Τρίτη, 17 Ιανουαρίου 2017

Τα μεγαλύτερα λάθη στα password

Ένα ισχυρό password είναι ο σημαντικότερος παράγοντας για την ασφάλεια του email μας, του ebanking, του λογαριασμού στο Facebook, και όλης μας της παρουσίας στο διαδίκτυο.

Αν όμως τα password που χρησιμοποιούμε ανήκουν στις παρακάτω κατηγορίες, νομίζουμε πως είμαστε ασφαλείς. Και η ψευδαίσθηση της ασφάλειας είναι συχνά χειρότερη από την έλλειψη ασφάλειας.

"Τεμπέλικα" Password

Tο να χρησιμοποιούμε τα ίδια ακριβώς password με κυριολεκτικά εκατομμύρια άλλους. 
Η καθιερωμένη λίστα με τα χειρότερα passwords της χρονιάς που ολοκληρώθηκε δεν προκαλεί, δυστυχώς, καμία εντύπωση. Αποδεικνύεται για άλλη μια χρονιά ότι παρά την εκθετική αύξηση των ενημερωτικών δελτίων για τους κινδύνους των κυβερνοεπιθέσεων, πολύς κόσμος εξακολουθεί να καταφεύγει σε τραγικές επιλογές για την “προστασία” των λογαριασμών του.

Η φετινή ανάλυση έγινε από τους δημιουργούς της εφαρμογής Keeper, οι οποίοι ανέλυσαν περισσότερα από 10 εκατ. passwords που διέρρευσαν από διάφορες κυβερνοεπιθέσεις και κενά ασφαλείας μέσα στο 2016. Στην κορυφή βρίσκεται ξανά το “123456” και γενικότερα η πρώτη δεκάδα προκαλεί θλίψη…
  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321

Προσωπικά Password

Η δεύτερη βαθμίδα επικινδυνότητας είναι τα password που είναι εύκολο κανείς να τα μαντέψει.
Αν ένας χρήστης ονομάζεται Γιάννης, γεννήθηκε το 1982, και το Password του είναι giannis82, δεν χρειάζεται ένας διεθνούς φήμης hacker για να το βρει.
Το ίδιο ισχύει και για τους χρήστες που χρησιμοποιούν το όνομα του γιου, της κόρης, του σκύλου ή της αγαπημένης τους μπύρας.

To μεγαλύτερο σχετικό λάθος, και μια δυστυχώς αρκετά συνηθισμένη τακτική, είναι να βάζουμε την ημερομηνία των γενεθλίων. Ειδικά από τη στιγμή που τα γενέθλιά μας είναι διαθέσιμα σε οποιαδήποτε επαφή έχουμε στο Facebook, το Skype και μισή ντουζίνα άλλες υπηρεσίες.

Ακόμα κι αν έχουμε κρύψει τη χρονολογία, πολλά στοιχεία μέσα από τα ίδια τα Social Media (πχ οι ομάδες που συμμετέχουμε ή οι διοργανώσεις που παρακολουθούμε) μπορούν να προδώσουν την πλήρη ημερομηνία.
ισχυρό password λάθη κίνδυνοι ασφάλεια 05
Αντίστοιχα επικίνδυνες είναι οι "ερωτήσεις ασφαλείας" στις οποίες δίνουμε προφανείς απαντήσεις.

Με δεδομένο πως αυτές οι ερωτήσεις χρησιμοποιούνται σε περίπτωση που έχουμε ξεχάσει το password μας, οποιοσδήποτε μαντέψει τις απαντήσεις έχει πρόσβαση στο λογαριασμό μας.
Με αυτή ακριβώς τη μέθοδο ένας άνεργος νέος από τη Γαλλία απέκτησε πρόσβαση στο Twitter της Britney Spears και του Barack Obama.

Λέξεις που υπάρχουν στο λεξικό

Έστω πως δεν έχουμε βάλει το όνομά μας για κωδικό, αλλά έχουμε βάλει μια άσχετη λέξη.
Πλέον έχουμε ένα ελαφρώς πιο ισχυρό password - αν η λέξη είναι πραγματικά τυχαία, κανείς δεν θα μπορέσει να τη μαντέψει.
Όμως έχουμε μηδενική προστασία απέναντι σε έναν απλό οικιακό υπολογιστή, που μπορεί να δοκιμάσει πάνω από 650 διαφορετικά password ανά δευτερόλεπτο.

Αυτό σημαίνει πως σε μερικές ώρες μπορεί να δοκιμάσει όλες τις λέξεις που περιλαμβάνονται στο λεξικό, με όλες τους τις κλήσεις.

Αντικατάσταση γραμμάτων με αριθμούς


Oι hackers όμως ήταν οι πρώτοι που αντικατέστησαν γράμματα με αριθμούς και σύμβολα.
Έχουν προβλέψει λοιπόν στα προγράμματα εύρεσης κωδικών τέτοιου είδους κόλπα, ή και ακόμα πιο προχωρημένα, όπως το να αντικαταστήσουμε κάθε γράμμα στο πληκτρολόγιο με αυτό που βρίσκεται δεξιά του.

Εξαιρετικά Πολύπλοκα Password

Το πρόβλημα όμως είναι πως ούτε μπορούμε να το θυμόμαστε, ούτε θα μπορέσουμε ενδεχομένως να το πληκτρολογήσουμε σωστά με την πρώτη. Το πιθανότερο είναι να το έχουμε σε ένα αρχείο στον υπολογιστή και να το κάνουμε αντιγραφή-επικόλληση.
Όταν όμως κάνουμε αντιγραφή τον κωδικό, μένει αποθηκευμένος στο clipboard μέχρι να αντιγράψουμε κάτι άλλο. Και, εκτός από όλες τις εφαρμογές στον υπολογιστή, υπάρχουν και ιστοσελίδες που μπορούν να διαβάσουν το clipboard.

Ένα Password για όλα

Υπάρχουν εξαιρετικά πολλοί χρήστες που ακόμα κι αν καθίσουν να δημιουργήσουν ένα πολύ ισχυρό password......θα καταλήξουν να χρησιμοποιούν το ίδιο password σε όποια ιστοσελίδα γράφονται και όποιο λογαριασμό φτιάχνουν.
Ακόμα κι αν είναι το ασφαλέστερο password στον κόσμο, αρκεί μία ιστοσελίδα να παραβιαστεί και θα κινδυνεύουν πλέον όλοι οι λογαριασμοί τους.

Πώς να φτιάξω ένα εύχρηστο και ισχυρό password

Χρήση μιας φράσης ως password (Passphrase)

Όπως είπαμε, οι λέξεις που βρίσκονται στο λεξικό, ακόμα και με αντικατάσταση των γραμμάτων με αριθμούς, δεν είναι καθόλου ασφαλείς.
Τι γίνεται όμως αν συνδυάσουμε μερικές ασύνδετες λέξεις μεταξύ τους σε ένα password-φράση?

Ας πούμε πως το αμάξι μας είναι ένα Skoda του 2005.
Αν το password μας είναι η φράση odhgw.ena.Skoda05 τότε:
  • Κανείς δεν θα μπορέσει να τη μαντέψει ακόμα κι αν ξέρει για το αμάξι μας
  • Δεν υπάρχει σε κανένα λεξικό
  • Είναι πολύ εύκολο να τη θυμόμαστε
  • Είναι ένα password με 17 γράμματα που περιλαμβάνει κεφαλαία και μικρά γράμματα, αριθμούς, και σημεία στίξης.
Πόσο ισχυρό είναι αυτό το password? Με τα παραπάνω χαρακτηριστικά που περιγράψαμε, υπάρχουν
4.225.684.238.917.218.534.300.824.429.126.495 πιθανοί συνδυασμοί.
Ακόμα κι αν ένας υπολογιστής δοκίμαζε 100 τρισεκατομμύρια κωδικούς το δευτερόλεπτο, θα χρειάζονταν 1,3 τρισεκατομμύρια χρόνια για να δοκιμάσει όλους τους πιθανούς συνδυασμούς.
Θα μπορούσε κανείς να το πει ισχυρό password.
ισχυρό password λάθη κίνδυνοι ασφάλεια 14
Για να δοκιμάσετε το πόσο ισχυρό password είναι η δική σας passphrase, μπορείτε να επισκεφθείτε τη σελίδα https://www.grc.com/haystack.htm.

Γενικά, οποιοδήποτε password μεγαλύτερο των 12 χαρακτήρων με κεφαλαία γράμματα, αριθμούς, και σημεία στίξης, είναι ένα ισχυρό password. Όμως, όσο μεγαλύτερο, τόσο το καλύτερο.

Χρήση ενός Password Manager

Οι passphrases είναι καλές, αλλά όπως είπαμε το να χρησιμοποιούμε το ίδιο password παντού είναι μια πολύ κακή τακτική.
Εξίσου κακή τακτική είναι να έχουμε την ίδια φράση με παραλλαγές ανάλογα με το site. Αν ο κωδικός μας για το facebook είναι odhgw.fcbk.Skoda05 και για το twitter είναι odhgw.twitr.Skoda05, ένας από τους κωδικούς αν αποκαλυφθεί, έχουν αποκαλυφθεί όλοι.

Ούτε είναι εύκολο για 30 διαφορετικούς λογαριασμούς να φτιάξουμε 30 εντελώς διαφορετικές και τυχαίες φράσεις, και να θυμόμαστε ποια φράση είναι για ποιόν λογαριασμό.
Σε αυτό θα μας βοηθήσει μια υπηρεσία διαχείρισης password, όπως το LastPass.
Ουσιαστικά το LastPass μπορεί να παράγει ένα τυχαίο και ισχυρό password για εμάς όποτε γραφόμαστε σε μια σελίδα, και να το αποθηκεύει.

Στη συνέχεια, όταν είναι να συνδεθούμε σε αυτή τη σελίδα, το LastPass συμπληρώνει αυτόματα το όνομα χρήστη και τον αποθηκευμένο κωδικό.

Όπως λέει και το όνομά του, για το LastPass χρειαζόμαστε μόνο ένα, "τελευταίο" password για να έχουμε πρόσβαση στο ίδιο το LastPass. Σε αυτό θα βάλουμε την passphrase μας.


Είμαστε πλέον ασφαλείς?

Δυστυχώς, όσο περίπλοκο και ισχυρό password κι αν έχουμε, υπάρχουν πολλές απειλές για τους λογαριασμούς μας, από malware που μπορούν να διαβάσουν τους κωδικούς μας καθώς τους γράφουμε μέχρι phishing attacks και social engineering.
Αν μη τι άλλο, πάντως, με ένα ισχυρό password έχουμε ένα μέρος της ψηφιακής μας ζωής καλυμμένο, και θα χρειαστεί κάποιος έξτρα προσπάθεια για να παραβιάσει τους λογαριασμούς μας. Επίσης, αν συνδυάσουμε ένα ισχυρό password με την επαλήθευση σε δύο βήματα, αυξάνουμε κατακόρυφα την ασφάλεια των λογαριασμών μας.

Πηγή:pcstepstechgear