Jei įsilaužėlis sužinos jūsų prisijungimo duomenis, jis gali pasiekti visus jūsų duomenis. Taigi, jei slaptažodžiai yra problema, kaip galime atsisakyti slaptažodžių?
Slaptažodžiai buvo svarbi interneto saugumo dalis nuo pat interneto aušros ir šiandien vis dar yra labiausiai paplitusi autentifikavimo forma. Tačiau padaugėjus kibernetinių atakų prieš slaptažodžiu pagrįstą autentifikavimą ir pražūtingus duomenų pažeidimus, statiniai slaptažodžiai nebegali to sumažinti.
Taigi, jei slaptažodžiai kelia rimtą pavojų saugumui, ar galime tiesiog su jais atsiskirti ir vietoj to naudoti prisijungimus be slaptažodžių?
Kokia yra slaptažodžių naudojimo problema?
Nors slaptažodžius gana paprasta naudoti ir jie puikiai veikia su kitais autentifikavimo metodais, jie nėra tokie saugūs, kaip norėtume. Ir dažniausiai tai yra mūsų pačių kaltės.
Dauguma lengvai įsimenamų slaptažodžių nėra stiprūs ir stipriausi slaptažodžiai nėra lengva prisiminti. Norėdami išspręsti šią dilemą, galime sugalvoti vieną ar du beveik neįlaužiamus slaptažodžius ir naudoti juos visose savo internetinėse paskyrose ir skirtinguose įrenginiuose. Bėda ta, kad jei vienas iš jūsų slaptažodžių pateks į netinkamas rankas, visos programos ir paslaugos, kurios naudojasi tuo slaptažodžiu, taip pat gali būti pažeistos.
Pasak a „Verizon“ atliktas tyrimas, daugiau nei 80 procentų su įsilaužimu susijusių duomenų pažeidimų sukelia prasti arba pavogti slaptažodžiai, o tai yra vidutiniškai keturi iš penkių pažeidimų visame pasaulyje. Nepadeda, kad daugelis žmonių nekeičia numatytųjų slaptažodžių iš karto (arba iš viso) ir jie kartais platinami per įsilaužėlių forumus.
Tuo tarpu slaptažodžių nulaužimo įrankiai vis geriau atspėja slaptažodžius, o tai reiškia, kad tik laiko klausimas, kada „neįlaužiamas“ slaptažodis bus nulaužtas. Be to, slaptažodžiai vagiami per socialinės inžinerijos atakas, o dėl dirbtinio intelekto (AI) jie tampa vis sudėtingesni – net „ChatGPT“ buvo užfiksuotas rašantis kenkėjiškas programas.
Be to, slaptažodžiai kartais siunčiami neapsaugotais tinklais, todėl kibernetiniams nusikaltėliams juos pavogti tampa vaikišku žaidimu. Jei kada nors naudojote „Wi-Fi“ savo mėgstamoje kavinėje, tikriausiai padarėte šią saugumo nuodėmę.
Taigi, jei slaptažodžiai negali būti sumažinti, kokios yra saugiausios alternatyvos?
Kokios yra geriausios slaptažodžio alternatyvos siekiant geresnio saugumo?
Kadangi statiniai slaptažodžiai ir vieno slaptažodžio autentifikavimo sistemos gali sukelti rimtų saugumo problemų, galėtume juos pakeisti saugesnėmis alternatyvomis ir nebesirūpinti dėl savo saugumo internete. Bet kuri slaptažodžio alternatyva yra geriausia saugumui?
1. Biometriniai duomenys
Kibernetinio saugumo kontekste biometriniai duomenys arba biometrinis autentifikavimas yra saugos metodas, kuris tikrina jūsų unikalias biologines savybes, kad patvirtintų jūsų tapatybę. Nesvarbu, ar kalbame apie pirštų atspaudų atvaizdavimą, tinklainės nuskaitymą, balso patvirtinimą ar veido atpažinimą, biometriniai duomenys yra susiję su jūsų unikaliais identifikatoriais.
Priešingai, kadangi saugus slaptažodis yra didžiųjų ir mažųjų raidžių, skaičių ir simbolių derinys – trumpai tariant, sunku įsiminti – jis gali išslysti jūsų atmintyje kaip nieko. Saugus biometrinis autentifikavimas reiškia vieną slaptažodį (t. y. jūsų veidą, balsą ar piršto atspaudą), ir jūs to niekada nepamiršite.
Nors kibernetiniai nusikaltėliai gali panaudoti jūsų veido, balso ar piršto atspaudo kopiją apgaulės atakai, naudojant išmaniuosius saugos įrankius ir pridėjus papildomų autentifikavimo metodų, šią riziką galima sumažinti iki minimumo gerokai. Biometrinių duomenų naudojimas taip pat sumažina sėkmingo sukčiavimo ir kitų socialinės inžinerijos atakų riziką.
Tačiau, nors biometriniai duomenys yra saugesni ir patogesni nei slaptažodžiai, jie taip pat turi keletą trūkumų. Būtent biometriniam autentifikavimui reikalinga specializuota aparatinė ir programinė įranga, todėl tai gali būti brangi. Be to, biometriniai duomenys yra gana asmeniški, todėl kai kurie žmonės gali jaustis nepatogiai juos naudodami autentifikavimui.
2. Daugiafaktorinis autentifikavimas
Kaip rodo pavadinimas, kelių veiksnių autentifikavimas (arba trumpiau MFA) yra autentifikavimo metodas, kuris reikalauja dviejų ar daugiau patvirtinimo faktorių prieš suteikiant prieigą prie programos ar internetinės paslaugos.
Taigi, užuot patenkintas vartotojo vardu ir statiniu slaptažodžiu, MFA prašo papildomų tikrinimo veiksnių, tokių kaip vienkartiniai slaptažodžiai, geografinė padėtis arba pirštų atspaudų nuskaitymas. Užtikrindama, kad vartotojo kredencialai nebuvo pavogti, MFA sumažina sėkmingo sukčiavimo ar tapatybės vagystės tikimybę.
Nors MFA yra saugesnis nei naudojant tik statinį slaptažodį, jis taip pat yra mažiau patogus, nes vartotojai turi atlikti kelis veiksmus. Pavyzdžiui, jei prarasite įrenginį, kurį naudojate antrajam autentifikavimui, galite netekti visų savo internetinių paskyrų, kuriose naudojama MFA.
3. Vienkartiniai slaptažodžiai
Taip pat žinomi kaip dinaminiai slaptažodžiai, vienkartiniai PIN ir vienkartiniai autorizacijos kodai (OTAC), vienkartiniai slaptažodžiai (OTP) yra slaptažodžiai, kuriuos galima naudoti tik vieną prisijungimo seansą. Taigi, kaip rodo pavadinimas, šis simbolių derinys gali būti naudojamas tik vieną kartą, o tai padeda išvengti kelių statinių slaptažodžių trūkumų.
Nors vartotojų prisijungimo vardai išlieka tie patys, slaptažodis keičiasi kiekvieną kartą prisijungus. Taigi, kadangi OTP negalima naudoti antrą kartą, kibernetiniams nusikaltėliams nėra prasmės jį vogti, todėl kai kurios tapatybės vagystės yra neveiksmingos.
Trys dažniausiai pasitaikantys OTP tipai yra SMS, el. pašto ir el. pašto nuorodų (dar žinomos kaip magija nuoroda) autentifikavimas, ir visi jie siūlo paprastą ir saugų prisijungimą savo vartotojams. Kadangi nėra statinių slaptažodžių, nėra rizikos, kad vartotojai jų neprisimins ar kitaip pames.
Tačiau yra ir keletas OTP trūkumų, ir jie yra susiję su paslauga priklausomybė nuo teikėjo – negausite vienkartinio slaptažodžio ar stebuklingos nuorodos, jei el. pašto arba SMS paslaugų teikėjas jo neatsiųs tau. Net el. pašto pristatymas gali vėluoti dėl lėto interneto ryšio greičio ar panašių veiksnių.
4. Socialinis prisijungimas
Socialinis prisijungimas arba socialinis prisijungimas yra procesas, leidžiantis vartotojams prisijungti prie programų ir internetinių platformų naudojant informaciją iš socialinių tinklų svetainių (tokių kaip Facebook, Twitter ir LinkedIn), kurias jie šiuo metu naudoja. Ši paprasto ir itin greito prisijungimo forma yra patogi alternatyva standartiniam, daug laiko reikalaujančiam paskyros kūrimui.
Tačiau pažeidimai ir nutekėjimai privertė daugelį vartotojų nepasitikėti socialiniu prisijungimu saugumo požiūriu. Kadangi įmonės ir toliau renka naudotojų duomenis, privatumo problemos, susijusios su socialiniais prisijungimais, ir toliau didėja.
5. Saugos rakto autentifikavimas
Siekiant užtikrinti, kad tinkami vartotojai turėtų prieigą prie reikiamų duomenų, šio tipo MFA apsaugo jūsų slaptažodžius, pridėdama vadinamąjį saugos raktą, fizinis įrenginys, kuris prijungiamas prie kompiuterio (per USB prievadą arba „Bluetooth“ ryšį) kiekvieną kartą, kai prisijungiate prie paslaugos, apsaugos priemones.
Saugos raktai kartais painiojami su saugos žetonais, kurie taip pat yra fiziniai įrenginiai, tačiau MFA paraginti generuoja šešių skaitmenų kodą. Nors jie turi bendrą tikslą, jie nėra vienodi.
Nors saugos raktai gali kovoti su slaptažodžiu pagrįstomis atakomis (sukčiavimu, kredencialų užpildymu, žodynų slaptažodžiais, ir panašiai), jie vis dar yra palyginti naujas žaidėjas kibernetinio saugumo žaidime, todėl gali nebūti čia, kad liktų. Be to, jei jūsų saugos raktas būtų pavogtas arba pamestas, tai yra didelė problema.
Kitos dėmesio vertos slaptažodžių alternatyvos
Viena iš labiausiai susimąstyti verčiančių slaptažodžių alternatyvų yra biometrinis autentifikavimas, atpažįstantis tipinius bangos formos, kurias sukuria kiekvieno vartotojo širdies plakimo ritmas, ir naudoja ją identifikavimui – tai vadinama širdies plakimu arba širdies ritmu pripažinimas. Nors turi būti puiku, kad nereikia nieko daryti (be to, kad esi gyvas ir spardosi), kad gautum prieigą prie savo paskyrose, šio tipo autentifikavimas yra pritaikytas itin saugiai aplinkai ir yra per brangus asmeniniam naudojimui.
Kitos dėmesio vertos saugesnio prisijungimo alternatyvos yra autentifikavimas klavišo paspaudimu (kuris paima unikalų vartotojo rašymo šabloną, kad patvirtintų jų tapatybę), vienkartinį prisijungimą (kuris leidžia vartotojui gauti prieigą prie visų savo programų ir paslaugų naudojant vieną kredencialų rinkinį) ir prieigos raktai (prisijungimas be slaptažodžio reikalaujama, kad naudotojai sugeneruotų naują prieigos raktą naudodami autentifikavimo priemonę kiekvieną kartą, kai nori pasiekti savo programas ir paslaugas).
Be to, turėtume pateikti slaptažodžių tvarkykles, o ne kaip slaptažodžių pakeitimą – juk tai vadinama slaptažodžių tvarkytuvu, o ne be slaptažodžių. Taigi, jei norite naudoti slaptažodžius, šio tipo įrankis gali padėti apsaugoti jūsų kredencialus, generuoti stiprius slaptažodžius ir išsaugoti visus prisijungimo duomenis, kad galėtumėte sklandžiau naudotis internetu.
Ar ateitis be slaptažodžio?
Yra keletas autentifikavimo tipų, kuriuos galite naudoti neįvesdami slaptažodžio, tačiau tik kai kurie iš jų bando visiškai pašalinti slaptažodį iš proceso – ir tai neturėtų būti problema. Naudojant kelis autentifikavimo metodus, galima pašalinti vieną gedimo tašką ir padidinti saugumą internete.
Kalbant apie ateitį, tikimės, kad autentifikavimo be slaptažodžio rinka vis labiau plėsis organizacijos ir asmenys ieško saugumo sprendimų, galinčių kovoti su slaptažodžiu kibernetinės atakos.