Feeds:
Δημοσιεύσεις
Σχόλια

Archive for Αύγουστος 2013

Για να βρίσκεστε στη σελίδα μου σίγουρα είστε αφενός χρήστες υπολογιστή αφετέρου χρήστες του ίντερνετ (τι κλισέ…). Από την πρώτη μέρα που έχει κανείς επαφή με τους υπολογιστές μπαίνει και στον κόσμο των ονομάτων χρήστη και των κωδικών. Usernames και passwords στα «μοντέρνα» ελληνικά. Ανοίγεις τον υπολογιστή, κωδικός. Ανοίγεις το email σου, κωδικός. Μπαίνεις στο facebook κωδικός. Πας να συμπληρώσεις φορολογική δήλωση στο ίντερνετ, κωδικός. Πας να αγοράσεις από ηλεκτρονικό κατάστημα, κωδικός. Μα χρειάζονται όλοι αυτοί οι κωδικοί; Και που στο καλό να τους θυμάται κανείς; Δε βαριέσαι βάλε τον ίδιο παντού…

Σε αυτό τον άρθρο λοιπόν θα κάνω μία μικρή «παρουσίαση» του θέματος των passwords (που πάνε πακέτο με τα usernames). Είτε το θέλουμε είτε όχι σε κάθε υπολογιστικό σύστημα για να υπάρχει λογικός διαχωρισμός χρηστών και δεδομένων υπάρχουν οι λογαριασμοί. Οπότε όταν σε κάποια ιστοσελίδα κάνετε έγγραφή, εξ ορισμού πρέπει να διαλέξετε και ένα όνομα χρήστη. Αυτό θα πρέπει να είναι μοναδικό για αυτή τη σελίδα. Δεν είναι υποχρεωτικό να βάλετε το όνομά σας, αλλά κι αν το θέλετε θα πρέπει να μην το έχει χρησιμοποιήσει κανείς πριν από εσάς. Επειδή όμως δημιουργείται ένας λογαριασμός και σας δίνουν πρόσβαση σε κάποια υπηρεσία, μαζί πρέπει να σας δώσουν και τα κλειδιά για να «μπαίνετε». Αυτά είναι ο κωδικός σας (password, ή συνθηματικό κατα το ελληνικότερο). Το διαλέγετε εσείς και υπο κανονικές συνθήκες τον γνωρίζετε μόνο εσείς. Με αυτό το ζευγάρι πληροφορίας το σύστημα πιστοποιεί την ταυτότητά σας.  Πολλές φορές μάλιστα, διάφορα συστήματα ζητούν passwords που πληρούν συγκεκριμένες προϋποθέσεις, οπως για παράδειγμα μεγαλύτερα από ένα μήκος χαρακτήρων, που περιλαμβάνουν αριθμούς και σύμβολα ή πεζά και κεφαλαία γράμματα.  Άλλες φορές πάλι οργανισμοί που δίνουν μεγάλη σημασία στην ασφάλεια (π.χ. τράπεζες) απαιτούν να αλλάζουμε τον κωδικό μας ανα τακτά χρονικά διαστήματα. Οι λόγοι που επιβάλουν αυτές τις τακτικές έχουν να κάνουν με την ασφάλεια των υπηρεσιών φυσικά. Το πρόβλημα που προκύπτει συνήθως είναι ότι οι χρήστες χρησιμοποιούν απλούς και εύκολους κωδικούς για να μαντέψει κάποιος επίδοξος «εισβολέας». Ούτε λίγο ούτε πολύ αν το σύστημα δεν επιβάλει κανόνες κατά την δημιουργία του χρήστη, δημιουργούνται κωδικοί τύπου 123,0000, george,password,0987654,qwerty κλπ. Αυτό έχει σαν αποτέλεσμα με μία σχετικά μικρή προσπάθεια να καταφέρνει να εισβάλει κάποιος σε έναν λογαριασμό και να αποκτήσει πρόσβαση στα δεδομένα του.

Τα πράγματα γίνονται ακόμα πιο σύνθετα όταν ο χρήστης αποκτήσει πολλούς λογαριασμούς σε διαφορετικές υπηρεσίες και η απομνημόνευση των κωδικών παύει να είναι απλή υπόθεση. Εκεί αρχίζει και η επανάληψη ίδιων κωδικών (μαζί με τα ονόματα χρήστη που συχνά πια είναι ίδια με το email με το οποίο κάνουμε εγγραφή σε κάθε υπηρεσία). Αυτό όμως δημιουργεί ένα αρκετά σημαντικό κενό ασφαλείας. Αν υποθέσουμε ότι έχουμε έναν εύκολο κωδικό για το email μας, και τον ίδιο στο facebook ή ακόμα χειρότερα σε έναν λογαριασμό internet banking, ένας «χάκερ» θα μπορούσε σε πολύ σύντομο χρονικό διάστημα να αποκτήσει πρόσβαση σε πολύ προσωπικά στοιχεία. Ιδιαίτερα αν αποκτήσει πρόσβαση στο email μας, με το οποίο έχουμε κάνει εγγραφή σε δεκάδες ίσως ιστοσελίδες, το επόμενο βήμα θα είναι να προσπαθήσει να μπει και σε αυτές ζητώντας να ξανασταλεί νέος κωδικός στη διεύθυνση email μας (που κάνουν όλες σχεδόν οι ιστοσελίδες). Φανταστείτε τώρα να έχετε κάνει μία αγορά σε ένα ηλεκτρονικό κατάστημα το οποίο έχει αποθηκεύσει στο «προφιλ» σας την κάρτα με την οποία πληρώσατε (για να μην την ξαναβάζετε κάθε φορά). Με δύο τρία βήματα αν ο κωδικός του email  σας «σπάσει» θα έχει και τον αριθμό της πιστωτικής σας κάρτας. Και μάλιστα χωρίς να έχετε πάρει είδηση, καθώς αφού θα γνωρίζει τον κωδικό σας δεν θα τον αλλάξει αλλά και θα διαγράψει όλα τα email που θα έρθουν από άλλες ιστοσελίδες αφού μάθει τους νέους πια κωδικούς. Και μέχρι να κάνετε login σε αυτές κάαααποια στιγμή, και να δείτε οτι δεν ισχύει ο κωδικός (αφού θα τον έχει αλλάξει σε αυτές) εκείνος θα έχει χρησιμοποιήσει την κάρτα σας σε όλο το διαδίκτυο. ΟΚ, η αλήθεια είναι οτι και οι τράπεζες έχουν τρόπο να διακρίνουν ύποπτες κινήσεις στην κάρτα μας (π.χ. ταυτόχρονες αγορές σε πολλές διαφορετικές χωρες) αλλά γιατί να προσφέρουμε στο πιάτο σε έναν επίδοξο απατεώνα αυτή τη δυνατότητα; Και στη συνέχεια να μπλέξουμε με επικοινωνίες με τράπεζες και δίωξη ηλεκτρονικού εγκλήματος;

Ας δούμε λοιπόν κάποιες καλές πρακτικές σχετικά με τους κωδικούς μας στο ίντερνετ (και όχι μόνο).

  • Δημιουργήστε κωδικούς που δεν είναι μία απλή λέξη, δεν είναι μικροί σε μήκος, και έχουν σύμβολα και αριθμούς. Φροντίστε τουλάχιστον 3-4 βασικές υπηρεσίες (email, facebook, skype κλπ) να έχουν διαφορετικό κωδικό ώστε να μην μπορεί κάποιος με έναν να μπει σε όλες μαζί.  Βάλτε ως κωδικό μία φράση και χρησιμοποιήστε greeklish (ίσως το μόνο σημείο που είναι χρήσιμα) ώστε να αποφύγετε «επιθέσεις» που χρησιμοποιούν «λεξικά» με έτοιμες λέξεις που χρησιμοποιούνται συχνά. Π.χ. Αντί για τον κωδικό john1979 βάλτε h_mairhNYstaze1. Ο κωδικός αυτός είναι εύκολο να απομνημονευτεί, έχει μέσα αριθμό, πεζοκεφαλαία, ειδικό χαρακτήρα, έναν αριθμό και ένα μήκος χαρακτήρων που δεν είναι μικρό.
  • Αν έχετε εγγραφεί σε πολλές υπηρεσίες email (π.χ. yahoo, hotmail, gmail κλπ) χρησιμοποιήστε μία από αυτές ως διεύθυνση κατα την εγγραφή σας σε άλλες υπηρεσίες (π.χ. eshops). Ετσι αφενός θα ξέρετε πάντα οτι σε αυτή  έρχονται τα διάφορα ενημερωτικά email αλλά θα μπορείτε και να επαναφέρετε κωδικούς εκεί έχοντας ορίσει και ένα πιο πολύπλοκο password που θα θυμάστε πιο εύκολα επειδή μπαίνετε συχνά σε αυτό το email.
  • Αποφύγετε να αποθηκεύετε τα στοιχεία σας και ιδιαίτερα αριθμούς πιστωτικών καρτών στο προφίλ των ηλεκτρονικών καταστημάτων, ειδικά αν δεν είναι μεγάλα και γνωστά (π.χ. Amazon). Ακόμα κι αν ο κωδικός σας είναι δύσκολος εάν κάποιος χάκερ καταφέρει να εισβάλει στη βάση δεδομένων του καταστήματος θα αποκτήσει πρόσβαση στα δεδομένα σας χωρίς να έχετε κάνει κάτι λάθος. Φυσικά κανένα σύστημα δεν είναι 100% απρόσβλητο αλλά σίγουρα ένα μεγάλο eshop έχει και πολύ καλύτερα συστήματα προστασίας.
  • Ιδιαίτερα το facebook ή το gmail χρησιμοποιούνται συχνά ως εναλλακτικές μέθοδοι εισόδου σε άλλες υπηρεσίες χωρίς να δημιουργήσετε νέο λογαριασμό. Αν δεν θέλετε να δημιουργείτε νέους λογαριασμούς παντού τουλάχιστον να έχετε δύσκολο κωδικό σε αυτές τις υπηρεσίες.
  • Αν δυσκολεύεστε να θυμάστε τους κωδικούς γράψτε τους, αλλά όχι σε ένα απλό αρχείο στον υπολογιστή σας. Είναι προτιμότερο ένα σημειωματάριο (στο σπίτι) αλλά όχι τα post-it στο γραφείο που είναι σε κοινή θέα. Άλλωστε ένας «φυσικός» κλέφτης είναι απίθανο αν μπει στο σπίτι σας  για να ψάξει για τους κωδικούς σας. Μάλλον αντικείμενα αξίας θα αναζητήσει ή χρήματα. Τώρα αν σας κυνηγά το FBI και η MI6 ίσως ψάξουν κι αυτά… οπότε φροντίστε να το κρύψετε καλά.
  • Εναλλακτικά χρησιμοποιήστε την δυνατότητα αποθήκευσης κωδικών που παρέχουν οι φυλλομετρητές (browsers) αλλά κλειδώστε την πρόσβαση σε αυτούς με έναν γενικό κωδικό της εφαρμογής.
  • Η καλύτερη λύση, κατά τη γνώμη μου, είναι η χρήση μίας εξειδικευμένης εφαρμογής (θα αναφερθώ σε νέο άρθρο σε αυτές) για την αποθήκευση όλων των κωδικών σας αλλά και όλων των ευαίσθητων δεδομένων σας. Αυτές συμπληρώνουν αυτόματα τους κωδικούς στον browser, κρυπτογραφούν τους αποθηκευμένους κωδικούς και ουσιαστικά σας ξεμπερδεύουν από το βραχνά να θυμάστε δεκάδες usernames & passwords όσο μπερδεμένα κι αν είναι.

Ειδικό Παράρτημα: Two factor authentication.

Το τελευταίο διάστημα μετά από αρκετές πετυχημένες επιθέσεις σε λογαριασμούς χρηστών μεγάλων υπηρεσιών έχει υιοθετηθεί μία νέα τεχνική που αυξάνει τα επίπεδα ασφάλειας. Αυτή ονομάζεται Two Factor Authentication (Πιστοποίηση δύο παραγόντων). Μέχρι τώρα το συνθηματικό ήταν το κρυφό στοιχείο (παράγοντας) που γνώριζε μόνο ο χρήστης. Με την τεχνική του two factor authentication προστίθεται άλλος ένας παράγοντας. Αντί να είναι κάτι που γνωρίζει ο χρήστης είναι κάτι που «έχει». Και πιο συγκεκριμένα είναι μία μικρή συσκευή με οθόνη (σε μέγεθος μπρελόκ συνήθως), που εμφανίζει συνεχώς κωδικούς ανα διάστημα μερικών δευτερολέπτων. Αυτές ονομάζονται και OTP (από τα αρχικά του One Time Password).

Συσκευή παραγωγής κωδικών (ηλεκτρονικός κλειδάριθμος). Φωτογραφία του Abouplit

Συσκευή παραγωγής μοναδικών κωδικών (ηλεκτρονικός κλειδάριθμος). Φωτογραφία του Abouplit

Αν λοιπόν κάποιος δεν έχει στην κατοχή του αυτή τη συσκευή ηλεκτρονικού κλειδάριθμου, ώστε να δώσει κατά την είσοδο εκτός από το συνθηματικό και τον αριθμό που εμφανίζει, δεν μπορεί να κάνει είσοδο στην ανάλογη υπηρεσία, ή η πρόσβασή του είναι μειωμένη (π.χ. μόνο εμφάνιση κινήσεων τραπεζικού λογαριασμού και όχι μεταφορά χρημάτων). Ακόμα κι αν κάποιος καταφέρει με κάποιο τρόπο να υποκλέψει το συνθηματικό η είσοδος του δεν μπορεί να επιτευχθεί αν δεν έχει στα χέρια του τη συσκευή. Επιπλέον ακόμα κι αν δει έναν κωδικό από τη συσκευή την ώρα που ο γνήσιος χρήστης τον πληκτρολογεί αυτός θα ισχύει μόνο για μερικά δευτερόλεπτα και μετά από λίγο θα πρέπει να δώσει τον επόμενο για να αποκτήσει πρόσβαση στην υπηρεσία. Εξυπακούεται φυσικά πως η συσκευή είναι ρυθμισμένη και συγχρονισμένη με το σύστημα πιστοποίησης ώστε σε κάθε στιγμή να εμφανίζει τον αντίστοιχο σωστό κωδικό. Με αυτή την τεχνική αυξάνεται κατακόρυφα το επίπεδο ασφάλειας, καθώς είναι πολύ πιο δύσκολο κάποιος να καταφέρει να υποκλέψει το συνθηματικό αλλά και ταυτόχρονα να έχει τη «γεννήτρια κωδικών». Η πλειοψηφία των τραπεζών έχει πια υιοθετήσει αυτήν την τεχνική για λόγους ασφαλείας αλλά και πολλές ιστοσελίδες ή υπηρεσίες που απαιτούν μεγαλύτερο επίπεδο ασφάλειας. Ενδεικτικά το Google mail, το DropBox, το Twitter, το App Store της Apple αλλά και άλλες μεγάλες ιστοσελίδες έχουν ενεργοποιήσει (προαιρετικά) αυτήν την δυνατότητα. Το μειονέκτημα αυτής της μεθόδου είναι οτι για κάθε υπηρεσία που το προσφέρει απαιτείται ουσιαστικά και ένα νέο «μπρελόκ» που γεννά κωδικούς. Ήδη βέβαια πολλές εταιρείες το αντικαθιστούν με εφαρμογές που εκτελούνται σε smartphones και κάνουν την ίδια δουλειά, ώστε να μην γεμίσουμε με τέτοιες συσκευές. Σε αυτήν την περίπτωση βέβαια θα πρέπει να προσέξει πολύ ο κάτοχος να μην χάσει το κινητό του ή να το προστατέψει και αυτό με έναν (κατά το δυνατό) δύσκολο κωδικό. Προσωπικά εκτός από δύο μπρελόκ που έχω για αντίστοιχες τράπεζες και ένα (σε μορφή κάρτας) για το εταιρικό μου mail έχω ενεργοποίησει το two factor authentication και στο DropBox ώστε να μην μπορεί κάποιος να ανοίξει τα αρχεία μου από κάποια μη εγκεκριμενη συσκευή. Αν το περιεχόμενο που έχετε είναι «ευαίσθητο» σας προτείνω να το κάνετε κι εσείς.

Read Full Post »