Bendrovės „Kaspersky“ atliktas tyrimas atskleidė, kad daugelį internetinių slaptažodžių sukčiai gali atspėti per minutę. Iš 193 mln. analizuotų slaptažodžių daugiau kaip 87 mln. slaptažodžių buvo galima sužinoti greičiau nei per minutę, o tik 23 proc. slaptažodžių buvo atsparūs tokioms atakoms ilgiau nei metus.
Kas nustatyta tyrimo metu?
Tyrimo metu buvo nagrinėjami slaptažodžiai, kuriuos išviliojo informacijos vagys ir kuriuos buvo galima rasti tamsiajame internete („Darknet“). Remiantis išvadomis, didelė dalis šių slaptažodžių buvo lengvas taikinys kibernetinėms atakoms.
Kompanija „Kaspersky“ pranešė, kad jų telemetrijoje 2023 m. užfiksuota daugiau kaip 32 mln. bandymų atakuoti naudotojus slaptažodžių vagimis.
Analizės metu 45 proc. slaptažodžių buvo galima atspėti greičiau nei per minutę. Toliau skaidant duomenis, nustatyta, kad 14 % slaptažodžių buvo galima atspėti per vieną minutę – vieną valandą, 8 % – per vieną valandą – vieną dieną, 6 % – per vieną dieną – vieną mėnesį, o 4 % – per vieną mėnesį – vienerius metus. Tik nedidelė dalis, 23 %, buvo pakankamai atsparūs, kad atlaikytų tokias atakas ilgiau nei metus.
Nustatyta bendra praktika, dėl kurios slaptažodžiai yra silpni
Nemažai 57 % analizuotų slaptažodžių buvo sudaryti iš žodyno žodžių, o tai mažina jų atsparumą automatiniams spėjimo metodams.
Dažniausiai pasitaikančias žodyno sekas sudarė tokie vardai kaip „ahmed“, „nguyen“ ir „kumar“, tokie populiarūs žodžiai kaip „forever“, „love“ ir „google“ bei standartiniai slaptažodžiai, įskaitant „password“, „qwerty12345“ ir „admin“.
Bendrovės „Kaspersky“ skaitmeninio pėdsako žvalgybos skyriaus vadovė Julija Novikova paaiškino plačiai paplitusią silpnų slaptažodžių problemą.
„Įdomu tai, kad įsilaužėliams nereikia gilių žinių ar brangios įrangos, kad nulaužtų slaptažodžius. Pavyzdžiui, galingas nešiojamojo kompiuterio procesorius galės surasti teisingą slaptažodžio, sudaryto iš 8 mažųjų raidžių ar skaitmenų, kombinaciją, naudodamasis grubia jėga, vos per 7 minutes. Be to, šiuolaikinės vaizdo plokštės su ta pačia užduotimi susidoros per 17 sekundžių“, – teigė ji.
Novikova toliau komentavo žmogaus polinkį kurti nuspėjamus slaptažodžius.
„Nesąmoningai žmonės kuria žmogiškus slaptažodžius – tokius, kuriuose yra žodžių iš žodyno gimtąja kalba, kuriuose yra vardų ir skaičių. Net iš pažiūros stiprūs deriniai retai būna visiškai atsitiktiniai, todėl juos galima atspėti algoritmais.“
Ko galima imtis, kad sustiprintume savo slaptažodžius?
Siekdama pašalinti šį pažeidžiamumą, „Kaspersky“ rekomenduoja keletą slaptažodžių politikos stiprinimo priemonių.
Vartotojams rekomenduojama naudoti slaptažodžių tvarkykles, kuriose galima saugoti ilgus ir unikalius slaptažodžius, kuriuos sunku įsiminti atskirai. Be to, kiekvienai paslaugai naudojant skirtingą slaptažodį galima sumažinti riziką, kad pavogus vieną slaptažodį bus pažeistos kelios paskyros.
Taip pat rekomenduojama naudoti slaptažodžių frazes su netikėtais žodžiais, išdėstytais neįprasta tvarka, ir vengti slaptažodžių, sudarytų iš asmeninės informacijos, pavyzdžiui, gimtadienių ar augintinių vardų.
Kita svarbi rekomendacija – įjungti dviejų veiksnių autentifikavimą (2FA), kuris suteikia papildomą saugumo lygį, neapsiribojant slaptažodžiu. Net jei kas nors sužinotų slaptažodį, norint prisijungti prie paskyros, vis tiek reikės antro patvirtinimo būdo. Šiuolaikinės slaptažodžių tvarkyklės dažnai palaiko 2FA raktų saugojimą ir apsaugo juos naudodamos pažangius šifravimo metodus.
Tyrime pabrėžiama, kad svarbu naudoti patikimus saugumo sprendimus, kurie stebi, ar nėra pažeidimų, ir laiku įspėja apie slaptažodžių keitimą. Šių priemonių įgyvendinimas gali gerokai sustiprinti naudotojų paskyrų apsaugą nuo vis sudėtingesnių kibernetinių grėsmių.