• Οι bruteforce επιθέσεις για την απόκτηση κωδικών πρόσβασης έχουν μετακινηθεί από CPU σε GPU, βελτιώνοντας την αποτελεσματικότητά τους ελέγχοντας περισσότερα από ένα εκατομμύριο πλήκτρα ανά δευτερόλεπτο.
  • Οι κωδικοί πρόσβασης απαιτούν τώρα νέες προϋποθέσεις για να είναι πραγματικά ασφαλείς: ελάχιστος αριθμός 12 χαρακτήρων, χρήση πεζών και κεφαλαίων γραμμάτων, αριθμών και ειδικών χαρακτήρων.

Κάθε χρόνο, την πρώτη Πέμπτη του Μαΐου εορτάζεται η Παγκόσμια Ημέρα Κωδικού Πρόσβασης, με αφορμή την οποία η Check Point® Software Technologies Ltd.  (NASDAQ: CHKP), κορυφαίος εξειδικευμένος πάροχος ασφάλειας στον κυβερνοχώρο παγκοσμίως, εκμεταλλεύεται την ευκαιρία για να στείλει μια υπενθύμιση σχετικά με τη σημασία της αφιέρωσης ιδιαίτερης προσοχής στους κωδικούς πρόσβασης, καθώς αποτελούν ένα από τα κύρια εμπόδια που μπορεί να θέσει ένας χρήστης κατά των εγκληματιών στον κυβερνοχώρο.

Οι κωδικοί πρόσβασης χρησιμοποιούνται από δισεκατομμύρια χρήστες σε όλο τον κόσμο, αλλά παρά την τεράστια σημασία τους, εξακολουθεί να υπάρχει μεγάλος αριθμός κακών πρακτικών όσον αφορά τη διαχείριση και τη δημιουργία τους. Το 2019, το National Cyber Security Centre στο Ηνωμένο Βασίλειο αποκάλυψε ότι 23 εκατομμύρια άνθρωποι παγκοσμίως συνεχίζουν να χρησιμοποιούν μη ασφαλείς κωδικούς πρόσβασης όπως τη σειρά των αριθμών “123456”, αποδεικνύοντας ότι πολλοί χρήστες εξακολουθούν να αγνοούν τους πιθανούς κινδύνους.

Αλλά αυτό δεν είναι το μόνο πρόβλημα. Οι αδιάκοπες τεχνολογικές εξελίξεις δεν ωφελούν μόνο τους χρήστες, παρέχουν επίσης νέα εργαλεία στους εγκληματίες του κυβερνοχώρου που τα χρησιμοποιούν για την εξαπόλυση των επιθέσεών τους. Αυτοί που κάποτε θεωρούνταν ασφαλείς κωδικοί πρόσβασης γίνονται πλέον ξεπερασμένοι, δημιουργώντας νέες ευπάθειες.

Η έλευση νέων καρτών γραφικών με εικονική μνήμη (VRAM) άνοιξε την πόρτα σε συσκευές hardware να επεξεργάζονται δεδομένα υψηλής ταχύτητας, με τον ίδιο τρόπο που χρησιμοποιούνται στην εξόρυξη κρυπτονομισμάτων. Ωστόσο, μπορούν επίσης να χρησιμοποιηθούν σε brute-force κυβερνοεπιθέσεις για την απόκτηση κωδικών πρόσβασης, καθώς είναι τα νεότερα μοντέλα που μπορούν να εκτελέσουν περισσότερους από ένα εκατομμύριο ελέγχους σε μόλις ένα δευτερόλεπτο, πολύ πιο γρήγορα από ό,τι είχε επιτευχθεί προηγουμένως από τις κεντρικές μονάδες επεξεργασίας (CPU). Αυτό σημαίνει ότι εάν έχουμε έναν κωδικό πρόσβασης με λιγότερους από 12 χαρακτήρες που βασίζεται αποκλειστικά στη χρήση γραμμάτων και αριθμών, μπορεί να παραβιαστεί σε λίγες μόνο ημέρες.

Σύμφωνα με την τελευταία έκθεση της Hive Systems, η οποία μοιράστηκε τους κατά προσέγγιση χρόνους κατά τους οποίους οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να «σπάσουν» τους κωδικούς πρόσβασής μας, κυμαίνονται από ελάχιστη προσπάθεια και σχεδόν στιγμιαίες στιγμές για τους πιο ανασφαλείς κωδικούς πρόσβασης, έως 438 τρισεκατομμύρια χρόνια για τα πιο ισχυρά κλειδιά. Σε μόλις ένα χρόνο, αυτοί οι ίδιοι αριθμοί έχουν δει τους πιθανούς χρόνους ευπάθειας τους να μειώνονται έως και 90%, με την είσοδο νέων παραγόντων όπως οι υπηρεσίες cloud ή η τεχνητή νοημοσύνη, και το ποσοστό θα μπορούσε να είναι μεγαλύτερο τα επόμενα χρόνια.

Ο στόχος και οι λόγοι είναι σαφείς, αλλά τι χρειάζεται ένας κωδικός πρόσβασης για να είναι ασφαλής και ισχυρός; Η Check Point Software παρουσιάζει τα καθοριστικά σημεία-κλειδιά για την επίτευξή του:

  • Όσο μεγαλύτερος και με πολλούς χαρακτήρες, τόσο το καλύτερο: θα πρέπει να αποτελείται από τουλάχιστον 14-16 χαρακτήρες μεταξύ των οποίων θα πρέπει να είναι διαφορετικά γράμματα, συνδυάζοντας κεφαλαία και πεζά, σύμβολα και αριθμοί. Ωστόσο, έχει σημειωθεί ότι απλά αυξάνοντας τον κωδικό πρόσβασης σε έως και 18 χαρακτήρες μαζί, μπορεί να κατασκευαστεί ένα εντελώς άθραυστο κλειδί. Αυτή η πεποίθηση βασίζεται στον αριθμό των  προσπαθειών που απαιτεί η πρακτική brute-force, όπου ο συνολικός αριθμός συνδυασμών είναι ίσος με τον αριθμό των χαρακτήρων πολλαπλασιασμένο με το μήκος τους.
  • Εύκολο να θυμάστε, περίπλοκο να μαντέψετε: θα πρέπει να είναι ένας συνδυασμός που γνωρίζει μόνο ο χρήστης, επομένως συνιστάται να μην χρησιμοποιείτε προσωπικά στοιχεία όπως ημερομηνίες επετείων ή γενεθλίων ή ονόματα μελών της οικογένειας, καθώς αυτά είναι πιθανόν ευκολότερο να γίνουν αντιληπτά. Ένας απλός τρόπος για να δημιουργήσετε κωδικούς πρόσβασης που μπορεί να θυμάται ο καθένας είναι να δημιουργήσετε πλήρεις προτάσεις, είτε χρησιμοποιώντας κοινά είτε παράλογα σενάρια, όπως για παράδειγμα «meryhadalittlelamb», ή το ακόμα ασφαλέστερο ισοδύναμό του με διαφορετικούς χαρακτήρες «#M3ryHad@L1ttleL4m8».
  • Μοναδικός και ανεπανάληπτος: δημιουργήστε έναν νέο κωδικό κάθε φορά που απαιτείται πρόσβαση σε μια υπηρεσία και αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης για διαφορετικές πλατφόρμες και εφαρμογές. Αυτό διασφαλίζει ότι σε περίπτωση παραβίασης ενός κωδικού πρόσβασης, η ζημιά θα είναι ελάχιστη και θα διορθωθεί πιο εύκολα και γρήγορα. Σύμφωνα με έρευνα της Google, τουλάχιστον το 65% των ερωτηθέντων επαναχρησιμοποιούν τους κωδικούς πρόσβασής τους σε πολλούς λογαριασμούς και web υπηρεσίες, γεγονός που αυξάνει τις πιθανότητες παραβίασης πολλαπλών πλατφορμών ή εφαρμογών.
  • Πάντα ιδιωτικός: μια προϋπόθεση που μπορεί να φαίνεται βασική αλλά είναι σημαντικό να θυμάστε. Ένας κωδικός πρόσβασης δεν πρέπει να μοιράζεται με κανέναν και συνιστάται ιδιαίτερα να μην τον γράφετε οπουδήποτε κοντά στον υπολογιστή ή ακόμα και σε ένα αρχείο σε αυτόν. Για αυτήν την εργασία, μπορείτε να χρησιμοποιήσετε εργαλεία όπως διαχειριστές κωδικών πρόσβασης, οι οποίοι κάνουν την ίδια δουλειά, αλλά με πιο ασφαλή τρόπο.
  • Η πραγματική ασφάλεια απέχει μόλις «δύο βήματα»: εκτός από έναν ισχυρό και ασφαλή κωδικό πρόσβασης, η χρήση ελέγχου ταυτότητας δύο παραγόντων (2FA) είναι μια σημαντική βελτίωση της ασφάλειας. Με αυτόν τον τρόπο, κάθε φορά που ένας εισβολέας ή ένα μη εξουσιοδοτημένο άτομο θέλει να αποκτήσει πρόσβαση στον λογαριασμό κάποιου άλλου, ο κάτοχος του λογαριασμού θα λαμβάνει μια ειδοποίηση στο κινητό του τηλέφωνο για να παραχωρήσει πρόσβαση ή όχι.
  • Αλλάξτε τον ανά διαστήματα: μερικές φορές, ακόμη και μετά την τήρηση όλων αυτών των πρακτικών, συμβαίνουν περιστατικά πέρα από τις δυνατότητές μας, όπως διαρροές βάσεων δεδομένων της εταιρείας. Επομένως, συνιστάται να ελέγχετε περιοδικά εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου έχει πέσει θύμα ευπάθειας από τρίτο μέρος, καθώς και να προσπαθείτε να εντοπίσετε τους λογαριασμούς που ενδέχεται να έχουν παραβιαστεί. Για να γίνει αυτό, υπάρχουν εργαλεία δημόσιας πρόσβασης, όπως ο  ιστότοπος Have I Been Pwned, τα οποία προσπαθούν να συγκεντρώσουν βασικές πληροφορίες σχετικά με αυτές τις διαρροές, προκειμένου να προσφέρουν υποστήριξη και βοήθεια στους χρήστες. Ομοίως, ακόμη και αν δεν έχουν παραβιαστεί, συνιστάται πάντα να ενημερώνετε τους κωδικούς πρόσβασης κάθε λίγους μήνες.