„Telefonais, kompiuteriais ir internetu daugelis naudojamės jau daugiau nei dešimtmetį, tačiau įprastas tekstinis slaptažodis dažnam iki šiol yra pirmas, o dažnai ir vienintelis, būdas apsaugoti savo paskyrą“, – pastebi „Baltic Amadeus“ pardavimų direktorius Irmantas Bankauskas.
Kada ir kokią saugumo priemonę pasirinkti, visų pirma priklauso nuo profilio ar įrenginio paskirties ir jame laikomos informacijos pobūdžio, jautrumo, sako pašnekovas. Todėl išskirtinį dėmesį jis pataria skirti būtent darbo telefonui ir kompiuteriui, vidinių įmonės sistemų prisijungimams.
Piršto atspaudo nepasikeisi
Tiek asmeninį, tiek darbo telefoną, kompiuterį galime atrakinti ne tik slaptažodžiu ar PIN kodu, bet ir naudodami biometrinius duomenis – piršto atspaudą, veido atpažinimą. Toks būdas greitesnis ir, dažnai, patogesnis, vis dėlto I. Bankauskas atkreipia dėmesį, kad jis turi papildomų rizikų.
„Jei piktybiškų paskatų turintys asmenys pavogtų žmogaus biometrinius duomenis, pavyzdžiui, jo piršto atspaudo raštą, pasekmės liktų visam gyvenimui, nes biometriniai duomenys yra unikalūs ir nekeičiami. Piršto atspaudo, priešingai negu slaptažodžio, negalima pasikeisti, todėl iškyla grėsmė, kad ateityje sukompromituoto vartotojo tapatybe gali būti pasinaudota“, – pastebi „Baltic Amadeus“ pardavimų direktorius.
Kita vertus, biometriniai duomenys puikiai pasiteisina naudojant patvirtinimą keliais veiksmais. Pavyzdžiui, galima nustatyti, kad darbo telefonas atsirakintų tik su piršto atspaudu ir įvedus PIN kodą. Arba banko programėlė gali atsidaryti tik priglaudus pirštą ir įvedus slaptažodį, o norint atlikti pavedimą būtinas dar ir kodų generatorius ar mobilusis parašas.
Internetinėse paskyrose patvirtinimą dviem veiksmais I. Bankauskas rekomenduoja naudoti visada, kai tik yra galimybė – įskaitant ir asmeninius socialinių tinklų profilius, el. paštą. Tokią galimybę turi „Facebook“, „Instagram“, „Gmail“, „Yahoo“ ir kitos didžiosios tarnybos. Įprastai jungiantis prie paskyros iš naujo įrenginio atsiunčiamas specialus kodas SMS žinute arba prisijungimą reikia patvirtinti mobiliojoje programėlėje. Kitaip sakant, norėdamas pasiekti jūsų paskyrą įsilaužėlis ne tik turi žinoti tai, ką žinote tik jūs (slaptažodį), bet dar ir turėti jums priklausantį daiktą (jūsų telefoną).
Ar „:) ;)“ geriau nei „$Yps3nA“?
Nors tradiciškai slaptažodžiai sudaromi iš lotyniškų raidžių, skaičių ir kitų simbolių, tačiau prieš kelerius metus pristatyta naujovė – slaptažodžiai, kuriems naudojami jaustukai. Tai gali būti įvairios šypsenėlės, gyvūnų, daiktų ir kitų objektų piešinėliai. JAV Nacionalinis standartų ir technologijų institutas („National Institute of Standards and Technology“, NIST) taip pat ragina saugumo sistemų kūrėjus leisti į slaptažodžius įtraukti specialius simbolius, tokius kaip jaustukai.
„Baltic Amadeus“ ekspertas pastebi, kad net leidžiant rinktis iš riboto skaičiaus – pavyzdžiui, 50-ies skirtingų jaustukų, 4 simbolių PIN kodo variacijų skaičius viršytų 6 milijonus. Palyginimui, naudojant skaičius galima sukurti tik 10 tūkst. skirtingų PIN kodų. Be to, tyrimai parodė, kad žmonės jaustukų kodus atsimena lengviau nei atsitiktinius skaičius, o pašaliniams sunkiau pamatyti, kokį paveikslėlį žmogus pasirinko nei skaičių.
„Net įtraukus vieną jaustuką, slaptažodžio saugumas reikšmingai padidėja, vien dėl to, kad įsilaužėliai tiesiog nenaudoja jaustukų kaip galimų slaptažodžio simbolių. Kita vertus, jų nepalaiko ir daugelis tarnybų – šiuo metu jaustukus slaptažodžiuose naudoti leidžia tik trečiųjų šalių programėlės ir pavienės svetainės. Tam didelę įtaką turi tai, kad iki šiol nėra vieningo, visose platformose ir įrenginiuose patvirtinto jaustukų standarto“, – sako „Baltic Amadeus“ pardavimų direktorius.
Geras slaptažodis – nebūtinai sudėtingas
Taigi bent artimiausiu metu įprasti slaptažodžiai niekur nedings.
„Saugaus slaptažodžio sudarymo rekomendacijos nuolat kinta. Pavyzdžiui, vienu metu buvo rekomenduojama kurti kuo sudėtingesnius, jokios logikos neturinčius raidžių, skaičių ir simbolių kratinius. Tačiau paaiškėjo, kad jų žmonės tiesiog neįsimena ir užsirašo ant lapuko, kurį pasideda ant stalo ar prisiklijuoja greta kompiuterio ekrano. Tai net blogiau nei „Slaptažodis123“ – bet kas priėjęs prie kompiuterio gali pasiekti jūsų duomenis“, – sako I. Bankauskas.
Jis priduria, kad net sudėtingai atrodančius trumpus (pvz., „H7%e*}“), vieno žodžio (pvz., „fejerverkas123“) ir panašius slaptažodžius galima nesunkiai „nulaužti“, turint atitinkamas programas ir kompiuterinius išteklius. Pavyzdžiui, tokį slaptažodį kaip „labas123“ įveikti tuo besidomintiems užtrunka vos 30 sek., o „Labas123“ – 2 min.
Įdomu tai, kad dažniausia vartojami TOP 3 lietuvių slaptažodžiai yra sudaryti tik iš skaičių: „123456“, „123456789“, „123123“. Savo ruožtu saugumo ekspertai įspėja, kad slaptažodis „123456789“ pasaulyje yra nulaužiamas 431 kartą, jums mirktelėjus vos kartą.
Kaip galėtų atrodyti idealus slaptažodis?
Todėl pagrindinės gero slaptažodžio taisyklės šiuo metu yra šios:
- Jis turi būti kaip įmanoma ilgesnis (mažiausiai 8 simbolių)
- Slaptažodyje naudokite didžiąsias ir mažąsias raides, skaičius, simbolius
- Venkite pasikartojančių, iš eilės abėcėlėje ar klaviatūroje esančių sekų
- Venkite lengvų žodžių ir rašykite su klaidomis (įsilaužėlių įrankiai naudoja žodynus!)
- Nenaudokite vardų, svetainių, įmonių pavadinimų.
- „Baltic Amadeus“ atstovas pateikia pavyzdį: susigalvokite jums lengvai įsimenančią frazę ir „papuoškite“ ją simboliais. Tarkime, „Šaltibarščiai man skaniausias patiekalas Lietuvoje“ gali virsti puikiu slaptažodžiu „6alt3KAI-*skan3US3S/p@ieka1a$#LT!“.
Taigi pasitelkite kūrybiškumą – ir nenaudokite identiško slaptažodžio skirtingoms paskyroms.