Ασφάλεια πολλών παραγόντων, οδηγός για αρχάριους

Μια πολύπλευρη προσέγγιση για την ασφάλεια των υπολογιστών είναι σημαντική, όπως η χρήση ενός συνδυασμού συσκευών ασφαλείας στο σπίτι σας (πόρτες, παράθυρα, συναγερμοί, κάμερες).

Αυτό σημαίνει ότι χρησιμοποιείτε λογισμικό προστασίας από ιούς, τείχος προστασίας, διασφαλίζοντας ότι το λειτουργικό σας σύστημα είναι ενημερωμένο διότι επαγρυπνούν επικίνδυνες ιστοσελίδες και απόπειρες για phishing επιθέσεις.

Passwords

Ένα άλλο βασικό στοιχείο της ασφάλειας στον κυβερνοχώρο είναι να έχετε έναν ισχυρό κωδικό πρόσβασης. Οι ειδικοί προτείνουν τη χρήση κωδικού πρόσβασης μήκους τουλάχιστον 8 χαρακτήρων και να περιέχει συνδυασμό αλφαριθμητικών χαρακτήρων. Αυτό σημαίνει ότι πρέπει να περιέχει πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα (όπως #?! * +).

Τα πρώιμα συστήματα υπολογιστών παραβιάστηκαν εύκολα έχοντας αδύναμους κωδικούς πρόσβασης όπως “admin” ή “password“.

Πηγαίνοντας σε οποιοδήποτε γραφείο πιθανότατα θα βρείτε ένα notepad με κωδικό πρόσβασης του υπολογιστή σε τουλάχιστον ένα γραφείο. Αυτό συμβαίνει συχνά επειδή οι άνθρωποι δυσκολεύονται να θυμούνται κωδικούς πρόσβασης όπως το H4fTnQ91ifW, και ως εκ τούτου πρέπει να τους γράψουν. Μια πιο ασφαλής λύση θα ήταν να χρησιμοποιήσετε ένα εργαλείο διαχείρισης κωδικού πρόσβασης όπως το Keypass, ωστόσο, είναι σχετικά άγνωστο μεταξύ των τεχνολογικών.

Η λύση – Ασφάλεια πολλαπλών παραγόντων

Μία λύση στο πρόβλημα με τον κωδικό πρόσβασης είναι η ασφάλεια πολλών παραγόντων. Μερικές φορές αναφέρεται ως “ασφάλεια δύο παραγόντων” ή “έλεγχος ταυτότητας δύο παραγόντων”. Αυτό είναι ένα σύστημα όπου ένας χρήστης πρέπει να εισαγάγει ένα τρίτο κομμάτι πληροφοριών για να μπορεί να συνδεθεί.

Αντί να είναι μια στατική συμβολοσειρά χαρακτήρων που πρέπει να διατηρείται στο μυαλό του χρήστη, αυτό το σύστημα δημιουργεί έναν μοναδικό κωδικό που μπορεί να χρησιμοποιηθεί μόνο μία φορά. Στα δημοφιλή παραδείγματα περιλαμβάνεται ο Επαληθευτής της Google που δημιουργεί έναν μοναδικό εξαψήφιο κωδικό κάθε 30 δευτερόλεπτα και δημιουργείται από το τηλέφωνο του χρήστη.

Χρησιμοποιώντας ένα σύστημα ασφαλείας πολλών παραγόντων, ένας χάκερ εξακολουθεί να μην μπορεί να αποκτήσει πρόσβαση σε έναν λογαριασμό, ακόμη και αν έχει το όνομα χρήστη και τον κωδικό πρόσβασης του.

Η ασφάλεια πολλών παραγόντων έχει υιοθετηθεί ευρέως τα τελευταία χρόνια. Είναι δυνατή η διασφάλιση των διαδικτυακών λογαριασμών σας με σχεδόν όλους τους σημαντικούς ιστότοπους, χρησιμοποιώντας αυτό το σύστημα. Αυτό περιλαμβάνει κοινωνικά δίκτυα όπως το Facebook και ιστότοπους τυχερών παιχνιδιών που χρησιμοποιούν τη δημοφιλή τεχνική επικύρωσης SMS, ενώ πολλές μεγάλες τράπεζες όπως η HSBC χρησιμοποιούν μια ξεχωριστή φυσική συσκευή.

Το μέλλον της ασφάλειας πολλών παραγόντων

Ενώ η ασφάλεια πολλών παραγόντων έχει ήδη εφαρμοστεί με επιτυχία σε πολλά σημεία του διαδικτύου, οι ειδικοί ασφαλείας και το κοινό δεν μπορούν να είναι ικανοποιημένοι.

Οι βελτιωμένες συσκευές ασφαλείας στα αυτοκίνητα αναγκάζουν τους κλέφτες να αλλάξουν την προσέγγισή τους από το να σπάσουν το ίδιο το όχημα έως να κλέψουν τα κλειδιά από τα σπίτια και να ξεκλειδώσουν το αυτοκίνητο με αυτόν τον τρόπο. Με τον ίδιο τρόπο, η ασφάλεια πολλαπλών παραγόντων αναγκάζει τους εγκληματίες να αλλάξουν την προσέγγισή τους.

Το FBI εξέδωσε πρόσφατα μια προειδοποίηση ότι οι χάκερς αυξάνουν τις προσπάθειές τους να αναπτύξουν επιθέσεις που απενεργοποιούν την ασφάλεια πολλών παραγόντων ή μεταφέροντας τον αριθμό τηλεφώνου του θύματος σε μια κάρτα SIM που ελέγχουν, ώστε να μπορούν να λαμβάνουν κωδικούς ελέγχου ταυτότητας μέσω SMS. Άλλες τεχνικές που αναφέρονται από το FBI περιλαμβάνουν μια προσέγγιση που αντιγράφει τα cookies μιας συνεδρίας από τον υπολογιστή του θύματος, έτσι ώστε να μπορούν να τα επαναχρησιμοποιήσουν στο δικό τους μηχάνημα.

Επομένως, μια βασική μάχη στο μέλλον της ασφάλειας πολλών παραγόντων θα είναι η εύρεση και το κλείσιμο αυτών των τρωτών σημείων, προτού οι hackers μπορέσουν να τις εφαρμόσουν. Αυτό είναι κάτι για το οποίο οι εμπειρογνώμονες ασφαλείας έχουν μέχρι στιγμής επιτύχει.

Push Notifications

Το Facebook και η Google χρησιμοποιούν τις ειδοποιήσεις push ως μέθοδο ελέγχου ταυτότητας από χρήστες τα τελευταία χρόνια. Εάν συνδεθείτε σε έναν Λογαριασμό Google, θα εμφανιστεί ένα αναδυόμενο παράθυρο στο smartphone σας και θα σας ρωτήσει εάν έχετε συνδεθεί.

Πιθανότατα θα κυκλοφορήσουν σε περισσότερα συστήματα τα επόμενα χρόνια. Είναι φθηνότερες από τις φυσικές συσκευές που εξακολουθούν να χρησιμοποιούνται από πολλές τράπεζες και είναι επίσης πολύ πιο ασφαλείς από τους κωδικούς SMS. Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών (NIST) ανακοίνωσε πρόσφατα ότι ο έλεγχος ταυτότητας μέσω SMS θα πρέπει να σταματήσει στα επόμενα χρόνια.

Βιομετρικά

Τα smartphones και ορισμένοι υπολογιστές χρησιμοποιούν βιομετρικά στοιχεία όπως δακτυλικά αποτυπώματα και αναγνώριση προσώπου για να μας επιτρέψουν να συνδεθούμε στους υπολογιστές μας εδώ και αρκετά χρόνια. Ωστόσο, είναι απίθανο να καταστούν κρίσιμο μέρος της ασφάλειας πολλών παραγόντων.

Πολλές εταιρείες ασφαλείας έχουν απενεργοποιήσει τους σαρωτές δακτυλικών αποτυπωμάτων σε συσκευές που προμηθεύουν στο προσωπικό τους για πολλά χρόνια, λόγω του ότι παρακάμπτονται εύκολα.

Η NIST λέει ότι τα βιομετρικά στοιχεία θα πρέπει να χρησιμοποιούνται παράλληλα με μια άλλη μορφή ασφάλειας πολλών παραγόντων, καθώς ένα πρόσωπο μπορεί να φωτογραφηθεί εύκολα χωρίς την άδειά του ή τα δακτυλικά αποτυπώματά να παρθούν από ένα αντικείμενο που αγγίζουν οι χρήστες. Επομένως, τα βιομετρικά στοιχεία δεν είναι μυστικά και δεν είναι αρκετά ισχυρά για την προστασία σημαντικών δεδομένων.

Η ασφάλεια πολλών παραγόντων υπήρξε ένα κρίσιμο εργαλείο για την καταπολέμηση των εισβολέων στον κυβερνοχώρο και η αποτελεσματικότητά του αποδεικνύεται από τις προσπάθειες ανάπτυξης λύσεων για την παράκαμψή της.

Είναι πιθανό να δούμε μια αύξηση στα συστήματα τύπου ειδοποιήσεων push στο μέλλον, μαζί με τα SMS. Ωστόσο, είναι απίθανο τα βιομετρικά στοιχεία να βασίζονται αποκλειστικά στην ασφάλεια των συσκευών μας.