Τα τρία πράγματα που πρέπει να γνωρίζουμε για τους κωδικούς, από έναν ειδικό στην κυβερνοασφάλεια

Ο ειδικός κυβερνοασφάλειας Τζέικ Μουρ της ESET προτείνει στο New Scientist τρεις βασικές κινήσεις που μπορούν να αλλάξουν ουσιαστικά τη σχέση μας με τους κωδικούς και να δυσκολέψουν σημαντικά τη δράση των χάκερ:

1. Χρησιμοποιήστε password manager, ακόμη κι αν σας μοιάζει παράλογο

Είμαι ένθερμος υποστηρικτής των password managers (διαχειριστές κωδικών) και πιστεύω ότι είναι πολύ λιγότερο διαδεδομένοι από όσο θα έπρεπε. Περίπου μόνο το ένα τρίτο των χρηστών τούς χρησιμοποιεί, ποσοστό που μου φαίνεται εξωφρενικά χαμηλό.

Η χρησιμότητά τους είναι μεγάλη: επιτρέπουν τη δημιουργία μακρών, σύνθετων και διαφορετικών κωδικών για κάθε λογαριασμό, χωρίς ο χρήστης να χρειάζεται να τους θυμάται όλους. Μπορούν μάλιστα να παράγουν αυτόματα ασφαλείς κωδικούς, αφαιρώντας από τον χρήστη την ανάγκη να επινοήσει μόνος του έναν συνδυασμό.

Αυτό έχει σημασία, επειδή οι άνθρωποι, όταν καλούνται να δημιουργήσουν δικούς τους κωδικούς, συχνά χρησιμοποιούν γνώριμες λέξεις, ημερομηνίες ή άλλες προσωπικές πληροφορίες. Τέτοια στοιχεία μπορεί να είναι ευκολότερο να τα μαντέψει ένας χάκερ ή κακόβουλος χρήστος. Παράλληλα, οι password managers περιορίζουν και ένα άλλο σοβαρό πρόβλημα: την επαναχρησιμοποίηση του ίδιου κωδικού σε πολλούς λογαριασμούς. Αν ένας κωδικός διαρρεύσει από μία υπηρεσία, μπορεί στη συνέχεια να δοκιμαστεί και αλλού.

Πολλοί παραμένουν επιφυλακτικοί, επειδή θεωρούν επικίνδυνη την ιδέα ότι όλοι οι κωδικοί αποθηκεύονται σε ένα σημείο και ανοίγουν με έναν βασικό κωδικό. Δεν είναι έτσι όμως. Τα δεδομένα δεν φυλάσσονται ως απλή λίστα σε κάποιον server. Κρυπτογραφούνται στη συσκευή του χρήστη με ισχυρό κλειδί που προκύπτει από τον βασικό κωδικό, ενώ online αποθηκεύεται μόνο το κρυπτογραφημένο περιεχόμενο.

2. Ο έλεγχος ταυτότητας πολλών παραγόντων είναι απολύτως απαραίτητος

Ακόμη και ο ισχυρότερος κωδικός δεν εγγυάται από μόνος του πλήρη ασφάλεια. Οι εθνικές αρχές κυβερνοασφάλειας προτείνουν συνήθως κωδικούς 14 έως 16 χαρακτήρων, ώστε να αποτρέπονται οι πιο απλές επιθέσεις, όμως αυτό δεν αρκεί πάντα.

Ο έλεγχος ταυτότητας πολλών παραγόντων (Multi-factor authentication ή MFA) προσθέτει ένα επιπλέον επίπεδο προστασίας. Εκτός από τον κωδικό, ο χρήστης χρειάζεται και ένα δεύτερο στοιχείο επιβεβαίωσης, όπως έναν κωδικό στο κινητό ή έγκριση μέσω ειδικής εφαρμογής. Έτσι, ακόμη και αν ο κωδικός υποκλαπεί, η πρόσβαση παραμένει δύσκολη.

Ο έλεγχος μπορεί να γίνει μέσω SMS, αλλά αυτό δεν είναι τόσο ασφαλές. Οι εφαρμογές επαλήθευσης είναι για μένα ένα υπέροχο επόμενο επίπεδο στον MFA, και είναι κρίμα που οι άνθρωποι δεν υποχρεώνονται να τις χρησιμοποιούν. Πολλές πλατφόρμες συνεχίζουν να αντιμετωπίζουν τον MFA ως προαιρετικό βήμα, αντί να το επιβάλλουν από την αρχή. Αυτή η λογική είναι προβληματική, επειδή βάζει την ευκολία χρήσης πάνω από την ασφάλεια. Όσο αυτό συνεχίζεται, τόσο θα παραμένουν συχνά τα περιστατικά παραβίασης λογαριασμών και η αγωνία των χρηστών για τα κοινωνικά δίκτυα, τα email και τις άλλες υπηρεσίες τους. Επομένως, ενεργοποιήστε τον MFA όπου προσφέρεται.

3. Όπου μπορείτε, αποφύγετε εντελώς τους κωδικούς

Οι κωδικοί πρόσβασης απέχουν πολύ από το να είναι τέλειοι – και ευτυχώς, υπάρχει μια πιο σύγχρονη, ασφαλής εναλλακτική λύση που υιοθετείται με αυξανόμενο ρυθμό. Η τεχνολογία στρέφεται σταδιακά προς μια εποχή χωρίς παραδοσιακούς κωδικούς, μέσω των λεγόμενων passkeys (κλειδιά πρόσβασης).

Το ωραίο με τα passkeys είναι ότι εξαλείφουν μεγάλο μέρος του ανθρώπινου λάθους από την εξίσωση. Επιτρέπουν στον χρήστη να συνδέεται μέσω της συσκευής του ή ενός ασφαλούς κλειδιού αποθηκευμένου στο τηλέφωνό του, συχνά με δακτυλικό αποτύπωμα. Στο παρασκήνιο λειτουργούν κρυπτογραφικά κλειδιά, αλλά η διαδικασία για τον χρήστη παραμένει απλή. Η απλότητα είναι ο λόγος για τον οποίο αποτελούν μια τέτοια επαναστατική αλλαγή: εξαλείφουν τον πειρασμό να επαναχρησιμοποιήσει κανείς έναν παλιό κωδικό πρόσβασης ή να προσθέσει έναν προβλέψιμο αριθμό στο τέλος κάτι οικείου. Αν και αρκετοί τα αντιμετωπίζουν με καχυποψία επειδή φαίνονται υπερβολικά εύκολα, η απλότητα για τον χρήστη δεν σημαίνει αδυναμία του συστήματος.

Τα passkeys δεν είναι ακόμη διαθέσιμα παντού και υπάρχουν προβλήματα, ιδιαίτερα αν χαθεί μια συσκευή. Ωστόσο, αποτελούν σημαντικό βήμα προόδου, επειδή αφαιρούν έναν από τους παλαιότερους και πιο αδύναμους κρίκους στην ψηφιακή ασφάλεια: τον ίδιο τον κωδικό πρόσβασης.