MajaPrejšnji teden sem v prispevku o zaščiti zasebnosti in denarnic med drugim omenila dobra gesla, ki so ena od pomembnih oblik preventive pred vdori, a na to pogosto radi pozabimo.
Gesla morajo biti dovolj močna, med seboj različna in občasno jih moramo zamenjati.
A kaj je močno geslo?
Geslo ne sme vsebovati naših osebnih podatkov, pa naj gre za naše ime, rojstni datum našega otroka, ime našega psa ali kaj drugega, kar je lahko na primer razvidno iz naših objav ali znano ljudem okoli nas.
Zelo slaba so enostavna gesla, kot so na primer pogosto uporabljana in zaradi tega tudi pogosto zlorabljena gesla, ki uporabljajo enostavna zaporedja, npr. številk (12345678) ali tipk na tipkovnici (qwertzu ali fghjklčć).
Geslo naj ne bo kar enostavno slovarska beseda, tudi če je mogoče še malo olepšana. Če bi tako na primer za geslo uporabili kar besedo »olepšana« in jo zapisali z ničlo namesto črke »o«, to nikakor ni dovolj, saj gre za trik, ki ga nepridipravi zelo dobro poznajo.
Geslo naj vsebuje različne tipe znakov, vsaj male in velike črke in številke, lahko pa tudi posebne znake, a pri tem se moramo zavedati, da so lahko posebni znaki drugje, kadar geslo vpisujemo na drugi napravi.
Geslo mora biti dovolj dolgo. A kaj je dovolj?
Priporočila glede zadostne dolžine se med seboj razlikujejo in žal tudi vedno bolj »podaljšujejo«. Kot minimalna zahteva se pogosto navaja dolžina osmih znakov, a menim, da je ta dolžina dovolj le pri prijavah v storitve ali spletna mesta, ki nam niso kaj prida pomembna in kjer ne bo hujše škode v primeru vdora. Priporočljivo je uporabljati gesla, ki imajo vsaj 12 znakov, še bolje pa je, da jih je več.
Pri vsem tem morajo biti naša gesla različna. Za vsako storitev potrebujemo drugo geslo in še enostavno mora biti za pomnjenje.
Vse to se verjetno sliši kot skorajda neizvedljiva naloga, a pravzaprav ni tako.
Obstaja mnogo načinov za tvorjenje dobrih gesel, tu bom predstavila dva.
Lahko uporabimo tako imenovane »mnemonike«, na primer prve črke besed v stavku ali kaj podobnega. Geslo »Msvdo18-tiuonsnR«, ki se na prvi pogled zdi povsem nemogoče za pomnjenje, smo dobili na osnovi preprostega stavka, ki si ga res ni težko zapomniti. – »Maja se vsak dan ob 18-ti uri odpravi na sprehod na Rožnik.«
Geslo, ki ga dobimo na osnovi enega stavka, lahko uporabimo tudi kot osnovo za dva ali tri dobra gesla. Enemu geslu dodamo na začetek še na primer »Moj« za dostop do svojega osebnega računalnika, in drugemu na konec »Delo« za dostop do službenega računalnika. Če isto osnovo uporabite še za tretji računalnik, pa zanj uporabite vrivek v sredini gesla.
Dobro geslo lahko dobite tudi tako, da v celoti vpišete nek stavek, kot je na primer ta: »Zelosiželimdabisireszapomniltoledolgogeslo«. (Žal pa tak način tvorjenja gesel ni ravno najboljša rešitev za dislektike.)
Gesla je potrebno občasno menjati, pogosto uporabljana gesla in taka, ki so bila lahko bolj izpostavljena, menjamo pogosteje, redko uporabljena pa le občasno.
Pri vprašanju, kako pogosto naj bi to bilo, se spet krešejo mnenja. Prepogosta menjava se mi ne zdi smiselna, saj s tem povečamo možnost, da geslo pozabimo, ali pa se na primer spozabimo in ga zapišemo na listek, ki ostane pod tipkovnico …
Menjavo pomembnih gesel bi priporočila največ dva- do štirikrat letno. Ključno pa je, da geslo zamenjamo vsakič, ko obstaja možnost, da je prišlo do prestrezanja.
Kjer je to možno, je priporočljivo uporabljati tudi dvo-faktorsko avtentikacijo. To je najpogosteje izvedeno tako, da nam storitev ob vpisu na telefon pošlje še dodatno enkratno kodo za vpis.
Potem so tu seveda tudi različne tehnične rešitve, ki pa potrebujejo temeljit premislek, preden jih uporabimo, saj je to lahko še veliko bolj problematično, če pride do prestrezanja.
Obstajajo na primer sistemi za hranjenje gesel, ki so seveda zelo praktični. Če pa se vam pripeti, da vam nekdo zaradi vaše neprevidnosti vdre v vašo »denarnico gesel«, je škoda še veliko hujša, kot bi bila ob posamičnem prestreženem geslu.
Posebna previdnost je potrebna zlasti pri uporabi biometričnih rešitev, kot so na primer prepoznava prstnega odtisa, glasu ali vzorca naše šarenice.
Če vam ukradejo geslo, ga zamenjate. Kaj pa boste naredili, če vam ukradejo prstni odtis ali ključ za prepoznavo vašega glasu?
Možnost take kraje ali prestrezanja žal ni tako fiktivna, kot se nam morda zdi.
Jaz na primer vem za osebo (v Sloveniji, ne nekje daleč stran), ki je, bolj za šalo kot zares, naredila domači eksperiment, pri katerem je uspela s kozarca prenesti svoj prstni odtis in narediti »ponaredek«, ki ga je zatem tudi uspešno uporabila za odklepanje svojega telefona.
Za konec bi omenila še eno podporo našemu udobju ali lenobi, kakorkoli pač že temu rečemo. V mislih imam shranjevanje gesel v brskalniku. Če to funkcionalnost uporabljamo na svojem računalniku, ki ga uporabljamo le mi in je zaklenjen z močnim geslom ter tudi sicer dobro varovan (vključno s tem, da ne nasedamo na razne prevare in ne odpiramo sumljivih priponk), je to majhna varnostna luknja.
Če pa pomnjenje gesel uporabljamo na računalniku, ki ni zaščiten, bi bilo modro, da za zaščito pravočasno poskrbimo.
Tereza
MVI
