Πολλοί εξακολουθούν να κάνουν τους κωδικούς πρόσβασης πολύ απλούς. Shutterstock / Vitalii Vodolazskyi

Για περισσότερα από 15 χρόνια, υπήρξαν διάφορες προβλέψεις από ηγέτες τεχνολογίας για το θάνατο των κωδικών πρόσβασης. Ο Μπιλ Γκέιτς το προέβλεψε πίσω στο 2004 και η Microsoft έχουν το πρόβλεψε για το 2021. Υπήρξαν πολλές παρόμοιες διακηρύξεις στο μεταξύ, παράλληλα με τη συνεχιζόμενη κριτική των κωδικών πρόσβασης ως ανεπαρκές μέσο προστασίας.

Ωστόσο, οι κωδικοί πρόσβασης παραμένουν μια κοινή πτυχή της ασφάλειας στον κυβερνοχώρο, κάτι που οι άνθρωποι χρησιμοποιούν καθημερινά. Επιπλέον, οι κωδικοί πρόσβασης δείχνουν λίγα σημάδια εξαφάνισης. Αλλά πολλοί άνθρωποι εξακολουθούν να τα χρησιμοποιούν άσχημα και φαίνεται να αγνοεί τη συνιστώμενη καλή πρακτική.

Είναι πολύ συνηθισμένο για τους εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο και εταιρείες να κατηγορούν τους χρήστες για κακή χρήση κωδικών πρόσβασης, χωρίς να αναγνωρίζεται ότι τα συστήματα επιτρέπουν τις κακές επιλογές τους.

Πολλοί ιστότοποι δεν προσφέρουν εκ των προτέρων οδηγίες σχετικά με τον τρόπο επιλογής των κωδικών πρόσβασης που απαιτούν να έχουμε, ίσως υποθέτοντας ότι γνωρίζουμε αυτά τα πράγματα ήδη ή μπορούμε να τα βρούμε αλλού. Αλλά το γεγονός ότι οι άνθρωποι επιμένουν κατά τη χρήση αδύναμων κωδικών πρόσβασης υποδηλώνει ότι αυτή είναι μια αισιόδοξη άποψη.

Ξεπερασμένες συμβουλές

Εκτός από την έλλειψη καθοδήγησης, είναι σύνηθες να βρίσκετε ιστότοπους που επιβάλλουν παρωχημένες απαιτήσεις κωδικού πρόσβασης. Είστε πιθανώς εξοικειωμένοι με συστήματα που επιμένουν στην πολυπλοκότητα του κωδικού πρόσβασης, απαιτώντας κεφαλαία γράμματα, αριθμούς ή ειδικούς χαρακτήρες για να κάνετε τους κωδικούς πρόσβασης πιο δυνατούς (η απάντησή μας στην οποία αντικατοπτρίζει συχνά το παρακάτω βίντεο).

Ωστόσο, την τρέχουσα καθοδήγηση είναι να επιτρέψουμε την πολυπλοκότητα αλλά όχι να την απαιτήσουμε, και να θεωρήσουμε βασικά την ισχύ του κωδικού πρόσβασης ως συνώνυμο με το μήκος του κωδικού πρόσβασης.

Η Εθνικό Κέντρο Ασφάλειας Cyber συνιστά τη δημιουργία ενός μεγάλου κωδικού πρόσβασης συνδυάζοντας τρεις τυχαίες λέξεις, επιτρέποντας κάτι περισσότερο και πιο αξέχαστο από πολλές τυπικές επιλογές.

Ο κωδικός μου προσπαθεί

Επίσης δεν βοηθά το γεγονός ότι, αντί να δίνουμε καθοδήγηση και απαιτήσεις στην αρχή, πολλοί ιστότοποι αποκαλύπτουν μόνο κανόνες ως απάντηση σε εμάς να δοκιμάζουμε πράγματα που δεν επιτρέπονται. Προσπάθησα να δημιουργήσω έναν κωδικό πρόσβασης για έναν τέτοιο ιστότοπο. Οι περισσότερες από τις προσπάθειές μου έλαβαν σχόλια που απαιτούσαν περαιτέρω δράση, μέχρι που έκανα μια τελική επιλογή, η οποία έγινε αποδεκτή χωρίς παράπονο. Αλλά ο κωδικός πρόσβασης που έγινε δεκτός, steve !, ήταν σύντομος και μάλλον προβλέψιμος.

Πάλη με κανόνες. Στίβεν Φούρελ, Συγγραφέας παρέχεται

Όταν έπαιξα λίγο περισσότερο, έγιναν δεκτές διάφορες άλλες αδύναμες επιλογές. Για παράδειγμα 1234a !, abcde1 και qwert! όλοι ικανοποίησαν τους κανόνες, όπως και το Furnell1 - το οποίο δεν είναι ιδιαίτερα ισχυρό, ειδικά καθώς έχω ήδη εισαγάγει το Furnell ως το επώνυμό μου αλλού στη φόρμα εγγραφής.

Εν τω μεταξύ, οι κανόνες συχνά σημαίνει ότι δεν μπορούμε να χρησιμοποιήσουμε κωδικούς πρόσβασης που δημιουργούνται αυτόματα από τις συσκευές μας ή αυτούς που ενδέχεται να δημιουργήσουμε για μας ακολουθώντας την τρέχουσα καθοδήγηση.

Πολλοί ιστότοποι δεν επιτρέπουν δημιουργημένους κωδικούς πρόσβασης. Στίβεν Φούρελ

Ορισμένοι ιστότοποι πιστεύουν ότι μπορούν να αντισταθμίσουν την έλλειψη καθοδήγησης χρησιμοποιώντας τεχνικές όπως μετρητές κωδικού πρόσβασης για να αξιολογήσουν τις επιλογές μας. Ωστόσο, ενώ αυτά δίνουν ανατροφοδότηση, δεν αποτελούν υποκατάστατο για την παροχή καθοδήγησης σχετικά με το πώς φαίνεται η καλή εμφάνιση.

Χρησιμοποιώντας έναν άλλο ιστότοπο, εισήγαγα έναν κακό κωδικό πρόσβασης (ο κωδικός πρόσβασης λέξης) και το μόνο σχόλιο που έλαβα ήταν ότι ο κωδικός πρόσβασης είναι πολύ αδύναμος. Εάν ένας χρήστης προσέφερε πραγματικά αυτόν τον κωδικό πρόσβασης ως απόπειρα, αυτό που πρέπει να ειπωθεί είναι γιατί είναι αδύναμος. Ενώ μπορείτε αναμφίβολα να βρείτε ορισμένους ιστότοπους που παρέχουν καλύτερα και πιο ενημερωτικά σχόλια, αυτό το παράδειγμα είναι δυστυχώς αντιπροσωπευτικό πολλών άλλων.

Κανόνες που πρέπει να ακολουθήσετε

Φυσικά, έχοντας επισημάνει την έλλειψη αποτελεσματικής καθοδήγησης, θα ήταν λάθος να τελειώσει χωρίς να προσφέρει πραγματικά κάποια. Η καθοδήγηση του NCSC σχετικά με την επιλογή και τη χρήση κωδικών πρόσβασης παρατίθενται και εξηγούνται εν συντομία παρακάτω:

1. Χρησιμοποιήστε έναν ισχυρό και ξεχωριστό κωδικό πρόσβασης για το email σας - καθώς αυτή είναι συχνά η διαδρομή σας για πρόσβαση σε άλλους λογαριασμούς.
2. Δημιουργήστε ισχυρούς κωδικούς πρόσβασης χρησιμοποιώντας τρεις τυχαίες λέξεις - αυτό θα σας δώσει ισχυρότερους και πιο αξιομνημόνευτους κωδικούς πρόσβασης.
3. Αποθηκεύστε τους κωδικούς πρόσβασής σας στο πρόγραμμα περιήγησής σας - αυτό σας εμποδίζει να τους ξεχάσετε ή να τους χάσετε.
4. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων - αυτό προσθέτει ένα επιπλέον στοιχείο προστασίας ακόμα κι αν ο κωδικός πρόσβασής σας έχει παραβιαστεί.

Είναι χρήσιμο να το συμπληρώσετε με επιπλέον υπενθυμίσεις χρησιμοποιήστε τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς για φόβο ότι η παραβίαση ενός οδηγεί σε παραβίαση όλων, όχι για κοινή χρήση τους με άλλα άτομα, επειδή τότε δεν είναι πλέον ο κωδικός πρόσβασής σας και όχι για να διατηρήσετε ένα ανακάλυπτο αρχείο αυτών. Η αποθήκευσή τους σε προστατευμένη τοποθεσία, όπως ένα εργαλείο διαχείρισης κωδικών πρόσβασης, είναι μια χαρά.

Είναι ανησυχητικό να πιστεύουμε ότι οι κωδικοί πρόσβασης υπάρχουν εδώ και δεκαετίες και εξακολουθούμε να το κάνουμε λάθος. Και είναι μόνο μία πτυχή της ασφάλειας στον κυβερνοχώρο που πρέπει να χρησιμοποιούμε σωστά. Αυτό δεν αποτελεί καλό σημάδι για την ασφάλεια στον κυβερνοχώρο ευρύτερα.

Σχετικά με το Συγγραφέας

Στίβεν Φούρελ, Καθηγητής Ασφάλειας στον κυβερνοχώρο, University of Nottingham

βιβλία_ασφάλεια

Αυτό το άρθρο αναδημοσιεύθηκε από το Η Συνομιλία υπό την άδεια Creative Commons. Διαβάστε το αρχικό άρθρο.