Pakartotinai naudoti vieną slaptažodį patogu, tačiau jūsų saugumui internete kyla rimtas pavojus. Štai kodėl.
Slaptažodžiai yra visur. Jie užtikrina, kad tik mes (arba mūsų leidžiami asmenys) galėsime pasiekti savo privačią informaciją ir daiktus – ar tai būtų pinigai banke, ar socialinės žiniasklaidos tapatybė. Tačiau dažnai į juos žiūrime nerimtai, visur naudojame tą patį slaptažodį, nes jį lengva įsiminti.
Nors daugelis programų ir paslaugų pagerėjo saugumo požiūriu, įsilaužėliai taip pat gerokai patobulėjo. Visur naudodami tą patį slaptažodį rizikuojate tapti pagrindiniu kibernetinių atakų taikiniu. Yra ir kitų mažiau akivaizdžių šios praktikos trūkumų.
Štai keletas priežasčių, kodėl turėtumėte būti kruopštesni rinkdamiesi slaptažodį.
1. Kreditų užpildymo išpuoliai
Kai reikia visur naudoti tą patį slaptažodį, nesate vieni. Pagal NordPass svetainė, daugelis žmonių naudoja lengvai atspėjamus slaptažodžius, pvz., „svečias“ ir „slaptažodis“. Tai siaubinga praktika, nes šie, atrodytų, priešingi intuityvūs slaptažodžiai nulaužti vos užtrunka.
Jei visose paskyrose naudojate tokį silpną slaptažodį, kaip šis, esate puikus taikinys kredencialų užpildymo atakai. Tai yra tam tikros rūšies kibernetinė ataka, kurios metu daugybė pavogtų slaptažodžių ar naudotojų vardų įkeliami į tūkstančius svetainių. Jei jūsų pakartotinai panaudotas slaptažodis pateks į duomenų pažeidimą, daugelis jūsų paskyrų gali susidurti su problemomis.
2. Rizikuokite savo įmonės sąskaitas
2012 m. „Dropbox“ patyrė pažeidimą, dėl kurio prisijungė 69 milijonai vartotojų. Pagal Globėjas, pažeidimas įvyko dėl to, kad „Dropbox“ darbuotojas pakartotinai naudojo tą patį slaptažodį „Dropbox“, kaip ir jis anksčiau „LinkedIn“. Kai jo „LinkedIn“ paskyra buvo įsilaužta, įsilaužėliai taip pat gavo prieigą prie „Dropbox“ įmonės tinklą.
Tai reiškia, kad pakartotinai perdirbdami savo įmonės paskyros slaptažodžius, taip pat rizikuojate sau ir korporacijai. Būtent todėl daugelis technologijų išmanančių įmonių dabar naudoja slaptažodžių tvarkykles. Slaptažodžių tvarkyklės leidžia saugoti ir generuoti saugius slaptažodžius.
Pridėję darbuotoją ar rangovą prie slaptažodžių tvarkyklės, jie įgyja prieigą prie visų paskyrų, kurių slaptažodžiai yra saugomi valdytojo programoje, supaprastinant jų prisijungimo procesą, kartu pašalinant poreikį su jais dalytis slaptažodžiu iš viso.
Pakartotinai naudojami slaptažodžiai ar net panašūs slaptažodžiai yra silpni, nėra unikalūs ir lengvai nuspėjami. Piratai gali lengvai nulaužti tokius slaptažodžius naudojant AI įrankius. Net nemokama ChatGPT versija gali būti naudojama tokiems slaptažodžiams surasti:
Jei aukščiau pateiktas raginimas yra per paprastas, kad atspėtų slaptažodį, įsilaužėliai gali apeiti ChatGPT apribojimus ir bandyti sugalvoti labiau suasmenintą raginimą atspėti slaptažodžius.
Pavyzdžiui, parašiau raginimą, apsimesdamas, kad parašiau istoriją apie išgalvotą personažą Adomą (bet koks panašumas į tikrus asmenis yra visiškai atsitiktinis), kai įsilaužėliai bando įsilaužti į jo Facebook sąskaita:
Štai kaip „ChatGPT“ laimingai sukūrė slaptažodžių, kuriuos gali naudoti tas asmuo, sąrašą:
Kai kurie iš šių slaptažodžių tikrai atrodo juokingi, tačiau iš tikrųjų esame linkę įdėti slaptažodžius, kuriuos galime lengvai įsiminti (žmonės ir dalykai, kurie mums paprastai rūpi labiausiai). Taigi, kuo daugiau įsilaužėlių apie mus žinos (kas nesunku, nes viską skelbiame socialiniuose tinkluose), tuo didesnė tikimybė, kad jie sėkmingai atspės mūsų slaptažodį.
Ir pažangūs AI slaptažodžių nulaužimo įrankiai yra kito lygio. Jie išbando įprastus slaptažodžius naudodami žodžių ar slaptažodžių variantus, aptiktus duomenų pažeidimo metu.
Jei naudojate slaptažodį, pvz., „qwerty“, slaptažodžio nulaužimo įrankiai užtrunka mažiau nei sekundę, kad jį nulaužtų. Pridėjus skaičius ir pakeitus jį į „qwerty12345“, jį nulaužti nebus sunkiau. Daugybė įrankių ieško modelio, o akivaizdūs skaičiai prieš dar akivaizdesnes frazes yra dažniausiai pasitaikantys modeliai.
4. Dalinantis slaptažodžiais tampate labiau pažeidžiami
Slaptažodžių perdirbimas yra bloga praktika, tačiau dalytis tais pakartotinai naudojamais slaptažodžiais yra dar blogiau. Kad ir koks patikimas būtų asmuo, kuriam bendrinate slaptažodį, negalite atsižvelgti į duomenų pažeidimus ar kibernetines atakas. Jūsų paskyrai kyla dar didesnis pavojus, jei asmens, su kuriuo bendrinote paskyros informaciją, įrenginys bus pažeistas arba pavogtas.
Kai įsilaužėlis gauna prieigą prie įrenginio, kiekviena paskyra ir duomenų dalis yra nemokami. Pavyzdžiui, tarkime, kad su kuo nors bendrinate „Netflix“ paskyrą. Jei jų nešiojamasis kompiuteris bus nulaužtas arba pavogtas ir kas nors pateks į tą „Netflix“ paskyrą, jūsų kredito kortelės informacijai iš karto kyla pavojus.
Taigi pirmiausia naudokite stiprius slaptažodžius, kuriuos sunku atspėti. Tada, antra, naudokite dviejų veiksnių autentifikavimą arba slaptažodžių tvarkyklę saugiai bendrinkite slaptažodį su draugais ir šeimair sumažinti riziką.
5. Socialinės inžinerijos išpuoliai
Socialinė inžinerija yra manipuliavimas žmonėmis, siekiant pavogti jų asmeninę informaciją. Tai tikrai ne techninis įgūdis, o labiau psichologinis žaidimas. Sukčiavimo nuorodos yra labiausiai paplitęs pavyzdys.
Tai nebėra taip paprasta, kaip sukčiavimo nuoroda, nukreipianti į netikrą Facebook arba Instagram prisijungimo puslapį. Įsilaužėliai apsimes draugu, kolega ar patikima organizacija, kad priverstų jus spustelėti nuorodas, kurios pažeidžia jūsų paskyras.
Taigi, įsilaužėlis gali paprašyti jūsų prisiregistruoti prie naujos paleisties paslaugos, kad pamatytų, kokį slaptažodį naudojate. Kai kuriais atvejais jie gali susisiekti su jumis iš jūsų draugo paskyros, kuri buvo pažeista – dauguma iš mūsų nėra išmintingesni atidarydami nuorodas iš savo draugų, todėl tai nesunku nustatyti spąstus.
Kadangi greičiausiai pakartotinai naudotumėte slaptažodį iš kitur, kad prisiregistruotumėte prie tos paslaugos, jie bandys naudoti tą slaptažodį visoms jūsų paskyroms, apie kurias žino. Jei naudojate tą patį slaptažodį savo banko programoje, greičiausiai patirsite problemų.
Jei ne kiekvieną kartą, ši technika veiktų daugeliu atvejų.
6. Padidėjusi viešai neatskleistų išpuolių rizika
Pakartotinis tų pačių slaptažodžių naudojimas visur padidina viešai neatskleistos informacijos atakų riziką. Tarkime, kad darbuotojas, žinantis slaptažodį, palieka jūsų organizaciją. Jei slaptažodis nepakeistas, buvęs darbuotojas vis tiek turės lengvą prieigą prie visų jūsų jautrių duomenų.
Jei viešai neatskleista informacija žino slaptažodį, kuris buvo naudojamas visur, visoms jūsų programoms ir paslaugoms kyla tiesioginis pavojus. Jie gali naudoti šiuos kredencialus, kad galėtų vykdyti nesąžiningą veiklą, išnaudoti pažeidžiamumą arba pakenkti kompiuterių sistemoms. Tokie žmonės taip pat gali apsimesti darbuotojais ir manipuliuoti kolegomis, kad jie pasidalintų konfidencialia informacija.
Panašiai, jei tas pats slaptažodis naudojamas keliose svetainėse, būtų sunku tiksliai nustatyti viešai neatskleistą informaciją, jei įvyktų bet kokia nepageidaujama ar kenkėjiška veikla. Galite sumažinti viešai neatskleistų išpuolių riziką, taikydami griežtą saugos praktiką. Gera vieta pradėti yra suteikti individualius kredencialus visiems savo darbuotojams.
Būkite kūrybingi, slapti ir griežti naudodami slaptažodžius
Nesvarbu, kokių kitų saugumo priemonių imsitės, jūsų buvimui internete visada kils pavojus, jei pakartotinai naudosite tą patį slaptažodį įvairiose platformose. Žinoma, pakartotinai panaudotus slaptažodžius lengviau atsiminti, bet gailėsitės dėl to patogumo, jei į jūsų paskyras bus įsilaužta.
Laimei, ateityje jums gali nereikėti naudoti slaptažodžių. Tokios paslaugos kaip „Apple PassKeys“ naudoja biometrinį autentifikavimą, pvz., „FaceID“ arba „TouchID“, kad prisijungtų prie paskyrų. Tai pašalina slaptažodžio poreikį, nes paslauga naudoja kriptografinį raktą. Kitoms įmonėms pradėjus tai įgyvendinti, slaptažodžiai gali tapti praeitimi.
