Posted in Kompiuterija Patarimai

Kaip sukurti stiprų slaptažodį, kurį prisiminsi

on
novatech.lt

Kodėl tavo dabartinis slaptažodis greičiausiai yra šiukšlė

Pažiūrėk į savo slaptažodžius. Jei vienas iš jų yra kažkas panašaus į „Vardas1990!” arba „qwerty123”, tai turiu tau blogų naujienų. Tokie slaptažodžiai yra ne apsauga, o tiesiog iliuzija, kad esi apsaugotas. Hakeriai turi žodynų, kuriuose yra milijonai tokių kombinacijų, ir jie jas išbando automatiškai per kelias sekundes.

Statistika čia gana niūri. Remiantis „NordPass” kasmetiniais tyrimais, populiariausių slaptažodžių sąraše nuolat dominuoja „123456”, „password”, „qwerty” ir panašūs variantai. Ir tai ne tik naivių vartotojų problema – net IT specialistai kartais naudoja silpnus slaptažodžius ten, kur mano, kad niekas nežiūri.

Problema ta, kad mes žmonės esame prognozuojami. Renkamės slaptažodžius pagal tai, kas mums svarbu ir lengva prisiminti – gimtadienius, augintinių vardus, mėgstamas komandas. O hakeriai tai žino ir būtent tokius dalykus tikrina pirmiausia. Taigi šiame straipsnyje kalbėsime apie tai, kaip sukurti slaptažodį, kuris būtų tikrai stiprus, bet kurį vis tiek galėtum prisiminti be popieriaus lapo po klaviatūra.

Kaip iš tikrųjų veikia slaptažodžių nulaužimas

Prieš einant prie praktikos, verta suprasti, su kuo iš tikrųjų susiduriame. Slaptažodžių nulaužimas nėra kažkoks mistinis procesas, kurį vykdo genialūs programišiai tamsiame rūsyje. Dažniausiai tai yra automatizuoti įrankiai, kurie dirba pagal kelis pagrindinius scenarijus.

Žodyno ataka (Dictionary Attack) – programa išbando milijonus žodžių iš žodynų, įskaitant populiarius slaptažodžius, vardus, miestus ir pan. Jei tavo slaptažodis yra bet koks žodis ar jo akivaizdus variantas (pvz., „p@ssword”), šis metodas jį suras.

Brutalios jėgos ataka (Brute Force) – programa sistemingai išbando visas įmanomas simbolių kombinacijas. Skamba baisiai, bet trumpiems slaptažodžiams tai veikia greitai. 6 simbolių slaptažodį šiuolaikinis kompiuteris gali nulaužti per kelias minutes. 8 simbolių – per kelias valandas ar dienas. 12+ simbolių – jau kalbame apie metus ar dešimtmečius.

Duomenų bazių nutekėjimai – tai dažnai pamiršta grėsmė. Kai kuri nors svetainė yra nulaužiama, jos slaptažodžių duomenų bazė atsiduria tamsiajame internete. Jei naudoji tą patį slaptažodį keliose vietose, vienas nutekėjimas kompromituoja viską. Svetainėje haveibeenpwned.com gali patikrinti, ar tavo el. paštas jau buvo kažkuriame iš tokių nutekėjimų.

Esminis dalykas, kurį reikia suprasti: slaptažodžio stiprumas matuojamas entropija – kiek neapibrėžtumo jame yra. Kuo daugiau galimų kombinacijų, tuo sunkiau atspėti. Ir čia ilgis yra daug svarbesnis nei sudėtingumas.

Slaptafrazės metodas – paprasčiausias būdas sukurti stiprų slaptažodį

Vienas geriausių atradimų slaptažodžių pasaulyje yra slaptafrazė (passphrase). Idėja paprasta: vietoj vieno sudėtingo žodžio su simboliais naudoji kelis paprastus žodžius iš eilės.

Pavyzdys: „katinas.valgo.ledus.Vilniuje”

Šis slaptažodis yra ilgesnis nei 20 simbolių, jame yra didžioji raidė, skaičiai gali būti pridėti lengvai, ir svarbiausia – jį galima prisiminti, nes tai yra vaizdas. Katinas valgo ledus Vilniuje. Absurdiška, bet todėl ir įsimenama.

Kaip tai veikia praktiškai:

  • Pagalvok apie kokį nors absurdišką ar juokingą vaizdą
  • Suformuluok jį kaip trumpą sakinį iš 4-5 žodžių
  • Žodžius atskirkite tašku, brūkšneliu ar kitu simboliu
  • Vieną žodį parašyk didžiosiomis raidėmis arba pakeisk raidę skaičiumi
  • Galima pridėti skaičių pabaigoje, susijusį su paskyra (pvz., metai, kada sukūrei)

Rezultatas: slaptažodis, kuris entropijos požiūriu yra daug stipresnis nei „P@ssw0rd123!”, bet kurį žmogus gali prisiminti be jokių papildomų priemonių. Tyrimai rodo, kad 4 atsitiktiniai žodžiai suteikia apie 44 bitus entropijos – tai yra daugiau nei daugelis „sudėtingų” trumpų slaptažodžių.

Mnemoniniai triukai tiems, kurie nemėgsta slaptafrazių

Ne visi mėgsta slaptafrazių metodą. Kai kurios svetainės vis dar riboja slaptažodžio ilgį (kas 2024 metais yra tiesiog nusikaltimas prieš saugumą, bet tai kita tema), o kai kuriems žmonėms lengviau prisiminti vieną žodį nei kelis.

Tokiu atveju yra keli mnemoniniai metodai, kurie tikrai veikia:

Sakinių inicialų metodas. Paimk kokį nors sakinį, kurį gerai žinai – eilutę iš dainos, filmo citata, sena patarlė. Paimk kiekvieno žodžio pirmą raidę ir suformuok slaptažodį. Pavyzdžiui: „Aš gimiau Kaune 1990 metais vasario mėnesį” tampa „AgK1990mvm”. Pridėk simbolį ir gausi „AgK1990mvm!” – jau neblogas slaptažodis.

Žodžio transformacijos metodas. Paimk žodį, kuris tau kažką reiškia, ir jį transformuok pagal savo taisykles. Pavyzdžiui, visas „a” keiti į „@”, visas „o” į „0”, pridedi skaičių pradžioje ir simbolį pabaigoje. Svarbu: taisyklės turi būti tavo, ne standartinės (nes „e” į „3” ir „a” į „@” hakeriai jau seniai žino).

Klaviatūros šablonų metodas. Tai šiek tiek rizikingas metodas, bet jei darai jį kūrybiškai, gali veikti. Vietoj to, kad spaudinėtum „qwerty”, sugalvok savo unikalų klaviatūros šabloną – pavyzdžiui, raidžių formą, kuri primena raidę ar simbolį.

Bet kuriuo atveju, svarbiausia taisyklė: niekada nenaudok to paties slaptažodžio dviejose skirtingose vietose. Net jei slaptažodis yra neįtikėtinai stiprus, vienas nutekėjimas ir viskas.

Slaptažodžių tvarkyklės – kodėl turėtum jas naudoti ir kaip pasirinkti

Čia daugelis žmonių sustoja ir sako: „Bet aš turiu 50 paskyrų, kaip aš prisiminsi 50 skirtingų stiprių slaptažodžių?” Atsakymas paprastas: nereikia. Tam yra slaptažodžių tvarkyklės (password managers).

Slaptažodžių tvarkyklė yra programa, kuri saugo visus tavo slaptažodžius užšifruotoje duomenų bazėje. Tu prisimeni tik vieną pagrindinį slaptažodį (master password), o visa kita tvarkyklė padaro už tave – generuoja stiprius slaptažodžius, juos saugo, automatiškai užpildo formas.

Populiariausios ir patikimiausios opcijos:

  • Bitwarden – atviro kodo, nemokama versija labai funkcionali, galima hostinti pačiam. Tai šiuo metu geriausias pasirinkimas daugumai vartotojų.
  • 1Password – mokama, bet labai patogi, ypač šeimoms ir komandoms. Turi puikų dizainą ir funkcionalumą.
  • KeePassXC – visiškai nemokama, atviro kodo, duomenų bazė saugoma lokaliai tavo kompiuteryje. Idealus tiems, kurie nepasitiki debesų paslaugomis.
  • Dashlane – dar viena mokama alternatyva su papildomomis funkcijomis kaip VPN ir tamsiojo interneto stebėjimas.

Dažnas klausimas: „O kas jei nulaužia pačią tvarkyklę?” Tai teisėtas rūpestis. Bet čia svarbu suprasti, kad rimtos tvarkyklės naudoja zero-knowledge architektūrą – net patys kūrėjai negali matyti tavo slaptažodžių. Tavo duomenys yra užšifruoti tavo pagrindinio slaptažodžio pagrindu dar prieš siunčiant į serverius. Taigi net jei serveriai būtų nulaužti, hakeriai gautų tik neįskaitomą šifruotą masę.

Praktinis patarimas: pradėk nuo Bitwarden. Jis nemokamas, patikimas, veikia visose platformose ir turi puikią reputaciją saugumo bendruomenėje.

Dviejų faktorių autentifikacija – papildomas sluoksnis, kurio daugelis ignoruoja

Net ir turėdamas stipriausią slaptažodį pasaulyje, gali būti pažeidžiamas. Kodėl? Nes slaptažodžiai gali būti pavogti per phishing atakas (kai esi apgaunamas ir pats įvedi slaptažodį netikroje svetainėje), per kenkėjišką programinę įrangą, arba tiesiog dėl to, kad kuri nors svetainė saugo slaptažodžius nesaugiai.

Čia į pagalbą ateina dviejų faktorių autentifikacija (2FA arba MFA). Idėja paprasta: net jei kas nors sužino tavo slaptažodį, jis vis tiek negali prisijungti be antro faktoriaus – paprastai tai yra kodas, kuris generuojamas tavo telefone.

2FA tipai nuo silpniausio iki stipriausio:

  • SMS kodai – patogu, bet silpniausia opcija. SIM kortelę galima „pavogti” per SIM swapping ataką.
  • Autentifikatoriaus programėlės (Google Authenticator, Authy, Microsoft Authenticator) – daug geriau. Kodai generuojami lokaliai tavo telefone ir galioja tik 30 sekundžių.
  • Fiziniai saugumo raktai (YubiKey, Google Titan) – geriausias variantas. Fizinis USB ar NFC įrenginys, be kurio prisijungti neįmanoma net žinant slaptažodį.

Minimalus reikalavimas: įjunk 2FA bent jau svarbiausiosioms paskyroms – el. paštui, banko paskyrai, socialiniams tinklams. El. paštas ypač svarbus, nes per jį galima atstatyti beveik visas kitas paskyras.

Dažniausios klaidos, kurias žmonės daro net žinodami taisykles

Žinoti, kaip sukurti stiprų slaptažodį, ir iš tikrųjų tai daryti – du skirtingi dalykai. Čia yra klaidos, kurias daro net tie, kurie mano, kad viską daro teisingai:

Slaptažodžio „inkrementiavimas”. Kai reikia pakeisti slaptažodį, žmonės dažnai tiesiog prideda skaičių pabaigoje: „Slaptazodis1”, „Slaptazodis2”, „Slaptazodis3”. Hakeriai tai žino ir tikrina tokius variantus automatiškai.

Vienas „stiprus” slaptažodis visur. Gal ir sugalvojai tikrai gerą slaptažodį. Bet jei jį naudoji 30 skirtingų svetainių, tai vis tiek yra didelė rizika. Vienas nutekėjimas = viskas kompromituota.

Slaptažodžio saugojimas naršyklėje be papildomo apsaugos sluoksnio. Naršyklės slaptažodžių saugykla yra patogus, bet ne pats saugiausias sprendimas. Jei kas nors gauna prieigą prie tavo kompiuterio, gali lengvai eksportuoti visus slaptažodžius. Slaptažodžių tvarkyklė su atskiru pagrindiniu slaptažodžiu yra saugesnė.

Pagrindinio slaptažodžio silpnumas. Žmonės naudoja slaptažodžių tvarkyklę, bet pagrindinis slaptažodis yra „Mama2023!”. Tai yra kaip turėti seifą su stipriausiomis durimis, bet palikti raktą po kilimėliu.

Ignoruojami saugumo įspėjimai. Kai naršyklė ar tvarkyklė praneša, kad slaptažodis buvo rasta nutekėjimų duomenų bazėje, daugelis žmonių tiesiog uždaro tą pranešimą. Nereikia to daryti.

Nuo teorijos prie praktikos – ką padaryti šiandien

Gerai, pakalbėjome apie teorija. Bet ką realiai daryti? Čia yra konkretus veiksmų planas, kurį gali pradėti vykdyti dabar pat, be jokių specialių žinių ar didelių investicijų:

Pirma savaitė: Įdiek Bitwarden (nemokamas). Sukurk paskyrą ir sugalvok stiprų pagrindinį slaptažodį naudodamas slaptafrazės metodą – bent 4 atsitiktiniai žodžiai su skyrikliais. Šį slaptažodį užsirašyk popieriuje ir padėk saugioje fizinėje vietoje (ne prie kompiuterio, bet gal seife ar stalčiuje su kitais svarbiais dokumentais). Tai vienintelis slaptažodis, kurį turėsi prisiminti.

Antra savaitė: Pereik per savo svarbiausias paskyras – el. paštą, banką, socialinius tinklus, darbines paskyras. Pakeisk slaptažodžius į Bitwarden sugeneruotus (naudok bent 16 simbolių, atsitiktinių simbolių kombinaciją). Įjunk 2FA ten, kur galima.

Trečia-ketvirta savaitė: Palaipsniui pereik per likusias paskyras. Neskubėk – geriau daryti po kelis per dieną nei viską iš karto ir padaryti klaidų.

Nuolat: Patikrink haveibeenpwned.com kartą per ketvirtį. Jei tavo el. paštas atsiranda naujame nutekėjime, pakeisk susijusius slaptažodžius.

Vienas svarbus dalykas apie slaptažodžių generatorius: kai Bitwarden ar kita tvarkyklė generuoja slaptažodį, naudok maksimalų ilgį, kurį leidžia svetainė. Jei svetainė leidžia 64 simbolius – naudok 64. Jei 20 – naudok 20. Ilgis yra tavo draugas.

Ir dar vienas dalykas, kurį dažnai pamiršta net patyrę vartotojai: saugumo klausimai yra slaptažodžiai. Kai svetainė klausia „Koks buvo tavo pirmojo augintinio vardas?” – tai yra papildomas autentifikacijos faktorius. Ir jei atsakai tiesą, tai yra labai silpnas faktorius, nes tokią informaciją dažnai galima rasti socialiniuose tinkluose. Vietoj to naudok Bitwarden generuotą atsitiktinį atsakymą ir saugok jį tvarkyklėje kartu su slaptažodžiu.

Skaitmeninis saugumas nėra vienkartinis projektas – tai įprotis. Ir kaip visi įpročiai, jis formuojasi palaipsniui. Pradėk nuo vieno žingsnio šiandien, ir po mėnesio turėsi visiškai kitokį saugumo lygį nei dabar. Tai nėra sudėtinga, nereikalauja techninių žinių, ir tikrai verta tos kelių valandų investicijos – ypač kai alternatyva yra kažkada pabusti ir sužinoti, kad tavo banko paskyra yra tuščia.

Taip pat gali patikti

Daugiau

Elektrinės mašinos krovimo stotelės žemėlapis Lietuvoje