Αδυναμίες και κίνδυνοι στους κωδικούς πρόσβασης

Η άνοδος της δημοτικότητας των ψηφιακών τεχνολογιών έχει ως αποτέλεσμα να ζητείται από κάθε χρήστη να έχει κωδικούς πρόσβασης για έναν ολοένα και αυξανόμενο αριθμό συσκευών, με αποτέλεσμα πολλές φορές να αδυνατεί να τους θυμηθεί όλους αυτούς.




Και σε πολλές περιπτώσεις, οι κωδικοί αφορούν σημαντικές εργασίες, όπως είναι η πρόσβαση σε online τραπεζικές υπηρεσίες.

Σύμφωνα με μία πρόσφατη μελέτη του Microsoft Research, οι περισσότεροι χρήστες δεν ακολουθούν τις συνήθεις συμβουλές όσον αφορά τη χρήση κωδικών πρόσβασης (passwords).

Έτσι, χρησιμοποιούν εύκολους να θυμηθούν κωδικούς, οι οποίοι, μάλιστα, είναι οι ίδιοι για περισσότερες από 2-3 υπηρεσίες ή χρήσεις. Ακόμη και στην περίπτωση που χρησιμοποιούν πολλούς διαφορετικούς κωδικούς, προτιμούν να τους σημειώσουν σε ένα έγγραφο που είναι αποθηκευμένο κάπου στον υπολογιστή τους!

Αδυναμίες
Οπως σημειώνει σε μία αντίστοιχη έρευνα της η Symantec, οι κωδικοί πρόσβασης κρύβουν μια σειρά από αδυναμίες που αφορούν τόσο στη λειτουργικότητά τους όσο και στον τρόπο που εμείς τα χρησιμοποιούμε. Έτσι, λοιπόν, δημιουργούνται τρία βασικά ζητήματα:

Πρώτον, οι κωδικοί πρόσβασης Passwords μπορούν εύκολα να παραβιαστούν και να επαναχρησιμοποιηθούν. Οι κωδικοί που χρησιμοποιούμε για να πιστοποιήσουμε και να αποκτήσουμε πρόσβαση online πολύ εύκολα χάνονται ή υποκλέπτονται από χάκερ. Όπως έχει διαπιστωθεί τα τελευταία χρόνια, τα passwords δεν είναι ασφαλή και δεν διατηρούν τα δεδομένα προστατευμένα.

Αρκετές από τις πιο πρόσφατες περιπτώσεις «κλοπής» δεδομένων μεγάλης κλίμακας συμπεριλαμβάνουν την απώλεια των κωδικών, γεγονός το οποίο επέτρεψε στους χάκερ να αποσπάσουν σημαντικές πληροφορίες τις οποίες χρησιμοποίησαν έπειτα για να έχουν πρόσβαση σε προσωπικές, εταιρικές ή οικονομικές πληροφορίες.

Παρά το γεγονός ότι μία εταιρεία μπορεί να διαθέτει κρυπτογράφηση δεδομένων για τους κλεμμένους κωδικούς, ωστόσο, εάν το σύστημα κρυπτογράφησης δεν είναι ισχυρό τότε ένας εξειδικευμένος χάκερ μπορεί γρήγορα να τα αποκρυπτογραφήσει, αφήνοντας τους εντελώς εκτεθειμένους. Το πιο ανησυχητικό, όμως, είναι ότι η ανεξέλεγκτη επαναχρησιμοποίηση των κωδικών σε πολλαπλές ιστοσελίδες οδηγεί σε σοβαρό ζήτημα για το σύνολο της online ταυτότητας του χρήστη.

Εφόσον, ένας χάκερ μπορεί να αποκτήσει πρόσβαση στον κωδικό ενός λογαριασμού μπορεί να βρει τον τρόπο να παραβιάσει τα πάντα.

Δεδομένα
Το δεύτερο ζήτημα είναι πως η ανάκτηση δεδομένων είναι αποδυναμωμένη. Εάν ένας χρήστης χάσει ή ξεχάσει το password, η παραδοσιακή μέθοδος ανάκτησης του κωδικού ζητά μία σειρά από απαντήσεις που μόνο ο πραγματικός χειριστής του λογαριασμού θα έπρεπε να γνωρίζει. Δυστυχώς, αυτά αποτελούν πρόσθετους κωδικούς που συχνά μπορούν εύκολα να μαντεύσουν με βάση τις πληροφορίες που ένας χρήστης διαθέτει online.

Τρίτον, οι χρήστες δεν χρησιμοποιούν ισχυρούς κωδικούς. Η δημιουργία ενός κωδικού ανήκει στον χρήστη, αλλά συνήθως δεν δίνει ιδιαίτερη σημασία στη δημιουργία ισχυρών κωδικών.

\Είναι εντυπωσιακό πόσοι χρήστες χρησιμοποιούν το «1234» ή το «love» ή τη σειρά του πληκτρολογίου «qwerty» ως κωδικούς. Αυτό συχνά οδηγεί σε ισχυρές επιθέσεις που δοκιμάζουν μία σειρά από κωδικούς σε συνδυασμό με ονόματα χρηστών (usernames).

Εναλλακτικές επιλογές
Τα καλά νέα, σύμφωνα με τη Symantec, είναι ότι παρατηρείται μια σειρά από εναλλακτικές λύσεις. Δύο ισχυροί παράγοντες αλλαγής: οι φορητές συσκευές (π.χ. smartphones), που αποτελούν φυσική προέκταση της ταυτότητάς μας, καθώς επίσης και η ενσωμάτωση βιομετρικών δακτυλικών αποτυπωμάτων για μεγαλύτερη ασφάλεια.

Ο συνδυασμός αυτών των δύο θεωρείται ότι μπορεί να λύσει το πρόβλημα και είναι πολύ πιθανό σύντομα να δούμε να αυξάνονται οι φορητές συσκευές με ενσωματωμένο αναγνώστη δακτυλικού αποτυπώματος.

Μέχρι τότε, πάντως, η χρήση των κωδικών μάλλον θα συνεχίσει να υφίσταται. Και γι' αυτό οι άνθρωποι της Microsoft Reasearch θεωρούν ότι οι χρήστες θα πρέπει να χωρίσουν τους κωδικούς τους σε δύο κατηγορίες: αυτούς που αφορούν υπηρεσίες χαμηλής σημασίας (π.χ. πρόσβαση σε newsletters), όπου θα χρησιμοποιούν απλούς κωδικούς, και εκείνους που προορίζονται για κρίσιμης σημασίας υπηρεσίας (π.χ. E-banking), οι οποίοι θα είναι περισσότερο περίπλοκοι.