Password που θα μπορει να προστατευσει τα προσωπικα δεδομενα σας

1st Αύγουστος 2018

Μέχρι να ξεκινήσω την έρευνα για αυτό το άρθρο, ομολογώ ότι χρησιμοποιούσα τον ίδιο κωδικό πρόσβασης σχεδόν για όλους τους λογαριασμούς μου στο διαδίκτυο. Ήταν ένας «ισχυρός» κωδικός πρόσβασης τον οποίο είχα δημιουργήσει με βάση τις συστάσεις που αναφέρω αναλυτικά παρακάτω. Αλλά αυτό που έχει σημασία είναι ότι χρειαζόταν μία μόνο ενέργεια από έναν μόνο χάκερ για να παραβιαστεί ένας ανησυχητικά μεγάλος όγκος των προσωπικών μου δεδομένων.

Η χρήση του ίδιου κωδικού πρόσβασης για όλους τους λογαριασμούς σας είναι σαν να χρησιμοποιείτε το ίδιο κλειδί για όλες τις κλειδαριές στη ζωή σας: την εξώπορτα, την πίσω πόρτα, το γραμματοκιβώτιο, το αυτοκίνητο, το ποδήλατο, το ημερολόγιο, το γραφείο, την κοσμηματοθήκη ή το δωμάτιό σας. Ίσως να πρόκειται για μια εξαιρετικά βολική πρακτική η οποία απαλλάσσει την τσάντα και την τσέπη σας από περιττό βάρος, αλλά φανταστείτε αυτό το ένα κλειδί να κλαπεί και στο μπρελόκ να αναγράφεται η διεύθυνση της κατοικίας και του γραφείου σας.

Ο ίδιος κωδικός πρόσβασης για όλους τους λογαριασμούς
Σήμερα ανοίγουμε λογαριασμούς στο διαδίκτυο (οι οποίοι χρειάζονται κωδικό πρόσβασης) τόσο απερίσκεπτα και τακτικά όσο και οι άκομψες και χαοτικές δημοσιεύσεις του Donald Trump στο Tweeter. Οι λογαριασμοί του ηλεκτρονικού ταχυδρομείου, ο λογαριασμός στο Amazon και ίσως στο Netflix ή το Spotify, ο λογαριασμός στην εταιρεία ενοικίασης παραθεριστικών καταλυμάτων που χρησιμοποιήσατε πέρσι για να κλείσετε τις διακοπές σας, ο λογαριασμός στο σούπερ μάρκετ, στο Paypal, σε ιστοτόπους έκδοσης εισιτηρίων, στα μέσα κοινωνικής δικτύωσης (π.χ. LinkedIn ή Facebook), στην πύλη πελατών της Bigblu, στην εφαρμογή της εφημερίδας για τις τελευταίες ειδήσεις από την επικαιρότητα, σε εκείνο το σάιτ γνωριμιών που κάποτε ανοίξατε λογαριασμό (σας θυμίζει τίποτα το όνομα Ashley Madison;). Και αυτά είναι λίγα μόνο ενδεικτικά παραδείγματα που αναφέρω χωρίς πολλή σκέψη (αν και προσπαθώ να μην διαφημίζω την εγγραφή μου στο σάιτ γνωριμιών).

 Ένας από τους λόγους για τους οποίους οι κωδικοί πρόσβασης χακάρονται εύκολα είναι ότι αποτελούν πρόσφορο έδαφος για τους χάκερ

Ξέρω ότι η ιδέα της διατήρησης ξεχωριστού ισχυρού κωδικού πρόσβασης για κάθε λογαριασμό στο internet ακούγεται αποθαρρυντική και πολύ επιβαρυντική, ίσως ακόμα και αχρείαστη. Αλλά όπως ισχυρίζεται και ο Tony Neate, CEO του οργανισμού Get Safe Online που υποστηρίζεται από την κυβέρνηση του Ηνωμένου Βασιλείου: «Οι κωδικοί πρόσβασης είναι η πρώτη γραμμή άμυνας ενάντια στα εγκλήματα στον κυβερνοχώρο.»

Τον Νοέμβριο του 2015, το moneysavingexpert.com διεξήγαγε μια έρευνα η οποία διαπίστωσε ότι μόνο το 12% χρησιμοποιεί διαφορετικούς κωδικούς πρόσβασης για κάθε λογαριασμό. Επομένως, δεν είστε οι μόνοι που επιλέγετε την εύκολη οδό, αλλά αυτή ακριβώς η οδός είναι που διακυβεύει την ασφάλεια των δεδομένων μας.

Οι παραβιάσεις προσωπικών δεδομένων είναι πιο εύκολες από ποτέ
Πρόσφατα, η έκθεση διερευνήσεων σε θέματα παραβίασης προσωπικών δεδομένων της Verizon αποκάλυψε ότι το 81% των παραβιάσεων δεδομένων κατά τη διάρκεια του 2017 περιλάμβανε παραβίαση των διαπιστευτηρίων. Αυτό το ποσοστό παρουσίασε άνοδο από 66% το 2016 και 50% το 2017. Ο Niall King, ένα από τα διευθυντικά στελέχη των ειδικών υπηρεσιών προστασίας της ταυτότητας στη Centrify δήλωσε ότι «Τα εγκλήματα στον κυβερνοχώρο ακολουθούν την ευκολότερη οδό προς τον στόχο τους και σήμερα αυτή η οδός ανοίγεται απευθείας από χρήστες με αυτοδιαχειριζόμενους κωδικούς πρόσβασης “απλού παράγοντα”».

Με απλά λόγια, η υποκλοπή των κωδικών πρόσβασης γίνεται ολοένα και ευκολότερη, ενώ η παθητική στάση μας στο θέμα διευκολύνει το χακάρισμα των δεδομένων. Μετά το σκάνδαλο του Facebook-Cambridge Analytica που ξεσκέπασε την παράτυπη απόκτηση δεδομένων από 87 εκατ. χρήστες για πολιτικές σκοπιμότητες, οι παραβιάσεις δεδομένων παρελαύνουν όλο και συχνότερα στους τίτλους των εφημερίδων σε όλο τον κόσμο. Μόνο τα τελευταία δύο χρόνια, εταιρείες όπως οι Uber, Ticketmaster, Dixons Carphone, MyFitnessPal, MyHeritage, Typeform (στους πελάτες των οποίων συγκαταλέγονται η adidas και η Fortnum and Mason’s) έχουν υποστεί σοβαρές παραβιάσεις της ασφάλειας.

Υποκλοπή κωδικών πρόσβασης
Ένας από τους λόγους για τους οποίους χακάρονται συχνά οι κωδικοί πρόσβασης, είναι ότι πρόκειται για μια εύκολη διαδικασία. Η SplashData, ένας πάροχος εφαρμογών διαχείρισης κωδικών πρόσβασης, ελέγχει σε ετήσια βάση δεδομένα κωδικών πρόσβασης που έχουν διαρρεύσει με σκοπό να υπογραμμίσει τη σημασία της πολυπλοκότητας των κωδικών πρόσβασης (και κατ’ επέκταση του προβλήματος έλλειψης φαντασίας κατά τη δημιουργία τους). Την πρώτη θέση κατείχε πέρσι, όπως και το 2016, ο κωδικός πρόσβασης «123456». Τη δεύτερη θέση, επίσης σταθερά από το 2016, κατείχε η λέξη «password», ενώ οι φράσεις «letmein» και «iloveyou» καταλάμβαναν τη θέση 7 και 10, αντίστοιχα.

Σε αυτό το στάδιο της έρευνάς μου άρχισα να επικεντρώνομαι σε δεξιότητες κρυπτογραφίας και λογικής, όπως αυτές του Benedict Cumberbatch που υποδύθηκε τον Alan Turning στο Παιχνίδι της Μίμησης, συνδυάζοντας μανιωδώς αριθμητικά ψηφία και χαρακτήρες, περιστρέφοντας γρανάζια και συνδέοντας και αποσυνδέοντας καλώδια, για να βεβαιωθώ ότι όλοι οι κωδικοί πρόσβασης είναι ασφαλείς. Χωρίς να σημαίνει ότι χρειάζεται να φτάσετε στα άκρα που έφτασε ο καθηγητής Turing, ακολουθούν ορισμένες οδηγίες που θα σας βοηθήσουν να δημιουργήσετε μη αποκωδικοποιήσιμους κωδικούς…

Έχουν διαρρεύσει προσωπικά μου δεδομένα;
Μια καλή αρχή για να το μάθετε είναι να επισκεφθείτε την ιστοσελίδα HaveIBeenPwned? για να ελέγξετε αν το email που χρησιμοποιείτε σε τακτική βάση εμπλέκεται σε κάποια παραβίαση δεδομένων. Πρόκειται για μια δωρεάν υπηρεσία που συγκεντρώνει στοιχεία για παραβιάσεις προσωπικών δεδομένων και βοηθάει τους επισκέπτες της να μάθουν εάν έχουν πέσει θύμα κάποιας κακόβουλης δραστηριότητας στο internet.

Κάθε φορά που πληκτρολογώ τον ίδιο κωδικό πρόσβασης σε έναν νέο λογαριασμό, νιώθω αυτήν την περίεργη αίσθηση ότι με παρακολουθούν.

Έλεγξα αν έχουν παραβιαστεί τα δεδομένα μου για πρώτη φορά σήμερα το πρωί. Ο λογαριασμός μου έχει εμπλακεί σε πέντε παραβιάσεις δεδομένων από το 2012, οι οποίες αφορούν μεταξύ άλλων το Last.fm και το LinkedIn. Ως «παραβίαση» νοείται ένα συμβάν κατά το οποίο κάποια δεδομένα κατέστησαν διαθέσιμα στο κοινό ακούσια.

Πριν προχωρήσουμε, θα ήθελα να επισημάνω ότι δεν είμαι ο βασιλιάς της τεχνολογίας. Έχω κάποια ευχέρεια σε θέματα ψηφιακής τεχνολογίας, αλλά σε καμία περίπτωση δεν είμαι γνώστης του αντικειμένου. Χρησιμοποιούσα τον ίδιο κωδικό πρόσβασης για όλους τους λογαριασμούς, εκτός από έναν, τα τελευταία τέσσερα χρόνια. Κάθε φορά που ανοίγω έναν νέο λογαριασμό (χθες το βράδυ π.χ. άνοιξα έναν για να αγοράσω εισιτήρια για το θέατρο) χρησιμοποιώ τον ίδιο κωδικό πρόσβασης. Κάθε φορά που τον πληκτρολογώ, με στοιχειώνει ο φόβος ότι με παρακολουθούν. Παρόλα αυτά ο κυκεώνας της διαχείρισης που συνεπάγεται η χρήση διαφορετικών κωδικών πρόσβασης με κάνει να αγνοώ αυτόν τον φόβο σκεπτόμενος ότι δεν θα συμβεί σε εμένα.

Ε λοιπόν, μου έχει συμβεί ήδη. Και μάλιστα πέντε φορές. Η τελευταία φορά ήταν φέτος τον Φεβρουάριο, όταν διαπιστώθηκε μια μαζική συλλογή σχεδόν 3.000 φερόμενων παραβιάσεων δεδομένων οι οποίες συμπεριλάμβαναν πάνω από 80 εκατομμύρια μοναδικές διευθύνσεις email.

Διαχείριση του φόβου
Θα σας πω αμέσως τι έκανα. Έκανα εγγραφή στο 1Password, την ιστοσελίδα διαχείρισης κωδικών πρόσβασης που συστήνει ο Αυστραλός Troy Hunt, ιδιοφυΐα στον χώρο της τεχνολογίας και Διευθυντής της Microsoft που κρύβεται πίσω από την υπηρεσία HaveIBeenPwned?. Αν ο Troy το θεωρεί αξιόπιστο, τότε νιώθω καλυμμένος. Ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης δημιουργεί και θυμάται έναν ισχυρό, μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό που έχετε στο internet, καθιστώντας τα προσωπικά σας δεδομένα πιο ασφαλή από ποτέ.

Η προστασία πολλαπλών επιπέδων που παρέχεται από τα προγράμματα διαχείρισης κωδικών πρόσβασης δεν είναι δωρεάν, αλλά ούτε και ακριβή. Το 1Password χρεώνει 2,99 $ τον μήνα (ο πρώτος μήνας προσφέρεται δωρεάν) για να έχετε το κεφάλι σας ήσυχο.

Τα προγράμματα διαχείρισης κωδικών πρόσβασης σας βοηθούν να επιλέξετε έναν νέο τυχαίο κωδικό πρόσβασης και να τον αποθηκεύσετε σε ένα ασφαλές ψηφιακό χρηματοκιβώτιο.

Δεν έχουμε τη δυνατότητα να τα δούμε όλα αναλυτικά τώρα (αυτό θα γίνει άλλη φορά), αλλά υπάρχουν πολλά εξαιρετικά προγράμματα διαχείρισης κωδικών πρόσβασης στην αγορά, τα οποία προσφέρουν μια γκάμα επιλογών για κάθε ανάγκη.

Η τέχνη της δημιουργίας ευκολομνημόνευτων κωδικών πρόσβασης
Αφού ολοκλήρωσα την εγγραφή και καταχώρισα τα στοιχεία της τραπεζικής μου κάρτας για να ολοκληρώσω την πληρωμή, έπρεπε να επιλέξω έναν ευκολομνημόνευτο, αλλά τυχαίο κύριο κωδικό πρόσβασης. Το 1Password προσφέρει χρήσιμες συμβουλές που θα σας βοηθήσουν σε αυτήν τη διαδικασία. Εναλλακτικά, υπάρχει η δυνατότητα να δημιουργήσει η ιστοσελίδα έναν κωδικό για εσάς. Με αυτόν τον τρόπο θα δημιουργηθεί ένα ασφαλές κλειδί «Secret Key» το οποίο μπορείτε να χρησιμοποιείτε σε έκτακτες περιπτώσεις. Σας συνιστούν να το εκτυπώσετε και να το φυλάσσετε κάπου με το διαβατήριό σας, να το αποθηκεύσετε σε ένα USB στικ ή να το αντιγράψετε στον χώρο αποθήκευσης στο cloud.

Μετά τις απαραίτητες ρυθμίσεις, το μόνο που χρειαζόταν να κάνω, ήταν να κατεβάσω την εφαρμογή 1Password στη συσκευή που χρησιμοποιώ και την επέκταση του 1Password στο πρόγραμμα περιήγησης. Στην περίπτωσή μου, χρειάστηκε να κάνω αυτές τις ενέργειες σε iPhone, MacBook (για ατομική χρήση) και σε έναν φορητό υπολογιστή Windows (για τη δουλειά). Τώρα, με τη βοήθεια του 1Password, μπορώ είτε να αλλάξω ενεργά τον κωδικό πρόσβασης σε καθέναν από τους λογαριασμούς μου ή, εναλλακτικά, κάθε φορά που συνδέομαι σε έναν από τους λογαριασμούς μου στο internet με τον γνωστό ευάλωτο κωδικό πρόσβασης, το 1Password θα με βοηθάει να επιλέγω έναν τυχαίο κωδικό και να τον αποθηκεύω στο χρηματοκιβώτιό μου.

Τώρα πλέον αντί να χρειάζεται να θυμάμαι τον τυχαίο κωδικό πρόσβασης, εμφανίζεται το εικονίδιο 1Password και με το πάτημα ενός κουμπιού, μπορώ να επιλέγω τον νέο σχετικό τυχαίο κωδικό πρόσβασης που είναι σχεδόν αδύνατο να χακάρουν.

Όλα. Συγκεντρωμένα. Σε ένα σημείο.
Ξέρω ακριβώς τι σκέφτεστε. Την ίδια απορία είχα και εγώ. Τι θα γίνει εάν χακάρουν τον λογαριασμό του προγράμματος διαχείρισης κωδικών πρόσβασης;

Δεν νομίζω να αμφιβάλλει κανείς ότι τα προγράμματα διαχείρισης κωδικών πρόσβασης παίρνουν πολύ σοβαρά το θέμα της ασφάλειας. Ίσως να μην σημαίνει πολλά για εσάς, όπως δεν σήμαινε πολλά και για εμένα μέχρι που ρώτησα τον επικεφαλής προγραμματιστή της Bigblu, ο οποίος με διαβεβαίωσε ότι το προηγμένο πρότυπο κρυπτογράφησης «256-bit Advanced Encryption Standard» που χρησιμοποιούν καθιστά την ανάγνωση των δεδομένων σας τόσο δύσκολη, που ακόμη και ο ίδιος ο Turing θα δυσκολευόταν.

Αν η ιδέα ενός προγράμματος διαχείρισης κωδικών πρόσβασης σας τρομάζει σε αυτό το στάδιο, αξίζει τον κόπο να πάρετε χαρτί και μολύβι και να δημιουργήσετε μερικούς νέους, αλλά ευκολομνημόνευτους κωδικούς πρόσβασης που δεν μπορεί να μαντέψει κανείς εύκολα. Όσο μεγαλύτεροι σε μήκος τόσο το καλύτερο, καθώς η προσθήκη ενός μόνο χαρακτήρα αυξάνει την ασφάλεια του κωδικού πρόσβασης σε εκθετικό βαθμό.

Προγραμματισμός παλαιάς σχολής
Η ιστοσελίδα Better Buys διερεύνησε αυτό το θέμα και έφτιαξε ένα εργαλείο, το οποίο σας ενημερώνει πόσο χρόνο θα χρειαζόταν, για να σπάσει κάποιος τον κωδικό σας. Για παράδειγμα, αν ο κωδικός πρόσβασης που χρησιμοποιείτε είναι εξαιρετικά απλός και κοινός, δηλαδή επτά χαρακτήρες («abcdefg»), ένας επαγγελματίας χάκερ θα μπορούσε να τον σπάσει σε ένα κλάσμα του χιλιοστού του δευτερολέπτου. Με την προσθήκη ενός μόλις χαρακτήρα («abcdefgh») το διάστημα αυτό αυξάνεται σε πέντε ώρες. Χρειάζονται πέντε ημέρες για την υποκλοπή ενός κωδικού πρόσβασης που αποτελείται από εννέα χαρακτήρες, τέσσερις μήνες για κωδικούς πρόσβασης που αποτελούνται από 10 χαρακτήρες και 10 χρόνια για κωδικούς πρόσβασης που αποτελούνται από 11 χαρακτήρες. Αν δε ο κωδικός πρόσβασης αριθμεί 12 χαρακτήρες, είστε ασφαλισμένοι για 200 ολόκληρα χρόνια. Δεν είναι και άσχημα αν αναλογιστεί κανείς τη δύναμη που μπορεί να κρύβει ένας τόσο δα χαρακτήρας.

Οι εισβολείς κωδικών πρόσβασης έχουν ήδη συνυπολογίσει τις προβλεπόμενες συνήθειές μας

Ο συνδυασμός αριθμητικών ψηφίων και γραμμάτων αντί για τη χρήση μόνο ενός τύπου χαρακτήρων βελτιώνει θεαματικά την ασφάλεια του κωδικού πρόσβασης. Ωστόσο, δεν είναι τόσο απλό όσο να αντικαθιστάτε π.χ. τα «i» με «1» ή να προσθέτετε έναν αριθμό στο τέλος. Οι εισβολείς κωδικών πρόσβασης έχουν ήδη συνυπολογίσει τις προβλεπόμενες συνήθειές μας. Εάν σκοπεύετε να χρησιμοποιήσετε χαρτί και μολύβι, σας συμβουλεύω να κάνετε τους κωδικούς πρόσβασης λιγότερο προβλέψιμους και πιο περίπλοκους.

Δείτε πώς:

  • ξεκινήστε με τρεις τυχαίες λέξεις οι οποίες περιέχουν πεζούς και κεφαλαίους χαρακτήρες. Για μεγαλύτερη ασφάλεια, προσθέστε αριθμητικά ψηφία και σύμβολα (όπως @ # $ % ^ & *) και φτιάξτε έναν κωδικό πρόσβασης ο οποίος να αποτελείται από τουλάχιστον οχτώ χαρακτήρες ή
  • φτιάξτε μια ευκολομνημόνευτη φράση ή πρόταση και χρησιμοποιήστε το πρώτο γράμμα κάθε λέξης για να δημιουργήσετε μια αλληλουχία ή
  • επιλέξτε έναν αριθμό λέξεων-κλειδιών που σημαίνουν κάτι για εσάς, αλλά δεν είναι προφανείς ή προβλέψιμες, διαλέξτε μερικούς αριθμούς-κλειδιά (αποφύγετε προφανείς ημερομηνίες, όπως η επέτειος γάμου σας) και στη συνέχεια δημιουργήστε κωδικούς πρόσβασης συνδυάζοντας αυτά τα δύο στοιχεία.

Μόλις φτιάξετε τους νέους κωδικούς σας, σημειώστε τους με κωδικοποιημένο τρόπο και αποθηκεύστε τους σε ένα USB στικ ή στον χώρο αποθήκευσης στο cloud. Ό,τι και αν κάνετε, προστατεύστε τα δεδομένα σας από τον κίνδυνο διάρρευσης.

Οι κωδικοί πρόσβασης πρέπει να είναι επτασφράγιστο μυστικό
Και κάτι τελευταίο για τους κωδικούς πρόσβασης: Μην αποκαλύπτετε ποτέ και σε κανέναν τον κωδικό πρόσβασης, ιδίως σε άτομα που εργάζονται σε τμήματα τεχνικής υποστήριξης. Τα πραγματικά μέλη του προσωπικού τεχνικής υποστήριξης δεν θα σας ζητήσουν ποτέ τον κωδικό πρόσβασης, επειδή δεν χρειάζονται τις απόρρητες πληροφορίες σας για να σας βοηθήσουν.