Ukradli so nam gesla, kaj zdaj in kako se zaščititi?

Ali se zares zavedamo, kakšna težava so lahko gesla? Kako nepridipravi pridobijo gesla uporabnikov? Kako se lahko zaščitimo in kaj lahko naredimo takrat, ko vemo, da je bilo naše geslo zlorabljeno? O tem smo se pogovarjali s Tomažem Kalužo, varnostnim inženirjem pri podjetju Anni, ki nam je pogosto na zanimiv način in s primeri predstavil, kako neprevidni znamo biti uporabniki spleta.

Dejstvo je, da si uporabniki neradi izmišljujejo nova in nova gesla ter jih ne spreminjajo redno. Se dovolj zavedajo, kakšna težava je to?

O tem se veliko piše in govori. Z malo domišljije si vsakdo lahko predstavlja, na kakšne načine vse je mogoče zlorabiti naše uporabniške račune. Če za primer vzamemo primarni e-poštni račun, s katerim smo registrirani v večino spletnih storitev in v katerem hranimo na primer žetone za večfaktorsko prijavo, je lahko škoda nepredstavljiva. Rekel bi, da se mnogi sicer zavedajo nevarnosti, pa vendar odlašajo  in ne ukrepajo. Urejanja varnih gesel se moramo lotiti takoj, saj bo jutri lahko prepozno. 

Zasebno morda ne skrbimo dovolj za varnost gesel. Je v poslovni rabi drugače?

V poslu marsikje že ustrezno skrbijo za primerno uporabo varnih gesel. V marsikaterem podjetju so že sprejeli tudi uporabo upraviteljev gesel. Ti uporabniki tudi v zasebnem življenju bolje razumejo pomen težave, ki jih prinašajo neprimerna gesla. Tisti, ki v poslovnih okoljih s tem nimajo stika, v večini sicer razumejo, da je to lahko težava, ampak si vse skupaj težje predstavljajo.

Varnost digitalnih računov je neotipljiva stvar. Da bi jo razumeli, pogosto potrebujemo malo več časa.

Imate kakšno primerjavo iz prakse, ki bi to postavila v bolj konkretno luč?

Seveda. Če izgubimo ključe svojega doma, ravnamo povsem drugače kot pri digitalnih računih. Zavedamo se, kaj vse hranimo doma, gre za otipljive stvari in hitro zamenjamo ključavnico. Ključa do nekega računa na spletu pa nimamo v rokah, je neotipljiv, tako kot stvari, ki so v spletnem računu shranjene. Zato jim ne posvečamo toliko pozornosti. V virtualnem svetu je ta predstava malo drugačna in ljudje s spremembo ključa, torej gesla, odlašajo.

Navedem lahko še eno primerjavo, ki še bolje ponazori razsežnost nevarnosti na spletu. Predstavljajmo si, da imamo isto geslo za več računov, kar lahko primerjamo z univerzalnim ključem, ki smo ga izgubili ali so nam ga ukradli. V realnem življenju bomo zamenjali vse ključavnice, ki jih ta ključ lahko odpira. Ne razumem najbolje, zakaj mnogi na spletu tega ne naredijo – torej zakaj ne spremenijo gesla vseh računov, pri katerih uporabljajo isto kombinacijo.  

Zadnjič sem govoril z nekom, ki se mu je zdelo nečloveško, da bi si zapomnil množico gesel z 8, 12 ali 16 znaki. Jaz pa mislim, da ni tako, saj dejansko ni potrebe, da bi si zapomnili množico gesel. Potrebujemo sef z gesli (password sef) in eno dobro geslo za prijavo vanj ter drugi faktor avtentikacije, vseh ostalih gesel pa si ni treba zapomniti – in stvari postanejo enostavne.

Seveda pa lahko imamo v tem primeru veliko težavo, če kdo »razbije« to geslo in pridobi dostop do našega sefa in s tem do vseh gesel. Zato je pomembno, da je geslo, ki odpira vrata v svet vseh naših gesel, zares dobro in varno.

Kako pogosto pa je modro spreminjati gesla?

Ko izvajam izobraževanja in sprašujem, kdaj so tisti, ki sedijo v predavalnici, na zadnje zamenjali gesla, je veliko takšnih, ki jih sploh nikoli ne zamenjajo ali pa uporabljajo isto geslo v več storitvah. Ko jim predstavim, kakšno težavo lahko to predstavlja, hitro vidim kup zaskrbljenih obrazov. Gesla je pametno menjati enkrat letno, priporočam pa na pol leta. Z uporabo upravitelja gesel lahko to delamo tudi pogosteje, saj je zamenjava bolj enostavna.

Obstaja kakšno splošno pravilo, kako ustvariti varna gesla?

Gesla naj bodo dovolj dolga in kompleksna. Svetujem vsaj 16 znakov, gesla naj bodo sestavljena iz velikih, malih črk, številk in posebnih znakov. Za vsak uporabniški račun uporabimo svoje geslo. Lahko uporabimo hudomušne stavke z uporabo narečnih besed, ki niso v slovarjih, a si jih obenem enostavno zapomnimo. Najvarnejša so seveda naključno generirana gesla iz velikega števila znakov. Pomembno je, da ne zapisujemo gesel v datoteke in jih ne delimo. Z uporabo upraviteljev gesel je vse našteto zelo enostavno.

Kaj pa je sicer ključna težava upravljanja gesel?

Povprečni uporabnik v EU ima skoraj 100 uporabniških računov, mnogi jih imajo veliko več.  Takšno množico dobrih gesel pa si človek težko zapomni. Nekateri za to uporabljajo sisteme, ki niso ravno najprimernejši – v geslu spremenijo nekaj znakov, mogoče kakšno besedo. Z uporabo velike procesorske moči, ki je na voljo vsakomur, je možno 8 znakov dolgo geslo, sestavljeno iz malih, velikih črk, številk in posebnih znakov, razbiti v nekaj minutah. Kritična je lahko tudi varnost hrambe gesel ali zgoščenih vrednosti pri upravljalcu storitev, saj lahko nepridiprav ukrade celotno bazo le teh in jo proda na temnem spletu. Če uporabnik takšno geslo uporabi pri več računih, je to velik problem. Januarja letos so odkrili tako imenovano »mother of all breaches« bazo s 26 miliiardami uporabniških gesel. Je vaše lahko v tej bazi?

Če geslo, ki je v takšni bazi, uporabljamo za dostop do več računov, morda celo poslovnih, imamo lahko veliko težavo. Nepridipravi tako pridobijo dostop do poslovnih sistemov in podatkov, ki jih lahko izkoristijo in povzročijo nepredstavljivo škodo.

Kako nepridipravi najpogosteje pridejo do gesel uporabnikov?

Taktik, tehnik in procedur za pridobitev gesla uporabnika je veliko. Nepridipravi so zelo iznajdljivi in vsak dan odkrivajo nove načine. Opažamo pa, da je v večini primerov, vsaj v poslovnem svetu, za krajo poverilnic uporabljeno ribarjenje, pa tudi ponovna uporaba gesel, ki so jih hekerji že odkrili. Pogosto je geslo uporabnika za poslovni račun (npr. Office 365) isto kot geslo nekaj njegovih privatnih računov, ki so že bili zlorabljeni. Nezanemarljivo pa je tudi število primerov, kjer so uporabniki geslo enostavno povedali nepridipravu – gre za socialni inženiring.

Bili so primeri, ko so nepridipravi klicali v podjetje in se predstavili, da so iz uporabniške podpore Microsofta, ti pa so jim izdali geslo. Tudi na to moramo biti pozorni. Smo manjša država in naš jezik je malo bolj kompleksen, tako da je tega mogoče pri nas malo manj, ampak če je napadalec slovensko govoreči, je to zelo enostavno.

Danes je z uporabo orodij z umetno inteligenco že možen »deep fake«, tako da je tudi tujcem vse lažje posneti neko besedilo v slovenskem jeziku. Za zdaj to ni povsem enostavno, ampak se je tudi to v našem okolju že zgodilo. Danes umetna inteligenca vseeno še ni tako pametna, kot bi si včasih radi predstavljali, a to se bo le še razvijalo in v prihodnosti bo tudi to, kar smo zgoraj omenili, lažje narediti in pretentati uporabnika.

Kaj lahko naredimo enkrat, ko vemo, da je bilo naše geslo zlorabljeno?

Če gre za poslovni uporabniški račun, najprej o tem obvestimo osebo, odgovorno za varnost ali IT oddelek in sledimo njihovim navodilom. V primeru osebnega računa takoj zamenjamo geslo, preverimo varnostne nastavitve računa, kjer odstranimo zaupanja vredne naprave in omogočimo večfaktorsko prijavo. V primeru zlorabe e-poštnega računa temeljito preverimo vse nastavitve, kot je na primer preusmerjanje/posredovanje vseh poštnih sporočil.  To mora biti tudi alarm in skrajni čas, da uredimo dostope do vseh ostalih računov.

Smo uporabniki, ko se nam enkrat to zgodi, v prihodnje bolj pozorni ali nam ni nič bolj mar kot pred tem?

Veliko je odvisno od škode, ki smo jo utrpeli. Nekaj časa smo seveda prestrašeni in bolj pozorni, potem dogodek pogosto pozabimo in nadaljujemo z ustaljeno prakso. Škoda je žal lahko zelo velika.

Kakšna so vaša priporočila, kako v podjetju in tudi zasebno poskrbeti za varna gesla?

V podjetju je pomembno, da so v sistemu nastavljene primerne politike gesel (dovolj dolga in kompleksna gesla, onemogočeno ponavljanje istih gesel, po drugi strani pa ne prepogosto menjavanje), ločeni upravljavski računi, onemogočeni ranljivi avtentikacijski protokoli in podobno. Priporočam uporabo upravitelja gesel, ki močno olajša varno rabo, primerno shranjevanje in deljenje poverilnic, kjer je omogočeno sledenje uporabe in morebitnih sprememb, preverjanje varnosti, ponavljanja gesel, morebitnih vdorov in veliko ostalih poročil. Enako velja za zasebna gesla. Dobri upravitelji gesel stanejo veliko manj kot nas lahko stanejo morebitne zlorabe. Zaščitite sebe in družinske člane, da ne postanejo žrtve spletnih zlorab.

V kolikšni meri je pri varnosti podjetja na spletu pomembno to, da ima podjetje preizkušeno storitev upravljanja gesel?

V primeru, da napadalec pridobi veljavno geslo, nam pri preprečevanju zlorabe ne pomaga nobeno orodje. Na voljo je veliko odprtokodnih in brezplačnih orodij za varno hrambo gesel, vendar vsa niso najprimernejša za uporabo v poslovnem okolju. Pomemben je tudi varnostni model kriptiranja sefov in prenosa gesel pri vpisovanju v storitve.

Lahko omenimo še možnost zagotavljanja varnosti hrambe sefov v lastnem okolju podjetja, a je to pogosto prevelik zalogaj, zato je hramba pri zunanjem ponudniku primernejša.

Seveda moramo vedeti, da nobena storitev ni 100 % varna, prav tako ne upravitelj gesel. Če pa poskrbimo za stvari, ki sva jih midva tu omenila, bo skoraj nemogoče priti do gesel. Vse se da »pohekat«, a če pa je varnostni model upravitelja gesel dober, bo to veliko težje.

Lahko pa na primer uporabljamo dobrega upravitelja, a imamo premalo kompleksno glavno geslo. Za vse vidike moramo kar najbolje poskrbeti.

Kakšni pa so trendi na tem področju?

V ospredje vse bolj prihaja uporaba tako imenovanih “passkeys”, saj nima toliko ranljivosti, kot jih imajo klasična gesla. To je tehnologija, ki temelji na uporabi javnih ključev, ki jih ima ponudnik, in privatnih ključev, ki so shranjeni na uporabnikovi napravi ali recimo password sefu oziroma sefu z gesli (ki ga odklenemo s prstnim odtisom, prepoznavo obraza, dobro PIN kodo). Le naprava, ki ključ hrani, ima možnost dostopa do našega uporabniškega računa. Zato je možnost zlorabe, manjša. Prav tako si s passkeys ni potrebno več izmišljati in zapomniti kompleksnih gesel, hekerjem pa je onemogočena kraja baz gesel ali njihovih zgoščenih vrednosti, shranjenih na strežnikih ponudnikov storitev. Sodobni upravitelji gesel, kot je na primer 1Password, že omogočajo uporabo passkeys. (P.R.)

Več o rešitvah, ki bodo poskrbele za varnost vašega podjetja na www.varen.it