Sugalvoti ilgus ir sudėtingus slaptažodžius, sunkiai perprantamus kibernetiniams nusikaltėliams, dešimtims skirtingų internetinių paskyrų – varginanti užduotis. Nuolat augant kibernetinių grėsmių pavojui, masiškai nutekant privačių asmenų duomenims, tai yra būtina. Tačiau netrukus save internetinėje erdvėje saugosime visai kitaip ir slaptažodžių nebenaudosime išvis.
Asociatyvi „Pixabay“ nuotr.
Technologijų milžinės jau siūlo sprendimus be slaptažodžių
Kai kurie didžiausi technologijų srities specialistai jau sako, kad svajonė apie internetą be slaptažodžių yra arti realybės. Tarp tų, kurie bando nutiesti naują kelią skaitmeninėje erdvėje, yra „Apple“, „Google“ ir „Microsoft“.
Pasaulinės telekomunikacijos bendrovės „Verizon“ teigimu, daugiau nei 80 proc. duomenų saugumo pažeidimų įvyksta dėl silpnų arba pažeistų slaptažodžių. O rugsėjį „Microsoft“ paskelbė, jog vartotojai gali naudotis „Windows“, „Xbox“ ir „Microsoft 365“ be slaptažodžių – naudotis tokiomis programėlėmis kaip „Windows Hello“ arba „Microsoft Authenticator“, kurios naudoja pirštų atspaudus arba veido atpažinimo priemones, kad padėtų saugiai prisijungti.
„Microsoft“ taip pat leidžia vartotojams prisijungti naudojant į telefoną ar el. paštą atsiųstą patvirtinimo kodą arba fizinį saugos raktą, panašų į USB atmintinę, kuris prijungiamas prie kompiuterio ir turi tik jums ir jūsų įrenginiui būdingą šifravimą.
„Google“ taip pat parduoda fizinius saugumo raktus, o programėlėje „Smart Lock“ bakstelėjus mygtuką savo įrenginyje, galima prisijungti prie „Google“ paskyros žiniatinklyje. Praėjusių metų gegužę bendrovė teigė, kad šios priemonės yra „Google“ darbo, kuriuo siekiama „sukurti ateitį, kurioje vieną dieną jums visai nereikės slaptažodžio“, dalis.
„Apple“ įrenginiuose jau kelerius metus naudojamos „Touch ID“ ir „Face ID“ funkcijos. Technologijų milžinė taip pat kuria funkciją „Passkeys“, leidžiančią naudoti tuos pačius pirštų atspaudus ar veido atpažinimo įrankius, kad būtų galima sukurti slaptažodžio nereikalaujančius prisijungimus prie programėlių ir paskyrų „iOS“ įrenginiuose.
Vis plačiau pradėtas naudoti dviejų veiksnių autentifikavimas pastaraisiais metais padėjo padidinti naudotojų paskyrų saugumą, tačiau kibernetiniai įsilaužėliai vis dar suranda būdų, kaip apeiti net ir šias priemones. Nemažai specialistų kaip problemą įvardija tai, kad vis dar naudojame slaptažodžius.
Daugiau nei 80 proc. slaptažodžių nulaužti galima per sekundę
Tomas Smalakys, įmonei „Nord Security“ priklausančios slaptažodžių tvarkyklės „NordPass“ technologijų vadovas, LRT.lt įvardijo, kad didžiausia slaptažodžių bėda – atsakomybė už juos patikėta mums patiems, o mes, žmonės, tikrai nevengiame daryti klaidų.
„NordPass“ kasmet atliekamas populiariausių pasaulyje slaptažodžių tyrimas atskleidžia, kad interneto vartotojai vis dar nesugeba tinkamai pasirūpinti savo slaptažodžiais. Iš 200 šių metų populiariausių slaptažodžių net 83 proc. gali būti „nulaužti“ greičiau nei per sekundę“, – pabrėžė jis.
Anot eksperto, populiariausias slaptažodis pasaulyje šiais metais „password“ (liet. slaptažodis), Lietuvoje – „123456“. Panašios skaičių, raidžių ir simbolių kombinacijos yra itin dažnai naudojamos apsaugoti turimas paskyras visose tirtose šalyse. Slaptažodžius kurti neretai naudojami ir vardai. Mūsų šalyje itin populiarūs Mantas, Karolina, Karolis, Justas. Neretai pasitaiko ir gyvūnų, įmonių pavadinimų, mažybinių meilių žodžių ir net keiksmažodžių. Panašios tendencijos matyti visur, todėl tokius slaptažodžius programišiams nesunku atspėti.
„Technologijų specialistai sutinka, kad slaptažodžiai yra paprasčiausiai nepatogus ir atgyvenęs būdas pasiekti savo turimas paskyras. Mūsų duomenimis, vienas asmuo vidutiniškai turi maždaug 80–100 slaptažodžių, todėl neretai naudoja tuos pačius slaptažodžius skirtingoms paskyroms ar renkasi lengviausias kombinacijas, kurias paprasta įsiminti. Pavyzdžiui, savo „Facebook“ paskyrai apsaugoti vartotojas pasirenka slaptažodį „facebook“. Ekspertų nuomone, bet koks slaptažodis, kurį paprasta įsiminti, yra silpnas slaptažodis“, – pabrėžė T. Smalakys.
Alternatyvos nėra be trūkumų
Pasak Vilnius Tech universiteto Infrastruktūros skyriaus vedėjo Justino Rastenio, slaptažodžių spraga yra tokia, kad juos ne tik reikia prisiminti, bet, kita vertus, didinant saugumą, jie turi būti vis sudėtingesni.
„Alternatyvas mes jau kurį laiką naudojame, bet kai kurios nėra taip stipriai išpopuliarėjusios. Manau, kad ateityje piršto atspaudo, akies rainelės, veido atpažinimo technologijos bus naudojamos ir plėtojamos“, – teigė ekspertas.
Vis dėlto, jis atkreipė dėmesį, kad ir šios technologijos nėra be trūkumų. Pavyzdžiui, prieš kamerą galima padėti nuotrauką ir ji greičiausiai atpažins veidą. Tačiau, laimė, šie aspektai žinomi ir inžinieriai su tuo dirba.
„Tos technologijos tobulėja. Jeigu kalbame apie veido atpažinimą, tai skaičiuojamas atstumas erdvėje – ties nosimi, skruostais, ausimis. Jeigu tai yra paprasta nuotrauka, tuomet atstumas bus vienodas ir veido atpažinimo technologija jo gali nepriimti. Tačiau jeigu ji bus ne tokia saugi, tuomet įmanoma apeiti.
Su balsu irgi – galime jį įrašyti, sekti žmogų pusę metų ir surinkti jo visas frazes, nes balso atpažinimui galbūt reikės kažkokią frazę pasakyti. Jos keičiasi, tai galima įrašyti ir sumodeliuoti.
Su piršto atspaudu yra panašiai, kaip daugelis turbūt matę „CSI“ seriale, blogiausiu atveju, aišku, su nukirstu pirštu atrakinama, bet to nebūtina, nes atspaudai lieka visur, ant puodelių paviršiaus ar dar kažkur, tai galima pasidaryti lipdukus su skeneriu nusiskenavus pirštą ir vėliau tai panaudoti. Būdų, kaip tai apeiti, daugiau atsiras tuomet, kai tos technologijos išpopuliarės“, – aiškino J. Rastenis.
Vytauto Didžiojo universiteto (VDU) Informatikos fakulteto dekanas prof. Tomas Krilavičius paantrino, jog net ir biometriniais duomenimis garantuotą apsaugą kibernetiniai nusikaltėliai sugeba nulaužti.
„Visos jos turi savų pliusų ir minusų, rastume pavyzdžių, kaip bandyta jas įveikti. Programišiai yra pademonstravę, kad gali sufalsifikuoti pirštų atspaudus, be kita ko, jų problema ta, kad juos galima pavogti, atspausdinti ir pan.
Egzistuoja atvejų, rodančių, jog galima suklastoti veidų nuotraukas. Na, įveikti apsaugas, kurioms naudojamos akių rainelės, turbūt sudėtingiausia, kita vertus, tokios technologijos yra gana brangios ir sudėtingos. Minėti mėginimų įveikti biometrinių priemonių apsaugą pavyzdžiai nereiškia, kad jas įveikti yra paprasta, tikrai nebūtų įmanoma nieko panašaus padaryti per keliolika minučių, bet svarbu suprasti, kad visos technologijos kelia ir tam tikrų saugumo, ir realizacijos klausimų“, – aiškino T. Krilavičius.
Bus naudojamos biometrinių duomenų kombinacijos
J. Rastenio nuomone, slaptažodžius pakeis ne viena ar kita technologija, o jų kombinacijos, nes viena pasikliauti yra pavojinga. Pavyzdžiui, žiemos metu dėl išsausėjusios rankų odos gali nesuveikti piršto atspaudas. Ir dabar naudojami biometrinių duomenų deriniai kartu su kodais ir slaptažodžiais, greičiausiai tai išliks ir ateityje.
„Galima naudoti piršto atspaudą ir balsą, veido atpažinimą ir pan. Manau, kad bus dubliuojamos technologijos, kad jeigu pavyksta kažkaip apgauti veido atpažinimo technologiją, svarbesnėse sistemose dar reikėtų balsu kažką pasakyti.
Su kai kuriomis dabartinėmis technologijomis yra problemų. Jei aš noriu pasižiūrėti telefone, kiek valandų, jis atsirakina, o aš nenoriu, kad taip būtų, piršto atspaudas šiuo atveju gal patogiau. Bet čia jau pačios technologijos naudojimo detalės“, – LRT.lt sakė J. Rastenis.
Besinaudojantiems išmaniaisiais biometrinių duomenų naudojimas vietoj slaptažodžių, kodų ir šablonų jau nebėra naujas. Tačiau kaip pasaulyje prie tokio žingsnio prisitaikys tie, kurie naujausių technologijų į savo gyvenimą įsileisti nenori ir puikiai išsiverčia su mygtukiniais telefonais? Arba vyresnio amžiaus žmonės, kuriems ir taip sudėtinga spėti skaitmenizacijos ritmu?
„Kalbant apie vyresnius žmones, minėtina kita problema – jie dažnai telefonų visai nerakina. Vis dėlto bent minimali apsauga – veido atpažinimas ar pirštų atspaudai – turėtų būti. Pavyzdžiui, tam, kad savo įrenginių apsaugai galėtume sėkmingai naudoti veido atpažinimą, nieko ypatingo nereikia (nors, be abejo, kyla tam tikrų keblumų, tarkime, jei veidas atpažinti bandomas nakties tamsoje, todėl šalia šio tipo apsaugos praverstų ir papildomos priemonės). Pirštų atspaudai, priklausomai nuo įrangos kokybės, taip pat gali veikia geriau arba blogiau, dėl to dažnai taikomi kombinuoti sprendimai“, – sakė profesorius.
T. Smalakys atkreipė dėmesį, kad technologijų įmonės slaptažodžių nori kuo greičiau atsisakyti ne tik dėl saugumo, bet ir dėl to, kad ši seniai gyvuojanti technologija itin nepatogi šiuolaikiniams vartotojams.
„Turime patys kurti stiprius slaptažodžius, juos kažkur saugoti ar įsiminti, reguliariai keisti. Atkurti pamirštus slaptažodžius kartais užtrunka tikrai per ilgai – tai opi problema įmonėms, norinčioms dirbti efektyviau ir produktyviau.
Technologijos, pakeisiančios slaptažodžius, be abejo bus kur kas patogesnės vartotojui. Tai vienas pagrindinių visų ateitį be slaptažodžių kuriančių įmonių tikslas. Daugiau bus patikima kompiuterio mokymuisi (angl. machine learning) ir mažiau atsakomybės užkraunama interneto vartotojui“, – pabrėžė ekspertas.
Sugalvojo apsaugą, kuri sukčiams nepatiks
„NordPass“ atstovo T. Smalakio teigimu, nors ateities be slaptažodžių technologijoms dažnai priskiriama ir biometrinė autentifikacija, ir patvirtinimai el. paštu ar SMS žinute, dar vis ieškoma vieno universalaus prisijungimo prie paskyrų būdo, kuris būtų toks patogus, kad taptų naujuoju asmens autentifikacijos internete standartu.
Jis įvardijo, kad šiuo metu neabejotinai reikšmingiausias ir daugiausiai žadantis šios srities laimėjimas, tapęs kone sinonimu ateities be slaptažodžių idėjai, yra slaptarakčiai, dar kitaip – prieigos raktai (angl. passkeys).
„Slaptarakčiai yra technologija, kuri remiasi viešojo rakto kriptografija ir bus naudojama kartu su biometriniu asmens autentifikavimu. Kad būtų aiškiau, kaip tai veikia, pateikiame pavyzdį: vartotojui registruojantis prie paskyros, nuskaičius veidą ar piršto antspaudą, sugeneruojami du raktai. Privatusis saugomas naudojamame įrenginyje (pvz., išmaniajame telefone ar kompiuteryje), o viešasis serveryje. Vienas be kito šie raktai neveiks. Raktais šiuo atveju vadiname itin ilgas skaičių, raidžių ir simbolių atsitiktines kombinacijas, kurios bus sugeneruojamos automatiškai ir jų vartotojui nereikės nei kurti, nei atsiminti“, – dėstė T. Smalakys.
Pasak pašnekovo, slaptarakčiai šiuo metu laikomi pagrindine alternatyva slaptažodžiams būtent dėl savo technologijos saugumo. Programišiui įsilaužus į serverį ir pavogus vartotojo viešąjį raktą, jis dar negalėtų pasiekti jokios paskyros. Papildomai jam reikėtų įsibrauti ir į vartotojo įrenginį, kur laikomas privatusis raktas. Veikiausiai tai būtų pernelyg didelis sutapimas, jei ir serverio užpuolimas, ir asmens įrenginio vagystė įvyktų tuo pat metu. Žinoma, menka teorinė galimybė vis tiek išlieka – technologijų srityje, kurioje tobulėja ir apsaugos mechanizmai, ir programišių metodai, kitaip ir negali būti.
„Kadangi viešasis ir privatusis raktai sugeneruojami registruojantis svetainėje, vienas be kito neturi jokios vertės, slaptarakčių technologija apsaugo tiek verslus, tiek individualius vartotojus nuo įvairaus pobūdžio atakų. Ypač tų, kurios plačiai naudotos neteisėtai išgauti slaptažodžius.
Vienas pavyzdžių galėtų būti brutalios jėgos (angl. brute force) ataka, kurios metu „bandymų ir klaidų“ metodu išbandomos visos įmanomos skaičių, raidžių, simbolių kombinacijos, kol atspėjamas slaptažodis. Sukčiavimo (angl. phishing) atakas rengiantiems programišiams ši technologija taip pat nepatiks – nors interneto vartotojas galimai ir atiduos privatųjį raktą programišiui, paspaudęs ant kenkėjiškos nuorodos, tačiau neturėdamas viešojo rakto šis nieko negalės nuveikti.
Be to, kiekvienai skirtingai paskyrai apsaugoti tikrai sugeneruojami skirtingi slaptarakčiai. Vadinasi, net jei kokiu nors būdu ir būtų nulaužiami abu raktai (viešasis ir privatusis), programišius vis tiek negalėtų pasiekti jokios kitos paskyros. Naudojantis slaptažodžiais itin daug kibernetinio saugumo pažeidimų kyla būtent todėl, kad žmonės naudoja tuos pačius slaptažodžius skirtingoms paskyroms apsaugoti“, – LRT.lt kalbėjo T. Smalakys.
Slaptažodžių gali nelikti jau per dešimtmetį
J. Rastenio teigimu, slaptažodžių nebeliks jau gana greitai – jo prognozė būtų 5–10 metų. O pirmieji žmonės slaptažodžių visiškai atsisakys jau po poros metų.
„Plačioji visuomenės dalis, manau, slaptažodžių atsisakyti turėtų 5–8 metų laikotarpiu. Nors ši mano prognozė gana optimistinė, gali užtrukti ir ilgiau, 10–15 metų“, – svarstė pašnekovas.
T. Krilavičiaus nuomone, nereikia tikėtis, kad viskas keisis greitai ir slaptažodžių atsisakysime per vieną naktį – prie naujovių priprasime palaipsniui.
„Šiuo metu turime dviejų faktorių autentifikaciją, kai neužtenka jungtis per kompiuterį, reikia prisijungimą patvirtinti telefonu. Iš pradžių buvusi kaip rekomendacija, dabar tokia priemonė jau tampa prievole. Tai irgi yra problema tiems, kurie nenori naudoti išmaniųjų telefonų ar vis dar nėra senųjų pakeitę naujais. Taigi nepaneigsime, kad dalis technologijų įgalina žmones ką nors daryti, o kai kurių galimybes apriboja. Tiems, kurie technologijas priima sunkiau ir neturi tikslo išmokti jomis naudotis, gyvenimo jos nepalengvins“, – svarstė T. Krilavičius.
Vis dėlto, 5-erių metų perspektyva nėra tokia tolima, o ir mažokai belikę žmonių, kurie naudojasi senesniu nei 5-erių metų telefonu, dažniausiai savo įrenginius keičiame kas 2–3 metus. Su biometrinių duomenų naudojimo technologijomis susipažinome jau seniai, dabar jos turi tik toliau tobulėti atsižvelgiant į vis didėjantį programišių gudrumą ir išradingumą.
T. Smalakys atkreipė dėmesį, jog „Apple“, „Google“ ir „Microsoft“ jau šių metų gegužės mėnesį viešai pareiškė, kad palaiko ateities be slaptažodžių idėją ir savo vartotojams kuria naujus autentifikacijos sprendimus, paremtus slaptarakčių technologija. Pavyzdžiui, „Apple“ jau sudarė sąlygas vartotojams prisijungti prie paskyrų su slaptarakčiais, įmonė apie tai pranešė rugsėjį, pristatydama „iOS 16“. Be to, prisijungti prie „Paypal“, „Kayak“, „ebay“ įmonių tinklalapių ir mobiliųjų programėlių jau taip pat galima naudojantis slaptarakčiais.
„Kaip greitai pereisime nuo slaptažodžių prie modernesnių asmens autentifikacijos internete būdų, priklauso nuo to, kaip seksis šias naujas technologijas (pvz., slaptarakčius) pritaikyti smulkioms ir vidutinėms įmonėms. Didelės įmonės prie šio pokyčio prisitaikys greičiau ir lengviau, nes jos turi daugiau žmogiškųjų ir finansinių resursų keisti savo svetaines ir diegti naujus sprendimus.
Vis dėlto panašu, kad kurį laiką gyvensime naudodamiesi tiek slaptažodžiais, tiek slaptarakčiais ar kitu moderniu asmens atpažinimo internete būdu. Todėl svarbu neužmiršti rūpintis savo paskyromis: reguliariai keisti slaptažodžius, kurti sudėtingus, kuriuos sudarytų apie 20 simbolių – tarp jų ir didžiosios, mažosios raidės, skaičiai, specialūs ženklai. Taip pat rekomenduojama naudotis slaptažodžių tvarkyklėmis. Tai šifruota virtuali aplinka, kurioje galima saugoti turimus slaptažodžius, automatiškai susigeneruoti naujus stiprius slaptažodžius ir jais saugiai dalintis su kolegomis ar šeimos nariais“, – patarė ekspertas.