Le tri različna gesla pogosto zadostujejo za dostop do številnih programov. Zakaj takšna praksa predstavlja tveganje in kako lahko najučinkoviteje zaščitimo svoje najpomembnejše podatke?
Statistike SI-CERT kažejo, da ima povprečen uporabnik med 70 in 80 spletnih računov, vendar za prijavo pogosto uporablja le tri različna gesla. To pomeni, da je ena napaka dovolj, da ogrozi večino svojih računov.
Zakaj se to dogaja? Ker si je težko zapomniti veliko gesel, uporabniki pogosto:
- reciklirajo isto geslo za različne aplikacije,
- za gesla kljub opozorilom še vedno uporabljajo osebne podatke, kot so imena otrok, partnerjev, hišnih ljubljenčkov ali datumi rojstva,
- uporabljajo preproste vzorce, kot so 123456, admin, geslo,
- ko sistem zahteva »poseben znak« v geslu, dodajo klicaj (!),
- zapišejo gesla na listke, ki jih pustijo ob računalniku.
Vsega navedenega se prevaranti še kako zavedajo in zato panoga prevar skokovito in uspešno narašča.
Učinkovitost hekerjev pri razbijanju gesel
Tudi brez naprednih metod so šibka gesla zelo ranljiva:
- 4–6 znakov: zlomljena v nekaj sekundah
- do 9 znakov: z dodatki simbolov, črk in številk – v nekaj urah
- 12+ znakov: z raznolikimi znaki lahko vzame mesece napadanja
Zato dolga, kompleksna gesla niso priporočilo, temveč pogoj za osnovno zaščito. Ampak … ali je to dovolj?
Uporabnik sam predstavlja največje varnostno tveganje
Tudi najbolj varna aplikacija – z napredno šifrirano povezavo, strogim preverjanjem dostopa in rednimi posodobitvami – je nemočna, če uporabnik ravna malomarno.
SI-CERT je v Sloveniji že obravnaval primere, ko je napadalcem uspelo pridobiti dostop do poštnih predalov samo zato, ker so uporabniki uporabili isto geslo za več različnih storitev.
Ta praksa odpira vrata t. i. credential stuffing napadom, kjer napadalec z eno geselsko kombinacijo poskusi dostopati do številnih sistemov.
Rešitev? Uporabljajmo unikatna, dolga gesla, ki jih shranimo z upravljalnikom gesel.
Nujnost dodatne varnostne zaščite
Po vsej verjetnosti ste že naleteli na aplikacijo, ki od vas zahteva tako imenovano dvofaktorsko avtentikacijo prek telefona ali e-pošte.
V tem primeru gre za dvofaktorsko avtentikacijo (2FA) oziroma preverjanje v dveh korakih, ki poskrbi za najvišji nivo zaščite.
Tak sistem od nas zahteva, da poleg gesla vnesemo še enkratno kodo, ki nam jo pošlje prek SMS-a, e-pošte ali pa v namensko aplikacijo, kot je na primer Google Authenticator.
Gre za preprost koncept: nekaj, kar vemo (geslo) + nekaj, kar imamo (telefon ali aplikacija).
Kako to funkcionira v praksi?
- Prijavimo se z uporabniškim imenom in geslom.
- Sistem nas pozove k vnosu dodatne kode.
- Šele nato pridobimo dostop do računa.
SI-CERT poroča, da je bila v lanskem letu večina poslovnih računov zaščitenih zgolj zaradi vklopljene 2FA, medtem ko so bili drugi brez te zaščite kompromitirani.
Kako aktivirati 2FA?
Dvofaktorska avtentikacija je vgrajena v številne storitve: bančne aplikacije, Google, Microsoft, Dropbox, Facebook, Instagram, X, TikTok …
Koraki za vključitev:
- V nastavitvah uporabniškega računa poiščite možnost “Dvofaktorska avtentikacija” ali “Preverjanje v dveh korakih”.
- Izberite način: SMS, aplikacija ali biometrija.
- Sledite navodilom in potrdite nastavitev.
Večina storitev omogoča tudi označitev “zaupane naprave”, tako da kode ni treba vnašati ob vsaki prijavi.
Varnost podatkov je skupna odgovornost
Večina današnjih aplikacij in programov uporablja napredne varnostne tehnologije, redne posodobitve in šifriranje, a noben sistem ni popolnoma odporen, če uporabnik sam ne ravna varno.
Dvofaktorska avtentikacija je danes standardna praksa in eden najbolj učinkovitih ukrepov za zaščito računov.
V dobi eksponentno naraščajočih kibernetskih napadov je prav vsak uporabnik pomemben člen v verigi varnosti.
Viri:
