„თქვენი პაროლი მეტისმეტად სუსტია, გთხოვთ, უფრო ძლიერი კომბინაცია გამოიყენოთ” – ამ შინაარსის შეტყობინება ციფრულ პლატფორმებზე რეგისტრაციისას ალბათ მინიმუმ ერთხელ მაინც გვინახავს. ვებგვერდები და აპლიკაციები ხშირად „გველაპარაკებიან და მოგვიწოდებენ”, რომ ძლიერი პაროლები გამოვიყენოთ ჩვენი ანგარიშებისათვის. შეტყობინების მაგივრად შეიძლება გაწითლდეს პაროლის ჩასაწერი ველი იმის მისანიშნებლად, რომ ჩვენი პარამეტრები უნდა გავართულოთ, ზოგჯერ კი სისტემები პირდაპირ გვთავაზობს იმ სიმბოლოებს, რომლებიც პაროლში უნდა გამოვიყენოთ.
ამის მიუხედავად, მაინც ხშირად შეხვდებით ისეთ მარტივ კომბინაციებს, როგორებიცაა 12345678, დაბადების თარიღი, მიმდინარე წლის თარიღი, სახელი და გვარი და მსგავსი ტიპის პაროლები, რომლებითაც, ჩვენი ანგარიშები სოციალურ ქსელებში, ფაქტობრივად, დაუცველია. გასაგებია, ადამიანები რატომ ვანიჭებთ უპირატესობას მოკლე და მარტივ პაროლებს – მათი მოფიქრებაცა და დამახსოვრებაც ბევრად იოლია, თუმცა დღევანდელ სტატიაში, ჩვენს რესპონდენტთან ერთად, გესაუბრებით, როგორი ტიპის პაროლები უნდა დავაყენოთ ციფრული უსაფრთხოების შენარჩუნებისთვის.
Marketer-ის კითხვებს კიბერუსაფრთხოების სპეციალისტი, შალვა სვანიშვილი პასუხობს:
M: ხშირად გვესმის ფრაზა „ძლიერი პაროლი”…მოდი, პირველ რიგში, განგვიმარტეთ, როგორი პაროლი ითვლება ძლიერად და როგორი სუსტად ან საშუალოდ?
პაროლი ძლიერად შეიძლება ჩაითვალოს მაშინ, როცა მისი სიგრძე შეადგენს მინიმუმ 12 სიმბოლოს და შეიცავს მაღალი რეგისტრის სიმბოლოებს (A-Z), დაბალი რეგისტრის სიმბოლოებს (a-z), ციფრებს და სპეციალურ სიმბოლოებს (@, #, $, %, &, * და ა.შ.). საშუალო სირთულის ანუ მისაღებ პაროლად შესაძლოა ჩაითვალოს მაღალი/დაბალი რეგისტრის სიმბოლოების და ციფრების შემცველი მინიმუმ 10 სიმბოლოიანი პაროლი, ხოლო სუსტად მიიჩნევა ისეთი პაროლები, რომლებიც შეიცავენ სიმბოლოთა ადვილად გამოსაცნობ მიმდევრობას: სახელებს, გვარებს, ხშირად ხმარებად ინგლისურ ტერმინებს (მაგალითად, “password”, “user”, ა.შ);
M: აქვს თუ არა მნიშვნელობა, რომელ პლატფორმაზე ვრეგისტრირდებით? იმისთვის, რომ გავითვალისწინოთ შესაბამისი პაროლი?
ზოგადად რეკომენდებულია, რომ ყოველ ახალ პლატფორმაზე რეგისტრაციისას მომხმარებელმა გამოიყენოს სიმბოლოთა განსხვავებული მიმდევრობა. კიბერდამნაშავეები ქმნიან უამრავ ვებგვერდს სხვადასხვა მიმზიდველი სერვისებით, მაგალითად ვებ გვერდებს სადაც განთავსებულია უამრავი „გატეხილი“ საინსტალაციო პაკეტი, ასევე სხვადასხვა თემატიკის სახელმძღვანელოები. მათი გადმოწერისთვის მოთხოვნილია მომხმარებელთა რეგისტრაცია. რათქმაუნდა რეგისტრაციის დროს ასეთი პლატფორმები იმახსოვრებენ მომხმარებლის მიერ შეყვანილ მომხმარებლის სახელსა და პაროლს. თუ რეგისტრაციის დროს მომხმარებელი მიუთითებს სხვა სისტემაში გამოყენებულ პაროლებს და მომხმარებლის სახელებს, ამით ისინი გზას უხსნიან კიბერდამნაშავეებს მათ პლატფორმებზე შესასვლელად.
უცხო საიტებზე რეგისტრაციისთვის სასურველია მომხმარებელმა მოიფიქროს რაიმე ისეთი პაროლი, რომელსაც ის არ იყენებს სხვა სისტემაში (ოპერაციულ სისტემაში, ონლაინ ბანკის გვერდზე, ელექტრონულ ფოსტაში, სოციალურ ქსელებში, მობილურ მოწყობილობებზე და ა.შ.).
M: არსებობს მოსაზრება, რომ პაროლი დროთა განმავლობაში უნდა შეიცვალოს, რა ინტენსივობით უნდა მოხდეს ეს?
რაც უფრო დიდი ხანი იყენებს მომხმარებელი ერთსა და იმავე პაროლს, მით უფრო იზრდება მისი „გატეხვის“ რისკი. რეკომენდებულია პაროლის შეცვლა თვეში ერთხელ. გარდა ამისა, გასათვალისწინებელია ის ფაქტიც, რომ ყოველი ახალი პაროლი უნდა განსხვავდებოდეს ძველისაგან. მეტიც პაროლი არ უნდა იმეორებდეს მინიმუმ ბოლო 12 გამოყენებულ პაროლს, რაც უზრუნველყოფს იმას, რომ მომხმარებელს მთელი წლის განმავლობაში ექნება განსხვავებული პაროლები.
თუ მომხმარებელი სისტემაში შესასვლელად იყენებს მრავალფაქტორიან აუთენტიკაციას, ასეთ შემთხვევაში შესაძლებელია პაროლის შეცვლა 2-3 თვეში ერთხელ.
M: რამდენად ხშირია პაროლის ე.წ. გატეხვის შემთხვევები?
მსოფლიო მასშტაბით, ყოველდღიურად, „ტყდება“ უამრავი პაროლი. პაროლთა „გატეხვის“ ძირითად მიზეზებად მიჩნეულია შემდეგი სიტუაციები: 1. მომხმარებელი იყენებს ადვილად გამოცნობად პაროლებს; 2. მომხმარებელი იწერს პროგრამული უზრუნველყოფის „პირატულ“ ვერსიას, რომელსაც მოჰყვება უამრავი მავნე პროგრამა, რომლებიც ასრულებენ კლავიატურაზე აკრეფილი სიმბოლოების გამოჭერას და გაგზავნას კიბერდამნაშავეებისთვის, ასეთ მავნე პროგრამებს უწოდებენ keylogger-ებს (კლავიატურის ჯაშუშებს); 3. მომხმარებლები ერთმანეთს უზიარებენ თავიანთ პაროლებს, პაროლებს ინიშნავენ ფურცელზე, კომპიუტერში ქმნიან ფაილს, რომელშიც იწერენ ყველა იმ პაროლს, რომლებსაც ისინი იყენებენ სისტემებთან მუშაობისას; 4. ძალიან ბევრი მომხმარებელი ხდება სოციალური ინჟინერიის მსხვერპლი, სოციალური ინჟინერის შეტევა დაფუძნებულია ადამიანის მოტყუებაზე და ფსიქოლოგიურ მანიპულაციაზე. მაგალითად, მომხმარებელმა შესაძლოა მიიღოს ელექტრონული შეტყობინება რომელიმე ბანკის სახელით, სადაც მას სთავაზობენ სესხს დაბალ პროცენტში. სესხის აღებისა და სწრაფი დამტკიცებისთვის მოთხოვნილია, რომ მომხმარებელმა გაიაროს ავტორიზაცია, ამისათვის ელ. შეტყობინებაში მოცემულია ბმული. ეს ბმული რეალურად არის ყალბი. თუ მომხმარებელი გადავა ამ ბმულზე და შეიყვანს მომხმარებლის სახელსა და პაროლს, სოციალური ინჟინერი (კიბერდამნაშავე) ყოველგვარი წვალების გარეშე მიიღებს საჭირო ინფორმაციას. არსებობს სოციალური ინჟინერიის მრავალი სახე: ფიშინგი, მიზანმიმართული ფიშინგი, სპამი, SMS ფიშინგი, pharming; ყველა მათგანი ორიენტირებულია მომხმარებლისაგან კონფიდენციალური ინფორმაციის გამოტყუებაზე.
M: საქართველოში ყველაზე ხშირად როგორი პაროლებია გამოყენებული?
ჩემი პრაქტიკიდან გამომდინარე გეტყვით, რომ მომხმარებლები ძირითადად ირჩევენ ადვილად დასამახსოვრებელ პაროლებს, როგორებიცაა: დაბადების წლები, ბავშვების სახელები, მშობლების სახელები ან მათი დაბადების წლები. მოცემულ ბმულზე გადასვლით შეგიძლიათ დაათვალიეროთ მსოფლიოში ყველაზე გავრცელებული ტოპ 10 მილიონი პაროლი. კიბერდამნაშავე პირველ რიგში მოსინჯავს ასეთ სიებში არსებულ პაროლებს. ბევრ ორგანიზაციაში მინახავს, რომ მომხმარებლები საერთოდ არ იყენებენ პაროლებს. ზოგან იყენებენ, მაგრამ ფურცელზე უწერიათ, რომელიც გაკრულია პრინტერზე ან პირდაპირ მონიტორზე.
M: რამდენად გვაქვს იმის გარანტია, რომ ძლიერი პაროლი საერთოდ არაა „გატეხვადი”?
პაროლის „გატეხვა“ არაა დამოკიდებული მხოლოდ მის სირთულეზე. რაც არ უნდა რთული პაროლი აირჩიოს მომხმარებელმა, ის მაინც დაუცველი იქნება თუ მომხმარებელი არ დაიცავს ელემენტარულ კიბერჰიგიენის რეკომენდაციებს. როგორც უკვე აღინიშნა ზემოთ, მომხმარებელი შესაძლოა გახდეს სოციალური ინჟინერიის მსხვერპლი, ასეთ შემთხვევაში საერთოდ არაა საჭირო პაროლის „გატეხვა“, მომხმარებელი თავისი ხელით გადასცემს ამ ინფორმაციას.
სადაც შესაძლებელია, მომხმარებელმა ყველგან უნდა გააქტიუროს მრავალფაქტორიანი აუთენტიფიკაცია, რათა მომხმარებლის სახელის და პაროლის გამოცნობის შემთხვევაში მომხმარებელი მაინც დაცული იყოს, რადგან ასეთ შემთხვევაში სისტემაში შესასვლელად საჭიროა დამატებითი ფაქტორი – SMS კოდის სახით.
M: არსებობს თუ არა პროგრამები, რომლებიც პაროლების დამახსოვრებისთვის შეგვიძლია გამოვიყენოთ?
ასეთი პროგრამები არსებობს უამრავი: KEEPER, DASHLANE, LastPass და ა.შ. თუმცა ჩემი რჩევა იქნება, თუ მომხმარებლები არსად არ შეინახავენ პაროლებს. შენახვა ძირითადად საჭიროა იმის გამო, რომ მომხმარებლები ვერ იმახსოვრებენ რთულ პაროლებს. პაროლები ისეთი უნდა შევქმნათ, რომელიც იქნება რთული და ადვილად დამახსოვრებადი. მომხმარებელს შეუძლია აარჩიოს ნებისმიერი მისთვის საყვარელი სიტყვა და ის გაართულოს. მაგალითად, ავიღოთ ჩემი გვარი svanishvili. იმისათვის, რომ ის იქცეს რთულ პაროლად, პირველი სიმბოლო დავწეროთ მაღალ რეგისტრში და ყველა i სიმბოლო შევცვალოთ ! ნიშნით, ხოლო ბოლოში მივაწეროთ რაიმე ციფრი, მაგალითად წლის ბოლო ორი რიცხვი. მივიღებთ შემდეგ პაროლს: Svan!shv!l!22, რომელიც ჯდება ყველანაირ სტანდარტში.
დღეს პრაქტიკაში მიღებულია, რომ პაროლის ნაცვლად გამოვიყენოთ პაროლი-ფრაზები. ასეთ შემთხვევაში მომხმარებელმა უნდა აირჩიოს მისთვის სასურველი მინიმუმ 2-3 სიტყვა. ეს სიტყვები შესაძლოა აღებული იქნება ცნობილი ლექსიდან, გამოთქმიდან, ანდაზიდან, გამოცანიდან და ა.შ. მაგალითად, ავიღოთ წინადადება ხერხი სჯობია ღონესა – kherkhi sjobia ghonesa. იმისათვის, რომ ეს წინადადება იქცეს რთულ პაროლ-ფრაზად, სიტყვის პირველი სიმბოლოები დავიწყოთ მაღალი რეგისტრით, სიტყვებს შორის ჩავსვათ რაიმე სპეც. სიმბოლო (!@#$%^&*), ბოლოში მივაწეროთ წლევანდელი წლის ბოლო ორი რიცხვი – 22, მივიღებთ: Kherkhi@Sjobia@Ghonesa22.
ავტორი: მარიამ გოჩიაშვილი
