Kako lahko povečate varnost gesla?

Gesla so ključ do naše digitalne iden­ti­te­te. Močno geslo pred­sta­vlja prvo obrambno linijo proti ki­ber­kri­mi­nal­cem. Vendar pa sta­ti­sti­ke kažejo, da 36 % an­ke­ti­ran­cev v Združenem kra­lje­stvu uporablja isto geslo na 5 do 10 spletnih straneh, 35 % pa jih je priznalo, da gesla spre­mi­nja­jo vsak dan ali večkrat na teden.

Kakšne so zahteve glede varnosti gesel?

Mnogi ljudje še vedno upo­ra­blja­jo šibka ali lahko uganljiva gesla. Da bi za­go­to­vi­li visoko raven varnosti gesel, je treba upo­šte­va­ti več de­jav­ni­kov. Izbira varnega gesla in uporaba upra­vi­te­lja gesel sta ključna vidika varnosti gesel.

Kaj za­go­ta­vlja varnost gesel?

Čeprav varna gesla sama po sebi ne za­go­ta­vlja­jo popolne zaščite pred napadi ki­ber­kri­mi­nal­cev, je ustvar­ja­nje varnega gesla še vedno ključnega pomena za zaščito vaših računov. Upo­rab­ni­ki lahko preverijo, ali je njihovo izbrano geslo varno, tako da upo­šte­va­jo vrsto meril:

• Dolžina: Dolžina gesla ima ključno vlogo, saj je daljša gesla ek­spo­nen­tno težje uganiti kot krajša. Močno geslo naj bi bilo dolgo vsaj 12 do 16 znakov.

• Za­ple­te­nost: Varno geslo mora vsebovati velike in male črke, številke ter posebne znake, kot so @, # ali $. Ta ra­zno­li­kost otežuje uganjanje gesla tako ljudem kot av­to­ma­ti­zi­ra­nim orodjem.

• Ne­pred­vi­dlji­vost: V geslih se iz­o­gi­baj­te pre­pro­stim vzorcem ali pre­po­znav­nim besedam, saj ki­ber­kri­mi­nal­ci pogosto upo­ra­blja­jo slovarske napade in pre­iz­ku­ša­jo pogosta gesla.

• Edin­stve­nost: gesel ne upo­ra­bljaj­te večkrat za različne storitve in platforme. Namesto tega upo­ra­bljaj­te edin­stve­na gesla za vsako spletno storitev.

• Redne po­so­do­bi­tve: Zlasti pri kritičnih storitvah lahko redno po­so­da­blja­nje gesel zmanjša tveganje zlorabe zaradi prejšnjih var­no­stnih kršitev.

Izbira pravega upra­vi­te­lja gesel

Upra­vi­te­lji gesel so praktična orodja za ustvar­ja­nje in varno shra­nje­va­nje za­ple­te­nih gesel. Pri izbiri ustre­zne­ga upra­vi­te­lja gesel se pre­pri­čaj­te, da podpira ši­fri­ra­nje od začetka do konca ter vključuje funkcije, kot so opozorila o var­no­stnih kršitvah ali varnostni pregledi. Redne po­so­do­bi­tve so še en po­ka­za­telj za­ne­slji­ve­ga upra­vi­te­lja gesel.

Večji primeri uhajanja gesel v zadnjih letih

Vsak dan podjetjem in teh­no­lo­gi­ji zaupamo ogromne količine ob­ču­tlji­vih podatkov, pri čemer so gesla pogosto edina zaščita – zaščita, ki je, kot kaže, premalo resno jemljena. To je razvidno iz številnih primerov kršitve varnosti podatkov v nedavni zgodovini spleta. Ki­ber­net­ska kri­mi­nal­ci so si z metodami, kot so zlo­na­mer­na pro­gram­ska oprema, lažna e-poštna sporočila ali napadi z bruto silo, večkrat pridobili dostop do prijavnih podatkov in tako ukradli zaupne podatke upo­rab­ni­kov. Spodaj je pregled nekaterih naj­po­memb­nej­ših in­ci­den­tov:

• LinkedIn (2012, 2016): Leta 2012 je bil LinkedIn žrtev he­ker­ske­ga napada, v katerem je bilo ukradenih več kot 6,5 milijona gesel v obliki hash-vrednosti. Leta 2016 se je na temnem spletu pojavilo še dodatnih 117 milijonov prijavnih podatkov iz tega napada.
• Yahoo (2013, 2014): Ena največjih var­no­stnih kršitev v zgodovini je prizadela Yahoo. Med letoma 2013 in 2014 je bilo ogroženih skupno tri milijarde računov, vključno z upo­rab­ni­ški­mi imeni, gesli in var­no­stni­mi vprašanji.
• Adobe (2013): Med kršitvijo je bilo ukradenih več kot 150 milijonov upo­rab­ni­ških računov Adobe, pri čemer je bilo veliko gesel slabo ši­fri­ra­nih.
• Facebook (2019): Facebook je razkril, da so bila milijone gesel upo­rab­ni­kov shranjena v obliki navadnega besedila na notranjih stre­žni­kih. Čeprav podatki niso ušli navzven, je incident poudaril potrebo po varnih praksah tudi na ravni podjetja.
• Zbirka #1–#5 (2019): Januarja 2019 je bilo v okviru tega me­ga­i­z­te­ka ob­ja­vlje­nih več kot dve milijardi e-poštnih naslovov in gesel iz različnih virov, vključno z znanimi in prej neznanimi izteki.
• Twitter/X (2022): Varnostna kršitev je zaradi napake razkrila osebne podatke iz več kot 5,4 milijona računov, vključno s te­le­fon­ski­mi šte­vil­ka­mi in e-poštnimi naslovi.
• RockYou (2024): RockYou2024 je bil ogromen izpust podatkov, ki velja za enega največjih, kar jih je bilo kdaj ob­ja­vlje­nih, in je obsegal več kot 9,9 milijarde gesel, zbranih iz različnih virov.

Ti dogodki po­u­dar­ja­jo ključni pomen ki­ber­net­ske varnosti. Rezultati re­pre­zen­ta­tiv­ne raziskave, ki jo je izvedlo podjetje GMX med 1.050 osebami, so še toliko bolj pre­se­ne­tlji­vi: 64 % ljudi je navedlo, da za nekatere ali celo vse svoje spletne račune uporablja isto geslo, medtem ko le 21 % za vsakega uporablja drugačno geslo. Študija podjetja GMX iz leta 2019 je prav tako pokazala, da 9 % ljudi sploh še nikoli ni spre­me­ni­lo gesla za svoj glavni e-poštni račun, kar jih iz­po­sta­vlja velikemu tveganju.

Kako preveriti varnost gesla

Pre­ver­ja­nje varnosti gesel je ključni korak pri zaščiti vaših di­gi­tal­nih računov pred ne­po­o­bla­šče­nim dostopom ali po izteku podatkov. Na voljo so različne metode in orodja, s katerimi lahko preverite, ali so bila vaša gesla iz­po­sta­vlje­na tveganju, ali ustrezajo veljavnim var­no­stnim stan­dar­dom ali pa so prešibka.

Spletne storitve za pre­ver­ja­nje uhajanja podatkov

• Have I Been Pwned (HIBP): Ena najbolj znanih in zaupanja vrednih platform je Have I Been Pwned (HIBP). Tukaj lahko preverite, ali je bil vaš e-poštni naslov ali geslo iz­po­sta­vlje­no v znanem primeru kršitve varnosti podatkov. Z vnosom svojega e-poštnega naslova boste prejeli seznam spletnih strani, na katerih je prišlo do uhajanja podatkov in kjer so bili morda ukradeni tudi vaši podatki. Spletna stran omogoča tudi ne­po­sre­dno pre­ver­ja­nje gesel, pri čemer za­go­ta­vlja ano­ni­mnost s pomočjo spe­ci­a­li­zi­ra­nih teh­no­lo­gij za ši­fri­ra­nje.
• Google Security Check: Google ponuja vgrajeno funkcijo pre­ver­ja­nja gesel v br­skal­ni­ku Chrome. Brskalnik vas opozori, če je katero od vaših shra­nje­nih gesel bilo del kršitve varnosti podatkov. Poleg tega lahko prek svojega Google računa opravite celovito varnostno pre­ver­ja­nje, ki prepozna tudi šibka ali ponovno upo­ra­blje­na gesla.
• Varnostne funkcije upra­vi­te­ljev gesel: Mnogi sodobni upra­vi­te­lji gesel ponujajo funkcijo za pre­ver­ja­nje vaših shra­nje­nih gesel. Ta orodja iščejo šibke točke, ponovno uporabo in znane varnostne incidente. Na ta način dobite jasen pregled nad tem, katera gesla je treba po­so­do­bi­ti.

Pre­ver­ja­nje varnosti gesla

Poleg pre­ver­ja­nja mo­re­bi­tnih uhajanj podatkov je nujno, da ocenite varnost svojih gesel. Pri tem vam lahko pomagajo številna orodja, ki ocenijo dolžino, kom­ple­ksnost in entropijo (na­ključ­nost) gesla. Te storitve tudi si­mu­li­ra­jo, koliko časa bi bilo potrebno za raz­vo­zla­vo vašega gesla z uporabo brute-force napada. Na primer, geslo 123456 se lahko raz­vo­zla­jo v manj kot sekundi, medtem ko bi močnejše geslo, kot je X$4g8JwQ!a_%j, napadom zdržalo več let.

Ročni pregled in spre­mlja­nje

Če veste, da je določena platforma žrtev kršitve varnosti podatkov, preverite, ali imate na tej platformi račun. Takoj spre­me­ni­te gesla, še posebej če ste jih uporabili tudi na drugih spletnih straneh. Prav tako je koristno spre­mlja­ti novice o ki­ber­net­ski varnosti ali platforme, kot je Reddit (npr. podforum [r/netsec]), da boste ostali obveščeni o novih kršitvah varnosti podatkov. Varnostne ran­lji­vo­sti se tam pogosto poroča prej kot prek uradnih kanalov, kar vam omogoča, da pra­vo­ča­sno sprejmete pre­ven­tiv­ne ukrepe. Poleg tega orodja, kot je HIBP, ponujajo e-poštna obvestila, ki vas opozorijo, ko se vaš e-poštni naslov pojavi v novem izpustu podatkov.