Είσοδος
        

Ασφάλεια Κωδικού Πρόσβασης

Εκτύπωση
Δημοσιεύτηκε στις Κυριακή, 17 Φεβρουαρίου 2013 14:14 Γράφτηκε από τον/την Βασίλης Βασιλάκης

 

Το τέλειο password, δηλαδή ο μυστικός κωδικός που θα παρέχει απόλυτη ασφάλεια από όσους επιδιώκουν να υποκλέψουν τα προσωπικά μας στοιχεία από τον υπολογιστή μας, δεν έχει εφευρεθεί ακόμα, ωστόσο όλοι μπορούν να θωρακίσουν το password τους ώστε να αποφύγουν τις ηλεκτρονικές κακοτοπιές, μικροί μεγάλοι.

 

Απλοί Κανόνες Ασφάλειας

Έρευνες δείχνουν ότι ο μυστικός κωδικός που συνήθως χρησιμοποιούμε για την πρόσβασή μας σε διάφορες διαδικτυακές υπηρεσίες δεν είναι και τόσο ασφαλής όσο πιστεύουμε. Το πιο συχνό λάθος είναι να επιλέγουμε συνηθισμένες λέξεις ή φράσεις τις οποίες τις θυμόμαστε μεν εύκολα, αλλά είναι εξ’ ίσου εύκολο να τις μαντέψει και ένας επίδοξος χάκερ. Το password καλό είναι να μην αποτελείται από μια μόνο λέξη.  Σύμφωνα με έρευνα του περιοδικού Forbes που διεξήχθη από εταιρείες που συλλέγουν εξαιρετικά μεγάλο όγκο δεδομένων και ασχολούνται με την ασφάλεια, όπως η splashdata, ανάμεσα στα 25 χειρότερα passwords για το 2011 συγκαταλέγονται η ίδια η λέξη “password” στην πρώτη θέση(!) και απλές αγγλικές λέξεις όπως “monkey”,  “letmein”, “trustno1”, “dragon”, “baseball”, “iloveyou” κ.α. 

Έτσι λοιπόν τρεις βασικοί κανόνες για τη δημιουργία ενός ασφαλούς κωδικού πρόσβασης και αυτοί είναι οι ακόλουθοι:

 

Ασυνήθιστο. Δεν πρέπει να αποτελείται αποκλειστικά από μία υπάρχουσα λέξη, όπως π.χ. αυτές που αναφέρθηκαν πιο πάνω. Γενικά, αν κάτι υπάρχει στο λεξικό, απαγορεύεται δια ροπάλου.

 

Μη προσωπικό. Με ένα προσωπικό password  είναι σα να δίνουμε το κλειδί του σπιτιού μας σε οποιονδήποτε γνωστό και άγνωστο. Αποφεύγουμε π.χ. την ημερομηνία των γενεθλίων μας, που πιθανώς να έχουμε δημοσιεύσει σε έναν ιστοχώρο όπως το facebook, δίνοντας έτσι τη δυνατότητα σε οποιονδήποτε να μπει στο λογαριασμό μας πολύ εύκολα, με την ημερομηνία αυτή. Αποφεύγουμε ακόμη οτιδήποτε θα μπορούσε να μαντέψει κάποιος, όπως π.χ. το τηλέφωνό μας, το όνομα του κατοικίδιου μας, κάποιου κοντινού συγγενή μας κλπ.

 

Μη προβλέψιμο. Αποφεύγουμε τυπικούς συνδυασμούς γραμμάτων και αριθμών, όπως "123456", "12345678", "111111", “qwerty”, “abcdefg”, “abc123”, passwords που, σύμφωνα με την εταιρεία Imperva σε έρευνα 32 εκατομμυρίων κωδικών που υποκλάπηκαν από την ιστοσελίδα RockYou, κατατάσσονται στις πρώτες θέσεις χρήσης.

Οι τρεις παραπάνω κανόνες βοηθούν στο να μην μπορέσει κάποιος να μαντέψει το password. Εάν ένας hacker δεν μπορεί να μαντέψει ένα κωδικό ή να τον βρει σε κάποιο λεξικό (dictionary) με πιθανές λέξεις - και δεν υπάρχει κάποιο κενό ασφαλείας που να μπορεί να εκμεταλλευτεί - η μόνη μέθοδος για να το βρει είναι με "ωμή βία" (bruteforce): επιχειρεί, μέσω ειδικών προγραμμάτων, να δοκιμάσει όλους τους πιθανούς συνδυασμούς γραμμάτων, αριθμών, συμβόλων μέχρι να πετύχει το password.

Οι τυπικές Online επιθέσεις τύπου "bruteforce" μπορούν να δοκιμάσουν μερικές εκατοντάδες διαφορετικά password ανά δευτερόλεπτο. Εμείς θα υποθέσουμε τρία σενάρια για να βρούμε το ιδανικό password: Ένα Onlineattackscenarioμε 1000 δοκιμές ανά δευτερόλεπτο, ένα offlinefastattackscenarioμε εκατό δισεκατομμύρια δοκιμές ανά δευτερόλεπτο και ένα MassiveCrackingArrayScenario, που ελέγχει εκατό τρισεκατομμύρια password ανά δευτερόλεπτο.

Υπάρχουν τρεις απλές συμβουλές που μπορούμε να ακολουθήσουμε για να ενισχύσουμε την ασφάλεια του password μας:

 

Να περιέχει τουλάχιστον 8 χαρακτήρες. Τα προγράμματα που μαντεύουν τα password λειτουργούν πολύ μεθοδικά. Αν τα ρυθμίσουμε να βρουν ένα password έως 8 χαρακτήρων μόνο με αριθμούς, θα ξεκινήσουν πρώτα με κωδικούς ενός χαρακτήρα: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9. Ύστερα, θα προχωρήσουν στους δύο χαρακτήρες: 10, 11, 12... 98, 99. Ύστερα στους τρεις και ούτω καθεξής, μέχρι να βρεθεί ο κωδικός ή να φτάσει στο 99999999 (και να αποτύχει, αν το password ήταν 9 αριθμών). Με την παραπάνω λογική, το σύνολο των πιθανών δοκιμών που μπορούν να γίνουν σε ένα password με 8 χαρακτήρες είναι 111.111.110 ή 1,11x108.

Με 1000 δοκιμές το δευτερόλεπτο, το αριθμητικό password των 8 χαρακτήρων (π.χ. 98532548) θα βρεθεί το πολύ σε 1,29 ημέρες. Αν ωστόσο προσθέσουμε έναν ακόμα αριθμό σαν χαρακτήρα, το σύνολο των πιθανών δοκιμών δεκαπλασιάζεται (11,1x109). Αν ο κωδικός μας αποτελείται από 12 αριθμούς, οι πιθανοί συνδυασμοί είναι 11,1x1012 και με 1000 δοκιμές ανά δευτερόλεπτο χρειάζονται 35.33 χρόνια για να εξαντληθούν όλοι.

 

Να περιέχει πεζά και κεφαλαία γράμματα, αριθμούς, αλλά και ειδικούς χαρακτήρες όπως π.χ. ( ! @ # $ % ^ & * , ; ” ). Αν στο προηγούμενο παράδειγμα με τους 8 αριθμούς αντικαταστήσουμε τον ένα με ένα σύμβολο (π.χ. 985325.8), τότε από 1,29 ημέρες ο μέγιστος χρόνος εκτοξεύεται στους 3.8 αιώνες (!) με χίλιες δοκιμές ανά δευτερόλεπτο. Αυτό συμβαίνει γιατί, εκτός από τα 10 αριθμητικά ψηφία (0,1,2 έως 9), το πρόγραμμα που κάνει το bruteforce πρέπει να λάβει υπ' όψιν του και τα 33 σύμβολα που αναγνωρίζει ο υπολογιστής (!,@,#,$,%,^,&,* κλπ). Επιπλέον, σημασία έχει και η θέση στην οποία βρίσκεται το σύμβολο. Το "9." δεν είναι το ίδιο με το ".9", ούτε το "1.1" με το "11." ή το ".11". Γι' αυτό και οι πιθανοί συνδυασμοί, ενώ με τους 8 αριθμούς είναι 111.111.110, αντικαθιστώντας έναν αριθμό με ένα σύμβολο γίνονται 11.966.490.760.400.

Αντίστοιχα, ένα password 8 χαρακτήρων με τουλάχιστον έναν αριθμό, ένα σύμβολο, ένα κεφαλαίο και ένα μικρό γράμμα (π.χ. 1aA.7890) μας δίνει 6.704.780.954.517.120 πιθανούς συνδυασμούς (γιατί πρέπει να κάνει συνδυασμό ανάμεσα σε 26 κεφαλαία γράμματα, 26 μικρά, 33 σύμβολα και 10 ψηφία). Με 1000 δοκιμές το δευτερόλεπτο, το πρόγραμμα θα χρειαστεί 2,13 χιλιάδες αιώνες για να τους δοκιμάσει όλους.

Συνδυάζοντας το μήκος με την ποικιλία είναι εμφανές ότι ο κωδικός "D0g...................." με μέγεθος 23 χαρακτήρες είναι σχεδόν 100 φορές καλύτερος από τον κωδικό "PrXyc.N(n4k77#L!eVdAf9" των 22 χαρακτήρων. Υπάρχει όμως και άλλο ένα σημείο στο οποίο υπερτερεί το "D0g...................."

 

Να το θυμόμαστε εύκολα. Δεν υπάρχει αμφιβολία ότι το "PrXyc.N(n4k77#L!eVdAf9" είναι ένα σπουδαίο password. Περιέχει 6 κεφαλαία γράμματα, 8 μικρά, 4 αριθμούς και 4 σύμβολα, σύνολο 22 χαρακτήρες. Οι πιθανοί συνδυασμοί για να βρεθεί δίνονται από έναν αριθμό που έχει 44 ψηφία (και πιο συγκεκριμένα τον 32.697.539.119.683.393.423.636.678.337.924.023.892.017.120). Με 1000 δοκιμές το δευτερόλεπτο, το πρόγραμμα θα χρειαστεί 35,53 εκατομμυρίων τρισεκατομμυρίων τρισεκατομμυρίων αιώνων για να εξαντλήσει όλους τους συνδυασμούς.

Το πρόβλημα είναι ότι είναι πολύ δύσκολο στην απομνημόνευση. Για να το γράψουμε θα πρέπει να το διαβάζουμε από κάπου και να πατάμε ένα-ένα τα κουμπιά του. Κι αν κάνουμε έστω κι ένα λάθος (αφού μόνο αστεράκια θα βλέπουμε στην οθόνη), θα πρέπει να το γράψουμε από την αρχή. Και, φυσικά, δεν έχει καμία λογική να έχουμε παντού το ίδιο password. Οπότε, θα πρέπει να φτιάξουμε άλλα 10-12 τέτοια (ένα για κάθε κοινωνικό δίκτυο, ένα για κάθε e-mail και webmail κλπ), και να αφιερώσουμε το υπόλοιπο της ζωής σας για να τα αποστηθίσουμε.

Βέβαια, υπάρχει και η λύση του "D0g....................". Όμως, εδώ που τα λέμε, αφ' ενός μπορεί να μπερδευτούμε στο πόσες τελείες πατήσαμε (είναι 20), αφ' ετέρου δεν είναι ασφαλές να ξέρει ο οποιοσδήποτε πως έχουμε 20 φορές το ίδιο ψηφίο στο password μας.

Το ιδανικό password είναι κάτι που ο χρήστης θα θυμάται εύκολα (ιδανικά, δεν θα ξεχάσει ποτέ), θα έχει μια σχετική πολυπλοκότητα και ταυτόχρονα θα είναι αδύνατον να το μαντέψει κάποιος άλλος.

 

Δημιουργώντας το τέλειο password

Ας υποθέσουμε πως το αγαπημένο μας φαγητό είναι τα μακαρόνια, αλλά εξ' αιτίας αυτού έχουμε φτάσει 99 κιλά. Το password"Makaronia?eimai99kila!" είναι ιδανικό (καλό είναι τα password να μην έχουν κενά, κάποια websites και προγράμματα δεν τα επιτρέπουν). Έχει 22 χαρακτήρες, κεφαλαία και μικρά γράμματα, αριθμούς και σύμβολα. Είναι ακριβώς όσο ισχυρό είναι το "PrXyc.N(n4k77#L!eVdAf9", με τη διαφορά πως είναι εύκολο στην απομνημόνευση και δεν πρόκειται να το ξεχάσουμε.

Επίσης, ενώ οι φίλοι μας ξέρουν πως μας αρέσουν τα μακαρόνια και ορισμένοι μπορεί να ξέρουν και το βάρος μας, κανείς ποτέ δεν θα μπορέσει να μαντέψει πως αυτό είναι το password μας.

Δεν χρειάζεται βέβαια να είναι και τόσο μεγάλο. Το "Forawpapoutsi#43" μπορεί να έχει μόνο 16 χαρακτήρες, αλλά και πάλι, με 1000 δοκιμές ανά δευτερόλεπτο, χρειάζονται μέγιστο 14,14 εκατομμύρια δισεκατομμυρίων αιώνες για να σπάσει με bruteforce.

Ακόμα και στην περίπτωση που ο hacker έχει πρόσβαση σε ένα MassiveCrackingArray, που μπορεί να δοκιμάσει εκατό τρισεκατομμύρια password το δευτερόλεπτο, πάλι για να σπάσει το "Forawpapoutsi#43" χρειάζονται 1,41 εκατοντάδες εκατομμύρια αιώνες.

Για έναν άλλο δικτυακό τόπο, και χωρίς να ξεχνάμε την αγάπη μας για τα ζυμαρικά, μπορούμε ξεκινώντας από τη φράση «Mou aresoun poli ta lazania me saltsa» να δημιουργήσουμε τον κωδικό «Mou_ap#ta#lms», βάζουμε στη μέση και στο τέλος ειδικούς χαρακτήρες ή αλλάζουμε κάποιους όπως το «a» σε «@» και έχουμε έτσι έναν ισχυρό κωδικό «Μ0u_@p#t@#lms%».

 

Έλεγχος του password

Αν θέλουμε να ελέγξουμε την ασφάλεια του passwordπου δημιουργήσαμε υπάρχουν διάφορα sites που μπορούμε να επισκεφθούμε, όπως π.χ. τα:

 

Επιπλέον, κάποιοι δικτυακοί τόποι μπορούν να μας προτείνουν ασφαλή password, αν και στις περισσότερες περιπτώσεις αυτά θα είναι δύσκολα στην απομνημόνευση, αφού παράγονται με τυχαίους συνδυασμούς χαρακτήρων. Κάποιοι από αυτούς είναι οι:

 

PasswordManagers

Αν δεν καταφέρνουμε να θυμηθούμε τους κωδικούς μας, υπάρχουν δικτυακοί τόποι και εφαρμογές στις οποίες μπορούμε να τους αποθηκεύσουμε και να τους διαχειριστούμε. Στην περίπτωση αυτή θα χρειαστεί να θυμόμαστε μόνο ένα passwordπου θα μας δίνει πρόσβαση στα δεδομένα που έχουμε αποθηκεύσει. Περισσότερες πληροφορίες στις διευθύνσεις:

 

Ένα ελεύθερο πρόγραμμα διαχείρισης κωδικών είναι το KeePass Portable. Μπορούμε να βάλουμε όλους τους κωδικούς πρόσβασης σε μία βάση δεδομένων, η οποία είναι κλειδωμένη με ένα κύριο κλειδί ή ένα κλειδί αρχείο. Έτσι, το μόνο που χρειάζεται να θυμόμαστε είναι τον ένα κύριο κωδικό πρόσβασης ή να επιλέξουμε το αρχείο κλειδί για να ξεκλειδώσουμε την βάση. Οι βάσεις δεδομένων είναι κρυπτογραφημένες χρησιμοποιώντας τους καλύτερους και πιο ασφαλής, αλγορίθμους κρυπτογράφησης που σήμερα είναι γνωστοί (AES και Twofish). Η εφαρμογή είναι portable, πράγμα που σημαίνει ότι δεν χρειάζεται εγκατάσταση και μπορούμε να την έχουμε συνέχεια μαζί μας σε ένα usb. Είναι διαθέσιμο στη διεύθυνση: http://keepass.info/download.html

  

keepass

 

Και μετά τι;

Ακόμα, κι’ αν έχουμε επιλέξει το τέλειο password, δεν πρέπει να εφησυχάζουμε για την ασφάλεια της ηλεκτρονικής μας επικοινωνίας, γιατί τις περισσότερες φορές δεν τίθεται μόνο θέμα υποκλοπής των στοιχείων μας αλλά και επιτήδειοι που προσπαθούν μέσα από το λεγόμενο “phishing” (ηλεκτρονικό ψάρεμα) να μας παρασύρουν ώστε να δώσουμε μόνοι μας τον κωδικό μας. Ας είμαστε λοιπόν πολύ προσεκτικοί. 

 

Πηγές

www.saferinternet.gr

www.pcsteps.gr

Αναστάσεως 19, 16452,
Αργυρούπολη
Τηλ : 210-9635236, Fax : 210-9635959
e-mail : mail(at)1epal-argyr.att.sch.gr

Copyright © 2014, Βασιλάκης Βασίλειος, Κοζομπόλη Χρυσάνθη
Επιμέλεια Δημοσιεύσεων:  Βασιλάκης Βασίλειος

Μοιραστείτε την Ιστοσελίδα μας

FacebookTwitterGoogle BookmarksLinkedinRSS Feed
Σημερινοί επισκέπτες98
Συνδεδεμένοι Χρήστες 0
Guests 11
 

Template © FreeTemplateSpot - All rights reserved.