VPRAŠANJE: Občutek imam, da so danes gesla za dostopanje do spletnih storitev skoraj tako pomembna, kot je naša osebna izkaznica. Ker sem pred kratkim obnovila svojo osebno izkaznico, sem pomislila tudi na svoja gesla, ki jih uporabljam na spletu. Ali je ta gesla tudi treba obnavljati in spreminjati? Kako pogosto bi morala to storiti, da si zagotovim varnost na spletu?
ODGOVOR: Gesla so danes gotovo vsaj tako pomembna, kot so, denimo, pomembni ključi našega stanovanja. Skoraj zagotovo z geslom izklopite tudi domačo alarmno napravo. Tudi odpiranje garažnih vrat lahko izvedete že kar z vnosom ustreznega gesla v svoj telefon, da o daljinskem vklopu centralnega ogrevanja niti ne govorimo. Tako kot, denimo, storitve na občini pridobimo na podlagi osebne izkaznice, do vedno več storitev dostopamo z različnimi gesli, pogosto v kombinaciji z dodatnimi varnostnimi mehanizmi, kot je, denimo, uporaba certifikatov ali dvojnega preverjanja istovetnosti. Pomislimo samo na našo spletno banko, učitelji pa aktivno uporabljate e-dnevnike in e-redovalnice, do katerih učenci in dijaki preprosto ne smejo imeti dostopa. Zato je ustrezna skrb za gesla zelo pomembna.
Začne se že pri sestavi dobrega gesla, ki mora biti dovolj dolgo – npr. vsaj 12 znakov, sestavljeno iz različnih znakov in po možnosti številk. Naj bo tudi dovolj izvirno, da ga ni mogoče uganiti. Gesla, kot so 123, Ana, andrejajemec12 in podobna, seveda, niso varna. Prav tako je zelo pomembno, da za vsako storitev uporabite drugačno geslo. Če pride do zlorabe in se nepridipravi dokopljejo do gesel za eno izmed storitev, ki jih uporabljate, lahko pri tem »ukrade« tudi vaše geslo. Če je to vaše geslo enako za dostop do vseh storitev, razplet zgodbe za vas ne bo prijeten. Ko gre za vprašanje pogostosti menjave gesla, pa vam absolutnega odgovora, žal, ne morem podati. Vsekakor je pomembno, da gesla periodično menjate, vendar te menjave nikakor ne smejo prinašati dodatnega
varnostnega tveganja. Izkazalo se je namreč, da so zelo pogosto prestrežena gesla zlorabljena takoj po tem, ko so bila ukradena in vas redna menjava na vsake pol leta pred to nevarnostjo zelo verjetno ne bo zaščitila. Izjema so, denimo, gesla profilov na družbenih medijih, kjer lahko od kraje gesla pa do zlorabe preteče tudi eno leto ali več. Prav tako morate gesla zamenjati ob zlorabi posameznih storitev, kot je bila, denimo, kraja gesel uporabnikov družbenega medija LinkedIn v letu 2012. Seveda si boste naredili medvedjo uslugo tudi, če boste vsak teden zamenjali svoje geslo, a si ga za vsak primer nalepili pod tipkovnico, saj bi ga sicer pozabili.
Ob poplavi različnih storitev si je gesla resnično težko zapomniti, a ni vse tako črno. Obstaja namreč kar nekaj trikov in orodij, ki nam olajšajo upravljanje z gesli. Za samo sestavo gesel lahko, denimo, uporabimo t. i. mnemonike: Marjan gre ob 12tih na kosilo v najboljšo menzo v mestu – Mgo12nkvnmvm – za sestavo gesla smo uporabili začetne črke. Pravi odgovor na poplavo gesel pa so sicer tako imenovane digitalne identitete, prek katerih lahko z enim samim geslom dostopate do večine vaših storitev. Tak primer so storitve znotraj ArnesAAI, do katerih lahko dostopate z enim samim uporabniškim imenom in geslom. V razvoju ali uporabi pa so tudi rešitve, ki za dostop do varnostno občutljivejših rešitev potrebujejo dodatno geslo ali akcijo uporabnika. Tako je lahko, denimo, dostop do občutljive storitve omogočen le z vnosom dodatnega gesla, ki ga prejmete po telefonu, ali s skeniranjem QR-kode prek svojega mobilnega telefona.
Vir: Domen Božeglav, Šolski razgledi, številka 2/2015, 23.1.2015
