Cocktail blog

Cocktail blog

Τι πρέπει να ξέρετε για να αλλάξετε, πάλι, password

Labels:
Οι άνθρωποι δεν είναι αρκετά καλοί στην επιλογή password, αφού συνεχίζουμε να επιλέγουμε «αδύναμους» κωδικούς. Αυτό αποδεικνύει -άλλη μια φορά- η ανάλυση μιας εξαιρετικά εκτενούς λίστας κωδικών που εντόπισαν διαθέσιμη online οι ειδικοί σε θέματα ασφάλειας στην εταιρεία SpiderLabs. Δύο εκατομμύρια κωδικοί, κυρίως από το Facebook, υποκλάπηκαν με λογισμικό που καταγράφει ότι πληκτρολογεί ο χρήστης, χωρίς να γίνεται αντιληπτό.
  • Να σου πω το password σου; Έχει μήκος 6 με 7 χαρακτήρες..., χρησιμοποιείς μόνο πεζά χωρίς αριθμούς..., είναι το ίδιο σε δύο τουλάχιστον υπηρεσίες/εφαρμογές..., είναι ίδιο με το login... ή... μη μου πεις ότι είναι το... 123456 ή
Το περιστατικό αφορά στο νεότερο κρούσμα του botnet με το όνομα Pony, μάλλον χαϊδευτικό αφού πρόκειται για δόλιο δούρειο ίππο. Η υποκλοπή αφορά σε περισσότερα από 1,5 εκατομμύρια στοιχεία εισόδου σε πλήθος δημοφιλών διαδικτυακών υπηρεσιών, με πρώτο (σε ποσοστό 57.06%) ονόματα χρηστών και συνδεδεμένους κωδικούς εισόδου στο Facebook.
Παρά το γεγονός ότι η ανάλυση της SpiderLabs αναφέρεται στην ανεπαρκή πολυπλοκότητα της πλειονότητας των κωδικών που επιλέγουν οι χρήστες, στην προκειμένη περίπτωση δεν είχε καμία σημασία, αφού ο κωδικός καταγράφηκε την ώρα που γινόταν η πληκτρολόγησή του.
Δείτε μια ενδιαφέρουσα παρουσίαση για το φαινόμενο της επιλογής password από τον Nick Berry, αναλυτή δεδομένων με πολυετή πείρα, στο TEDxSeattle, τον Ιούλιο του 2013:Σε γενικές γραμμές πάντως, ισχυρά θεωρούνται τα password που είναι μακροσκελή. Επίσης, συστήνεται να χρησιμοποιούνται υπαρκτές λέξεις γραμμένες όμως ιδιαίτερα ανορθόγραφα -όχι με την γνωστή πια αντικατάσταση χαρακτήρων με ψηφία που έχουν την ίδια περίπου μορφή (π.χ. το 1 με το !, ή το Ο με 0)- ώστε να μην εντοπίζονται μετά από μια αυτοματοποιημένη αναζήτηση στο λεξικό. Επίσης, όταν πρόκειται για συντετμημένες προτάσεις που έχουν κάποιο νόημα για τον χρήστη ώστε να είναι απομνημονεύσιμος ο κωδικός, συστήνεται η παράλειψη άρθρων και συνδέσμων της γραμματικής (και, ή, να, κ.λπ.) και η ασυνταξία. Όπου υπάρχει η επιλογή, προτείνεται η χρήση δεύτερου προσωρινού κωδικού κλειδώματος που παύει να ισχύει μέσα σε λίγα δευτερόλεπτα (δηλαδή, ένας συνδυασμός για κάτι που γνωρίζουμε -τον κωδικό μας- και κάτι που έχουμε -μια συσκευή ή ένα app παραγωγής προσωρινών κωδικών για την εκάστοτε υπηρεσία). 

Θυμηθείτε, το σημαντικότερο πρόβλημα είναι ότι χρησιμοποιούμε τον ίδιο κωδικό σε διαφορετικές υπηρεσίες, με αποτέλεσμα οι υποκλοπείς να αποκτούν ένα κλειδί-πασπαρτού σε πλήθος διαδικτυακών υπηρεσιών. Φυσικά, η επιλογή ενός ισχυρού password δεν μας προφυλλάσσει από τους λεγόμενους keyloggers (ενδεικτικά αναφέρουμε δύο γνωστές εφαρμογές που αναλαμβάνουν να επιθεωρούν εάν καταγράφεται ό,τι πατάτε στο πληκτρολόγιό σας είναι ο Zermana Anti-logger και το SpyShelter). tech.in.gr