Kaip kurti saugius slaptažodžius

Kodėl dauguma žmonių vis dar klysta su slaptažodžiais

Jei dabar atvertum savo slaptažodžių sąrašą ir pažiūrėtum į jį atvirai, kiek iš jų būtų tikrai stiprūs? Statistika čia negailestinga – remiantis NordPass kasmetiniais tyrimais, populiariausi slaptažodžiai pasaulyje vis dar yra 123456, password ir qwerty. Lietuva čia nėra jokia išimtis. Žmonės žino, kad reikia naudoti stiprius slaptažodžius. Žino jau dešimtmetį. Ir vis tiek to nedaro.

Problema nėra žinių trūkumas. Problema yra patogumas. Mes visi norime, kad prisijungimas prie banko, el. pašto ar socialinių tinklų vyktų greitai ir be galvos skausmo. Ir čia prasideda kompromisai, kurie vėliau kainuoja labai brangiai – kartais tiesiogine prasme.

Šiame straipsnyje kalbėsime ne apie abstrakčias saugumo teorijas, o apie tai, ką konkrečiai daryti, kokius įrankius naudoti ir kaip sukurti sistemą, kuri veiktų ilgai ir patikimai.

Kas iš tikrųjų daro slaptažodį stipriu

Čia yra vienas iš labiausiai paplitusių mitų: žmonės galvoja, kad stiprus slaptažodis atrodo maždaug taip – P@$$w0rd!. Raidė pakeista skaičiumi, pridėtas šauktukas, ir viskas – saugus. Deja, ne. Šiuolaikiniai slaptažodžių laužymo įrankiai, tokie kaip Hashcat ar John the Ripper, yra apmokyti tiksliai tokiems pakeitimams. Jie žino, kad žmonės keičia „a” į „@”, „o” į „0”, „i” į „1”.

Tai kas iš tikrųjų svarbu? Du pagrindiniai veiksniai:

• Ilgis – tai pats svarbiausias parametras. Kiekvienas papildomas simbolis eksponentiškai padidina laužymo laiką.
• Atsitiktinumas – slaptažodis neturi turėti jokios prasmės ar struktūros, kurią galėtų nuspėti algoritmas.

Štai paprastas pavyzdys. Slaptažodis Vilnius2024! atrodo tvirtai, bet jį galima nulaužti per kelias valandas, nes jis seka nuspėjamą šabloną: žodis + metai + specialus simbolis. Tuo tarpu correct-horse-battery-staple – keturi atsitiktiniai žodžiai, sujungti brūkšneliais – yra statistiškai daug stipresnis, nors atrodo paprastesnis. Šią koncepciją puikiai iliustravo XKCD komiksas, tapęs tikru interneto klasiku tarp saugumo specialistų.

Slaptažodžio entropija – tai matematinis jo stiprumo matas. Kuo didesnė entropija, tuo sunkiau nulaužti. 128 bitų entropija šiandien laikoma saugia riba. Kad suprastum mastą: 8 simbolių slaptažodis su didžiosiomis, mažosiomis raidėmis, skaičiais ir simboliais turi apie 52 bitus entropijos. 20 atsitiktinių simbolių – jau virš 130 bitų.

Slaptažodžių tvarkyklės – ne prabanga, o būtinybė

Daugelis žmonių, išgirdę apie slaptažodžių tvarkykles, reaguoja skeptiškai: „O jei ją nulaužia? Tada prarasiu viską iš karto.” Tai suprantama baimė, bet ji remiasi klaidinga prielaida – kad alternatyva yra saugesnė.

Alternatyva yra tai, ką daro dauguma: naudoja tą patį slaptažodį keliose vietose arba labai panašius variantus. Tai vadinamas credential stuffing ataka – kai nuteka duomenys iš vieno puslapio, užpuolikai automatiškai bando tą patį slaptažodį tūkstančiuose kitų svetainių. Ir tai veikia. Labai gerai veikia.

Slaptažodžių tvarkyklė leidžia turėti unikalų, stiprų slaptažodį kiekvienai paskyrai, ir tereikia prisiminti vieną – pagrindinį. Štai keletas konkrečių rekomendacijų:

• Bitwarden – atvirojo kodo, nemokamas pagrindinis planas, puikiai tinka daugumai vartotojų. Serveris gali būti ir savarankiškai valdomas (self-hosted), jei nori visiškos kontrolės.
• 1Password – mokama, bet labai patogi, ypač šeimoms ir komandoms. Turi puikų Travel Mode funkciją kelionėms per sienas.
• KeePassXC – visiškai vietinis sprendimas, duomenys nesiunčiami niekur. Idealus tiems, kurie nepasitiki debesų paslaugomis.
• Proton Pass – gana naujas, bet jau patikimas variantas iš Proton ekosistemos, žinomos dėl privatumo.

Pradedantiesiems labiausiai rekomenduočiau Bitwarden – jis nemokamas, veikia visose platformose ir yra reguliariai audituojamas nepriklausomų saugumo ekspertų. Tai nėra maža detalė – atvirojo kodo auditai reiškia, kad bet kas gali patikrinti, ar kodas daro tai, ką sako.

Kaip sukurti tikrai stiprų pagrindinį slaptažodį

Jei naudosi slaptažodžių tvarkyklę, pagrindinis slaptažodis tampa pačiu svarbiausiuoju. Jo negalima pamiršti ir jis turi būti tikrai stiprus, nes nuo jo priklauso viskas kita. Čia rekomenduoju passphrase metodą.

Passphrase – tai kelių atsitiktinių žodžių kombinacija. Ne eilutė iš mėgstamos dainos, ne šeimos narių vardai, o tikrai atsitiktiniai žodžiai. Kaip juos pasirinkti? Yra metodas, vadinamas Diceware – meti kauliukus ir pagal rezultatą renkiesi žodžius iš specialaus sąrašo. Taip gautas slaptažodis yra tikrai atsitiktinis, nes jo generavime dalyvavo fizinis atsitiktinumas.

Praktiškai tai atrodo taip:

1. Rask Diceware žodžių sąrašą lietuvių arba anglų kalba internete.
2. Meski 5 kauliukus 5 kartus – gausi 5 žodžius.
3. Sujunk juos tarpais arba brūkšneliais: ąžuolas-tiltas-mėnulis-knyga-vėjas.
4. Jei nori papildomo saugumo – pridėk skaičių ar simbolį viduryje.

Toks slaptažodis yra ir stiprus, ir įsimenamas, nes žodžiai – tai daiktai, kuriuos galima vizualizuoti. Galvok apie tai kaip apie mažą istoriją: ąžuolas prie tilto, mėnulis virš knygos, vėjas… Smegenys mėgsta tokias asociacijas.

Svarbu: pagrindinio slaptažodžio niekada nerašyk į pačią tvarkyklę. Jis turi gyventi tik tavo galvoje (ir galbūt fiziniame popieriuje, laikomame saugioje vietoje – apie tai vėliau).

Dviejų faktorių autentifikacija – antroji gynybos linija

Net ir turėdamas tobulą slaptažodį, gali prarasti paskyrą. Kaip? Per phishing ataką – kai apgaudingas puslapis priverčia tave pačiam įvesti slaptažodį. Arba per duomenų nutekėjimą serveryje. Čia į žaidimą įeina dviejų faktorių autentifikacija (2FA).

2FA principas paprastas: net jei kas nors žino tavo slaptažodį, jam dar reikia antrojo faktoriaus – kažko, ką turi tik tu. Yra kelios 2FA rūšys, ir jos nėra vienodai saugios:

• SMS kodai – patogiausi, bet silpniausi. Galima perimti per SIM swapping ataką, kai užpuolikas įtikina operatorių perkelti tavo numerį į naują SIM kortelę.
• TOTP programėlės (kaip Aegis Android, Raivo iOS arba Authy) – generuoja 6 skaitmenų kodus kas 30 sekundžių. Daug saugiau nei SMS.
• Hardware raktai (kaip YubiKey) – fizinis USB arba NFC įrenginys. Aukščiausias saugumo lygis, praktiškai neįmanoma nulaužti nuotoliniu būdu.
• Passkeys – nauja technologija, kuri keičia ir slaptažodžius, ir 2FA vienu ypu. Apie tai – atskirai.

Rekomenduočiau bent jau TOTP programėlę. Aegis Android sistemai yra atvirojo kodo ir leidžia daryti atsargines kopijas. Svarbu: atsargines TOTP kopijas laikyk saugioje vietoje – jei prarasi telefoną be jų, gali prarasti prieigą prie paskyrų.

Passkeys – ar tai slaptažodžių pabaiga

Pastaraisiais metais vis daugiau kalbama apie passkeys – technologiją, kurią aktyviai stumia Apple, Google ir Microsoft. Idėja paprasta: vietoj slaptažodžio naudojamas kriptografinis raktų pora. Privatus raktas lieka tavo įrenginyje, viešas – serveryje. Prisijungdamas patvirtini tapatybę biometrika (pirštų atspaudu arba veidu) arba PIN kodu.

Passkeys privalumai yra akivaizdūs:

• Nėra ką pavogti iš serverio – ten saugomas tik viešas raktas, kuris be privataus yra nenaudingas.
• Phishing atakos tampa beveik neįmanomos – raktas susietas su konkrečiu domenu.
• Nereikia prisiminti nieko – tik atrakinti įrenginį.

Tačiau yra ir minusų. Passkeys vis dar nėra visur palaikomi. Perėjimas tarp įrenginių gali būti sudėtingas, ypač jei naudoji skirtingų ekosistemų įrenginius (pvz., iPhone ir Windows kompiuterį). Ir jei prarandi visus įrenginius be atsarginės kopijos – situacija gali tapti sudėtinga.

Mano požiūris: passkeys yra ateitis, bet šiandien dar negalima visiškai atsisakyti slaptažodžių. Naudok passkeys ten, kur galima, bet laikyk slaptažodžių tvarkyklę kaip atsarginę sistemą.

Praktiniai žingsniai, kuriuos galima padaryti šiandien

Teorija yra gražu, bet svarbiau – ką konkrečiai daryti. Štai veiksmų planas, kurį galima įgyvendinti per savaitę:

Diena 1-2: Auditas

Eik į haveibeenpwned.com ir patikrink, ar tavo el. pašto adresas figūruoja nutekėjusių duomenų bazėse. Jei taip – tai reiškia, kad tavo slaptažodžiai galbūt jau yra kažkieno rankose. Taip pat peržiūrėk, kuriose paskyrose naudoji tą patį slaptažodį.

Diena 3: Tvarkyklės įdiegimas

Įdiek Bitwarden arba kitą pasirinktą tvarkyklę. Sukurk pagrindinį slaptažodį naudodamas Diceware metodą. Užrašyk jį ant popieriaus ir padėk saugioje vietoje (ne prie kompiuterio, ne telefone – fiziškai atskiroje vietoje).

Diena 4-5: Svarbiausioms paskyroms

Pradėk nuo kritiškiausių: el. paštas, bankas, socialiniai tinklai. Pakeisk slaptažodžius į tvarkyklės sugeneruotus (naudok bent 20 simbolių, visiškai atsitiktinius). Įjunk 2FA ten, kur galima.

Diena 6-7: Likusios paskyros

Eik per likusias paskyras. Kiekvienai – unikalus slaptažodis. Paskyras, kurių nebenaudoji – ištrink. Mažiau paskyrų = mažiau rizikos.

Dar keletas konkrečių patarimų:

• Niekada nesidalink slaptažodžiais per WhatsApp ar el. paštą – naudok specialias funkcijas, kaip Bitwarden Send.
• Darbo ir asmeniniai slaptažodžiai – atskirose tvarkyklėse arba atskiruose seifuose.
• Reguliariai (kartą per metus) peržiūrėk tvarkyklę ir ištrink nebenaudojamas paskyras.
• Jei svetainė leidžia tik trumpus slaptažodžius (pvz., 8-12 simbolių) – tai blogas ženklas apie jų saugumo kultūrą. Būk atsargus su tokiomis paslaugomis.

Kai saugumas tampa įpročiu, o ne kančia

Yra tokia iliuzija, kad saugumas ir patogumas yra priešingybės – kad norint būti saugiam, reikia kentėti. Iš dalies tai tiesa, bet tik pradžioje. Kai slaptažodžių tvarkyklė tampa kasdienio gyvenimo dalimi, ji iš tikrųjų palengvina gyvenimą. Nebereikia spausti „pamiršau slaptažodį”, nebereikia galvoti, kurį variantą naudojai šioje svetainėje.

Saugumo kultūra keičiasi lėtai, bet keičiasi. Dar prieš dešimt metų dviejų faktorių autentifikacija buvo egzotika – dabar ji yra standartinė funkcija beveik visur. Passkeys per artimiausius kelerius metus greičiausiai taps norma. Slaptažodžių tvarkyklės jau dabar integruotos į visas pagrindines operacines sistemas.

Svarbiausia suprasti vieną dalyką: kibernetinis saugumas nėra vienkartinis projektas. Tai nuolatinis procesas. Grėsmės keičiasi, technologijos keičiasi, ir mūsų įpročiai turi keistis kartu. Bet tai nereiškia, kad reikia kiekvieną dieną skaityti saugumo naujienas ir gyventi paranojoje. Reiškia tik tai, kad reikia sukurti gerą pagrindą – stiprius, unikalius slaptažodžius, tvarkyklę, 2FA – ir tada tiesiog gyventi toliau, žinant, kad pagrindai yra tvarkingi.

Geriausias slaptažodis yra tas, kurio tu pats nežinai – kurį sugeneravo tvarkyklė ir kurį naudoji automatiškai. Tai skamba paradoksaliai, bet būtent taip ir turėtų veikti gera saugumo sistema: nepastebimai, patikimai ir be kasdienio galvos skausmo.