Οι κωδικοί πρόσβασης αποτελούν ένα αναπόσπαστο κομμάτι μιας διαδικτυακής παρουσίας, είτε αφορούν σε μεμονωμένους χρήστες ή σε επιχειρήσεις, ανεξαρτήτως μεγέθους. Κατά συνέπεια, η υιοθέτηση καλών πρακτικών γύρω από τα passwords, από την δημιουργία μέχρι τη διαχείριση τους, σε μια εποχή που τόσες διαδικασίες πραγματοποιούνται online, αποτελεί μια εξαιρετικά σημαντική διαδικασία.
Χρήση του ίδιου κωδικού, παντού
Τα σχετικά στατιστικά δείχνουν πως περίπου το 50% των χρηστών του διαδικτύου χρησιμοποιεί παντού τον ίδιο κωδικό. Το ακριβές ποσοστό έχει λίγη σημασία. Εκείνο που έχει σημασία είναι πως αυτό, πραγματικά, συμβαίνει. Είναι μάλλον ακατανόητο πως, σε μια εποχή που (σχεδόν) τα πάντα γίνονται διαδικτυακά, υπάρχουν ακόμη χρήστες που προτιμούν να βάζουν τον ίδιο κωδικό παντού: από το e-banking και τις σελίδες κοινωνικής δικτύωσης τους, μέχρι το mail και κάθε εγγραφή σε διαδικτυακή υπηρεσία. Κυρίως για λόγους ευκολίας, κάποιοι χρησιμοποιούν παντού το ίδιο password. Όχι μόνο αυτά τα passwords είναι συνήθως πολύ απλά, αλλά οι διάφορες διαρροές δεδομένων που συχνά συμβαίνουν, σημαίνουν πως εάν κάποιος έχει τον κωδικό για έναν λογαριασμό, έχει τον κωδικό και για όλους τους άλλους στους οποίους χρησιμοποιείται. Σημειώνεται, επιπρόσθετα, πως οι κωδικοί θα πρέπει να ανανεώνονται ανά τακτά χρονικά διαστήματα.
Χρήση αδύναμων κωδικών πρόσβασης
Σε ένα παλαιότερο άρθρο είχαμε εξετάσει και αυτό το φαινόμενο. Είχαμε δει, τότε, πως οι 10 κωδικοί που χρησιμοποιούν πιο συχνά οι χρήστες, σύμφωνα με σχετική έρευνα, είναι οι 123456, password, 123456789, 12345678, 12345, 111111, 1234567, sunshine, qwerty, iloveyou. Ναι, αυτοί οι κωδικοί είναι εύκολο να τους θυμάται κάποιος. Αλλά δεν είναι εύκολο μόνο για αυτόν: είναι εύκολο και για οποιονδήποτε hacker, που για να πραγματοποιήσει μια ηλεκτρονική επίθεση μπορεί να «αποταθεί« σε λίστες κωδικών πρόσβασης που χρησιμοποιούνται συχνότερα παγκοσμίως (και που περιλαμβάνουν τόσο τους προαναφερθέντες όσο και άλλους). Σε συνδυασμό και με το προηγούμενο κακό συνήθειο (της χρήσης του ίδιου κωδικού σε κάθε υπηρεσία) αυτό μπορεί να αποτελέσει ακόμη πιο σοβαρό πρόβλημα. Είναι σίγουρο πως το να έχεις τον ίδιο κωδικό πρόσβασης με εκατοντάδες χιλιάδες άλλους χρήστες (ίσως και εκατομμύρια) δεν είναι ότι πιο έξυπνο ή ασφαλές.
Χρήση στοιχείων ως κωδικού
Μια «λύση» που χρησιμοποιούν κάποιοι για να ξεπεράσουν τα προαναφερθέντα δύο ζητήματα, είναι να χρησιμοποιούν κωδικούς πρόσβασης στους οποίους εντοπίζονται προσωπικά τους δεδομένα και συνδυασμοί αυτών. Δηλαδή, δεδομένα όπως η ημερομηνία γέννησης, το όνομα τους, η διεύθυνση τους, ο αριθμός του κινητού τους, ο αριθμός ταυτότητας και άλλα παρόμοια. Δεδομένα που δεν αποκλείεται να γνωρίζει και κάποιο άλλο πρόσωπο ή που θα μπορούσε να βρει, να μαντέψει και να δοκιμάσει, ώστε να αποκτήσει πρόσβαση σε κάποιον ευαίσθητο λογαριασμό. Για αυτόν τον λόγο, ο κωδικός πρόσβασης δεν θα πρέπει να περιέχει στοιχεία που να σχετίζονται με τον κάτοχο του λογαριασμού, παρά μόνο τυχαίους αριθμούς, γράμματα και σύμβολα. Με την ίδια λογική, δεν θα πρέπει να συνδέεται με τοπωνύμια, τρέχοντα γεγονότα κτλ.
Κοινοποίηση κωδικών
Ναι, υπάρχουν περιπτώσεις που κάποιος θα χρειαστεί να κοινοποιήσει έναν κωδικό πρόσβασης. Αυτό μπορεί να συμβεί τόσο για λογαριασμούς που σχετίζονται με τη λειτουργία μιας επιχείρησης, όσο και με κωδικούς πρόσβασης που αφορούν σε προσωπικά accounts (και τα οποία μπορεί να κοινοποιηθούν για την διόρθωση ενός τεχνικού προβλήματος ή για κάποιο άλλο ζήτημα). Όπως είναι φυσικό, αυτή η κοινή χρήση κωδικών θα πρέπει να γίνεται με μεγάλη προσοχή και μόνο εφόσον αυτό είναι απολύτως απαραίτητο. Παράλληλα, όταν αυτή η κοινοποίηση δεν θα έχει, πλέον, λόγο να συνεχίζεται, ο κάτοχος του λογαριασμού θα πρέπει να αλλάζει τον κωδικό που είχε μοιραστεί, ώστε να αποφύγει οποιοδήποτε πρόβλημα ασφαλείας στον μέλλον. Και φυσικά, αυτή η κοινοποίηση θα πρέπει να γίνεται με προσοχή, και όχι μέσω mail, instant messsanging κτλ.
Χρήση μη ασφαλών μεθόδων αποθήκευσης
Τα τελευταία χρόνια, υπάρχει μια μεγάλη συζήτηση γύρω από τους password managers και το εάν αυτοί είναι ασφαλείς. Η γνώμη του υποφαινόμενου συντάκτη είναι πως τίποτα δεν είναι 100% ασφαλές και πάντα μπορεί να υπάρξουν προβλήματα ή διαρροές (για αυτό και είναι καλό κάποιος να παίρνει τα μέτρα του). Εντούτοις, τι είναι πιο ασφαλές: να γράφει κάποιος τους πολλαπλούς και μεγάλους κωδικούς που χρησιμοποιεί σε ένα κομμάτι χαρτί ή σε ένα αρχείο κειμένου, ή, από την άλλη, να χρησιμοποιεί έναν password manager; Και αν ο φόβος αφορά στους online password managers (που αποθηκεύουν online τα δεδομένα, αλλά συνήθως όχι και τα «κλειδιά» για την πρόσβαση σε αυτούς), υπάρχουν και offline, όπως το Keepass, το οποίο αποθηκεύει τους κωδικούς πρόσβασης σε μια βάση δεδομένων, στον υπολογιστή.
Extra tip: Επειδή οι περισσότεροι χρησιμοποιούν συγκεκριμένα email για να πραγματοποιήσουν την εγγραφή τους στις διάφορες ηλεκτρονικές υπηρεσίες, απαιτείται έξτρα προσοχή στον κωδικό πρόσβασης (και στην εφαρμογή όλων των δικλείδων ασφαλείας) για αυτά τα accounts. Για παράδειγμα, εάν κάποιος έχει ξεχάσει τον κωδικό του σε μια ηλεκτρονική υπηρεσία, είναι πολύ εύκολο να μεταβεί σε αυτήν και να επιλέξει να πραγματοποιηθεί επαναφορά του. Ένας καινούργιος ή ένα link για τη δημιουργία νέου κωδικού θα του αποσταλεί ευθύς αμέσως στο mail του. Κάπως έτσι, εάν ένας κακόβουλος χρήστης αποκτήσει πρόσβαση στο mail account κάποιου άλλου, μπορεί εύκολα να αποκτήσει πρόσβαση και σε όλες τις υπηρεσίες που το χρησιμοποιούν, ακολουθώντας την ίδια διαδρομή.
Στο τέλος της μέρας, οι κωδικοί πρόσβασης είναι θέμα στρατηγικής: Πρέπει κάποιος να βρίσκει τον καλύτερο τρόπο για να αποφύγει το κακό. Όχι μόνο να χρησιμοποιεί κάτι «περίεργο» και σχετικά περίπλοκο για κάθε κωδικό πρόσβασης, αλλά και έναν ασφαλή τρόπο για να το θυμάται. Τελικά, ένας ισχυρός, μοναδικός κωδικός πρόσβασης, σε συνδυασμό με έναν password manager και μια πρόσθετη μέθοδο ασφαλείας, όπως η πιστοποίηση δύο παραγόντων (2FA), είναι η καλύτερη επιλογή.
Σχόλια