Znanost in tehnologija

Dolga, zapletena, a moramo si jih zapomniti. Kako?

Ljubljana, 04. 05. 2023 14.35 |

PREDVIDEN ČAS BRANJA: 4 min

123456, 123456789, qwerty, password ... Vse to so gesla, ki vas v resnici ne zaščitijo, so hkrati najpogostejša in največkrat zlorabljena. Kako pa poskrbeti za to, da bo geslo močno in da ga ne bomo pozabili? Strokovnjaki so nanizali nekaj nasvetov.

Močno geslo je dolgo (vsaj) 12 znakov, kompleksno in unikatno.
Močno geslo je dolgo (vsaj) 12 znakov, kompleksno in unikatno. FOTO: Shutterstock

4. maja obeležujemo svetovni dan gesel. Kot pravi statistika, jih ima povprečni spletni uporabnik med 70 in 80, so ob tem spomnili na spletni strani Varni na internetu, ki jo urejajo na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. "Če vzamemo v obzir, da je močno geslo dolgo (vsaj) 12 znakov, kompleksno in seveda unikatno, si je izjemno težko zapomniti vsa. Zato ubiramo bližnjice – uporabljamo kratka, enostavna gesla ali uporabljamo eno geslo za množico storitev. Kar je recept za katastrofo! Ali pa dobra novica za napadalce, ki hitro uganejo enostavna gesla (z metodo lomljenja gesel, napadi s slovarjem in drugimi postopki) ali pa z enim ukradenim geslom dobijo dostop do preostalih računov," so ob tem povzeli še kako poznane težave številnih uporabnikov. 

Na srečo pa tudi za to obstaja rešitev, imenuje se upravljanje gesel in, kot pravijo na SI-CERT, nam drugega niti ne preostane, saj zgolj gesla varujejo našo identiteto, bančne račune, podatke, skratka celotno digitalno življenje. "Posledica šibkih in ponavljajočih gesel so številni vdori v uporabniške račune, ki lahko povzročijo veliko škodo in odprejo vrata nizu drugih zlorab," so opozorili. 

"Trenutno najboljši ukrep za povprečnega uporabnika je, da uporablja dvofaktorsko preverjanje (dvofaktorska avtentikacija, preverjanje v dveh korakih), kjerkoli je to možno!" SI-CERT

 

Kot trenutno najboljši ukrep za povprečnega uporabnika so izpostavili dvofaktorsko preverjanje, torej preverjanje v dveh korakih, kjerkoli je to možno. Z njim rešimo dve najpogostejši težavi, pravijo strokovnjaki na SI-CERT: "Kratka, šibka in ponavljajoča gesla niso več tako zelo problematična, saj je za dostop do storitve potrebna  še dodatna unikatna koda, ki jo dobimo preko telefona. Na drugi strani pa smo tudi bolje zaščiteni pred phishing napadom, kjer nas goljufi prepričajo, da na ponarejeni spletni strani sami vnesemo geslo za dostop."

"Nastavite si dvofaktorsko preverjanje za Google račun, družbena omrežja, PayPal, kripto denarnice, skratka, kjerkoli je ta rešitev podprta! Ne pozabite si zapisati tudi nadomestnih kod!" SI-CERT

Učinkovito obvladovanje in varno hrambo gesel nudijo tudi t. i. password managerji oz. upravljalniki gesel, nadaljujejo. In pojasnijo: "To so posebni programi, ki hranijo naša gesla v šifrirani obliki, zato se več ne obremenjujemo, kako si bomo vsa dolga in kompleksna gesla zapomnili." Upravljalniki so hkrati naša spletna "slaba vest". Opozorijo nas, če uporabljamo šibko geslo, in nam pomagajo ustvariti močna, kompleksna, prav tako jim ne uide, če isto geslo uporabljamo za več različnih dostopov in tudi, če se je katero znašlo v javno objavljeni bazi zlorabljenih računov. Zapomniti si moramo le eno, glavno geslo (master password), ki naj bo zelo močno. 

Tretji, sicer prav tako zelo dober pristop, za katerega pa na SI-CERT priznavajo, da je v praksi težje izvedljiv, je, "da za vse storitve uporabljamo vsaj 12 znakov dolga gesla, ki so kompleksna in unikatna, težko uganljiva za napadalce, ne vključujejo nobenega od naših osebnih podatkov, letnic, hkrati pa si vsa zapomnimo". 

To zadnje je pri dolgih kombinacijah naključnih znakov zelo težko, a si zadevo lahko olajšamo z uporabo fraze (passphrase). "To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena, npr. FotosintezaSrečaSonce. Še bolj varno pa je, če povezanim besedam dodamo posebne znake (+,*,-, # ...) in številke, npr. F0tosinteza-Sreča+S0nce. Temu lahko dodamo še nam poznan unikaten algoritem, da gesla prilagajamo različnim storitvam, pri čemer pa moramo paziti, da iz enega gesla ni moč uganiti tudi drugih gesel (npr. F0tosintezaf-Sr3ča+S0nceb za Facebook)," svetujejo strokovnjaki. 

"Dolgo in močno geslo je lahko tudi v obliki nepovezanih besed (passphrase), ki si jih boste lažje zapomnili." SI-CERT

Zgoraj so naštete dobre prakse. Nadaljujemo z manj dobrimi. Med njimi je shranjevanje gesel v brskalniku, ki ga večina strokovnjakov za informacijsko varnost ne priporoča. "Razlog je predvsem hitro širjenje trojanskih konjev, ki so specializirani za krajo uporabniških podatkov (t. i. information stealer virusi). V tem primeru nič ne pomaga, če imamo dolga in unikatna gesla, saj jih virus enostavno skopira in pošlje napadalcem," opozarjajo strokovnjaki na SI-CERT. A hkrati dodajajo, da je rešitev enostavna, priročna in deluje na vseh napravah. "Ob previdnem odpiranju priponk in klikanju na linke ter posodabljanju programske opreme je to še vedno boljša med slabimi rešitvami."

Kot dodajo, bi v sivo področje, torej ne med najboljše in tudi ne najslabše prakse, lahko uvrstili tudi zapisovanje gesel v zvezek ali na papir, ki ga varno shranimo oz. skrijemo pred drugimi (npr. v zaklenjen predal), to je še vedno boljše kot uporabljati eno enostavno geslo za vse storitve.

Kaj pa slabe rešitve? "Najslabši možni scenarij je, da imate geslo, npr. geslo123 za čisto vse možne storitve. To je grozljivka v enem stavku," žugajo na SI-CERT. Slabe so tudi čisto vse različice že neštetokrat recikliranih in znanih gesel, ki pa se še vedno pojavljajo v bazah zlorabljenih podatkov. 

Gesla, ki so še vedno najbolj pogosta in hkrati največkrat zlorabljena:

  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678

Velika težava je recikliranje gesel. "Tudi če imate močno in dolgo geslo, je vseeno nevarno, če ga uporabljate za vse storitve," opozarjajo strokovnjaki za spletno varnost. Slaba so tudi gesla, ki jih lahko nekdo ugane, če vas le malo pozna, npr. gesla, ki vsebujejo ime, priimek, letnico rojstva, ime otrok, telefonsko številko ipd. Izjemno nespametno je tudi pisanje gesel na listke, ki ležijo nalepljeni po pisalnih mizah in monitorjih, podobno pa velja tudi za pisanje PIN številke na listek, ki se nahaja poleg bančne kartice.

UI Vsebina ustvarjena brez generativne umetne inteligence.
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

KOMENTARJI (3)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Uporabnik S2020
12. 05. 2023 20.21
črke in številke kombinacija obojega pa poševnice pike in pom-če to pomešamo 100 mio kombinacij
Slavko BabIč
04. 05. 2023 16.06
+2
nehite že s temi gesli!
Rožice že cvetijo povsod
04. 05. 2023 16.03
+3
Mi starejši stavimo na rokstne datume. Mi je znanec rekel, ko ne bom več vedel naših rojstnih datumov, potem ne potrebujem več ne pametnega telefona, računalnika, banke preko spleta, ipd. stvari. Ne moremo si zapomniti 12 znakov, nespametno pa jih je nekam zapisati. Tako da....?!