Patarimai

Kaip negalima kurti slaptažodžio ir ką daryti, kad būtume saugūs

2019 spalio 7

Technologijų ir interneto augimas mums atnešė daugybę malonių ir naudingų dalykų, bet tuo pačiu ir bent vieną nelabai malonų. Nesvarbu, apsiperkame iš namų, valdome pinigus savo telefone, prisijungiame prie elektroninio pašto ar Spotify – mums visur ir visada reikia slaptažodžio. Tai jau net virto problema – dažnas, bijodamas juos užmiršti, renkasi kuo paprastesnius ar nuolat tokius pačius. Bet juk kvaila įsirengti šarvuotas duris ir rakinti jas pašto dėžutės rakteliu. Todėl šiandien Arnoldas Lukošius ir pasistengs priminti, kaip negalima kurti slaptažodžių ir kaip išvengti tipiškiausių klaidų.

Pernai vidutinis civilizuoto pasaulio gyventojas turėjo po 23 slaptažodžiais apsaugotas paskyras ir vidutiniškai naudojo 13 skirtingų slaptažodžių. Taigi, jūs ne vieniši – tą patį slaptažodį skirtingoms paskyroms mėgsta naudoti daugelis. Dar blogiau naudoti slaptažodžius, kuriuos bet kas atspės iš trijų mėginimų. O tokių, pasirodo, yra labai nemažai.

Interneto saugos kompanija SplashData jau aštuonerius metus analizuoja milijonus internete nutekintų slaptažodžių ir renka blogiausių šimtuką. Labiausiai stulbina tai, kad lyderiai nesikeičia jau metų metus. Pirmas tris vietas stabiliai užima „123456“, „password“ ir „123456789“. Kompiuterių dominavimo laikų lyderis „qwerty“ šįkart liko devintoje vietoje, o „admin“ – tryliktas.

Kadangi vis daugiau paskyrų reikalauja slaptažodžių, kuriuos sudarytų ir skaičiai, ir raidės, populiariausiųjų sąraše atsirado „abc123“ (15 vieta) ir „passw0rd“ (31 vieta).

Vis dėlto, populiariausia visų vartotojų nuodėmė pasaulyje – patikimas slaptažodis, su didžiosiomis ir mažosiomis raidėmis, skaičiais ir simboliais, pakankamai ilgas, bet taikomas absoliučiai visur. Kodėl tai blogai? Įsivaizduokite, kad nulaužiama svetainės, socialinio tinklo ar parduotuvės duomenų bazė ir pagrobiami visų vartotojų duomenis? Jei atsidūrėte tarp nukentėjusių, bet išlaužtoje vietoje naudojote unikalų slaptažodį, jausitės sąlyginai ramūs – nesaugūs tik ten buvę duomenys. Tačiau, kas nutiks, jei nusikaltėlių rankose atsidurs slaptažodis, saugantis visas jūsų paskyras?

Taip, visai išvengti slaptažodžių kartojimo labai sudėtinga, bet besikartojančius slaptažodžius naudoti galima nebent ten, kur jungiatės gal tik vieną kartą ir kur nevyks nei piniginiai atsiskaitymai, nei konfidencialios informacijos perdavimas (pvz. panorus paskaityti kokį interneto žurnalą, kuris reikalauja susikurti paskyrą).

Pataisykite, jei klystame, bet bent dalyje savo slaptažodžių naudojate artimo žmogaus, augintinio ar vietovės vardą? Kartais dar pasitelkiate ir svarbią datą, adresą ar telefono numerį? Neteigiame, kad taip būna visada, tačiau tikrai rasime neįtikėtinai daug senelių, kurių slaptažodis yra anūkėlio vardas ir gimimo data, tėvų, kurie duomenis saugo vaiko vardu ir t.t.

Kai turi ir didžiąsias, ir mažąsias raides, ir skaičius, tokie slaptažodžiai tikrai atitinka visus reikalavimus ir įsilaužimo programoms tiek pat sunkiai įkandami, kaip ir atsitiktinis simbolių kratinys. Tačiau, jei kompiuteris tiek pat ilgai truks lauždamas ir „1qQtr58p“, ir „Loreta95“, bent dieną Facebook’e jus pasekusiam žmogui, kuris žino, kad turite 1995 m. gimusią dukrą Loretą, pastarąjį atspėti bus gerokai lengviau.

Ir Viktoras, apsaugojęs savo paskyrą slaptažodžiu „Vikt0ras“, tikrai neturėtų jaustis ramiai. O jei 2001 m. baigtoje mokykloje jus pravardžiavo cepelinu, slaptažodis „2001Cepelinas“ tiesiog prašosi būti nulaužtas. Žodžiu, supratote.

Beje, problema gali būti ir per sunkūs slaptažodžiai. Susikūrę daugybę pernelyg sudėtingų slaptažodžių, galiausiai galime tiesiog jų nebeprisiminti. Ar tai reiškia, kad, kišenvagio džiaugsmui, nešiosimės juos surašytus ant lapuko? O gal laikysime ant kompiuterio desktop’o esančiame faile, pavadintame „slaptažodžiai“?

Atrodo, kad įrėmėme save į kampą – ką daryti, jei ir per lengvi, ir per sunkūs slaptažodžiai negerai? Iš esmės atsakymas paprastas – reikia kurti ilgus slaptažodžius (kuo ilgesnis, tuo saugesnis), kuriuos būtų galima įsidėmėti asociatyviai. Juk atspėti „3PovandeniniaiArkliaiLojaKefyru“ praktiškai neįmanoma. Stenkitės, kad tokios frazės nebūtų susijusios su jumis asmeniškai. Dar geriau, jei jos tarsi net ir neturės jokio loginio ryšio.

O štai keli dar paprastesni sprendimai, kurie ir atmintį išlaisvina, ir saugumą užtikrina:

1. Dviejų pakopų identifikavimas – bene pati patikimiausia šiuo metu naudojama bet kokios paskyros apsauga. Tokią siūlo ir Google, ir Facebook. Paskyrą saugo ne tik slaptažodis, bet dar viena saugos pakopa. Ji veikia taip, kad prie jūsų paskyros bandant prisijungti iš naujo įrenginio, bus pasiūlyta suvesti kodą, kuris tuo pat metu siunčiamas nurodytu telefono numeriu ar elektroniniu paštu. Įsilaužėlis jo negaus, o jūs, pamatę savo telefone kodą, suprasite, kad kažkas mėgina jungtis prie jūsų paskyros. 

2. Įdiegtos slaptažodžių saugojimo paslaugos, kuriomis dažnas  jau naudojasi to net nežinodamas. Pavyzdžiui, kuriant naują slaptažodį, interneto naršyklė siūlo jį įsidėmėti ar net sukurti už jus. Jei sutikote, kitą kartą jungiantis iš savo paskyros slaptažodis bus įvestas automatiškai, o užmiršę jį rasite naršyklės (pvz. Chrome) nustatymų skyriuje. Tai patogu ir dažnai tampa vieninteliu išsigelbėjimu, mėginant prisijungti prie retai naudojamos paskyros, tačiau reikalauja ir tam tikro atsargumo.

3. „Slaptažodžių menedžeriai“ – taip vadinami specialūs slaptažodžių saugojimo sprendimai. Tai patikima, labai paprasta ir veiks visur. Deja, daugelis jų kainuoja. 1Password, Dashlane, Keeper kainuos apie 30 eurų per metus ir įsidėmės slaptažodžius visuose jūsų naudojamuose įrenginiuose. Jų siūlomos nemokamos versijos pernelyg limituotos. Tik LastPass siūlo pilnai funkcionalią nemokamą slaptažodžių apsaugą visuose jūsų įrenginiuose. Deja, kaip rodo rugsėjį paviešintas saugos tyrimas, šie menedžeriai taip pat gali būti pažeidžiami. Tas pats LastPass  turėjo saugumo spragą, kurią galima buvo pasinaudoti.