passwords-SmartphonegreeceShutterstock/Frame Studio

Οι κωδικοί πρόσβασης έχουν προβλήματα. Μπορούν να είναι πολύ αδύναμα, να επαναχρησιμοποιούνται σε πολλά συστήματα, να μοιράζονται σκόπιμα ή κατά λάθος με άλλους χρήστες. Αλλά αυτό κυρίως είναι λάθος των κωδικών πρόσβασης αλλά των ανθρώπων..

Κωδικοί πρόσβασης και ανθρώπινη φύση

Οι κωδικοί πρόσβασης μπορεί να είναι παιδιά της εποχής των λουλουδιών, αλλά η εποχή μας είναι πολύ σκληρή. Από τότε που ο  Fernando J. Corbató  εφηύρε τον κωδικό πρόσβασης για να παρέχει κάποιο απόρρητο και ασφάλεια στους χρήστες του  υπολογιστή πολλαπλών χρηστών του  Compatible Time-Sharing System στις αρχές της δεκαετίας του 1960, οι άνθρωποι είχαν προβλήματα με την επιλογή ισχυρών, μοναδικών κωδικών πρόσβασης.

Η ανθρώπινη φύση κάνει πολλοί άνθρωποι να προτιμούν την ευκολία από την ασφάλεια. Ονομάζεται τριβή ασφαλείας. Είναι το push-back που λαμβάνετε όταν μια βελτίωση ασφάλειας απαιτεί αλλαγή της ροής εργασίας, ένα επιπλέον βήμα ή κάποια σκέψη και προσπάθεια εκ μέρους του χρήστη.

Το να έχετε έναν κωδικό πρόσβασης είναι ευκολότερο. Πρέπει να θυμάστε μόνο ένα πράγμα. Μπορείτε να το χρησιμοποιήσετε παντού και να μπορείτε να το πληκτρολογείτε πολύ γρήγορα. Εάν αναγκαστείτε να αλλάζετε περιοδικά τον κωδικό πρόσβασής σας απλώς αλλάξτε τον αριθμό ή την ημερομηνία που έχετε προσθέσει στο τέλος. Εάν ένας συνάδελφος θέλει να χρησιμοποιήσει τον λογαριασμό σας, γιατί να μην παραδώσετε τα διαπιστευτήριά σας;

Προφανώς, κάτι φταίει στους κατόχους κωδικών πρόσβασης  Μια έκθεση του 2021 από την  NordPass  εξέτασε μια βάση δεδομένων με 275 εκατομμύρια κωδικούς πρόσβασης και όλοι οι συνηθισμένοι λάθος κωδικοί  εξακολουθούν να υπάρχουν στη λίστα των κωδικών πρόσβασης που χρησιμοποιούνται πιο συχνά.

Οι πιο συχνά χρησιμοποιούμενοι κωδικοί πρόσβασης

Όποτε υπάρχει παραβίαση δεδομένων, τα εκτεθειμένα δεδομένα – αργά ή γρήγορα – εμφανίζονται στον σκοτεινό ιστό Μπορεί να είναι προς πώληση ή, όπως τα 533 εκατομμύρια προσωπικά αρχεία χρηστών του Facebook , είναι ελεύθερα διαθέσιμο. Διαφορετικοί οργανισμοί λαμβάνουν αντίγραφα των παραβιασμένων βάσεων δεδομένων και εξάγουν τις διευθύνσεις email και τους κωδικούς πρόσβασης. Το πιο γνωστό από αυτά είναι ο   ιστότοπος Have I Been Pwned .

Παρέχει μια δυνατότητα αναζήτησης που σας επιτρέπει να ελέγξετε εάν το email σας έχει παγιδευτεί σε παραβιάσεις δεδομένων. Εάν έχει, σας ενημερώνουμε από ποιους ιστότοπους ή οργανισμούς προέρχονται τα δεδομένα. Μπορείτε να αλλάξετε τον κωδικό πρόσβασής σας για αυτούς τους λογαριασμούς και να τους ασφαλίσετε ξανά. Και οπουδήποτε αλλού έχετε χρησιμοποιήσει τον ίδιο κωδικό πρόσβασης.

Αυτή είναι η λίστα με τους δέκα πιο δημοφιλείς κωδικούς πρόσβασης που βρέθηκαν σε δεδομένα που παραβιάστηκαν το 2020. Οι αριθμοί σε παρενθέσεις είναι ο αριθμός των φορών που ο κωδικός πρόσβασης βρέθηκε στη βάση δεδομένων.

  1. 123456 (2.543.285)
  2. 123456789 (961,435)
  3. picture1 (371612)
  4. password (360,467)
  5. 12345678 (322.187)
  6. 111111 (230.507)
  7. 123123 (189.327)
  8. 12345 (188.268)
  9. 1234567890 (171.724)
  10. κωδικός πρόσβασης (167.728)

Σύμφωνα με το  Experte Password Checker,  όλα αυτά μπορούν να σπάσουν σε λιγότερο από ένα δευτερόλεπτο, εκτός από το «picture1» που θα διαρκούσε περίπου ένα λεπτό. Ωστόσο, η μεγαλύτερη απειλή είναι ότι αυτοί οι κωδικοί πρόσβασης βρίσκονται ήδη στο σκοτεινό web σε βάσεις δεδομένων έτοιμοι να χρησιμοποιηθούν ως πυρομαχικά σε επιθέσεις.

Είτε ο κωδικός πρόσβασης στη βάση δεδομένων προέρχεται από έναν από τους λογαριασμούς σας είτε όχι, θα εξακολουθεί να λειτουργεί στον λογαριασμό σας. Η κορυφαία καταχώριση «123456» εμφανίστηκε στις βάσεις δεδομένων παραβίασης 2,5 εκατομμύρια φορές, αλλά είχε εκτεθεί σε 23,5 εκατομμύρια παραβιάσεις.

Είναι τόσο εκπληκτικό όσο είναι καταθλιπτικό ότι οι άνθρωποι εξακολουθούν να χρησιμοποιούν κωδικούς πρόσβασης όπως αυτόν σήμερα. Και το ίδιο ισχύει και για τους ανθρώπους που δημιουργούν πλατφόρμες που θα επιτρέπουν στους χρήστες να δημιουργούν κωδικούς όπως αυτό. Οι λανθασμένοι κωδικοί πρόσβασης πρέπει να παγιδεύονται και να απορρίπτονται αυτόματα κατά τη δημιουργία τους. Εάν οι χρήστες δεν πρόκειται να ακολουθήσουν οδηγίες σύμφωνα με τη δική τους γνώση, οι σχεδιαστές συστημάτων πρέπει να καταστήσουν αδύνατη τη δημιουργία λογαριασμών με ανασφαλείς κωδικούς πρόσβασης.

Διαχειριστές κωδικών πρόσβασης και πολιτικές

Στο χώρο εργασίας,

  • μπορείτε να παρέχετε μια πολιτική κωδικού πρόσβασης που υπαγορεύει τι είναι και τι δεν είναι αποδεκτός κωδικός πρόσβασης
  • αυστηροποιήστε τους κανόνες ελέγχου κωδικών πρόσβασης σε όλα τα συστήματα, έτσι ώστε να ισχύουν ισχυροί κωδικοί πρόσβασης
  • προωθήστε τη χρήση φράσεων που συνδέουν τρεις ή τέσσερις άσχετες λέξεις που συνδέονται με σημεία στίξης.
  • ακολουθήσετε τις συμβουλές του  Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας  (NIST), του Εθνικού Κέντρου Ασφάλειας στον κυβερνοχώρο  (NCSC) του Ηνωμένου Βασιλείου  και της  Microsoft  και
  • καταργήσετε περιοδικά τις απαιτήσεις για κωδικούς πρόσβασης.

Οι τακτικές αλλαγές κωδικού πρόσβασης δεν προσθέτουν τίποτα στην ασφάλεια και ενθαρρύνουν ακούσια τις κακές επιλογές κωδικού πρόσβασης. Αναγκάζει τους χρήστες να διατηρούν έναν βασικό κωδικό πρόσβασης και να τον τροποποιούν κάθε φορά που επιβάλλεται μια αλλαγή, συνήθως προσθέτοντας έναν αριθμό ή μια ημερομηνία σε αυτόν. Είναι πολύ καλύτερο να επιλέγουμε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και να τους διατηρούμε επ ‘αόριστον. Οι κωδικοί πρόσβασης πρέπει να αλλάζονται μόνο όταν ο χρήστης εγκαταλείψει τον οργανισμό ή υπάρχει υποψία ότι ο κωδικός πρόσβασης έχει παραβιαστεί.

Έλεγχος ταυτότητας δύο παραγόντων

Ο έλεγχος ταυτότητας δύο παραγόντων προσθέτει ένα άλλο επίπεδο προστασίας. Απαιτεί δύο πράγματα από τον χρήστη. Κάτι που  γνωρίζουν , τον κωδικό πρόσβασής τους, με κάτι που  έχουν , όπως το smartphone τους. Μια εφαρμογή στο smartphone σας θα εμφανίσει έναν εφάπαξ κωδικό που πρέπει να εισαχθεί μαζί με τον κωδικό πρόσβασής σας.

Αυτό σημαίνει ότι ακόμη και αν ένας κωδικός πρόσβασης εκτίθεται σε παραβίαση, οι παράγοντες απειλής δεν θα έχουν πρόσβαση σε αυτόν τον λογαριασμό. Λάβετε υπόψη ότι ο έλεγχος ταυτότητας βάσει SMS δεν θεωρείται πλέον ασφαλής. Χρησιμοποιήστε συστήματα που απαιτούν fob, ειδική συσκευή ή εφαρμογή smartphone.

Ο έλεγχος ταυτότητας πολλών παραγόντων το κάνει ένα βήμα πιο πέρα. Εκτός από κάτι που γνωρίζετε και κάτι που έχετε, απαιτεί κάτι που  είστε , όπως ο κάτοχος του μοναδικού σας δακτυλικού αποτυπώματος, ίριδας ή φωνής.

Δυστυχώς, ο έλεγχος ταυτότητας δύο παραγόντων δεν είναι καθολικά διαθέσιμος. Υπάρχουν πάρα πολλά συστήματα – σχεδόν σίγουρα η πλειονότητα των συστημάτων – που εξακολουθούν να εξαρτώνται από την ταυτόχρονη αναγνώριση ταυτότητας και ζεύγος κωδικών πρόσβασης. Αυτό αλλάζει αργά, αλλά το μοντέλο ταυτότητας και κωδικού πρόσβασης για έλεγχο ταυτότητας πρόκειται να υπάρχει εδώ και πολύ καιρό.

Πρακτικά βήματα που πρέπει να ακολουθήσετε

  • Ποτέ μην τα γράφετε, μην μοιράζεστε ποτέ κωδικούς και μην τους χρησιμοποιείτε σε περισσότερα από ένα συστήματα.
  • Διαχειριστές κωδικών πρόσβασης : Υπάρχουν πολλά για να διαλέξετε. Τα NordPass ,  Bitwarden και  1Password  είναι όλα καλά προϊόντα με δωρεάν πρόγραμμα ή δωρεάν δοκιμή, ώστε να μπορείτε να δείτε αν ταιριάζουν στις ανάγκες σας.
  • Έλεγχος ταυτότητας δύο παραγόντων και πολλών παραγόντων : Όταν υπάρχει έλεγχος ταυτότητας δύο παραγόντων ή πολλών παραγόντων, χρησιμοποιήστε τον. Και να θυμάστε ότι επειδή έχετε προσθέσει ένα άλλο επίπεδο ελέγχου ταυτότητας, η ποιότητα, η προστασία και η μοναδικότητα των κωδικών πρόσβασής σας είναι εξίσου σημαντικές από ποτέ.
  • Εάν γράφετε λογισμικό, βεβαιωθείτε ότι οι αδύναμοι κωδικοί πρόσβασης φιλτράρονται και απορρίπτονται κατά τη δημιουργία λογαριασμών. Μπορείτε να συμπεριλάβετε λίστες απόρριψης κωδικών πρόσβασης που δεν μπορούν να χρησιμοποιηθούν ποτέ. Μπορείτε επίσης να αναζητήσετε μόνο διαδικτυακούς πόρους, όπως Ελέγξετε αν έχει βρεθεί ο κωδικός πρόσβασης σε προηγούμενες παραβιάσεις δεδομένων. Μπορείτε να πραγματοποιήσετε λήψη της βάσης δεδομένων των παραβιασμένων κωδικών πρόσβασης από το Have I Have Pwned.
  • Εκπαίδευση : Όσο το «123456» εμφανίζεται σε λίστες με τους πιο συχνά χρησιμοποιούμενους κωδικούς πρόσβασης, πρέπει να συνεχίσουμε να προσπαθούμε να μεταφέρουμε στο σπίτι τα βασικά βασικά στοιχεία για τους κωδικούς πρόσβασης.

via