Dolga, zapletena, a moramo si jih zapomniti. Kako?

4. maja obeležujemo svetovni dan gesel. Kot pravi statistika, jih ima povprečni spletni uporabnik med 70 in 80, so ob tem spomnili na spletni strani Varni na internetu, ki jo urejajo na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. "Če vzamemo v obzir, da je močno geslo dolgo (vsaj) 12 znakov, kompleksno in seveda unikatno, si je izjemno težko zapomniti vsa. Zato ubiramo bližnjice – uporabljamo kratka, enostavna gesla ali uporabljamo eno geslo za množico storitev. Kar je recept za katastrofo! Ali pa dobra novica za napadalce, ki hitro uganejo enostavna gesla (z metodo lomljenja gesel, napadi s slovarjem in drugimi postopki) ali pa z enim ukradenim geslom dobijo dostop do preostalih računov," so ob tem povzeli še kako poznane težave številnih uporabnikov. 

Na srečo pa tudi za to obstaja rešitev, imenuje se upravljanje gesel in, kot pravijo na SI-CERT, nam drugega niti ne preostane, saj zgolj gesla varujejo našo identiteto, bančne račune, podatke, skratka celotno digitalno življenje. "Posledica šibkih in ponavljajočih gesel so številni vdori v uporabniške račune, ki lahko povzročijo veliko škodo in odprejo vrata nizu drugih zlorab," so opozorili. 

Kot trenutno najboljši ukrep za povprečnega uporabnika so izpostavili dvofaktorsko preverjanje, torej preverjanje v dveh korakih, kjerkoli je to možno. Z njim rešimo dve najpogostejši težavi, pravijo strokovnjaki na SI-CERT: "Kratka, šibka in ponavljajoča gesla niso več tako zelo problematična, saj je za dostop do storitve potrebna  še dodatna unikatna koda, ki jo dobimo preko telefona. Na drugi strani pa smo tudi bolje zaščiteni pred phishing napadom, kjer nas goljufi prepričajo, da na ponarejeni spletni strani sami vnesemo geslo za dostop."

Učinkovito obvladovanje in varno hrambo gesel nudijo tudi t. i. password managerji oz. upravljalniki gesel, nadaljujejo. In pojasnijo: "To so posebni programi, ki hranijo naša gesla v šifrirani obliki, zato se več ne obremenjujemo, kako si bomo vsa dolga in kompleksna gesla zapomnili." Upravljalniki so hkrati naša spletna "slaba vest". Opozorijo nas, če uporabljamo šibko geslo, in nam pomagajo ustvariti močna, kompleksna, prav tako jim ne uide, če isto geslo uporabljamo za več različnih dostopov in tudi, če se je katero znašlo v javno objavljeni bazi zlorabljenih računov. Zapomniti si moramo le eno, glavno geslo (master password), ki naj bo zelo močno. 

Tretji, sicer prav tako zelo dober pristop, za katerega pa na SI-CERT priznavajo, da je v praksi težje izvedljiv, je, "da za vse storitve uporabljamo vsaj 12 znakov dolga gesla, ki so kompleksna in unikatna, težko uganljiva za napadalce, ne vključujejo nobenega od naših osebnih podatkov, letnic, hkrati pa si vsa zapomnimo". 

To zadnje je pri dolgih kombinacijah naključnih znakov zelo težko, a si zadevo lahko olajšamo z uporabo fraze (passphrase). "To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena, npr. FotosintezaSrečaSonce. Še bolj varno pa je, če povezanim besedam dodamo posebne znake (+,*,-, # ...) in številke, npr. F0tosinteza-Sreča+S0nce. Temu lahko dodamo še nam poznan unikaten algoritem, da gesla prilagajamo različnim storitvam, pri čemer pa moramo paziti, da iz enega gesla ni moč uganiti tudi drugih gesel (npr. F0tosintezaf-Sr3ča+S0nceb za Facebook)," svetujejo strokovnjaki. 

Zgoraj so naštete dobre prakse. Nadaljujemo z manj dobrimi. Med njimi je shranjevanje gesel v brskalniku, ki ga večina strokovnjakov za informacijsko varnost ne priporoča. "Razlog je predvsem hitro širjenje trojanskih konjev, ki so specializirani za krajo uporabniških podatkov (t. i. information stealer virusi). V tem primeru nič ne pomaga, če imamo dolga in unikatna gesla, saj jih virus enostavno skopira in pošlje napadalcem," opozarjajo strokovnjaki na SI-CERT. A hkrati dodajajo, da je rešitev enostavna, priročna in deluje na vseh napravah. "Ob previdnem odpiranju priponk in klikanju na linke ter posodabljanju programske opreme je to še vedno boljša med slabimi rešitvami."

Kot dodajo, bi v sivo področje, torej ne med najboljše in tudi ne najslabše prakse, lahko uvrstili tudi zapisovanje gesel v zvezek ali na papir, ki ga varno shranimo oz. skrijemo pred drugimi (npr. v zaklenjen predal), to je še vedno boljše kot uporabljati eno enostavno geslo za vse storitve.

Kaj pa slabe rešitve? "Najslabši možni scenarij je, da imate geslo, npr. geslo123 za čisto vse možne storitve. To je grozljivka v enem stavku," žugajo na SI-CERT. Slabe so tudi čisto vse različice že neštetokrat recikliranih in znanih gesel, ki pa se še vedno pojavljajo v bazah zlorabljenih podatkov. 

Velika težava je recikliranje gesel. "Tudi če imate močno in dolgo geslo, je vseeno nevarno, če ga uporabljate za vse storitve," opozarjajo strokovnjaki za spletno varnost. Slaba so tudi gesla, ki jih lahko nekdo ugane, če vas le malo pozna, npr. gesla, ki vsebujejo ime, priimek, letnico rojstva, ime otrok, telefonsko številko ipd. Izjemno nespametno je tudi pisanje gesel na listke, ki ležijo nalepljeni po pisalnih mizah in monitorjih, podobno pa velja tudi za pisanje PIN številke na listek, ki se nahaja poleg bančne kartice.