Skoči na vsebino

SPET TA GESLA!

“Vem, kakšna so močna gesla, ampak, kako naj si vsa zapomnim?” Na vprašanje odgovarjamo ob letošnjem svetovnem dnevu gesel.

Povprečni spletni uporabnik uporablja med 70 in 80 gesli za najrazličnejše storitve.
Kako naj si zapomnim vsa svoja gesla?

Statistike kažejo, da ima povprečni spletni uporabnik med 70 in 80 gesel za najrazličnejše storitve! Če vzamemo v obzir, da je močno geslo dolgo (vsaj) 12 znakov, kompleksno in seveda unikatno, si je izjemno težko zapomniti vsa. Zato ubiramo bližnjice – uporabljamo kratka, enostavna gesla ali uporabljamo eno geslo za množico storitev. Kar je recept za katastrofo! Ali pa dobra novica za napadalce, ki hitro uganejo enostavna gesla (z metodo lomljenja gesel, napadi s slovarjem in drugimi postopki) ali pa z enim ukradenim geslom dobijo dostop do preostalih računov.    

Vsi spletni uporabniki delimo isto težavo – kako najti pravo formulo, da ustvarjamo kompleksna, dolga gesla in si hkrati vsa zapomnimo.

Kako torej ravnati?

Sliši se misija nemogoče in res je težko poiskati pravo ravnovesje med nasveti, ki so v teoriji dobri, ampak strokovnjaki vemo, da so za povprečnega uporabnika težko izvedljivi. Na eni strani zaradi pomanjkanja tehničnega znanja (ne znam, ne razumem), na drugi zaradi pomanjkanja interesa (ne ljubi se mi s tem ukvarjati, saj mi jemlje preveč časa). To je neprijetna resnica, pred katero si marsikateri informatik v podjetju in ponudniki storitev zatiskajo oči.   

Vendar gre za tako pomemben in temeljni varnosti ukrep, da ne smemo več iskati izgovorov in se resno lotiti upravljanja naših gesel. Zakaj? Ker nam kaj drugega ne preostane. Ker zgolj gesla varujejo našo identiteto, naše bančne račune, naše podatke, skratka celotno digitalno življenje. Posledica šibkih in ponavljajočih gesel so številni vdori v uporabniške račune, ki lahko povzročijo veliko škodo in odprejo vrata nizu drugih zlorab.

Kaj pravijo strokovnjaki, kako bi razvrstili načine upravljanja z gesli od najbolj do najmanj varnega in kaj je v sivi coni?

Najboljši scenarij upravljanja z gesli

Najprej je pomembno izpostaviti, da absolutne, 100 % zaščite ni in raje govorimo o dobri praksi, priporočilom, ki se prilagajajo tehnološkemu razvoju.

Trenutno najboljši ukrep za povprečnega uporabnika je, da uporablja dvofaktorsko preverjanje (dvofaktorska avtentikacija, preverjanje v dveh korakih), kjerkoli je to možno!

Dvofaktorsko preverjanje reši dve najpogostejši težavi: kratka, šibka in ponavljajoča gesla niso več tako zelo problematična, saj je za dostop do storitve potrebna  še dodatna unikatna koda, ki jo dobimo preko telefona. Na drugi strani pa smo tudi bolje zaščiteni pred phishing napadom, kjer nas goljufi prepričajo, da na ponarejeni spletni strani sami vnesemo geslo za dostop.

Nastavite si dvofaktorsko preverjanje za Google račun, družbena omrežja, PayPal, kripto denarnice, skratka, kjerkoli je ta rešitev podprta! Ne pozabite si zapisati tudi nadomestnih kod!
Nastavite si dvofaktorsko preverjanje za Google račun, družbena omrežja, PayPal, kripto denarnice, skratka, kjerkoli je ta rešitev podprta! Ne pozabite si zapisati tudi nadomestnih kod!

Kako varno hraniti gesla?

Učinkovito obvladovanje in varno hrambo gesel nudijo tudi t.i. password managerji oz. upravljalniki gesel. To so posebni programi, ki hranijo naša gesla v šifrirani obliki, zato se več ne obremenjujemo, kako si bomo vsa dolga in kompleksna gesla zapomnili. Upravljalniki nas tudi opozarjajo, katera gesla so šibka, kje smo večkrat uporabili isto geslo, pomagajo nam ustvarjati kompleksna gesla, celo zaznajo, ali se je katero od gesel znašlo v javno objavljeni bazi zlorabljenih računov. Pomembno pa je, da imamo zelo močno glavno geslo (master password), ki je tudi edino, ki si ga moramo zapomniti. Glede na opisano se upravljalniki gesel slišijo kot popolna rešitev. Vendar so tudi sami ranljivi in izpostavljeni različnim oblikam kibernetskih napadov (kot katerakoli druga programska rešitev), še posebej zadnji vdor v LastPass je načel zaupanje uporabnikov. Izziv je tudi začetna nastavitev, ki terja nekaj truda in časa uporabnika, vendar je nadaljnja uporaba preprosta.

Množico dolgih, kompleksnih in unikatnih gesel bomo lažje obvladovali z uporabo upravljalnika gesel (password manager). Ti nam omogočajo varno hrambo in upravljanje gesel.
Zelena cona, najboljša zaščita in ravnanje z gesli. Trenutno najboljši ukrep je uporaba 2-faktorskega preverjanja, kjer je to mogoče.

Kako sestaviti učinkovito geslo?

Zelo dober pristop, ki je v praksi težje izvedljiv, je tudi, da za vse storitve uporabljamo vsaj 12 znakov dolga gesla. Ta morajo biti kompleksna in unikatna, težko uganljiva za napadalce, ne vključujejo nobenega od naših osebnih podatkov, letnic, hkrati pa si vsa zapomnimo. Ker si je dolge kombinacije naključnih znakov zelo težko zapomniti, je priporočljivo uporabiti fraze oz. passphrase. To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena, npr. FotosintezaSrečaSonce. Še bolj varno pa je, če povezanim besedam dodamo posebne znake (+,*,-, #,…) in številke, npr. F0tosinteza-Sreča+S0nce. Temu lahko dodamo še nam poznan unikaten algoritem, da gesla prilagajmo različnim storitvam. Pri tem pa moramo paziti, da iz enega gesla ni moč uganiti tudi drugih gesel (npr. F0tosintezaf-Sr3ča+S0nceb za Facebook).

Dolgo in močno geslo je lahko tudi v obliki nepovezanih besed (passphrase), ki si jih boste lažje zapomnili.
Passphrase je način sestavljanja unikatnih gesel iz med seboj nepovezanih besed, ki jim dodamo simbole. Taka gesla je težko uganiti, mi pa si jih lažje zapomnimo.

Siva cona – ne odlično in ne tako grozno

Večina strokovnjakov za informacijsko varnost  ne priporoča shranjevanja gesel v brskalnikih. Razlog je predvsem hitro širjenje trojanskih konjev, ki so specializirani za krajo uporabniških podatkov (t.i. information stealer virusi). Gre za zlonamerne programe, ki v primeru okužbe ukradejo vsa gesla, shranjena v brskalniku (in še kup drugih podatkov). V tem primeru nič ne pomaga, če imamo dolga in unikatna gesla, saj jih virus enostavno skopira in pošlje napadalcem. Vendar je ta rešitev za uporabnike zelo enostavna, priročna, deluje na vseh napravah. Ob previdnem odpiranju priponk in klikanju na linke ter posodabljanju programske opreme je to še vedno boljša med slabimi rešitvami.

V sivo področje bi lahko uvrstili zapisovanje gesel v zvezek ali na papir, ki ga varno shranimo oz. skrijemo pred drugimi (npr. v zaklenjen predal). Sliši se v nasprotju z dolgoletno mantro »Ne zapisujte gesel na listke!«, vendar je nasvet potrebno postaviti v kontekst. Ne govorimo o geslih na listkih, nalepljenih na monitorje v sprejemni pisarni, kjer se dnevno sprehodi vsaj 20 ljudi. Če imamo, npr. 40 različnih, močnih gesel, zapisanih v zvezek, ki je zaklenjen v predalu, je to še vedno boljše, kot uporabljati eno enostavno geslo za vse storitve.

Pomislite na stare starše, ki ne obvladajo množice funkcionalnosti spletnih storitev. Potem je boljše svetovati, naj si (močna) gesla zapišejo na papir, kot pričakovati, da si bodo vsa zapomnili. Sicer bodo zelo verjetno uporabljali le eno enostavno geslo.

Zapisovanje gesel na papir ni optimalna rešitev, je pa še vedno boljša kot marsikatera, ki jo opisujemo v nadaljevanju.  

Nekatere na prvi pogled slabe prakse upravljanja z gesli so sprejemljive ob uporabi dodatnih zaščitnih ukrepov.
Siva cona upravljanja z gesli. Nekatere na prvi pogled slabe prakse upravljanja z gesli (npr. zapisovanje gesel) so sprejemljive ob uporabi dodatnih zaščitnih ukrepov.

Slabe prakse upravljanja z gesli

Najslabši možni scenarij je, da imate geslo, npr.  geslo123 za čisto vse možne storitve. To je grozljivka v enem stavku. Slabe so čisto vse različice že neštetokrat recikliranih in znanih gesel, ki se še vedno pojavljajo v bazah zlorabljenih podatkov. Naštevamo le nekatera gesla, ki so še vedno najbolj pogosta in hkrati največkrat shekana:

  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678

Poleg kratkih in enostavnih gesel je težava tudi recikliranje.

Tudi če imate močno in dolgo geslo, je vseeno nevarno, če ga uporabljate za vse storitve.

Slaba so tudi vsa gesla, ki jih lahko nekdo ugane, če vas le malo pozna, npr. gesla, ki vsebujejo ime, priimek, letnico rojstva, ime otrok, telefonsko številko ipd.

Najslabše prakse upravljanja z gesli.
Rdeča cona ali najslabše praske upravljanje z gesli. Gesel nikoli ne zapisujemo na listke, ne uporabljamo enakih gesel ali enega gesla za vse storitve.

Izjemno nespametno je tudi pisanje gesel na listke, ki ležijo nalepljeni po pisalnih mizah in monitorjih. Še posebej v pisarnah, do katerih ima dostop več zaposlenih in zunanjih obiskovalcev. Podobno je tudi s pisanjem PIN številke na listek, ki se nahaja poleg bančne kartice. Če veste, da kdo od vaših družinskih članov to počne, ga opozorite, da je to lahko zelo nevarno.

Na kratko o geslih

Kaj je trenutno najboljši način za upravljanje z gesli?

Trenutno najboljši ukrep za povprečnega uporabnika je, da uporablja dvofaktorsko preverjanje (dvofaktorska avtentikacija, preverjanje v dveh korakih), kjerkoli je to možno!

Kako varno hraniti gesla?

Lahko uporabljate upravljalnike gesel, pri čemer pa je zelo pomembno, da imate močno glavno geslo. Gesla lahko hranite tudi v rokovniku, a mora biti ta spravljen na varnem mestu (npr. v zaklenjenem predalu).

Kako je sestavljeno dobro geslo?

Močno in učinkovito geslo je doglo vsaj 12 znakov, kompleksno in unikatno, težko uganljivo za napadalce in ne vključujejo nobenega od naših osebnih podatkov ter letnic.

Zakaj ni dobro imeti enega močnega gesla za vse storitve?

Če vam ukradejo geslo, bodo z njim lahko dostopali do vseh storitev, kjer uporabljate to geslo. Zato je bolje uporabljati različna enostavnejša gesla (in 2FA, kjer je to mogoče).

Kako mi ukradejo geslo?

Geslo vam lahko ukradejo z metodo lomljenja gesel, napadi s slovarjem, s pomočjo računalniškega virusa, phishingom (lažnimi sporočili) in drugimi metodami.

Komentarji / 2

Pred objavo na portalu bo vaš komentar odobren s strani uredništva.
Preberite pravila komentiranja na portalu.
Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.

  1. Poročilo o odkriti ranljivosti in izpostavljenosti gesel pri AAI-računih : Arnes /

    […] Priporočamo, da se pri menjavi gesla držite splošnih smernic za izdelavo varnega gesla: https://www.varninainternetu.si/spet-ta-gesla in obstoječih gesel ne uporabljajte ponovno. Če geslo, ki ste ga uporabljali za AAI-prijavo, […]