Šiuo metu dešimtys tūkstančių žmonių Lietuvoje keičia savo slaptažodžius. Statistika rodo, kad 26 procentai interneto naudotojų skirtingoms sistemoms naudoja tą patį ar panašų slaptažodį, ir net 48 procentai turi vienodą slaptažodį darbo ir asmeninėms reikmėms.
Lietuvoje dažniausiai naudojamų slaptažodžių dešimtuką sudaro „123456“, „kilobaitas“, „123456789“, „lopas123“, „labas123“, „123123“, „Matttt24“, „nesakysiu“, „samsung“ ir „kompas“. Dabar pasirodė ir„Specops Software“ tyrimų grupės parengta 2025 metų pažeidžiamų slaptažodžių ataskaita kelia ne tik nerimą, bet ir yra nauja.
Sausio 21 d. paskelbtoje ataskaitoje analizuojama daugiau nei milijardas slaptažodžių, kurie buvo pavogti kenkėjiškomis programomis. Taip, perskaitėte teisingai – vienas milijardas slaptažodžių, kurie atsidūrė kibernetinių nusikaltėlių rankose.
„Pasakymas, kad šis skaičius turėtų kelti nerimą visiems, tiek vartotojams, tiek organizacijoms, neabejotinai turi būti vertinamas itin rimtai. Net jei jūsų organizacijos slaptažodžių politika yra griežta ir atitinka atitikties standartus“, – sakė „Specops Software“ vyresnysis produktų vadovas, Darrenas Jamesas. „Tai neapsaugos slaptažodžių nuo vagystės kenkėjiškomis programomis“.
„Specops“ tyrėjai šiame duomenų rinkinyje pastebėjo „daugybę pavogtų slaptažodžių“, kurie viršijo ilgio ir sudėtingumo reikalavimus, nustatytus daugybėje kibernetinio saugumo politikų ir taisyklių. Jei į šią situaciją dar įmaišysime pakartotinį slaptažodžių naudojimą – vargu ar nustebins tai, kad dabar padėtis yra ne tik bauginanti, bet ir labai pavojinga, kalbant apie paskyrų kompromitavimą.
Rengiant šią ataskaitą iš viso buvo išanalizuoti 1 089 342 532 pavogti slaptažodžiai, užfiksuoti per pastarųjų 12 mėnesių laikotarpį. Per 2024 m. „Specops“ grėsmių vertinimo komanda surinko duomenis apie įgaliojimų vagystes naudojant kenkėjišką programinę įrangą, kurie vėliau buvo kruopščiai išanalizuoti, kad būtų galima suprasti, kaip naudotojai renkasi slaptažodžius ir jais piktnaudžiauja.
„Nagrinėdami realaus pasaulio slaptažodžių duomenis ir analizuodami užpuolikų naudojamus metodus“, – teigė tyrėjai. „Tikimės pateikti jums naudingų įžvalgų ir rekomendacijų, kaip patobulinti savo saugumo protokolus ir apsisaugoti nuo kenkėjiška programine įranga pavogtų įgaliojimų grėsmės“.
Yra kibernetiniai nusikaltėliai ir įsilaužėliai, o yra ir pradinės prieigos tarpininkai. Šios rūšies sukčiai specializuojasi prekiauti pavogtais įgaliojimais, įskaitant slaptažodžius, kuriuos įsilaužėliai vėliau naudoja pradinei prieigai prie tikslinių tinklų ar paskyrų gauti, kaip galima suprasti iš pavadinimo.
Tačiau iš kur šie pirminės prieigos tarpininkai gauna slaptažodžius? Geras klausimas, o atsakymas yra toks – dažniausiai žemo lygio grėsmių dalyviai jiems gauti naudoja kenkėjišką programinę įrangą, konkrečiai – infostealerius.
„Supratimas, kaip veikia infostealeriai, gali padėti sukurti geresnę saugumo praktiką ir apsisaugojimo nuo jų priemones, – teigiama „Specops“ analizėje. „Svarbu nuolat atnaujinti programinę įrangą, naudoti stiprius ir unikalius slaptažodžius ir, jei įmanoma, taikyti daugiafaktorinį autentifikavimą“.
„Specops“ tyrėjai teigia, kad iš daugiau nei milijardo išanalizuotų pažeistų slaptažodžių 230 milijonų iš tikrųjų atitiko standartinius sudėtingumo reikalavimus, taikomus daugelyje organizacijų ir naudojamus daugelio vartotojų.
Daugiau nei aštuonių simbolių slaptažodis, kuriame yra didžioji raidė, skaitmuo, specialusis simbolis ir t. t., yra netinkamas pasirinkimas. Iš tiesų, kad tai būtų dar labiau pabrėžta, analizės metu nustatyta, kad duomenų rinkinyje yra daugiau kaip 350 mln. slaptažodžių, kurių ilgis viršija 10 simbolių; 92 mln. iš jų buvo 12 simbolių ilgio.
Pasak tyrėjų, kalbant apie slaptažodžius, dydis tikrai nėra viskas – nors, pasak tyrėjų, „ilgas ir stiprus“ išlieka aktualus šūkis, kai kalbama apie slaptažodžių kūrimą. Paprastai rekomenduoju naudoti unikalų ir atsitiktinai sugeneruotą 20 simbolių slaptažodį, naudojant slaptažodžių tvarkyklę.
„Įsilaužėliai pirmenybę teikia kenkėjiškomis programomis pavogtiems prisijungimo duomenims, nes juos lengva gauti, naudoti ir parduoti“, – teigė tyrėjai.
Dažniausiai naudojamomis informaciją vagiančiomis kenkėjiškomis programomis pripažintos „Redline“, „Vidar“ ir „Raccoon Stealer“. Tikroji analizės išvada yra ta, kad kenkėjiška programinė įranga yra viena iš pagrindinių priežasčių, kodėl pakartotinis slaptažodžių naudojimas yra toks pavojingas.
Kaip vienas iš apsaugos priemonių visuomet yra įvardijamos slaptažodžių tvarkyklės. Saugumo specialistai pateikia ir dar vieną rekomendaciją – visiems vartotojams atsisiųsti „1Password“ arba „Bitwarden“, ir naudoti šią programą savo slaptažodžių saugumo auditui atlikti.
Įsitikinkite, kad visi jūsų slaptažodžiai yra unikalūs ir stiprūs, pakeiskite visus pakartotinai naudotus slaptažodžius, ir padarykite tai kuo skubiau, jei nenorite, kad patektumėte į 1 mlrd. pavogtų slaptažodžių sąrašą.
