« nazaj na podd.si

TAKOJ vklopi 2FA! Sprememba gesla lahko počaka?!

TL;DR: Gesla so nekaj, kar trenutno še potrebujemo. Zato jih spoštujte, menjajte in hranite varno. Uporabite upravitelje gesel, recimo BitWarden ali KeePassXC. Izogibajte se geslom shranjenim v brskalnike. Ali zapisane v zvezke.

Ob branju tega besedila najprej vzemite v zakup, da jaz (Darjan Zlobec) nisem strokovnjak za varnost na internetu, nimam opravljenega nikakršnega tečaja, licence, certifikata ipd. Se pa dnevno srečujem z nekaterimi problemi pri strankah, znancih in se zato precej redno osveščam o tematiki.

Ok. Vseeno pa sem si upal napisat nekaj besed o tej temi :D 

Je bilo moje geslo heknjeno?

Da.

In to lahko preveriš. Navadno so uporabniška imena hkrati tudi email naslovi, zato je to izredno lahko preveriti. Obišči:

vpiši svoj email in poglej kdaj vse je bilo geslo ukradeno iz baz podatkov ponudnikov storitev.

Še posebej pomembni naj bodo tvoji sledeči koraki, če uporabljaš vedno isto geslo... Tako si najbolj primeren, da ti ukradejo številko kreditne kartice, ukradejo identiteto, prevzamejo tvoj e-mail ipd.

A ne bi bilo to nerodno, če tvoja kreditna kartica nekomu drugemu plača dopust?

Ok, pa kaj zdaj moram spremenit vseh svojih 429 gesel?

Da. 

Recimo. 

No v resnici morda ne vseh.

Ok... samo tista najbolj pomembna, a prav?

Pri uporabniških računih na različnih spletnih straneh, servisih je dobro oceniti tista, ki so najbolj pomembna. Recimo tisto geslo od Gmaila, tisto od spletne banke, PayPal-a, tisto od Amazon računa… ipd.

Na hitro naredi seznam strani, katerim zaupaš svoje najbolj pomembne osebne podatke (rojstni dan, naslov kjer živiš, TRR račun, kreditno kartico, davčno številko). Te so najbolj kritične glede varnosti. Vsaj tam spremeni geslo takoj!

Če te pesti paranoja, pa menjaj gesla vsaj na 3 mesece. Bolj pogosto pa samo, če slišiš še glasove, ki ti govorijo, da zamenjaj geslo.

Ostale spletne strani, kjer ni tvojih podatkov, mogoče lahko počakajo. Oceni sam/a.

2FA, TFA, dvojno preverjanje, avtentikacija

Čeprav je 2FA nekaj najbolj nevšečnega... še bolj nevšečno kot mozolj na poročni dan... je hkrati najboljša stvar, ki jo lahko danes naredimo za svojo varnost.

Ko že greš zamenjat geslo, pa vklopi zraven še 2FA.

Kaj je 2FA? Na grobo rečeno, je to postopek, kjer ob prijavi z uporabniškim imenom in geslom vneseš še več-mestno kodo, ki ti je poslana na SMS, na email, preko avtentikatorja, ali na kak tretji način. Nekaj linkov, kje in kako nastaviti 2FA na najbolj pomembnih storitvah (Facebook, Google, Outlook), je tukaj https://safe.si/napotek/zasciti-svoj-racun-2-stopenjsko-avtentikacijo

Takoj vklopi 2FA!!!
Takoj vklopi 2FA!!!

Sedaj bi si želel, da tukaj nehaš z branjem članka in greš takoj vklopiti 2FA. Bo članek že počakal.

5 nasvetov za boljšo varnost gesel

  1. Namesto zapletenih gesel (recimo: ?qPbN[upH/QNyspT%QUX%9Pk) raje uporabljal fraze (recimo: “raca ribi reže rep”, ali pa mogoče “žena 1 rada kuha €€€ štruklje”.

    Fraze si lažje zapomnimo, saj jih povežemo z nečem kar ima smisel v našem življenju.

  2. Večina storitev omogoča, da nastavimo “recovery” e-mail naslov neke druge zaupljive osebe, ki ima lahko dostop do povrnitve uporabniškega računa, v primeru, da je bil prevzet, ukraden, ipd.

    Tukaj se bo lahko izkazalo, kdo je zares tvoj pravi prijatelj :D

  3. Začni z uporabo Upraviteljev gesel (glej nižje kaj priporočam). Upravitelji gesel si shranijo kompleksna gesla v varno shrambo, tako da jih ne potrebujete vedeti sami. Navadno imajo eno “master” geslo, ki odklene dostop do vseh vaših gesel.

  4. Če mora biti uporabniško ime tudi tvoj email naslov in če imaš Gmail, lahko uporabiš 2 trika v enem: “plus” alias ali “pike”. Veliko več piše tukaj: https://gmail.googleblog.com/2008/03/2-hidden-ways-to-get-more-from-your.html.

    Na kratko pa velja tako... če pišeš pošto na janez.novak+mimovrste@gmail.com je to enako kot če bi pisal samo na janez.novak@gmail.com, oziroma celo na j.a.n.e.z.novak@gmail.com oziroma na janeznovak@gmail.com.

    Ta mehanizem Gmail naslova se v prid lahko izkoristi, saj za večino spletnih strani janez.novak+mimovrste@gmail.com in janez.novak@gmail.com nista isto uporabniško ime! In če uporabljaš vedno isto geslo za vse strani, je kombinacija gesla in uporabniškega imena (z + aliasom ali pikami) vedno unikatna kombinacija, ki se ne more izkoristiti na drugi spletni strani! Genialno, anede?

  5. Ne shranjuj gesla v brskalnike!
    To je najbolj pogost način, kako uporabniki shranijo svoja gesla. Hkrati pa tudi najbolj napadena funkcionalnost s strani hekerjev. Raje uporabljaj zvezek ali upravitelje gesel.

Upravitelji gesel oz. password managers

Ko upravljaš z več ko le 3 gesli... Recimo moja osebna zbirka gesel se giblje nad 400, pa potem še gesla od strank, skupaj skoraj 1000 gesel. Ni mogoče imeti vsega tega zapisanega v Excel dokument, v zvezek, ali pa preprosto zaupati brskalniku.

Tukaj pridejo v igro Upravitelji gesel - password managerji. To so različni programi, ali spletni servisi, ki varno hranijo gesla.

Obširen opis delovanja in seznam ponudnikov so objavili pri Monitorju že leta 2018 - tukaj: https://www.monitor.si/clanek/upravljalniki-gesel-resitev-iz-kaosa/185229/ oziroma naj ti predstavim Youtube... tam najdeš vse… tudi to: https://www.youtube.com/results?search_query=how+password+managers+work WOW :D

Članek od Monitorja pa ima eno pomanjkljivost... Večino oblačnih ponudnikov je bila v zadnjih 5 letih žrtev kraje večjega števila uporabniških podatkov. Vsaj enkrat! Izjeme skoraj ni. Tako da težko govorimo o popolni, super-varni rešitvi.

Sam uporabljam KeePassXC - brezplačno rešitev (odprtokodna), ki varno skrbi za vaša gesla izven oblaka - direktno na vašem računalniku ali celo telefonu. Preberite več na https://keepassxc.org/.

Brez skrbi kako dolgo geslo je in koliko ima podpičij. KeePass si zapomne vse to.
Brez skrbi kako dolgo geslo je in koliko ima podpičij. KeePass si zapomne vse to.

Mogoča je tudi delitev gesel z več osebami, pa shramba enkriptirane datoteke v varen oblak (Dropbox, OneDrive, ProtonDrive) za še bolj uporabno izkušnjo.   

Vsekakor vredna ogleda.

Če pa se ti ne da ukvarjati z nekimi programi, pa odprtokodnimi navodili (ki roko na srce, niso sploh enostavna za branje :D) pa uporabite BitWarden https://bitwarden.com/. Večina varnostnih strokovnjakov ga priporoča.  

Kaj pa če sploh ne bi imeli več gesel? 

To bi bilo pa najboljše!

Prihodnost v popolnosti ne bo čisto brez gesel. Bo pa passkey.

FIDO Alliance se trudi za uvedbo passkey rešitve, ki v popolnosti nadomesti vaša gesla. Nekateri sistemi (recimo Google, Apple) že danes ponujajo passkey.

Passkey je “v grobem” nekaj podobnega kot 2FA, le da pri kreiranju uporabniškega imena ni potrebno še geslo, ampak kriptografski par javnega in privatnega varnega ključa, ki ga preverja (avtenticira) biometrični podatek uporabnika (prstni odtis, FaceID, PIN, vzorec, ipd). 

Video predstavitev tukaj: https://www.youtube.com/watch?v=2xdV-xut7EQ

Torej, če je možnost, uporabite passkey. Odsvetujem pa kombinacijo passkey in Google Password Manager. Uporabite vsaj BitWarden ali nek drugi servis, ki pod isto streho kot passkey ponudnik.

Pa varne praznike želim.
Darjan Zlobec