Δεεεε πιστεύω να μην πήρε τ’ αυτί σας για την τελευταία των hacker-ιών σε αξιοσέβαστη υπηρεσία πολλών πολλών χρηστών, με ~250.000 κωδικούς να ‘χουν κάνει φτερά;
Ααααα όλα κι όλα, εμείς ονόματα δε λέμε και υπολήψεις δε θίγουμε (http://www.tanea.gr/ellada/article/?aid=4788084, http://www.pcpro.co.uk/news/379663/hack-forces-twitter-to-reset-250-000-user-passwords).
Το προφανές ερώτημα που μένει μετά τη σκέψη πως η κυβερνοασφάλειά μας είναι, χμμμ πώς να το θέσω, εύκολο να εκτεθεί σε κινδύνους είναι το εξής: πώς θα προστατευτούμε τουλάχιστον στα βασικά μιας και η εξελιγμένη ασφάλεια απαιτεί πολλούς πόρους (χρήματα, τεχνογνωσία, χρόνο, στρατηγική, κλπ).
Ένα από τα θεμελιώδη αξιώματα της ασφάλειας είναι πως η ασφάλεια ενός συνόλου (δραστηριοτήτων, οντοτήτων, κλπ) είναι τόσο ισχυρή όσο και ο πιο αδύναμός της κρίκος.
Ακολούθως, εκτός των περιπτώσεων social engineering όπου τον όποιο αδύναμο κρίκο τον… σπάμε οι ίδιοι και καθώς στις απομακρυσμένες υπηρεσίες (λ.χ. twitter) δεν έχουμε καμία επιλογή σε θέματα ασφάλειας το μόνο που μας μένει και έχουμε λόγο είναι… το password μας!
Καθώς στις μέρες μας τα passwords είναι μέρος της πάρα πολύ συχνής καθημερινότητας ( email, e-banking, λογής λογής ιστοσελίδες που θέλουν εγγραφή, e-shops, κλπ) όλοι έχουμε υποπέσει στα συνηθέστερα των λαθών:
- πολύ απλά passwords: 123456, qwerty, Kerkyra
- πολύ μικρά σε μήκος: 1234, love
- passwords συσχετισμένα με χαρακτηριστικά του χρήστη: αποκλειστική χρήση ημερομηνίας γέννησης, επίθετου, κλπ.
- χρήση του ίδιου password παντού
- σχεδόν ποτέ δεν το έχουμε αλλάξει
Ααααχ κυβερνοναύτες μου, λάθη2! Κατά τη Microsoft πρέπει τα passwords μας να διακρίνονται για τα ακόλουθα χαρακτηριστικά τους (εν αντιθέσει με τα παραπάνω ατοπήματα)
- Μεγάλο μήκος. Οκτώ ή περισσότεροι χαρακτήρες ΟΠΩΣΔΗΠΟΤΕ.
- Αυξημένη πολυπλοκότητα. Χρησιμοποιήστε γράμματα, σημεία στίξης, σύμβολα, συνδυασμό πεζών και κεφαλαίων και φυσικά αριθμούς.
- Συχνή αλλαγή. Η αλλαγή είναι εγγενές μέρος της ύπαρξή μας: στο προκείμενο χαρείτε την ασφάλεια που σας προσφέρει με το μικρό κόστος μεταβολής μιας συνήθειας.
- Διαφορετικά passwords για διαφορετικά σημεία πρόσβασης. Δε θα είναι κρίμα το password σας σε μια ιστοσελίδα με νέα/ενημερωτικό χαρακτήρα (που μάλλον θα έχει περιορισμένα μέτρα ασφάλειας/διαχείρισης passwords) να αποτελέσει βάση για να αποκτήσει κάποιος πρόσβαση στον τραπεζικό σας λογαριασμό λόγω χρήσης του ίδιου password;
«Τέλεια» αναφώνησε ο αναγνώστης και κοιτώντας τους παραπάνω κανόνες κούνησε το κεφάλι με απόγνωση.
Μην απελπίζεστε! Ακολουθώντας της οδηγίες της google προκύπτουν μερικές ακόμα καλές ιδέες:
- Ενημερώστε τις μεθόδους ανάκτησης password που οι αξιοπρεπείς ιστοσελίδες διαθέτουν
- Αποθηκεύστε (φυσικά ή ψηφιακά) τους σημαντικούς κωδικούς σας σε μέρη που δεν είναι εύκολο να βρεθούν (λ.χ. χρηματοκιβώτιο, truecrypt εικονικό δίσκο ή χρήση διαχειριστή passwords, κλπ)
Ιδού λοιπόν μια προτεινόμενη μέθοδος για τη δημιουργία passwords που παρότι δεν θα είναι απολύτως ασφαλής (τι είναι εξάλλου) θα σίγουρα καλύτερα από τα προαναφερθέντα 😉
- Ξεκινήστε με μια μεγάλη (μεγάλη, όχι αστεία!) φράση
- Αφαιρέστε τα κενά μεταξύ των λέξεων
- (προαιρετικό) αντικαταστήστε γράμματα με ηχοποίητα αντίστοιχα (λ.χ. “are” => “R”, “you” => “U”, “x” =>”KS” κλπ)
- (προαιρετικό) αντικαταστήστε γράμματα με οπτικά κοντινά σύμβολα αντίστοιχα (λ.χ. “o” => “0”, “i” => “!”, “s” =>”$” κλπ)
- (προαιρετικό) προσθήκη αριθμών για αύξηση μήκους και πολυπλοκότητας. Προτείνεται η χρήση ημερομηνίας με ιδιαίτερη σημασία
Εδώ πρέπει να έχετε κατά νου ότι το ζύγισμα μεταξύ ευχρηστίας και ασφάλειας δεν πρέπει να γέρνει περισσότερο από λίγο προς την ασφάλεια, καθώς σε αντίθετη περίπτωση ένα πολύ ασφαλές password δε θα είναι λειτουργικά χρήσιμο. Επιπλέον, είναι ιδιαίτερα ενδιαφέρουσα η αίσθηση των χρηστών για την ποιότητα των passwords σε σχέση με την αντίστοιχη αίσθηση των προγραμματιστών επιθέσεων (Βλ. παρακάτω εικόνα – ευχαριστίες στον pkalantzis για τον εντοπισμό της)
Η ποιότητα (σε θέμα ασφάλειας) ενός password είναι ένα μεγααααλο θέμα προς συζήτηση.
Μια γρήγορη αντιμετώπιση πολύπλοκων θεμάτων είναι η ανάθεσή τους σε τρίτους για την εξαγωγή συμπερασμάτων (εμπιστευόμενοι την ικανότητά τους 🙂 Τόσο η Microsoft όσο και η Google προσφέρουν μετρητές ποιότητας των passwords ώστε να έχετε μια απλοποιημένη αίσθηση του πόσο ασφαλής είναι η επιλογή σας.
Η δεύτερη μέθοδος αντιμετώπισής των πολύπλοκων θεμάτων είναι να τα διερευνήσεις και να τα καταλάβεις (στο μέτρο του εφικτού) και να τα αντιμετωπίσεις μόνος. Κι εδώ το θέμα παίρνει διαστάσεις. Στους ενδιαφερόμενους προτείνουμε τα ακόλουθα ως σημεία έναρξης της έρευνά τους:
- Η ασφάλεια των passwords
- Πώς να σχεδιάσετε ένα δικό σας μετρητή ποιότητας passwords (ιδέα α)
- Πώς να σχεδιάσετε ένα δικό σας μετρητή ποιότητας passwords (ιδέα β)
- Πώς να μετρήσετε την ποιότητα των passwords
Κλείνοντας, θυμηθείτε ότι εκτός από τον παράγοντα τύχη που κάνει ότι θέλει 🙂 η δική σας προσπάθεια στην δημιουργία και διατήρηση ασφαλών passwords είναι από τα σημαντικότερα κομμάτια της αλυσίδας!