FutureLab

ENISA: Συμβουλές για ασφαλή έλεγχο ταυτότητας χρήστη

Πως να βελτιώσετε την Ασφάλεια του Κωδικού Πρόσβασης

Σε μια εποχή παραβιάσεων δεδομένων μεγάλης κλίμακας, ο οργανισμός της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο (The European Union Agency for Cybersecurity) μοιράζεται τις συστάσεις του για τη βελτίωση της ασφάλειας των κωδικών πρόσβασης και των μεθόδων ελέγχου ταυτότητας.


Ζούμε σε μια εποχή παραβιάσεων δεδομένων μεγάλης κλίμακας. Όλο και περισσότερες εταιρείες υψηλού προφίλ παραβιάζονται. Ως αποτέλεσμα, τα προσωπικά δεδομένα εκατομμυρίων πελατών διαρρεύονται στο διαδίκτυο.

Οι εγκληματίες του κυβερνοχώρου με διαφορετικά κίνητρα και ενδιαφέροντα εκμεταλλεύονται αυτά τα δεδομένα προκειμένου να προκαλέσουν επιθέσεις τόσο σε άτομα όσο και σε άλλους οργανισμούς. Καθώς οι κωδικοί πρόσβασης εξακολουθούν να είναι η κύρια μέθοδος ελέγχου ταυτότητας χρηστών σε πλατφόρμες και συστήματα, αυτό το άρθρο στοχεύει στην παροχή προσαρμοσμένων συστάσεων για βελτιωμένη υγιεινή στον κυβερνοχώρο.


Κίνδυνοι για κωδικούς πρόσβασης

Σήμερα, οι κωδικοί πρόσβασης μπορούν να κλαπούν με πολλούς τρόπους, όπως:

  • Επιθέσεις social engineering, όπως διαπιστευτήρια ηλεκτρονικού ψαρέματος με ψεύτικες σελίδες, φωνητικό ψάρεμα (λεγόμενο Vishing), σερφάρισμα ώμου (π.χ. κρυφοκοιτάζοντας πίσω από ένα άτομο που πληκτρολογεί τον κωδικό πρόσβασής του σε φορητό υπολογιστή) και ακόμη και ανάκτηση χειρόγραφων κωδικών πρόσβασης από σημειώσεις post-it.
  • Κλοπή χρησιμοποιώντας εξειδικευμένο λογισμικό ή φυσικά keyloggers. Ορισμένες από αυτές τις επιθέσεις απαιτούν φυσική παρουσία ή εγγύτητα με φορητό υπολογιστή ή συσκευή.
  • Παρεμποδίζοντας τις επικοινωνίες, χρησιμοποιώντας ψεύτικα σημεία πρόσβασης ή αξιοποιώντας επιθέσεις man-in-the-middle (MiTM) σε επίπεδο δικτύου, πιο διαδεδομένες στα δημόσια WiFis που βρίσκονται σε ξενοδοχεία, καφέ, αεροδρόμια κ.λπ.
  • Brute-force επιθέσεις σε κωδικούς πρόσβασης δοκιμάζοντας όλους τους συνδυασμούς, επιθέσεις λεξικού ή απλώς μαντεύοντας τον κωδικό πρόσβασης.
  • Ανάκτηση κωδικών πρόσβασης απευθείας από παραβιάσεις δεδομένων και αξιοποίηση τους χρησιμοποιώντας password spraying techniques σε άλλες νόμιμες υπηρεσίες. (Η μέθοδος spraying είναι μια επίθεση που επιχειρεί να αποκτήσει πρόσβαση σε μεγάλο αριθμό λογαριασμών με μερικούς κωδικούς πρόσβασης που χρησιμοποιούνται συνήθως. Κατά τη διάρκεια μιας επίθεσης ψεκασμού με κωδικό πρόσβασης (επίσης γνωστή ως μέθοδος «χαμηλή και αργή»), ο κυβερνοεγκληματίας δοκιμάζει έναν κωδικό που χρησιμοποιείται συνήθως (όπως 1234 ή Summer2019) σε πολλούς λογαριασμούς, μετά συνεχίζει με δεύτερο κωδικό πρόσβασης, με τρίτο και ούτω καθεξής.)


Συστάσεις για τη βελτίωση της ασφάλειας κωδικού πρόσβασης

  • Ενεργοποιήστε τη λειτουργία ελέγχου ταυτότητας πολλαπλών παραγόντων όποτε είναι δυνατόν για όλους τους λογαριασμούς σας.
  • Μην χρησιμοποιείτε ξανά τους κωδικούς πρόσβασής σας. Οι εγκληματίες στον κυβερνοχώρο λειτουργούν υπό την προϋπόθεση ότι πολλοί χρήστες χρησιμοποιούν ξανά κωδικούς πρόσβασης, εξ ου και τα υψηλά ποσοστά επιτυχίας τους για παραβίαση λογαριασμών.
  • Χρησιμοποιήστε τη λειτουργία μεμονωμένης σύνδεσης σε συνδυασμό με τον έλεγχο ταυτότητας πολλών παραγόντων για να μειώσετε τον κίνδυνο παραβίασης λογαριασμού.
  • Χρησιμοποιήστε ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης (password manager).
  • Δημιουργήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης ή φράσεις πρόσβασης σύμφωνα με τις πιο πρόσφατες διαθέσιμες οδηγίες, για κάθε μεμονωμένο ιστότοπο και υπηρεσία. Σε αυτή την περίπτωση οι password managers είναι βολικοί.
  • Ελέγξτε αν υπάρχουν λογαριασμοί που εμφανίζονται σε υπάρχουσες παραβιάσεις δεδομένων και ενεργήστε αμέσως αλλάζοντας τους κωδικούς πρόσβασης για τις υπηρεσίες που προσδιορίζονται. Πολλοί ιστότοποι προσφέρουν λειτουργίες υπενθύμισης κωδικού πρόσβασης. Βεβαιωθείτε ότι δεν βασίζεστε σε εύκολα ανακτήσιμα προσωπικά στοιχεία για να επαναφέρετε τον κωδικό πρόσβασής σας, π.χ. το όνομα του κατοικίδιου ζώου σας, την ημερομηνία γέννησής σας, το γυμνάσιο κ.λπ.
  • Χρησιμοποιήστε VPN ή τουλάχιστον σημεία πρόσβασης για κινητά κατά την πρόσβαση στο e-Banking ή άλλες ιδιωτικές υπηρεσίες από δημόσιο WiFi.
  • Λάβετε υπόψη το περιβάλλον σας σε σαλόνια, αεροδρόμια, τρένα και καφετέριες και βεβαιωθείτε ότι δεν υπάρχει κανένας πίσω από εσάς που προσπαθεί να παραβιάσει τον κωδικό πρόσβασής σας. Τα φίλτρα απορρήτου οθόνης είναι χρήσιμα.
  • Μην αφήνετε τις συσκευές σας χωρίς επίβλεψη π.χ. ξεκλείδωτα σε δημόσιους χώρους, όπως ξενοδοχεία, δημόσιες συγκοινωνίες, σαλόνια κ.λπ