Πριν λίγες εβδομάδες ο Jesper Johansson, που είναι υπεύθυνος στον τομέα αφάλειας της Microsoft, δήλωσε στο Computer Emergency Response Team της Αυστραλίας, ή AusCERT, πως έκαναν λάθος οι υπεύθυνοι θεμάτων ασφάλειας όταν συνηστούσαν να μην σημειώνουμε πουθενά τους κωδικούς μας (passwords)!!! Ο ίδιος μάλιστα δήλωσε πως ο ίδιος εχει 68 passwords και δεν είναι δυνατόν να τα θυμάται όλα οπότε και τα ..γράφει! Για να θυμάται, λέει, το password του σε κάθε λογαριασμό του θα έπρεπε να έχει παντού τον ίδιο κωδικό.
Πολλοί είναι αυτοί που έχουν διερωτηθεί αν είναι πιο αποτελεσματικό να έχουν έναν πολύπλοκο κωδικό ή πολλούς διαφορετικούς. Και οι δύο περιπτώσεις είναι καλές, όμως ποτέ δεν πρέπει να χρησιμοποιούμε τον ίδιο κωδικό για χρηματικές συναλλαγές και τραπεζικούς λογαριασμούς, όπως θα κάναμε με το PC μας.
Αλλά ας πούμε πως θέλετε να κάνετε μια αγορά π.χ. από το Amazon. Έστω ότι αγοράσατε κάτι το περασμένο καλοκαίρι, και φέτος, μετά από ένα χρόνο, θέλετε να κάνετε κι άλλη αγορά και δεν θυμάστε τον κωδικό σας. Αρκετά sites δίνουν την δυνατότητα μετά από κάποια διαδικασία, να σας στείλουν τον κωδικό σας στο email σας. Μερικές φορές όμως, ο κωδικός σας δεν είναι μια σειρά από αριθμούς και χαρακτήρες αλλά μια τυχαία αλληλουχία που προσδίδεται σ’αυτόν. Αυτό γίνεται γιατί αρκετοί Web servers, στην πραγματικότητα, δεν θυμούνται τον κωδικό που βάλατε καθώς τον μετατρέπουν σε μια αλληλουχία η οποία ονομάζεται hash value.
Ένας λόγος για τον οποίο οι εταιρείες το κάνουν αυτό είναι γιατί οι hash values είναι πιο ασφαλείς (ο κωδικός σας δεν αποθηκεύεται σε καμία βάση δεδομένων). Άλλος ένας λόγος είναι ότι ο αλγόριθμος που έχει σχεδιαστεί για να παράγει τα hash values λειτουργεί με τέτοιο τρόπο έτσι ώστε να μην παράγεται ποτέ το ίδιο hash value. Όποτε πληκτρολογείτε τον κωδικό σας, ο υπολογιστής ή ο Web server τον περνάει από αυτόν τον αλγόριθμο και παράγει ένα hash value. Αφού τελειώσει αυτή η διαδικασία, σε πολλές περιπτώσεις, το hash value περνάει από μια διαδικασία αποκρυπτογράφησης (encryption) και μετά αποθηκεύεται ή στον σκληρό δίσκο σας ή στον server.
Καλό θα ήταν όταν δημιουργείτε έναν κωδικό να ΜΗΝ:
- χρησιμοποιείτε φράσεις ή τίτλους ταινιών
- χρησιμοποιείτε προσωπικές πληροφορίες όπως ημερομηνία γέννησης ή επετείους
- χρησιμοποιείτε λέξεις που έχετε βρεί σε λεξικά ή προέρχονται από ξένες γλώσσες (κυρίως τα αγγλικά)
Αν νομίζεται για παράδειγμα πως το Fun4U είναι έξυπνος κωδικός...ξανασκεφτείτε..
Υπάρχουν εργαλεία στο διαδίκτυο όπως το John the Ripper που χρησιμοποιούν λεξικά με τις πιό συνήθης λέξεις και φράσεις και μπορούν μέσω μιας διαδικασίας ονομαζόμενης brute-force attack να σπάσουν τον κωδικό σας.
Οι προτάσεις για ασφαλές κώδικο ειναι οι εξής:
- Χρησιμοποιείτε τουλάχιστον 8 χαρακτήρες, συμπεριλαμβανομένων και των αριθμών
- Χρησιμοποιείτε διαφορετικούς κωδικούς για κάθε λογαριασμό σας
- Αλλάζετε τους κωδικούς σας συχνά
Απ’ ότι καταλαβαίνετε ερχόμαστε πάλι στην αρχη! Τελικά τα σημειώνουμε ή όχι;
Μια βάση δεδομένων η οποία αποθηκεύει τους κωδικούς σε αποκρυπτογραφημένη μορφή είναι η KeePass (http://keepass.sourceforge.net/). Ναι μεν χρειάζεσαι πάλι έναν κωδικό για να μπείς αλλά εκεί μετά μπορείς να βρείς όλους τους άλλους κωδικούς σου ...όσοι και αν είναι...και δεν πληρώνεις τίποτα!!
Επίσης υπάρχουν προγράμματα όπως το RoboForm. Χρειάζεται να το εγκαταστήσετε στο σύστημα σας και αυτό μπορεί και αποθηκεύει όλους τούς κωδικούς σας. Δίνει επίσης την δυνατότητα αποθήκευσης πληροφοριών όπως αριθμούς τραπεζικών λογαριασμών. Το να αποθηκεύεις όλους τους κωδικούς σου σε ένα προγραμματάκι ίσως προκαλεί ανυσηχία, όμως το RoboForm έχει και την δυνατότητα να αποφεύγει "εξωτερικές" επιθέσεις όπως επίσης και να αναγνωρίζει "ψεύτικα" sites!
Από το Technews.gr (www.technews.gr)
Αποστολέας: Vassilis
