Slaptažodžių tvarkyklė ir dviejų veiksnių autentifikacija
Kaip įspėja „NOD Baltic“ kibernetinio saugumo inžinierius ir "ESET" ekspertas Ramūnas Liubertas, slaptažodžiai ar kita jautri informacija gali būti atskleista ne tik dėl jūsų, bet ir dėl organizacijos saugumo spragų, todėl įmonėms dažnai taikomi specialūs reguliavimo reikalavimai, įpareigojantys paviešinti informaciją apie įvykusius įsilaužimo atvejus.
Kalbant apie darbo aplinką, nors neretai pasitaiko atvejų, kai vartotojų duomenys nuteka dėl įmonės saugumo spragų, didelė dalis atakų įvyksta dėl darbuotojų klaidų. Todėl būtina žinoti, kaip teisingai apsaugoti savo paskyras ir asmeninius duomenis“, – teigia kibernetinio saugumo ekspertas R. Liubertas.
Kai kurios žiniatinklio naršyklės, pavyzdžiui, „Google Chrome“ ir „Firefox“, gali automatiškai patikrinti, ar jūsų slaptažodžiai nepateko į žinomus duomenų nutekėjimo atvejus. Be to, naudojant „Chrome“ slaptažodžių tvarkyklės modulį, galima gauti rekomendacijas tvirtesnių slaptažodžių kūrimui arba pasiūlymus kitoms slaptažodžių saugumą didinančioms funkcijoms.
Dar viena saugumą stiprinanti priemonė – slaptažodžių tvarkyklė. Pasak kibernetinio saugumo eksperto R. Liuberto, tai patogus ir efektyvus įrankis, kai reikia valdyti didelį prisijungimo duomenų rinkinį, nes jos gali ne tik patikimai saugoti, bet ir sukurti sudėtingus slaptažodžius kiekvienai internetinei paskyrai.
Kita vertus, šios slaptažodžių tvarkyklės vis tiek nėra apsaugotos nuo pavojų ir išlieka patraukliu taikiniu programišiams, pavyzdžiui, rengiant atakas, kai bandoma pasinaudoti programinės įrangos pažeidžiamumu. Visgi tokie privalumai, kaip nutekintų slaptažodžių patikros ir integracija su dviejų veiksnių autentifikacija (2FA), nusveria galimą riziką.
Bet to, ar interneto platybėse nebuvo atskleisti asmeniniai duomenys, pavyzdžiui, el. p. adresas arba paskyrų slaptažodžiai, patys kibernetinio saugumo ekspertai nuolat pasitikrina patikimoje svetainėje Haveibeenpwned. Jei programa informuoja apie galimą pavojų, verta imtis ekspertų įvardytų veiksmų.
Kaip užkirsti kelią duomenų nutekėjimui?
Dviejų veiksnių autentifikacija padeda išvengti priklausomybės vien tik nuo slaptažodžio. Kaip pataria kibernetinio saugumo ekspertas R. Liubertas, veiksmingiausia naudoti specialų 2FA saugumo raktą arba autentifikavimo programėlę, pavyzdžiui, „Microsoft Authenticator“ arba „Google Authenticator“. Šios priemonės gerokai apsunkins programišiams galimybę neteisėtai prisijungti prie jūsų paskyrų, net jei jiems pasisektų sužinoti slaptažodį.
Žinoma, labai svarbu susikurti stiprų ir sunkiai atspėjamą slaptažodį. „Baltimax“ IT inžinierius ir "ESET" ekspertas Gediminas Mikelionis pateikia dvi pagrindines taisykles, kurių pats laikosi kuriant slaptažodžius.
„Kuriant slaptažodį ir siekiant jį įsiminti, paprastą žodį konvertuoju į simbolius ir skaičius. Pavyzdžiui, iš „slaptažodis123“ keičiu į „5l@pt@z0d1s123“. Išskirtiniais atvejais slaptažodžio išvis nežinau, nes įsimenu slaptažodžio kombinaciją klaviatūroje. Antra taisyklė – visada naudoju dviejų veiksnių autentifikaciją, jeigu sistema šią funkciją palaiko“, – akcentavo G. Mikelionis.
Kibernetinio saugumo ekspertai pataria vengti užsirašyti prisijungimų vardus ant popieriaus arba laikyti juos užrašų programėlėje, taip pat nereikėtų saugoti paskyros prisijungimo duomenų interneto naršyklėje – ten jie dažniausiai saugomi tik kaip paprasti tekstiniai failai, todėl yra nesunkiai pažeidžiami duomenis galinčių išvilioti kenkėjiškų programų.
Taip pat verta kiekvienai paskyrai susikurti skirtingus slaptažodžius, mat kai kurios atakos būna nukreiptos į žmonių polinkį pakartotinai naudoti tuos pačius prisijungimo duomenis skirtingose svetainėse.
Prevencinės priemonės įmonėje
Pasirūpinti saugumo priemonėmis būtina ir kiekvienai įmonei. Eksperto R. Liuberto teigimu, reikėtų investuoti į aptikimo ir atsako programinę įrangą, pastebėti programinės įrangos spragas bei jas taisyti, nes tai gali užkirsti kelią programišių atakoms.
Žmogiškasis faktorius taip pat gali sukelti pavojų, pavyzdžiui, kai darbuotojas atidaro nepatikimą el. laiško priedą arba paspaudžia nuorodą. Nuo tokių incidentų apsisaugoti padeda kibernetinio saugumo mokymai.
„Kiekviena įmonė, kuri rimtai rūpinasi duomenų saugumu, taip pat turėtų apsvarstyti duomenų praradimo prevencijos sprendimus ir įgyvendinti patikimą atsarginių kopijų darymo politiką. Be to, tvarkant didelius klientų ir darbuotojų duomenų kiekius, reikia taikyti griežtą šifravimo praktiką“, – apibendrino R. Liubertas.