Ισχυρό Password – Τα Μεγαλύτερα Λάθη και οι Κίνδυνοι

Ένα ισχυρό password είναι ο σημαντικότερος παράγοντας για την ασφάλεια του email μας, του ebanking, του λογαριασμού στο Facebook, και όλης μας της παρουσίας στο διαδίκτυο. Έχουμε όμως ένα πραγματικά ισχυρό password? Στον οδηγό αυτό θα δούμε τα μεγαλύτερα λάθη και τους κινδύνους που πρέπει να αποφύγουμε.

Τα μεγαλύτερα λάθη

Τι θα ήταν χειρότερο για την εξώπορτα του σπιτιού μας? Να μην έχει καθόλου κλειδαριά? Ή να έχει κλειδαριά, αλλά να μπορεί να την ανοίξει ο οποιοσδήποτε, χωρίς ιδιαίτερη προσπάθεια?

Αν τα password που χρησιμοποιούμε ανήκουν στις παρακάτω κατηγορίες, νομίζουμε πως είμαστε ασφαλείς. Και η ψευδαίσθηση της ασφάλειας είναι συχνά χειρότερη από την έλλειψη ασφάλειας.

“Τεμπέλικα” Password

Πρόσφατα είδαμε τα 25 χειρότερα password του 2015. Το Top-5 (ή bottom-5, αν προτιμάτε) ήταν τα παρακάτω, αλλά και τα υπόλοιπα ήταν εξίσου χαμηλής ποιότητας.

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345

Είναι κατανοητό πως για λογαριασμούς που δεν έχουν μεγάλη σημασία δεν αξίζει να φτιάξουμε και να θυμόμαστε ένα ισχυρό password με 25 χαρακτήρες, κεφαλαία και πεζά γράμματα, αριθμούς, και σημεία στίξης.

Όμως το να χρησιμοποιούμε τα ίδια ακριβώς password με κυριολεκτικά εκατομμύρια άλλους χρήστες είναι περισσότερο τεμπελιά, παρά ευκολία.

Προσωπικά Password

Η δεύτερη βαθμίδα επικινδυνότητας είναι τα password που είναι εύκολο κανείς να τα μαντέψει.

Αν ένας χρήστης ονομάζεται Γιάννης, γεννήθηκε το 1982, και το Password του είναι giannis82, δεν χρειάζεται ένας διεθνούς φήμης hacker για να το βρει.

Το ίδιο ισχύει και για τους χρήστες που χρησιμοποιούν το όνομα του γιου, της κόρης, του σκύλου ή της αγαπημένης τους μπύρας.

To μεγαλύτερο σχετικό λάθος, και μια δυστυχώς αρκετά συνηθισμένη τακτική, είναι να βάζουμε την ημερομηνία των γενεθλίων. Ειδικά από τη στιγμή που τα γενέθλιά μας είναι διαθέσιμα σε οποιαδήποτε επαφή έχουμε στο Facebook, το Skype και μισή ντουζίνα άλλες υπηρεσίες.

Ακόμα κι αν έχουμε κρύψει τη χρονολογία, πολλά στοιχεία μέσα από τα ίδια τα Social Media (πχ οι ομάδες που συμμετέχουμε ή οι διοργανώσεις που παρακολουθούμε) μπορούν να προδώσουν την πλήρη ημερομηνία.

Αντίστοιχα επικίνδυνες είναι οι “ερωτήσεις ασφαλείας” στις οποίες δίνουμε προφανείς απαντήσεις.

Με δεδομένο πως αυτές οι ερωτήσεις χρησιμοποιούνται σε περίπτωση που έχουμε ξεχάσει το password μας, οποιοσδήποτε μαντέψει τις απαντήσεις έχει πρόσβαση στο λογαριασμό μας.

Με αυτή ακριβώς τη μέθοδο ένας άνεργος νέος από τη Γαλλία απέκτησε πρόσβαση στο Twitter της Britney Spears και του Barack Obama.

Λέξεις που υπάρχουν στο λεξικό

Έστω πως δεν έχουμε βάλει το όνομά μας για κωδικό, αλλά έχουμε βάλει μια άσχετη λέξη, πχ connoisseur.

Πλέον έχουμε ένα ελαφρώς πιο ισχυρό password – αν η λέξη είναι πραγματικά τυχαία, κανείς δεν θα μπορέσει να τη μαντέψει.

Όμως έχουμε μηδενική προστασία απέναντι σε έναν απλό οικιακό υπολογιστή, που μπορεί να δοκιμάσει πάνω από 650 διαφορετικά password ανά δευτερόλεπτο.

Αυτό σημαίνει πως σε μερικές ώρες μπορεί να δοκιμάσει όλες τις λέξεις που περιλαμβάνονται στο λεξικό, με όλες τους τις κλήσεις.

Αντικατάσταση γραμμάτων με αριθμούς

Θα μπορούσαμε φυσικά να έχουμε το password c0nn01553ur, που δεν θα το βρούμε αυτούσιο σε κανένα λεξικό.

Ας μην ξεχνάμε όμως πως οι hackers ήταν οι πρώτοι που αντικατέστησαν γράμματα με αριθμούς και σύμβολα, ώστε να γίνουν οι πιο 1337 |-|4><><0R.

Έχουν προβλέψει λοιπόν στα προγράμματα εύρεσης κωδικών τέτοιου είδους κόλπα, ή και ακόμα πιο προχωρημένα, όπως το να αντικαταστήσουμε κάθε γράμμα στο πληκτρολόγιο με αυτό που βρίσκεται δεξιά του.

Εξαιρετικά Πολύπλοκα Password

Ακούγεται αντιπαραγωγικό, όμως το να είναι ένα password υπερβολικά περίπλοκο είναι και αυτό ένα λάθος όσον αφορά την ασφάλεια των λογαριασμών μας.

Ναι, αν ο κωδικός μας είναι [email protected]#%$289yfhsk, πρόκειται για ένα εξαιρετικά ισχυρό password, το οποίο κανείς ποτέ δεν θα μπορέσει να μαντέψει, και θα πάρει τρισεκατομμύρια χρόνια για να σπάσει με brute force από έναν απλό υπολογιστή.

Το πρόβλημα όμως είναι πως ούτε μπορούμε να το θυμόμαστε, ούτε θα μπορέσουμε ενδεχομένως να το πληκτρολογήσουμε σωστά με την πρώτη. Το πιθανότερο είναι να το έχουμε σε ένα αρχείο στον υπολογιστή και να το κάνουμε αντιγραφή-επικόλληση.

Όταν όμως κάνουμε αντιγραφή τον κωδικό, μένει αποθηκευμένος στο clipboard μέχρι να αντιγράψουμε κάτι άλλο. Και, εκτός από όλες τις εφαρμογές στον υπολογιστή, υπάρχουν και ιστοσελίδες που μπορούν να διαβάσουν το clipboard.

Ένα Password για όλα

Υπάρχουν εξαιρετικά πολλοί χρήστες που ακόμα κι αν καθίσουν να δημιουργήσουν ένα πολύ ισχυρό password…

…θα καταλήξουν να χρησιμοποιούν το ίδιο password σε όποια ιστοσελίδα γράφονται και όποιο λογαριασμό φτιάχνουν.

Ακόμα κι αν είναι το ασφαλέστερο password στον κόσμο, αρκεί μία ιστοσελίδα να παραβιαστεί (πχ με ένα exploit τύπου Heartbleed) και θα κινδυνεύουν πλέον όλοι οι λογαριασμοί τους.

Σκεφτείτε να είχατε 100 σπίτια, που όλα να άνοιγαν με το ίδιο κλειδί, και να χάνατε αυτό το κλειδί. Θα έπρεπε να αλλάξετε τις κλειδαριές σε όλα τους…

Πώς να φτιάξω ένα εύχρηστο και ισχυρό password

Με όλα όσα πρέπει να αποφύγουμε κατά τη δημιουργία ενός κωδικού, το να φτιάξουμε ένα ισχυρό password φαίνεται πολύ πιο δύσκολο απ' ότι είναι στην πραγματικότητα.

Δείτε πώς μπορείτε να φτιάξετε υψηλής ποιότητας κωδικούς για κάθε λογαριασμό, οι οποίοι να είναι ταυτόχρονα εύκολο να τους θυμάστε.

Χρήση μιας φράσης ως password (Passphrase)

Όπως είπαμε, οι λέξεις που βρίσκονται στο λεξικό, ακόμα και με αντικατάσταση των γραμμάτων με αριθμούς, δεν είναι καθόλου ασφαλείς.

Τι γίνεται όμως αν συνδυάσουμε μερικές ασύνδετες λέξεις μεταξύ τους σε ένα password-φράση?

Ας πούμε πως το αμάξι μας είναι ένα Skoda του 2005.

Αν το password μας είναι η φράση odhgw.ena.Skoda05 τότε:

• Κανείς δεν θα μπορέσει να τη μαντέψει ακόμα κι αν ξέρει για το αμάξι μας
• Δεν υπάρχει σε κανένα λεξικό
• Είναι πολύ εύκολο να τη θυμόμαστε
• Είναι ένα password με 17 γράμματα που περιλαμβάνει κεφαλαία και μικρά γράμματα, αριθμούς, και σημεία στίξης.

Πόσο ισχυρό είναι αυτό το password?

Με τα παραπάνω χαρακτηριστικά που περιγράψαμε, υπάρχουν
4.225.684.238.917.218.534.300.824.429.126.495 πιθανοί συνδυασμοί.

Ακόμα κι αν ένας υπολογιστής δοκίμαζε 100 τρισεκατομμύρια κωδικούς το δευτερόλεπτο, θα χρειάζονταν 1,3 τρισεκατομμύρια χρόνια για να δοκιμάσει όλους τους πιθανούς συνδυασμούς.

Θα μπορούσε κανείς να το πει ισχυρό password.

Για να δοκιμάσετε το πόσο ισχυρό password είναι η δική σας passphrase, μπορείτε να επισκεφθείτε τη σελίδα https://www.grc.com/haystack.htm.

Γενικά, οποιοδήποτε password μεγαλύτερο των 12 χαρακτήρων με κεφαλαία γράμματα, αριθμούς, και σημεία στίξης, είναι ένα ισχυρό password. Όμως, όσο μεγαλύτερο, τόσο το καλύτερο.

Χρήση ενός Password Manager

Οι passphrases είναι καλές, αλλά όπως είπαμε το να χρησιμοποιούμε το ίδιο password παντού είναι μια πολύ κακή τακτική.

Εξίσου κακή τακτική είναι να έχουμε την ίδια φράση με παραλλαγές ανάλογα με το site. Αν ο κωδικός μας για το facebook είναι odhgw.fcbk.Skoda05 και για το twitter είναι odhgw.twitr.Skoda05, ένας από τους κωδικούς αν αποκαλυφθεί, έχουν αποκαλυφθεί όλοι.

Ούτε είναι εύκολο για 30 διαφορετικούς λογαριασμούς να φτιάξουμε 30 εντελώς διαφορετικές και τυχαίες φράσεις, και να θυμόμαστε ποια φράση είναι για ποιόν λογαριασμό.

Σε αυτό θα μας βοηθήσει μια υπηρεσία διαχείρισης password, όπως το LastPass.

Ουσιαστικά το LastPass μπορεί να παράγει ένα τυχαίο και ισχυρό password για εμάς όποτε γραφόμαστε σε μια σελίδα, και να το αποθηκεύει.

Στη συνέχεια, όταν είναι να συνδεθούμε σε αυτή τη σελίδα, το LastPass συμπληρώνει αυτόματα το όνομα χρήστη και τον αποθηκευμένο κωδικό.

Όπως λέει και το όνομά του, για το LastPass χρειαζόμαστε μόνο ένα, “τελευταίο” password για να έχουμε πρόσβαση στο ίδιο το LastPass. Σε αυτό θα βάλουμε την passphrase μας.

Αναλυτικές πληροφορίες για το πώς χρησιμοποιούμε το LastPass θα βρείτε στον οδηγό:
Ισχυρά Password σε Κάθε Λογαριασμό με το LastPass

Είμαστε πλέον ασφαλείς?

Δυστυχώς, όσο περίπλοκο και ισχυρό password κι αν έχουμε, υπάρχουν πολλές απειλές για τους λογαριασμούς μας, από malware που μπορούν να διαβάσουν τους κωδικούς μας καθώς τους γράφουμε μέχρι phishing attacks και social engineering.

Αν μη τι άλλο, πάντως, με ένα ισχυρό password έχουμε ένα μέρος της ψηφιακής μας ζωής καλυμμένο, και θα χρειαστεί κάποιος έξτρα προσπάθεια για να παραβιάσει τους λογαριασμούς μας. Επίσης, αν συνδυάσουμε ένα ισχυρό password με την επαλήθευση σε δύο βήματα, αυξάνουμε κατακόρυφα την ασφάλεια των λογαριασμών μας.

Εσείς ποια τακτική ακολουθείτε σχετικά με τους λογαριασμούς και τους κωδικούς σας? Γράψτε μας στα σχόλια.