Kontaktai
2021.05.06

Stiprus slaptažodis: kaip ji susikurti ir kur saugoti?

Ekspertinė įžvalga

Pasaulinė slaptažodžių diena, minima pirmą gegužės ketvirtadienį, turėtų visiems priminti atnaujinti savo slaptažodžius į saugesnius. Statistika rodo, kad lengvai atspėjami slaptažodžiai – itin paplitę ir užsienyje, ir Lietuvoje. Silpnas slaptažodis dažnai gali niekais paversti kitas saugumo priemones, kurių imamės savo asmeninei ar darbinei informacijai apsaugoti.

„NordPass“ sudarytame populiariausių lietuviškų slaptažodžių dvidešimtuke vyrauja skaičių ar raidžių sekos (pvz.: 123456, 111111, qwerty, asasas), vardai, vietovardžiai ir prekės ženklai (mantas, karolis, lietuva, kaunas, samsung) bei atsitiktiniai kasdieniai žodeliai (katinas, mamyte, nesakysiu, labas). Versle situacija ne ką geresnė: kas penktas slaptažodis – tikslus įmonės pavadinimas arba nesudėtingos jo variacijos.

„Daugelį tokių nesudėtingų slaptažodžių, pasitelkus specialią programinę įrangą, galima įveikti per kelias sekundes ar minutes“, – teigia „Baltnetos komunikacijų“ „Microsoft“ sistemų administratorių skyriaus vadovas Dominykas Žaliauskas.

„Pasitelkus specialią programinę įrangą nesudėtingus slaptažodžius galima įveikti per kelias sekundes ar minutes.“

Nesudėtingi slaptažodžiai – tiesus kelias į nuostolius

Pasaulio ekonomikos forumas apskaičiavo, kad dėl kibernetinių atakų pasaulio ekonomika patiria 2,9 mln. JAV dolerių nuostolių kas minutę. Nuostolius sudaro prarasti duomenys, paslaugų sutrikdymai ar pavogtos įmonių lėšos. „Verizon“ duomenimis, 37 proc. šių atakų įvyksta pavogus ar išviliojus prisijungimo duomenimis.

„Neretai kibernetiniams nusikaltėliams nereikia naudoti labai sudėtingų įsilaužimo metodikų, nes jų darbą gerokai palengvina patys vartotojai“, – perspėja D. Žaliauskas. – „Programišių sukurti algoritmai bando prisijungti prie sistemų naudodami žodyne esančius žodžius ir jų kombinacijas (angl. dictionary attacks), taip pat neretai naudojami ir grubesni metodai (angl. brute-force attacks), bet dažnu atveju neprireikia ir to. Prisijungimo duomenys išviliojami apsimetus kolegomis, tiekėjais ar įdiegus kenkėjišką programinį kodą, kuris „vagia“ slaptažodžius. Ne kartą esame susidūrę su situacija, kai prie vartotojų paskyrų programišiai prisijungia atspėję nesudėtingą slaptažodį.“

„Ne kartą esame susidūrę su situacija, kai prie vartotojų paskyrų programišiai prisijungia atspėję nesudėtingą slaptažodį.“

Nerūpestingas požiūris į slaptažodžius gali kainuoti labai brangiai – nuo prarastos reputacijos iki realių finansinių nuostolių ir grėsmės verslo tęstinumui. Pavyzdžiui, gavę prieigą prie e. pašto, įsilaužėliai gali perimti finansinę korespondenciją ir suklastoję sąskaitas išsiųsti jas e. pašto savininko partneriams ir klientams, kurie nieko neįtardami (juk laiškas atėjo iš pažįstamo siuntėjo!) nurodytas sumas perves nusikaltėliams.

Taip pat dažnu atveju programišiai, pasinaudoję lengvu slaptažodžiu ir prisijungę prie įmonės serverių, kuriuose saugomi veiklos tęstinumui kritiškai svarbūs verslo duomenys, juos užšifruoja ir siekia pasipelnyti prašydami išpirkos už šifro „raktą“. Pandemijos metu tokio pobūdžio atakos sutrikdė ne vienos „Fortune 500“ kompanijos veiklą, o vos prieš porą savaičių nukentėjo net „Apple“ – kibernetiniai nusikaltėliai tvirtina pavogę „Apple Watch“ ir „MacBook Pro“ brėžinius.

Ką turėtų apibrėžti įmonės slaptažodžių politika?

Yra du pagrindiniai reikalavimai saugiam slaptažodžiui – jo ilgis bei kuo didesnė panaudotų simbolių įvairovė. Darbinių paskyrų prisijungimo duomenims turėtų būti keliami papildomi reikalavimai, apibrėžiami įmonės slaptažodžių politikoje. Formuojant ją reikėtų vadovautis keliomis bazinėmis taisyklėmis:

  • minimalus slaptažodžio ilgis: bent 8 simboliai ar ilgesnis;
  • ženklų įvairovė: mažosios ir didžiosios raidės, skaičiai, skyrybos ženklai ir specialūs simboliai. 8 ženklų didžiųjų ir mažųjų raidžių bei skaičių kombinacijos leidžia sukurti net 218 340 105 584 896 slaptažodžių variantus, tai – jau sudėtinga užduotis programišiams, organizuojantiems brute-force atakas;
  • slaptažodžio sudėtingumas: jei slaptažodis neturi specialių simbolių, jis tampa pažeidžiamas žodyno atakoms, todėl įmonės sistemos turėtų tikrinti, ar vartotojo kuriamas slaptažodis nėra elementarus žodžių junginys, pavyzdžiui: vartotojo vardas ir pavardė, įmonės pavadinimas su skaičiumi ar miesto pavadinimas;
  • slaptažodžio istorija: sistema turėtų „prisiminti“ senus vartotojų slaptažodžius ir neleisti jų naudoti pakartotinai. Tiesa, vartotojus taip pat derėtų perspėti jokiu būdu nenaudoti tų pačių slaptažodžių prisijungimui prie kitų paskyrų, ypač asmeninių;
  • slaptažodžio galiojimo laikas: reikalavimas reguliariai atsinaujinti slaptažodį, ypač jei nenaudojamas dviejų veiksnių autentifikavimo sprendimas. „Microsoft“ rekomenduoja slaptažodžio galiojimo laiką apriboti iki 60 dienų.

„Idealiu atveju, įmonės turėtų naudoti stebėsenos sistemas, kurios automatiškai informuotų vartotoją apie bandymą prisijungti iš nežinomų įrenginių ir blokuotų prieigą prie paskyros, jei per trumpą laiką buvo bandoma kelis kartus prisijungti su neteisingais duomenimis“, – papildo D. Žaliauskas.

O kaip asmeninės paskyros ir jų slaptažodžiai?

Į minėtas taisykles, rekomenduojamas formuojant įmonių slaptažodžių politiką, galima atsižvelgti bei dalinai pritaikyti ir rūpinantis asmeninių paskyrų saugumu. Taip pat kiekvienam vartotojui patartina:

  • naudoti unikalius slaptažodžius kiekvienai paskyrai. Itin svarbu atskirti darbines ir asmenines paskyras – jų prisijungimo informacija niekada neturėtų sutapti;
  • reguliariai keisti slaptažodžius, net jei sistema to nereikalauja – prisijungimo duomenis prie asmeninių paskyrų vertėtų peržiūrėti ir profilaktiškai atnaujinti bent kas pusmetį, o sužinojus apie įsilaužimą ir galimą duomenų nutekinimą, tą reikėtų padaryti nedelsiant;
  • aktyvuoti dviejų veiksnių autentifikavimą (2FA) visoms paskyroms, kurios sudaro tokią galimybę. Tokiu atveju prisijungiant prie paskyros, savo tapatybę reikia patvirtinti per du skirtingus įrenginius, pavyzdžiui, įvesti prisijungimo duomenis kompiuteryje, o kitame žingsnyje įvesti į telefoną atsiųstą saugumo kodą.

„Dviejų veiksnių autentifikavimo naudojimas – vienas geriausių sprendimų, kuriuos galite priimti savo paskyrų saugumo labui. Jis gali apsaugoti pastarąsias net ir tais atvejais, kai vartotojo duomenys yra pavogiami ir nutekinami į juodąją rinką. Naudoti 2FA reikėtų visur ir visada, kai tik yra tokia galimybė. Anot „Microsoft“, tokia kelių lygių sistema tikimybę, kad kibernetiniams nusikaltėliams pavyks prisijungti prie jūsų paskyrų be jūsų žinios, sumažina 99,9 proc.“, – pataria D. Žaliauskas.

citata
„2FA – geriausias vaistas nuo vartotojų tingumo, užmaršumo ir nenoro kurti ilgus, sudėtingus ir skirtingus slaptažodžius.“
Dominykas Žaliauskas „Baltnetos“ „Microsoft“ sistemų administratorių skyriaus vadovas

Kuo daugiau slaptažodžių naudojame, tuo sunkiau juos visus tampa atsiminti. Saugus būdas galintis palengvinti šią užduotį yra slaptažodžių saugojimo programėlės, pavyzdžiui, „Keeper“, „Dashlane“, „NordPass“, „Bitwarden“ ar atvirojo kodo „KeePass“. Jose laikomi slaptažodžiai yra užšifruojami, prisijungimui prie jų naudojamas pagrindinis slaptažodis, PIN kodas ar telefono biometriniai duomenys, jos automatiškai gali įvesti prisijungimo duomenis, mokėjimo ar asmeninę informaciją į atitinkamas formas bei informuoti apie į internetą nutekėjusius slaptažodžius. Tokiu atveju tereikės greitai sureaguoti ir juos išsyk pasikeisti.

Ekspertinė įžvalga Gera pradžia – pusė darbo: už ką atsakingas naujasis „Baltnetos“ Paslaugų įdiegimo skyrius?
Atnaujinę išmaniojo telefono operacinę sistemą ar pamėgtą programėlę dažnai atrandame naujų funkcijų, o kartais tenka išmokti kitaip atlikti tam tikrus veiksmus. Jei ko nors nežinome ar susiduriame... Daugiau
Klientų sėkmės istorijos Patikėjo visapusę IT sistemų priežiūrą
Beveik tris dešimtmečius vaistų ir vaistinių preparatų platinimu Lietuvoje užsiimanti „Armila“ patikėjusi savo vidinių IT sistemų priežiūrą „Baltnetai“ ne tik padidino darbuotojų darbo našumą, bet... Daugiau
Ekspertinė įžvalga Viena saugumo spraga – trys kirčiai
Klientų asmens duomenys yra itin svarbus įmonės turtas – šį faktą įstatymais apibrėžė prieš beveik dvejus metus Europos Sąjungoje įsigaliojęs Bendrasis duomenų apsaugos reglamentas ir savo kailiu... Daugiau
Aktualijos Debesų kompiuterijos naudojimas įmonėse: Lietuva tarp ES vidutiniokių
Debesų kompiuterijos galimybės prieinamos jau gerą dešimtmetį. Daugybė skaitmeninių paslaugų, prie kurių esame įpratę kaip vartotojai, pavyzdžiui, socialiniai tinklai, interneto bankai ar biuro... Daugiau
Aktualijos Kaip išsirinkti patikimą duomenų centro paslaugų teikėją?
Praėjusių metų pradžioje užklupusi pandemija gerokai pagreitino verslo procesų skaitmenizaciją ir perkėlimą į debesis. Kelis kartus padidėjus internetu teikiamų paslaugų paklausai įmonės per trumpą... Daugiau
Naujienos Vinted iš Baltnetos nuomojasi pustrečio šimto serverių
Vieną didžiausių duomenų centrų infrastruktūrų šalyje valdanti bendrovė Baltneta teiks dedikuotų serverių nuomos ir kolokacijos paslaugas didžiausiai Europoje internetinei naudotų mados prekių... Daugiau
Naujienos Lietuvos geležinkeliai kritinės svarbos eismo valdymo įrangą talpins Baltnetos duomenų centre
Duomenų centrų paslaugas teikianti bendrovė Baltneta ir Lietuvos geležinkeliai sudarė 3 metų trukmės sutartį dėl duomenų centro ploto nuomos, kur bus talpinama naujos kartos GSM-R ryšio įranga.... Daugiau
Naujienos Baltnetos duomenų centrams suteiktas PCI DSS sertifikatas
Baltneta – pirmoji duomenų centrų valdytoja Lietuvoje, gavusi mokėjimo kortelių duomenų apsaugos sertifikatą PCI DSS v3.2.1 (Level 1), patvirtinantį, kad bendrovės duomenų centruose gali būti... Daugiau
Aktualijos Microsoft 365 sprendimas didesniam saugumui
Kibernetinio saugumo ir įsilaužimų į įmonių sistemas statistika kalba pati už save – žmogiškosios klaidos yra neišvengiamos ir dažnai vaidina nemenką vaidmenį duomenų praradimo atveju. Daugiau
Naujienos Daugiau galimybių su Tellq Multi
Šiais metais patogus ir efektyvus verslo komunikacijos su klientais organizavimas tapo itin aktualus, todėl mes susikoncentravome į Tellq Multi sistemos funkcionalumo plėtimą, dizaino atnaujinimą... Daugiau
Aktualijos Baltnetos veiksmai COVID-19 viruso pandemijos metu
Veiklos tęstinumo plane mes esame numatę, kaip dirbsime visuotinės pandemijos metu. Tai leido pradėti taikyti numatytas tvarkas tą pačią dieną, kai Pasaulio sveikatos organizacija (PSO) COVID-19... Daugiau
Naujienos Lietuvos informacinių technologijų kompanijos vienijasi dėl švarios interneto aplinkos
Šiandien, visame pasaulyje minint Saugesnio interneto dieną, Lietuvos elektroninės informacijos prieglobos paslaugų teikėjai jungiasi prie Memorandumo dėl švarios interneto aplinkos ir tokiu būdu... Daugiau
Naujienos Baltneta užbaigė 3 mln. eurų vertės duomenų centro plėtros etapą
Bendrovė Baltnetos komunikacijos oficialiai užbaigė antrą Liepkalnio duomenų centro plėtros etapą, kuris leis du kartus išplėsti jos valdomo duomenų centro pajėgumus. Į šį plėtros etapą bendrovė... Daugiau
Naujienos Baltnetos pajamos augo 10 proc., pelnas – beveik trečdaliu
Bendrovė Baltnetos komunikacijos per 2018 m., palyginti su ankstesniais metais, savo pajamas padidino daugiau kaip 10 proc. – iki 11,8 mln. eurų. Grynasis bendrovės pelnas, išaugęs 31 proc.,... Daugiau
Naujienos Baltneta sėkmingai įgyvendino sprendimą, kuris pagerins interneto ryšio kokybę visoje Lietuvoje
Bendrovė Baltnetos komunikacijos sukūrė didžiausią apsikeitimo duomenimis mazgą Balt-IX (angl. Internet Exchange) Baltijos šalyse, vienijantį 41-ą narį. Šiuo interneto infrastruktūros sprendimu jau... Daugiau
Naujienos Į didžiausio Lietuvoje duomenų centro statybas Baltneta investuoja 3 mln. eurų
Bendrovė Baltnetos komunikacijos pradėjo Vilniuje esančio Liepkalnio duomenų centro plėtrą, į kurią numatyta investuoti apie 3 mln. eurų. Užbaigus naujo pastato statybas, kuriame bus galima... Daugiau
Klientų sėkmės istorijos Nepraleiskite nė vieno skambučio su Tellq
Kiekvienas verslas žino, kad vienas praleistas skambutis lygus vienam prarastam potencialiam klientui. Išspręskite praleistų ir neatskambintų skambučių problemą su Tellq! Daugiau