Ένας συνηθισμένος κωδικός πρόσβασης, όπως το "12345" ή το "9999", είναι μια πολύ κακή επιλογή για την προστασία της πρόσβασης στο ηλεκτρονικό σας ταχυδρομείο ή σε έναν τραπεζικό ιστότοπο. Ακόμη κι αν δεν χρησιμοποιείτε τους παραπάνω κωδικούς, είναι λίαν πιθανό να χρησιμοποιείτε κάτι εξίσου κακό, επειδή είναι πολύ πιο δύσκολο να θυμάστε έναν ισχυρότερο κωδικό πρόσβασης με περισσότερους χαρακτήρες.
Ο μόνος ασφαλής τρόπος για να αποθηκεύετε ισχυρούς κωδικούς πρόσβασης είναι σε έναν διαχειριστή κωδικών πρόσβασης. Αν δεν χρησιμοποιείτε έναν τέτοιο, πιθανότατα βασίζεστε σε έναν ιδιαίτερα εύθραυστο κωδικό πρόσβασης ή έχετε απομνημονεύσει έναν πολύπλοκο κωδικό πρόσβασης και τον χρησιμοποιείτε παντού. Η ασφάλεια των κωδικών πρόσβασης δεν είναι παίξε γέλασε. Δεδομένης της τεράστιας κλίμακας κινδύνου, πρέπει να κάνετε ό,τι μπορείτε για να διατηρήσετε τους κωδικούς πρόσβασής σας ασφαλείς.
Ακόμη και ο καλύτερος διαχειριστής κωδικών πρόσβασης δεν εγγυάται την ασφάλεια των λογαριασμών σας -όχι αν τον χρησιμοποιείτε για να αποθηκεύετε τους ίδιους απαρχαιωμένους κωδικούς πρόσβασης. Πρέπει να αλλάξετε τους παλιούς και αδύναμους κωδικούς σας με νέους και ισχυρότερους.
Μόλις αντικαταστήσετε όλους τους παλιούς κωδικούς πρόσβασης με ισχυρούς, μοναδικούς, μπορείτε να χαλαρώσετε, τουλάχιστον μέχρι την επόμενη παραβίαση δεδομένων. Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δεν συνιστά πλέον να αλλάζετε τους κωδικούς πρόσβασης κάθε 90 ημέρες. Το NIST συνιστά πλέον τη χρήση μακρών φράσεων όπως "Correct-Horse-Battery-Staple" και την αλλαγή τους μόνο όταν είναι απαραίτητο. Αλλά αν χρησιμοποιείτε ασθενείς κωδικούς πρόσβασης, το "όταν είναι απαραίτητο" σημαίνει αμέσως τώρα.
Τι ακριβώς καθιστά κακό έναν κωδικό πρόσβασης; Ας δούμε μερικά από τα χαρακτηριστικά των ασθενών κωδικών πρόσβασης και στη συνέχεια θα σας δώσουμε μερικές συμβουλές για το πώς να τους επιδιορθώσετε με τον σωστό τρόπο.
1. Μείνετε μακριά από το λεξικό
Κάθε λίγους μήνες ένα ειδησεογραφικό μέσο δημοσιεύει μια λίστα με τους χειρότερους κωδικούς πρόσβασης. Βλέπουμε πολλές επιλογές εύκολης πληκτρολόγησης, όπως τα "12345" και "qwerty". Οι κωδικοί αυτοί είναι πολύ εύκολο να πληκτρολογήθουν, αλλά το ίδιο εύκολο είναι και για τους χάκερς να τους σπάσουν. Άλλοι συνηθισμένοι (και κακοί) κωδικοί πρόσβασης αποτελούνται από απλές λέξεις. Έχουμε δει τα baseball, monkey και starwars στη λίστα με τους χειρότερους κωδικούς πρόσβασης. Και αυτοί, επίσης, είναι εύκολο να σπάσουν.
Ορισμένοι ασφαλείς ιστότοποι κλειδώνουν μετά από έναν συγκεκριμένο αριθμό λανθασμένων προσπαθειών κωδικού πρόσβασης, αλλά πολλοί δεν το κάνουν. Στη δεύτερη περίπτωση, οι χάκερς μπορούν να διασταυρώσουν μια λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου με μια λίστα δημοφιλών κωδικών πρόσβασης και να ρυθμίσουν μια αυτοματοποιημένη διαδικασία που θα συνεχίζει να δοκιμάζει συνδυασμούς μέχρι να εισέλθουν στον ιστότοπο.
Ένας πραγματικά ασφαλής ιστότοπος δεν αποθηκεύει τον κωδικό πρόσβασής σας πουθενά. Αντ' αυτού, περνά τον κωδικό πρόσβασης από έναν αλγόριθμο κατακερματισμού, ένα είδος κρυπτογράφησης μονής κατεύθυνσης. Η ίδια είσοδος παράγει πάντα την ίδια έξοδο, αλλά δεν υπάρχει κανένας τρόπος να επιστρέψετε στον αρχικό κωδικό πρόσβασης από τον προκύπτοντα κατακερματισμό. Εάν ο κωδικός πρόσβασης που πληκτρολογείτε έχει την ίδια κατακερματισμένη τιμή που είναι αποθηκευμένη, έχετε πρόσβαση. Ακόμα και αν οι χάκερς καταλάβουν τα δεδομένα των χρηστών του ιστότοπου, δεν παίρνουν κωδικούς πρόσβασης, μόνο κατακερματισμούς.
Όμως, οι έξυπνοι χάκερς μπορούν να σπάσουν αδύναμους κωδικούς πρόσβασης ακόμη και όταν είναι κατακερματισμένοι, αν γνωρίζουν ποια συνάρτηση κατακερματισμού χρησιμοποίησε ο ιστότοπος. Ξεκινούν εκτελώντας ένα τεράστιο λεξικό κοινών κωδικών πρόσβασης μέσω της συνάρτησης κατακερματισμού. Στη συνέχεια, αναζητούν τους προκύπτοντες κατακερματισμούς στα συλλεχθέντα δεδομένα. Κάθε ταύτιση είναι ένας σπασμένος κωδικός πρόσβασης. Οι ιστότοποι με την καλύτερη δυνατή ασφάλεια ενισχύουν τη συνάρτηση κατακερματισμού με μια τεχνική που ονομάζεται password salting, κάνοντας το έργο των χάκερς σχεδόν αδύνατο, αλλά γιατί να πάρετε το ρίσκο; Απλά μείνετε μακριά από το λεξικό.
2. Σκεφτείτε διαφορετικά
Μια φίλη μου είπε κάποτε τον τέλειο κωδικό πρόσβασής της: 1qaz2wsx3edc4rfv. Μπορούσε να τον "πληκτρολογήσει" απλά γλιστρώντας με το δάχτυλο της σε τέσσερις λοξές στήλες του πληκτρολογίου. Ήταν τόσο τέλειο, που το χρησιμοποιούσε παντού. Και αυτό ήταν ένα μεγάλο λάθος.
Σχεδόν δεν περνάει εβδομάδα χωρίς νέα για παραβίαση σε κάποια εταιρεία ή ιστότοπο, που εκθέτει χιλιάδες ή εκατομμύρια ονόματα χρηστών και κωδικούς πρόσβασης. Τα έξυπνα θύματα αλλάζουν αμέσως τους κωδικούς πρόσβασης. Όσοι αγνοούν το πρόβλημα μπορεί να βρεθούν αποκλεισμένοι από τους δικούς τους λογαριασμούς, αφού οι χάκερς επαναφέρουν τον κωδικό πρόσβασης.
Αυτοί οι χάκερς γνωρίζουν ότι πάρα πολλοί άνθρωποι ανακυκλώνουν τους κωδικούς πρόσβασης. Μόλις βρουν ένα λειτουργικό ζεύγος ονόματος χρήστη και κωδικού πρόσβασης, δοκιμάζουν τα ίδια διαπιστευτήρια σε άλλους ιστότοπους. Μπορεί να μην ανησυχείτε τόσο πολύ για την απώλεια της πρόσβασης στον παλιό σας λογαριασμό στο Club Penguin Rewritten, αλλά αν χρησιμοποιήσατε το ίδιο login στην ιστοσελίδα της τράπεζάς σας, έχετε μεγάλο πρόβλημα.
Το πράγμα γίνεται ακόμα χειρότερο. Αν κάποιος άλλος πάρει τον έλεγχο του λογαριασμού ηλεκτρονικού ταχυδρομείου σας, μπορεί πρώτα να σας κλειδώσει αλλάζοντας τον κωδικό πρόσβασης. Στη συνέχεια, μπορεί να παραβιάσει άλλους λογαριασμούς σας, έχοντας στείλει με email έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης στον εν λόγω λογαριασμό.
3. Μην χρησιμοποιείτε προσωπικές πληροφορίες
Το να χρησιμοποιείτε προσωπικές πληροφορίες ως βάση για τους κωδικούς πρόσβασής σας είναι τρομερά δελεαστικό, αλλά είναι κακή ιδέα. Είτε το όνομα του σκύλου σας είναι Λάσι είτε Ίρμα, το όνομα αυτό πιθανώς εμφανίζεται στα λεξικά που χρησιμοποιούν οι χάκερς για επιθέσεις brute-force. Άλλες πιθανότητες, όπως τα αρχικά και η ημερομηνία γέννησης ενός μέλους της οικογένειας, πιθανώς δεν θα πέσουν θύμα επίθεσης brute-force, αλλά αν κάποιος θέλει να χακάρει ειδικά τον λογαριασμό σας, αυτά τα προσωπικά δεδομένα μπορούν να τροφοδοτήσουν επιθέσεις με τη μέθοδο trial-and-error.
Μη νομίζετε ούτε λεπτό ότι τα προσωπικά σας στοιχεία είναι απόρρητα. Υπάρχουν δεκάδες ιστότοποι που οι άνθρωποι μπορούν να χρησιμοποιήσουν για να βρουν λεπτομέρειες για οποιονδήποτε: διεύθυνση, ημερομηνία γέννησης, οικογενειακή κατάσταση και πολλά άλλα. Οι αναρτήσεις σας στα μέσα κοινωνικής δικτύωσης μπορούν να αποτελέσουν άλλη μια πηγή προσωπικών πληροφοριών, ειδικά αν δεν έχετε ασφαλίσει σωστά τους λογαριασμούς σας. Ένας αποφασισμένος χάκερ (ή ένας αδιάκριτος γείτονας) μπορεί πιθανότατα να μαντέψει οποιονδήποτε κωδικό πρόσβασης που έχετε φτιάξει με βάση τα δικά σας δεδομένα.
4. Κλείστε την πίσω πόρτα
Αν δεν χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης, σίγουρα έχετε βιώσει την εμπειρία να ξεχνάτε τον κωδικό πρόσβασης για έναν ιστότοπο. Είναι πολύ συνηθισμένο, γι' αυτό και σχεδόν κάθε σελίδα σύνδεσης περιλαμβάνει έναν σύνδεσμο "Ξεχάσατε τον κωδικό πρόσβασής σας;". Ορισμένοι ιστότοποι στέλνουν έναν σύνδεσμο επαναφοράς στη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, ενώ άλλοι σας επιτρέπουν να επαναφέρετε τον κωδικό πρόσβασης αφού απαντήσετε στις ερωτήσεις ασφαλείας. Και αυτό ανοίγει μια κερκόπορτα σε οποιονδήποτε θέλει να παραβιάσει τον λογαριασμό σας.
Οι περισσότεροι ιστότοποι προσφέρουν άθλιες επιλογές για τις ερωτήσεις ασφαλείας. Ποιο είναι το πατρικό όνομα της μητέρας σας; Πού πήγατε στο λύκειο; Ποια ήταν η πρώτη σας δουλειά; Όπως αναφέρθηκε, η προσωπική σας ζωή είναι ένα ανοιχτό βιβλίο για οποιονδήποτε έχει ικανότητες αναζήτησης στο διαδίκτυο. Όταν είναι δυνατόν, αγνοήστε τις προκαθορισμένες ερωτήσεις. Δημιουργήστε τη δική σας ερώτηση, με μια μοναδική απάντηση που θα θυμάστε πάντα, αλλά κανείς άλλος δεν θα μπορούσε να μαντέψει.
Είναι πιο δύσκολο όταν ο ιστότοπος δεν σας αφήνει να ορίσετε τις δικές σας ερωτήσεις. Σε αυτή την περίπτωση, το καλύτερο που έχετε να κάνετε είναι να χρησιμοποιήσετε μια αξιομνημόνευτη απάντηση που είναι εντελώς ψεύτικη. Το όνομα της μητέρας μου είναι Πουλχερία. Πήγα σχολείο στο 1ο Λύκειο του Βλαδιβοστόκ. Στην πρώτη μου δουλειά, ήμουν λαντζιέρης σε σουβλατζίδικο. Υπάρχει ένα στοιχείο κινδύνου, καθώς μπορεί να ξεχάσετε ποιο ψέμα επιλέξατε. Θα πρότεινα να αποθηκεύσετε αυτές τις παράξενες απαντήσεις ως ασφαλείς σημειώσεις στον διαχειριστή κωδικών πρόσβασης - αλλά αν χρησιμοποιούσατε έναν διαχειριστή κωδικών πρόσβασης δεν θα είχατε εξαρχής αυτό το πρόβλημα.
Τι να κάνετε τώρα που πραγματικά νοιάζεστε για την ασφάλειά σας
Ελπίζουμε να σας πείσαμε ότι η χρήση κοινών κωδικών πρόσβασης είναι μια πολύ κακή ιδέα, όπως και η δημιουργία κωδικών πρόσβασης από προσωπικές πληροφορίες. Και ακόμη και ο καλύτερος ισχυρός, τυχαίος κωδικός πρόσβασης γίνεται βάρος αν τον χρησιμοποιείτε παντού. Αν είστε έτοιμοι να αναλάβετε δράση, ορίστε μερικά σημεία εκκίνησης:
- Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης
- Μεταβείτε σε έναν καλύτερο διαχειριστή κωδικών πρόσβασης
- Να θυμάστε έναν εξαιρετικά ασφαλή κύριο κωδικό πρόσβασης για τον διαχειριστή κωδικών πρόσβασης
- Εκμεταλλευτείτε μια γεννήτρια τυχαίων κωδικών πρόσβασης για να αναβαθμίσετε τους παλιούς, κακούς κωδικούς σας
- Μπορείτε ακόμη και να δημιουργήσετε τη δική σας γεννήτρια τυχαίων κωδικών πρόσβασης στο Excel
- Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων, όπου είναι διαθέσιμος
Εάν ένας ασφαλής ιστότοπος δεν φροντίζει για την ασφάλεια, θα μπορούσατε ακόμα να χάσετε τα διαπιστευτήρια αυτού του ιστότοπου σε μια παραβίαση δεδομένων, αλλά κάνοντας όλους τους κωδικούς πρόσβασής σας μεγάλους, ισχυρούς και μοναδικούς, μπορείτε να είστε σίγουροι ότι έχετε κάνει ό,τι μπορείτε για να προστατεύσετε τους διαδικτυακούς σας λογαριασμούς από επιθέσεις με βάση τον κωδικό πρόσβασης.