SPET TA GESLA! KAKO NAJ SI VSA ZAPOMNIM?

Ob današnjem svetovnem dnevu gesel so v sklopu programa ozaveščanja Varni na internetu pripravili pregled najpogostejših tehnik upravljanja z gesli. Izpostavljajo, da se spletni uporabniki že dobro zavedamo, kakšna so močna gesla, ampak težko si je vsa zapomniti. Zato ubirajo bližnjice, ki pa ogrozijo varnost uporabniških računov.

Deli novico s tvojimi prijatelji

Statistike kažejo, da ima povprečni spletni uporabnik med 70 in 80 gesli za najrazličnejše storitve. Če je močno geslo dolgo (vsaj) 12 znakov, kompleksno in seveda unikatno, potem si je izjemno težko vsa zapomniti. Zato ubiramo bližnjice – uporabljamo kratka, enostavna gesla ali uporabljamo eno geslo za vse storitve. Kar pa je dobra novica za napadalce, ki hitro uganejo enostavna gesla ali pa z enim ukradenim geslom dobijo dostop do preostalih računov.

Vsi spletni uporabniki delimo isto težavo – kako najti pravo formulo, da ustvarjamo kompleksna, dolga gesla in si hkrati vsa zapomnimo. Sliši se misija nemogoče in res je težko poiskati pravo ravnovesje med nasveti, ki so v teoriji dobri, ampak v praksi za povprečnega uporabnika težko izvedljivi. Na eni strani zaradi pomanjkanja tehničnega znanja (»ne znam, ne razumem«), na drugi zaradi pomanjkanja interesa (»ne ljubi se mi s tem ukvarjati, saj mi jemlje preveč časa«).

Vendar gre za temeljni varnosti ukrep, saj zgolj gesla varujejo našo identiteto, bančne račune, shranjene podatke, skratka celotno digitalno življenje. Posledica šibkih in ponavljajočih gesel so številni vdori v uporabniške račune, ki lahko povzročijo veliko škodo in odprejo vrata nizu drugih zlorab.

Kaj pravijo strokovnjaki, kako bi razvrstili načine upravljanja z gesli od najbolj do najmanj varnega in kaj je v sivi coni?

Najboljši scenarij upravljanja z gesli

Najprej je pomembno izpostaviti, da absolutne, 100 % zaščite ni in raje govorimo o dobri praksi, priporočilom, ki se prilagajajo tehnološkemu razvoju. Trenutno najboljši ukrep za povprečnega uporabnika je, da uporablja dvofaktorsko preverjanje (dvofaktorska avtentikacija, preverjanje v dveh korakih), kjerkoli je to možno! Dvofaktorsko preverjanje reši dve najpogostejši težavi: kratka, šibka in ponavljajoča gesla niso več tako zelo problematična, saj je za dostop do storitve potrebna  še dodatna unikatna koda, ki jo dobimo preko telefona. Na drugi strani pa smo tudi bolje zaščiteni pred phishing napadom, kjer nas goljufi prepričajo, da na ponarejeni spletni strani sami vnesemo geslo za dostop.

Učinkovito obvladovanje in varno hrambo gesel nudijo tudi t.i. password managerji oz. upravljalniki gesel. To so posebni programi, ki hranijo naša gesla v šifrirani obliki, zato se več ne obremenjujemo, kako si bomo vsa dolga in kompleksna gesla zapomnili. Pomembno pa je, da imamo zelo močno glavno geslo (master password), ki je tudi edino, ki si ga moramo zapomniti. Glede na opisano se upravljalniki gesel slišijo kot popolna rešitev. Vendar so tudi sami ranljivi in izpostavljeni različnim oblikam kibernetskih napadov (kot katerakoli druga programska rešitev), še posebej zadnji vdor v LastPass je načel zaupanje uporabnikov.

Zelo dober pristop, ki pa je v praksi težje izvedljiv, je tudi, da za vse storitve uporabljamo vsaj 12 znakov dolga gesla, ki so kompleksna in unikatna, težko uganljiva za napadalce, ne vključujejo nobenega od naših osebnih podatkov, letnic, hkrati pa si vsa zapomnimo. Ker si je dolge kombinacije naključnih znakov zelo težko zapomniti, je priporočljivo uporabiti fraze oz. passphrase. To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena, npr. FotosintezaSrečaSonce. Še bolj varno pa je, če povezanim besedam dodamo posebne znake (+,*,-, #,…) in številke, npr. F0tosinteza-Sreča+S0nce. Temu lahko dodamo še nam poznan unikaten algoritem, da gesla prilagajmo različnim storitvam, pri čemer pa moramo paziti, da iz enega gesla ni moč uganiti tudi drugih gesel (npr. F0tosintezaf-Sr3ča+S0nceb za Facebook).

Siva cona – ne odlično in ne tako grozno

Večina strokovnjakov za informacijsko varnost  ne priporoča shranjevanja gesel v brskalnikih. Razlog je predvsem hitro širjenje trojanskih konjev, ki so specializirani za krajo uporabniških podatkov (t.i. information stealer virusi). Gre za zlonamerne programe, ki v primeru okužbe ukradejo vsa gesla, shranjena v brskalniku (in še kup drugih podatkov). V tem primeru nič ne pomaga, če imamo dolga in unikatna gesla, saj jih virus enostavno skopira in pošlje napadalcem. Vendar je ta rešitev za uporabnike zelo enostavna, priročna, deluje na vseh napravah. Ob previdnem odpiranju priponk in klikanju na linke ter posodabljanju programske opreme je to še vedno boljša med slabimi rešitvami.

Infografika upravljanje z gesli

V sivo področje bi lahko uvrstili zapisovanje gesel v zvezek ali na papir, ki ga varno shranimo oz. skrijemo pred drugimi (npr. v zaklenjen predal). Sliši se v nasprotju z dolgoletno mantro »Ne zapisujte gesel na listke!!«, vendar je nasvet potrebno postaviti v kontekst. Če imamo, npr. 40 različnih, močnih gesel, zapisanih v zvezek, ki je zaklenjen v predalu, je to še vedno boljše, kot uporabljati eno geslo za vse storitve. Pomislite na stare starše, ki ne obvladajo množice spletnih storitev. Potem je boljše svetovati, naj si (močna) gesla zapišejo na papir, kot da pričakujemo, da si bodo vsa zapomnili ali pa bodo, bolj verjetno, uporabljali le eno enostavno geslo.

Program ozaveščanja Varni na internetu izvaja Nacionalni odzivni center za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team). Odzivni center SI-CERT opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah. Njegovo delovanje je opredeljeno v 28. členu Zakona o informacijski varnosti.

Slabe prakse upravljanja z gesli

Najslabši možni scenarij je, da imate geslo, npr. geslo123 za čisto vse možne storitve. Slabe so čisto vse različice že neštetokrat recikliranih in znanih gesel, ki se še vedno pojavljajo v bazah zlorabljenih podatkov, npr. 123456, qwerty, password…

Poleg kratkih in enostavnih gesel je težava tudi recikliranje. Tudi če imate močno in dolgo geslo, je vseeno nevarno, če ga uporabljate za vse storitve. Slaba so tudi vsa gesla, ki jih lahko nekdo ugane, če vas le malo pozna, npr. gesla, ki vsebujejo ime, priimek, letnico rojstva, ime otrok, telefonsko številko. Izjemno nespametno je tudi pisanje gesel na listke, ki ležijo nalepljeni po pisalnih mizah in monitorjih. Podobno je tudi s pisanjem PIN številke na listek, ki se nahaja poleg bančne kartice. Če veste, da kdo od vaših družinskih članov to počne, ga opozorite, da je to lahko zelo nevarno.

KAKO NAPADALCI NAJPOGOSTEJE PRIDEJO DO NAŠIH GESEL?

Najpogostejši način kraje gesel je s phishing napadom. Phishing je zelo enostavna, a hkrati izredno učinkovita prevara, s katero spletni goljuf pridobi uporabniška imena in gesla za dostop do storitev kot so elektronska pošta, Facebook ipd. V zadnjih letih pa je v ospredju ribarjenje za finančnimi podatki, npr. kreditnimi karticami in avtentikacijskimi podatki za elektronsko bančništvo. Napadalci lahko tudi hitro uganejo enostavna gesla (z metodo lomljenja gesel, napadi s slovarjem in drugimi postopki) ali pa z enim ukradenim geslom dobijo dostop do preostalih računov.