Upravljanje spletnih gesel

Spletna varnost obremenjuje veliko uporabnikov. Googlova strokovnjaka Mark Risher in Stephan Micklitz govorita o upoštevanju teh čustev pri razvijanju varnostnih ukrepov.

G. Risher, ste direktor, odgovoren za upravljanje izdelkov pri Googlu, in se ukvarjate z varnostjo v internetu. Ste bili kdaj žrtev spletne prevare?

Mark Risher: Točno določenega primera se trenutno ne spomnim, vendar sem najbrž bil. Med brskanjem po spletu tako kot drugi tudi jaz delam napake. Ni dolgo, ko sem na primer Googlovo geslo vnesel na napačnem spletnem mestu. K sreči sem imel nameščen Chromov vtičnik »Zaščita gesla«, ki je opozoril na napako. Geslo sem nato seveda takoj spremenil.

Stephan Micklitz, direktor oddelka za načrtovanje Googlove skupine za zasebnost in varnost: To je čisto človeška napaka. Ko si zapomnimo geslo, se lahko preprosto zgodi, da ga vnesemo brez posvečanja pozornosti temu, kam ga vnesemo.

Risher: Z veseljem bi se gesel znebili v celoti, vendar to žal ni tako preprosto.

»V ozadju se izvajajo številni ukrepi za zagotavljanje varnosti.«

Mark Risher

Kaj je tako slabega pri geslih?

Risher: Imajo veliko slabosti. Zlahka jih je ukrasti, težko si jih je zapomniti, upravljanje gesel pa zna biti zoprno. Veliko uporabnikov meni, da mora biti geslo čim daljše in čim bolj zapleteno, vendar je varnostno tveganje s tem dejansko večje. Če imajo uporabniki zapletena gesla, jih radi uporabijo za več kot en račun, zaradi česar so ti ranljivejši.

Micklitz: Najbolje je, da čim manjkrat vnesete geslo. Zato se ne smete vedno znova prijavljati v račune in odjavljati iz njih. Čez čas se lahko zgodi, da uporabniki niso pozorni na to, na kateri strani so trenutno, kar tatovom gesel močno olajša delo. Zato uporabnikom svetujemo, da ostanejo prijavljeni.

Spletno mesto moje banke me samodejno odjavi po nekajminutni nedejavnosti.

Micklitz: Veliko podjetij žal še vedno upošteva zastarela pravila. Nasvet za nenehno odjavljanje izhaja iz časov, ko je večina ljudi brskala po spletu v kavarnah z dostopom do interneta ali računalnikih v skupni rabi z drugimi. Naša raziskava je pokazala, da večkrat ko ljudje vnesejo geslo, večja je verjetnost, da bodo žrtev kibernapada. Zato je varneje, da preprosto aktivirate zaklepanje zaslona v mobilnem telefonu ali računalniku in uporabite varno geslo.

Risher: Tako je. Na žalost je v obtoku veliko nepravih ali nepraktičnih nasvetov, kar lahko zbega mnogo uporabnikov. V najslabšem primeru so nekateri tako negotovi, da se preprosto vdajo, češ: »Če je zaščita mojih podatkov tako zapletena, potem je vsak trud odveč.« To je podobno, kot bi imeli vedno odprta vhodna vrata, ker veste, da so v bližini vlomilci.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher je direktor, odgovoren za upravljanje izdelkov za varnost in zasebnost, pri Googlu. Leta 2010 je ustanovil Impermium, zagonsko podjetje za kibernetsko varnost, ki ga je Google prevzel leta 2014. Od takrat Risher dela na sedežu podjetja v mestu Mountain View v Kaliforniji. Na desni: Varnostni ključ, kot se ga uporablja v programu dodatne zaščite. Cena ključa ni visoka, lahko pa ga uporabite na različnih spletnih mestih.

Kako bi Google zagotovil varnost uporabnikov, če bi odpravili gesla?

Risher: V ozadju se že tako ali tako izvajajo številni dodatni ukrepi za zagotavljanje varnosti. Tudi če bi heker ugotovil vaše geslo in številko mobilnega telefona, bi vam za račun Google še vedno lahko zagotavljali 99,9-odstotno zaščito. Preverimo na primer, v kateri napravi ali državi se nekdo prijavlja. Če se nekdo večkrat zapovrstjo poskuša prijaviti v vaš račun z napačnim geslom, to v naših varnostnih sistemih sproži alarme.

Micklitz: Razvili smo tudi varnostni pregled, ki uporabnikom omogoča, da v računu Google po korakih pregledajo osebne varnostne nastavitve. S programom dodatne zaščite smo naredili še korak dlje.

Kakšen je namen tega programa?

Micklitz: Prvotno smo program razvili za politike, generalne direktorje ali novinarje, za katere bi se zlasti zanimali zločinci. Zdaj pa je na voljo vsem, ki si želijo dodatno spletno zaščito. Do zaščitenega računa Google lahko dostopajo samo tisti, ki imajo posebni ključ s tehnologijo USB ali Bluetooth.

Risher: Iz izkušenj vemo, kako učinkovit je ta sistem. Vsi Googlovi uslužbenci zaradi varnosti računov podjetja namreč uporabljajo varnostni ključ. Odkar smo uvedli ta varnostni ukrep, še nismo imeli primera lažnega predstavljanja, ki bi se zgodil zaradi lažnivega poskusa potrjevanja gesla. Žeton zelo izboljša varnost računa Google – četudi napadalci poznajo geslo, brez žetona ne morejo dostopati do računa. Splošno gledano je v spletni račun mogoče vdreti od koder koli na svetu, kar pa ne velja za račune, ki so zaščiteni s fizičnim varnostnim žetonom.

Micklitz: Te varnostne žetone je sicer mogoče uporabiti za več spletnih mest – ne samo za Googlov program dodatne zaščite. Kupite jih lahko pri nas ali pri drugih ponudnikih in ne stanejo veliko. Vse podrobnosti lahko najdete na g.co/advancedprotection.

»Ljudje včasih težko ocenijo spletna tveganja.«

Stephan Micklitz

Katere so po vašem mnenju največje nevarnosti, ki danes prežijo na nas v internetu?

Risher: Ena od težav so številni seznami uporabniških imen in gesel, ki obstajajo v spletu. Sodelavec Tadek Pietraszek je s svojo ekipo šest tednov prečesaval internet ter odkril 3,5 milijarde kombinacij uporabniških imen in gesel. To niso podatki iz računov Google, v katerih je prišlo do vdora – gre za ukradene podatke drugih ponudnikov. Ker pa veliko uporabnikov uporablja enako geslo za več računov, ti seznami za nas prav tako predstavljajo težavo.

Micklitz: Usmerjeno lažno predstavljanje se mi zdi velika težava. To je takrat, ko napadalec ustvari tako premišljeno osebno prilagojeno sporočilo, da žrtev težko sprevidi, da gre za goljufivo namero. Hekerji se tega načina poslužujejo vse bolj, in to uspešno.

Risher: Se strinjam s Stephanom. Usmerjeno lažno predstavljanje poleg tega niti ni tako časovno zamudno, kot se morda sliši. Za osebno prilagoditev neželene e-pošte je pogosto potrebnih le nekaj minut. Hekerji lahko uporabijo podatke, ki jih uporabniki o sebi objavljajo v spletu. To je na primer težava s kriptovalutami – ljudi, ki javno oznanijo, da imajo v lasti 10.000 bitcoinov, ne bi smelo presenetiti, če ta podatek pritegne pozornost kibernetskih zločincev.

Micklitz: Kot bi jaz sredi tržnice z megafonom oznanil stanje na svojem bančnem računu. Kdo bi to storil? Nihče. Vendar ljudje včasih težko ocenijo tveganja v internetu.

Ali navadna neželena e-poštna sporočila še vedno predstavljajo težavo?

Risher: Povezovanje naprav in storitev nam je v velik izziv. Ljudje za povezovanje v splet ne uporabljajo samo prenosnikov in pametnih telefonov, ampak tudi televizorje, pametne ure in pametne zvočnike. V teh napravah se izvajajo različne aplikacije, kar hekerjem omogoča veliko različnih mest za vdor. Ker je zdaj povezanih veliko naprav, lahko hekerji z eno napravo poskusijo dostopati do podatkov, ki so shranjeni v drugi napravi. Zato se moramo posvetiti vprašanju, kako lahko zagotovimo varnost uporabnikov kljub številnim novim navadam uporabe.

Micklitz: Najprej se moramo vprašati, katere podatke zares potrebujemo za vsako storitev in kateri podatki se izmenjujejo med storitvami.

Kako uporabljate umetno inteligenco za pomoč pri zaščiti uporabnikov?

Micklitz: Google že kar nekaj časa uporablja umetno inteligenco.

Risher: To tehnologijo smo od samega začetka vključili v Gmail, našo e-poštno storitev. Google je razvil celo svojo knjižnico strojnega učenja TensorFlow, ki je v pomoč programerjem, ki se ukvarjajo s strojnim učenjem. Gmail ima zlasti koristi od knjižnice TensorFlow, saj ta predstavlja pomembno storitev, kar se tiče prepoznavanja tipičnih vzorcev.

Lahko pojasnite, kako deluje to prepoznavanje vzorcev?

Risher: Recimo da opazujemo sumljivo dejavnost med različnimi uporabniki, ki je ne moremo kategorizirati. Samoučeča naprava lahko primerja te dogodke in v najboljšem primeru zazna nove oblike goljufije, še preden se te začnejo širiti po spletu.

Micklitz: Vseeno obstajajo omejitve. Naprava je le toliko inteligentna kot oseba, ki jo uporablja. Če v napravo vnesem napačne ali pristranske podatke, bodo vzorci, ki jih prepozna, prav tako napačni oziroma pristranski. Kljub navdušenju, ki vlada v povezavi z umetno inteligenco, pa je njena učinkovitost odvisna od osebe, ki jo uporablja. Uporabnik je tisti, ki mora usposobiti napravo z visokokakovostnimi podatki in naknadno preveriti rezultate.

Risher: Ko sem delal za drugega e-poštnega ponudnika, smo prejeli sporočilo bančnega uslužbenca iz Lagosa. Takrat je bilo v obtoku veliko goljufivih e-poštnih sporočil, ki naj bi prihajala iz Nigerije. Moški se je pritoževal, da so njegova e-poštna sporočila vedno končala v prejemnikovi mapi z vsiljeno pošto, čeprav je delal za ugledno banko. To je tipičen primer napačnega posploševanja v okviru prepoznavanja vzorcev zaradi nezadostnega števila podatkov. To težavo smo pomagali rešiti tako, da smo spremenili algoritem.

Fotografije: Conny Mirbach

Raziščite, kako Google pomaga vsem zagotavljati varnost v spletu.