Κάθε φορά που ακούτε για κάποια hacked υπηρεσία, και διαρροές κωδικών πρόσβασης στο Internet σκεφτόσαστε την online ασφάλεια σας. Πώς μπορείτε να προστατεύσετε καλύτερα τον εαυτό σας; Εδώ παίζει ρόλο πως αποθηκεύονται οι κωδικοί σας στο διαδίκτυο.
Υπάρχουν διάφοροι τρόποι αποθήκευσης κωδικών πρόσβασης, και μερικοί είναι πολύ πιο ασφαλείς από ό, τι οι άλλοι. Παρακάτω παρουσιάζουμε 5 από τις δημοφιλείς μεθόδους.
Μέθοδος πρώτη: Κωδικοί αποθηκευμένοι με απλό κείμενο
Πώς λειτουργεί: Ο απλούστερος τρόπος αποθήκευσης κωδικών πρόσβασης σας είναι σε μορφή απλού κειμένου. Αυτό σημαίνει ότι κάπου σε ένα server, υπάρχει μια βάση δεδομένων με το όνομα χρήστη και τον κωδικό πρόσβασής σας σε μια αναγνώσιμη μορφή (δηλαδή, αν ο κωδικός σας είναι igurunews, θα αποθηκευτεί στη βάση δεδομένων σαν igurunews). Όταν εισαγάγετε τα διαπιστευτήριά σας σε αυτή την ιστοσελίδα, το σύστημα ελέγχει με τη βάση δεδομένων και αν οι χαρακτήρες ταιριάζουν σας επιτρέπει την πρόσβαση στο λογαριασμό σας. Είναι ο χειρότερος τρόπος αποθήκευσης κωδικών, από την άποψη της ασφάλειας. Αν κάποιος κακόβουλος χρήστης καταφέρει να αποκτήσει πρόσβαση σε αυτή τη βάση δεδομένων, οι κωδικοί πρόσβασης δεν προστατεύονται.
Ακόμα και αν χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης είστε απροστάτευτοι. Ίσως είστε προστατευμένοι από αυτούς που προσπαθούν να μαντέψουν τον κωδικό σας, αλλά σε περίπτωση παραβίασης του server, είστε σε κίνδυνο.
Μέθοδος δεύτερη: Βασική κρυπτογράφηση κωδικών
Πώς λειτουργεί: Για περισσότερη προστασία των κωδικών πρόσβασης, τα περισσότερα sites κρυπτογραφούν τούς κωδικούς σας πριν τους αποθηκεύσουν στους διακομιστές τους. Η κρυπτογράφηση, για όσους από εσάς που δεν το γνωρίζετε, χρησιμοποιεί ένα ειδικό κλειδί για να ενεργοποιήσει στον κωδικό σας μία τυχαία συμβολοσειρά κειμένου. Εάν ένας hacker καταφέρει να πάρει στα χέρια του τον κωδικό που σε τυχαία σειρά κειμένου, δεν θα είναι σε θέση να συνδεθεί στο λογαριασμό σας, εκτός εάν έχει και το κλειδί κρυπτογράφησης για να τον αποκρυπτογραφήσει.
Το πρόβλημα είναι, ότι συνήθως το κλειδί αποθηκεύεται στο ίδιο διακομιστή που βρίσκονται οι κωδικοί πρόσβασης, οπότε αν ένας server είναι hacked, o hacker μπορεί να αποκρυπτογραφήσει όλους τους κωδικούς πρόσβασης. Το γεγονός αυτό καθιστά τη συγκεκριμένη μέθοδος ανασφαλή.
Ακόμα και αν χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης είστε απροστάτευτοι. Δεδομένου ότι είναι εύκολο για κάποιον να αποκρυπτογραφήσει τον κωδικό πρόσβασης με ένα κλειδί, ο ισχυρός κωδικός πρόσβασης σας δεν θα κάνει τη διαφορά. Θα σας προστατέψει ίσως από ένα αδιάκριτο φίλο ή μέλος της οικογένειας αφού θα είναι δύσκολο να τον μαντέψουν.
Μέθοδος τρίτη: Hashed Passwords
Πώς λειτουργεί: Η Hashed μέθοδος είναι παρόμοια με την κρυπτογράφηση, υπό την έννοια ότι μετατρέπει τον κωδικό σας σε μια μεγάλη σειρά από γράμματα και αριθμούς. Ωστόσο, σε αντίθεση με την κρυπτογράφηση, ο κατακερματισμός ενός κωδικού είναι μονόδρομος: Αν έχετε το hash, δεν μπορείτε να χρησιμοποιώντας τον αλγόριθμο να πάρετε τον αρχικό κωδικό πρόσβασης. Αυτό σημαίνει ότι ένας hacker θα πρέπει έχοντας τα hashes να αρχίζει να δοκιμάζει μια σειρά από διαφορετικούς συνδυασμούς κωδικών πρόσβασης για να ανακαλύψει ποιοι λειτουργούν.
Υπάρχει ένα μειονέκτημα σε αυτή τη μέθοδο. Ενώ ο hacker δεν μπορεί να αποκωδικοποιήσει τα hash στο αρχικό κωδικό πρόσβασης, μπορεί να δοκιμάσει πολλά διαφορετικά hashes μέχρι να ανακαλύψει αυτό που ταιριάζει. Οι υπολογιστές μπορούν να το κάνουν αυτό πολύ γρήγορα, και με τη βοήθεια εργαλείων όπως τα rainbow tables – τα οποία είναι ουσιαστικά μια λίστα από τρισεκατομμύρια διαφορετικά hashes ταιριασμένα με κωδικούς πρόσβασης, μπορούν να εξετάσουμε μόνο το hash για να δουν αν ταιριάζει. Δοκιμάστε να πληκτρολογήσετε το παρακάτω hash στο Google:
e38ad214943daad1d64c102faec29de4afe9da3d
Θα βρείτε ότι είναι το SHA-1 hash για τον κωδικό “password1”.
Αν χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης τα rainbow tables που αποτελούνται από τους κωδικούς πρόσβασης που έχουν ήδη μεταφραστεί σε hashes, είναι πιθανόν να μην τους περιέχουν. Το βασικό εδώ δεν είναι η πολυπλοκότητα του κωδικού, αλλά το μήκος. Είστε σε καλύτερη θέση με ένα πολύ μεγάλο κωδικό πρόσβασης και όχι έναν πολύπλοκο μικρό.
Μέθοδος Τέσσερα: κατακερματισμένοι κωδικοί πρόσβασης με ένα Dash of Salt
Πώς λειτουργεί: το “αλάτισμα” ενός hash σημαίνει προσθήκη μιας τυχαίας σειράς χαρακτήρων, που ονομάζεται “αλάτι” ή “Salt”- στην αρχή ή στο τέλος του κωδικού πρόσβασής σας πριν γίνει hashed. Χρησιμοποιείται διαφορετικό salt για κάθε κωδικό πρόσβασης, και ακόμη και αν είναι το salt είναι αποθηκευμένα στον ίδιο server, θα είναι πολύ δύσκολο να ανακαλυφθούν από τα rainbow tables, δεδομένου ότι κάθε κωδικός γίνεται πολύ μεγάλος, περίπλοκος, και μοναδικός.
Αν χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης κινδυνεύετε; Σίγουρα λιγότερο από τις άλλες μεθόδους, αλλά δυστυχώς, έχουμε φτάσει σε ένα σημείο όπου οι υπολογιστές είναι τόσο γρήγοροι, που μπορούν να κάνουν brute force, ακόμη και σε “αλατισμένα” hashes. Μπορεί οι hackers να χρειαστούν πολύ μεγάλο χρονικό διάστημα, αλλά είναι εφικτό. Πάντως όσο μεγαλύτεροι και πιο περίπλοκοι είναι οι κωδικοί σας, τόσο περισσότερος χρόνος θα χρειαστεί για να σπάσει σε μια επίθεση brute force.
Μέθοδος Πέντε: Αργά Hashes ή Slow Hashes
Πώς λειτουργεί: Αυτή τη στιγμή, οι περισσότεροι ειδικοί σε θέματα ασφάλειας αναφέρουν τα Slow Hashes σαν την καλύτερη επιλογή για την αποθήκευση των κωδικών πρόσβασης. Λειτουργίες Hash όπως η MD5, SHA-1 και SHA-256 είναι σχετικά γρήγορες: αν πληκτρολογήσετε έναν κωδικό πρόσβασης, θα γίνει η μετατροπή αρκετά γρήγορα. Σε μια επίθεση brute force, ο χρόνος είναι ο πιο σημαντικός παράγοντας. Χρησιμοποιώντας μια πιο αργή μέθοδο όπως τον αλγόριθμο bcrypt, οι brute force επιθέσεις στα hash θα διαρκούν πολύ περισσότερο, δεδομένου ότι κάθε κωδικός χρειάζεται πολύ περισσότερο χρόνο για να υπολογιστεί.
Χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης είναι πιο δύσκολο να σπάσουν με επιθέσεις brute force, και σίγουρα θα είστε πολύ πιο ασφαλής. Εάν ο κωδικός πρόσβασής σας είναι ισχυρός, χρειάζεται πολύ μεγάλο χρονικό διάστημα για να σπάσει αν είναι κρυπτογραφημένος με αργό hash.
Πώς μπορείτε να αποφύγετε τη διαρροή του κωδικού σας
Μην χρησιμοποιείτε ανασφαλείς υπηρεσίες. Δεν θα πρέπει ποτέ να κάνετε εγγραφή σε υπηρεσίες που αποθηκεύουν τους κωδικούς σας υπό τη μορφή απλού κειμένου. Ένας καλός τρόπος για να μάθετε αν τους χρησιμοποιούν, σύμφωνα με την υπηρεσία CloudFare, μπορείτε να το εξακριβώσετε αν κάνετε κλικ στο σύνδεσμο “Ξέχασα τον κωδικό μου”. Αν το email που θα λάβετε περιέχει τον κωδικό σας, σημαίνει ότι μπορούν να έχουν πρόσβαση στον ίδιο τον κωδικό πρόσβασης και δεν είναι κατακερματισμένος. Η μέθοδος φυσικά δεν σας γνωστοποιήσει με ποιο τρόπο αποθηκεύεται ο κωδικός σας, αλλά αν τον δείτε σε μορφή απλού κειμένου, αποφύγετε την υπηρεσία. Φυσικά, μπορείτε να στείλετε email και να ρωτήσετε ή ελέγξτε τις Συχνές ερωτήσεις τους ίσως κάπου αναγράφουν αυτές τις πληροφορίες
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Όπως είδατε παραπάνω, όσο ισχυρότερος είναι ο κωδικός πρόσβασης σας τόσο λιγότερο πιθανό είναι να τον σπάσει κάποιος. Το μήκος του κωδικού είναι σημαντικότερο της πολυπλοκότητας. Θυμηθείτε: κάθε κωδικός είναι μπορεί να σπάσει, απλά ίσως χρειάζεται περισσότερο χρόνο.
Αλλάζετε συχνά τους κωδικούς πρόσβασής σας και φυσικά αλλάξτε τους άμεσα μετά από μια παράβαση: Ακόμα και αν ο κωδικός σας είναι ισχυρός, αυτό δεν σημαίνει ότι είναι άτρωτο.
Χρησιμοποιήστε διαφορετικό κωδικό πρόσβασης για κάθε ιστοσελίδα: Εάν χρησιμοποιείτε διαφορετικό κωδικό πρόσβασης σε κάθε λογαριασμό σας, τότε οι λογαριασμοί αυτοί θα μείνουν ασφαλείς ακόμα και αν ένας από αυτούς έχει διαρρεύσει.
Χρησιμοποιήστε την υπηρεσία OAuth μόνο αν είστε σίγουροι ότι η ιστοσελίδα που την χρησιμοποιεί είναι ασφαλής: Έχουμε μιλήσει για το πρωτόκολλο OAuth, που σας επιτρέπει να συνδεθείτε χρησιμοποιώντας το λογαριασμό σας στο Google, το Facebook, ή το Twitter. Αν δεν ξέρετε πόσο ασφαλής είναι μια ιστοσελίδα, και σας προσφέρει την δυνατότητα να χρησιμοποιήσετε το OAuth, μην το κάνετε. Αν το site παραβιαστεί, ανακαλέστε άμεσα την πρόσβασή του στο Google, το Facebook ή το Twitter.
