Πιστεύετε λοιπόν ότι οι κωδικοί πρόσβασης στο Διαδίκτυο σας είναι ασφαλείς;
Paul Haskell-Dowland
, Συγγραφέας παρέχεται

Οι κωδικοί πρόσβασης χρησιμοποιούνται εδώ και χιλιάδες χρόνια ως μέσο αναγνώρισης του εαυτού μας στους άλλους και, πιο πρόσφατα, στους υπολογιστές. Είναι μια απλή ιδέα – μια κοινή πληροφορία, που διατηρείται μυστική μεταξύ ατόμων και χρησιμοποιείται για να «αποδείξει» την ταυτότητα.

Κωδικοί πρόσβασης σε ένα πλαίσιο πληροφορικής εμφανίστηκε στη δεκαετία του 1960 με mainframe υπολογιστές – μεγάλοι κεντρικά χειριζόμενοι υπολογιστές με απομακρυσμένα "τερματικά" για πρόσβαση χρήστη. Τώρα χρησιμοποιούνται για τα πάντα, από το PIN που εισάγουμε σε ένα ΑΤΜ, μέχρι τη σύνδεση στους υπολογιστές μας και σε διάφορους ιστότοπους.

Αλλά γιατί χρειάζεται να «αποδείξουμε» την ταυτότητά μας στα συστήματα στα οποία έχουμε πρόσβαση; Και γιατί είναι τόσο δύσκολο να γίνουν σωστά οι κωδικοί πρόσβασης;

Τι κάνει έναν καλό κωδικό πρόσβασης;

Μέχρι σχετικά πρόσφατα, ένας καλός κωδικός πρόσβασης μπορεί να ήταν μια λέξη ή φράση με έξι έως οκτώ χαρακτήρες. Αλλά τώρα έχουμε κατευθυντήριες γραμμές για το ελάχιστο μήκος. Αυτό οφείλεται στην «εντροπία».

Όταν μιλάμε για κωδικούς πρόσβασης, η εντροπία είναι το μέτρο προβλεψιμότητας. Τα μαθηματικά πίσω από αυτό δεν είναι περίπλοκα, αλλά ας τα εξετάσουμε με ένα ακόμη πιο απλό μέτρο: τον αριθμό των πιθανών κωδικών πρόσβασης, που μερικές φορές αναφέρονται ως «χωρός κωδικού πρόσβασης».


εσωτερικά εγγραφείτε γραφικό


Εάν ένας κωδικός πρόσβασης ενός χαρακτήρα περιέχει μόνο ένα πεζό γράμμα, υπάρχουν μόνο 26 πιθανοί κωδικοί πρόσβασης («a» έως «z»). Συμπεριλαμβάνοντας κεφαλαία γράμματα, αυξάνουμε τον χώρο του κωδικού πρόσβασης σε 52 πιθανούς κωδικούς πρόσβασης.

Ο χώρος κωδικού πρόσβασης συνεχίζει να επεκτείνεται καθώς αυξάνεται το μήκος και προστίθενται άλλοι τύποι χαρακτήρων.

Το να κάνετε έναν κωδικό πρόσβασης μεγαλύτερο ή πιο πολύπλοκο αυξάνει σημαντικά τον πιθανό «χώρο κωδικού πρόσβασης». Περισσότερος χώρος κωδικού πρόσβασης σημαίνει πιο ασφαλή κωδικό πρόσβασης.

Το να κάνετε έναν κωδικό πρόσβασης μεγαλύτερο ή πιο πολύπλοκο αυξάνει σημαντικά τον πιθανό «χώρο κωδικού πρόσβασης». (έτσι πιστεύετε ότι οι κωδικοί πρόσβασης στο διαδίκτυο είναι ασφαλείς)

Εξετάζοντας τα παραπάνω σχήματα, είναι εύκολο να καταλάβουμε γιατί μας ενθαρρύνουμε να χρησιμοποιούμε μεγάλους κωδικούς πρόσβασης με κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα. Όσο πιο περίπλοκος είναι ο κωδικός πρόσβασης, τόσο περισσότερες προσπάθειες χρειάζονται για να τον μαντέψετε.

Ωστόσο, το πρόβλημα με την πολυπλοκότητα του κωδικού πρόσβασης είναι ότι οι υπολογιστές είναι εξαιρετικά αποτελεσματικοί στην επανάληψη εργασιών – συμπεριλαμβανομένης της εικασίας κωδικών πρόσβασης.

Πέρυσι, α σημειώθηκε ρεκόρ για έναν υπολογιστή που προσπαθεί να δημιουργήσει κάθε πιθανό κωδικό πρόσβασης. Πέτυχε ρυθμό ταχύτερο από 100,000,000,000 εικασίες ανά δευτερόλεπτο.

Αξιοποιώντας αυτήν την υπολογιστική ισχύ, οι εγκληματίες του κυβερνοχώρου μπορούν να παραβιάσουν συστήματα βομβαρδίζοντάς τα με όσο το δυνατόν περισσότερους συνδυασμούς κωδικών πρόσβασης, σε μια διαδικασία που ονομάζεται βίαιες επιθέσεις.

Και με την τεχνολογία που βασίζεται στο cloud, η εικασία ενός κωδικού πρόσβασης οκτώ χαρακτήρων μπορεί να επιτευχθεί σε μόλις 12 λεπτά και να κοστίσει μόλις 25 δολάρια ΗΠΑ.

Επίσης, επειδή οι κωδικοί πρόσβασης χρησιμοποιούνται σχεδόν πάντα για την παροχή πρόσβασης σε ευαίσθητα δεδομένα ή σημαντικά συστήματα, αυτό παρακινεί τους εγκληματίες του κυβερνοχώρου να τους αναζητήσουν ενεργά. Επίσης, οδηγεί σε μια επικερδή διαδικτυακή αγορά που πωλεί κωδικούς πρόσβασης, ορισμένοι από τους οποίους συνοδεύονται από διευθύνσεις email ή/και ονόματα χρήστη.

Μπορείτε να αγοράσετε σχεδόν 600 εκατομμύρια κωδικούς πρόσβασης στο διαδίκτυο με μόλις 14 AU$!

Πώς αποθηκεύονται οι κωδικοί πρόσβασης σε ιστότοπους;

Οι κωδικοί πρόσβασης ιστότοπου αποθηκεύονται συνήθως με προστατευμένο τρόπο χρησιμοποιώντας έναν μαθηματικό αλγόριθμο που ονομάζεται κατακερματισμός. Ένας κατακερματισμένος κωδικός πρόσβασης δεν είναι αναγνωρίσιμος και δεν μπορεί να μετατραπεί ξανά στον κωδικό πρόσβασης (μια μη αναστρέψιμη διαδικασία).

Όταν προσπαθείτε να συνδεθείτε, ο κωδικός πρόσβασης που εισάγετε κατακερματίζεται χρησιμοποιώντας την ίδια διαδικασία και συγκρίνεται με την έκδοση που είναι αποθηκευμένη στον ιστότοπο. Αυτή η διαδικασία επαναλαμβάνεται κάθε φορά που συνδέεστε.

Για παράδειγμα, στον κωδικό πρόσβασης "Pa$$w0rd" δίνεται η τιμή "02726d40f378e716981c4321d60ba3a325ed6a4c" όταν υπολογίζεται χρησιμοποιώντας τον αλγόριθμο κατακερματισμού SHA1. Δοκίμασέ το τον εαυτό σας.

Όταν αντιμετωπίζετε ένα αρχείο γεμάτο κατακερματισμένους κωδικούς πρόσβασης, μπορεί να χρησιμοποιηθεί μια επίθεση ωμής βίας, δοκιμάζοντας κάθε συνδυασμό χαρακτήρων για μια σειρά από μήκη κωδικών πρόσβασης. Αυτό έχει γίνει τόσο κοινή πρακτική που υπάρχουν ιστότοποι που αναφέρουν κοινούς κωδικούς πρόσβασης μαζί με την (υπολογισμένη) κατακερματισμένη τους τιμή. Μπορείτε απλώς να αναζητήσετε τον κατακερματισμό για να αποκαλύψετε τον αντίστοιχο κωδικό πρόσβασης.

Η κλοπή και η πώληση λιστών κωδικών πρόσβασης είναι πλέον τόσο συνηθισμένη, α ειδική ιστοσελίδα - haveibeenpwned.com — είναι διαθέσιμο για να βοηθήσει τους χρήστες να ελέγξουν εάν οι λογαριασμοί τους είναι "στα άγρια". Αυτό έχει αυξηθεί και περιλαμβάνει περισσότερα από 10 δισεκατομμύρια στοιχεία λογαριασμού.

Εάν η διεύθυνση email σας αναγράφεται σε αυτόν τον ιστότοπο, θα πρέπει οπωσδήποτε να αλλάξετε τον κωδικό πρόσβασης που εντοπίστηκε, καθώς και σε οποιουσδήποτε άλλους ιστότοπους για τους οποίους χρησιμοποιείτε τα ίδια διαπιστευτήρια.

Είναι πιο πολυπλοκότητα η λύση;

Θα νομίζατε ότι με τόσες πολλές παραβιάσεις κωδικών πρόσβασης που συμβαίνουν καθημερινά, θα είχαμε βελτιώσει τις πρακτικές επιλογής κωδικού πρόσβασης. Δυστυχώς, η περσινή ετήσια Έρευνα κωδικού πρόσβασης SplashData παρουσίασε μικρή αλλαγή σε διάστημα πέντε ετών.

Η ετήσια έρευνα κωδικών πρόσβασης SplashData για το 2019 αποκάλυψε τους πιο συνηθισμένους κωδικούς πρόσβασης από το 2015 έως το 2019.Η ετήσια έρευνα κωδικών πρόσβασης SplashData για το 2019 αποκάλυψε τους πιο συνηθισμένους κωδικούς πρόσβασης από το 2015 έως το 2019.

Καθώς οι υπολογιστικές δυνατότητες αυξάνονται, η λύση φαίνεται να είναι η αυξημένη πολυπλοκότητα. Αλλά ως άνθρωποι, δεν είμαστε ειδικευμένοι (ούτε έχουμε κίνητρο) να θυμόμαστε πολύ σύνθετους κωδικούς πρόσβασης.

Έχουμε επίσης περάσει το σημείο όπου χρησιμοποιούμε μόνο δύο ή τρία συστήματα που χρειάζονται κωδικό πρόσβασης. Είναι πλέον σύνηθες να έχετε πρόσβαση σε πολλούς ιστότοπους, με τον καθένα να απαιτεί κωδικό πρόσβασης (συχνά ποικίλου μήκους και πολυπλοκότητας). Μια πρόσφατη έρευνα δείχνει ότι υπάρχουν, κατά μέσο όρο, 70-80 κωδικοί πρόσβασης ανά άτομο.

Τα καλά νέα είναι ότι υπάρχουν εργαλεία για την αντιμετώπιση αυτών των ζητημάτων. Οι περισσότεροι υπολογιστές υποστηρίζουν πλέον αποθήκευση κωδικού πρόσβασης είτε στο λειτουργικό σύστημα είτε στο πρόγραμμα περιήγησης Ιστού, συνήθως με την επιλογή κοινής χρήσης αποθηκευμένων πληροφοριών σε πολλές συσκευές.

Τα παραδείγματα περιλαμβάνουν της Apple iCloud Keychain και τη δυνατότητα αποθήκευσης κωδικών πρόσβασης σε Internet Explorer, Chrome και Firefox (αν και λιγότερο αξιόπιστος).

Διαχειριστές κωδικών πρόσβασης όπως το KeePassXC μπορεί να βοηθήσει τους χρήστες να δημιουργήσουν μεγάλους, σύνθετους κωδικούς πρόσβασης και να τους αποθηκεύσουν σε ασφαλή τοποθεσία για όταν τους χρειάζονται.

Ενώ αυτή η τοποθεσία πρέπει ακόμα να προστατεύεται (συνήθως με έναν μακρύ "κύριο κωδικό πρόσβασης"), η χρήση ενός διαχειριστή κωδικών πρόσβασης σάς επιτρέπει να έχετε έναν μοναδικό, σύνθετο κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεστε.

Αυτό δεν θα αποτρέψει την κλοπή ενός κωδικού πρόσβασης από έναν ευάλωτο ιστότοπο. Αλλά εάν κλαπεί, δεν θα χρειάζεται να ανησυχείτε για την αλλαγή του ίδιου κωδικού πρόσβασης σε όλους τους άλλους ιστότοπούς σας.

Υπάρχουν φυσικά τρωτά σημεία και σε αυτές τις λύσεις, αλλά ίσως αυτό είναι μια ιστορία για άλλη μια μέρα.

Σχετικά με τους Συγγραφείς

Paul Haskell-Dowland, Associate Dean (Υπολογιστική και Ασφάλεια), Πανεπιστήμιο Edith Cowan και Brianna O'Shea, Λέκτορας, Ethical Hacking and Defense, Πανεπιστήμιο Edith Cowan

Αυτό το άρθρο αναδημοσιεύθηκε από το Η Συνομιλία υπό την άδεια Creative Commons. Διαβάστε το αρχικό άρθρο.