Kaip sukurti saugų slaptažodį

Kaip sukurti saugų slaptažodį? Išsamus vadovas stipriai apsaugai internete

Autorius /

Jūsų slaptažodis yra pirmoji (ir dažnai vienintelė) gynybos linija tarp jūsų asmeninių duomenų ir žmonių, kurie nori juos pavogti. Banko sąskaita, el. paštas, socialiniai tinklai, darbo sistemos, sveikatos įrašai, nuotraukos, pokalbiai, pirkinių istorija: visa tai saugo slaptažodžiai.

Ir vis dėlto dauguma žmonių naudoja silpnus, lengvai atspėjamus slaptažodžius. Dar blogiau, tą patį slaptažodį naudoja dešimtyse skirtingų paskyrų.

Šiame straipsnyje rasite viską, ką reikia žinoti apie saugų slaptažodį: kaip jį sukurti, kokių klaidų vengti, kokius įrankius naudoti ir kodėl vien tik slaptažodžio šiandien nebepakanka.

Kodėl slaptažodžio saugumas yra toks svarbus?

Pagal kasmetinius duomenų saugumo tyrimus, silpni ir pakartotinai naudojami slaptažodžiai yra viena dažniausių priežasčių, kodėl žmonės praranda prieigą prie savo paskyrų, pinigų ar tapatybės.

Keletas faktų, kurie verčia susimąstyti:

  • Daugiau nei 80 % duomenų pažeidimų, susijusių su įsilaužimais, įvyksta dėl silpnų arba pavogtų slaptažodžių.
  • Vidutinis interneto vartotojas turi per 100 paskyrų, reikalaujančių slaptažodžio.
  • Populiariausias slaptažodis pasaulyje jau daugelį metų iš eilės yra „123456″. Antras, „password”. Trečias, „123456789″.
  • Šešių simbolių slaptažodį, sudarytą tik iš mažųjų raidžių, šiuolaikinė programinė įranga gali nulaužti per kelias sekundes.
  • Nutekėjusių slaptažodžių duomenų bazės laisvai platinamos internete. Sukčiams užtenka patikrinti, ar jūsų el. pašto adresas yra viename iš šių sąrašų.

Silpnas slaptažodis, tai lyg namo durys, užrakintos plonu siūlu. Atrodo, kad užrakinta, bet bet kas gali įeiti.

Kaip hakeriai nulaužia slaptažodžius?

Norint sukurti tikrai saugų slaptažodį, pravartu suprasti, kaip sukčiai bando juos nulaužti. Štai pagrindiniai metodai:

Brutalios jėgos ataka (brute force)

Kompiuteris automatiškai bando visas įmanomas simbolių kombinacijas, pradedant nuo „a”, „b”, „c” ir baigiant sudėtingiausiais variantais. Trumpam slaptažodžiui tai užtrunka sekundes. Ilgam ir sudėtingam, tūkstančius metų.

Skaičiai kalba aiškiai:

  • 6 simbolių slaptažodis (tik mažosios raidės): nulaužiamas per kelias sekundes.
  • 8 simbolių slaptažodis (mažosios + didžiosios raidės + skaičiai): nulaužiamas per kelias valandas iki kelių dienų.
  • 12 simbolių slaptažodis (mažosios + didžiosios + skaičiai + specialieji simboliai): nulaužiamas per kelis šimtus tūkstančių metų.
  • 16 simbolių slaptažodis (visų tipų simboliai): praktiškai nenulaužiamas šiuolaikinėmis technologijomis.

Žodynų ataka (dictionary attack)

Užuot bandžius visas kombinacijas, programa bando dažniausiai naudojamus žodžius ir frazes: „slaptažodis”, „meilė123″, „lietuva”, „katinas”, vardus, datas, miestų pavadinimus. Žodynų atakos yra greitesnės nei brutalios jėgos ir labai efektyvios prieš paprastus slaptažodžius.

Credential stuffing (prisijungimo duomenų pildymas)

Kai nuteka vienos svetainės duomenų bazė (pavyzdžiui, forumo ar internetinės parduotuvės), sukčiai paima el. paštų ir slaptažodžių poras ir bando jas kitose svetainėse: bankuose, socialiniuose tinkluose, el. pašto tarnybose. Jei naudojate tą patį slaptažodį keliose vietose, vienas nutekėjimas atveria visas jūsų paskyras.

Socialinė inžinerija

Sukčiai tiesiog paklausia. Per phishing laiškus, telefonu ar net asmeniškai. Jie gali apsimesti banko darbuotojais, IT specialistais ar kolegomis. Geriausias slaptažodis pasaulyje nepadės, jei patys jį pasakysite.

Peties šnipinėjimas (shoulder surfing)

Paprastas, bet efektyvus metodas: kažkas stovi už jūsų ir stebi, ką renkate klaviatūroje. Kavinėje, biure, viešajame transporte. Skamba banaliai, bet taip prarandama nemažai paskyrų.

„Rainbow table” atakos

Iš anksto apskaičiuotos dažniausiai naudojamų slaptažodžių maišos (hash) reikšmių lentelės. Jei svetainė netinkamai saugo slaptažodžius (nenaudoja „salt” papildymo), sukčiai gali greitai palyginti nutekėjusias maišos reikšmes su lentelėje esančiais slaptažodžiais.

7 dažniausios slaptažodžių klaidos

Prieš kalbant apie tai, kaip sukurti gerą slaptažodį, pažvelkime, ką dauguma žmonių daro neteisingai.

1. Per trumpas slaptažodis
Mažiau nei 8 simboliai, tai kvietimas įsilaužėliams. 6 simbolių slaptažodis šiandien yra toks pat nesaugus kaip neužrakintos durys.

2. Tik raidės arba tik skaičiai
„lietuva” ar „123456″ yra tarp pirmųjų, kuriuos bando bet kokia nulaužimo programa.

3. Asmeninė informacija slaptažodyje
Jūsų vardas, gimimo metai, augintinio vardas, vaikų gimimo datos, automobilio numeriai. Visa tai galima sužinoti per kelias minutes peržiūrėjus socialinius tinklus.

4. Tas pats slaptažodis visose paskyrose
Vienas nutekėjimas = visos paskyros pažeistos. Tai pati pavojingiausia klaida, kurią daro didžioji dalis interneto vartotojų.

5. Nedideli „pagerinimai”
Žmonės mano, kad „Slaptazodis1!” yra saugus, nes turi didžiąją raidę, skaičių ir šauktuką. Nulaužimo programos jau seniai žino šiuos šablonus: didžioji raidė pradžioje, skaičius ir specialusis simbolis pabaigoje.

6. Slaptažodžio užsirašymas ant lapelio
Lapelis prie monitoriaus, po klaviatūra arba telefono dėkle. Tai fizinė saugumo spraga, kurią gali išnaudoti bet kas, turintis fizinę prieigą prie jūsų darbo vietos.

7. Slaptažodžio niekada nekeičiamas
Jei tas pats slaptažodis naudojamas penkerius metus ir niekada nebuvo pakeistas, tikimybė, kad jis jau yra nutekėjusių duomenų bazėje, yra labai didelė.

Koks yra tikrai saugus slaptažodis?

Saugus slaptažodis turi keturias pagrindines savybes:

Ilgis

Tai pats svarbiausias faktorius. Kiekvienas papildomas simbolis eksponentiškai padidina galimų kombinacijų skaičių. 12 simbolių yra minimalus rekomenduojamas ilgis. 16 ir daugiau, idealu.

Sudėtingumas

Naudokite visų keturių tipų simbolius:

  • Mažosios raidės: a–z
  • Didžiosios raidės: A–Z
  • Skaičiai: 0–9
  • Specialieji simboliai: !@#$%^&*()_+-=[]{}|;:'”,.<>?/

Atsitiktinumas

Slaptažodis neturėtų būti žodis, frazė ar logiškas šablonas. „Kaunas2024!” atrodo sudėtingas, bet jį žodynų ataka atspėtų per minutes. „x7!Kp#mW9$vQ2rL” yra tikrai atsitiktinis ir saugus.

Unikalumas

Kiekviena paskyra turi turėti savo atskirą slaptažodį. Be išimčių.

4 metodai saugiam slaptažodžiui sukurti

1 metodas: atsitiktinių simbolių generavimas

Naudokite slaptažodžių generatorių (apie juos plačiau vėliau), kuris sugeneruoja visiškai atsitiktinę simbolių seką.

Pavyzdys: f8#Lm!xQ4$pR7&wN

Privalumai: Pats saugiausias metodas. Nulaužti tokį slaptažodį brutalios jėgos ataka užtruktų astronominius laiko tarpus.

Trūkumai: Neįmanoma atsiminti. Reikia slaptažodžių tvarkyklės.

2 metodas: slaptafrazė (passphrase)

Vietoj vieno žodžio sugalvokite kelių nesusijusių žodžių seką. Ši technika remiasi ilgiu, o ne sudėtingumu.

Pavyzdys: žirafa-skėtis-plutonijus-kėdė-73

Penki nesusiję žodžiai su skaičiumi ir skyrikliais sukuria ilgą, sunkiai nulaužiamą, bet lengvai įsimenamą slaptažodį. Slaptafrazė iš penkių atsitiktinių žodžių yra stipresnė nei atsitiktinis 10 simbolių slaptažodis.

Privalumai: Lengva atsiminti, labai ilgas, stiprus prieš brutalios jėgos atakas.

Trūkumai: Ilgesnė rašyti. Svarbu, kad žodžiai būtų tikrai atsitiktiniai (ne mėgstama citata ar dainos eilutė).

Kaip rinktis žodžius? Galite naudoti „Diceware” metodą: meskite kauliuką ir pagal skaičius rinkite žodžius iš specialaus sąrašo. Arba tiesiog atsitiktinai atidarykite knygą ir paimkite pirmus žodžius, kuriuos pamatote.

3 metodas: sakinio trumpinimas

Sugalvokite sakinį, kurį lengvai atsiminate, ir pasiimkite kiekvieno žodžio pirmąją raidę, pridedant skaičius ir simbolius.

Pavyzdys: Sakinys „Mano šuo Rikis mėgsta bėgioti parke kiekvieną rytą nuo 7 valandos” virsta slaptažodžiu MšRmbpkrn7v!

Privalumai: Asmeniškai prasminga, lengviau atsiminti nei atsitiktinę seką.

Trūkumai: Jei sakinys yra žinoma frazė (dainos žodžiai, citata), sukčiai gali jį atspėti. Naudokite tik asmeninius, niekur nepublikuotus sakinius.

4 metodas: hibridinis požiūris

Sujunkite kelis metodus: paimkite du atsitiktinius žodžius, pridėkite skaičių seką ir specialiuosius simbolius, sumaišykite didžiąsias ir mažąsias raides.

Pavyzdys: Kranklys##47!!Ledas

Privalumai: Stiprus ir lengviau atsiminti nei visiškai atsitiktinė seka.

Trūkumai: Vis dar gali būti pažeidžiamas, jei žodžiai pasirinkti per daug nuspėjamai.

Slaptažodžių tvarkyklės: kodėl jos yra geriausias sprendimas

Vidutinis žmogus turi daugiau nei 100 paskyrų. Atsiminti 100 ilgų, sudėtingų, unikalių slaptažodžių yra fiziškai neįmanoma. Būtent todėl egzistuoja slaptažodžių tvarkyklės.

Kas yra slaptažodžių tvarkyklė?

Tai programa, kuri:

  • Saugo visus jūsų slaptažodžius užšifruotame skaitmeniniame seife.
  • Generuoja stiprius, atsitiktinius slaptažodžius kiekvienai paskyrai.
  • Automatiškai užpildo prisijungimo laukus naršyklėje ir telefone.
  • Perspėja, jei jūsų slaptažodis buvo rastas nutekėjusių duomenų bazėje.
  • Sinchronizuoja slaptažodžius tarp visų jūsų įrenginių.

Jums tereikia atsiminti vieną pagrindinį slaptažodį (master password), kuris atrakina visą seifą.

Populiariausios slaptažodžių tvarkyklės

Bitwarden
Atviro kodo, nemokama bazinė versija, veikia visose platformose. Puikus pasirinkimas tiek pradedantiems, tiek pažengusiems vartotojams. Mokama versija (apie 10 dolerių per metus) prideda papildomų funkcijų.

1Password
Intuityvus dizainas, puikus šeimos ir komandų valdymas, „Watchtower” funkcija, kuri stebi nutekėjimus. Mokama paslauga (apie 3 doleriai per mėnesį).

KeePass / KeePassXC
Visiškai nemokama, atviro kodo, veikia neprisijungus prie interneto. Duomenų bazė saugoma jūsų kompiuteryje, o ne debesyje. Tinka žmonėms, kurie nori visiškos kontrolės.

Apple Keychain / iCloud Passwords
Integruota Apple ekosistemoje. Jei naudojate iPhone, iPad ir Mac, tai patogus nemokamas sprendimas. Trūkumas: ribotas veikimas ne Apple įrenginiuose.

Google Password Manager
Integruotas Chrome naršyklėje ir Android sistemoje. Patogus, nemokamas, bet veikia geriausiai tik Google ekosistemoje.

Ar slaptažodžių tvarkyklės yra saugios?

Tai vienas dažniausių klausimų. Atsakymas: taip, jos yra žymiai saugesnės nei bet kuri alternatyva.

Slaptažodžių tvarkyklės naudoja stiprų šifravimą (dažniausiai AES-256). Net jei tvarkyklės duomenų bazė būtų pavogta, be pagrindinio slaptažodžio niekas negalėtų perskaityti jos turinio. Daugelis tvarkyklių naudoja „zero-knowledge” architektūrą: net pati kompanija neturi prieigos prie jūsų slaptažodžių.

Alternatyvos, tokios kaip tas pats slaptažodis visur, lapelis stalčiuje ar Excel failas kompiuteryje, yra nepalyginamai pavojingesnės.

Dviejų faktorių autentifikacija (2FA): antras apsaugos sluoksnis

Net pats stipriausias slaptažodis gali būti pavogtas per phishing ataką, nutekėjimą ar kenkėjišką programą. Dviejų faktorių autentifikacija prideda antrą patikrinimo žingsnį: net jei sukčiai turi jūsų slaptažodį, jiems reikės ir antrojo faktoriaus.

2FA tipai (nuo silpniausio iki stipriausio)

SMS kodai
Gaunate trumpąją žinutę su kodu. Geriau nei nieko, bet silpniausias 2FA variantas: SMS gali būti perimtas per SIM keitimo (SIM swapping) ataką.

Autentifikavimo programėlės
Google Authenticator, Microsoft Authenticator, Authy. Programėlė kas 30 sekundžių generuoja naują kodą, kuris veikia tik jūsų įrenginyje. Žymiai saugiau nei SMS.

Fiziniai saugumo raktai
YubiKey, Google Titan. Mažas USB arba NFC įrenginys, kurį turite fiziškai prijungti prie kompiuterio ar telefono. Stipriausias 2FA metodas, apsaugo net nuo sudėtingų phishing atakų.

Biometriniai duomenys
Piršto antspaudas, veido atpažinimas. Patogūs ir pakankamai saugūs kasdieniam naudojimui, nors gali būti apgauti laboratorinėmis sąlygomis.

Kur būtinai įjungti 2FA?

Prioritetinė tvarka:

  1. El. paštas (jei kas nors perims jūsų el. paštą, galės atstatyti visų kitų paskyrų slaptažodžius)
  2. Bankininkystė ir finansinės paslaugos
  3. Slaptažodžių tvarkyklė
  4. Socialiniai tinklai
  5. Darbo sistemos
  6. Debesų saugyklos (Google Drive, Dropbox, iCloud)

Slaptažodžių saugumo ateitis: raktai be slaptažodžio (Passkeys)

Technologijų pasaulis juda link ateities, kurioje slaptažodžiai iš viso nebebus reikalingi. „Passkeys” (prieigos raktai) yra nauja technologija, kurią palaiko Apple, Google ir Microsoft.

Kaip veikia Passkeys?

Vietoj slaptažodžio jūsų įrenginys sukuria kriptografinį raktų porą: viešąjį raktą (siunčiamą svetainei) ir privatųjį raktą (saugomą tik jūsų įrenginyje). Prisijungdami jūs tiesiog atrakinsite telefoną piršto antspaudu ar veido atpažinimu, o visas kriptografinis procesas vyksta automatiškai.

Passkeys privalumai

  • Negali būti pavogti per phishing (privatus raktas niekada nepaliekia jūsų įrenginio).
  • Nereikia nieko atsiminti.
  • Negalima nulaužti brutalios jėgos ataka.
  • Greitesnis prisijungimas nei renkant slaptažodį.

Ar jau galima naudoti Passkeys?

Taip, vis daugiau svetainių ir programų palaiko šią technologiją: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp ir daugelis kitų. Skaičius sparčiai auga. Tačiau kol kas ne visos svetainės siūlo šią galimybę, todėl slaptažodžiai dar kurį laiką liks svarbi apsaugos priemonė.

Kaip patikrinti, ar jūsų slaptažodis jau nutekėjo?

Duomenų nutekėjimai vyksta nuolat. Net jei jūsų slaptažodis buvo stiprus, jis galėjo būti pavogtas iš svetainės, kurioje buvote užsiregistravę.

Have I Been Pwned (haveibeenpwned.com) yra nemokama paslauga, sukurta saugumo eksperto Troy Hunt, leidžianti patikrinti, ar jūsų el. pašto adresas ar slaptažodis buvo rastas nutekėjusių duomenų bazėse. Įveskite savo el. pašto adresą ir sužinosite, kuriuose nutekėjimuose jis figūruoja.

Jei radote savo duomenis nutekėjusių sąrašuose:

  1. Pakeiskite slaptažodį toje svetainėje ir visose kitose, kur naudojote tą patį.
  2. Įjunkite 2FA.
  3. Patikrinkite, ar nebuvo neautorizuotų prisijungimų ar pakeitimų paskyroje.

Slaptažodžių politika darbe

Jei atsakote už savo organizacijos saugumą, štai rekomendacijos, kurias verta taikyti:

  • Minimalus slaptažodžio ilgis: 14 simbolių. NIST (JAV Nacionalinis standartų ir technologijų institutas) rekomenduoja ne mažiau nei 8, bet 14 suteikia žymiai didesnę apsaugą.
  • Drausti dažniausiai naudojamus slaptažodžius. Sistema turėtų patikrinti, ar vartotojo pasirinktas slaptažodis nėra žinomų silpnų slaptažodžių sąraše.
  • Nebereikalauti periodinio keitimo be priežasties. NIST atnaujintos rekomendacijos nurodo, kad priverstinis reguliarus keitimas (pvz., kas 90 dienų) daro daugiau žalos nei naudos: žmonės tiesiog prideda „2″, „3″, „!” prie seno slaptažodžio. Keisti reikia tik tada, kai yra įtarimų dėl kompromitavimo.
  • Įdiegti 2FA visiems darbuotojams. Ypač tiems, kurie turi prieigą prie jautrių duomenų ar finansinių sistemų.
  • Naudoti centralizuotą slaptažodžių tvarkyklę. Verslo versijos (Bitwarden Business, 1Password Teams) leidžia saugiai dalintis prisijungimais tarp komandos narių.

Kontrolinis sąrašas: ar jūsų slaptažodžiai saugūs?

Peržiūrėkite šį sąrašą ir atsakykite sau nuoširdžiai:

  • [ ] Visi mano slaptažodžiai yra bent 12 simbolių ilgio
  • [ ] Kiekviena paskyra turi atskirą, unikalų slaptažodį
  • [ ] Nė viename slaptažodyje nėra mano vardo, gimimo datos ar kitų asmeninių duomenų
  • [ ] Naudoju slaptažodžių tvarkyklę
  • [ ] El. pašte, bankininkystėje ir socialiniuose tinkluose įjungta 2FA
  • [ ] Patikrinau savo el. paštą per Have I Been Pwned
  • [ ] Mano pagrindinis slaptažodžių tvarkyklės slaptažodis yra ilgesnis nei 16 simbolių
  • [ ] Niekam nesu pasakęs savo slaptažodžių žodžiu ar žinute
  • [ ] Niekur neturiu slaptažodžio, užrašyto ant lapelio prie monitoriaus

Jei pažymėjote ne visus punktus, dabar yra geriausias metas ištaisyti situaciją.

Greitas veiksmų planas: ką padaryti šiandien

Jei šio straipsnio skaitymas parodė, kad jūsų slaptažodžių higiena galėtų būti geresnė, štai penki konkretūs žingsniai, kuriuos galite atlikti per artimiausią valandą:

Pirmas žingsnis. Įdiekite slaptažodžių tvarkyklę (Bitwarden, nemokamas ir puikus pradžiai).

Antras žingsnis. Sukurkite stiprų pagrindinį slaptažodį, naudodami slaptafrazės metodą (pvz., penkių atsitiktinių žodžių kombinacija su skaičiais).

Trečias žingsnis. Pakeiskite slaptažodžius trijose svarbiose paskyrose: el. pašte, bankininkystės sistemoje ir pagrindiniame socialiniame tinkle. Kiekvienai sugeneruokite atsitiktinį, ilgą slaptažodį per tvarkyklę.

Ketvirtas žingsnis. Įjunkite 2FA visose trijose paskyrose (pirmenybę teikite autentifikavimo programėlei, ne SMS).

Penktas žingsnis. Patikrinkite savo el. paštą per haveibeenpwned.com ir pakeiskite slaptažodžius visose nutekėjusiose paskyrose.

Per valandą jūsų skaitmeninis saugumas pagerės daugiau, nei per pastaruosius kelerius metus. O likę slaptažodžiai? Keiskite juos po kelis per savaitę, kol visi bus stiprūs ir unikalūs. Neskubėkite, bet neatidėliokite.

Stiprus slaptažodis yra nedidelė investicija, kuri apsaugo nuo didelių problemų. Pradėkite šiandien.

Į viršų