Teh 5 stvari naj gre v letu 2025 v pozabo
V svetu kibernetske varnosti so edina stalnica spremembe. Če so se nekateri varnostni pristopi zdeli učinkoviti, danes morda več ne zagotavljajo ustrezne zaščite. Pri si-cretu-u so pripravili pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki ne ustrezajo sodobnim varnostnim zahtevam.

1. Redno menjaj gesla
Marsikatera varnostna politika podjetja še vedno vključuje navodilo, da morajo zaposleni vsake tri mesece menjati gesla, vendar gre to počasi v pozabo. Pri ameriškem Uradu za standardizacijo in tehnologije NIST pravijo, da pogosto menjavanje gesel povzroča le večjo zmedo pri uporabnikih in ustvarjanje kvečjemu še enostavnejših gesel, ki si jih lahko zapomnijo.
Veliko bolj varen in učinkovit pristop je uporaba upravljalnikov gesel. To so namenske aplikacije za generiranje in shranjevanje gesel in drugih občutljivih podatkov. Upravljalniki gesel za vsako storitev zgenerirajo močno in predvsem učinkovito geslo, in ga nato tudi varno shranijo. Za dostop do vseh gesel si moramo zapomniti le eno samo geslo, to pa naj bo res dolgo in unikatno.
Namesto gesla raje uporabimo daljšo frazo. To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena.

2. Vedno preveri, če je v naslovni vrstici slika ključavnice
Ključavnica v naslovni vrstici brskalnika oz. oznaka https v spletnem naslovu pomeni, da je povezava med brskalnikom in spletnim strežnikom zašifrirana, in da nihče na prenosni poti ne more prestrezati vsebine komunikacije. Šifriranje se vrši s pomočjo šifrirnih ključev v strežniških certifikatih. Ti včasih niso bili tako dostopni, kot so danes, tako da mnogo lažnih spletnih mest ni imelo ključavnice. In to je bil precej dober indikator, da je spletna stran, na kateri moramo vpisati svoje geslo, lažna. V današnjem času so strežniški certifikati postali nekaj običajnega, tako da imajo praktično vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Celo več, nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna.
Vendar pa gre tu zgolj za zaščito pred prestrezanjem komunikacije, ključavnica pa prav nič ne pomaga, če na drugi strani tunela stoji napadalec.
Ta nasvet je torej povsem zastarel in ne zagotovi večje varnosti.
3. Phishing lahko prepoznaš po povezavi v sporočilu
Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so povsem drugačni kot naslov legitimne storitve. Na ta način so precej hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, vendar pa napadalci čedalje pogosteje v phishing napadih zakupijo domeno, ki je že zelo podobna domeni ciljane storitve. Ime domene se lahko razlikuje zgolj po končnici ali po malenkost drugačnih črkah in besednih zvezah. Uporabniki pa seveda ne vemo, katere vse domene uporablja neka storitev, tako da smo lahko precej hitro zavedeeni in odpremo povezavo, tudi če smo jo prej preverili.
Novo pravilo se torej glasi, da nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali SMS-sporočilih), ki od nas želijo vpis kakršnih koli podatkov.
4. Ne uporabljaj javnih wi-fi omrežij
Javna Wi-Fi omrežja so lahko problematična, ker ne moremo povsem vedeti, kdo z njimi upravlja ter kakšni so njihovi nameni. Načeloma lahko kdorkoli postavi wi-fi omrežje, ki ga je velikokrat nemogoče razlikovati od drugega znanega javnega omrežja (npr. v knjižnici, letališču, hotelu ipd.).

Če se povežemo na kakršnokoli javno omrežje, se moramo zavedati, da lahko naš omrežni promet spremljajo upravljalci tega omrežja, ti pa imajo lahko škodljive namene.
Vendar pa je potrebno poudariti, da v današnjem času praktično vsa spletna komunikacija poteka preko šifriranih povezav med brskalniki in strežniki, tako da tudi če smo povezani v zlonamerno omrežje, je vsa naša komunikacija še vedno varna.
Za dodatni nivo zaščite lahko poskrbimo tudi sami, z uporabo VPN povezav, pri katerih je vsa komunikacija še dodatno zašifrirana.
5. Aplikacije iz uradnih tržnic so varne
Da ne bo pomote, eden od osnovnih elementov zaščite naprav je, da aplikacije nameščamo le iz uradnih virov – spletnih strani proizvajalcev in uradnih tržnic z aplikacijami (Google Play, AppStore, Microsoft trgovina). Predvsem za mobilne naprave velja, da aplikacij nikoli ne nalagamo iz neuradnih virov, saj te pogosto vsebujejo dodatno škodljivo kodo.
Vendar pa se lahko zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira škodljiva. Aplikacije, ki so se predstavljale kot zastonjski pregledovalniki PDF dokumentov ter aplikacije za čiščenje sistema, so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom izpraznila bančni račun preko vdora v mobilno banko. Včasih pa se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije, v kodo vstavijo svoj škodljiv program, ki se potem širi preko uradnega vira. Ti napadi spadajo v kategorijo napadov na dobavne verige in so na srečo precej redki. Vendar pa se moramo zavedati, da obstajajo.
Si-Cret
Arhiv DOSTOP.si