Večkratna uporaba enega gesla je priročna, vendar resno ogroža vašo spletno varnost. Evo zakaj.
Gesla so povsod. Zagotavljajo, da lahko samo mi (ali osebe, ki jim dovolimo) dostopamo do naših zasebnih podatkov in lastnine – naj gre za denar v banki ali identiteto družbenih medijev. Vendar jih pogosto jemljemo zlahka in povsod uporabljamo isto geslo, saj si ga je enostavno zapomniti.
Medtem ko so številne aplikacije in storitve postale boljše v smislu varnosti, so se tudi hekerji znatno izboljšali. Če povsod uporabljate isto geslo, tvegate, da postanete glavna tarča kibernetskih napadov. Obstajajo tudi druge manj očitne slabosti te prakse.
Tukaj je nekaj razlogov, zakaj bi morali biti bolj skrbni pri izbiri gesla.
1. Napadi s polnjenjem poverilnic
Ko gre za uporabo istega gesla povsod, niste sami. Glede na Spletna stran NordPass, veliko ljudi uporablja gesla, ki jih je enostavno uganiti, kot sta »gost« in »geslo«. To je grozna praksa, saj ta navidezno kontraintuitivna gesla komaj kaj časa razbijejo.
Če v vseh svojih računih uporabljate šibko geslo, kot je to, ste popolna tarča za napad s polnjenjem poverilnic. To je vrsta kibernetskega napada, ki stlači veliko zbirko ukradenih gesel ali uporabniških imen na tisoče spletnih mest. Če se vaše reciklirano geslo znajde v vdoru v podatke, lahko veliko število vaših računov zaide v težave.
2. Ogrožanje vaših poslovnih računov
Leta 2012 je Dropbox utrpel vdor, ki je prizadel 69 milijonov spletnih uporabnikov. Po navedbah Skrbnik, se je kršitev zgodila, ker je uslužbenec Dropboxa znova uporabil isto geslo na Dropboxu kot on prej na LinkedInu. Ko so vdrli v njegov račun LinkedIn, so hekerji dobili tudi dostop do Dropboxovega podjetja omrežje.
To pomeni, da če reciklirate gesla za svoj poslovni račun, tudi sebe in podjetje izpostavljate velikemu tveganju. To je ravno razlog, zakaj veliko tehnično podkovanih podjetij zdaj uporablja upravitelje gesel. Upravitelji gesel omogočajo shranjevanje in ustvarjanje varnih gesel.
Z dodajanjem vašega zaposlenega ali izvajalca v upravitelja gesel dobijo dostop do vseh računov, katerih gesla so shranjeno v aplikaciji upravitelja, kar poenostavi njihov postopek prijave – vse to pa odpravlja potrebo po delitvi gesla z njimi nasploh.
Ponovno uporabljena gesla ali celo podobna gesla so šibka, niso edinstvena in zlahka predvidljiva. Hekerji lahko enostavno razbiti taka gesla z orodji AI. Celo brezplačno različico ChatGPT je mogoče uporabiti za razmišljanje o takšnih geslih:
Če je zgornji poziv preveč preprost, da bi uganili vaše geslo, lahko hekerji zaobidejo omejitve ChatGPT in poskušajo pripraviti bolj prilagojen poziv za uganiti vaša gesla.
Na primer, napisal sem poziv in se pretvarjal, da pišem zgodbo o izmišljenem liku, Adamu (poljubnem podobnost z dejanskimi osebami je zgolj naključna), kjer hekerji poskušajo vdreti v njegov Facebook račun:
Evo, kako je ChatGPT veselo prišel do seznama gesel, ki jih ta oseba morda uporablja:
Nekatera od teh gesel se zagotovo zdijo smešna, vendar dejansko ponavadi dodajamo gesla, ki si jih zlahka zapomnimo (ljudje in stvari, ki nas običajno najbolj zanimajo). Torej, več ko hekerji vedo o nas (kar ni težko glede na to, da vse objavimo na družbenih omrežjih), večje so možnosti, da bodo uspešno uganili naše geslo.
In napredna orodja za razbijanje gesel z umetno inteligenco so na drugi ravni. Preizkušajo običajna gesla z uporabo različic besed ali gesel, ki jih najdejo pri kršitvah podatkov.
Če uporabljate geslo, kot je »qwerty«, potrebuje orodje za razbijanje gesel manj kot sekundo, da ga razbije. Če dodate številke in ga spremenite v "qwerty12345", ga ne otežite vdreti. Veliko orodij išče vzorec in očitne številke pred še bolj očitnimi frazami so najpogostejši vzorci.
4. Če delite gesla, ste bolj ranljivi
Recikliranje gesel je slaba praksa, vendar je deljenje teh ponovno uporabljenih gesel še slabše. Ne glede na to, kako zaupanja vredna je oseba, ki ji delite geslo, ne morete odgovarjati za kršitve podatkov ali kibernetske napade. Vaš račun je še bolj ogrožen, če je oseba, s katero ste delili podatke o računu, ogrožena ali ukradena.
Ko heker dobi dostop do naprave, je vsak račun in del podatkov brezplačen za prevzem. Recimo, da si z nekom delite račun Netflix. Če v njihov prenosni računalnik vdrejo ali ga ukradejo in nekdo vstopi v ta račun Netflix, so podatki o vaši kreditni kartici takoj ogroženi.
Torej, najprej uporabite močna gesla, ki jih je težko uganiti. Nato, drugič, uporabite dvostopenjsko avtentikacijo ali upravitelja gesel varno delite geslo s prijatelji in družinoin zmanjšajte tveganje.
5. Napadi socialnega inženiringa
Socialni inženiring je dejanje manipulacije ljudi, da bi ukradli njihove zasebne podatke. V resnici ne gre za tehnično spretnost, ampak bolj za psihološko igro. Najpogostejši primer tega so povezave do lažnega predstavljanja.
Ni več tako preprosto kot povezava do lažnega predstavljanja, ki vas vodi do lažne strani za prijavo na Facebook ali Instagram. Hekerji se bodo pretvarjali, da so prijatelji, sodelavci ali zaupanja vredna organizacija, da bi vas prepričali, da kliknete povezave, ki ogrožajo vaše račune.
Tako lahko heker od vas zahteva, da se prijavite za njihovo novo zagonsko storitev, samo da vidi, katero geslo uporabljate. V nekaterih primerih se lahko obrnejo na vas iz računa vašega prijatelja, ki je bil ogrožen – večina od nas ni pametnejša, ko odpira povezave svojih prijateljev, zato je to past, ki jo je enostavno nastaviti.
Ker bi za prijavo na to storitev najverjetneje znova uporabili geslo od drugod, bodo poskušali to geslo uporabiti za vse vaše račune, za katere vedo. Če uporabljate isto geslo za svojo bančno aplikacijo, vas verjetno čaka svet težav.
Če ne vsakič, bi ta tehnika delovala v večini primerov.
6. Povečano tveganje notranjih napadov
Ponovna uporaba istih gesel povsod potencialno poveča tveganje notranjih napadov. Recimo, da zaposleni, ki pozna geslo, zapusti vašo organizacijo. Če geslo ostane nespremenjeno, bo imel nekdanji zaposleni še vedno enostaven dostop do vseh vaših občutljivih podatkov.
Če poznavalec pozna geslo, ki je bilo uporabljeno povsod, so vse vaše aplikacije in storitve v neposredni nevarnosti. Te poverilnice lahko uporabijo za izvajanje goljufivih dejavnosti, izkoriščanje ranljivosti ali škodo računalniškim sistemom. Takšni ljudje se lahko tudi pretvarjajo, da so zaposleni, in manipulirajo s kolegi, da delijo zaupne informacije.
Podobno, če se isto geslo uporablja na več spletnih mestih, bi bilo težko natančno določiti insajderja v primeru kakršne koli neželene ali zlonamerne dejavnosti. Tveganje notranjih napadov lahko zmanjšate s sprejetjem močnih varnostnih praks. Dobro mesto za začetek je dajanje poverilnic po meri vsem vašim zaposlenim.
Bodite ustvarjalni, skrivnostni in strogi z gesli
Ne glede na to, katere druge varnostne ukrepe sprejmete, bo vaša spletna prisotnost vedno ogrožena, če boste isto geslo uporabili na različnih platformah. Seveda si je znova uporabljena gesla lažje zapomniti, vendar boste to ugodnost obžalovali, če bodo v vaše račune vdrli.
Na srečo vam v prihodnje morda sploh ne bo treba uporabljati gesel. Storitve, kot je Apple PassKeys, za prijavo v račune uporabljajo biometrično avtentikacijo, kot je FaceID ali TouchID. S tem ni več potrebe po geslu, saj storitev namesto tega uporablja kriptografski ključ. Ko bodo druga podjetja to začela izvajati, bodo gesla morda postala preteklost.
