Του Βύρωνα Καβαλίνη*
Στο διαδίκτυο είναι πολύ διαδεδομένο μια ιστοσελίδα να χρειάζεται την εγγραφή του χρήστη για να εμφανίσει το περιεχόμενο της ή να παρέχει την υπηρεσία της ή ακόμα και να του δώσει τη δυνατότητα να σχολιάσει κάποιο άρθρο της. Η εγγραφή του χρήστη, και κατά συνέπεια η δημιουργία λογαριασμού, απαιτεί την χρήση κάποιου ονόματος χρήστη (username) αλλά και κωδικού πρόσβασης (password).
Το όνομα χρήστη θα χρειαστεί να είναι μοναδικό και να μην υπάρχει άλλο συνδεδεμένο στην ίδια τη σελίδα για να δημιουργηθεί ο λογαριασμός που απαιτείται, ενώ ο συνδυασμός του ονόματος χρήστη και του κωδικού πρόσβασης αποδεικνύουν την ταυτότητά του χρήστη και η σωστή συμπλήρωση τους δίνει πρόσβαση στο περιεχόμενο της σελίδας σας. Ακόμα και στο email μας αν επιθυμούμε να συνδεθούμε θα χρειαστούμε ένα όνομα χρήστη (συνήθως η διεύθυνση email μας) και έναν κωδικό.
Ο κωδικός πρόσβασης είναι συνήθως συνδυασμός από γράμματα, σύμβολα και αριθμούς. Η χρήση ισχυρών κωδικών πρόσβασης είναι απαραίτητη για την προστασία της ασφάλειας και της ταυτότητάς του χρήστη. Ένας εύκολος κωδικός πρόσβασης έχει περισσότερες πιθανότητες να “μαντευτεί” από κάποιον τρίτο και συνεπώς να έχει πρόσβαση σε προσωπικά μας δεδομένα.
Ένας εύκολος κωδικός πρόσβασης αρχικά έχει μικρό μήκος. Όσο πιο μεγάλος είναι ο κωδικός πρόσβασης τόσο πιο δύσκολο είναι να μαντευτεί από κάποιον ενώ οι συνδυασμοί που προκύπτουν είναι πολύ περισσότεροι. Από έρευνες που έχουν γίνει σε εκατομμύρια κωδικών που έχουν διαρρεύσει έχει παρατηρηθεί ότι οι συνδυασμοί και οι επιλογές που προτιμούνται από τους χρήστες είναι πολύ εύκολοι και είναι της μορφής “123456”, “password”, “football” και άλλες απλές λέξεις που χρησιμοποιούμε όλοι στη καθημερινότητα μας και συνεπώς είναι πολύ εύκολο κάποιος τρίτος να μαντέψει και να βρει.
Αξίζει να αναφερθούμε επίσης στο γεγονός ότι ένα μεγάλο μέρος των χρηστών χρησιμοποιεί τον ίδιο κωδικό πρόσβασης σε όλες τις σελίδες που απαιτείται η σύνδεση τους. Οπότε, αν κάποιος γνωρίζει το email μας ή το username μας τότε με έναν μόνο κωδικό μπορεί να έχει πρόσβαση σε όλες τις σελίδες που έχουμε λογαριασμό, είτε αυτή η σελίδα είναι η τράπεζα μας είτε ένα μαγαζί που κάνουμε αγορές είτε ακόμα και το ίδιο μας το προφίλ στο Facebook.
Ο καλύτερος τρόπος για να αυξηθεί η ασφάλεια είναι ο ορισμός και η δημιουργία πιο πολύπλοκων κωδικών πρόσβασης. Συστήνεται ο κωδικός να είναι μεγάλος σε μήκος, συνήθως πάνω από 12 χαρακτήρες, και να είναι προτάσεις που εύκολα μπορεί να θυμάται ο χρήστης.
Ένας καλός τρόπος είναι η χρήση Online εργαλείων τα οποία προσθέτουν με τυχαίο τρόπο λέξεις και δημιουργούν προτάσεις για τη χρήση τους ως κωδικούς πρόσβασης ή που δημιουργούν κωδικούς βάσει κάποιον επιλογών που ορίζει ο ίδιος ο χρήστης. Στη συνέχεια του κειμένου θα αναφερθούμε σε κάποια παραδείγματα τέτοιων εργαλείων που μπορείτε να χρησιμοποιήσετε.
Είναι σημαντικό να αναφερθεί ότι ένας κωδικός που είναι μεγέθους 12 τουλάχιστον χαρακτήρων χρειάζεται μερικούς αιώνες για να σπάσει από έναν εισβολέα. Με τις σημερινές δυνατότητες των υπολογιστών βέβαια και χρήση πολλών ταυτόχρονα ο χρόνος αυτός μπορεί να μην είναι ο πραγματικός αλλά παραμένει πολύ μεγάλος για να σπάσει. Ενδεικτικά να αναφέρουμε ότι, μετά από έρευνες που έγιναν, ένα supercomputer (που έχουν την απόδοση όσο 1000 υπολογιστές ταυτόχρονα) μπορεί να σπάσει ένα password των 10 χαρακτήρων σε 3 χρόνια.
Δεν συστήνεται να γίνεται χρήση του ίδιου κωδικού σε όλες τις σελίδες και εφαρμογές όπως επίσης και η σημείωση τους σε απλά αρχεία κειμένου στον υπολογιστή ή σε κάποιο σημειωματάριο.
Επίσης, η χρήση συμβόλων και αριθμών βοηθάει πολύ καθώς ο κωδικός γίνεται πιο πολύπλοκος και συνεπώς πιο δύσκολο για κάποιον τρίτο να τον βρει.
Η χρήση των password generators είναι μια πολύ καλή λύση καθώς οι περισσότεροι δίνουν τη δυνατότητα να ορίσει ο χρήστης τις παραμέτρους του κωδικού και να δημιουργήσει έναν έτοιμο προς χρήση. Η χρήση των generators βοηθάει πολύ καθώς αν χρειάζεται από μια σελίδα η χρήση κεφαλαίων συμβόλων και μικρών θα δημιουργήσει έναν πιο πολύπλοκο κωδικό. Για παράδειγμα σε αυτή την περίπτωση, ένας άνθρωπος θα όριζε τον κωδικό “Letmein!123” ενώ ένας password generator θα όριζε “lwlXgHeaWiq”. Η δεύτερη επιλογή είναι πιο δύσκολο να μαντευτεί παρόλο που δεν έχει ειδικούς χαρακτήρες και σύμβολα.
Η χρήση των password generators δεν απαιτεί ειδικές και εξειδικευμένες γνώσεις από το χρήστη, ενώ υπάρχουν διάφορα εργαλεία online που μπορούν να χρησιμοποιηθούν για την δημιουργία των κωδικών πρόσβασης μας. Ενδεικτικά σας δείχνουμε κάποιους online password generators που μπορείτε να χρησιμοποιήσετε:
Strong password generator (https://www.strongpasswordgenerator.com/) Δίνει τη δυνατότητα ορισμού του μήκους του κωδικού καθώς και κάποιες επιλογές παραμετροποίησης όπως η χρήση “φωνητικών λέξεων”. Με τη χρήση των φωνητικών λέξεων ουσιαστικά εμφανίζει ο generator τους συνδυασμούς των γραμμάτων και των αριθμών σε λέξεις ώστε να είναι πιο εύκολοι οι κωδικοί στην απομνημόνευση.
Norton Password Generator (https://my.norton.com/extspa/idsafe?path=pwd-gen) H Norton, γνωστή στο χώρο της ασφάλειας, έχει δημιουργήσει ένα online εργαλείο για την δημιουργία κωδικών πρόσβασης. Το συγκεκριμένο εργαλείο δίνει πολλές επιλογές όπως είναι η επιλογή του μήκους του κωδικού και η χρήση κεφαλαίων, συμβόλων και αριθμών.
ΧΚpassword (https://xkpasswd.net/s/) O ΧΚpassword είναι ίσως ένας από τους ελάχιστους που δίνουν τόσες πολλές επιλογές στην δημιουργία του κωδικού πρόσβασης. Ένα χαρακτηριστικό που τον διαφοροποιεί από την πλειοψηφία των password generators είναι η επιλογή υπηρεσίας βάσει των κανόνων της οποίας θα δημιουργηθεί ο κωδικός. Μερικά τέτοια παραδείγματα είναι βάσει των κανόνων του AppleID, του WiFi και άλλα.
Τέλος, θα προτείναμε την χρήση password managers για την αποθήκευση και διαχείριση των κωδικών σας. Οι password managers είναι ουσιαστικά προγράμματα τα οποία διαχειρίζονται τους κωδικούς σας και τους αποθηκεύουν κωδικοποιημενους ώστε να μην μπορούν να γίνουν κατανοητοί από κάποιον άλλον. Με τη χρήση των προγραμμάτων αυτών εσείς απλά θα χρειαστεί να γνωρίζετε έναν μόνο κωδικό και αυτός είναι ο κωδικός πρόσβασης στον password manager σας.
Με τη χρήση των password managers δεν είναι ανάγκη να θυμάστε τους κωδικούς σας απ’ έξω καθώς διαθέτουν addons για όλους τους γνωστούς browsers όπου μόλις εισέλθετε σε μια σελίδα αμέσως την αναγνωρίζουν και στην αντίστοιχη φόρμα σας δίνουν τη δυνατότητα αυτόματης συμπλήρωσης.
Επίσης, κάποιοι password managers επιτρέπουν την αυτόματη συμπλήρωση με τυχαίους κωδικούς πρόσβασης κατά την εγγραφή και αυτόματη αποθήκευση τους.
Επειδή υπάρχει η πιθανότητα κάποιος να υποκλέψει τον κωδικό πρόσβασης στον password manager και συνεπώς να έχει και πρόσβαση στους υπόλοιπους, πολλοί από τους password managers δίνουν επιπλέον δικλείδες ασφαλείας σε περίπτωση που παρουσιαστεί ασυνήθιστη κινητικότητα.
Από τους πιο γνωστούς password managers είναι ο LastPass και ο 1Password. Και οι δύο δίνουν τη δυνατότητα δωρεάν χρήσης ενώ με την επί πληρωμή ξεκλειδώνουν περισσότερες επιλογές και λειτουργίες. Και οι δύο έχουν addons για Chrome, Mozilla, Opera και λειτουργούν και με Windows, Linux και MacOS. Επίσης, αξίζει να σημειωθεί ότι αν πέσει στην αντίληψη σας ότι έχει γίνει υποκλοπή του κεντρικού σας κωδικού μπορείτε να ζητήσετε διαγραφή του λογαριασμού σας ενώ ο 1Password αναγνωρίζει τη συσκευή από την οποία συνδέεστε και αν επιθυμείτε να συνδεθείτε από μια νέα τότε χρειάζεται να συμπληρώσετε τον master password που σας δίνεται με την εγγραφή από την εφαρμογή αυτόματα.
Πρέπει να αναφέρουμε ότι έχουν αναφερθεί κατά καιρούς διάφορα κενά ασφαλείας στους password managers. Η κάθε εταιρία όμως κάνει άμεσα όλες τις απαραίτητες κινήσεις για να κλείσει αυτά τα κενά και να αυξήσει την ασφάλεια των υπηρεσιών της. Ακόμα και μετά από αυτές τις αναφορές η χρήση τους θεωρείται πιο ασφαλής σαν λύση από την αποθήκευση απλά των κωδικών σε ένα απλό αρχείο που δεν θα περιέχει κάποια κρυπτογράφηση.
Η Homo Digitalis δεν έχει κανένα όφελος από την πρόταση των ανωτέρω εργαλείων. Σας προτείνουμε τα εργαλεία αυτά ως ασφαλείς εναλλακτικές, δεδομένης της μεγάλης πληθώρας επιλογών τέτοιων εργαλείων. Σημειώνεται ότι πολλά από αυτά τα εργαλεία μπορεί να έχουν ως στόχο να υποκλέψουν τα δεδομένα σας. Συνεπώς, σας συστήνουμε να είστε ιδιαίτερα προσεκτικοί όταν επιλέγετε τέτοια εργαλεία.
*Ο Βύρωνας είναι απόφοιτος του τμήματος Εφαρμοσμένης Πληροφορικής και Πολυμέσων του ΤΕΙ Ηρακλείου. Εργάζεται σε εταιρεία, η οποία δραστηριοποιείται στο χώρο του Web hosting και των domain names. Ασχολείται με την ανάπτυξη ιστοσελίδων και την ασφάλεια. Στο παρελθόν, έχει ασχοληθεί με τα πιστοποιητικά SSL.