Premalo zavedanja o pomembnosti gesel

Ljubljana – V velikih podjetjih mora pisarniški delavec za vsakodnevno delo uporabljati 14 različnih gesel. Tovrstna večplastna zaščita sistemov pa je le zatiskanje oči pred najšibkejšim členom v verigi in celo rahljanje le-tega. Uporabniki si namreč večinoma sami izmišljujejo »šibka« gesla, jih v več kot polovici primerov delijo z drugimi sodelavci in družinskimi člani ter jih … pozabljajo. To največja podjetja stane več kot milijon evrov na leto in do 40 odstotkov časa podpornih služb za informacijsko tehnologijo, kjer so v 51 odstotkih zaskrbljenih nad IT-nevarnostjo, ki prihaja od znotraj – sodelavcev. Človek je namreč še vedno daleč največja vrzel v varnostnem sistemu, kar je ne nazadnje dokazal tudi razvpit vdor v podatkovno bazo podjetja Rockyou. Strokovnjaki, ki razvijajo aplikacije za družabna omrežja, kot sta Facebook in Myspace, so zlonamernežem omogočili pridobiti kar 32 milijonov gesel uporabnikov. No, dobra stran vsega tega je bila, da so jih analizirali pri varnostnem podjetju Imperva in s tem postavili nove mejnike pojmu »šibkih« gesel. Bolje rečeno, šibkih umskih sposobnostih uporabnikov in njihovi prav neverjetni lahkoumnosti. Kar en odstotek vseh (torej 320.000!) jih je namreč za geslo uporabljalo niz »123456«! Da bi bila mera polna, pa so se preostali nizi od 1 do 5, 7, 8 ali 9 vsi znašli na lestvici top 10! Prav absurdno pa je, da se je med njih kot prvo neštevilčno geslo vrinilo »geslo« oziroma »password« in da bi s 5000 (0,0156 odstotka vseh) najpogostejšimi gesli lahko dostopali do kar 20 odstotkov (6,4 milijona) vseh uporabniških računov.

Prepletanje življenj in gesel

To pa ni skrb vzbujajoče le za skrbnike družabnih omrežij, ampak kar celotnega sveta IT. Na podlagi raziskav IT-varnostnega podjetja Sophos namreč štirje od petih uporabnikov spleta vsaj občasno uporabljajo enaka gesla za različne spletne strani, storitve ali rešitve. Zato bi se morale najbolj tresti hlače skrbnikom omrežij IT v podjetjih. Z novimi tehnologijami in splošno povezljivostjo se meje med poslovnim in zasebnim življenjem brišejo hitreje, kot jih uspeva v varnostne okvire loviti za to poklicanim. Številna gesla od zaposlenih namreč zahtevajo prevelike spominske napore in zato prav spodbujajo naravno človeško lenobo, ki namesto najvarnejših išče najenostavnejša, lahko zapomnljiva gesla, ki jih po podatkih Imperve v več kot polovici primerov sestavljajo nizi zaporednih številk, bližnjih črk, lastnih imen in slengovskih izrazov. S tem je spletnim huliganom zelo poenostavljeno iskanje prave besede, kar sta na svoji koži občutila tudi zdajšnji predsednik ZDA Barack Obama in popzvezdnica Britney Spears. Oba sta bila med žrtvami razgaljenih profilov na Facebooku oziroma Twitterju, ki jih je uspelo zgolj na podlagi splošno dostopnih informacij odpreti francoskemu zlikovcu, imenovanemu »Hacker Croll«.
Tisoči zaposlenih so torej idealna tarča tudi za najprimitivnejše metode drobljenja njihovih gesel. Ko odpovesta ugibanje in povezovanje znanih podatkov, so na vrsti »slovarji« – podatkovne baze, ki jih zlonamerni programi uporabljajo za vdore. Pri tem pa so vloge zamenjane. Ker najpogosteje nimajo drugih motivov, kot napihovanje svojega ega namesto iskanja gesel s slovarji iščejo uporabniške račune, ki vsebujejo geslo iz njihove zbirke. Uspeh je vnaprej zagotovljen, saj so najzmogljivejši programi sposobni prečesati do 110 gesel na sekundo.

Po drugi strani pa morajo zaviti le do najbližje gostilne in ni vrag, da ne bi srečali kakšnega nekdanjega zaposlenega. Po podatkih raziskave ponudnika programskih rešitev Quest software ima namreč kar deset odstotkov nekdanjih sodelavcev še vedno dostop do vsaj enega sistema, omrežja ali aplikacije pri preteklem delodajalcu. Torej so sistemi v precejšnji nevarnosti prav zaradi tistih, ki bi morali skrbeti za njih, skrbnikov omrežij, in ne le zaradi pišmeuhovskih pisarniških »srajc« s šibkimi gesli.

Zaščita

Kako pomembno za varnost je »močno« geslo, najbolje opiše John Pozadzides, direktor programskega podjetja Ifusion labs: »Če v osemmestnem geslu samo eno črko napišemo z verzalko in dodamo zvezdico, se čas razbitja gesla z dveh dni podaljša na dve stoletji.« Zato tako podjetjem kot posameznikom svetuje gesla iz mešanice številk in črk, ki pa naj ne vsebujejo smiselnih besed, lastnega imena ali celo uporabniškega imena.

Ker pa nas zgodovina uči, da ne gre zaupati uporabniški samoiniciativi (ali spominu), so se največji že zganili. Google je pred kratkim napovedal dvostopenjsko overjanje uporabnikov, pri Facebooku pa so šli celo tako daleč, da so predlagali, da bi njihova rešitev connect postala kar globalni skrbnik in generator gesel. Vendar se tu že kaže nova nevarnost: računalništvo v oblaku, kjer je poplava gesel vse večja, nadzora nad gesli pa tako rekoč ni, pa čeprav gre za predvsem poslovna okolja. Zato ni presenetljivo, da si kar 90 odstotkov skrbnikov IT-omrežij želi, da bi bilo v podjetjih, kjer so zaposleni, bolje poskrbljeno za informacijsko varnost, in da se tega še vedno ne zaveda 34 odstotkov njihovih nadrejenih. Ob taki ignoranci vseh vpletenih bodo imeli spletni kriminalci še dolgo zelo preprosto delo.