Didžiausių pasaulyje įmonių darbuotojai naudoja itin silpnus slaptažodžius, atskleidžia naujausias „NordPass“ tyrimas. Tarp populiariausių – ne tik interneto naudotojų pamėgti „123456“ ir „password“ (liet. slaptažodis), bet net ir įmonių pavadinimai, jų santrumpos ar el. pašto domenai. Kibernetinio saugumo ekspertų tikinimu, tai dar kartą įrodo, kad verslams sunku tinkamai pasirūpinti turimų paskyrų saugumu.

Dirbdami kartu su nepriklausomais kibernetinio saugumo incidentų tyrėjais, „NordPass“ pristatė populiariausius didžiausių įmonių slaptažodžius ir suskirstė juos pagal industrijas. Visuose 20-imt analizuotų sektorių į populiariausiųjų sąrašus pateko „prastų slaptažodžių“ sinonimais ilgainiui tapę „password“ ir „123456“. Verslo paskyroms apsaugoti taip pat plačiai naudojami žodyne randami žodžiai, vardai, nešvankūs terminai, itin paprastos raidžių, skaičių ir simbolių kombinacijos.

Tiesa, vienos industrijos yra išradingesnės už kitas. Slaptažodis „dummies“ yra itin pamėgtas vartojimo prekių sektoriaus darbuotojų – sąraše rikiuojasi 6-as. Nekilnojamojo turto industrijos 16-as populiariausias slaptažodis yra „sexy4sho“, o energetikos industrijos atstovai prijaučia žodžiui „snowman“, kuris atsidūrė 11-oje šio sektoriaus sąrašo vietoje. Finansų srities darbuotojams, panašu, labiau nei kitiems norisi atostogų: „ready2go“, „vacation“ ir „summer“ yra vieni populiariausių šios industrijos slaptažodžių.

Turtingiausių pasaulyje įmonių darbuotojai dažnai renkasi ir su įmone susijusius slaptažodžius. Net 32 proc. slaptažodžių sudaro tokie, kuriuose minimas konkretus įmonės pavadinimas, jo dalis ar santrumpa, el. pašto domenas, įmonės kuriamo produkto ar dukterinės įmonės pavadinimas.

Visą tyrimą rasite čia.

„Viena vertus, paradoksalu, kad didžiausios pasaulyje įmonės, turinčios finansinių resursų investuoti į kibernetinį saugumą, ne visada naudoja stiprius slaptažodžius. Kita vertus, interneto vartotojų slaptažodžių kūrimo įpročiai yra pernelyg įsisenėję ir, deja, ne taip lengva juos pakeisti. Naujausias mūsų tyrimas tik dar kartą parodo, kodėl palaipsniui slaptažodžių reikės vis mažiau ir pereisime prie naujų asmens autentifikacijos internete būdų“, – sako „NordPass” vadovas Jonas Karklys.

Progresyvios bendrovės, tokios kaip „Google“, „Microsoft“, „Apple“, „PayPal“, „KAYAK“ ar „eBay“, savo vartotojams jau leidžia prisijungti prie paskyrų, naudojantis ne slaptažodžiais, o slaptarakčiais (angl. passkeys). Manoma, kad kitos įmonės taip pat netrukus pereis prie šios technologijos. „NordPass“ taip pat prieš kelias savaites savo klientams pristatė galimybę programėlėje saugoti slaptarakčius ir jais dalintis. Tai pirmoji lietuvių įmonė, pritaikiusi šią technologiją.

Turtingiausių pasaulyje įmonių tyrimas atliktas, „NordPass“ bendradarbiaujant su nepriklausomais kibernetinio saugumo incidentų tyrėjais. ​​Tyrėjai analizavo duomenis, susijusius su 500 didžiausių įmonių pasaulyje pagal rinkos kapitalizaciją. Šie duomenys buvo suskirstyti į 20 skirtingų industrijų, kiekvienai jų tyrėjai išskyrė po 20 populiariausių slaptažodžių. Daugiausia analizuotų įmonių yra iš JAV (46,2 proc.), Kinijos (9,6 proc.), Japonijos (5,8 proc.), Indijos (4,2 proc.) Jungtinės Karalystės (4 proc.) ir Kanados (3,6 proc.).

Technologijų ir konsultacijų įmonės „Gartner“ duomenimis, debesijos paslaugomis kiekvienais metais naudojasi apie 94 proc. technologijų naudotojų ir šis skaičius toliau auga. Nors ši technologinė galimybė mums yra tapusi neatsiejama kasdienybės dalimi, Mantas Užupis, „Tele2“ IT saugumo ekspertas, primena dažniausiai pasitaikančias vartotojų klaidas, kurias padarius duomenų saugumui iškyla grėsmė.

„Žmonėms perkeliant vis daugiau svarbios ir jautrios informacijos į debesijos saugyklas, didėja duomenų pažeidimų ir jų nutekėjimo rizika. Skaičiuojama, kad net 99 proc. debesijos saugumo nesėkmių ištinka dėl to, kad naudotojai nemoka tinkamai apsaugoti šios platformos“, – sako M. Užupis. 

Debesijas patogu naudoti

Terminas „debesija“ technologijų sektoriuje nėra naujas. Paprastai tariant, „debesija“ yra interneto serveris, kuriame galima saugoti įvairius asmeninius duomenis. Jei internetą įsivaizduotumėte kaip virtualią erdvę, kuri jungia naudotojus iš viso pasaulio, ši erdvė būtų panaši į virtualų debesį, kuriame vartotojai kasdien dalijasi įvairia informacija. 

Konfidencialius ar jautrius duomenis debesijoje saugoti patogu dėl to, kad visi duomenys kaupiami vienoje vietoje, jie automatiškai išsaugomi ir lengvai pasiekiami. Priklausomai nuo to, ar saugote asmeninius failus, ar debesija naudojatės darbo reikalais, ten saugomus duomenis galite pasiekti iš bet kurio savo įrenginio, pavyzdžiui, kompiuterio arba telefono.

Debesijos serverius prižiūri įvairios kompiuterines paslaugas teikiančios įmonės. Populiariausi debesijos saugyklų tiekėjai yra didieji technologijų rinkos žaidėjai „Amazon“, „Apple“, „Google“ bei „Microsoft“, kurie siūlo išbandyti jų sukurtas debesijos platformas. Populiariausios iš jų yra „Amazon Drive“, „Apple iCloud“, „Google Drive“ bei „Microsoft OneDrive“.

Atsiranda naujos saugumo spragos

Kaip teigia M. Užupis, viskas, kas tampa populiaru skaitmeniniame pasaulyje, neišvengiamai tampa kibernetinių įsilaužėlių taikiniu. Taip yra ir su debesijos platformomis. Bandydami pasiekti debesijos duomenis, kibernetiniai įsilaužėliai suplanuoja įsilaužimus. Tai reiškia, kad kibernetiniai įsilaužėliai bando pasiekti duomenis naudodami kenkėjiškas programas. Taip pat jie leidžia apgaulingus elektroninius laiškus su kenkėjiškomis nuorodomis, kurias paspaudus vėliau nesunkiai nutekinami visi jūsų duomenys. 

Dažnai kibernetiniai nusikaltėliai pasitelkia DDoS debesijos duomenų nutekinimo būdą. Ši kenkėjiška sistema užtvindo jūsų kompiuterį dideliu duomenų kiekiu, tuomet sulėtina kompiuterio darbą ir pažeidžia debesijos saugumą.

Dažnai kibernetiniai nusikaltėliai kėsinasi ir į įmonėse saugomus konfidencialius duomenis. Vadinasi, bando pasiekti klientų pokalbius, darbo sutartis, išrašytas sąskaitas, darbuotojų asmeninius duomenis. Jeigu šiuos duomenis pasiekti pavyksta, jie nukeliauja į tamsųjį žiniatinklį, kuriame yra parduodami. 

Tinkama apsauga padės išvengti duomenų nutekinimo

Pirmiausia, užtikrinkite, kad debesijos duomenys būtų kopijuojami. Tokiu būdu veikia duomenų  šifravimas. Tai reiškia, kad turėtumėte pasirinkti tokią debesiją, kuri šifruoja duomenis, kitaip tariant, prireikus juos paslepia. Dažniausiai tai vyksta automatiškai. Žinoma, debesijos serverį pravartu apsaugoti stipriu, ilgu slaptažodžiu, o jei yra galimybė – ir dviguba atpažinimo konfigūracija. 

Be to, M. Užupis rekomenduoja išbandyti programas, apsaugančias debesijos duomenis. Tam egzistuoja netgi specialios antivirusinės programos būtent debesijoje saugomiems duomenims. Naujausios iš jų yra „Kaspersky Endpoint Security Cloud 4.0“, „Avira Antivirus for Endpoint“ arba „SecureAPlus“.

Kibernetinio saugumo ir skaitmeninės rizikos apsaugos sprendimų įmonės „ID Agent“ atliktas tyrimas rodo, kad daugiau nei 80 proc. kibernetinių įsilaužimų įvyksta dėl to, kad programišiai lengvai atspėja slaptažodžius. Mantas Užupis, „Tele2“ IT saugumo ekspertas, dalijasi, ką reikėtų daryti, jeigu jūsų slaptažodis nutekinamas kibernetinio įsilaužimo metu. 

„Įsilaužėliai pirmiausia visuomet bandys atspėti slaptažodį pagal bet kokią jūsų asmeninę informaciją – jūsų vardą, pavardę, gimimo metus. Taip pat vertėtų kiekvienai paskyrai naudoti skirtingus slaptažodžius. Jeigu jie pasikartoja, tai labai palengvina programišių darbą, o jūs galite netekti duomenų, saugomų net keliose aplikacijose“, – sako M. Užupis.

Kas nutinka, kai jūsų slaptažodį atspėja? 

Kai jūsų išmaniojo ar kompiuterio asmeninius duomenis pasiekia įsilaužėlis, jis gali matyti jūsų susirašinėjimų istoriją, nuotraukas, darbo failus ar netgi gauti prieigą prie banko sąskaitos. Jeigu šie duomenys bei slaptažodis nutekinami, dažniausiai apie tai informuoja įmonė, kurios sukurtoje aplikacijoje registravotės ir kuri tvarko jūsų asmeninius duomenis. Pavyzdžiui, „Facebook“ apie tai informuoja elektroniniu laišku.  

Profesionalūs kibernetiniai nusikaltėliai jūsų asmeninius duomenis bei slaptažodžius neretai nutekina į tamsųjį žiniatinklį. Tamsusis žiniatinklis yra interneto vieta, kurios neįmanoma identifikuoti ar pasiekti tradicinėmis paieškos sistemomis. 

Ten duomenys parduodami kitiems kibernetiniams nusikaltėliams. Kibernetiniai įsilaužėliai tamsiajame žiniatinklyje ne tik parduoda jūsų asmeninius duomenis, bet panaudoja juos kitoms savo atakoms, pavyzdžiui, banko sąskaitos duomenų nutekinimui, klastotėms, išpirkoms.

Jeigu sužinojote, kad jūsų duomenys pakliuvo kibernetiniams vagišiams į rankas, turėtumėte nedelsiant pasikeisti visus savo slaptažodžius naujais. Taip pat galite įsijungti dvigubą apsaugą savo paskyroms – dviejų veiksnių autentifikaciją. Su ja jūsų slaptažodžiai apsaugomi papildomai.

Kaip sukurti stiprų slaptažodį?

Pirmiausia, geras slaptažodis turėtų būti pakankamai ilgas – tokiu būdu mažesnė tikimybė, kad jį atspės įsilaužėlis. Vadinasi, slaptažodyje naudokite ne tik raides, bet ir įvairius simbolius. Stiprus slaptažodis iš viso turėtų būti sudarytas iš bent 12 simbolių. Venkite trumpesnių slaptažodžių, pavyzdžiui, sudarytų tik iš kelių skaitmenų arba akivaizdžiai susijusių su jūsų asmenine informacija. 

Vien ilgesnio slaptažodžio jūsų anketos saugumui užtikrinti nepakanka. Slaptažodis saugesni tada, kai jame nėra bendrinių žodžių – tokiu būdu jį sunku intuityviai atspėti. Todėl jūsų slaptažodyje turėtų būti mažųjų raidžių, didžiųjų raidžių, skaičių ir atsitiktinių simbolių (pavyzdžiui, tinka tokie simboliai kaip klaustukas arba grotelės).

Slaptažodžio nebūtina kurti patiems

Kiekvienai savo paskyrai naudokite skirtingą slaptažodį. M. Užupio teigimu, nors ilgas ir iš atsitiktinų simbolių sukurtas slaptažodis yra stiprus, tačiau jeigu kibernetiniam įsilaužėliui pavyks jį atspėti, jis šiuo slaptažodžiu bandys atrakinti visas jūsų paskyras. Reikėtų ir reguliariai keisti slaptažodį – tai labai svarbu norint apsaugoti bankininkystės prisijungimo duomenis, elektroninio pašto paskyrą ir kitą svarbią informaciją.

Specialisto teigimu, dabar nebūtina ilgo slaptažodžio galvoti patiems, nes galite pasinaudoti automatinėmis slaptažodžių kūrimo programomis. Viena iš tokių programų, kuri internete pasiekiama visiems, yra „1Password“. Ši programėlė gali sugeneruoti tokius stiprius slaptažodžius, kuriuos naudoja tik bankai ar valstybinės institucijos. Kita slaptažodžių tvarkyklė, kurią, M. Užupio teigimu, verta išbandyti yra „Dashlane“. Šioje aplikacijoje slaptažodžiai generuojami ir saugomi specialioje saugykloje. Jei į saugyklą bando patekti įsilaužėlis, jis turi pereiti net 3 saugos autentifikacijas.

Lietuvos vienaragiui „Nord Security“ priklausančios slaptažodžių tvarkyklės „NordPass“ verslo ir individualūs klientai savo programėlėse jau gali laikyti slaptarakčius (angl. passkeys) bei dalintis jais su kitais. Tai pirmoji lietuvių įmonė, savo produktui pritaikiusi slaptarakčių technologiją, kuri, ekspertų nuomone, palaipsniui visai pakeis slaptažodžius.

Technologijų gigantės „Microsoft“, „Google“, „Apple“ ir kelios dešimtys kitų progresyvių įmonių pasaulyje (pavyzdžiui, „PayPal“, „KAYAK“, „eBay“) savo vartotojams jau pristatė galimybę paskyras internete pasiekti ne su slaptažodžiais, o slaptarakčiais. Tai nauja ir lig šiol pažangiausia sukurta asmens autentifikacijos internete technologija. Galimybė saugoti turimus skirtingų svetainių sugeneruotus slaptarakčius „NordPass“ virtualioje saugykloje padės naudotojams lengviau ir saugiau rūpintis turimomis paskyromis.

„Jei vos tik atsiradus slaptažodžiams žmonės būtų turėję technologinių įrankių patogiai jais rūpintis, galbūt ir nebūtume įsigudrinę naudoti silpnų slaptažodžių, dėl kurių įvyksta per daug kibernetinio saugumo incidentų. Asmens autentifikacija internete pereina į visai kitą, kur kas brandesnį, etapą ir mes džiaugiamės, galėdami iš anksto pasiūlyti pažangių įrankių rūpintis slaptarakčiais”, – sako Tomas Smalakys, „NordPass“ technologijų vadovas.

Pasak jo, vartotojui jungiantis prie slaptarakčių technologiją naudojančios interneto svetainės, jo įrenginys sugeneruoja du prieigos raktus – viešąjį ir privatųjį. Privatusis saugomas pačiame vartotojo įrenginyje, viešasis – interneto svetainės serveryje. Vienas be kito jie neveikia, todėl atskirai yra kur kas mažiau vertingi programišiams.

„NordPass“ sukurtas sprendimas leis privačiuosius raktus saugoti naudotojo saugykloje, todėl interneto vartotojai galės pasiekti visus savo slaptarakčius skirtinguose įrenginiuose ir nepriklausomai nuo operacinės sistemos. Taip pat, jais bus galima saugiai dalintis su kitais naudotojais.

Dar šiais metais „NordPass“ ketina pristatyti ir daugiau naujienų. Viena jų – produkto naudotojai galės prie „NordPass“ prisijungti be slaptažodžių. Verslams