduotis programišiams, organizuojantiems brute-force atakas;
• slaptažodžio sudėtingumas: jei slaptažodis neturi specialių simbolių, jis tampa pažeidžiamas žodyno atakoms, todėl įmonės sistemos turėtų tikrinti, ar vartotojo kuriamas slaptažodis nėra elementarus žodžių junginys, pavyzdžiui: vartotojo vardas ir pavardė, įmonės pavadinimas su skaičiumi ar miesto pavadinimas;
• slaptažodžio istorija: sistema turėtų „prisiminti“ senus vartotojų slaptažodžius ir neleisti jų naudoti pakartotinai. Tiesa, vartotojus taip pat derėtų perspėti jokiu būdu nenaudoti tų pačių slaptažodžių prisijungimui prie kitų paskyrų, ypač asmeninių;
• slaptažodžio galiojimo laikas: reikalavimas reguliariai atsinaujinti slaptažodį, ypač jei nenaudojamas dviejų veiksnių autentifikavimo sprendimas. „Microsoft“ rekomenduoja slaptažodžio galiojimo laiką apriboti iki 60 dienų.

„Idealiu atveju, įmonės turėtų naudoti stebėsenos sistemas, kurios automatiškai informuotų vartotoją apie bandymą prisijungti iš nežinomų įrenginių ir blokuotų prieigą prie paskyros, jei per trumpą laiką buvo bandoma kelis kartus prisijungti su neteisingais duomenimis“, – papildo D. Žaliauskas.

O kaip asmeninės paskyros ir jų slaptažodžiai?

Į minėtas taisykles, rekomenduojamas formuojant įmonių slaptažodžių politiką, galima atsižvelgti bei dalinai pritaikyti ir rūpinantis asmeninių paskyrų saugumu. Taip pat kiekvienam vartotojui patartina:

• naudoti unikalius slaptažodžius kiekvienai paskyrai. Itin svarbu atskirti darbines ir asmenines paskyras – jų prisijungimo informacija niekada neturėtų sutapti;
• reguliariai keisti slaptažodžius, net jei sistema to nereikalauja – prisijungimo duomenis prie asmeninių paskyrų vertėtų peržiūrėti ir profilaktiškai atnaujinti bent kas pusmetį, o sužinojus apie įsilaužimą ir galimą duomenų nutekinimą, tą reikėtų padaryti nedelsiant;
• aktyvuoti dviejų veiksnių autentifikavimą (2FA) visoms paskyroms, kurios sudaro tokią galimybę. Tokiu atveju prisijungiant prie paskyros, savo tapatybę reikia patvirtinti per du skirtingus įrenginius, pavyzdžiui, įvesti prisijungimo duomenis kompiuteryje, o kitame žingsnyje įvesti į telefoną atsiųstą saugumo kodą.

„Dviejų veiksnių autentifikavimo naudojimas – vienas geriausių sprendimų, kuriuos galite priimti savo paskyrų saugumo labui. Jis gali apsaugoti pastarąsias net ir tais atvejais, kai vartotojo duomenys yra pavogiami ir nutekinami į juodąją rinką. Naudoti 2FA reikėtų visur ir visada, kai tik yra tokia galimybė. Anot „Microsoft“, tokia kelių lygių sistema tikimybę, kad kibernetiniams nusikaltėliams pavyks prisijungti prie jūsų paskyrų be jūsų žinios, sumažina 99,9 proc.“, – pataria D. Žaliauskas.

„2FA – geriausias vaistas nuo vartotojų tingumo, užmaršumo ir nenoro kurti ilgus, sudėtingus ir skirtingus slaptažodžius.“

Kuo daugiau slaptažodžių naudojame, tuo sunkiau juos visus tampa atsiminti. Saugus būdas galintis palengvinti šią užduotį yra slaptažodžių saugojimo programėlės, pavyzdžiui, „Keeper“, „Dashlane“, „NordPass“, „Bitwarden“ ar atvirojo kodo „KeePass“. Jose laikomi slaptažodžiai yra užšifruojami, prisijungimui prie jų naudojamas pagrindinis slaptažodis, PIN kodas ar telefono biometriniai duomenys, jos automatiškai gali įvesti prisijungimo duomenis, mokėjimo ar asmeninę informaciją į atitinkamas formas bei informuoti apie į internetą nutekėjusius slaptažodžius. Tokiu atveju tereikės greitai sureaguoti ir juos išsyk pasikeisti.