Kiberdrošības eksperti norāda, ka vidējā interneta lietotāja disciplīna paroļu veidošanā un atjaunošanā Latvijā uzlabojas, tomēr situācija vēl joprojām ir kritiska. Kā veidot drošas paroles un pasargāt savus kontus no uzlaušanas, skaidro informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV eksperts Andrejs Konstantinovs un Draugiem Group IT projektu vadītājs Oskars Pētermanis.
Pēc ekspertu novērojumiem, cilvēki ikdienā, kā arī profesionālajā vidē, joprojām izmanto viegli prognozējamas paroles, kas sastāv no vienkāršām ciparu kombinācijām vai īsiem, atmiņā paliekošiem vārdiem. Šādā manierē izveidotas paroles kiberuzbrucējiem ir gluži kā aicinājums ienākt pa atvērtām durvīm.
“Paroļu veidošanā mēs joprojām pieļaujam tās pašas kļūdas, kas tika pieļautas pirms desmit un vairāk gadiem. Cilvēki aizvien veido īsas, viegli prognozējamas paroles, kas turklāt tiek izmantotas vairākos kontos vienlaicīgi un atjaunotas reti. Savukārt, ja lietotājs ir izveidojis garāku paroli, tad tā bieži sastāv no kādas frāzes vai arī informācijas, kas cieši saistīta ar cilvēka ikdienu un ko viņš, iespējams, kādā brīdī jau ir publiskojis, piemēram, sociālajos tīklos,” paroļu veidošanas paradumus skaidro Andrejs Konstantinovs.
Uzbrucēju rīcībā nereti ir īpašas sistēmas, kas analizē cilvēku publicēto informāciju sociālajos tīklos, apkopojot atslēgvārdus un frāzes. Piemēram, biežāk izmantotās frāzes ierakstos, iecienītāko dziesmu nosaukumus, mīļākās automašīnas markas, iesaukas utt. Apkopotā informācija tālāk tiek izmantota, lai prognozētu vārdus, kurus cilvēks, visticamāk, izmantotu paroles izveidē. Tas ir automātisks process, kurā dators izskata tūkstošiem paroļu kombināciju, līdz brīdim, kad viena no tām nostrādā, paverot piekļuvi kontam.
“Svarīgākie kritēriji paroles izveidē ir drošums un unikalitāte katrā resursā. Katru gadu pasaulē tiek uzlauzts kāds nozīmīgs datu resurss, kurā tiek uzglabātas lietotāju paroles un e-pasti. Situācijā, kad mēs izmantojam vienu paroli daudziem kontiem, turklāt šie konti ir savienoti ar vienu e-pastu, mēs riskējam pazaudēt visus savus kontus. Cilvēkam, protams, ir grūti atcerēties padsmit garas un sarežģītas paroles, tādēļ var izmantot bezmaksas paroļu ģenerēšanas rīkus, ko var lejupielādēt savās viedierīcēs. Tas ir vienkārši, ērti un, visbiežāk, bez maksas,” stāsta A. Konstantinovs.
Pēc eksperta domām, parolēm šodien nevajadzētu uzticēties kā vienīgajam drošības līdzeklim. Mūsdienās teju visi lielākie sociālo tīklu un e-pastu pakalpojumu nodrošinātāji piedāvā divu faktoru autentifikāciju, kurā ir vienlaikus apvienota gan parole, gan telefonā saņemtā īsziņa vai kods, kas tiek nosūtīts tad, kad cilvēks mēģina pieslēgties kontam no jaunas ierīces.
“Ja uzbrucējs būs spējis uzlauzt paroli, viņam būs jāmēģina uzlauzt otru faktoru, un attālināti nolasīt telefonā saņemtu kodu, kas jau ir nesalīdzināmi grūtāk. Tāpat kā papildu drošības faktoru var izmantot dažādaslietotnes, kurās katru sekundi tiek ģenerēts jauns kods, līdzīgi kā Smart-ID. Tas nozīmē, ka, pieslēdzoties kontam, lietotnē būs jāapstiprina uz ekrāna redzamais kods. Rezultātā spēcīga parole un divu faktoru autentifikācija jau ir pavisam droši,” papildina A. Konstantinovs.
Arī Draugiem Group IT projektu vadītājs Oskars Pētermanis piekrīt, ka izveidot drošu paroli būtu jākļūst par tādu pašu ieradumu kā kārtīgai durvju aizslēgšanai, izejot no mājas.
“Īpaši svarīgi, lai droša parole būtu e-pasta kontam, ko var uzskatīt par sava veida paroļu pārvaldnieku. Piekļūstot e-pastam un izmantojot paroles aizmiršanas funkcijas, uzbrucējs potenciāli var piekļūt vairāku vietņu profiliem. Līdz ar to, ja ir spēcīga parole Draugiem.lv vai Facebook profilam, bet vāja parole e-pastam, kas ir savienots ar profiliem, tad arī šie profili tiek pakļauti riskiem,” skaidro O. Pētermanis.
Draugiem Group eksperts paroļu uzlaušanas tēmai pieiet no divām pusēm – viena situācija, ja paroli ir jāuzlauž tiešsaistē, bet cita – ja ir iegūta šifrēta parole datu noplūdes rezultātā, un to jāuzlauž bezsaistē. Pirmajā gadījumā uzbrucējam jārēķinās, ka vietnes izstrādātājs jau būs paredzējis dažādus ierobežojumus, kas pasargā vietnes lietotājus, piemēram, ierobežots nepareizas paroles ievadīšanas skaits no vienas IP adreses. Otrkārt, visbiežāk būs pieslēgts risinājums, kas apgrūtinās automatizētu sistēmu darbu, piemēram, pēc noteikta ievades kļūdu skaita, klāt tiks pieprasīts ievadīt attēlā redzamu kodu. Trešais drošības līdzeklis ir lietotāja konta bloķēšana uz konkrētu laiku, ja sistēmā ir identificētas netipiskas darbības paroles ievades laikā. Bet gadījumā, ja parole ir jāuzlauž bezsaistē, šis process jau ir atkarīgs no pašas paroles sarežģītības un izmantotā šifrēšanas algoritma.
O. Pētermanis norāda, ka daudz atkarīgs no cilvēka vērības un kritiskas pieejas, izmantojot interneta pakalpojumus. Pasaulē ir plaši izplatīta tā saucamā pikšķerēšana jeb informācijas izmānīšana, kas notiek, cilvēkam ievadot noteiktus datus īpaši izveidotā krāpnieciskā vietnē, kas ir vizuāli līdzīga tai, kuru cilvēks bija plānojis apmeklēt un kurā autorizēties.
Lai padarītu savus kontus drošus, A. Konstantinovs ierosina izveidot pēc iespējas garāku paroli, kas sastāv no burtu, skaitļu un simbolu kombinācijas un ko ir viegli atcerēties. Vēl labāk izmantot paroļu ģenerēšanas un uzglabāšanas programmas, kas internetā ir pieejamas bez maksas un kuras iespējams lejupielādēt jebkurā viedtālrunī un datorā.
Parolēs nevajadzētu iekļaut savu, tuvinieku vai mājdzīvnieku vārdu, dzimšanas datus, mīļāko izpildītāju u.tml. satura informāciju, kas būtu viegli atrodama sociālajos tīklos izvietotajā saturā. Raugoties no kiberhigiēnas viedokļa, paroles, kas netiek ģenerētas automātiski, būtu vēlams atjaunot vismaz reizi gadā, bet situācijā, kad ir radušās aizdomas par datu noplūdi vai uzlaušanas gadījumu, tās uzreiz nomainīt visos kontos.
Tāpat nevajadzētu aizmirst par divu faktoru autentifikācijas iespējām, kas ir viegli ieviešamas gan populārākajos sociālajos tīklos, gan e-pastu platformās. Divu pakāpju autentifikācija ievērojami sarežģī kiberuzbrucēja iespējas.
Tāpat A. Konstantinovs aicina cilvēkus pārliecināties, vai e-pasts, kas šobrīd tiek lietots, kādreiz nav ticis nopludināts un publiskots kādā datubāzē. Šo informāciju ir iespējams noskaidrot, izmantojot https://monitor.firefox.com platformu, kurā jāievada sava e-pasta adrese. Gadījumā, ja pēc e-pasta ievadīšanas tas uzrādās kādā no datubāzēm, eksperts aicina nekavējoties nomainīt e-pasta un saistīto kontu paroles.
Efektīvi kiberdrošības pasākumi ne vien aizsargās pašu lietotāju privātajā un darba vidē, bet arī novērsīs plašāku apdraudējumu izplatību. CERT.LV nupat – 14. septembrī – aizsākusi izglītojošo kampaņu "Kiberdrošība darbavietā". Kampaņas pamatvēstījums ir vienkāršs: aktualizēt drošus interneta lietošanas pamatprincipus ikviena cilvēka darbavietā, veicināt sabiedrības izpratni par kiberdrošību un iespējamiem riskiem, kā arī parūpēties par kritiskās domāšanas un uzticības saišu proporcionālu līdzsvaru internetā.
Lai nesaskartos ar "parolīzes" sekām, nekļūtu par "spaidoni" un neciestu no "muļķerēšanas", kampaņas organizētāji aicina kritiski izvērtēt visu internetā sastopamo informāciju!
Vairāk par kampaņu un tās laikā plānotajām aktivitātēm tīmekļvietnē – www.parolize.lv. Šajā vietnē atradīsiet arī droša interneta skolu jeb digitālo rokasgrāmatu, kur interaktīvā veidā katrs lietotājs var iepazīties ar kiberdrošības pamatlietām, aizpildot testus un pārbaudot savas zināšanas praksē.
CERT.LV - Informācijas tehnoloģiju drošības incidentu novēršanas institūcija Latvijā, dibināta 2006.gadā, ir „Latvijas Universitātes Matemātikas un informātikas institūta” (LU MII) struktūrvienība, kas darbojas Latvijas Republikas Aizsardzības ministrijas pakļautībā IT drošības likuma ietvaros. CERT.LV misija ir veicināt informācijas tehnoloģiju drošību Latvijā.
Kopš 2018.gada CERT.LV ir atbildīga par projekta „Latvijas kiberdrošības spēju uzlabošana” (INEA/CEF/ICT/A2017/1528784) īstenošanu Latvijā. Projekts tiek līdzfinansēts no Eiropas Savienības Eiropas infrastruktūras savienošanas instrumenta.