Δημοσιεύτηκε την 14/10/2010 - 11:36 από vevhlos

How to Icon

Κάθε μέσο που περιέχει ευαίσθητα δεδομένα, όπως ένα site στο internet ή ένα κινητό, παρέχει (και πολλές φορές επιβάλλει) την δυνατότητα χρήσης μέσων ασφαλείας.

Το συχνότερο μέσο ταυτοποίησης (η διαδικασία που επιβεβαιώνει πως ο χρήστης που προσπαθεί να έχει πρόσβαση στα δεδομένα, δεν είναι “απατεώνας”) είναι η χρήση κωδικού (password). Η χρήση password, υπάρχει από τα αρχαία χρόνια, διότι η ανάγκη ταυτοποίησης δεν είναι πρόσκαιρη – για παράδειγμα, από πολύ παλιά, οι φρουροί ζήταγαν κάποιο αναγνωριστικό για να επιτρέπουν την πρόσβαση σε υψηλής ασφαλείας μέρη. Η μεθοδολογία, σαφώς έχει αλλάξει ανα τους αιώνες.

Επιλογή password.

Θα εστιάσουμε στο πώς να επιλέξω κωδικό έχοντας κατά νου τον λόγο ασφάλεια/πρακτικότητα. Ο λόγος που επιλέγω αυτή την οπτική γωνία αυτού του αχανούς θέματος, είναι η πίεση που δέχονται οι χρήστες για επιλογή περίπλοκων κωδικών, και άρα δύσχρηστων. Πόσο έυκολο είναι να θυμάται κανείς μια σειρά 16 ή και περισσότερων τυχαίων χαρακτήρων (ιδανικό από πλευρά ασφαλείας, αλλά άχρηστο πρακτικά), πόσο μάλλον πολλούς τέτοιους κωδικούς;

Ένας τέτοιος κωδικός, θα μπορούσε να είναι το “$f7Ov5%q-9Pqh!v&”

 

Το πρόβλημα σε αυτού του είδους τα passwords, έγκυται στην αντιπρακτικότητά τους. Για να καταφέρει κάποιος να θυμάται τους κωδικούς, αναγκάζεται να τους έχει γραμμένους κάπου (είναι υπεράνθρωπο αλλιώς), και συνήθως να τους έχει πάντα μαζί του -ίσως σε ένα χαρτάκι, ή στο κινητό-, με αποτέλεσμα να υπάρχει απειλή για φυσική πρόσβαση σε αυτούς.

Σύμφωνα με έρευνες (στατιστικές μελέτες περισσότερο), σχεδόν οι μισοί χρήστες στο internet επιλέγουν τον ίδιο κωδικό σε όλα τα site. Αυτό είναι εξαιρετικά πρακτικό, αλλά από πλευρά ασφαλείας υπερβολικά ασθενές (ακόμα και αν ο κωδικός είναι το προαναφερθέν string τυχαίων χαρακτήρων!) για τον πολύ απλό λόγο, πως αν ένα από αυτά τα site πέσει θύμα “hacker”, όλοι μας οι λογαριασμοί είναι ευάλωτοι. Αυτό βέβαια έχει γίνει πιό δύσκολο στις μέρες μας, λόγω του ότι οι περισσότερες σελίδες αποθηκεύουν στην βάση μόνο την σκιά του password μας (βλέπε md5 ή/και sha1 sum) και όχι τον ίδιο τον κωδικό. Δυστυχώς όμως πλέον η διαδικασία είναι αναστρέψιμη, το οποίο σημαίνει πως αν κάποιος βρεί την σκιά του κωδικού μας, υπάρχουν πολλές πιθανότητες να μαντέψει τον πραγματικό κωδικό μας. Αυτό είναι εξαιρετικά δύσκολο στην περίπτωση των 16 τυχαίων ψηφίων.

Το πρόβλημα στις δύο παραπάνω περιπτώσεις επιλογής κωδικού, είναι η ακραιότητά τους ως προς την πλευρά της ασφαλείας ή της πρακτικότητας. Συμπαιραίνουμε πως αν βρίσκαμε μια μεθοδολογία για δημιουργία passwords μέτριας ασφαλείας και μέτριας πρακτικότητας, θα είχαμε ώς αποτέλεσμα ικανοποιητικούς κωδικούς. Τι σημαίνει αυτο; Να βρούμε έναν τρόπο δημιουργίας κωδικών που θα είναι σχετικά εύκολο να θυμόμαστε, αλλά θα είναι πολύ δύσκολο να μαντέψει κάποιος που είτε μας ξέρει προσωπικά, είτε όχι. Μια από τις πολλές μεθόδους που ήδη υπάρχουν, είναι η εξής:

Αν βάζουμε τα πρώτα γράμματα από ένα κουπλέ/ρεφρέν τραγουδιού, δημιουργούμε ένα password με τυχαίους χαρακτήρες, τους οποίους μπορούμε να θυμόμαστε πανεύκολα. Ας πάρουμε για παράδειγμα τον στίχο “Smoke on the water, and fire in the sky”. Τα πρώτα γράμματα κάθε λέξης δημιουργούν τον κωδικό sotwafits. Εύκολο για εμάς να τον θυμόμαστε, και δύσκολο για κάποιον τυχαίο να τον μαντέψει, ακόμα και για κάποιον που μας γνωρίζει. Τι θα κάνουμε όμως για να έχουμε διαφορετικούς κωδικούς στα 10+ site που χρησιμοποιούμε; Θα βάλουμε όλο το κομμάτι; Οχι. Θα ήταν αντιπρακτικό. Αντί αυτού, μπορούμε μεταξύ των δύο στίχων αυτών (θεωρώ πως χωρίζεται το ρεφρέν στο κόμμα) να βάζουμε ένα μέρος του ονόματος του site. Δηλαδή μπορούμε να βάζουμε τρία γράμματα (από το domain) ξεκινώντας έστω από το δεύτερο. Στο παράδειγμα του hotmail, ο κωδικός θα γινόταν sotwotmafits (από το hotmail). Στον λογαριασμό μας στη google, αντίστοιχα θα είχαμε για κωδικό sotwoogafits. Αυτή είναι μια μεθοδολογία από τις πολλές που θα μπορούσε να σκεφτεί κάποιος πάνω στην λογική αυτή. Και πετύχαμε τον σκοπό μας! Αρκετά πρακτικό και ταυτόχρονα αρκετά ασφαλές.