World’s Password Day: Σήμερα είναι η Παγκόσμια Ημέρα Κωδικών Πρόσβασης! Ξέρετε τι σημαίνει αυτό: όλη η προσπάθεια που κάνουμε κατά καιρούς να πείσουμε τον κόσμο να μην πιστεύει σε μύθους που κυκλοφορούν, σήμερα φαίνεται να έχει νόημα, καθώς η κάθε άσχετη ιστοσελίδα θα γεμίσει τα κοινωνικά μέσα με “συμβουλές ασφαλείας”.
Για παράδειγμα η γνωστή μας Nutella:
Today it's World Password Day: choose a word that's already in your heart. Like "Nutella", for example! #WorldPasswordDay #Nutella pic.twitter.com/Q9EERc6244
— Nutella (@NutellaGlobal) May 3, 2018
Με το παραπάνω tweet, ουσιαστικά η εταιρεία μας προτείνει να χρησιμοποιούμε το Nutella σαν κώδικό πρόσβασης γιατί είναι κάτι που αγαπάμε και δεν θα το ξεχάσουμε εύκολα. Ένας password cracker με αλλάχιστη υπολογιστική ισχύ θα χρειαστεί λιγότερο από 5 λεπτά να βρει τον super duper κωδικό της Nutella….
Η εταιρεία ασύρματης επικοινωνίας CTIA από την άλλη αναφέρει:
It's World #PasswordDay! A reminder to change your pins/passwords frequently. Find more #WirelessTips on protecting your data here: https://t.co/j2jEW3AWnc pic.twitter.com/WLtpRyvzyy
— CTIA (@CTIA) May 3, 2018
“Παγκόσμια #PasswordDay! Υπενθύμιση για συχνή αλλαγή κωδικών”. Άλλη επιτυχημένη συμβουλή!
Password Day: Τελικά τι ισχύει;
Πόσο συχνά αλλάζετε τον κωδικό πρόσβασής σας (password); Σίγουρα ορισμένοι από αυτούς είναι παλιοί. Στην πραγματικότητα, οι περισσότεροι από εμάς αλλάζουν τους κωδικούς πρόσβασης μας, μόνο όταν κάτι μας αναγκάζει να το κάνουμε.
Τυπικά, αυτό μπορεί να συμβεί, αν τον ξεχάσουμε, ή αν η υπηρεσία που χρησιμοποιούμε απαιτήσει από εμάς να δημιουργήσουμε κάποιο νέο κωδικό πρόσβασης. Υπάρχουν βέβαια και υπηρεσίες που απαιτούν νέους κωδικούς πρόσβασης κάθε μερικούς μήνες.
Ποια προσέγγιση είναι σωστή; Η χρήση του ίδιου κωδικού πρόσβασης για χρόνια, ή οι συχνές αλλαγές; Παρακάτω θα δούμε τα πλεονεκτήματα και τα μειονεκτήματα της συχνής αλλαγής κωδικού πρόσβασης:
Κάνει τον λογαριασμό σας λίγο πιο ασφαλή
Η θεωρία που κυκλοφορεί γενικά είναι ότι η συχνή αλλαγή του κωδικού σας (password) κάνει τον λογαριασμό σας πιο ασφαλή.
Το επιχείρημα φυσικά ισχύει αν είστε το επιθυμητό θύμα μιας διαρροής, και η συχνή αλλαγή του κωδικού θα εμποδίσει την συνεχή χρήση του λογαριασμού σας από κάποιον hacker…
Σας φαίνεται σωστό το επιχείρημα; Ίσως ναι, αλλά δεν είναι τόσο ξεκάθαρο όσο θα περίμενε κανείς. Η στιγμιαία παραβίαση του λογαριασμού σας από ένα hacker φτάνει για να προκαλέσει πολύ μεγάλες ζημιές. Έτσι η συχνή αλλαγή κωδικών διασφαλίζει μόνο ότι δεν έχετε τον λογαριασμό σας μαζί με τον επιτιθέμενο.
Από την άλλη, ακόμη και αν υποτεθεί ότι οι νέοι κωδικοί σας είναι ποιο ισχυροί από τους προηγούμενους, η πρακτική έχει ελάχιστο όφελος.
Σε ένα paper του πανεπιστημίου Carleton (PDF), οι ερευνητές αναφέρουν ότι οι επιτιθέμενοι που έχουν πρόσβαση σε μια λίστα κωδικών πρόσβασης μπορούν να πραγματοποιήσουν επιθέσεις δοκιμάζοντας ένα τεράστιο αριθμό κωδικών πρόσβασης σε ένα πολύ σύντομο χρονικό διάστημα. Οι κωδικοί πρόσβασης χαμηλής και μέσης ισχύος διατρέχουν κίνδυνο.
Το έγγραφο αποδεικνύει μαθηματικά ότι ακόμη και οι συχνές μεταβολές ισχυρών κωδικών πρόσβασης δεν κατάφεραν να εμποδίσουν τις επιθέσεις, και ότι το όφελος είναι σχεδόν βέβαιο ότι δεν αξίζει την ταλαιπωρία που προκαλεί στους χρήστες.
Το ίδιο έγγραφο συνιστά στους διαχειριστές συστήματος να χρησιμοποιούν αργές λειτουργίες κατακερματισμού όπως το bcrypt. Οι τελικοί χρήστες δεν θα ενοχληθούν και η διαδικασία καθιστά πιο δύσκολο για τους εισβολείς να μαντέψουν γρήγορα ένα μεγάλο αριθμό κωδικών πρόσβασης.
Password Day: Ο νέος σας κωδικός πρόσβασης είναι πιθανό να μην είναι ασφαλής
Είμαι σίγουρος ότι δεν χρειάζεται να σας πούμε πώς να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης, αλλά ορισμένες πληροφορίες θα πρέπει να επαναλαμβάνονται:
Ο κωδικός πρόσβασής σας πρέπει να χρησιμοποιεί ένα συνδυασμό γραμμάτων αριθμών και συμβόλων (ειδικοί χαρακτήρες).
Θα πρέπει να χρησιμοποιεί μερικά κεφαλαία και μερικά πεζά γράμματα.
Θα πρέπει να έχει μήκος μεγαλύτερο από 12 χαρακτήρες.
Ακολουθώντας τις παραπάνω προϋποθέσεις δημιουργείτε κωδικούς που ναι μεν είναι ισχυροί, αλλά είναι δύσκολοι στην απομνημόνευση.
Ας δούμε όμως λίγο τα επιστημονικά δεδομένα. Το 2010, οι ερευνητές του Πανεπιστημίου της Βόρειας Καρολίνας δημοσίευσαν ένα paper με τίτλο “The Security of Modern Passwοrd Expiration: An Algorithmic Framework and Empirical Analysis.” Σε αυτό μελέτησαν τα ιστορικά των κωδικών πρόσβασης από παλιούς λογαριασμούς που υπήρχαν στο πανεπιστήμιο.
Η μελέτη εξέτασε περισσότερους από 10.000 παλιούς λογαριασμούς και 51.141 κωδικούς πρόσβασης. Οι ερευνητές πραγματοποίησαν μια επίθεση hash εκτός σύνδεσης και τελικά κατάφεραν να αποκαλύψουν το 60% των κωδικών.
Στη συνέχεια χρησιμοποίησαν το συγκεκριμένο σύνολο δεδομένων για να δουν αν μπορούσαν να προβάλλουν άλλους κωδικούς πρόσβασης συνδεδεμένους στο λογαριασμό. Τα αποτελέσματα ήταν εκπληκτικά. Σε 17 τοις εκατό των περιπτώσεων, ο επόμενος κωδικός πρόσβασης που χρησιμοποιήθηκε για τον ίδιο λογαριασμό μπορούσε να βρεθεί σε λιγότερο από πέντε δευτερόλεπτα.
Γιατί; Η μελέτη κατέληξε στο συμπέρασμα ότι οι άνθρωποι τείνουν να κάνουν πολύ μικρές αλλαγές όταν αλλάζουν συχνά έναν κωδικό πρόσβασης. Για παράδειγμα, το iguru123 μπορεί να γίνει 1guru123, και το newsiguru! μπορούσε να γίνει igurunews!!, και ούτω καθεξής.
Πότε πρέπει να αλλάζετε τον κωδικό πρόσβασής σας (password);
Αν υποψιάζεστε ότι κάποιος έχει πρόσβαση στον λογαριασμό σας χωρίς την εξουσιοδότησή σας, θα πρέπει να αλλάξετε το password σας. Αν νομίζετε ότι κάποιος σας παρακολουθούσε όταν εισάγατε τα διαπιστευτήριά σας για online banking, θα πρέπει να αλλάξετε και πάλι το password σας. Αν έπρεπε να “δώσεις” κάπου τον κωδικό σου, θα πρέπει φυσικά να τον αλλάξεις.
Και αν νομίζετε ότι είστε θύμα μιας phishing απάτης, θα πρέπει να αλλάξετε τον κωδικό σας.
Σε όλες τις περιπτώσεις, θα πρέπει να βεβαιωθείτε ότι ο νέος σας κωδικός δεν έχει καμία σχέση με τον παλιό. Μην χρησιμοποιήσετε την ίδια κεντρική λέξη, και μην τοποθετείτε τους ίδιους ειδικούς χαρακτήρες στις ίδιες θέσεις. Φυσικά μην δοκιμάσετε να γράφετε τον παλιό κωδικό σας ανάποδα.
Θυμηθείτε, θα πρέπει να αλλάξετε επίσης τον κωδικό πρόσβασής σας σε όλους τους άλλους λογαριασμούς που χρησιμοποιούν παρόμοιους κωδικούς. Για παράδειγμα, εάν ο κωδικός σας στο Facebook είναι iguru1 και ο κωδικός σας στο Twitter είναι 1iguru, θα πρέπει να αλλάξετε και τους δύο.
Τι γίνεται όμως με την αναγκαστική επαναφορά κωδικών πρόσβασης;
Είναι καλή ιδέα για μια εφαρμογή ή μια υπηρεσία να εξαναγκάζει τους τελικούς χρήστες σε δημιουργία νέων passwords; Πιθανώς όχι.
Το 2009, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας δήλωσε ότι οι τακτικές αλλαγές κωδικού πρόσβασης ήταν “επωφελείς για τη μείωση των επιπτώσεων ορισμένων συμβιβασμών κωδικού πρόσβασης”, αλλά ήταν “αναποτελεσματικές για άλλες περιπτώσεις”. Σαν χρησμός από την Πυθία. Φυσικά οι χρήστες απογοητεύονται από την αλλαγή κωδικών που απαιτείται κάθε τρεις και λίγο. αναγκαστική αλλαγή.
Όλα τα παραπάνω επιχειρήματα μπορεί να ακούγονται περίπλοκα. Ας τα μαζέψουμε λίγο:
Οι συχνές αλλαγές κωδικών πρόσβασης (passwords) ενδέχεται να κάνουν τους χρήστες οριακά πιο ασφαλείς, μόνο αν ο νέος κωδικός είναι εξαιρετικά ισχυρός.
Οι αναγκαστικές (συχνές) αλλαγές κωδικών πρόσβασης έχουν συχνά αρνητικό αποτέλεσμα, αφού οι χρήστες επιλέγουν συχνά λιγότερο ισχυρούς, ή μια παραλλαγή των παλαιών κωδικών.
- WPA3 έρχεται να αντικαταστήσει το ανασφαλές WPA2
- WPA3: Πότε θα το δούμε στο Wi-Fi που χρησιμοποιούμε;
Δυστυχώς, λόγω των θέσεων που εκφράζουμε ανοικτά και ξεκάθαρα κάποιοι από εμάς, θέσεων που μισούν την διαπλοκή, την αλητεία, την λαμογιά και την απάτη, και λόγω της θέσεως που (δεν) παίρνει αυτό που ονομάζεται Κράτος, που με τη σειρά του απέχει κατά πολύ από την επιθυμητή Πολιτεία, αλλάζουμε κωδικούς όσο συχνά αλλάζουμε και τα πουκάμισά μας.
Στο εν κατά κλείδι, το θέμα δεν είναι να αλλάζουμε κωδικούς αλλά να κάνει επιτέλους το χρέος του το Κράτος, να πάρει η ευχή. Όσο δύσκολο κι αν είναι. Έτσι ώστε να μην αναγκαζόμαστε να στέλνουμε σε wikileaks και στο icij θέματα που λειτουργούν ως “ασφαλιστήρια συμβόλαιά ζωής μας”.
Αυτό το τελευταίο το αναφέρω κυριολεκτικά.
Θα μου πεις τώρα τι σου λέω…
Μη δίνεις σημασία. Ήθελα να εξωτερικέψω γραπτά για λίγο τις σκέψεις κάποιων από μας.