Dirbtinis intelektas (DI) per pastaruosius metus tapo kasdieniu pagalbininku: jis automatizuoja užduotis, greičiau apdoroja didelius duomenų kiekius ir padeda priimti sprendimus. Tačiau ši technologija naudojama ne vien geriems tikslams. Viena iš augančių grėsmių – DI padedamas slaptažodžių laužymas, kai spėjimai generuojami ir tikrinami nebe valandomis, o sekundėmis.
DI ypač pavojingas tuo, kad gali automatizuoti tai, kas anksčiau reikalavo daug rankinio darbo: nuo taikinių atrankos iki bandymų prisijungti, pritaikant spėjimus konkrečiam žmogui. Kitaip tariant, atakos tampa greitesnės, tikslesnės ir sunkiau pastebimos.
Ar dirbtinis intelektas gali nulaužti slaptažodžius?
Taip. Tradiciniai metodai dažnai remiasi įprastais įrankiais ir patirtimi, o DI leidžia „mechanizuoti“ didelę dalį proceso: automatizuoti bandymus, tobulinti spėjimo strategijas ir parinkti efektyviausią atakos kryptį. Praktikoje tai reiškia, kad užpuolikams lengviau greitai pasiekti rezultatą, ypač kai slaptažodis trumpas arba nuspėjamas.
DI slaptažodžių „atspėjimo“ greitis labiausiai priklauso nuo dviejų dalykų: ilgio ir sudėtingumo. Kuo slaptažodis trumpesnis, tuo mažiau kombinacijų reikia išbandyti. Net jei naudojami simboliai, skaičiai ir didžiosios raidės, septynių simbolių tipo slaptažodžiai gali būti įveikiami per labai trumpą laiką. Ilgesni slaptažodžiai (ypač slaptafrazės) paprastai yra saugesni, tačiau rizika išauga, jei slaptafrazę galima atspėti pagal jūsų viešai skelbiamą informaciją.
Kaip DI padeda įsilaužėliams spėti slaptažodžius?
Didžiausias DI pranašumas užpuolikams – mastelis ir automatizacija. Vietoje to, kad žmogus rankiniu būdu rinktų informaciją ar kurtų apgaulingas žinutes, DI gali tai daryti nuosekliai, greitai ir dideliu kiekiu. Toliau – keli dažniausi būdai, kaip DI prisideda prie slaptažodžių kompromitavimo.
Taiklingi sukčiavimo laiškai ir žinutės
Viena pavojingiausių krypčių – personalizuotos socialinės inžinerijos atakos. Vietoje bendrinių „Jūsų siunta užstrigo“ tipo laiškų, DI gali padėti paruošti žinutes, kurios atrodo aktualios konkrečiam žmogui: su jam svarbiomis temomis, laikmečio įvykiais ar net finansinėmis užuominomis. Tikslas paprastas – priversti jus patiems atskleisti prisijungimo duomenis arba paspausti nuorodą, kuri vėliau leis juos perimti.
Viešos informacijos (OSINT) analizė ir slaptafrazės spėjimas
DI dažnai derinamas su viešai prieinamų duomenų paieška ir analize. Tai gali būti informacija iš socialinių tinklų, paieškos sistemų, profesinių profilių, publikacijų ar kitų viešų šaltinių. Tokie duomenys gali padėti sukurti „protingesnius“ spėjimus: pavyzdžiui, atpažinti kartojamus žodžius nuotraukose (pvz., augintinio vardą ant antkaklio), įžvelgti pomėgius, datas ar kitus pasikartojančius motyvus, kurie vėliau panaudojami spėjant slaptažodžius ar slaptafrazes.
Lygiagretūs išpuoliai prieš daug taikinių vienu metu
DI leidžia vienu metu vykdyti daugiau atakų su mažesnėmis „žmogiškomis“ sąnaudomis. Tai reiškia, kad užpuolikai gali taikyti į daugiau organizacijų ar paslaugų, daryti tikslesnius bandymus ir tikrinti daugiau paskyrų kombinacijų. Kuo didesnis mastas, tuo didesnė tikimybė „pataikyti“ į silpnesnę vietą.
Kaip sustiprinti slaptažodžių saugumą?
Nors DI kelia naujų rizikų, daugumą jų galima reikšmingai sumažinti, jei laikysitės kelių aiškių principų. Svarbiausia – įvairumas, ilgis ir mažiau nuspėjamumo.
Naudokite skirtingus slaptažodžius kiekvienai paskyrai
Vienas slaptažodis kelioms paslaugoms – viena dažniausių klaidų. Jei nuteka vienos svetainės duomenys, tie patys prisijungimai dažnai išbandomi kitur. Sprendimas paprastas: kiekvienai paslaugai – atskiras slaptažodis. Kad nereikėtų visko įsiminti, pravartu naudoti slaptažodžių tvarkykles, kurios gali ir saugoti, ir generuoti unikalias kombinacijas.
Rinkitės ilgesnius ir sunkiau nuspėjamus slaptažodžius
Gera kryptis – ilgas slaptažodis arba slaptafrazė, kurioje naudojamos mažosios ir didžiosios raidės, skaičiai bei simboliai, o pati kombinacija neturi aiškaus ryšio su jumis. Venkite lengvai atspėjamų variantų: vardų, gimtadienių, augintinių vardų, populiarių žodžių ir jų paprastų modifikacijų.
Mažiau asmeninės informacijos viešai
Kuo daugiau detalių apie save skelbiate internete, tuo lengviau sukurti „asmeniškai pritaikytus“ spėjimus. Vieši įrašai apie keliones, pirkinius, šeimą ar įpročius gali tapti užuominomis tiek slaptažodžiams, tiek apgaulingoms žinutėms. Be to, viešai skelbiama informacija kartais leidžia nusikaltėliams geriau parinkti laiką atakai, kai esate mažiau budrūs.
Ką daryti, jei įtariate, kad jūsų paskyra nulaužta?
Jei kyla įtarimų dėl įsilaužimo, pirmas tikslas – sustabdyti galimą tolesnį duomenų perdavimą ir perimti kontrolę. Jei įmanoma, trumpam atsijunkite nuo interneto ir tik tada atlikite likusius veiksmus.
- Patikrinkite įrenginį dėl kenkėjiškų programų ir virusų.
- Skubiai pakeiskite slaptažodžius (ypač el. pašto ir finansinių paslaugų).
- Įjunkite arba sustiprinkite dviejų veiksnių autentifikavimą (2FA).
- Reguliariai atnaujinkite slaptažodžius, ypač svarbiausiose paskyrose.
- Stebėkite kredito istoriją ir galimus neįprastus pokyčius, kurie gali signalizuoti sukčiavimą.
Kai kuriais atvejais verta apsvarstyti ir visiškai naujos paskyros sukūrimą vietoje seno slaptažodžio keitimo – ypač jei paskyra buvo aiškiai perimta arba joje jau atlikta nepageidautinų veiksmų. Nors tai nepatogu, nauja paskyra kartais leidžia pradėti „švariai“ ir pasinaudoti griežtesniais saugumo nustatymais.
