Skaičiuojama, kad pernai vienoje vietoje buvo sujungta daugybė anksčiau nutekintų duomenų bazių, kuriose iš viso yra apie 16 milijardų prisijungimo duomenų. Naujausi atvejai rodo, kad problema tik gilėja – įsilaužimai fiksuojami nuolat, o jų metu gali būti paveikti milijonai vartotojų. Pavyzdžiui, kovo mėnesį įvykusio išpuolio prieš studentų informavimo sistemą „Infinite Campus“ metu nukentėjo 11 mln. platformos naudotojų. Tai dar kartą primena, kad slaptažodžių saugumas išlieka viena silpniausių skaitmeninės apsaugos grandžių.
Įsilaužėliai nenustoja stebinti net visko mačiusių kibernetinio saugumo ekspertų. Pavyzdžiui, užsienio šalyse veikiančio „Infinite Campus“ atvejis išsiskiria tuo, kad į vidines sistemas įsibrauta nulaužus darbuotojo paskyrą. Tokie pavyzdžiai tik iliustruoja mūsų prisijungimo duomenų apsaugos svarbą.
Incidento metu paveikti 11 mln. vartotojų, tarp kurių – dėstytojai, mokiniai ir jų tėvai. Sukčiai pasiekė ne tik su mokymo pasiekimais susijusią, bet ir jautrią asmeninę informaciją, tokią kaip gimimo datas, kontaktus. Tai pavyko padaryti ne didelės kibernetinės atakos būdu, o nulaužus vieno iš naudotojų prisijungimą. Akivaizdu, kad net stambios ir daug dėmesio duomenų apsaugai skiriančios organizacijos gali nukentėti dėl nepakankamo pavienių asmenų slaptažodžių stiprumo.
Ar jūsų slaptažodis gali būti pavogtas?
„Tele2“ IT saugumo ekspertas Mantas Užupis paaiškina, kaip elgtis, jei jūsų prisijungimo duomenys tampa kibernetinės atakos dalimi.
„Dažnai numojama ranka, esą nutekėjo ne itin svarbios paskyros duomenys. Tačiau internetiniai nusikaltėliai gali naudoti tą pačią el. pašto ir slaptažodžio kombinaciją, bandydami prisijungti prie kitų, kur kas svarbesnių paskyrų. Jei skirtingoms paskyroms naudojate vieną ar kelis tuos pačius slaptažodžius, labai palengvinate potencialių įsilaužėlių darbą“, – pabrėžia M. Užupis.
Kai slaptažodis patenka į netinkamas rankas
Įsilaužėliui gavus prieigą prie jūsų paskyrų, jis gali matyti asmenines žinutes, nuotraukas, darbo dokumentus ir naudotis jūsų vardu sukurtais profiliais, pavyzdžiui, perimti internetinį verslą socialiniuose tinkluose ir pan.
Neretai pavogti duomenys atsiduria tamsiajame internete (ang. „dark web“) – interneto dalyje, kuri nėra pasiekiama įprastam lankytojui. Ten informacija parduodama kitiems nusikaltėliams arba pasitelkiama naujoms atakoms: finansiniams sukčiavimams, tapatybės vagystėms, šantažui ar reikalaujant išpirkos.
„Sužinojus apie duomenų nutekinimą, būtina nedelsiant pakeisti visus slaptažodžius ir pasitelkti papildomas saugumo priemones – pavyzdžiui, dviejų veiksnių autentifikaciją, kuri užtikrina aukštesnį apsaugos lygį“, – primena M. Užupis.
Kaip susikurti patikimą slaptažodį
Saugus slaptažodis pirmiausia turėtų būti pakankamai ilgas – kuo daugiau simbolių, tuo sunkiau jį atspėti ar nulaužti. Nors dažnai rekomenduojama naudoti bent 14–16 simbolių slaptažodžius, sudarytus iš raidžių, skaičių ir specialių ženklų, derėtų vengti akivaizdžių kombinacijų ar asmeninės informacijos, pavyzdžiui, gimimo datų.
„Ne mažiau pavojinga praktika – vadinama slaptažodžių „iteracija“ arba kartojimas, kai pakeičiamas tik vienas simbolis ar skaičius. Pavyzdžiui, „password1“ virsta „password2“. Tokias sekas programišiai lengvai perpranta, tad kiekvienai paskyrai būtina kurti iš esmės skirtingus, o ne minimaliai pakoreguotus slaptažodžius“, – atkreipia dėmesį „Tele2” ekspertas.
Šiandien vien sudėtingo slaptažodžio, sudėto iš skirtingų simbolių, duomenims apsaugoti nebeužtenka. Kur kas patikimesnis sprendimas – naudoti tvarkyklių sugeneruotus atsitiktinius slaptažodžius arba pereiti prie „passkeys“ technologijos, kuri leidžia prisijungti veido atpažinimo, pirštų atspaudų ar įrenginio PIN kodo pagalba.
„Papildomą apsaugos lygį suteikia ir dviejų ar kelių veiksnių autentifikacija. Paprastai tariant, priemonės, kuriose tapatybės patvirtinimui atlikti reikia padaryti ne vieną, o du žingsnius, pavyzdžiui, naudojant kodų generatorių. Tai ženkliai mažina riziką, kad net ir nutekėję prisijungimo duomenys leis perimti paskyrą“, – primena M. Užupis.
Stipraus slaptažodžio neužtenka – reikia jį nuolat keisti
Kiekvienai paskyrai rekomenduojama naudoti unikalų slaptažodį ir juos reguliariai keisti – ypač kalbant apie el. paštą ar internetinę bankininkystę. Pasak M. Užupio, net ir labai sudėtingas slaptažodis tampa nebesaugus, jei jis naudojamas keliose vietose ir nėra pasitelkiama papildomų tapatybės patvirtinimo veiksnių. Tokiu atveju užtenka vieno pažeidimo, kad būtų perimtos ir kitos paskyros.
„Net pats sudėtingiausias slaptažodis neužtikrins saugumo, jei jis pakartotinai naudojamas skirtingose paskyrose. Įsilaužimai vyksta nuolat, o nė viena el. parduotuvė ar savitarnos sistema nėra šimtu procentų apsaugota – dažnai sukčių mėginimas nutekinti duomenis tėra laiko klausimas. Todėl turėti stiprų slaptažodį neužtenka. Reikia pasirūpinti papildomais tapatybės nustatymo veiksmais, įdiegti pirštų atspaudų ar veido atpažinimo technologiją ir užtikrinti slaptažodžio unikalumą, kad skirtingose svetainėse jis nesikartotų”, – rekomenduoja M. Užupis.
