Kibernetinio saugumo ekspertas – saugokite šią paskyrą, „nulaužus“ ją kyla pavojus visiems jūsų duomenims

Žmogaus saugumo lygis lygus silpniausios svetainės, kurią kada nors lankė. Internete nuolat nuteka duomenų bazės „Facebook“,“Google“, didelių ir mažų el. parduotuvių. Kai vartotojo el. paštas ir slaptažodis atsiduria tamsiajame internete, automatizuoti įrankiai per kelias valandas išbando tą pačią kombinaciją tūkstančiuose kitų svetainių. Tai vadinama „credential stuffing“ — ir ji veikia todėl, kad žmonės slaptažodžius kartoja. „Telia“ Techninio saugumo vadovas Darius Povilaitis pataria svetainėje „Have I Been Pwned“ pasitikrint ar jūsų duomenys nėra nutekėję.

Kibernetinio saugumo ekspertas Deividas Ambrazevičius paaiškino, jog vienai svetainei patyrus duomenų nutekėjimą, pavogtas slaptažodis patenka į vadinamuosius „combo lists“ – duomenų bazes, kurios parduodamos arba dalijamos tamsiajame žiniatinklyje (dark web). Mastas didžiulis – 2025 m. „Verizon“ duomenų saugumo tyrime pažeisti prisijungimo duomenys buvo pradinis įsilaužimo vektorius 22 % visų tirtų pažeidimų – jau trečius metus iš eilės tai – dažniausias kelias į vidų.

Pasak specialisto, niekada nepuolama viena paskyra – puolama šimtai tūkstančių vienu metu: „Kai gaunu slaptažodžių sąrašą iš nutekėjusios svetainės, pirmas dalykas yra paleisti jį per automatizuotus įrankius prieš vertingus taikinius: El. paštą, debesijos saugyklas, populiarias platformas. Jei žmogus naudoja tą patį slaptažodį visur, per kelias minutes turiu prieigą prie jo paskyros, asmeninių nuotraukų ir visos skaitmeninės tapatybės“.

Pasak jo, vadinamosios Credential stuffing atakos yra vienos dažniausių pasaulyje. Svarbu suprasti, kad tai dažnai nebūna vienas įsilaužimas, o iš tūkstančių ankstesnių nutekėjimų sudaryta kompiliacija, kaip tik skirta credential stuffing atakoms. 2025 m. credential stuffing sudarė apie 19 % visų autentifikacijos bandymų tiriamose organizacijose, o tai reiškia, kad beveik kas penktas prisijungimo bandymas yra atakuotojas, bandantis pavogtus duomenis. Ypač pavojinga, kai nulaužiamas el. paštas: tada per „password reset“ funkcijas galima atstatyti slaptažodžius visose kitose svetainėse. Tai domino efektas – viena krenta, krenta viskas.

„Realybė dar blogesnė, nei manote. Niekas netikrina duomenų rankiniu būdu, yra įrankiai, per kelias valandas patikrinantys juos per šimtus populiarių svetainių. Radus atitikimą, rankiniu būdu žiūrima, kas tai per paskyra. Net stiprus unikalus slaptažodis nesuteikia absoliučios garantijos. Sparčiai auga „infostealer“ – kenkėjai, kenkėjiškos programos, kurios pavagia ne tik įrašytus slaptažodžius, bet ir sesijos slapukus. Turint galiojantį sesijos slapuką, galima prisijungti prie paskyros visiškai apeinant net dviejų veiksnių autentifikaciją – nes sistema mano, kad jūs jau prisijungę“, – aiškino D. Ambrazevičius.

Labai realu, kad „nulaužus“ vieną slaptažodį kokioje nors svetainėje, bus puolamos ir kitos. Procesas automatizuotas: įrankiai per naktį išbando pavogtas kombinacijas tūkstančiuose svetainių.

Vienas iš galimų būdų spręsti pasikartojančių slaptažodžių klausimą – slaptažodžių tvarkyklės. Tačiau žinant nusikalstamumos internete mastus kyla klausimas, ar jos apsaugotos nuo atakų? D. Povilaitis ramina, jog naudotis tvarkyklėmis – geriau nei kartoti slaptažodžius visur. Tačiau jos irgi puolamos. 2022 m. „LastPass“ užpuolikai pavogė šifruotas vartotojų saugyklų kopijas su prisijungimo duomenimis, el. pašto adresais ir kitais asmeniniais duomenimis. Išvada: tvarkyklę naudoti verta, bet pagrindinis slaptažodis turi būti ilgas ir unikalus. Ir svarbiausia naudoti dvigubą identifikavimą visur, kur galima. Net nutekėjęs slaptažodis tada yra bevertis.

Saugumo ekspertas patarė ir daugiau būdų susikurti saugius slaptažodžius. Šiuolaikinis sprendimas yra slaptažodžių tvarkyklės, kurios sugeneruoja unikalius, kriptografiškai stiprius slaptažodžius kiekvienai svetainei ir saugo užšifruotas saugykloje. Vartotojui tereikia prisiminti vieną pagrindinį slaptažodį, atrakinanti saugyklą.

Dar viena alternatyva, anot jo – slaptafrazės: ilgos, bet įsimenamos frazės iš atsitiktinių žodžių. Svarbu suprasti, kaip iš tikrųjų veikia stiprumas, nes apie tai sklando daug pusiau teisingų mitų.

Slaptažodžio stiprumą lemia ilgio ir atsitiktinumo derinys, o ne tai, ar naudojamos „raidės“, ar „simboliai“. Pranašumas slypi ne pačiuose žodžiuose, o tame, kad slaptafrazę galima padaryti daug ilgesnę (penki–šeši žodžiai) ir vis tiek atsiminti – o esant pakankamam ilgiui, jis nugali kompleksiškumą.

Dvi sąlygos privalomos: pakankamas ilgis ir žodžiai turi būti tikrai atsitiktiniai. Prasminga, temiška frazė (pvz., susijusi su jūsų pomėgiais ar gyvenimu) yra silpna, nes ją galima nuspėti. Stipri slaptafrazė atrodo kaip atsitiktinis žodžių rinkinys be jokios logikos.

Tendencija, kurią būtina žinoti yra passkeys (slaptaraktai). Tai sparčiausiai augantis 2025–2026 m. sprendimas, kuris apskritai panaikina slaptažodžio problemą. Vietoj įsimenamos paslapties naudojama viešojo rakto kriptografija: jūsų įrenginyje saugomas privatus raktas, kurio negalima nei pavogti iš svetainės, nei suvesti netikrame puslapyje. Todėl passkeys yra atsparūs sukčiavimui. Vartotojui tai reiškia prisijungimą vienu prisilietimu ar žvilgsniu, be jokio slaptažodžio.

Verslai bei svetainės taip pat išlieka atsakingos už savo vartotojų saugumą internete, o įmonės tikrai gali šį tą padaryti vardant to. Pasak „Telia“ atstovo, mažiausiai turėtų būti pasitelkiamas HTTPS, stiprių slaptažodžių reikalavimas, paskyros užblokavimas po kelių nesėkmingų bandymų jungtis. Svarbiausia – slaptažodžiai serveryje turi būti saugomi moderniais algoritmais — „bcrypt“ ar „Argon2“, ne paprastu tekstu ar MD5.

Jis pridūrė, kad saugumą galima susieti ir su bene kiekviename versle pasitelkiamos SEO strategijos, mat svetainė su žinomais pažeidžiamumais naršyklėje gali būti pažymėta kaip nesaugi google paieškoje.

D. Ambrazevičius pasidalino konkrečiais patarimais įmonėms apie svetainių pažeidžiamumą. Ryšys tarp saugumo ir SEO yra, nors ir netiesioginis. Nuo 2017 m. „Chrome“ pradėjo žymėti kaip „nesaugius“ HTTP puslapius, renkančius slaptažodžius ar kortelių duomenis, o nuo 2018 – jau visus HTTP puslapius. Tai veikia vartotojų pasitikėjimą ir „bounce rate“. Dar svarbiau: saugumo incidentai daro tiesioginę žalą matomumui, jei svetainė patenka į „Google Safe Browsing“ juodąjį sąrašą, ji praktiškai išnyksta iš paieškos rezultatų ir naršyklė vartotojus stabdo įspėjimu. SSL sertifikatai, HSTS antraštės, turinio apsaugos politika ne tik saugo, bet ir praneša paieškos sistemoms, kad svetainė profesionali ir patikima.

Ieškant taikinių, pirmiausia tikrinama, kurios svetainės turi žinomų pažeidžiamumų. Pasenusi „WordPress 4.7“ be atnaujinimų atsiduria sąrašo viršuje. Bet jei svetainė turi stiprią architektūrą – ugniasienę, rate limiting, teisingai įdiegtą CAPTCHA – tiesiog einama prie kito taikinio. Saugi svetainė laimi dvigubai: ją sunkiau nulaužti ir ji geriau matoma paieškoje. Investicija į saugumą yra investicija į matomumą.

Kibernetinio saugumo ekspertas papasaojo, kad programišius sustabdo paprasti, bet nuoseklūs dalykai. Užrakinimas po kelių nesėkmingų bandymų paverčia automatizuotas atakas neefektyviomis. Reikalavimas papildomai patvirtinti prisijungimą iš naujo įrenginio sulėtina. Jei vartotojas visada jungiasi iš Lietuvos, o staiga iš kitos pusės pasaulio, tai – raudona vėliava. Kiekvienas nesėkmingas bandymas, kuris truputį uždelsia atsakymą, žmogui nepastebimas, bet botą užstabdo. O passkeys apskritai pašalina tai, ką galima būtų pavogti – nėra slaptažodžio, kurį būtų galima panaudoti kitur.

1. Passkeys jau peržengė lūžio tašką: apie 87 % įmonių diegia arba bando FIDO2 passkeys (prieš dvejus metus buvo 53 %), o beveik pusė populiariausių 100 svetainių juos palaiko.

2. SMS kaip antras veiksnys – atgyvena – tai viena seniausių technologijų. Reguliuotojai ir saugumo standartai ragina pereiti prie sukčiavimui atsparios autentifikacijos.

3. Infostealer kenkėjai ir sesijų užgrobimas tampa pagrindiniu nutekėjusių duomenų šaltiniu – ir grėsme, kuri apeina net 2FA.

4. Dirbtinis intelektas atakų pusėje. Atakuotojai naudoja DI sukčiavimo laiškams ir socialinei inžinerijai masiškai ir įtikinamiau gaminti.

5. Reguliacinis spaudimas verslui. ES skaitmeninės tapatybės piniginė turi būti įdiegta iki 2026 m. pabaigos; organizacijoms, vis dar besiremiančioms SMS kodais, laikas baigiasi. Saugumas tampa nebe vien IT, o ir atitikties (compliance) klausimu.

Nors duomenų nutekėjimai vyksta nuolat, didžiausia rizika kyla tuomet, kai tas pats slaptažodis naudojamas keliose paskyrose. Ekspertai sutaria, kad unikalūs slaptažodžiai, dviejų veiksnių autentifikacija ir passkeys šiandien yra efektyviausios priemonės apsaugoti savo skaitmeninę tapatybę nuo automatizuotų atakų.