Home/Blog/Gesla: prva obrambna linija vaših osebnih podatkov

Gesla: prva obrambna linija vaših osebnih podatkov

27.11.2023#Varnost na internetu
Woman with phone and coffee

Že lep čas živimo v digitalni dobi, ki nam omogoča udobno komunikacijo ter poslovanje prek spleta. A že trenutek nepozornosti vas lahko zanese na lažne spletne strani, ki so jih spletni goljufi ustvarili izključno z namenom, da vam ukradejo občutljive osebne podatke. V večini primerov so tovrstne lažne spletne strani izdelane tako detaljno, da jih je precej težko razlikovati od spletnih strani legitimnih ponudnikov bančništva in ostalih storitev, zato morate biti zelo pozorni, da ne postanete žrtev prevare.

To je tudi eden od razlogov, zakaj je gesla priporočljivo pogosto spreminjati - nenazadnje so ključno varovalo, ki vaše osebne podatke varuje pred spletnimi goljufi in prevaranti. Vendar to še zdaleč ni edina dobra praksa za varovanje vaših osebnih podatkov, katere se je priporočeno držati, saj v nasprotnem primeru postanete lahka tarča zlonamernih akterjev. V današnjem prispevku vam bomo podali nekaj praktičnih smernic in dobrih praks, ki se navezujejo na gesla, omenili pa bomo tudi, kako prepoznati raznovrstne spletne prevare, da se jim posledično lažje izognete.

 

Gesla - kaj je njihova primarna funkcija in kje jih uporabljamo?

Gesla so na internetu, oziroma pri vseh spletnih storitvah, dandanes ključen mehanizem za preverjanje legitimnosti uporabnika.

Imate svoj uporabniški račun na priljubljenih družbenih omrežjih kot je Facebook ali uporabljate spletno bančnistvo?

Ste kdaj pošiljali e-pošto?

Potem ste svoje osebno geslo na neki točki ustvarili tudi vi, čeprav se tega morda ne spomnite.

Pravzaprav ima za udejstvovanje na spletu vsak svoje lastno uporabniško ime in geslo, torej poverilnice, ki pridejo v poštev, ko želite dostopati do vašega osebnega računa in upravljati z osebnimi podatki, ki so vidni samo uporabniku, ki je legitimen lastnik računa.

 

Sestavni deli tipičnega prijavnega obrazca

Uporabniško ime: lahko je vzdevek ali e-poštni naslov, odvisno od spletne strani oz. storitve, v katero se želite prijaviti. Pogosto je to javno viden podatek.

Geslo: to je skrivna beseda ali bolje rečeno niz števil in znakov, katerega poznate samo vi. Je kot svojevrstna ključavnica, ki varuje digitalna vrata, za katerimi se skrivajo vaš denar, zasebna sporočila ali drugi občutljivi osebni podatki.

Dvofaktorska avtentikacija (2FA): to je začasno veljavna koda, ki jo prejmete preko SMS sporočila ali namenske aplikacije in služi kot dodatno varovalo, ki vas ščiti v primeru kraje podatkov. Zasledimo jo predvsem pri spletnem bančništvu in na spletnih straneh, ki uporabniku ob uspešni prijavi dajo dostop do občutljivih osebnih podatkov.

Zdaj, ko ste se podrobneje seznanili z nekaj osnovnimi pojmi, je čas, da nekaj besed namenimo dobrim praksam pri ustvarjanju gesel.

 

Kako ustvariti močno osebno geslo, ki bo zanesljivo varovalo vaše osebne podatke?

Če menite, da je vaše ime dobro geslo, ali pogosto za ta namen uporabljate nize števil, ki jih je lahko uganiti (npr. "1234"), potem je to prva stvar, ki se je morate odvaditi, če želite ostati varni na spletu. Tudi malce naprednejši tonamenski triki, kot so uporaba vašega dekliškega priimka ali ulice, v kateri živite, služijo kot primer slabih praks. Nenazadnje spletni prevaranti in goljufi znajo uporabljati spletne iskalnike, zato so javno dostopni podatki, kot npr. vaš naslov ali ime, med prvimi stvarmi, ki jih bodo poskušali vnesti v prijavni obrazec.

Geslo, ki je dovolj močno za varovanje vaših osebnih podatkov, mora biti:

  • Dovolj dolgo (vsaj 12 znakov)

  • Raznoliko (uporabite kombinacijo številk, črk in posebnih znakov)

  • Sestavljeno iz besed, znakov oz. zaporedja števil, ki jih ni tako lahko uganiti

Pogosto spletna stran bančnih ponudnikov zgoraj navedene smernice uporablja kot kriterije pri ustvarjanju gesla - v primeru, da jih vaše geslo ne izpolnjuje, boste morali izbrati drugo ali ga dopolniti.

 

Kaj tvegate v primeru šibko zastavljenih gesel?

Kot že omenjeno, gesla služijo kot ključ do vrat, ki varujejo vaše osebne podatke, v primeru spletnega bančništva pa lahko z nezadostno zaščito tvegate tudi vaš denar. A tudi to še ni konec širokega spektra tveganj, katerim se potencialno izpostavljate; v izrednih primerih lahko celo postanete žrtev kraje identitete.

 

Ponovna uporaba istega gesla za prijavo v več različnih spletnih mest je napaka, ki vas lahko drago stane

En del razloga, zakaj se toliko uporabnikov poslužuje tovrstne slabe prakse, tiči v tem, da si je močno skovana gesla, torej takšna, ki ustrezajo zgoraj navedenim kriterijem, težko zapomniti. Zato ni težko razumeti, zakaj se ubiranje bližnjic, kot so poenostavljanje ali ponovna uporaba gesel, zdi tako praktična rešitev.

A v resnici je daleč od tega. Ponovna uporaba istega gesla pomeni, da bodo v primeru vdora v vaš račun ogroženi tudi vaši uporabniški računi na drugih spletnih mestih, posledično pa tudi vsi osebni podatki oz. podatki občutljivega značaja, ki so namenjeni le vašim očem. Ko hekerji enkrat imajo vaše uporabniško ime in geslo, morajo le še izbrskati ali uganiti, kje vse ste registrirani, začenši z najbolj priljubljenimi spletnimi mesti, kot so družbena omrežja, e-poštne storitve in podobno.

 

Je dvofaktorska avtentikacija (2FA) res dovolj varen mehanizem, da lahko opisano težavo preprosto odmislimo?

Kot že omenjeno, spletni portali in storitve, ki se tako ali drugače navezujejo na obdelavo vaših občutljivih osebnih podatkov, čedalje pogosteje uvajajo dvofaktorsko avtentikacijo (2FA), saj to od njih pogosto zahteva tudi zakonodaja.

V samem bistvu gre za mehanizem, ki ob poskusu prijave v uporabniški račun samodejno ustvari kodo za enkratno uporabo, ki ji v določenem času poteče veljavnost (praviloma je to do ene minute). Tovrstno kodo prejmete prek SMS sporočila, e-pošte ali tonamenske aplikacije, kot npr. Google Authenticator in ostale. Obstajajo tudi hardverski ključki za dvofaktorsko avtentikacijo kot npr. Yubikey.

Filozofija, ki tiči v ozadju, narekuje, da tudi v primeru, da vam prevaranti, hekerji, goljufi in drugi zlonamerni akterji tako ali drugače ukradejo geslo, jim to samo po sebi še nič ne koristi, če nimajo hkrati dostopa tudi do vašega telefona, e-poštnega računa ali hardverskega ključka. To sicer samo po sebi drži, a upoštevajte, da:

  • Je mogoče z dovolj znanja in opreme SMS sporočila tudi prestrezati

  • Dvofaktorska avtentikacija ni podprta na čisto vsakem spletnem mestu

To je dovolj močen razlog, da varovanje vaših gesel ostaja naloga, ki je ne gre jemati zlahka. K sreči obstaja rešitev, s pomočjo katere si boste vaša gesla zapomnili brez večjega napora, brez, da bi jih morali ponavljati ali poenostavljati.

 

Rešitev, ki jo iščete, je upravljalnik gesel

Upravljalnik gesel je preprost programček, ki je lahko v obliki samostojne programske opreme ali pa kot dodaten vtičnik, ki ga lahko namestite v svoj spletni brskalnik. Je kot obroček za ključe, na katerem visijo vsa vaša gesla, do njega pa lahko dostopate s pomočjo glavnega gesla.

To v praksi pomeni, da si boste morali zapomniti le eno geslo, vsa ostala gesla pa si bo namesto vas zapomnil upravljalnik gesel, zato so le-ta lahko neskončno kompleksna, pa zaradi tega ne bodo nič manj praktična.

Dodatni bonbončki, ki jih ponujajo določeni upravljalniki gesel, vključujejo:

  • Ocenjevalnike moči vašega gesla

  • Samodejno ustvarjanje močnih gesel, ki ustrezajo vsem sodobnim varnostnim kriterijem

  • Samodejno izpolnjevanje obrazcev za prijavo

  • Vgrajena zaznava lažnih spletnih strani

  • Sinhronizacija za nemoteno uporabo na različnih napravah

 

Kako pogosto je priporočeno menjavati gesla?

Če želite dodatno poskrbeti za to, da do vaših osebnih podatkov ne bo mogel dostopati nihče, razen vas, se priporoča redno menjavanje vaših gesel. Seveda veljajo tudi vse ostale smernice, o katerih smo govorili; pogosto menjavanje gesel je še en dodaten korak, s pomočjo katerega boste bolje zavarovali vaše osebne podatke.

Mnenja o tem, kako pogosto je priporočeno menjavati gesla, se krešejo, tudi v krogih strokovnjakov za kibernetsko varnost. Sami vam svetujemo menjavanje gesel enkrat na 6-24 mesecev. Določena spletna mesta, aplikacije in spletne storitve vas bodo po preteku določenega obdobja samodejno pozvale, da je že čas, da to storite. Vsekakor pa je to nekaj nujnega v primeru, da vam ukradejo geslo (v tem primeru s spremembo gesla ne odlašajte).

 

Kaj storiti, če vam ukradejo geslo?

Če ste nasedli na prevaro ali ste vaše geslo vpisali v lažno spletno stran, potem šteje vsaka sekunda, saj ste v primeru neukrepanja zelo lahka tarča za krajo podatkov. Svoje geslo nemudoma spremenite, še posebej, če isto geslo uporabljate tudi za prijavo v druga spletna mesta (spremenite ga na vseh uporabniških računih).

V primeru, da ne morete prepoznati razloga kraje, je dobro, da preventivno spremenite vsa svoja gesla in na vaši napravi poženete protivirusni pregled. V vsakem primeru v prihodnjih dnevih in mesecih vaše uporabniške račune spremljajte, pri tem pa bodite pozorni na nenavadne vzorce uporabe. Če vam npr. nekdo iz bančnega računa poskuša ukrasti denar, o tem nemudoma obvestite pristojne organe.

 

Vrste spletnih prevar in načini, kako vam hekerji lahko ukradejo geslo

Obstaja veliko načinov, preko katerih se spletni goljufi, hekerji in zlonamerni akterji lahko dokopljejo do vaših gesel, posledično pa tudi do vaših osebnih podatkov. Razkrivamo ključne spletne goljufije, trike in prevare, na katere morate med brskanjem po spletu biti še posebej pozorni:

 

Phishing (spletno ribarjenje)

Spletno ribarjenje je prevara, z uporabo katere vas goljufi prelisičijo, da jim vaše geslo poveste sami, pogosto brez, da bi za to sploh vedeli. To dosežejo tako, da vas speljejo na lažne spletne strani, ki posnemajo izgled legitimnih spletnih ponudnikov, bodisi bančništva, spletnih platform, družbenih omrežij ali drugih spletnih storitev. Tovrstne spletne strani pogosto vključujejo lažni obrazec, kamor ste pozvani, da vnesete vaše geslo ali druge osebne podatke, ki nato romajo neposredno v roke spletnih prevarantov.

 

Kako prepoznati znake spletnega ribarjenja?

  • Spletna stran ima slovnične napake ali slabo prevedeno besedilo

  • V URL vrstici je tipkarski škrat

  • Pošiljatelj vas naslavlja pod pretvezo urgentnosti

 

Kaj narediti, da ne postanete žrtev tovrstne spletne prevare?

  • Ne klikajte na povezave, ki vam jih nekdo pošlje preko pošte ali sporočil in namesto tega neposredno obiščite želeno spletno stran tako, da njen naslov vtipkate neposredno v URL vrstico vašega brskalnika

  • Naučite se prepoznati znake spletnega ribarjenja

  • Preverite legitimnost pošiljatelja

  • Pogosto posodabljajte vaš operacijski sistem in programsko opremo

  • Ne odpirajte sumljivih datotek

 

Lažno predstavljanje (socialni inženiring)

Lažno predstavljanje, pogosto imenovano tudi socialni inženiring, prav tako spada med spletne prevare, katerih se poslužujejo spletni goljufi, pogosto v kombinaciji s spletnim ribarjenjem in drugimi oblikami prevar, da preslepijo svoje žrtve in jim ukradejo denar, gesla ali osebne podatke. Nek dan lahko preko e-pošte prejmete lažno obvestilo, da je z enim od vaših računov nekaj narobe, goljufi, ki se svojim žrtvam predstavljajo npr. kot sistemski administratorji, pa vas pozivajo, da se prijavite v lažno spletno stran, da bi odpravili težavo.

Obstaja več variacij tovrstne prevare. Pošiljatelj se lahko npr. predstavi kot:

  • Vaš nadrejeni

  • Vaš kolega

  • Predstavnik banke

  • itd.

Vsem izmed njih je skupen element pritiska oz. urgentnosti, na kar morate biti še posebej pozorni, če se želite obvarovati pred to vrsto prevare.

 

Kako prepoznati znake lažnega predstavljanja?

  • Prisoten je element urgentnosti

  • Sporočilo vsebuje sumljive datoteke ali povezave

  • Pošiljatelj se predstavlja kot avtoriteta

  • Navedene informacije so splošne ali netočne

  • Zahteva se zdi nepričakovana ali nenavadna (npr. vaša banka od vas nikoli ne bo zahtevala, da ji preko pošte ali sporočil razkrijete vašo osebno geslo)

 

Kaj narediti, da ne postanete žrtev tovrstne spletne prevare?

  • Naučite se prepoznavati znake lažnega predstavljanja

  • Preverite legitimnost pošiljatelja

  • Pazite, s kom delite občutljive osebne podatke

  • Uporabljajte dvofaktorsko avtentikacijo

  • Zaupajte svoji intuiciji

 

Povzetek in ključne iztočnice

Zdaj, ko poznate najbolj pogoste spletne goljufije in prevare, pa bomo z vami delili še nekaj pomembnih iztočnic, kako ravnati z vašimi gesli, da se ne bodo tako zlahka znašli v rokah prevarantov in podobno. Skratka, danes ste spoznali, zakaj je pomembno, da:

  • Ustvarjate močna gesla: le-ta naj imajo 12+ znakov, tako navadnih kot posebnih in seveda tudi številk. Za vsako uporabniški račun in spletno stran ustvarite edinstveno geslo.

  • Uporabljate upravljalnik gesel: tako si vam ne bo treba na pamet zapomniti gesla za vsako spletno stran.

  • Vklopite dvofaktorsko avtentikacijo: vse spletne strani je ne omogočajo, vendar je dobro izkoristiti to možnost, če jo lahko, saj vas nič ne stane. To še posebej velja za bančništvo in uporabniške račune, kamor se shranjujejo pomembni osebni podatki.

  • Ne postanete žrtev spletnih prevar: naučite se, kateri so najpogostejši triki, ki jih uporabljajo goljufi, hekerji in spletni prevaranti. Izobrazite se, kako delujejo lažne spletne strani in kako jih prepoznati.

 

Sklepna misel

Kraja osebnih podatkov je resno tveganje, ki si ga ne morete privoščiti. Da se obvarujete pred goljufi in prevaranti, morate poskrbeti, da so vaša gesla močna, naučiti pa se morate tudi katerih trikov se poslužujejo z namenom prevare.

Ker je kibernetska varnost nenehno se razvijajoče področje, vam svetujemo, da se nikoli ne nehate izobraževati. Prepričani smo, da vam bo današnji prispevek služil kot dobra vstopna točka za varno uporabo spleta.