To Password είναι ένα σύνολο μυστικών χαρακτήρων ή λέξεων που απαιτείται να δοθούν για να αποκτήσει κάποιος πρόσβαση σε έναν υπολογιστή ή στα αρχεία και τα προγράμματα ενός συστήματος. Οι κωδικοί πρόσβασης εξασφαλίζουν ότι μόνο οι εξουσιοδοτημένοι χρήστες μπορούν να αποκτήσουν συγκεκριμένες πληροφορίες.
Tα passwords και η κρυπτογράφηση στον ψηφιακό κόσμο, αποτελούν κάτι δεδομένο και δεν ξενίζουν κανέναν.
O πρώτος κωδικός πρόσβασης του υπολογιστή αναπτύχθηκε το 1961 στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, όταν οι περισσότεροι άνθρωποι δεν είχαν δει ποτέ ακόμη και έναν υπολογιστή.
Δεκαετίες νωρίτερα, οι Ναζί χρησιμοποίησαν τις Enigma machines, προκειμένου να διαφυλάξουν κάποια σκοτεινά μυστικά.
Και ακόμα πιο πίσω, στην Εποχή του Χαλκού, οι στρατιώτες της Σπάρτης, χρησιμοποιούσαν συγκεκριμένα ραβδιά και δέρμα για να μεταδίδουν μηνύματα Infographic για τα passwords].
Καλό θα είναι να μην χρειάζεται να μας το θυμίζει κάποιος άλλος, αλλά να έχουμε στο νου μας να αλλάζουμε τους κωδικούς σε ό,τι διατηρούμε διαδικτυακά σε τακτά χρονικά διαστήματα. σε email, κωδικούς διαχειριστών σε λίστες/φόρουμ/blog, κλπ. Υπάρχουν λύσεις, όπως οι Password Managers που μας διευκολύνουν στην δημιουργία και διαχείριση ισχυρών κωδικών, ακόμα και κάτω από ισχυρές κρυπτογραφήσεις.
Είναι λοιπόν, πολύ σημαντικό και ιδιαιτέρα σε αυτές τις εποχές να ασφαλίζετε όσο καλύτερα μπορείτε τα δεδομένα σας και να αποφεύγετε την αβάσταχτη ελαφρότητα των ανόητων και προβλέψιμων κωδικών πρόσβασης.
Αυτό είναι κάτι που δεν θα βαρεθούμε να το επαναλαμβάνουμε, δίνοντας λύσεις για το θέμα της ασφαλούς διαχείρισης των κωδικών σας μα και την δημιουργία ισχυρών passwords.
Tι γίνεται όμως με αυτούς τους Διαχειριστές Κωδικών και τις γεννήτριες τυχαίων κωδικών πρόσβασης; Είναι όλα αυτά αποτελεσματικά;
Είναι ο "ανθρώπινα απομνημονεύσιμος κωδικός", ιδανικός; Έχουν διαφορές ανάμεσά τους οι on-line εφαρμογές διαχείρισης και δημιουργίας κωδικών με τις αντίστοιχες desktop εφαρμογές;
Μια επεξήγηση όλων αυτών θα δούμε πιο κάτω, όσο το δυνατόν πιο απλά και χωρίς να μπλέξουμε σε τεχνικές ορολογίες και άλλα τέτοια που οι περισσότεροι δεν θα καταλάβουν.
Αφορμή υπήρξε ένα έγγραφο (PDF) από το Πανεπιστήμιο του Texas, που αναφέρει πως με την γνωστή τεχνική Markov, ένα ποσοστό 67,6% των κωδικών πρόσβασης από έναν πραγματικό κόσμο του δείγματος ήταν σε θέση να σπάσει.
Oι Password managers, προσπαθούν να προσφέρουν μια λύση, καθώς το μόνο που χρειάζεται να θυμάται κάποιος είναι έναν κωδικό πρόσβασης, το οποίο σημαίνει ότι μπορείτε εύκολα να κάνετε πολύ ασφαλή αυτόν τον κωδικό πρόσβασης, έχοντας έτσι πρόσβαση σε όλους τους λογαριασμούς σας. Εκτός αυτού όμως, οι περισσότεροι διαχειριστές κωδικών πρόσβασης θα δημιουργήσουν τυχαίους κωδικούς για εσάς, επιτρέποντας την χρήση εξαιρετικά ασφαλών και μοναδικών κωδικών πρόσβασης για κάθε ένα από logins σας. Φυσικά σε αυτό θα πρέπει να λάβουμε υπόψη πως άλλοι Password managers είναι αξιόλογοι, άλλοι όχι και τόσο. Ωστόσο υπάρχουν κάποια πράγματα που πρέπει να έχουμε κατά νου, όταν επιλέγουμε κάποιον διαχειριστή κωδικών, προκειμένου να τον χρησιμοποιήσουμε.
Δημιουργία Ποιοτικών Κωδικών Πρόσβασης Για τους περισσότερους διαχειριστές κωδικών πρόσβασης που διαθέτουν την δυνατότητα δημιουργίας κωδικών, δεν τίθεται ζήτημα αφού οι κωδικοί που παράγονται είναι μεγάλοι και άρα πιο ασφαλείς, δίνοντάς σας μάλιστα και την δυνατότητα να επιλέξετε το σετ/τα σύνολα των χαρακτήρων που θα χρησιμοποιήσετε.
Βέβαια, καλό θα είναι να ελέγχετε πάντα την ποιότητα των παραγόμενων κωδικών πριν αποφασίσετε να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης. Όπως, εξίσου, σημαντικό είναι και το να γνωρίζουμε τις επιλογές που μας παρέχει ο εκάστοτε διαχειριστής για την δημιουργία ενός κωδικού.
Σιγουρέψτε λοιπόν ότι σας δίνεται η δυνατότητα -ο κωδικός- να περιλαμβάνει ένα ευρύ φάσμα χαρακτήρων, συμπεριλαμβανομένων των συμβόλων, των αριθμών αλλά και των κεφαλαίων γραμμάτων και ότι αυτά μπορούν να συνδυαστούν τυχαία για να σχηματίσουν έναν κωδικό πρόσβασης κατάλληλου μήκους.
Είναι επίσης σημαντικό το να είναι προσαρμόσιμη η παραγωγή κωδικού, μιας και υπάρχουν διάφορες μορφές σύνδεσης οι οποίες έχουν διαφορετικές απαιτήσεις για το πώς πρέπει να είναι ο κωδικός με τον οποίον θα κάνετε login (εγγραφή).
Δεν θα είναι και τόσο ευχάριστο νομίζω να έχετε επιλέξει έναν διαχειριστή και να δείτε ξαφνικά ότι ο κωδικός που σας δημιούργησε δεν γίνεται αποδεκτός -ξέρετε, υπάρχουν φορές -σχεδόν σε όλους μας έχει τύχει- κάποιες ιστοσελίδες να έχουν περιορισμούς και υπερβολικές απαιτήσεις, με αποτέλεσμα να καταφέρουμε (αν στο μεταξύ δεν διαολοστείλουμε την σελίδα) να καταφέρουμε να τον δημιουργήσουμε με την δέκατη προσπάθεια.
Ορισμένοι διαχειριστές κωδικών πρόσβασης επιτρέπουν την παραγωγή "απομνημονεύσιμων κωδικών" κωδικών πρόσβασης. Και ναι μεν αυτό ακούγεται δελεαστικό, από την άλλη όμως καλό θα ήταν να αποφεύγουμε τέτοιου είδους κωδικούς.
Τις περισσότερες φορές δεν είναι απαραίτητο, δεδομένου ότι θα βασιζόμαστε στον διαχειριστή για να μας προμηθεύσει τον κωδικό μας κάθε φορά που πάμε να κάνουμε login σε κάποια σελίδα. Και όταν -για τον όποιον λόγο- όντως χρειαστεί να θυμηθούμε τον κωδικό μας, είναι πιθανότερο να τον θυμηθούμε όταν έχουμε συγκεκριμένες “κατευθυντήριες γραμμές” (με τις οποίες συνηθίζουμε, εμείς οι ίδιοι, να τους δημιουργούμε).
Οι κωδικοί πρόσβασης, όμως, που δημιουργούνται από τους διαχειριστές -ως "απομνημονεύσιμοι"- συχνά δεν περιέχουν αριθμούς και σύμβολα (τα οποία είναι εύκολο να περιληφθούν σε έναν όντως αξιόλογο κωδικό πρόσβασης όταν τον κωδικό τον δημιουργεί ο ίδιος ο άνθρωπος, ο χρήστης δηλαδή).
Οι παραγόμενοι -από τον διαχειριστή- κωδικοί, παρότι αξιόλογοι, μπορεί κάλλιστα -και δη, εύκολα- να σπάσουν με τις αλυσίδες Markov που προαναφέραμε. Και αυτό, λόγω του τρόπου με τον οποίο δημιουργούνται.
Online και Offline Password Managers Όπως γνωρίζουμε, οι Διαχειριστές κωδικών, έρχονται τόσο σαν desktop, όσο και σαν web εφαρμογές. Δηλαδή η χρήση του μπορεί να γίνει χωρίς σύνδεση στο διαδίκτυο, απ' ευθείας στο desktop μας, είτε με χρήση διαδικτύου από κάποια ιστοσελίδα ή πρόσθετο (πχ, ένα browser addon).
Προφανώς οι on-line password managers, έχουν ορισμένα πλεονεκτήματα καθώς είναι προσβάσιμοι από παντού, ασχέτως λειτουργικού συστήματος, μπορούν να συγχρονιστούν και μπορούν να χρησιμοποιηθούν εύκολα από φορητές συσκευές. Η δε πρόσβασή τους είναι πανεύκολη, απλά με την προσθήκη ενός bookmarklet στην εργαλειοθήκη του browser μας και όχι λίγες φορές οι λειτουργίες είναι αυτοματοποιημένες.
Ωστόσο, όπως αναφέρθηκε στο πιο πάνω έγγραφο (δημοσίευση 2014), αυτό είναι κάτι που μπορεί να αποβεί ιδιαίτερα επισφαλές. Εάν δεν θέλετε να διαβάσετε ολόκληρο το έγγραφο, τότε διαβάστε απλά την ακόλουθη παράγραφο από την εισαγωγή:
Our attacks are severe: in four out of the five password managers we studied, an attacker can learn a user’s credentials for arbitrary websites. We find vulnerabilities in diverse features like one-time passwords, bookmarklets, and shared passwords. The root-causes of the vulnerabilities are also diverse: ranging from logic and authorization mistakes to misunderstandings about the web security model, in addition to vulnerabilities like CSRF and XSS.
δηλαδή:
Σε τέσσερις από τους πέντε διαχειριστές κωδικών πρόσβασης που μελετήσαμε, ένας εισβολέας μπορεί να μάθει τα διαπιστευτήρια ενός χρήστη για διάφορες ιστοσελίδες.
Έχουμε βρει τρωτά σημεία σε διάφορες λειτουργίες, όπως στα: one-time passwords, bookmarklets, καθώς και στην κοινή χρήση των κωδικών πρόσβασης. Οι βαθύτερες αιτίες των τρωτών σημείων είναι επίσης διαφορετικές, καθώς μπορεί να έχουμε από λάθη λογικής, μέχρι λάθη στο authorization (εξουσιοδότηση), μα και παρανοήσεις σχετικά με το μοντέλο ασφάλειας στο διαδίκτυο, εκτός από τα τρωτά σημεία -όπως ειναι τα CSRF και XSS.
Οι οffline password managers γενικά θεωρείται ότι είναι πιο ασφαλείς, καθώς τα δεδομένα αποθηκεύονται τοπικά, με συνέπεια λιγότερη μεταφορά δεδομένων και ταυτότητας, τα οποία ενδέχεται να είναι εκμεταλλεύσιμα από έναν εισβολέα. Αν και δεν είναι πολύ βολικοί, όπως οι online password managers, η φορητότητα μπορεί συχνά να αναδημιουργηθεί με την χρήση USB-Stick (αν και αυτό είναι σπάνια μια επιλογή για κινητές συσκευές και όχι εφικτό σε όλες).
Αυτόματη συμπλήρωση και Προστασία από Phishing Ένα πλεονέκτημα των διαχειριστών κωδικών πρόσβασης είναι ότι μπορούν να βοηθήσουν στην προστασία του χρήστη από επιθέσεις phishing αφού απλά θα συμπληρώνουν τα διαπιστευτήρια στην σωστή σελίδα. Δεν διατρέχετε δηλαδή κίνδυνο να βάλετε τον κωδικό σας σε μια πλαστή/μαϊμού ιστοσελίδα. Αυτό αναμφίβολα είναι καλό.
Από την άλλη -όμως- η λειτουργία αυτόματης συμπλήρωσης που διαθέτουν πολλοί διαχειριστές (κωδικών πρόσβασης), όταν εφαρμόζονται ανεπαρκώς ή εσφαλμένα, μπορεί να επιτρέψουν σε έναν εισβολέα να αποκτήσει τους κωδικούς πρόσβασης των χρηστών και -μάλιστα- σχετικά εύκολα.
Σε αυτήν την έκθεση από το Πανεπιστήμιο του Stanford (pdf) μπορείτε να δείτε παραπάνω λεπτομέρειες για ό,τι αφορά τις λειτουργίες αυτόματης συμπλήρωσης σε διαχειριστές κωδικών πρόσβασης, καθώς και παραδείγματα επιθέσεων που εκμεταλλεύονται αυτές τις δυνατότητες. Στην έκθεση του Πανεπιστημίου του Texas (που αναφέραμε πιο πάνω), φαίνεται πως οι ερευνητές μπόρεσαν να εξάγουν -από έναν διαχειριστή κωδικών πρόσβασης- περίπου δέκα κωδικούς το δευτερόλεπτο, χρησιμοποιώντας (μεταξύ άλλων μεθόδων) ένα αόρατο iFrame στην καταληκτική σελίδα κάποιου WiFi hotspot. Και φυσικά, χωρίς το θύμα να πάρει χαμπάρι τίποτε.
Εάν λοιπόν επιθυμείτε να χρησιμοποιείτε την αυτόματη συμπλήρωση, συνιστάται να ορίσετε έναν Password manager που θα σας το υπενθυμίζει -πριν γράψετε τα διαπιστευτήρια στην φόρμα, ώστε να αποφευχθούν τέτοιου είδους επιθέσεις.
Συμπέρασμα Προφανώς η χρήση ενός διαχειριστή κωδικών είναι αναγκαία. Ο μεγαλύτερος κίνδυνος δεν είναι οι τύποι που κάθονται σε σκοτεινά δωμάτια με μια οθόνη μπροστά τους που κοιτάνε πώς να σας καταστρέψουν. Υπάρχουν και αυτοί, αλλά είναι μια αμελητέα ποσότητα που τα θύματά τους είναι κυρίως οι αδαείς. Το πρόβλημα έρχεται από τις μεγάλες εταιρείες του διαδικτύου, από τις κυβερνητικές υπηρεσίες και φυσικά την (κάθε) NSA.
Θα πρέπει να επιλέξετε ποιον Password Manager θα χρησιμοποιήσετε με βάση τα προαναφερθέντα κριτήρια, καθώς και την προσωπική προτίμηση για πράγματα όπως το UI (η εμφάνιση/χρηστικότητα), τα πρόσθετα χαρακτηριστικά τους, καθώς και την μέθοδο του browser integration, αν δηλαδή μπορούν να ολοκληρώσουν την διαδικασία σε συνεργασία με τον browser σας.
via:
http://osarena.net