Σάββατο 12 Μαρτίου 2016

ΕΠΙΣΤΗΜΗ ΤΗΣ TEΧΝΟΛΟΓΙΑΣ ΜΑΡΤΙΟΥ ~ κωδικοί πρόσβασης – πόσο προσεκτικοί είμαστε;

παρουσίαση νέων τεχνολογιών & η χρηστικότητα & συμβολή τους στην καθημερινότητα

Αυτό το μήνα ασχολούμαστε με κάτι το οποίο χρησιμοποιούμε καθημερινά στις Διαδικτυακές μας συναλλαγές, κάτι το οποίο θεωρείται δεδομένο – τον κωδικό πρόσβασης. Ο κωδικός πρόσβασης είναι ένα σετ χαρακτήρων το οποίο «ξεκλειδώνει» την ψηφιακή μας παρουσία στο Διαδίκτυο. Μας δίνει πρόσβαση στα email μας, στο Facebook, στην τράπεζά μας, στο ηλεκτρονικό καλάθι αγορών μας, κλπ. Και φυσικά, όπως δεν θα αφήναμε τα κλειδιά του σπιτιού μας κάτω από το πατάκι, έτσι και όταν έρθει η ώρα να διαλέξουμε κωδικό πρόσβασης τότε το σκεφτόμαστε πολύ σοβαρά και λαμβάνουμε τις απαραίτητες προφυλάξεις, έτσι; Ας δούμε ποια είναι η πικρή πραγματικότητα ...


Η εταιρία Splash Data, που ειδικεύεται σε προϊόντα κυβερνο-ασφάλειας, δημοσιοποιεί κάθε χρόνο μια λίστα με τους χειρότερους κωδικούς πρόσβασης που έχουν επιλέξει χρήστες ανά τον κόσμο. Τα δεδομένα για την λίστα συλλέγονται από τις άπειρες διαρροές κωδικών και στοιχείων χρηστών που συμβαίνουν κάθε χρόνο από έμπειρους χακερς. Φέτος, η λίστα βασίζεται σε διαρροές περίπου 3.5 εκατομμυρίων κωδικών και το Top-10 αυτών είναι:
  • 123456
  • password
  • 12345
  • 12345678
  • qwerty
  • 123456789
  • 1234
  • abc123
  • 696969
  • letmein



Η επιλογή ενός τόσο απλοϊκού κωδικού πρόσβασης είναι ανοιχτή πρόσκληση στον κάθε χάκερ και κακοποιό του Διαδικτύου. Και πριν προλάβει κάποιος αναγνώστης να πει: «μα, καλά, εμένα θα βάλουν στόχο; Αποκλείεται!», να αναφέρουμε ότι οι δράστες δεν στοχεύουν συγκεκριμένα άτομα αλλά χτυπάνε αδιακρίτως. Χτυπάνε μαζικά λογαριασμούς και ψάχνουν τους πιο ευάλωτους. Άπαξ και βρουν «ανοιχτή πόρτα», μπαίνουν και βλέπουν τι μπορούν να κλέψουν!

Η επιλογή ενός τέτοιου κωδικού είναι ένα μόνο από τα «7 θανάσιμα αμαρτήματα» που μπορούμε να κάνουμε όταν διαλέγουμε κωδικό πρόσβασης. Ας δούμε ποια είναι τα υπόλοιπα 6:
  • Η χρήση των προτεινόμενων κωδικών: ιδιαίτερα κακή επιλογή μιας και ο προτεινόμενος κωδικός δεν αλλάζει και παραμένει ίδιος για όλους. Παραδείγματα: admin, password, κλπ.
  • Χρήση μικρών κωδικών: οτιδήποτε κάτω από 8 χαρακτήρες είναι πάρα πολύ εύκολο να «σπάσει», ειδικά όταν κλασικά παραδείγματα μικρών κωδικών είναι το 1234, pass, Iam, κλπ.
  • Η χρήση κωδικών που αποτελούνται μόνο από γράμματα και μόνο από μικρά ή κεφαλαία: όλοι οι κωδικοί πρόσβασης πρέπει να αποτελούνται από συνδυασμό μικρών και κεφαλαίων γραμμάτων, αριθμών και συμβόλων.
  • Η χρήση συμβόλων σε εύκολα προβλέψιμες θέσεις: άμεσα συνδεδεμένο με το παραπάνω, η τοποθέτηση συμβόλων ή αριθμών σε εύκολα προβλέψιμες θέσεις δεν βελτιώνει την πολυπλοκότητα ή ασφάλεια του κωδικού. Παράδειγμα: το p@ssw0rd δεν είναι πιο ασφαλές από το password. Το ίδιο και το Y@nn1s δεν είναι πιο ασφαλές από το Yannis.
  • Η χρήση προσωπικής πληροφορίας: το να επιλέξουμε σαν κωδικό τα γενέθλιά μας, το αγαπημένο μας άθλημα, την ομάδα μας, το όνομα του σκύλου μας, κλπ. είναι άλλη μια λανθασμένη τακτική. Τέτοιου είδους πληροφορία βρίσκεται εύκολα στο Facebook, Twitter, κλπ. και οι δράστες μπορεί να την βρουν/μαντέψουν πολύ εύκολα.
  • Τέλος, η χρήση προβλέψιμης αλληλουχίας αριθμών ή γραμμάτων, όπως τα 123456, asdfg, qwerty, abcdef, επίσης δεν συνίσταται.
Είναι απόλυτα κατανοητό ότι όσο η «ψηφιακή» μας παρουσία επεκτείνεται, τόσο πιο δύσκολο είναι να θυμόμαστε την πλειάδα κωδικών που πρέπει να δημιουργήσουμε και φυσική κατάληξη αυτού είναι είτε το να δημιουργούμε ένα απλό κωδικό, είτε να χρησιμοποιούμε τον ίδιο κωδικό παντού και πάντα. Και φυσικά, καμία από τις δυο λύσεις δεν είναι η λύση.


Η τεχνολογία είναι εδώ όμως για να μας βοηθήσει (όπως πάντα)! Υπάρχουν πλέον διάφορες εφαρμογές (πολλές μάλιστα είναι και δωρεάν) που αποθηκεύουν τους διάφορους κωδικούς μας σε μια βάση δεδομένων ώστε να μην χρειάζεται να τους απομνημονεύομε. Οι περισσότερες από αυτές μπορούν να δημιουργήσουν και ασφαλείς κωδικούς για λογαριασμό μας. Με αυτό τον τρόπο εξασφαλίζεται η πολυπλοκότητα του κωδικού καθώς και το ότι κάθε υπηρεσία έχει τον δικό της κωδικό πρόσβασης. Οι περισσότερες από αυτές τις εφαρμογές μπορούν ακόμα και να κρυπτογραφήσουν την βάση δεδομένων ώστε αν πέσει στα λάθος χέρια να μην μπορούν να διαρρεύσουν οι κωδικοί μας. Για αυτούς που είναι παρανοϊκοί με την ασφάλεια, κάποιες από τις διαθέσιμες εφαρμογές προσφέρουν “offline” λειτουργία που σημαίνει ότι η βάση δεδομένων αποθηκεύεται τοπικά στον υπολογιστή μας και όχι στο Διαδίκτυο. Κάποιες από τις εφαρμογές που είναι άξιες προσοχής είναι οι παρακάτω:
KeyChain (για όσους είναι κάτοχοι Apple Mac είναι η εφαρμογή που παρέχει η ίδια η Apple)


Φυσικά, όλες οι εφαρμογές αυτές βασίζονται σε ένα πολύ απλό κανόνα – πρέπει να δημιουργήσουμε ένα «μάστερ» κωδικό με τον οποίο θα ξεκλειδώνουμε την βάση δεδομένων προκειμένου να αποκτήσουμε πρόσβαση. Για λόγους ασφαλείας, αν ξεχάσουμε τον κωδικό αυτό, δεν υπάρχει τρόπος να ανακτήσουμε την πληροφορία που βρίσκεται στην βάση που σημαίνει ότι οι κωδικοί μας θα χαθούν για πάντα. Οπότε το ερώτημα που γεννάται είναι, ΤΙ κωδικό χρησιμοποιούμε ως «μαστερ»; Ελπίζω όχι Password123 !!! +Vassilis Anastasiadis

σχόλια; αντιρρήσεις; ερωτήσεις;
ΠΡΟΣΘΕΣΤΕ ΤΟΝ ΠΡΟΒΛΗΜΑΤΙΣΜΟ ΣΑΣ
ΠΑΝΩ ΣΤΟ ΣΗΜΕΡΙΝΟ ΘΕΜΑ

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Προβληματίστηκες; σχολίασε το