S spletnimi gesli danes dostopamo do elektronske pošte, družabnih omrežij, spletnega bančništva, z njimi nakupujemo in urejamo storitve e-zdravja. Pa vendar gesla mnogi še vedno podcenjujemo, uporabljamo kratka, enostavna gesla, jih ponavljamo za različne storitve ali pa jih sploh ne posodabljamo. Nepridipravi predvidljiva gesla lahko dešifrirajo v nekaj sekundah, zato ob odsotnosti varnostnih korakov lahko le upamo, da bodo naša »odklenjena vrata« spregledali. Zaščitne rešitve so v resnici bolj dostopne, kot bi si mislili, zato smo v današnjem prispevku izbrali nekaj najboljših.

Foto: Freepik
Preveč gesel, premalo premisleka
Skoraj vsak ponudnik spletne storitve ali aplikacije od nas ob kreiranju uporabniškega računa za nastavitev gesla zahteva izpolnitev določenih pogojev, npr. uporabo številk, velikih črk, posebnih znakov in določeno dolžino. To je dobrodošlo, saj nas ti spodbudijo, da se bolje zaščitimo, v praksi pa to za nas predstavlja precejšen izziv.
Po podatkih SI-CERTA povprečen uporabnik danes uporablja med 70 in 80 gesli za različne spletne storitve.
Ker pa se v poplavi različnih gesel ne znajdemo več, se odločamo za preprosta in predvidljiva gesla. Etični heker Milan Gabor, ki se ukvarja s kibernetsko varnostjo, je nedavno opozoril, da sta »123456« in »password« še vedno pogosto uporabljeni gesli. Podjetje Nordpass z namenom varnostnega ozaveščanja vsako leto pripravi seznam najpogosteje uporabljenih gesel na svetu, večino izmed teh pa bi hekerji dešifrirali v manj kot eni sekundi.
Svojo spletno ranljivost povečamo tudi, če ista gesla uporabljamo na več spletnih mestih. Po podatkih Nordpassovega poročila za leto 2024 je 65 % vseh spletnih uporabnikov še vedno uporabljalo ista gesla na več spletnih mestih. Ko pride do vdora v eno izmed storitev, so v nevarnosti tudi vsi drugi računi.
MiPi svetuje uporabo
1. Upravljalnika gesel
Upravljalnik gesel je digitalno orodje, ki nam pomaga varno shranjevati in upravljati vsa naša gesla na enem mestu. Namesto da bi si morali zapomniti številna gesla, si zapomnimo le eno glavno geslo – tisto, s katerim odklenemo upravljalnik. Ob našem naslednjem obisku spletne strani upravljalnik samodejno izpolni podatke za prijavo. Tako lahko brezskrbno uporabljamo močna, zapletena in različna gesla za vsako storitev posebej, kar bistveno zmanjša tveganje, da bi kdo zlorabil naš račun. Poleg tega nas upravljalniki pogosto opozorijo, če je bilo katero izmed naših gesel del spletnega vdora ali če je prešibko za učinkovito zaščito.
Gesla so v upravljalniku zaščitena z močnim šifriranjem, kar pomeni, da do njih brez našega glavnega gesla ne more dostopati nihče drug, niti ponudnik storitve. Nekateri upravljalniki omogočajo tudi shranjevanje drugih občutljivih podatkov, kot so številke bančnih kartic ali naslovi.
Značilnosti dobrega upravljalnika gesel:
- Enostaven za uporabo na različnih napravah (računalnik, telefon, tablica), zato pred namestitvijo preverimo, ali podpira samodejno izpolnjevanje gesel v brskalniku.
- Omogoča varnostno kopiranje in obnovo gesel, če izgubimo dostop do naprave.
Obstajajo brezplačne različice, ki so zelo dobre in zadostijo potrebam večine uporabnikov, vedno pa so na voljo tudi plačljive z dodatnimi funkcijami. Če bi se odločili za plačljivo različico, jih večina omogoča brezplačno preizkusno obdobje. Med bolj znanimi upravljalniki gesel najdemo: Bitwarden, 1Password, NordPass, Dashlane in LastPass.
2. Dvofaktorske avtentikacije (2FA)
Je preprosta rešitev za preprečitev 99,9 % napadov na naš račun in predstavlja dodatni varnostni korak pri prijavi v spletne račune. Po tem, ko vnesemo svoje uporabniško ime in geslo, nas sistem pozove, da izvedemo še drug varnostni korak – na primer vnesemo kodo, ki jo prejmemo na svoj telefon, prstni odtis ali potrdimo prijavo v posebni aplikaciji (npr. Google Authenticator, Microsoft Authenticator ali Authy).
Uporabnikom spletnih bank je ta storitev povečini že dobro poznana. Čeprav se morda zdi, da gre za odvečni korak, nam ta zaščita lahko prihrani praktično vse nevšečnosti glede spletnih vdorov, ugotavlja Microsoft.
Kako začeti uporabljati 2FA:
• Najprej preverimo, ali jo storitev sploh podpira. Večina večjih spletnih ponudnikov – kot so Google, Facebook, Microsoft, Apple, pa tudi spletne banke in druge ključne platforme – to možnost omogoča.
• V nastavitvah svojega računa poiščemo razdelek, ki se nanaša na varnost ali prijavo, kjer bomo našli možnost za vklop 2FA. Nato izberemo način dodatne zaščite, ki nam najbolj ustreza (npr. prejemanje enkratne kode prek SMS-a, uporaba aplikacije za avtentikacijo, prstni odtis ali celo uporaba namenskega fizičnega varnostnega ključa).
• Ko izberemo želeni način, sledimo navodilom na zaslonu. Običajno gre za skeniranje QR kode z aplikacijo ali vnos telefonske številke za prejemanje SMS sporočil. Zelo pomembno je tudi, da ob nastavitvi shranimo varnostne kode za nujne primere – te omogočajo dostop, če telefon izgubimo ali nam ga ukradejo.
• Na koncu novo nastavljeno zaščito tudi preizkusimo: odjavimo se iz računa in se znova prijavimo, da preverimo, ali 2FA deluje pravilno.
Najboljša zaščita pred spletnimi grožnjami je kombinacija močnih, dolgih in unikatnih gesel, uporaba upravljalnikov gesel ter vklop dvofaktorske avtentikacije, kjerkoli je to mogoče. Za učinkovito zaščito se je namesto preprostih gesel npr. »priimek123« izkazala uporaba fraz s posebnimi znaki, npr. »JeDan3sSonc3nDan?«.
Ranljiv je človek, ne tehnologija
Etični heker Gabor opozarja tudi, da so spletni napadi najpogosteje usmerjeni na človeka in ne na tehnologijo. Napadi uspevajo zato, ker ciljajo na naša čustva, npr. strah, pohlep, občutek nujnosti. Gre za psihološke, ne tehnične prijeme. Klic z domnevne banke, elektronsko sporočilo z opozorilom »nujno ukrepajte!«, obljuba velike denarne nagrade – vse to so pasti, zasnovane tako, da nas ujamejo v trenutku nepremišljenosti. Hitro kliknemo na povezavo in vpišemo svoje geslo, še preden se vprašamo, če je spletna stran verodostojna.

Foto: Freepik
Zato strokovnjaki spodbujajo premišljeno brskanje po spletu, še posebej, če vnašamo ali iščemo občutljive podatke. V takih primerih priporočajo uporabo zasebnih iskalnikov, blokatorjev sledilcev in anonimnih načinov brskanja. Pri uporabi javnih omrežij pa je dobro uporabiti VPN – navidezno zasebno omrežje, ki šifrira promet med našo napravo in spletom.
Have I Been Pwned je brezplačno spletno orodje, prek katerega lahko z vpisom svojega e-naslova preverimo, ali so bila naša gesla ali e-poštni naslovi vključeni v javno znane podatkovne vdore. Redno preverjanje na tej strani nam pomaga, da pravočasno ukrepamo, torej zamenjamo gesla in preprečimo morebitno zlorabo računov.
Spletnih varnostnih rešitev je mnogo, nekatere zaradi svoje kvalitete cenovno gledano segajo v nebo. To pa še ne pomeni, da si večina uporabnikov s pazljivim ravnanjem z osebnimi podatki ter z brezplačnimi in dostopnimi orodji na spletu ne more zagotoviti varnega prostora. Najbolje je, če ponotranjimo varnostne korake, tako kot vedno zaklenemo vrata, ko odidemo od doma.