Varnost večine aplikacij in storitev, ki jih uporabljamo doma in v službi, temelji na vnosu uporabniškega imena in gesla. Ta so zato čedalje pogosteje tarča nepridipravov. Načinov, kako pridobiti ali celo uganiti geslo posameznega uporabnika, je veliko, predvsem pa je to lažje in cenejše od iskanja ranljivosti v informacijskih sistemih ter aplikacijah.
Kaj gre lahko pri geslih narobe?
Marsikaj. Napadalci v praksi gesla ali uganejo ali ukradejo.
Gesla načeloma ni težko uganiti – sploh če se s tem ukvarja računalnik. »Napadalci lahko že v začetku postavijo določene predpostavke. Na primer, da imajo mnoga gesla veliko črko zgolj na začetku in številke le na koncu. Že takšna predvidevanja lahko zelo spremenijo izračun, kolikšna dolžina gesla je še varna,« pojasnjuje Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com.
Pojasnjuje, da bo napadalec, če ima dovolj velik motiv, najprej obiskal vse obstoječe uporabnikove profile v medmrežju, izvedel Google poizvedbo o uporabniku in podobno. Iz pridobljenih podatkov bo izluščil besede in jih vstavil v nabor besed za geslo. Sliši se zapleteno, a na voljo je kar nekaj enostavnih in zelo učinkovitih skript, ki opravijo delo namesto napadalca. »Če je vaše geslo sestavljeno iz besed, ki se lahko povežejo z vašo osebnostjo, ga je relativno lahko uganiti,« svari sogovornik.
Ne olajšajte jim dela
Pri ugibanja gesel je treba opozoriti na sicer zelo očitno zadevo, na katero podjetja marsikdaj pozabijo. Če želimo uganiti geslo, moramo najprej poznati uporabniško ime. To je velikokrat samo po sebi jasno. Tipičen primer je dostop do spletne pošte podjetja. V večini primerov velja, da ima Janez Novak uporabniško ime janez.novak@podjetje.si.
Včasih pa vendarle ni tako. Napadalec zato ne more biti prepričan o pravilnosti uporabniškega imena. Nikar mu ne olajšajmo dela. »Aplikacije prek odzivov na napačno prijavo, sistema obnove gesla ali kakorkoli drugače uporabnikom oziroma napadalcem ne bi smele ponujati informacije o pravilnem uporabniškem imenu,« opozarja Ban.
Prijavno okno aplikacije ali sistema pa ni nujno edina točka, kjer lahko napadalec ugiba gesla. Ljudje, ki v podjetjih skrbijo za varnost, morajo biti pozorni predvsem na razne vtičnike API, spletne storitve in podobna mesta, ki omogočajo vstop v aplikacijo ali sistem. Ustrezne zaščite morajo biti vzpostavljene tudi na takšnih mestih.
Tudi kraje gesel so vse pogostejše
Kraja gesel uporabnikom in podjetjem je še občutno nevarnejša grožnja kot ugibanje. Načinov je veliko. Najbolj očiten je prek lažnih prijavnih dveri, eden bolj enostavnih pa kraja s fizičnim dostopom do okolja uporabnika. Pri zadnjem ne mislimo le na banalno branje listkov z gesli na računalniškem monitorju ali pod tipkovnico.
»Uporabniki se morajo zavedati, da so gesla mnogokrat shranjena v brskalnikih, na disku in podobno. Ob fizičnem dostopu do računalnika napadalec ne potrebuje veliko znanja in časa, da ukrade geslo. Znani so načini, ko lahko s prilagojenim USB-ključkom v približno 30 sekundah pridobimo geslo računalnika z zaklenjenim zaslonom, ki ima nameščen operacijski sistem Microsoft Windows. Enako hitro lahko neopazno na računalnik naložimo zlonamerne programe – predvsem tako imenovane keyloggerje, ki beležijo vse pritiske tipk na tipkovnici,« pojasnjuje Ban.
Kakšno naj bo torej varno geslo?
Daljše, alfanumerično ter skrajno unikatno. Hkrati mora biti vedno tajno, skrito in poznano le uporabniku aplikacije. To velja tako za domača kot za službena okolja.
»Dvonivojska avtentikacija je enostavna, cenovno dostopna in za večino vstopnih oken dovolj varna oblika prijave,« razlaga Ban. A kljub temu ne zagotavlja absolutne varnosti, saj ne odpravlja napada na prvi nivo, torej ne preprečuje kraje uporabniškega imena in gesla. »Verjetno najmanj potencialnih in teoretičnih ranljivosti najdemo pri avtentikaciji, ki temelji na načelu digitalnih certifikatov, ki jih je vendarle težje ukrasti,« še razlaga Ban.