Vsi radi brskamo po spletu, pišemo po Facebook zidovih, tweetamo in gledamo videoposnetke mačk na YouTube-u, počnemo pa tudi bolj občutljive stvari, kot so pošiljanje e-pošte, urejanje naših spletnih strani in trgovin in dostopanje do spletne banke. Ker nočemo, da bi nekdo drug namesto nas pisal po stenah, šaril po administracijah naših spletnih strani in upravljal z našim denarjem prek spletne banke, uporabe varnih gesel ne gre zanemariti, ravno nasprotno, varnost je na tem mestu najbolj pomembna. “haha123”, “geslo” ali “qwertz” so zelo šibka gesla, prek katerih se lahko povprečen računalnik prebije v roku parih mikrosekund do 3 sekund, a jih na žalost še vedno veliko ljudi uporablja. Da bodo vaši podatki na spletu varni, vam predstavljamo nekaj nasvetov za močnejša gesla.

Daljša gesla

Za spletne portale, ki jih uporabljamo vsak dan, ni treba izbrati zakompliciranega gesla, kot je “@#*ls^odyf”, saj si ga po vsej verjetnosti ne boste nikoli zapomnili, ravno tako bi bilo dolgotrajno in zahtevno tako geslo vpisati na mobilnem telefonu. Lahko si izmislimo zelo dolgo geslo, ki se ga je enostavno zapomniti, na primer “OptiwebJeResZakon2016”. Sodeč po howsecureismypassword.net (zelo uporabno in zabavno orodje, ki oceni, koliko časa bi računalnik s pomočjo brute-force odkril neko geslo) bi razbijanje tovrstnega gesla trajalo 3,5 x 1018 let. Treba je le upoštevati, da ne uporabljate presledkov, kombinirate velike in male črke (vsaka beseda z veliko začetnico) in geslu dodate še kakšno številko.

Bolj varna gesla

Za bolj občutljive stvari, kot so spletne banke, administracije spletnih strani, FTP gesla in podobno, je priporočena uporaba daljših in čim bolj zakompliciranih gesel, kot je “*8971**#8%$^3#1@&”. Tako geslo si je praktično nemogoče zapomniti, zato si ga je potrebno zapisati na list papirja in ga shraniti v nezaklenjen predal, kajne? NE! Obstaja ogromno orodij, ki si taka gesla varno zapomnijo. Med najbolj razširjeni orodji spadata LastPass in KeePass.

Gesla, ki jih uporabniki uporabljajo znova in znova

Prvi dve najbolj pogosti napaki smo v prvem delu že pokrili. To sta uporaba kratkih in preveč enostavnih gesel. Seznam se nadaljuje s ponovno uporabo istega gesla znova in znova. Večkrat kot uporabimo isto geslo, večja je verjetnost, da bo nekje razkrito. Ko napadalci geslo odkrijejo, bodo skoraj gotovo vdirali tudi v druge spletne portale, ki jih uporabljamo, saj se dobro zavedajo te napake uporabnikov.

Menjava gesel in prijave

Še ena od velikih varnostnih groženj je tudi preredka menjava gesla. To je sicer lažje reči, kot storiti, saj veliko ljudi uporablja veliko število portalov. Priporočljivo je, da se iz vseh portalov, ki jih ne uporabljate, odjavite in ostanete registrirani samo na portalih, ki jih redno uporabljate.

Veliko spletnih mest za resetiranje pozabljenega gesla ponujajo preverjanje identitete preko “varnostnih vprašanj”. Čeprav je ta možnost precej varna, lahko postane popolnoma neuporabna, če jo uporabljamo na slab način. Vedno je treba izbrati taka vprašanja in podati take odgovore, ki jih nihče na svetu ne more vedeti, razen vas.

Koraki do večje varnosti

Kaj lahko storite sami, da boste na spletu čim bolj varni? Že če boste upoštevali pravila, ki jih navajamo, boste naredili več kot trenutno počne večina uporabnikov spleta.

1. Na vseh spletnih portalih, kjer je možno, uporabljajte “multifactor authentication” oziroma večkratno preverjanje pristnosti. Res je, da potem malce dlje časa traja, da se prijavite na določeno mesto, vendar ta ukrep bistveno izboljša našo varnost. Različni portali omogočajo različne načine večkratne avtentikacije, bodisi preko SMS-sporočila, preko Google Authenticator aplikacije (prenos Androidprenos iOSalternativa za Windows Phone), preko e-maila ali kaj podobnega.

2. Za vsako spletno mesto uporabljajte drugo geslo. Razumljivo je, da si ni samo težko zapomniti večje število dolgih gesel, težko si je zapomniti tudi, katero geslo kam spada. Računalniki s tem nimajo težav, zato obstaja veliko namenskih aplikacij in storitev, ki jih omenjamo že v prejšnjih odstavkih. Poleg samodejnega shranjevanja gesel omogoča tudi samodejen vnos podatkov, torej uporabniškega imena in gesla ter tudi ostalih podatkov, kot so ime, priimek, e-mail, telefonske številke, naslov, ipd. kar je zelo uporabno pri registraciji na neko spletno mesto ali pri vpisovanju podatkov za dostavo paketa v spletni trgovini.

3. S pomočjo spleta ali aplikacije generirajte močna gesla. Prosto lahko določate dolžino, uporabo velikih in malih črk, številk in posebnih znakov. Nekateri programi omogočajo tudi opcijo, ki generira samo gesla, ki jih je možno zlahka izgovoriti in možnost, ki izključi znake, ki so si podobni med sabo (O, o in 0, I in l …).

4. Gesla shranjujte v oblaku, tako da lahko do teh gesel dostopate iz katerekoli naprave, tudi iz mobilnih telefonov in tablic. Ta možnost je večinoma na voljo samo v plačljivih verzijah aplikacij, je pa vsekakor zelo uporabna. Če imate glede shranjevanja gesel v oblaku pomisleke, vam lahko zagotovimo, da je tako shranjevanje popolnoma varno, saj se gesla zakriptirajo lokalno, torej še preden se sploh kamorkoli pošljejo. V našem podjetju za ta namen uporabljamo aplikacijo LastPass in nekaj več o varnostnih tehnologijah, ki jih ta platforma uporablja, si lahko preberete tukaj.

Kako pa dostopamo do gesel shranjenih v aplikaciji? Za dostop do vseh gesel si ustvarite t.i. ‘Master Password’, s katerim odprete trezor (ang. ‘vault’), kjer vidite vsa shranjena gesla, ki jih lahko urejate, dodajate, brišete in celo delite z drugimi uporabniki (sodelavci). Ko obiščete prijavno stran nekega spletišča, se obrazec samodejno izpolni, če pa imate več uporabniških računov, se samodejno izbere prvi na seznamu, po potrebi pa lahko izberete drugega.

Prehod na LastPass

Če se odločate o prehodu na bolj varen način shranjevanja gesel in se odločite za LastPass, dodajamo še navodila, ki vam bodo v pomoč pri prehodu. Obstaja velika verjetnost, da tudi vi, tako kot večina internetnih uporabnikov, že od nekdaj gesla shranjujete v brskalnik. To vse prej kot varno, saj lahko nekdo drug zlahka odpre nastavitve brskalnika in si ogleda vsa vaša gesla. V tem primeru LastPass omogoča samodejni uvoz gesel. To storimo tako, da kliknemo na gumb “…” – ‘več možnosti’ v spodnjem levem kotu trezorja, nato ‘Napredno’ in ‘Uvoz’. Odprla se bo stran, kjer izberete vir uvoza. Če se pojavi obvestilo, da uvoz ni možen iz te strani, kliknite na LastPass ikono v orodni vrstici brskalnika,  nato Več možnosti -> Napredno -> Uvoz, izberite želen vir uvoza in sledite navodilom.

Ko se uvoz uspešno zaključi in lahko v trezorju vidite vse svoje uporabniške račune, je priporočljivo, da gesla iz starega upravljalnika gesel izbrišete. Tu so navodila za Chrome, Firefox, Internet Explorer (eng).

Kot podjetje, ki se ukvarja s spletnimi rešitvami pogosto naletimo na vdore in težave, ki so povezane z nevednostjo uporabnikov glede spletnih gesel in vedno znova smo presenečeni nad tem, koliko uporabnikov interneta geslom še vedno pripisuje veliko premalo pozornosti. Če ste slučajno med njimi, upamo, da smo vas prepričali, da za svojo varnost storite nekoliko več, saj nikomur ne privoščimo negativne izkušnje.

Aleš Cankar

Magento programer