Το πρόβλημα των κωδικών.
Δεν είναι λίγες οι περιπτώσεις ανθρώπων που χρησιμοποιούν τα παραπάνω για κωδικούς σε λογαριασμούς emails, σε κωδικούς εισόδου σε διάφορες υπηρεσίες και εφαρμογές. Δυστυχώς το “παιχνίδι” για την ασφάλεια στο διαδίκτυο για αυτούς είναι ήδη χαμένο, ενδεχομένως προς το παρόν να τους χαμογελά η τύχη, κάποτε όμως αυτό θα πάψει να συμβαίνει.
Από την άλλοι υπάρχουν πολλοί που προσπαθούν. Κεφαλαία, σύμβολα, πεζά, αριθμοί, κωδικοί μεγάλου μήκους, ή ακόμη και ταυτοποίηση δύο παραγόντων με γεννήτριες κωδικών ή SMS. Φάνηκε σα να δίνουν τη λύση στο πρόβλημα. Δημιούργησαν όμως ένα ακόμη μεγαλύτερο “την ψευδαίσθηση της ασφάλειας”. Ας πιάσουμε όμως τα πράγματα από την αρχή.
Από ποιούς κινδυνεύεις;
Σημαντικό ποσοστό των χρηστών του internet θεωρεί πως κινδυνεύει από άτομα σαν αυτά που θα δει σε ταινίες επιστημονικής φαντασίας. Η αλήθεια είναι ελαφρώς πεζή όχι όμως λιγότερο τρομακτική. Τις περισσότερες φορές είστε ένας τυχαίος αριθμός, ένας ακόμη ανώνυμος χρήστης που δεν φρόντισε την ασφάλεια του και κατά συνέπεια μία εύκολη λεία. Δεν είναι προσωπικό ζήτημα. Είναι απλώς μία αδυναμία σας την οποία εκμεταλλεύεται κάποιος άγνωστος. Ποιοί είναι αυτοί;
- Script kiddies: Είναι άπειροι hackers που χρησιμοποιούν εργαλεία και scripts που υπάρχουν ήδη για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Οι λόγοι που το κάνουν; Από περιέργεια μέχρι ανία.
- Επαγγελματίες hackers: Πρόκειται για άτομα ή ομάδες που έχουν μεγάλη εξειδίκευση στην τέχνη του hacking και χρησιμοποιούν προηγμένες τεχνικές για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα.
- Οργανώσεις ηλεκτρονικού εγκλήματος: Ομάδες εγκληματιών στον κυβερνοχώρο που επιδίδονται σε ένα ευρύ φάσμα παράνομων δραστηριοτήτων, όπως κλοπή ταυτότητας, απάτη και εκβιασμός.
- Bots: Πρόκειται για αυτοματοποιημένα προγράμματα υπολογιστών που χρησιμοποιούνται για την εκτέλεση επαναλαμβανόμενων και προκαθορισμένων εργασιών, όπως το “σπάσιμο” κωδικών πρόσβασης. Μπορούν να εκτελέσουν εκατομμύρια υπολογισμούς σε σύντομο χρονικό διάστημα και είναι εξαιρετικά αποτελεσματικά στο σπάσιμο αδύναμων passwords.
Όλοι οι παραπάνω – και πολλοί που δεν αναφέρονται εδώ – στοχεύουν άτομα και μικρές επιχειρήσεις με αδύναμους κωδικούς πρόσβασης, καθώς είναι εύκολο να τους μαντέψουν ή να τους σπάσουν. Θα μπορούσες να είσαι στόχος τους; Τί είναι ο ασφαλής έλεγχος ταυτότητας για ασφάλεια στο διαδίκτυο;
Πώς μπορείς να προστατευθείς;
Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) ή πολλών παραγόντων (MFA) είναι μια μέθοδος για την προστασία από επιθέσεις στον κυβερνοχώρο. Προσθέτει ένα επιπλέον επίπεδο ασφάλειας στη διαδικασία σύνδεσης, απαιτώντας από τους χρήστες να παρέχουν δύο μορφές ταυτοποίησης, όπως έναν κωδικό πρόσβασης και ένα δακτυλικό αποτύπωμα ή έναν κωδικό πρόσβασης και έναν κωδικό που αποστέλλεται σε ένα κινητό τηλέφωνο. Αυτό καθιστά πολύ πιο δύσκολο για τους επίδοξους“πειρατές” να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασης ενός χρήστη. Συνηθισμένες μέθοδοι 2FA είναι:
- Χρήση SMS, κατά την οποία γίνεται αποστολή ενός κωδικού σε καταχωρημένο αριθμό τηλεφώνου. Δεν είναι η πιο ασφαλής μέθοδος, καθώς οι γνώστες του αντικειμένου μπορούν εύκολα να υποκλέψουν τον κωδικό με τεχνικές όπως την ανταλλαγή SIM και πολλές άλλες.
- H χρήση εφαρμογών όπως Google Authenticator, Authy ή Microsoft Authenticator είναι σαφέστατα προτιμότερες από τη χρήση SMS. Ομως και πάλι ο κίνδυνος καραδοκεί με τεχνικές όπως το ηλεκτρονικό ψάρεμα, χρήση κακόβουλου λογισμικού, social engineering και άλλες.
Υπάρχει φως το τούνελ;
Με απλά λόγια, η απάντηση είναι ΝΑΙ, υπάρχει λύση για ασφάλεια στο διαδίκτυο. Η καλύτερη μέθοδος προστασίας για τον έλεγχο ταυτότητας στο διαδίκτυο είναι η χρήση ενός κλειδιού ασφαλείας ΥubiKey, μιας μικρής φυσικής συσκευής που εισάγετε στη θύρα USB του υπολογιστή σας ή συνδέεται ασύρματα με τεχνολογία NFC. Mε την προσπάθεια σύνδεσης το ΥubiKey στέλνει σήμα για να επιβεβαιώσει ότι είστε εσείς, επιτρέποντάς σας να αποκτήσετε πρόσβαση στο λογαριασμό σας.
To YubiKey έρχεται να επιβεβαιώσει την απλή αλήθεια ότι οι καλύτερες και ασφαλέστερες λύσεις είναι πολύ απλές. Σε αντίθεση με τις παραπάνω 2FA μεθόδους δεν περιμένετε το πολυπόθητο SMS, ούτε μπαίνετε σε διαδικασία να “κουμπώσετε” μία εφαρμογή authenticator με το κινητό σας -σε περίπτωση που γνωρίζετε πως να το κάνετε αυτό-. Απλώς συνδέετε το κλειδί με τη συσκευή. Τόσο απλά!!!