Za dostop do številnih programov pogosto uporabljamo le tri različna gesla. Zakaj je to nevarno in kako najbolje zaščititi pomembne podatke?
Statistike SI-CERT kažejo, da ima povprečen uporabnik med 70 in 80 spletnih računov, vendar za prijavo pogosto uporablja le tri različna gesla. To pomeni, da je ena napaka dovolj, da ogrozi večino svojih računov.
Zakaj se to dogaja? Ker si je težko zapomniti veliko gesel, uporabniki pogosto:
- reciklirajo isto geslo za različne aplikacije,
- za gesla kljub opozorilom še vedno uporabljajo osebne podatke, kot so imena otrok, partnerjev, hišnih ljubljenčkov ali datumi rojstva,
- uporabljajo preproste vzorce, kot so 123456, admin, geslo,
- ko sistem zahteva »poseben znak« v geslu, dodajo klicaj (!),
- zapišejo gesla na listke, ki jih pustijo ob računalniku.
Vsega navedenega se prevaranti še kako zavedajo in zato panoga prevar skokovito in uspešno narašča.
Kako hitro lahko heker razbije naše geslo?
Tudi brez naprednih metod so šibka gesla zelo ranljiva:
- 4–6 znakov: zlomljena v nekaj sekundah
- do 9 znakov: z dodatki simbolov, črk in številk – v nekaj urah
- 12+ znakov: z raznolikimi znaki lahko vzame mesece napadanja
Zato dolga, kompleksna gesla niso priporočilo, temveč pogoj za osnovno zaščito. Ampak … ali je to dovolj?
Največje varnostno tveganje je uporabnik sam
Tudi najbolj varna aplikacija – z napredno šifrirano povezavo, strogim preverjanjem dostopa in rednimi posodobitvami – je nemočna, če uporabnik ravna malomarno.
SI-CERT je v Sloveniji že obravnaval primere, ko je napadalcem uspelo pridobiti dostop do poštnih predalov samo zato, ker so uporabniki uporabili isto geslo za več različnih storitev.
Ta praksa odpira vrata t. i. credential stuffing napadom, kjer napadalec z eno geselsko kombinacijo poskusi dostopati do številnih sistemov.
Rešitev? Uporabljajmo unikatna, dolga gesla, ki jih shranimo z upravljalnikom gesel.
Nujna dodatna zaščita
Po vsej verjetnosti ste že naleteli na aplikacijo, ki od vas zahteva tako imenovano dvofaktorsko avtentikacijo prek telefona ali e-pošte.
V tem primeru gre za dvofaktorsko avtentikacijo (2FA) oziroma preverjanje v dveh korakih, ki poskrbi za najvišji nivo zaščite.
Tak sistem od nas zahteva, da poleg gesla vnesemo še enkratno kodo, ki nam jo pošlje prek SMS-a, e-pošte ali pa v namensko aplikacijo, kot je na primer Google Authenticator.
Gre za preprost koncept: nekaj, kar vemo (geslo) + nekaj, kar imamo (telefon ali aplikacija).
Kako deluje v praksi?
- Prijavimo se z uporabniškim imenom in geslom.
- Sistem nas pozove k vnosu dodatne kode.
- Šele nato pridobimo dostop do računa.
SI-CERT poroča, da je bila v lanskem letu večina poslovnih računov zaščitenih zgolj zaradi vklopljene 2FA, medtem ko so bili drugi brez te zaščite kompromitirani.
Kako vklopiti 2FA?
Dvofaktorska avtentikacija je vgrajena v številne storitve: bančne aplikacije, Google, Microsoft, Dropbox, Facebook, Instagram, X, TikTok …
Koraki za vključitev:
- V nastavitvah uporabniškega računa poiščite možnost “Dvofaktorska avtentikacija” ali “Preverjanje v dveh korakih”.
- Izberite način: SMS, aplikacija ali biometrija.
- Sledite navodilom in potrdite nastavitev.
Večina storitev omogoča tudi označitev “zaupane naprave”, tako da kode ni treba vnašati ob vsaki prijavi.
Dvofaktorska avtentikacija v Minimaxu
Tudi v Minimaxu lahko hitro in enostavno vključite preverjanje v dveh korakih. Tako zaščitite dostop do občutljivih poslovnih podatkov – računovodstva, plač in kadrov – tudi v primeru, da nekdo pridobi vaše geslo. Postopek je preprost in brezplačen.
Enkratno kodo za preverjanja identitete lahko prejmete:
- v aplikaciji za avtentikacijo (npr. Google ali MIcrosoft avtentikator),
- po e-pošti,
- v sms sporočilu.
Če uporabljate digitalno potrdilo za prijavo v Minimax, dodatna aktivacija ni potrebna – to že zagotavlja najvišjo raven zaščite.
Varnost podatkov je skupna odgovornost
Minimax uporablja napredne varnostne tehnologije, redne posodobitve in šifriranje, a noben sistem ni popolnoma odporen, če uporabnik sam ne ravna varno.
Dvofaktorska avtentikacija je danes standardna praksa in eden najbolj učinkovitih ukrepov za zaščito računov.
V dobi eksponentno naraščajočih kibernetskih napadov je prav vsak uporabnik pomemben člen v verigi varnosti.
Viri:
- https://www.varninainternetu.si/spet-ta-gesla/
- https://podcasti.si/aktualna-tema/ep/spletne-prevare-povprecen-uporabnik-spleta-ima-okoli-70-gesel/?utm_source=chatgpt.com
- https://www.varninainternetu.si/dvofaktorska-avtentikacija-kljuc-do-vecje-zascite-gesel/
