Πέντε τρόποι προστασίας και αναβάθμισης του κωδικού πρόσβασης.
Προφανώς δεν περιμένουμε να έρθει η Παγκόσμια Ημέρα Κωδικού για να ανανεώσουμε τους μυστικούς κωδικούς πρόσβασης που χρησιμοποιούμε στην καθημερινότητά μας, γιατί θεωρούνται πολύτιμοι, διότι αν πέσουν στα χέρια επιτήδειων μπορεί να μας κάνουν τεράστιο κακό
Οπότε παρακάτω θα σας παραθέσω έναν οδηγό με πέντε σημεία για να προστατεύεστε απέναντι στις απειλές των χάκερς ή οποιοδήποτε άλλων έχουν σκοπό να σας βλάψουν μέσω αυτού του τρόπου.
1. Μην επαναχρησιμοποιείτε κωδικούς πρόσβασης.
Το 2007, η Dinei Florencio και η Cormac Herley στη Microsoft Research εξέτασαν τις συνήθειες κωδικού πρόσβασης μισού εκατομμυρίου χρηστών στην ευρεία τους μελέτη για τις συνήθειες των κωδικών πρόσβασης στο διαδίκτυο . Διαπίστωσαν ότι ο μέσος χρήστης χρειαζόταν περίπου 25 διαφορετικούς κωδικούς πρόσβασης, αλλά είχε μόνο έξι.
Ο μέσος χρήστης διαθέτει 6,5 κωδικούς πρόσβασης, εκ των οποίων ο καθένας μοιράζεται σε 3,9 διαφορετικούς ιστότοπους. Κάθε χρήστης έχει περίπου 25 λογαριασμούς που απαιτούν κωδικούς πρόσβασης. Αυτό είναι ένα πρόβλημα επειδή ανταμείβει όποιον κλέβει έναν από τους κωδικούς πρόσβασής σας, παίρνοντας ουσιαστικά το κλειδί για αρκετούς άλλους ιστότοπους με τους οποίους αλληλεπιδράτε, κάνοντας τις ζημιές πολύ χειρότερες.
Στο άρθρο του ” Είναι πραγματικά * τόσο κακή ιδέα να χρησιμοποιήσετε έναν κωδικό πρόσβασης δύο φορές “, ο Paul Ducklin μιλάει για το πώς στις αρχές Σεπτεμβρίου του 2014 οι απατεώνες ανέβασαν σχεδόν 5 εκατομμύρια ονόματα λογαριασμών Gmail και κωδικούς πρόσβασης σε ένα ρωσικό φόρουμ Bitcoin. Ο δικτυακός τόπος που φιλοξενεί το γιγαντιαίο WordPress έψαξε τη δική του βάση δεδομένων χρηστών για τα κλεμμένα διαπιστευτήρια και βρήκε 700.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου που ταιριάζουν και 100.000 συνδυασμούς ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης.
Με άλλα λόγια, για κάθε λογαριασμό ηλεκτρονικού ταχυδρομείου, οι απατεώνες που διακυβεύονταν, είχαν επίσης μια πιθανότητα 1 στις 14 να υπονομεύσουν επιτυχώς έναν λογαριασμό WordPress, κάτι που αξίζει τον κόπο να αλλάζουμε τα κλειδιά της εικονικής κλειδαριάς μας.
Αν ο κωδικός σας κλαπεί σε παραβίαση δεδομένων τότε θα πρέπει να περιμένετε ότι οι απατεώνες θα το δοκιμάσουν στο Facebook, στο Twitter, στο WordPress και σε οποιεσδήποτε άλλες ιστοσελίδες που πιστεύουν ότι μπορεί να χρησιμοποιείτε και εσείς.
2. Μην χρησιμοποιείτε αδύναμους κωδικούς πρόσβασης.
Στο πρόσφατο ερευνητικό του δελτίο, ο Eugene Panferov αναζητά ένα μέτρο δύναμης κωδικού και υποστηρίζει τελικά ότι δεν υπάρχει κανένας: «Δεν υπάρχει τίποτα» καλύτερο από την πρακτική καθημερινής ανανέωση των κωδικών μας», υπάρχουν κακές πρακτικές, κακές επιλογές και το μόνο που μπορούμε να κάνουμε είναι να τους αποφύγουμε.
Είναι ένας ενδιαφέρον τρόπος να σκεφτείτε πώς επιλέγουμε τους κωδικούς πρόσβασής μας. Έχω παρατηρήσει ότι οι οδηγίες για τη δημιουργία ισχυρών κωδικών πρόσβασης, όπως η χρήση μιας μακράς, τυχαίας συλλογής αριθμών, κεφαλαίων και μικρών γραμμάτων και τρελών χαρακτήρων, συχνά μετατρέπονται σε αυθαίρετους κανόνες που καθιστούν ευκολότερο να μαντέψουν τους κωδικούς πρόσβασης, όπως ” ο κωδικός σας ΠΡΕΠΕΙ να είναι μεταξύ οκτώ και δώδεκα χαρακτήρων και να περιέχει τουλάχιστον ένα κεφαλαίο χαρακτήρα και έναν αριθμό”.
Έτσι, αντί να σκεφτείτε τι καθιστά ισχυρό τον κωδικό πρόσβασης, σκεφτείτε να αποφύγετε αυτές τις συνήθεις παγίδες: μην επιλέγετε έναν από τους 10.000 πιο συνηθισμένους κωδικούς πρόσβασης. μην χρησιμοποιείτε προσωπικές πληροφορίες, ζώο, αθλητική ομάδα, εμπορική επωνυμία, ψευδώνυμο, προσφορά, μέλος της οικογένειας, φράση, συλλογές σχετικών λέξεων ή ονόματα ζώων συντροφιάς. αποφύγετε λέξεις λεξικού. και μην περιμένετε να ξεγελάσετε κανέναν χρησιμοποιώντας κοινά missspelllings, $ ubst1tuti0ns ή προσθέτοντας αριθμούς53 στο τέλος.
3. Μην μοιράζεστε τους κωδικούς πρόσβασής σας.
Είστε καλοί στο να κρατάτε μυστικά; Ωραία, γιατί έτσι θα ξεφύγετε από μελλοντικά προβλήματα. Όταν ένα μυστικό όταν μοιράζεται παύει να θεωρείται κρυφό. Και αν μοιραστείτε έναν κωδικό πρόσβασης, δεν είναι δήλωση πραγματικής αγάπης, ούτε ένδειξη σεβασμού ή εκτίμησης.
Το πρόβλημα είναι ότι πολλοί από εμάς απλά δεν σκέφτονται τέτοιους κωδικούς πρόσβασης. Μια πρόσφατη έρευνα από τους προμηθευτές του λογισμικού διαχείρισης του κωδικού πρόσβασης, LastPass, διαπίστωσε ότι το 95 τοις εκατό από εμάς μοιράζεται μέχρι και έξι κωδικούς πρόσβασης μεταξύ τους.
Και δεν είναι μόνο μια κακή συνήθεια των τελικών χρηστών, είναι μια κακή συνήθεια που ασκείται από επαγγελματίες IT που θα πρέπει να γνωρίζουν καλύτερα, καθώς η έρευνα συνεδρίου RSA 2016 αποκάλυψε: “… ένας στους τρεις επαγγελματίες ασφάλειας IT ερωτηθέντων στο RSA Conference 2016 παραδέχονται ότι η τεχνολογία των κωδικών πρόσβασης για το προσωπικό είναι μια κοινή πρακτική διοίκησης στον τομέα της πληροφορικής”.
Αν μοιράζεστε έναν κωδικό πρόσβασης, αντικειμενικά κάνετε τον έλεγχο του, επειδή δεν γνωρίζετε σε ποιο άλλο άτομο μοιράστηκε,ακόμα κι αν δεν γίνεται για κακόβουλο σκοπό, κυρίως εάν σταλθεί αυτός ο κωδικός μέσω μηνύματος ηλεκτρονικού ταχυδρομείου.
4. Μην εμπιστεύεστε τους μετρητές ισχύος κωδικού πρόσβασης.
Οι μετρητές δύναμης κωδικού πρόσβασης έχουν γίνει ένα κοινό στολίδι για ιστότοπους και εφαρμογές που απαιτούν να επιλέξετε έναν κωδικό πρόσβασης. Δυστυχώς, πολλοί από αυτούς είναι πιο κολακευμένοι απ’ ότι τους αξίζει και έχουν την ικανότητα να εξαπατούν με αόριστη διατύπωση, φανταχτερά γραφικά και αυθαίρετους κανόνες που φαίνονται σημαντικοί, αλλά ενδέχεται να κάνουν τον κωδικό σας πιο αδύναμο.
Περίπου πριν από ένα χρόνο έβαλα μια επιλογή πραγματικά κακών κωδικών πρόσβασης μέσω πέντε από τους πιο δημοφιλείς μετρητές δύναμης κωδικού πρόσβασης. Όλοι απέτυχαν και όχι μόνο αυτό, δεν συμφώνησαν κιόλας.
Άλλοι έχουν αποδειχθεί ότι στέλνουν κρυπτογραφημένους κωδικούς πρόσβασης στο Διαδίκτυο, τους αποθηκεύουν σε άγνωστα υπολογιστικά φύλλα της Google και κατά λάθος τους διαχέουν σε εταιρείες μάρκετινγκ τρίτου μέρους ( αυτό ήταν το εργαλείο ελέγχου κωδικών CNBC σε περίπτωση που αναρωτιέστε).
Υπάρχουν μερικοί εξαιρετικοί μετρητές δύναμης κωδικού πρόσβασης εκεί έξω, όπως το αυστηρά ελεγμένο zxcvbn που χρησιμοποιείται από το Dropbox και το WordPress, έτσι μερικοί μετρητές δύναμης κωδικών πρόσβασης είναι αξιόπιστοι. Δυστυχώς, δεν μπορούμε να το πούμε αυτό για όλες τις εφαρμογές.
5. Μην αλλάζετε τους κωδικούς πρόσβασης σε ένα σχέδιο ή πρόγραμμα.
Οι συμβουλές που δινόντουσαν κάποτε στο παρελθόν ήταν να ενημερώνετε τους κωδικούς πρόσβασής σας κάθε τριάντα ημέρες ή κάθε λίγους μήνες για να περιορίσετε τη ζημιά που μπορεί να κάνει ένας τυπικός κωδικός πρόσβασης.
Είναι συμβουλές που έχουν ληφθεί από τα τμήματα πληροφορικής και ιδιώτες, αλλά είναι συμβουλές που έχουν ειπωθεί πριν πάρα πολλά χρόνια, καθώς ο αριθμός των κωδικών πρόσβασης που πρέπει να διατηρήσουμε έχει αυξηθεί. Στον σύγχρονο κόσμο αυτό μεταφράζεται σε “πρέπει να δημιουργήσετε και να θυμάστε περίπου 25 εντελώς νέους και άσχετους τυχαίους κωδικούς πρόσβασης κάθε εβδομάδα τουλάχιστον”.
Οι συμβουλές που είναι καλές θεωρητικά μας ωθούν να κάνουμε συντομεύσεις που κάνουν πιο εύρωστους τους κωδικούς πρόσβασης μας. αν αναγκαστούμε να αλλάξουμε τους κωδικούς πρόσβασης μας, καταλήγουμε συνεχώς να παίρνουμε συντομότερους κωδικούς πρόσβασης, απλούστερους , πιο αξιομνημόνευτους , τις αλλάζουμε σύμφωνα με εικαστικά πρότυπα και αλγόριθμους και τα επαναχρησιμοποιούμε.
Οι ερευνητές του Πανεπιστημίου της Βόρειας Καρολίνας, οι οποίοι εξέτασαν λεπτομερώς την πρακτική, κατέληξαν: «… επιβεβαιώνουμε προηγούμενες εικασίες ότι η αποτελεσματικότητα της λήξης για την επίτευξη του επιδιωκόμενου στόχου είναι αδύναμη».
Οι οργανισμοί από το FTC έως το GCHQ συμβουλεύουν τώρα την αυθαίρετη λήξη του κωδικού επειδή, όπως ο γκουρού του κωδικού πρόσβασης Per Thorsheim έθεσε στην πρόσφατη πρόσκλησή του : “… υπάρχουν αρκετοί γνωστοί ακαδημαϊκοί επιστήμονες στο χώρο της πληροφορικής, που μέσα από έρευνες και αποτελέσματα δοκιμών διείσδυσης μας λένε όλοι ακριβώς το ίδιο πράγμα: πως οι υποχρεωτικές χρονικές αλλαγές κωδικού πρόσβασης θα πρέπει να σταματήσουν και θα πρέπει να γίνεται σε ακανόνιστο χρόνο”.
Εάν μπορείτε να δημιουργήσετε και να θυμηθείτε ένα πλήρες σύνολο νέων, ισχυρών κωδικών πρόσβασης κάθε μήνα είναι υπέροχο, αλλά μην πιέζετε κάποιον άλλον να το πράξει για εσάς, επειδή οι πιθανότητες λένε ότι θα πέσετε κάποια στιγμή θύμα των εσφαλμένων επιλογών σας.