Please update your Flash Player to view content.

Slaptažodis. Kaip šį raktą padaryti neįveikiamu?

Dažniausiai įsilaužėliai būna atsakingi už populiariausius kompiuterinius nusikaltimus, tokius kaip asmens tapatybės vagystė, nusikaltimai su kreditinėmis kortelėmis, autorinių teisių pažeidimai, nelegalus informacijos skleidimas ir virusų sukūrimas bei platinimas. Turėdami asmens prisijungimo duomenis, hakeriai gali lengvai sudaryti sutartis su kredito įmonėmis ar ne savo vardu prisiimti kitų įsipareigojimų, kurie gali dar daugelį metų būti našta apie tai nieko nežinojusiam nukentėjusiajam. O ir interneto tinkluose paskleidžiamos asmeninės nuotraukos ir konfidenciali įmonių informacija dažnai yra ne kieno kito, o kompiuterių įsilaužėlių darbas. 2013 m. net 76 % nesankcionuoto patekimo į įmonių duomenų bazes atvejų buvo susiję su lengvai „nulaužiamais“ ar nutekintais prisijungimo slaptažodžiais (šaltinis – eset.com).Nuo hakerių nagų neišsisuko ir „eBay“, Rusijos ministro pirmininko pavaduotojas A. Dvorkovičius bei Kauno Technologijos Universitetas. Tačiau kartais net nebūtina įsilaužti į duomenų bazę, kad galėtum pasiekti duomenis be jų savininko leidimo – dažnai buvę darbuotojai gali be jokių kliūčių pasinaudoti savo senaisiais prisijungimo duomenimis, nes įmonės nepakankamai dažnai keičia prisijungimo prie jų sistemos informaciją.

 

Simbolių skaičius – ne vienintelis ginklas

   Programų, skirtų įvertinti slaptažodžio tvirtumą, yra daug, tačiau visos jos skirtingos ir nežinia kiek patikimos. Be to, dauguma šiuolaikinių vertinimo sistemų nustato per mažus reikalavimus, nes ne viena programa apsiriboja nykščio į viršų ar apačią parodymu, kai renkamas žodis pasiekia reikalaujamą simbolių skaičių. Kadangi vieningos slaptažodžių vertinimo sistemos nėra, 2013 m. dėstytojų grupė iš Carnegie Mellon universiteto (JAV) atliko tyrimą, kurio tikslas ir buvo surinkti informaciją apie slaptažodžius ir nustatyti universalius slaptažodžio stiprumo vertinamuosius kriterijus (šaltinis: ted.com., „What’s wrong with your pa$$w0rd?“). Tyrimą įkvėpė sugriežtinta šio universiteto saugumo politika. Darbas buvo pradėtas nuo studentų ir universiteto darbuotojų apklausų. Tyrėjai neprašė pateikti tikslių asmens duomenų, tačiau siekė išsiaiškinti naudojamų slaptažodžių savybes, pavyzdžiui, ženklų skaičių, skaičių ir kitų neraidinių simbolių naudojimą. Nustatyta, kad, nors 13% iš 470 respondentų teigė užsirašantys savo slaptažodžius, kas yra pabrėžtinai nerekomenduotina, net 80% respondentų naudodavo ankstesnius savo slaptažodžius, dėl ko įsilaužėliams yra daug lengviau nuspėti prisijungimo duomenis. Dėl tos pačios priežasties nepatartina tą patį slaptažodį vartoti keliose sistemose. Apklausų metu pavyko nustatyti dar vieną dalyką: kaip teigė apklaustųjų dauguma, naujoji saugumo politika buvo varginanti ir erzinanti, tačiau jie jautėsi saugesni.Taigi, jei tikrai būtina, geriau naująjį slaptažodį užsirašyti ir saugiai paslėpti nei pakartotinai naudoti senąjį.

   Nors tyrėjams pavyko gauti duomenis iš kelių šimtų žmonių, tai buvo palyginti mažas informacijos kiekis. Kadangi tinklalapių administratoriai nedegė noru dalintis asmenine vartotojų informacija, buvo atsigręžta į kitus „slaptažodžių saugumo ekspertus“ – įsilaužėlius. Internete galima aptikti ne vieną tinklalapį, kuriame hakeriai giriasi savo „grobiu“ ir skelbia iššifruotus slaptažodžius. Iš minėtų tinklalapių gauta informacija nebuvo tobula, nes nežinoti jos šaltiniai ir slaptažodžių sukūrimo sąlygos. Tad nuspręsta pasinaudoti Amazon Mechanical Turk paslaugomis. Sukurtoje programoje dalyvių prašyta sukurti slaptažodžius pagal nurodytus varijuojančius reikalavimus ir atsakyti į pateiktus klausimus. Taip buvo gauti dar 5000 pavyzdžių. Pastebėta, kad, kaip ir universiteto rezidentų, eksperimento metu naudotų simbolių įvairovė buvo pakankamai skurdi. Siekiant įvertinti sukurtų slaptažodžių stiprumą, į pagalbą buvo pasitelkti kompiuterių įsilaužėlių metodai ir fiksuota, kiek laiko užtrunka „nulaužti“ kiekvieną pateiktą simbolių darinį. Nustatyta, kad slaptažodžio ilgis ir kompleksiškumas yra tiesiogiai susiję su jo patikimumu. Tačiau kompleksiškų slaptažodžių kūrimas, pasak eksperimento dalyvių komentarų, buvo daug labiau varginantis, todėl pirmenybė teikta daugiau simbolių turintiems deriniams. Bet neverta pamiršti, kad didelis simbolių kiekis negarantuoja slaptažodžio stiprumo.

   Antrasis eksperimentas buvo paremtas xkcd animaciniame filmuke, sukurtame prieš porą metų, išdėstyta teorija, kad stipresni yra ne vieno ilgo žodžio slaptažodžiai, o kelių tarpusavyje nederančių žodžių frazė, pavyzdžiui, „teisingas arklys baterija segiklis“. Šį kartą slaptažodžiai buvo sudarinėjami kompiuterio pagalba, kurio programa pateikdavo po kelis nesusijusius žodžius. Žodžių deriniai, nors ir skambėjo kūrybingiau, nebuvo stipresni už ankstesnes slaptažodžių variacija, o ir įsiminti juos buvo tiek pat sunku. Be to, frazės buvo daug ilgesnės, todėl jas užrašyti (ypač teisingai užrašyti) užėmė daugiau laiko. Tuomet tyrėjams kilo idėja sukurti vadinamuosius „ištariamus slaptažodžius“ – derinius, sudarytus iš skiemenų, kurie skamba kaip vartotinas žodis, pavyzdžiui, tufritvi ir vadasabi. Tokie deriniai veikė stebinančiai gerai. Nors buvo abejota šių tyrimų tikslumu dėl to, kad antrąjį eksperimentą vykdė kompiuteris, palyginus gautus duomenis su universiteto studentų slaptažodžių baze rasta daug panašumų.

 

Slaptažodis – įkvėpimas tavo dienai

   Carnegie Mellon universiteto atlikto tyrimo metu sužinota, kad daugelis slaptažodžių yra sukuriama galvojant apie gerus dalykus, brangius žmones ir gyvūnėlius (ypač bezdžiones). Slaptažodžiuose taip pat yra daug meilės, nes žodžius „aš tave myliu“ galima rasti visomis kalbomis. Tačiau, nors įkvepiančios mintys ir galvojimas apie tai, kas mus daro laimingus, yra pozityvi savybė, kuriant slaptažodžius derėtų galvoti apie ką nors kita.

   Žinoma, galima ir kita išeitis – užšifravimas. Kasdien mes po keletą kartų jungiamės prie įvairių paskyrų. Tad ar nebūtų puiku, jei slaptažodžiai galėtų pagerinti mūsų nuotaiką ar įkvėpti dienos darbams? Po taškeliais gali būti paslėpta uždeganti citata ar siekiamas tikslas. Tačiau, kaip minėta, nedera šių žodžių tiesiog užrašyti eilės tvarka. Patartinas šios problemos sprendimas, pavyzdžiui, užrašyti pirmąsias žodžių raides (sppakr – „susitaupysiu pakankamai pinigų atostogoms Kosta Rikoje“). Nepamirškite vartoti ir skaitmenų (pavyzdžiui, 17 – diena, kurią buvau paaukštintas), didžiųjų ir mažųjų raidžių bei simbolių. Taip nuobodi ir galvos skausmą kelianti pareiga kas porą mėnesių sugalvoti naują derinį ir jį įsidėmėti gali tapti nuolatiniu priminimu, padėsiančiu nenukrypti nuo užsibrėžto tikslo. Juk ką mieliau įsiminti: „8gheO!54?$yRt]“ ar „(-:sppaKR17:-p“?

 

Taip pat skaitykite:

Asmens duomenų apsaugos reforma Europos Sąjungoje