Ψηφιακή ασφάλεια

Και είναι πραγματικά αυτή η σωστή ερώτηση; Δείτε τι άλλο πρέπει να λάβετε υπόψη όταν πρόκειται να διατηρήσετε τους λογαριασμούς σας ασφαλείς.

03 2024 Απρίλιο
 • 
,
5 λεπτό. ανάγνωση

Πολλά έχουν γίνει τα τελευταία χρόνια σχετικά με τις αυξανόμενες δυνατότητες έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης και Κλειδιά. Χάρη στη σχεδόν πανταχού παρουσία της αναγνώρισης προσώπου που βασίζεται σε smartphone, τη δυνατότητα να συνδεθείτε στις αγαπημένες σας εφαρμογές ή άλλες υπηρεσίες κοιτάζοντας τη συσκευή σας (ή άλλη μέθοδο βιομετρική πιστοποίηση, για αυτό το θέμα) είναι πλέον μια αναζωογονητικά απλή και ασφαλής πραγματικότητα για πολλούς. Αλλά εξακολουθεί να μην είναι ο κανόνας, ειδικά σε όλο τον κόσμο της επιφάνειας εργασίας, καθώς πολλοί από εμάς εξακολουθούμε να βασιζόμαστε σε καλούς κωδικούς πρόσβασης.

Εδώ βρίσκεται η πρόκληση – γιατί οι κωδικοί πρόσβασης παραμένουν κύριος στόχος για απατεώνες και άλλους παράγοντες απειλών. Πόσο συχνά λοιπόν πρέπει να αλλάζουμε αυτά τα διαπιστευτήρια για να τα διατηρούμε ασφαλή; Η απάντηση σε αυτήν την ερώτηση μπορεί να είναι πιο δύσκολη από όσο νομίζετε.

Γιατί οι αλλαγές κωδικού πρόσβασης μπορεί να μην έχουν νόημα

Μέχρι πριν από λίγο καιρό, συνιστούσε η τακτική εναλλαγή των κωδικών πρόσβασης προκειμένου να μετριαστεί ο κίνδυνος κρυφής κλοπής ή διάρρηξης από εγκληματίες του κυβερνοχώρου. Η λαμβανόμενη σοφία ήταν μεταξύ 30 και 90 ημερών.

Ωστόσο, οι χρόνοι που αλλάζουν και η έρευνα δείχνει ότι οι συχνές αλλαγές κωδικών πρόσβασης, ειδικά σε ένα καθορισμένο χρονοδιάγραμμα, ενδέχεται να μην βελτιώνει απαραίτητα την ασφάλεια του λογαριασμού. Με άλλα λόγια, δεν υπάρχει μια ενιαία απάντηση για το πότε πρέπει να αλλάξετε τον κωδικό πρόσβασης. Επίσης, πολλοί από εμάς έχουμε πάρα πολλούς διαδικτυακούς λογαριασμούς για να παρακολουθούμε άνετα, πόσο μάλλον να βρίσκουμε (ισχυρούς και μοναδικούς) κωδικούς πρόσβασης για τον καθένα από αυτούς κάθε λίγους μήνες. Επίσης, τώρα ζούμε σε έναν κόσμο διαχειριστές κωδικών πρόσβασης και έλεγχος ταυτότητας δύο παραγόντων (2FA) σχεδόν παντού.

Το πρώτο σημαίνει ότι είναι ευκολότερο να αποθηκεύσετε και να ανακαλέσετε μεγάλους, ισχυρούς και μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό. Το τελευταίο προσθέτει ένα αρκετά απρόσκοπτο επιπλέον επίπεδο ασφάλειας στη διαδικασία σύνδεσης με κωδικό πρόσβασης. Μερικοί διαχειριστές κωδικών πρόσβασης Τώρα έχετε ενσωματωμένη παρακολούθηση σκοτεινού ιστού για αυτόματη επισήμανση όταν τα διαπιστευτήρια ενδέχεται να έχουν παραβιαστεί και να έχουν κυκλοφορήσει σε υπόγειους ιστότοπους.

Εν πάση περιπτώσει, υπάρχουν ορισμένοι επιτακτικοί λόγοι για τους οποίους ειδικοί σε θέματα ασφάλειας και σε παγκόσμιο επίπεδο αρχές, όπως το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) και το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC), δεν συνιστούν να αναγκάζονται οι άνθρωποι να αλλάζουν τους κωδικούς πρόσβασής τους κάθε λίγους μήνες εκτός εάν πληρούνται ορισμένα κριτήρια.

Το σκεπτικό είναι αρκετά απλό:

• Σύμφωνα με το NIST: «Οι χρήστες τείνουν να επιλέγουν πιο αδύναμα απομνημονευμένα μυστικά όταν γνωρίζουν ότι θα πρέπει να τα αλλάξουν στο εγγύς μέλλον».
• «Όταν συμβαίνουν αυτές οι αλλαγές, επιλέγουν συχνά ένα μυστικό παρόμοιο με το παλιό απομνημονευμένο μυστικό τους, εφαρμόζοντας ένα σύνολο κοινών μετασχηματισμών, όπως η αύξηση ενός αριθμού στον κωδικό πρόσβασης». Το NIST συνεχίζει.
• Αυτή η πρακτική παρέχει μια λανθασμένη αίσθηση ασφάλειας, επειδή εάν ένας προηγούμενος κωδικός πρόσβασης έχει παραβιαστεί και δεν τον αντικαταστήσετε με έναν ισχυρό και μοναδικό, οι εισβολείς μπορεί εύκολα να τον σπάσουν ξανά.
• Οι νέοι κωδικοί πρόσβασης, ειδικά εάν δημιουργούνται κάθε λίγους μήνες, είναι επίσης πιο πιθανό να γραφτούν ή/και να ξεχαστούν, σύμφωνα με το NCSC.

«Είναι ένα από αυτά τα αντιδιαισθητικά σενάρια ασφάλειας. Όσο πιο συχνά οι χρήστες αναγκάζονται να αλλάζουν κωδικούς πρόσβασης, τόσο μεγαλύτερη είναι η συνολική ευπάθεια σε επιθέσεις. Αυτό που φαινόταν ως μια απολύτως λογική, μακροχρόνια συμβουλή δεν ανταποκρίνεται, όπως αποδεικνύεται, σε μια αυστηρή ανάλυση ολόκληρου του συστήματος», το NCSC υποστηρίζει.

«Το NCSC συνιστά τώρα στους οργανισμούς να μην επιβάλλουν την κανονική λήξη του κωδικού πρόσβασης. Πιστεύουμε ότι αυτό μειώνει τα τρωτά σημεία που σχετίζονται με τους κωδικούς πρόσβασης που λήγουν τακτικά, ενώ κάνει ελάχιστα για να αυξήσει τον κίνδυνο μακροπρόθεσμης εκμετάλλευσης κωδικών πρόσβασης."

Πότε να αλλάξετε τον κωδικό πρόσβασής σας

Ωστόσο, υπάρχουν πολλά σενάρια που απαιτούν αλλαγή κωδικού πρόσβασης, ειδικά για τους πιο σημαντικούς λογαριασμούς σας. Αυτά περιλαμβάνουν:

• Ο κωδικός πρόσβασής σας ήταν συλληφθεί σε παραβίαση δεδομένων τρίτων. Πιθανότατα θα ενημερωθείτε για αυτό από τον ίδιο τον πάροχο, ή μπορεί να έχετε εγγράφηκε για τέτοιες ειδοποιήσεις σε υπηρεσίες όπως το Have I Been Pwned ή ενδέχεται να ειδοποιηθείτε από τον πάροχο διαχείρισης κωδικών πρόσβασης που εκτελεί αυτοματοποιημένους ελέγχους στον σκοτεινό ιστό.
• Ο κωδικός σας είναι αδύναμο και εύκολο να μαντέψει ή να ραγίσει (δηλαδή, μπορεί να εμφανίστηκε σε μια λίστα με πιο συνηθισμένους κωδικούς πρόσβασης). Οι χάκερ μπορούν να χρησιμοποιήσουν εργαλεία να δοκιμάσετε κοινούς κωδικούς πρόσβασης σε πολλούς λογαριασμούς με την ελπίδα ότι ένας από αυτούς λειτουργεί - και τις περισσότερες φορές τα καταφέρνουν.
• Έχετε ξαναχρησιμοποιήσει τον κωδικό πρόσβασης σε πολλούς λογαριασμούς. Εάν οποιοσδήποτε από αυτούς τους λογαριασμούς παραβιαστεί, οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν αυτοματοποιημένα “Γέμισμα διαπιστευτηρίων” λογισμικό για το άνοιγμα του λογαριασμού σας σε άλλους ιστότοπους/εφαρμογές.
• Μόλις μάθατε, για παράδειγμα χάρη στο νέο λογισμικό ασφαλείας σας, ότι η συσκευή σας παραβιάστηκε από κακόβουλο λογισμικό.
• έχετε μοιράστηκε τον κωδικό πρόσβασής σας με άλλο άτομο.
• Μόλις αφαιρέσατε άτομα από έναν κοινόχρηστο λογαριασμό (π.χ. πρώην συγκατοίκους).
• Έχετε συνδεθεί σε δημόσιο υπολογιστή (π.χ. σε βιβλιοθήκη) ή σε συσκευή/υπολογιστή άλλου ατόμου.

Συμβουλές βέλτιστης πρακτικής για τον κωδικό πρόσβασης

Λάβετε υπόψη τα ακόλουθα για να ελαχιστοποιήσετε τις πιθανότητες εξαγοράς λογαριασμού:

• Χρησιμοποιείτε πάντα ισχυρούς, μεγάλους και μοναδικούς κωδικούς πρόσβασης.
• Αποθηκεύστε τα παραπάνω σε έναν διαχειριστή κωδικών πρόσβασης στον οποίο θα έχετε πρόσβαση σε ένα μόνο κύριο διαπιστευτήριο και θα μπορεί να ανακαλεί αυτόματα όλους τους κωδικούς πρόσβασής σας σε οποιονδήποτε ιστότοπο ή εφαρμογή.
• Παρακολουθήστε τις ειδοποιήσεις για παραβίαση κωδικού πρόσβασης και λάβετε άμεσα μέτρα μετά τη λήψη τους.
• Ενεργοποιήστε το 2FA όποτε είναι διαθέσιμο για να παρέχετε ένα επιπλέον επίπεδο ασφάλειας στον λογαριασμό σας.
• Εξετάστε ενεργοποίηση κλειδιών πρόσβασης όταν προσφέρεται για απρόσκοπτη ασφαλή πρόσβαση στους λογαριασμούς σας χρησιμοποιώντας το τηλέφωνό σας.
• Εξετάστε τους τακτικούς ελέγχους κωδικών πρόσβασης: ελέγξτε τους κωδικούς πρόσβασης για όλους τους λογαριασμούς σας και βεβαιωθείτε ότι δεν είναι διπλοί ή εύκολο να μαντέψετε. Αλλάξτε τυχόν αδύναμα ή επαναλαμβανόμενα ή αυτά που μπορεί να περιέχουν προσωπικές πληροφορίες, όπως γενέθλια ή οικογενειακά κατοικίδια.
• Μην αποθηκεύετε τους κωδικούς πρόσβασής σας στο πρόγραμμα περιήγησης, ακόμα κι αν σας φαίνεται καλή ιδέα. Αυτό συμβαίνει επειδή τα προγράμματα περιήγησης είναι ένας δημοφιλής στόχος για τους παράγοντες απειλών, οι οποίοι θα μπορούσαν να χρησιμοποιήσουν κακόβουλο λογισμικό κλοπής πληροφοριών για να καταγράψουν τους κωδικούς πρόσβασής σας. Θα εκθέσει επίσης τους αποθηκευμένους κωδικούς πρόσβασης σε οποιονδήποτε άλλο χρησιμοποιεί τη συσκευή/τον υπολογιστή σας.

Εάν δεν χρησιμοποιείτε τους τυχαίους, ισχυρούς κωδικούς πρόσβασης που προτείνει ο διαχειριστής κωδικών πρόσβασης (ή Πρόγραμμα δημιουργίας κωδικών πρόσβασης της ESET), συμβουλευτείτε αυτό λίστα με συμβουλές από η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA). Προτείνει τη χρήση του μεγαλύτερου κωδικού πρόσβασης ή φράση πρόσβασης επιτρέπεται (8-64 χαρακτήρες) όπου είναι δυνατόν, και συμπεριλαμβανομένων κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων.

Με τον καιρό, ελπίζουμε ότι οι κωδικοί πρόσβασης – με την υποστήριξη της Google, της Apple, της Microsoft και άλλων μεγάλων παικτών του τεχνολογικού οικοσυστήματος – θα σηματοδοτήσουν επιτέλους το τέλος της εποχής των κωδικών πρόσβασης. Ωστόσο, στο μεταξύ, βεβαιωθείτε ότι οι λογαριασμοί σας είναι όσο το δυνατόν πιο ασφαλείς.