Στις μέρες μας σχεδόν τα πάντα έχουν μετατραπεί σε ψηφιακά. Οι συναλλαγές μας με την τράπεζα, οι συναλλαγές μας με το κράτος, η πληρωμή των λογαριασμών, τα μέσα κοινωνικής δικτύωσης, οι παραγγελίες από καταστήματα. Αυτά βρίσκονται εκεί για να κάνουν τη ζωή μας ευκολότερη. Πού ξεκινά το πρόβλημα; Ότι κάθε υπηρεσία απαιτεί διαπιστευτήρια, ήτοι όνομα χρήστη και κωδικό, για τη χρήση της. Κωδικοί, κωδικοί και άλλοι κωδικοί. Κάτι που είναι λογικό και επόμενο να δημιουργεί σύγχυση στους χρήστες (password fatigue), οι οποίοι πρέπει να θυμούνται μια σειρά από διαφορετικούς κωδικούς.
Την ίδια στιγμή οι ίδιοι οι πάροχοι αυτών των υπηρεσιών είτε απλά προτείνουν τη μη χρήση εύκολων κωδικών ή ακόμα και την επιβάλλουν, για λόγους ασφαλείας. Αυτό κάνει τα πράγματα ακόμα πιο δύσκολο για τους χρήστες, πολλοί από τους οποίους καταφεύγουν σε λάθος πρακτικές για να προσπεράσουν αυτό το πρόβλημα.
Ίδιος κωδικός παντού
Ανεξάρτητα από την πολυπλοκότητα ή μη του κωδικού, πολλοί χρήστες επιλέγουν να χρησιμοποιούν τον ίδιο κωδικό για όλες τις υπηρεσίες. Με αυτόν τον τρόπο χρειάζεται απλά να θυμούνται έναν μοναδικό κωδικό και με τον τρόπο αυτό αποκτούν εύκολη πρόσβαση σε όλες τις υπηρεσίες τους χωρίς καμία σύγχυση. Σύμφωνα με άρθρο του securitymagazine.com που επικαλείται έρευνα του Forbes Advisor σε 2.000 άτομα στις ΗΠΑ, το 78% των ερωτηθέντων δήλωσε ότι χρησιμοποιεί τον ίδιο κωδικό πρόσβασης σε περισσότερους από έναν λογαριασμούς.
Αυτή η λύση αρχικά φαίνεται να είναι ιδανική. Ωστόσο, έχει ένα βασικό και σοβαρό μειονέκτημα: Σε περίπτωση παραβίασης του κωδικού σε μία υπηρεσία, αυτός που έχει κλέψει τον κωδικό το πρώτο πράγμα που θα κάνει είναι να τον δοκιμάσει και σε άλλες υπηρεσίες. Αποτέλεσμα; Ο επιτιθέμενος έχει πρόσβαση πια σε όλες τις υπηρεσίες του χρήστη.
Εύκολοι κωδικοί
Στις μέρες μας οι hackers έχουν στα χέρια τους αναρίθμητα εργαλεία για να «σπάνε» εύκολους κωδικούς. Και όταν ένας κωδικός είναι πολύ μικρός σε αριθμό χαρακτήρων και αποτελεί κάποια προσωπική πληροφορία του χρήστη, όπως το έτος γεννήσεως, τότε ακόμα και χωρίς εργαλεία «σπασίματος» κωδικών είναι εξαιρετικά εύκολο για κάποιον να «μαντέψει» τον κωδικό μας. Η ευκολία συχνά υπερισχύει της ασφάλειας: έρευνα του Pew Research Center έδειξε ότι το 46% των Αμερικανών προτιμά κωδικούς που θυμάται πιο εύκολα, ακόμη κι αν είναι λιγότερο ασφαλείς.
Ίδιος και εύκολος κωδικός παντού
Όταν δε οι δύο παραπάνω κακές πρακτικές συνδυαστούν, δηλαδή ένας εύκολος κωδικός για όλες τις υπηρεσίες, ο χρήστης είναι εξαιρετικά ευάλωτος σε επιθέσεις και κινδυνεύει από παραβίαση προσωπικών δεδομένων και απώλεια χρημάτων. Ο επιτιθέμενος βρίσκει, χωρίς ιδιαίτερη δυσκολία, τον επαναχρησιμοποιημένο κωδικό και αποκτά πρόσβαση παντού.
Ιδανική συνθήκη
Χωρίς να λαμβάνεται υπόψη η σύγχυση των χρηστών, το ιδανικότερο είναι η κάθε υπηρεσία να έχει τον δικό της μοναδικό και δύσκολο κωδικό. Αυτό δυσκολεύει το «σπάσιμο» του όποιου κωδικού και, βεβαίως, ακόμα και αν «σπάσει» ένας κωδικός, ο επιτιθέμενος έχει πρόσβαση μόνο στην υπηρεσία της οποίας βρήκε τον κωδικό και σε καμία άλλη υπηρεσία.
Η χρήση ισχυρών κωδικών είναι κρίσιμη, καθώς ο κωδικός πρόσβασης είναι συχνά το βασικό — και πολλές φορές το μοναδικό — εμπόδιο ανάμεσα στον χρήστη και στις προσωπικές του πληροφορίες. Όπως επισημαίνει η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), οι αδύναμοι ή εύκολα μαντεύσιμοι κωδικοί μπορούν να «σπάσουν» γρήγορα από κυβερνοεγκληματίες.
Η λύση του password manager
Πώς λοιπόν μπορούμε να ικανοποιήσουμε δύο αντίρροπες συνθήκες ταυτόχρονα; Από τη μία η ασφάλεια απαιτεί ξεχωριστούς και δύσκολους κωδικούς για την κάθε υπηρεσία και από την άλλη πλευρά οι χρήστες θέλουν ευκολία στη ζωή τους, ήτοι να μην χρειάζεται να θυμούνται πολλούς διαφορετικούς, και μάλιστα δύσκολους, κωδικούς για κάθε ξεχωριστή υπηρεσία.
Η CISA, στο ίδιο άρθρο, προτείνει ως λύση τη χρήση password managers για τη δημιουργία και διαχείριση ισχυρών, μοναδικών κωδικών.
Τι κάνει μια τέτοια εφαρμογή; Μας επιτρέπει να αποθηκεύσουμε όλους τους κωδικούς μας σε ένα αρχείο και στη συνέχεια μας επιτρέπει να προστατεύσουμε αυτό το αρχείο με έναν μοναδικό κωδικό. Άρα χρειάζεται να γνωρίζουμε μόνο έναν κωδικό και με αυτόν αποκτάμε πρόσβαση σε όλους μας τους κωδικούς. Το αρχείο ουσιαστικά κρυπτογραφείται. Και όσο πιο δύσκολος είναι ο κωδικός που έχουμε ορίσει, τόσο πιο δύσκολο είναι για κάποιον επιτιθέμενο να τον «σπάσει» σε περίπτωση που πέσει στα χέρια του το αρχείο.
Αλλά ακόμα και αν πέσει το αρχείο σε λάθος χέρια και ο χρήστης το αντιληφθεί και το αντιληφθεί έγκαιρα, τότε, αν ο κωδικός είναι ισχυρός, χρειάζεται αρκετός χρόνος για να «σπάσει», κάτι που δίνει τον χρόνο στον χρήστη στο ενδιάμεσο διάστημα να αλλάξει τους κωδικούς του με καινούργιους. Με αυτόν τον τρόπο, όταν ο επιτιθέμενος θα έχει αποκτήσει πρόσβαση στους κωδικούς, αυτοί δεν θα ισχύουν πλέον και δεν θα του δίνουν πρόσβαση στους λογαριασμούς.
Το σημαντικό πλεονέκτημα είναι ότι ο password manager δεν αποθηκεύει απλώς τους κωδικούς. Μπορεί επίσης να δημιουργεί για κάθε υπηρεσία ξεχωριστούς, μεγάλους και τυχαίους κωδικούς, τους οποίους ο χρήστης δεν χρειάζεται να απομνημονεύσει. Με αυτόν τον τρόπο αποφεύγεται τόσο η χρήση εύκολων κωδικών όσο και η επαναχρησιμοποίηση του ίδιου κωδικού σε πολλούς λογαριασμούς.
Σε υπολογιστές, κινητά και browsers
Υπάρχουν πολλά προγράμματα password managers, τόσο για Windows, όσο για macOS, για Linux, για iOS και Android. Η μεταφορά κωδικών από έναν password manager σε άλλον είναι συνήθως εφικτή, αλλά δεν σημαίνει ότι τα αρχεία κάθε εφαρμογής είναι πλήρως συμβατά μεταξύ τους.
Στην αγορά υπάρχουν αρκετές λύσεις password manager, δωρεάν και επί πληρωμή. Ενδεικτικά, γνωστές επιλογές είναι το Bitwarden, το 1Password, το Dashlane, το NordPass, το Strongbox, το το KeePassXC και το KeePass. Οι περισσότερες λειτουργούν σε υπολογιστές, κινητά και browsers, ώστε ο χρήστης να έχει πρόσβαση στους κωδικούς του από τις συσκευές που χρησιμοποιεί καθημερινά.
