Feeds:
Δημοσιεύσεις
Σχόλια

Posts Tagged ‘ασφάλεια’

Το τελευταίο διάστημα με αφορμή τις διαρροές απόρρητων εγγράφων της Αμερικάνικης κυβέρνησης απο τον πρώην πράκτορα της CIA Edward Snowden, έχει γίνει μεγάλη συζήτηση για την παρακολούθηση των χρηστών του internet. Ούτε λίγο ούτε πολύ επιβεβαιώθηκαν οι φόβοι ότι οι χρήστες του ίντερνετ παρακολουθούνται συστηματικά από κυβερνήσεις και όχι μόνο. Όλοι οι χρήστες του ίντερνετ επειδή οι υπολογιστές τους είναι μέρος του παγκόσμιου δικτύου υπολογιστών αφήνουν «ίχνη» καθώς κυκλοφορούν εικονικά και αναζητούν πληροφορίες σε δισεκατομμύρια  ιστοσελίδες. Αυτά γίνονται αντικείμενο εκμετάλλευσης αφενός για λόγους παρακολούθησης αφετέρου για προβολή διαφημίσεων. Στο σημερινό άρθρο δεν θα μπω σε λεπτομέρειες για το πως γίνεται αυτή η παρακολούθηση αλλά το πως θα κάνουμε ένα (πρώτο) βήμα για να την αποτρέψουμε χωρίς να είμαστε «χάκερ». Η αλήθεια είναι ότι η πλειοψηφία από εμάς για να βρει πληροφορίες στο ίντερνετ χρησιμοποιεί κάποια μηχανή αναζήτησης όπως το Google, το Bing ή το Yahoo!. Όπως όμως είναι φυσικό οι εταιρείες που βρίσκονται πίσω από αυτές τις μηχανές αναζήτησης δεν έχουν σε πρώτη προτεραιότητα την προστασία της ιδιωτικότητάς μας. Πέραν αυτού επειδή η πλειοψηφία από αυτές εδρεύουν στις Ηνωμένες Πολιτείες  υπάγονται και στους εκεί νόμους που μάλλον δεν είναι τόσο φιλικοί για το απόρρητό μας. Υπάρχουν φυσικά πολλές μέθοδοι για να αποφύγουμε την παρακολούθηση αλλά η πιο απλή είναι να μην χρησιμοποιήσουμε τις μεγάλες υπηρεσίες αναζήτησης αλλά κάποια «εναλλακτική».

Μία από αυτές είναι το DuckDuckGo.com

DuckDuckGo Logo

To DuckDuckGo λοιπόν όπως μπορεί κανείς να διαπιστώσει και στην ιστοσελίδα της πολιτικής απορρήτου του, δεν συγκεντρώνει ούτε μοιράζεται πληροφορίες των χρηστών του.  Επίσης βασίζει τα αποτελέσματά του είτε σε πηγές όπως η Wikipedia είτε σε συνεργασίες που έχει με άλλες μηχανές όπως η Yandex αλλά και το Yahoo!, το Bing ή η WolframAlpha. Φυσικά με αυτόν τον τρόπο δεν μεταφέρονται δικά μας στοιχεία προς όλους τους συνεργάτες του DuckDuckGo.  Επίσης ένα μέρος του κώδικα που χρησιμοποιείται για τις αναζητήσεις προσφέρεται δωρεάν. Αυτό που μου αρέσει στο DuckDuckGo είναι αφενός η πολύ όμορφη αισθητική του στα αποτελέσματα αλλά και το γεγονός πως τα εμφανίζει με μορφή πληροφορίας πρώτα και μετά σελίδων που «ταιριάζουν» στην αναζήτησή μας. Π.χ. αν γράψετε κάποιο τοπωνύμιο, θα σας δώσει κάποιες βασικές πληροφορίες που το αφορούν και στη συνέχεια αναφορές βασισμένες σε άλλες ιστοσελίδες που περιέχουν πληροφορίες για αυτό. Οι σελίδες που απλά το αναφέρουν σαν λέξη κλειδί έρχονται πιο «χαμηλά» στα αποτελέσματα. Εκτός από τα «συνηθισμένα» αποτελέσματα το DuckDuckGo προσφέρει και πάρα πολλά «καλούδια» παρόμοια με αυτά που δίνει το Google ή η WolframAlpha. Ενδεικτικά αναφέρω πως εκτός από το κλασσικό κομπιουτεράκι (π.χ. 6500*20%) μπορεί να δημιουργήσει τυχαία passwords, να υπολογίσει διαφορές ημερών από ημερομηνίες, να εμφανίσει πληροφορίες καλλιτεχνικού περιεχομένου (για ηθοποιούς, μουσικούς, συγκροτήματα κ.λπ) , να μετατρέψει μονάδες και να υπολογίσει θερμίδες φαγητών, να μετατρέψει κείμενα σε κώδικα μορς (!), να απαντήσει ερωτήσεις γεωγραφίας και πολλά άλλα. Τέλος, ακόμα κι αν η αναζήτηση που δώσετε δεν φέρει κάποια αποτελέσματα, θα σας παραπέμψει σε μία από τις μεγάλες μηχανές (Google, Bing κ.λπ) ως εναλλακτική λύση. Για ευκολία και για να θυμάστε εύκολα τη σελίδα υπάρχει και η «σύντομη» διεύθυνση http://ddg.gg

Η δεύτερη εναλλακτική που σας προτείνω είναι το Startpage.com.

startpage_logo_03.gif

Όπως αντιλαμβάνεστε και από το όνομα η σελίδα φιλοδοξεί να γίνει η αρχική σας σελίδα, και αυτοπροσδιορίζεται ως ή πιο «ιδιωτική» μηζανή αναζήτησης. Εδώ έχουμε μία εντελώς διαφορετική προσέγγιση στο θέμα της ιδωτικότητας που όμως είναι πιθανώς πιο αποτελεσματική σε επίπεδο αποτελεσμάτων. Το Startpage φέρνει αποτελέσματα απευθείας από το Google παίζοντας το ρόλο του μεσάζοντα αφαιρώντας όμως έτσι οποιαδήποτε πληροφορία θα συγκρατούσε το Google (όπως π.χ. διεύθυνση ip ή ιστορικό αναζητήσεων) από εσάς. Με άλλα λόγια κάνει την αναζήτηση «εκ μέρους σας» με αποτέλεσμα το Google να μην έχει κανένα στοιχείο για εσάς παρά μόνο για το Startpage. Επιπλέον στα αποτελέσματα της αναζήτησης δίνει την δυνατότητα να επισκεφθείτε ιστοσελίδες μέσω του δικού της proxy ωστε ακόμα και εκεί να μην υπάρχει παρακολούθηση του δικούς σας υπολογιστή. Όπως μπορείτε να δειτε και στην ιστοσελίδα πολιτικής απορρήτου, ουσιαστικά το Startpage δεν κρατά καμία πληροφορία για εσάς όταν κάνετε αναζητήσεις. Επιπλέον η εταιρεία που την διαχειρίζεται έχει έδρα στην Ολλανδία με ό,τι αυτό συνεπάγεται για τη νομοθεσία λόγω Ευρωπαϊκής Ένωσης.  Αισθητικά βέβαια τα αποτελέσματα θυμίζουν πολύ περισσότερο Google και αυτό βέβαια μπορεί να το λάβει κανείς και σαν θετικό και σαν αρνητικό. Το Startpage έχει λάβει μάλιστα και πρώτο τη «σφραγίδα» European Privacy Seal που πιστοποιεί ότι τηρεί όσα υπόσχεται σύμφωνα με την ιδιωτικότητά σας.

privacy_seal_about

Αμφότερες οι μηχανές αναζήτησης που ανέφερα αποφεύγουν σκόπιμα να σας «παρακολουθήσουν» όταν τις χρησιμοποιείτε ώστε ακόμα κι αν τους ζητηθεί μέσω της νομικής οδού κάποια πληροφορία απλά να μην τη διαθέτουν. Εννοείται πως μπορείτε να τις ορίσετε ως «κύριες» σε όλους τους γνωστούς φυλλομετρητές είτε να χρησιμοποιήσετε διάφορα πρόσθετα (add-ons) που θα τις ενεργοποιούν στις καθημερινές σας αναζητήσεις.

Εγώ ήδη χρησιμοποιώ το DuckDuckGo καθημερινά. Εσείς;

Advertisements

Read Full Post »

Τα τελευταία χρόνια η χρήση ηλεκτρονικού υπολογιστή έχει γίνει μέρος της καθημερινότητάς μας. Είτε σε προσωπικό είτε σε εργασιακό επίπεδο οι υπολογιστές έχουν μπει για τα καλά στη ζωή μας. Πολλοί χρήστες μάλιστα έχουν και φορητό υπολογιστή μαζί με τον «επιτραπέζιο» για να μπορούν να δουλεύουν εύκολα στο γραφείο, στο σπίτι ή και στο δρόμο πολλές φορές, σε αεροδρόμια κλπ. Τα laptops και τα netbooks και τα tablets κυκλοφορούν παντού. Δυστυχώς μαζί με αυτά κυκλοφορούν και «ελαφροχέρηδες» που βάζουν στο μάτι τις συσκευές μας είτε για να τις αποκτήσουν είτε για να τις πουλήσουν. Σήμερα δεν αναλωθώ στις κακές τακτικές τους αλλά σε έναν τρόπο που θα μας βοηθήσει να  προστατευθούμε από αυτούς. Εννοείται φυσικά ότι όταν κυκλοφορούμε με κάποια φορητή συσκευή , είτε είναι ταμπλέτα, είτε φορητός υπολογιστή είτε κάτι άλλο φροντίζουμε να μην την αφήνουμε σε κοινή θέα «ασυνόδευτη». Επειδή όμως κανείς δεν είναι τέλειος και πολλές φορές πάνω σε μία στιγμή που δεν προσέχουμε μπορεί να την χάσουμε, τουλάχιστον ας προνοήσουμε ώστε να μπορέσουμε να την φέρουμε κατα το δυνατό ευκολότερα πίσω στα χέρια μας.

Μία λύση λοιπον είναι και το preyproject.com μαζί με το λογισμικό που προσφέρει δωρεάν. Τί κάνει όμως το Preyproject; Ουσιαστικά εγκαθιστώντας ένα μικρό πρόγραμμα στο υπολογιστή μας (Windows, Mac ή Linux) και ανοίγοντας έναν λογαριασμό επίσης δωρεάν στην ομώνυμη ιστοσελίδα μπορούμε σε περίπτωση απώλειας του υπολογιστή μας να τον εντοπίσουμε, να κλειδώσουμε λειτουργίες του, να δούμε την επιφάνεια εργασίας αν ο κλέφτης τον λειτουργεί ή και να τραβήξουμε φωτογραφία με την κάμερα του υπολογιστή! (αν υπάρχει) . Όπως αναφέρει και η ιστοσελίδα το πάρτυ για τους κλέφτες τελείωσε.

Prey Home screen

Το πρώτο και σημαντικότερο ερώτημα βέβαια που θα θέσει κάποιος είναι η ιδιωτικότητά μας. Μήπως ενεργοποιώντας μία τέτοια λύση προδίδουμε την δική μας θέση και ταυτότητα; Πως προστατεύεται η ιδιωτικότητά μας; Ευτυχώς για εμάς το Preyproject είναι ένα λογισμικό ανοικτού κώδικα. Αυτό σημαίνει πως οποιοσδήποτε γνώστης προγραμματισμού μπορεί να «διαβάσει» τον τρόπο με τον οποίο λειτουργεί και να επιβεβαιώσει ότι δεν μας παρακολουθεί. Θα πει κανείς «καλά κι εγώ που δεν ξέρω κώδικα πώς το διαπιστώνω;». Άμεσα δεν το διαπιστώνετε αλλά το γεγονός και μόνο οτι ο κώδικας είναι διαθέσιμος σε όλους σίγουρα δεν δίνει πολλά περιθώρια στον δημιουργό του να κάνει «κόλπα». Πέραν αυτού σίγουρα κάποιος γνώστης θα τον έχει δει και αν υπήρχε κάτι ύποπτο αυτό δεν θα επέτρεπε εύκολα στον δημιουργό του να το υλοποιήσει. Επιπλέον αντί να κατεβάσετε τον κανονικό πρόγραμμα μπορείτε να κατεβάσετε τον πηγαίο κώδικα, να τον τροποποιήσετε αν επιθυμείτε και να δημιουργήσετε μόνοι σας την εφαρμογή χωρίς να παρέμβει κάποιος.

Αφού ξεκαθαρίσαμε λοιπόν αυτό το σημαντικό ζήτημα ας δούμε τί πρέπει να κάνουμε για να ενεργοποιήσουμε το prey και να προστατεύσουμε τον υπολογιστή μας σε περίπτωση απώλειας. Στην κεντρική σελίδα του Preyproject θα χρειαστεί να κατεβάσουμε την έκδοση που αφορά το λειτουργικό μας σύστημα (υπάρχουν εκδόσεις και για κινητά Android και iPhone αλλά δεν θα ασχοληθώ με αυτές). Στη συνέχεια θα κάνουμε εγγραφή στην σελίδα της υπηρεσίας.

Prey Signup

Να διευκρινίσουμε ότι η υπηρεσία είναι δωρέαν για μέχρι και 3 συσκευές ανα λογαριασμό (αρκετές νομίζω για έναν χρήστη) αλλά μπορούμε να επιλέξουμε και επι πληρωμή συνδρομή με επιπλέον λειτουργίες όπως π.χ. για περισσότερους υπολογιστές ανα λογαριασμό ή μεγαλύτερο ιστορικό ειδοποιήσεων σε περίπτωση που χαθεί κάποια συσκευή αλλά και διάφορες ακόμα λειτουργίες που μπορείτε να βρείτε στην σελίδα. Αφού ολοκληρωθεί η εγγραφή μας θα εγκαταστήσουμε την εφαρμογή που πριν λίγο κατεβάσαμε και θα  «εγγράψουμε» τον υπολογιστή μας στον λογαριασμό μας, ώστε να μπορούμε σε περίπτωση που τον χάσουμε να ενεργοποιήσουμε από την ιστοσελίδα την παρακολούθησή του. Από τη σελίδα του χρήστη που πριν λίγο ενεργοποιήσαμε μπορούμε αν γίνει το κακό να “δηλώσουμε” απώλεια του υπολογιστή και να περιμένουμε πιθανά ευρήματα που αποστέλλονται στην ηλεκτρονική μας διεύθυνση (π.χ. τοποθεσία αν γίνει αντιληπτή μέσω ασύρματων δικτύων wifi στα οποία συνδέεται ο υπολογιστής).

prey features

Να σημειώσουμε μερικά πράγματα βέβαια για την υπηρεσία για αποφυγή παρεξηγήσεων:

  • Το Prey εντοπίζει τον υπολογιστή, δεν συλλαμβάνει κλέφτες ούτε και επικοινωνεί με καμία κρατική ή ιδιωτική υπηρεσία ασφάλειας. Αυτό είναι δική μας αρμοδιότητα σε περίπτωση που βρούμε στοιχεία που μας οδηγούν στον κλέφτη (αλλά και από την πρώτη στιγμή μίας πιθανής κλοπής φυσικά).
  • Αν ο υπολογιστής κλαπεί και δεν λειτουργεί ή δεν συνδεθεί σε κανένα δίκτυο ενσύρματο ή ασύρματο αφού «δηλώσουμε» κλοπή στο site, είναι αδύνατο να εντοπιστεί.
  • Αν ο κλέφτης είναι αρκετά προσεκτικός και αφαιρέσει τον σκληρό δίσκο ώστε να μην εκκινήσει το σύστημα ουσιαστικά θα αφαιρέσει μαζί του και την εφαρμογή. Για την περίπτωση που επιχειρηθεί «format» (εκκαθάριση του δίσκου) προτείνεται το κλείδωμα αυτής της λειτουργίας μέσω του BIOS (ή EFI) του υπολογιστή. Εξυπακούεται οτι το κλείδωμα θα γίνει με κωδικό που θα γνωρίζουμε και δεν θα ξεχάσουμε στο μέλλον ώστε ούτε κι εμείς να μην μπορούμε να κάνουμε format.
  • Η διαδικασία απαιτεί υπομονή και δεν είναι πάντα επιτυχής αλλά σίγουρα μπορείτε να πάρετε κουράγιο από τις πολλές ιστορίες ανάκτησης που υπάρχουν στην ιστοσελίδα του Prey.
  • Το Prey δεν καταναλώνει καθόλου μνήμη σε υπολογιστές Mac & Linux μέχρι να δηλωθεί «κλοπή» και ελάχιστη σε υπολογιστές Windows (μέσω ενός resident agent που λειτουργεί στο παρασκήνιο).
  • Αν έχουμε ήδη κωδικό στον λογαριασμό του χρήστη μας στον υπολογιστή, βοηθά να δημιουργήσουμε και έναν απλό λογαριασμό (χωρίς δικαιώματα εγκατάστασης προγραμμάτων και αλλαγών) ώστε ο «κλέφτης» να μπει με ευκολία και να συνδεθεί στο ίντερνετ. Μία μικρή παγίδα που θα γνωρίζουμε μόνο εμείς…
  • Μην ξεχνάτε ότι η λύση αυτή σε καμία περίπτωση δεν αντικαθιστά την πρόληψη. Σίγουρα όμως ασφαλίζει λίγο παραπάνω την περιουσία μας που μπορεί να κοστίζει αρκετά χρήματα και τα δεδομένα μας που είναι μάλλον ανεκτίμητα. Προσωπικά την χρησιμοποίησα, ευτυχώς χωρίς να δηλώσω κλοπή έως και σήμερα. Ελπίζω ποτέ, αλλά των φρονίμων τα παιδιά…

Να προσθέσω επίσης ότι παρόμοιες λύσεις μπορείτε να βρείτε και αλλού είτε ενσωματωμένες (π.χ Find My Mac της Apple) είτε επι πληρωμή με διάφορες εφαρμογές. Προσωπικά όμως προτίμησα το Prey λόγω ανοικτού κώδικα.

Read Full Post »

Για να βρίσκεστε στη σελίδα μου σίγουρα είστε αφενός χρήστες υπολογιστή αφετέρου χρήστες του ίντερνετ (τι κλισέ…). Από την πρώτη μέρα που έχει κανείς επαφή με τους υπολογιστές μπαίνει και στον κόσμο των ονομάτων χρήστη και των κωδικών. Usernames και passwords στα «μοντέρνα» ελληνικά. Ανοίγεις τον υπολογιστή, κωδικός. Ανοίγεις το email σου, κωδικός. Μπαίνεις στο facebook κωδικός. Πας να συμπληρώσεις φορολογική δήλωση στο ίντερνετ, κωδικός. Πας να αγοράσεις από ηλεκτρονικό κατάστημα, κωδικός. Μα χρειάζονται όλοι αυτοί οι κωδικοί; Και που στο καλό να τους θυμάται κανείς; Δε βαριέσαι βάλε τον ίδιο παντού…

Σε αυτό τον άρθρο λοιπόν θα κάνω μία μικρή «παρουσίαση» του θέματος των passwords (που πάνε πακέτο με τα usernames). Είτε το θέλουμε είτε όχι σε κάθε υπολογιστικό σύστημα για να υπάρχει λογικός διαχωρισμός χρηστών και δεδομένων υπάρχουν οι λογαριασμοί. Οπότε όταν σε κάποια ιστοσελίδα κάνετε έγγραφή, εξ ορισμού πρέπει να διαλέξετε και ένα όνομα χρήστη. Αυτό θα πρέπει να είναι μοναδικό για αυτή τη σελίδα. Δεν είναι υποχρεωτικό να βάλετε το όνομά σας, αλλά κι αν το θέλετε θα πρέπει να μην το έχει χρησιμοποιήσει κανείς πριν από εσάς. Επειδή όμως δημιουργείται ένας λογαριασμός και σας δίνουν πρόσβαση σε κάποια υπηρεσία, μαζί πρέπει να σας δώσουν και τα κλειδιά για να «μπαίνετε». Αυτά είναι ο κωδικός σας (password, ή συνθηματικό κατα το ελληνικότερο). Το διαλέγετε εσείς και υπο κανονικές συνθήκες τον γνωρίζετε μόνο εσείς. Με αυτό το ζευγάρι πληροφορίας το σύστημα πιστοποιεί την ταυτότητά σας.  Πολλές φορές μάλιστα, διάφορα συστήματα ζητούν passwords που πληρούν συγκεκριμένες προϋποθέσεις, οπως για παράδειγμα μεγαλύτερα από ένα μήκος χαρακτήρων, που περιλαμβάνουν αριθμούς και σύμβολα ή πεζά και κεφαλαία γράμματα.  Άλλες φορές πάλι οργανισμοί που δίνουν μεγάλη σημασία στην ασφάλεια (π.χ. τράπεζες) απαιτούν να αλλάζουμε τον κωδικό μας ανα τακτά χρονικά διαστήματα. Οι λόγοι που επιβάλουν αυτές τις τακτικές έχουν να κάνουν με την ασφάλεια των υπηρεσιών φυσικά. Το πρόβλημα που προκύπτει συνήθως είναι ότι οι χρήστες χρησιμοποιούν απλούς και εύκολους κωδικούς για να μαντέψει κάποιος επίδοξος «εισβολέας». Ούτε λίγο ούτε πολύ αν το σύστημα δεν επιβάλει κανόνες κατά την δημιουργία του χρήστη, δημιουργούνται κωδικοί τύπου 123,0000, george,password,0987654,qwerty κλπ. Αυτό έχει σαν αποτέλεσμα με μία σχετικά μικρή προσπάθεια να καταφέρνει να εισβάλει κάποιος σε έναν λογαριασμό και να αποκτήσει πρόσβαση στα δεδομένα του.

Τα πράγματα γίνονται ακόμα πιο σύνθετα όταν ο χρήστης αποκτήσει πολλούς λογαριασμούς σε διαφορετικές υπηρεσίες και η απομνημόνευση των κωδικών παύει να είναι απλή υπόθεση. Εκεί αρχίζει και η επανάληψη ίδιων κωδικών (μαζί με τα ονόματα χρήστη που συχνά πια είναι ίδια με το email με το οποίο κάνουμε εγγραφή σε κάθε υπηρεσία). Αυτό όμως δημιουργεί ένα αρκετά σημαντικό κενό ασφαλείας. Αν υποθέσουμε ότι έχουμε έναν εύκολο κωδικό για το email μας, και τον ίδιο στο facebook ή ακόμα χειρότερα σε έναν λογαριασμό internet banking, ένας «χάκερ» θα μπορούσε σε πολύ σύντομο χρονικό διάστημα να αποκτήσει πρόσβαση σε πολύ προσωπικά στοιχεία. Ιδιαίτερα αν αποκτήσει πρόσβαση στο email μας, με το οποίο έχουμε κάνει εγγραφή σε δεκάδες ίσως ιστοσελίδες, το επόμενο βήμα θα είναι να προσπαθήσει να μπει και σε αυτές ζητώντας να ξανασταλεί νέος κωδικός στη διεύθυνση email μας (που κάνουν όλες σχεδόν οι ιστοσελίδες). Φανταστείτε τώρα να έχετε κάνει μία αγορά σε ένα ηλεκτρονικό κατάστημα το οποίο έχει αποθηκεύσει στο «προφιλ» σας την κάρτα με την οποία πληρώσατε (για να μην την ξαναβάζετε κάθε φορά). Με δύο τρία βήματα αν ο κωδικός του email  σας «σπάσει» θα έχει και τον αριθμό της πιστωτικής σας κάρτας. Και μάλιστα χωρίς να έχετε πάρει είδηση, καθώς αφού θα γνωρίζει τον κωδικό σας δεν θα τον αλλάξει αλλά και θα διαγράψει όλα τα email που θα έρθουν από άλλες ιστοσελίδες αφού μάθει τους νέους πια κωδικούς. Και μέχρι να κάνετε login σε αυτές κάαααποια στιγμή, και να δείτε οτι δεν ισχύει ο κωδικός (αφού θα τον έχει αλλάξει σε αυτές) εκείνος θα έχει χρησιμοποιήσει την κάρτα σας σε όλο το διαδίκτυο. ΟΚ, η αλήθεια είναι οτι και οι τράπεζες έχουν τρόπο να διακρίνουν ύποπτες κινήσεις στην κάρτα μας (π.χ. ταυτόχρονες αγορές σε πολλές διαφορετικές χωρες) αλλά γιατί να προσφέρουμε στο πιάτο σε έναν επίδοξο απατεώνα αυτή τη δυνατότητα; Και στη συνέχεια να μπλέξουμε με επικοινωνίες με τράπεζες και δίωξη ηλεκτρονικού εγκλήματος;

Ας δούμε λοιπόν κάποιες καλές πρακτικές σχετικά με τους κωδικούς μας στο ίντερνετ (και όχι μόνο).

  • Δημιουργήστε κωδικούς που δεν είναι μία απλή λέξη, δεν είναι μικροί σε μήκος, και έχουν σύμβολα και αριθμούς. Φροντίστε τουλάχιστον 3-4 βασικές υπηρεσίες (email, facebook, skype κλπ) να έχουν διαφορετικό κωδικό ώστε να μην μπορεί κάποιος με έναν να μπει σε όλες μαζί.  Βάλτε ως κωδικό μία φράση και χρησιμοποιήστε greeklish (ίσως το μόνο σημείο που είναι χρήσιμα) ώστε να αποφύγετε «επιθέσεις» που χρησιμοποιούν «λεξικά» με έτοιμες λέξεις που χρησιμοποιούνται συχνά. Π.χ. Αντί για τον κωδικό john1979 βάλτε h_mairhNYstaze1. Ο κωδικός αυτός είναι εύκολο να απομνημονευτεί, έχει μέσα αριθμό, πεζοκεφαλαία, ειδικό χαρακτήρα, έναν αριθμό και ένα μήκος χαρακτήρων που δεν είναι μικρό.
  • Αν έχετε εγγραφεί σε πολλές υπηρεσίες email (π.χ. yahoo, hotmail, gmail κλπ) χρησιμοποιήστε μία από αυτές ως διεύθυνση κατα την εγγραφή σας σε άλλες υπηρεσίες (π.χ. eshops). Ετσι αφενός θα ξέρετε πάντα οτι σε αυτή  έρχονται τα διάφορα ενημερωτικά email αλλά θα μπορείτε και να επαναφέρετε κωδικούς εκεί έχοντας ορίσει και ένα πιο πολύπλοκο password που θα θυμάστε πιο εύκολα επειδή μπαίνετε συχνά σε αυτό το email.
  • Αποφύγετε να αποθηκεύετε τα στοιχεία σας και ιδιαίτερα αριθμούς πιστωτικών καρτών στο προφίλ των ηλεκτρονικών καταστημάτων, ειδικά αν δεν είναι μεγάλα και γνωστά (π.χ. Amazon). Ακόμα κι αν ο κωδικός σας είναι δύσκολος εάν κάποιος χάκερ καταφέρει να εισβάλει στη βάση δεδομένων του καταστήματος θα αποκτήσει πρόσβαση στα δεδομένα σας χωρίς να έχετε κάνει κάτι λάθος. Φυσικά κανένα σύστημα δεν είναι 100% απρόσβλητο αλλά σίγουρα ένα μεγάλο eshop έχει και πολύ καλύτερα συστήματα προστασίας.
  • Ιδιαίτερα το facebook ή το gmail χρησιμοποιούνται συχνά ως εναλλακτικές μέθοδοι εισόδου σε άλλες υπηρεσίες χωρίς να δημιουργήσετε νέο λογαριασμό. Αν δεν θέλετε να δημιουργείτε νέους λογαριασμούς παντού τουλάχιστον να έχετε δύσκολο κωδικό σε αυτές τις υπηρεσίες.
  • Αν δυσκολεύεστε να θυμάστε τους κωδικούς γράψτε τους, αλλά όχι σε ένα απλό αρχείο στον υπολογιστή σας. Είναι προτιμότερο ένα σημειωματάριο (στο σπίτι) αλλά όχι τα post-it στο γραφείο που είναι σε κοινή θέα. Άλλωστε ένας «φυσικός» κλέφτης είναι απίθανο αν μπει στο σπίτι σας  για να ψάξει για τους κωδικούς σας. Μάλλον αντικείμενα αξίας θα αναζητήσει ή χρήματα. Τώρα αν σας κυνηγά το FBI και η MI6 ίσως ψάξουν κι αυτά… οπότε φροντίστε να το κρύψετε καλά.
  • Εναλλακτικά χρησιμοποιήστε την δυνατότητα αποθήκευσης κωδικών που παρέχουν οι φυλλομετρητές (browsers) αλλά κλειδώστε την πρόσβαση σε αυτούς με έναν γενικό κωδικό της εφαρμογής.
  • Η καλύτερη λύση, κατά τη γνώμη μου, είναι η χρήση μίας εξειδικευμένης εφαρμογής (θα αναφερθώ σε νέο άρθρο σε αυτές) για την αποθήκευση όλων των κωδικών σας αλλά και όλων των ευαίσθητων δεδομένων σας. Αυτές συμπληρώνουν αυτόματα τους κωδικούς στον browser, κρυπτογραφούν τους αποθηκευμένους κωδικούς και ουσιαστικά σας ξεμπερδεύουν από το βραχνά να θυμάστε δεκάδες usernames & passwords όσο μπερδεμένα κι αν είναι.

Ειδικό Παράρτημα: Two factor authentication.

Το τελευταίο διάστημα μετά από αρκετές πετυχημένες επιθέσεις σε λογαριασμούς χρηστών μεγάλων υπηρεσιών έχει υιοθετηθεί μία νέα τεχνική που αυξάνει τα επίπεδα ασφάλειας. Αυτή ονομάζεται Two Factor Authentication (Πιστοποίηση δύο παραγόντων). Μέχρι τώρα το συνθηματικό ήταν το κρυφό στοιχείο (παράγοντας) που γνώριζε μόνο ο χρήστης. Με την τεχνική του two factor authentication προστίθεται άλλος ένας παράγοντας. Αντί να είναι κάτι που γνωρίζει ο χρήστης είναι κάτι που «έχει». Και πιο συγκεκριμένα είναι μία μικρή συσκευή με οθόνη (σε μέγεθος μπρελόκ συνήθως), που εμφανίζει συνεχώς κωδικούς ανα διάστημα μερικών δευτερολέπτων. Αυτές ονομάζονται και OTP (από τα αρχικά του One Time Password).

Συσκευή παραγωγής κωδικών (ηλεκτρονικός κλειδάριθμος). Φωτογραφία του Abouplit

Συσκευή παραγωγής μοναδικών κωδικών (ηλεκτρονικός κλειδάριθμος). Φωτογραφία του Abouplit

Αν λοιπόν κάποιος δεν έχει στην κατοχή του αυτή τη συσκευή ηλεκτρονικού κλειδάριθμου, ώστε να δώσει κατά την είσοδο εκτός από το συνθηματικό και τον αριθμό που εμφανίζει, δεν μπορεί να κάνει είσοδο στην ανάλογη υπηρεσία, ή η πρόσβασή του είναι μειωμένη (π.χ. μόνο εμφάνιση κινήσεων τραπεζικού λογαριασμού και όχι μεταφορά χρημάτων). Ακόμα κι αν κάποιος καταφέρει με κάποιο τρόπο να υποκλέψει το συνθηματικό η είσοδος του δεν μπορεί να επιτευχθεί αν δεν έχει στα χέρια του τη συσκευή. Επιπλέον ακόμα κι αν δει έναν κωδικό από τη συσκευή την ώρα που ο γνήσιος χρήστης τον πληκτρολογεί αυτός θα ισχύει μόνο για μερικά δευτερόλεπτα και μετά από λίγο θα πρέπει να δώσει τον επόμενο για να αποκτήσει πρόσβαση στην υπηρεσία. Εξυπακούεται φυσικά πως η συσκευή είναι ρυθμισμένη και συγχρονισμένη με το σύστημα πιστοποίησης ώστε σε κάθε στιγμή να εμφανίζει τον αντίστοιχο σωστό κωδικό. Με αυτή την τεχνική αυξάνεται κατακόρυφα το επίπεδο ασφάλειας, καθώς είναι πολύ πιο δύσκολο κάποιος να καταφέρει να υποκλέψει το συνθηματικό αλλά και ταυτόχρονα να έχει τη «γεννήτρια κωδικών». Η πλειοψηφία των τραπεζών έχει πια υιοθετήσει αυτήν την τεχνική για λόγους ασφαλείας αλλά και πολλές ιστοσελίδες ή υπηρεσίες που απαιτούν μεγαλύτερο επίπεδο ασφάλειας. Ενδεικτικά το Google mail, το DropBox, το Twitter, το App Store της Apple αλλά και άλλες μεγάλες ιστοσελίδες έχουν ενεργοποιήσει (προαιρετικά) αυτήν την δυνατότητα. Το μειονέκτημα αυτής της μεθόδου είναι οτι για κάθε υπηρεσία που το προσφέρει απαιτείται ουσιαστικά και ένα νέο «μπρελόκ» που γεννά κωδικούς. Ήδη βέβαια πολλές εταιρείες το αντικαθιστούν με εφαρμογές που εκτελούνται σε smartphones και κάνουν την ίδια δουλειά, ώστε να μην γεμίσουμε με τέτοιες συσκευές. Σε αυτήν την περίπτωση βέβαια θα πρέπει να προσέξει πολύ ο κάτοχος να μην χάσει το κινητό του ή να το προστατέψει και αυτό με έναν (κατά το δυνατό) δύσκολο κωδικό. Προσωπικά εκτός από δύο μπρελόκ που έχω για αντίστοιχες τράπεζες και ένα (σε μορφή κάρτας) για το εταιρικό μου mail έχω ενεργοποίησει το two factor authentication και στο DropBox ώστε να μην μπορεί κάποιος να ανοίξει τα αρχεία μου από κάποια μη εγκεκριμενη συσκευή. Αν το περιεχόμενο που έχετε είναι «ευαίσθητο» σας προτείνω να το κάνετε κι εσείς.

Read Full Post »