Έτσι, σύμφωνα με το New Scientist, ο ειδικός κυβερνοασφάλειας από την ευρωπαϊκή εταιρεία ESET, Τζέικ Μουρ, μοιράζεται τρεις βασικές συμβουλές για να ξανασκεφτούμε τη σχέση μας με τους κωδικούς και να κρατήσουμε τους χάκερ μακριά.
Χρησιμοποιήστε password manager
Ο Τζέικ Μουρ δηλώνει μεγάλος υποστηρικτής των password managers και θεωρεί ότι χρησιμοποιούνται «εγκληματικά λίγο» γιατί, ανάλογα με τη χώρα και την έρευνα, μόνο περίπου το ένα τρίτο των ανθρώπων τους χρησιμοποιεί. «Αλλάζουν τα δεδομένα», τονίζει, καθώς δίνουν τη δυνατότητα δημιουργίας μακρών κωδικών και ασφαλούς αποθήκευσής τους, χωρίς ο χρήστης να χρειάζεται καν να σκεφτεί κάποιον.
Αυτό είναι κρίσιμο, διότι όταν οι άνθρωποι καλούνται να δημιουργήσουν δικούς τους κωδικούς, βασίζονται σε γνωστές λέξεις ή πληροφορίες που ένας χάκερ θα μπορούσε ήδη να γνωρίζει. Επιπλέον, οι password managers εξαλείφουν τον κίνδυνο επαναχρησιμοποίησης κωδικών σε πολλούς λογαριασμούς. Αν ένας κωδικός παραβιαστεί έστω και σε έναν λογαριασμό, μπορεί να καταλήξει σε πίνακες ευάλωτων κωδικών που χρησιμοποιούνται για δοκιμαστικές επιθέσεις.
Ο ειδικός αναρωτιέται γιατί περισσότεροι χρήστες δεν τους υιοθετούν. Πιθανός λόγος, εκτιμά, είναι η παρανόηση ότι η αποθήκευση κωδικών σε ένα μέρος που ξεκλειδώνεται με έναν μόνο κωδικό είναι ανασφαλής. Στην πραγματικότητα, τα δεδομένα κρυπτογραφούνται στη συσκευή του χρήστη με ισχυρό κλειδί που προκύπτει από τον κύριο κωδικό. Αυτό που αποθηκεύεται διαδικτυακά, είναι κρυπτογραφημένο κείμενο, το οποίο ούτε ο ίδιος ο πάροχος του password manager μπορεί να διαβάσει χωρίς το κλειδί.
Έλεγχος ταυτότητας πολλαπλών παραγόντων
Ακόμη και με τον ισχυρότερο κωδικό στον κόσμο, παραμένει δυνατό να πέσει κανείς θύμα χάκερ. Οι εθνικές υπηρεσίες κυβερνοασφάλειας συνιστούν συνδυασμό 14 έως 16 διαφορετικών χαρακτήρων για την αποτροπή περιστασιακών επιθέσεων, ωστόσο αυτό δεν αρκεί και έτσι ο έλεγχος ταυτότητας πολλαπλών παραγόντων προσθέτει ένα επιπλέον επίπεδο δυσκολίας για τους χάκερ, διασφαλίζοντας ότι κάθε σύνδεση εγκρίνεται από τον ίδιο τον χρήστη.
Η απλούστερη μορφή είναι η αποστολή κωδικού μέσω SMS, αν και δεν θεωρείται η πιο ασφαλής. Οι εφαρμογές authenticator αποτελούν, κατά τον Τζέικ Μουρ, ένα εξαιρετικό επόμενο βήμα. Ωστόσο, λίγες πλατφόρμες επιβάλλουν τη χρήση του. Φέρνοντας ως παράδειγμα το Instagram, σημειώνει ότι ενημερώνει τους χρήστες για την ανάγκη χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων μόλις αποκτήσουν 10.000 ακολούθους.
Μάλιστα, ο Τζέικ Μουρ αναφέρει: «Είναι σαν να σκέφτονται: “Αν το επιβάλουμε στους 10.000 ακολούθους, θα το κάνουν γιατί δεν θέλουν να τους χάσουν. Αν, όμως, το επιβάλουμε κατά την εγγραφή, όταν έχουν μηδέν ακολούθους, μπορεί να αποθαρρυνθούν και να μην ανοίξουν λογαριασμό. Αυτό για εμένα είναι παράλογο. Δεν θα έπρεπε να βάζουμε την ευκολία χρήσης πάνω από την ασφάλεια, και μέχρι να το επιβάλουμε, θα συνεχίζουμε να βλέπουμε ανθρώπους να ανησυχούν πανικόβλητα για τους λογαριασμούς τους».
Οι κωδικοί πρόσβασης αντικαθίστανται από τα passkeys
Σημειώνεται ότι οι κωδικοί πρόσβασης απέχουν πολύ από το τέλειο και υπάρχει ήδη μια πιο σύγχρονη εναλλακτική που κερδίζει ολοένα περισσότερο έδαφος. Πρόκειται για τα passkeys, τα οποία αφαιρούν μεγάλο μέρος του ανθρώπινου λάθους από την εξίσωση. Αντί να πληκτρολογεί κωδικό, ο χρήστης συνδέεται μέσω της συσκευής του ή ενός ασφαλούς κλειδιού αποθηκευμένου στο τηλέφωνό του, συχνά με δακτυλικό αποτύπωμα. Στο παρασκήνιο, κρυπτογραφικά κλειδιά κάνουν τη δουλειά, αλλά ο χρήστης δεν το βλέπει.
Έπειτα, ο Τζέικ Μουρ εξηγεί: «Η απλότητα είναι αυτή που τα κάνει τόσο καθοριστικά, καθώς τα passkeys αφαιρούν τον πειρασμό να επαναχρησιμοποιήσεις έναν παλιό κωδικό ή να προσθέσεις έναν προβλέψιμο αριθμό στο τέλος κάτι γνωστού». Παραδέχεται, ωστόσο, ότι πολλοί εκφράζουν καχυποψία, θεωρώντας ότι κάτι τόσο εύκολο δεν μπορεί να είναι και ασφαλές και ο ίδιος τονίζει: «Δεν λειτουργεί έτσι. Η τεχνολογία πίσω από τα passkeys δουλεύει πολύ σκληρότερα από ό,τι χρειάζεται ο χρήστης».
Τα passkeys δεν είναι ακόμη διαθέσιμα παντού και υπάρχουν δυσκολίες, ιδίως αν κάποιος χάσει τη συσκευή του. Παρ’ όλα αυτά, αποτελούν ένα σημαντικό βήμα μπροστά, καθώς αφαιρούν έναν από τους παλαιότερους και πιο αδύναμους κρίκους στην ασφάλεια, τον ίδιο τον κωδικό πρόσβασης.
0 σχόλια: