Kωδικοί πρόσβασης – Συχνά λάθη και βέλτιστες πρακτικές

Οι κωδικοί πρόσβασης χρησιμοποιούνται πλέον σχεδόν παντού. Emails, τραπεζικές συναλλαγές, online αγορές και υπηρεσίες βασίζονται στην χρήση κωδικών πρόσβασης για να διασφαλίσουν τις προσωπικές πληροφορίες σας. Ένας κωδικός πρόσβασης συνήθως αποτελείται από 5 – 10 γράμματα και αριθμούς και είναι αυτό που θα κρατήσει έναν hacker μακριά από τα προσωπικά σας στοιχεία και άλλες εμπιστευτικές πληροφορίες. Για αυτό το λόγο είναι πολύ σημαντικό να ακολουθείτε τις βέλτιστες πρακτικές για την δημιουργία και διατήρηση κωδικών πρόσβασης!

Πώς να δημιουργήσετε ασφαλείς κωδικούς πρόσβασης

Σύμφωνα με έρευνες που έχουν διεξαχθεί κατά καιρούς, σχετικά με την ασφάλεια κωδικών πρόσβασης, έχουν προκύψει τα εξής στοιχεία

  • 54% των χρηστών του διαδικτύου, χρησιμοποιούν 5 ή λιγότερους κωδικούς για όλες τις online δραστηριότητες τους
  • 90% των κωδικών πρόσβασης που χρησιμοποιούνται δεν είναι «δυνατοί» και είναι ευπαθείς για hacking

Ας δούμε μερικές συμβουλές που θα σας βοηθήσουν να δημιουργήσετε και να κρατήσετε ασφαλείς τους κωδικούς πρόσβασης.

Χρησιμοποιήστε τουλάχιστον 8 χαρακτήρες

Όσο μεγαλύτερο είναι το μήκος ενός κωδικού πρόσβασης, τόσο περισσότερο χρόνο απαιτεί για να «σπάσει». Επίσης είναι καλό να χρησιμοποιείτε πεζούς και κεφαλαίους χαρακτήρες, αριθμούς και σύμβολα.

Η βασική ιδέα πίσω από αυτό τον κανόνα, είναι οι δημιουργία περισσότερων πιθανών συνδυασμών. Περισσότεροι συνδυασμοί απαιτούν περισσότερο χρόνο για τον υπολογισμό τους και περισσότερο χρόνο για να προσπαθήσει κάποιος να τους χρησιμοποιήσει.

Εάν για παράδειγμα επιλέξετε μόνο αριθμούς (10 ψηφία από το 0 έως το 9) και δημιουργήσετε έναν κωδικό πρόσβασης με μήκος 5 χαρακτήρες, οι πιθανοί συνδυασμοί είναι 10 ^ 5, δηλαδή 100.000 πιθανοί συνδυασμοί.

Εάν δημιουργήσετε έναν κωδικό πρόσβασης με μήκος 8 χαρακτήρων, που χρησιμοποιεί πεζούς και κεφαλαίους χαρακτήρες του αγγλικού αλφαβήτου (52 χαρακτήρες – από a έως z και από A έως Z) και αριθμούς (επιπλέον 10 χαρακτήρες) τότε οι πιθανοί συνδυασμοί είναι 62^8 δηλαδή 218.340.105.584.896.

Συνεχίστε να προσθέτε επιπλέον χαρακτήρες και αυξήστε το μήκος του κωδικού πρόσβασης και οι πιθανοί συνδυασμοί γίνονται τόσο πολλοί που θα χρειαζόταν εκατοντάδες χρόνια για να υπολογιστούν και να δοκιμαστούν.

Αποφύγετε τις κοινές λέξεις

Η πιο συνηθισμένη επίθεση για password guessing, ονομάζεται επίθεση λεξικού. Στην επίθεση αυτή, χρησιμοποιούνται λέξεις που υπάρχουν σε λεξικά και συνδυασμοί αυτών. Προσπαθήστε να χρησιμοποιήσετε μία τυχαία σειρά από χαρακτήρες και όχι κάποια λέξη ή συνδυασμό λέξεων.

Μην χρησιμοποιήσετε μοτίβα

Ένας κωδικός που χρησιμοποιεί μοτίβα γραμμάτων ή ψηφίων, όπως 123456 ή qweasd είναι πολύ εύκολο να «σπάσει». Χρησιμοποιήστε μία τυχαία σειρά από χαρακτήρες για να δημιουργήσετε έναν πιο «δυνατό» κωδικό πρόσβασης

Διατηρήστε τον κωδικό πρόσβασης απρόσωπο

Συχνά, οι χρήστες δημιουργούν κωδικούς πρόσβασης, χρησιμοποιώντας το όνομα τους, την ημερομηνία γέννησης ή άλλα προσωπικά στοιχεία. Το πρόβλημα με αυτούς τους κωδικούς πρόσβασης, είναι πως ο καθένας μπορεί να έχει πρόσβαση σε αυτές τις πληροφορίες βλέποντας απλά το προφίλ σας στο facebook ή κάνοντας μία αναζήτηση στο internet.

Οι κωδικοί πρόσβασης πρέπει να αλλάζουν συχνά

Ανά τακτά χρονικά διαστήματα (π.χ. ανά 3 ή 4 μήνες) οι κωδικοί πρόσβασης θα πρέπει να αλλάζουν. Με αυτό τον τρόπο, ακόμη και εάν κάποιος έχει αποκτήσει τον κωδικό σας σε κρυπτογραφήμένη μορφή, μέχρι να καταφέρει να τον αποκρυπτογραφήσει, θα τον έχετε ήδη αλλάξει, οπότε θα είναι πλέον άχρηστος.

Δημιουργήστε μοναδικούς κωδικούς πρόσβασης

Για κάθε online λογαριασμό που δημιουργείτε, θα πρέπει να έχετε και έναν διαφορετικό κωδικό πρόσβασης. Με αυτό τον τρόπο εάν διαρεύσει ο κωδικός πρόσβασης του email σας, ο hacker δεν θα έχει πρόσβαση και στον τραπεζικό σας λογαριασμό. Μπορείτε να χρησιμοποιήσετε online εργαλεία για την δημιουργία μοναδικών κωδικών πρόσβασης, όπως το passwordgenerator.net

Επίσης, δεν θα πρέπει να μοιράζεστε τους κωδικούς πρόσβασης σας με άλλους. Ο κάθε κωδικός πρόσβασης είναι απόλυτα προσωπικός!

Χρησιμοποιήστε passwords managers

Ένας από τους λόγους που πολλοί χρήστες χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης, είναι η δυσκολία του να θυμούνται πολλούς διαφορετικούς συνδυασμούς. Για αυτό το λόγο υπάρχουν οι passwords managers.

Οι passwords managers είναι εφαρμογές που θα σας επιτρέψουν να αποθηκεύσετε και να οργανώσετε όλους τους κωδικούς πρόσβασης σας, σε κρυπτογραφημένη μορφή. Εσείς θα πρέπει να θυμάστε μόνο έναν κωδικό – αυτόν για την πρόσβαση στον password manager. Επιπλέον δεν θα χρειάζεται να σημειώνεται τους κωδικούς σε χαρτάκια ή σημειωματάρια, στα οποία μπορεί να έχει εύκολη πρόσβαση ο καθένας.

Δημοφιλείς passwords managers είναι το KeePass και το Keeper και η χρήση τους είναι πολύ εύκολη, απλή και γρήγορη.

Ποιες είναι οι πιο κοινές επιθέσεις

Οι hackers χρησιμοποιούν διάφορες πρακτικές για να «σπάσουν» έναν κωδικό πρόσβασης και να αποκτήσουν πρόσβαση στο λογαριασμό σας.

Επιθέσεις brute force

Οι επιθέσεις brute force γίνονται με την χρήση ενός προγράμματος, το οποίο δημιουργεί μία λίστα με πιθανούς συνδυασμούς κωδικών πρόσβασης και στη συνέχεια προσπαθεί να αποκτήσει πρόσβαση σε κάποιο προστατευμένο αρχείο ή κάποιο σύστημα, δοκιμάζοντας έναν έναν τους διαθέσιμους κωδικούς πρόσβασης. Οι επιθέσεις brute force, συνήθως δεν έχουν επιτυχία σε online υπηρεσίες και websites, διότι υπάρχουν μηχανισμοί όπου μπλοκάρουν την πρόσβαση από την διεύθυνση IP του επιτιθέμενου, μετά από κάποιες λανθασμένες προσπάθειες πρόσβασης.

Επιθέσεις λεξικού

Η επίθεση λεξικού (dictionary attack), είναι παρόμοια με την επίθεση brute force. Ωστόσο αντί να χρησιμοποιεί όλους τους πιθανούς συνδυασμούς, χρησιμοποιεί λέξεις από λεξικά, που είναι πιο πιθανό να έχουν χρησιμοποιηθεί. Οι επιθέσεις λεξικού, αποτυγχάνουν όταν οι κωδικοί πρόσβασης αποτελούνται από πολλαπλές λέξεις ή από τυχαίους χαρακτήρες.

Πρόσβαση σε βάση δεδομένων

Συχνά ένας hacker αποκτά πρόσβαση απευθείας στην βάση δεδομένων μίας εφαρμογής ή μίας υπηρεσίας, χρησιμοποιώντας τον κωδικό πρόσβασης από κάποιο υπάλληλο ή με άλλες τεχνικές (όπως π.χ. phising). Αφού ο hacker αποκτήσει πρόσβαση στην βάση δεδομένων και εφόσον οι κωδικοί πρόσβασης δεν είναι κρυπτογραφημένοι, δυστυχώς δεν έχει καμία σημασία πόσο «δυνατός» είναι ο κωδικός πρόσβασης σας.

Επόμενα βήματα

Για να διατηρήσετε ασφαλείς τους λογαριασμούς σας, εκτός από το να χρησιμοποιήσετε «δυνατούς» κωδικούς πρόσβασης, μπορείτε να λάβετε επιπλέον μέτρα ασφαλείας.

Two Factor Authentication (2FA)

…. γνωστή και ως Πιστοποίηση Δύο Σημείων. Με την χρήση 2FA, μετά το login, σας ζητείται ένας επιπλέον προσωρινός κωδικός. Αυτός ο κωδικός, αποτελείται από 6 ψηφία, αλλάζει πολύ συχνά (συνήθως κάθε λέπτο) και έρχεται στο κινητό σας μέσω εφαρμογής ή με SMS. Με αυτό τον τρόπο, ακόμη και εάν κάποιος έχει το username και passwords σας, δεν θα έχει το κινητό σας (ελπίζουμε 🤞) και τον προσωρινό κωδικό, άρα δεν θα μπορέσει να κάνει login.

Για την χρήση 2FA θα πρέπει να χρησιμοποιήσετε κάποια εφαρμογή όπως είναι το Google Authenticator. Επίσης θα πρέπει να υποστηρίζεται η σχετική διαδικασία από την εκάστοτε εφαρμογή ή website.

Social Media Login

Με την χρήση των social media login, ο χρήστης μπορεί να συνδεθεί στον λογαριασμό του σε ένα website ή εφαρμογή, χρησιμοποιώντας τα στοιχεία σύνδεσης για τον λογαριασμό που διατηρεί σε social media (facebook, twitter, linkedin, κ.λπ.).

Τα στοιχεία σύνδεσης (όνομα χρήστη, email, κωδικοί πρόσβασης) του χρήστη δεν μεταφέρονται στην σελίδα ή την εφαρμογή. Η διαδικασία του login βασίζεται σε ένα μοναδικό σύνολο χαρακτήρων (access token) το οποίο παρέχεται από την εκάστοτε πλατφόρμα (facebook, twitter, linkedin κ.λπ.) εφόσον ο χρήστης ολοκληρώσει με επιτυχία το login του εκεί.

Με αυτόν τον τρόπο, ο χρήστης δεν χρειάζεται να θυμάται πολλαπλούς κωδικούς πρόσβασης, αλλά μόνο αυτούς από τους λογαριασμούς που διατηρεί στα social media. Επιπλέον η εφαρμογή ή το website δεν χρειάζεται να αναπτύξει ιδιαίτερη υποδομή ασφαλείας και δεν διατηρεί κωδικούς πρόσβασης, οπότε δεν μπορεί να γίνει στόχος επιθέσεων. Τέλος, οι περισσότεροι χρήστες είναι ήδη συνδεδεμένοι στα social media οπότε η όλη διαδικασία είναι πολύ γρήγορη και διαφανής στον τελικό χρήστη.

Επίλογος

Κάθε μέρα περνάμε σχεδόν 10 ώρες online, ελέγχοντας emails, πραγματοποιώντας online συναλλαγές ή απλά περνώντας χρόνο σε social media. Για τις περισσότερες, αν όχι όλες, από αυτές τις διαδικασίες απαιτείται λογαριασμός χρήστη και κωδικοί πρόσβασης. Η δημιουργία «δυνατών» κωδικών πρόσβασης είναι ιδιαίτερα σημαντική καθώς είναι το πιο βασικό σημείο ασφαλείας μεταξύ των προσωπικών σας στοιχείων και ενός hacker.

Εάν τα παράπανω σας μπέρδεψαν ή σας φάνηκαν πολύπλοκα, να θυμάστε ότι οι κωδικοί πρόσβασης είναι σαν μία οδοντόβουρτσα. Πρέπει να διαλέξετε μία καλή, να την αλλάζετε συχνά και να μην την μοιράζεστε με κανέναν!

Οι κωδικοί πρόσβασης είναι σαν μία οδοντόβουρτσα