Question 1

Kaip dažnai reikia keisti slaptažodį?

Accepted Answer

Organizacijoms ypač sunku atsisakyti periodiško slaptažodžių keitimo, kuris, manyta, sumažina prisijungimo duomenų praradimo riziką. Tačiau atlikta galutinio vartotojo slaptažodžio analizė leido prieiti išvados, kad minėtas metodas rizikos nesumažina. Vartotojai, keisdami slaptažodį, tiesiog pakeičia keletą simbolių arba sukuria kitą panašų ir / ar lengvai nuspėjamą slaptažodį, kurį lengva prisiminti ir, deja, lengva nulaužti. Be to, reguliarus nurodymas keisti slaptažodį sukuria galimybę sukaupti daugiau duomenų apie vartotojo slaptažodžių sudarymo įpročius (pvz., nutekinamas gausus duomenų bazėse saugomų slaptažodžių kiekis). Jeigu slaptažodis nėra pakartotinai panaudojamas, rekomenduojama jį keisti, kai užfiksuojamas informacinių sistemų duomenų nutekėjimas ar kitoks paskyros pažeidimo atvejis.

Question 2

Kokio ilgio slaptažodis turėtų būti?

Accepted Answer

Minimalus slaptažodžio ilgis – 8 simboliai, tačiau rekomenduojama, kad slaptažodį sudarytų daugiau simbolių (15–20 simbolių). Jeigu slaptažodžiai saugomi slaptažodžių tvarkyklėse, siūloma rinktis ilgesnius nei 20 simbolių.

Question 3

Kokio sudėtingumo slaptažodis turėtų būti?

Accepted Answer

Viena iš slaptažodžių nulaužimo rizikos mažinimo priemonių – sudėtingo slaptažodžio sukūrimas. Dažnai informacinėse sistemose prašoma naudoti didžiąsias ir mažąsias raides, skaičius bei specialiuosius simbolius. Vertinant galimas simbolių kombinacijas ir jų perrinkimo (angl. Brute force attack) greitį, toks reikalavimas yra pagrįstas. Tačiau įvertinus pažeidžiamumų vektorių analizę ir žmogaus elgseną, slaptažodžio sudėtingumo reikalavimai bus lengvai nuspėjami, nes vartotojas, kurdamas slaptažodį, siekia atitikti tik minimalius būtinus slaptažodžio kūrimo reikalavimus. Remiantis šia informacija darytina prielaida, kad vienintelis ir efektyviausias kintamasis, padedantis sukurti stiprų ir saugų slaptažodį – tai simbolių ilgis. Tačiau svarbu paminėti, kad labai trumpo slaptažodžio sudėtingumas nėra itin reikšmingas, o sudėtingų simbolių panaudojimas ilgesniame slaptažodyje beveik neturi įtakos slaptažodžio stiprumui. Todėl ypač rekomenduojama naudoti slaptažodį iš 3 ir daugiau žodžių, kiekvieną žodį rašant iš didžiosios raidės bei vengiant asmeninių ar žodyninių žodžių.

Question 4

Kaip saugomas mano slaptažodis?

Accepted Answer

Dažniausiai tipinėse sistemose, kuriose prašoma registruotis, slaptažodžiai šifruojami vienakrypčiu šifravimo algoritmu ir saugomi užšifruota forma. Vienakryptis šifravimo algoritmas turi galimybę užšifruoti slaptažodį, bet neturi galimybės jo atšifruoti. Prisijungimo metu vartotojo įvestas slaptažodis būna užšifruojamas tuo pačiu algoritmu ir palyginamas su registracijos metu išsaugotu slaptažodžiu, todėl sistemos pažeidimo atveju, gavus prieigą prie vartotojų duomenų bazės, konkretūs naudojami slaptažodžiai nėra identifikuojami. Tai apsunkina paskyrų vagystę, tačiau neapsaugo nuo minėtos „Brute force attack“ ar žodyninės atakos bei kt. Siekiant labiau apsunkinti galimybę pavogti vartotojų paskyras, kai gaunama prieiga prie šifruotų slaptažodžių (angl. Password hash), papildomai pridedama vadinamoji „Slaptažodžio druska“ (angl. Password salt).

Question 5

Antrojo faktoriaus autentifikacijos nauda

Accepted Answer

Antrojo faktoriaus autentifikacija leidžia efektyviau ,apsaugoti paskyrą naudojantis faktoriumi „Tai, ką tu turi“. Prisijungimo metu papildomai išsiunčiamas SMS pranešimas su kodu, kurį reikia nurodyti sistemoje telefonu ar elektroniniu paštu, tada prašoma suvesti laikiną slaptažodį iš autentifikacinės aplikacijos arba panaudoti kriptografinį raktą, arba pritaikyti biometrinę autentifikaciją (piršto antspaudas arba veido atpažinimas). Tai efektyvus metodas, leidžiantis apsaugoti prieigą prie paskyros, net jeigu prisijungimo vardas ir slaptažodis yra žinomi kibernetiniams nusikaltėliams.

Question 6

Paskyrų pažeidimų tikrinimas

Accepted Answer

Norint sužinoti, kada jau laikas keisti slaptažodį, reikia išsiaiškinti, ar slaptažodis nebuvo nutektinas kibernetinio incidento metu. Tai galima padaryti naudojant tokias sistemas kaip haveibeenpwned.com, monitor.firefox.com ar password.lt. Šie įrankiai kaupia prisijungimo duomenų bazes, kurios buvo paviešintos įvykus įvairiems incidentams.

Question 7

Nenaudokite slaptažodžių užuominų

Accepted Answer

Slaptažodžių užuominos, jeigu naudojamos pagal paskirtį, gali padėti atspėti Jūsų slaptažodį. Asmeninę informaciją, nurodytą užuominoje, galėjote paviešinti socialiniuose tinkluose, todėl ji lengvai prieinama nusikaltėliams.

Question 8

Slaptažodžių tvarkyklių nauda

Accepted Answer

Slaptažodžių tvarkyklės yra naudingos, nes leidžia saugiai laikyti visus slaptažodžius vienoje vietoje; gali būti generuojami labai sudėtingi ir ilgi slaptažodžiai, kurių vartotojui nereikės prisiminti. Mažiau akcentuojami, bet tipiniam vartotojui itin aktualūs slaptažodžių tvarkyklės privalumai: slaptažodžiai gali būti automatiškai išsaugomi tiesiai iš naršyklės registracijos ar prisijungimo metu; automatiškai įvedami į prisijungimo formas, kai siekiama prisijungti; sinchronizuojami tarp skirtingų įrenginių. Todėl slaptažodžių tvarkyklės ne tik apsaugo prieigą prie paskyros, bet ir supaprastina valdymą.

Question 9

Neperduokite slaptažodžių kitiems asmenims

Accepted Answer

Atrodytų, labai banalus ir savaime suprantamas dalykas, tačiau žmonės vis dar linkę dalintis prisijungimo duomenimis su kitais. Reikėtų atkreipti dėmesį, kad ne tik ne visada pažįstate asmenį su kuriuo bendraujate internetu, bet taip pat negalite būti užtikrintu, kad kiti asmenys, kuriems perduosite prisijungimo duomenis, tikrai juos saugiai laikys.

Question 10

Nereikšmingoms paskyroms naudokite laikinus el. pašto adresus

Accepted Answer

Tipinis vartotojas vidutiniškai turi nuo 50 iki 200 paskyrų. Neretai vartotojai registruojasi įvairiose svetainėse vienam kartui, kad gautų tam tikrą informaciją, prieinamą tik registruotiems vartotojams. Minėtais atvejais siūloma naudoti laikinus el. pašto adresus, kuriais patvirtinama paskyros registracija. Todėl, jei informacinėje sistemoje įvyks kibernetinis incidentas ir slaptažodžiai bus prarasti, jų nebus galima susieti su Jūsų el. pašto adresu.

Question 11

Kas yra „Slaptažodžio druska“ (angl. Password salt)?

Accepted Answer

Registracijos metu, kai slaptažodžiai užšifruojami vienakrypčiu šifravimo algoritmu ir išsaugomi duomenų bazėje, taip pat gali būti panaudojama vadinamoji „Slaptažodžio druska“. Tai papildomas atsitiktinis tekstas, pridedamas prie Jūsų slaptažodžio prieš jį šifruojant. Taip stipriai apsunkinama galimybė išgauti slaptažodį taikant „Brute force“ ataką.

Question 12

Kaip gali būti prarastas slaptažodis?

Accepted Answer

Slaptažodis gali būti prarastas kibernetinio incidento metu arba atsitiktinai. Labiausiai paplitęs atvejis – fišingo (angl. Phishing) ataka, kai prisijungimo duomenys išgaunami apgaulės būdu, t. y. atsiuntus fiktyvų el. laišką, SMS pranešimą ar pranešimą soc. tinkluose, per fiktyvias interneto svetaines, panašias į realias. Slaptažodžiai gali būti prarasti taikant kenksmingą programinę įrangą, esant pažeidimams tinkle arba tiesiog atspėjant itin lengvą slaptažodį.


Ilgis:

Ar mano slaptažodis saugus?