Yra apskaičiuota, kad paprastai kompiuteriu besinaudojantis žmogus naudoja vidutiniškai 10 slaptažodžių, o informacinių technologijų profesionalas – 50 ir daugiau jų. Galimos slaptažodžio atspėjimo rizikos ir to padarinių neįvertina daugelis, todėl ypač retai naudoja saugius slaptažodžius.
Apie tai, kaip sukurti saugų slaptažodį ir kaip juo naudotis, pasakoja VU Matematikos ir informatikos fakulteto Informatikos katedros lektorius dr. Gintaras Skersys.
Populiariai kalbant, saugus slaptažodis – tai slaptažodis, kurį sunkiai atspėtų ir kitas žmogus, ir slaptažodžių atskleidimo programinė įranga.
Kad neatspėtų kitas žmogus, slaptažodis neturi būti susijęs su jūsų asmenine informacija: gimimo data, adresu, vardu, pavarde, pravarde, katino vardu, mėgstamiausios krepšinio komandos pavadinimu ir pan.
Kad slaptažodžio neatskleistų speciali programinė įranga, reikia žinoti du pagrindinius jos naudojamus metodus: žodyno ataką, kai bandomi visi žodžiai iš kurio nors (pavyzdžiui, lietuvių kalbos) žodyno ir visi tų žodžių vediniai, gauti juos šiek tiek modifikavus (pavyzdžiui, įvairiose vietose prirašius kelis skaitmenis, pakeitus kai kurias raides į jų vizualius atitikmenis: a į @, o į 0, i į 1 ar !, e į 3, s į 5 ar $ ir pan.). Slaptažodžių atskleidimo programinė įranga taip pat naudoja visų variantų perrinkimo metodą, kai perrenkami visi nurodyto ilgių intervalo ženklų rinkiniai, sudaryti iš nurodytos aibės ženklų, pavyzdžiui, visi iki 8 ženklų ilgio rinkiniai, sudaryti iš mažųjų ir didžiųjų raidžių bei skaitmenų.
Norėdami išvengti žodyno atakos, neturėtumėte naudoti bet kurios kalbos žodžių bei jų artimų vedinių. O kad visų variantų perrinkimo metodas kuo ilgiau nesurastų jūsų slaptažodžio, turite neapsiriboti vien mažosiomis raidėmis arba nenaudoti trumpų slaptažodžių.
Paprastai rekomenduojama, kad slaptažodyje būtų visų keturių ženklų grupių atstovų: mažųjų ir didžiųjų raidžių, skaitmenų ir kitų ženklų. Šiuo metu saugiu slaptažodžiu laikomas ne trumpesnis nei 12–14 ženklų atsitiktinis slaptažodis, kuriame naudojami visų keturių ženklų grupių atstovai. Jei naudojami ne visų keturių ženklų grupių atstovai arba jei slaptažodis nėra atsitiktinis, jis turėtų būti atitinkamai ilgesnis, ne mažiau nei 20–25 ženklų.
Kad slaptažodį būtų nesunku atsiminti ir nesunku įvesti, rekomenduojama jo sudarymui panaudoti nesunkiai įsimenamus žodžių junginius, frazes, sakinius. Pavyzdžiui, galima naudoti pirmąsias (antrąsias, paskutines ir t. t.) kiekvieno žodžio raides, raidžių grupes ar net ištisus skiemenis. Pavyzdžiui, iš sakinio „Praeito mėnesio 30 dieną 12:00 Jonui atsibodo valgyti bananus, jis užsinorėjo pašteto.“ žodžių pirmųjų raidžių gautume slaptažodį „Pm30d12:00Javb,jup.“ (įskaitant tašką pabaigoje). Arba galima naudoti visą žodžių junginį. Pavyzdžiui, „2+1+3 nelygu penkiems.“, „Mano sesei Eglei jau 25 metai.“, „Nuvaziavau laimingai. Tavo stogas.“, „Sustabdykite lektuva, as noriu išlipti!“, „aspirinas@vaistine.lt“, „www.atomineVisagine.lt“, „Kokios spalvos Tavo masina?“, „DidelisNemazas“, „Tiesiai, paskui kairen“. Beje, kadangi tarpo mygtuko paspaudimas sukelia specifinį garsą, tarpą tarp žodžių rekomenduojama keisti kuriuo nors kitu ženklu ar ženklais, pavyzdžiui, /: „2+1+3/nelygu/penkiems.“.
Dažnai patariama kai kurias raides pakeisti panašiais ženklais (a į @ ir t. t.). Bet, kaip matėme, saugumo tai prideda nedaug, nes žodyno atakos metu tokie pakeitimai irgi yra daromi. Saugumas gerokai sustiprinamas prijungiant papildomą žodį ar žodžių junginį. Juo labiau kad slaptažodžio įvedimo tai labai neapsunkina, nes žodžius mes įvedame daug greičiau negu atsitiktinius raidžių kratinius. Geriau rinktis ilgesnį slaptažodį, kuris yra žodžių junginys, negu trumpesnį atsitiktinį, nes jų saugumas panašus, o pirmasis lengviau atsimenamas ir greičiau įvedamas.
Kiekvienoje žiniatinklio svetainėje asmens slaptažodis turi būti kitoks. Nėra saugu naudoti tą patį slaptažodį skirtingose svetainėse, nes negalima būti tikram, ar tų svetainių saugumu rūpinamasi pakankamai. Jei bent į vieną bus įsilaužta, iškils rimtas pavojus duomenų saugumui kitose svetainėse, todėl slaptažodžiai turėtų būti skirtingi.
Rekomenduojama reguliariai, kas 90–120 dienų, slaptažodžius keisti. Tačiau jei slaptažodis pakankamai saugus ir saugiai laikomas, nedidelio saugumo reikalaujančiose svetainėse jį galima keisti ir rečiau – kas metus arba net išvis nekeisti.
Kai kuriose svetainėse naudojamos slaptažodžių priminimo sistemos, susietos su tam tikru klausimu. Tai gali būti rimta saugumo spraga. Kas iš to, kad slaptažodis – ypač saugus, jei bet kas kitas gali apsimesti jumis, atsakęs, pavyzdžiui, į klausimą, kokia buvo jūsų pirmojo automobilio markė (galimų atsakymų aibė labai nedidelė, nesunku perrinkti populiariausius variantus, kurių yra tik pora dešimčių)? Todėl arba visai nenaudokite slaptažodžių priminimo sistemų, arba labai atsakingai parinkite klausimą. Klausimas turi būti toks, kad 1) galimų atsakymų būtų labai daug, 2) atsakymą į jį galėtumėte žinoti tik jūs vienas. Blogų klausimų pavyzdžiai: koks jūsų šuns vardas, kuriais metais gimėte ir pan. Geras klausimas galėtų būti, pavyzdžiui, toks: kokioje vietoje mėgdavote lankytis, kai buvote vaikas? Aišku, jei to niekam nesate pasakojęs.
Komentarų: 1
2012-10-02 11:39
passwordaszinoma tai visiskai priestarauja patogumui ir sveikam protui:
http://xkcd.com/936/