Η Check Point Software Παρουσιάζει τα Πέντε Must-Haves για τη Δημιουργία ενός Ασφαλούς Κωδικού Πρόσβασης

[nnn]

Δελτίο Τύπου:
Η Παγκόσμια Ημέρα Password έχει οριστεί την πρώτη Πέμπτη του Μαΐου κάθε χρόνο και είναι η τέλεια στιγμή για να υπενθυμίσετε σε όλους τη σημασία της ύπαρξης ενός ασφαλούς κωδικού πρόσβασης για όλους τους διαδικτυακούς λογαριασμούς σας. Το UK's National Cyber Security Centre (NCSC) (Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου) αποκάλυψε ότι 23 εκατομμύρια άνθρωποι σε όλο τον κόσμο χρησιμοποιούσαν τον κωδικό πρόσβασης "123456" αποδεικνύοντας ότι πολλοί εξακολουθούν να αγνοούν τους αυξανόμενους κινδύνους.

Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος κυβερνοασφάλειας παγκοσμίως, στοχεύει να αυξήσει την ευαισθητοποίηση σχετικά με τα πιο συνηθισμένα λάθη που γίνονται από τους χρήστες κατά τη δημιουργία και τη διαχείριση κωδικών πρόσβασης, προσφέροντας πρακτικές συμβουλές σχετικά με τον τρόπο προστασίας των προσωπικών δεδομένων.

Το 2022 η σημασία της ύπαρξης ενός ισχυρού κωδικού πρόσβασης δεν μπορεί να υπερεκτιμηθεί καθώς ο αριθμός των εφαρμογών και υπηρεσιών που χρησιμοποιεί ένα άτομο αυξάνεται μέρα με τη μέρα. Για να μην αναφέρουμε το γεγονός ότι πολλές επιχειρήσεις επιτρέπουν τώρα στους υπαλλήλους τους - για να προσφέρουν μεγαλύτερη ευελιξία – τη σύνδεση τους με το εταιρικό δίκτυο από προσωπικές συσκευές. Ως αποτέλεσμα, αυτές οι συσκευές λειτουργούν ως πύλη, πράγμα που σημαίνει ότι οι ευκαιριακοί χάκερ μπορούν να επωφεληθούν από ένα ευάλωτο τελικό σημείο για να κλέψουν τόσο προσωπικά όσο και επαγγελματικά εμπιστευτικά δεδομένα που είναι αποθηκευμένα στην ευρύτερη υποδομή της εταιρείας.

"Κάθε μέρα, οι εγκληματίες του κυβερνοχώρου προσπαθούν να κλέψουν τους κωδικούς πρόσβασης εκατοντάδων χρηστών, χρησιμοποιώντας τεχνικές όπως τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) για να τους επιτρέψουν να παραβιάσουν χιλιάδες υπηρεσίες κλέβοντας διαπιστευτήρια. Ενώ οι μέθοδοι επιθέσεων αλλάζουν και οι απειλές συνεχίζουν να εξελίσσονται, εξακολουθούν να υπάρχουν τρόποι με τους οποίους μπορούμε να διατηρήσουμε τα δεδομένα μας προστατευμένα. Χρησιμοποιώντας ως αφορμή την Παγκόσμια Ημέρα Password, επανεκτιμήστε τη δύναμη των κωδικών πρόσβασής σας, την πολιτική που εφαρμόζετε ενισχύοντας την προσπάθεια για την ασφάλεια στον κυβερνοχώρο. Ο καθένας μας μπορεί να αποτρέψει τους εγκληματίες του κυβερνοχώρου από το να αποκτήσουν πρόσβαση στα δεδομένα και τις συσκευές μας», δήλωσε η Κωνσταντίνα Κούκου, Channel Manager & Check Point Evangelist

Η Check Point Software παραθέτει ακολούθως τις πέντε κορυφαίες πρακτικές που πρέπει να εφαρμόζονται κατά τη δημιουργία ασφαλών και ισχυρών κωδικών πρόσβασης:
1. Χρησιμοποιήστε ένα συνδυασμό χαρακτήρων: Η κατοχή ενός κωδικού πρόσβασης που αποτελείται από απλές φράσεις ή ημερομηνίες σημαντικές για την προσωπική ζωή του χρήστη είναι πολύ συνηθισμένη πρακτική. Ωστόσο, αυτή η συνήθεια αποδυναμώνει σοβαρά έναν κωδικό πρόσβασης, καθώς πληροφορίες όπως τα γενέθλια μπορούν εύκολα να βρεθούν από εγκληματίες του κυβερνοχώρου. Για να αποφύγετε αυτό, χρησιμοποιείτε πάντα μια τυχαία ακολουθία που αποτελείται από ένα συνδυασμό διαφορετικών αριθμών, γραμμάτων και συμβόλων για κάθε πλατφόρμα.
2. Ένας διαφορετικός κωδικός πρόσβασης για τα πάντα: Με τόσες πολλές εφαρμογές και υπηρεσίες που απαιτούν τώρα λεπτομέρειες σύνδεσης, είναι δελεαστικό να επαναλάβετε τον ίδιο κωδικό πρόσβασης για όλες αυτές, αλλά αυτή είναι μια κακή ιδέα. Ακριβώς όπως δεν έχουμε το ίδιο κλειδί για να ανοίξουμε το σπίτι, το γραφείο ή το αυτοκίνητό μας, δεν πρέπει να χρησιμοποιούμε τον ίδιο κωδικό πρόσβασης, καθώς αυτό διευκολύνει μόνο τους χάκερ να "ανοίξουν" ολόκληρη την ψηφιακή μας ζωή. Εάν διαπιστώσετε ότι είναι δύσκολο να τα θυμάστε όλα, μπορείτε πάντα να χρησιμοποιήσετε τη βοήθεια ενός διαχειριστή κωδικών πρόσβασης για να βοηθήσετε στη διαχείριση και τη δημιουργία διαφορετικών ισχυρών κωδικών πρόσβασης.
3. Όσο περισσότερο, τόσο ισχυρότερος: Είναι αλήθεια ότι όσο μακρύτερος είναι ένας συνδυασμός, τόσο πιο δύσκολο είναι να θυμόμαστε. Αλλά είναι ένας από τους καλύτερους τρόπους για να διατηρήσετε τις πληροφορίες ασφαλείς, οπότε φροντίστε να χρησιμοποιήσετε τουλάχιστον 8 ψηφία για να ενισχύσετε τα επίπεδα ασφαλείας.
4. Κάντε τακτικές αλλαγές: Η τακτική αλλαγή του κωδικού πρόσβασής σας μπορεί να φαίνεται σαν κάτι σχεδόν αδύνατο. Ωστόσο, αυτό μπορεί να γίνει ευκολότερο χρησιμοποιώντας το ίδιο βασικό μοτίβο και προσθέτοντας κατόπιν διαφορετικούς συνδυασμούς. Με αυτόν τον τρόπο, θα είναι ευκολότερο και να θυμόμαστε και να τους αλλάζουμε τακτικά.
5. Ο έλεγχος ταυτότητας δύο παραγόντων είναι ο καλύτερος φίλος σας: Ενώ η λήψη όλων των παραπάνω μέτρων σίγουρα θα βελτιώσει την αποτελεσματικότητα ενός κωδικού πρόσβασης, είναι επίσης απαραίτητο να εφαρμόσετε έναν έλεγχο ταυτότητας δύο παραγόντων. Αυτό συμβαίνει επειδή νέες απειλές εμφανίζονται συνεχώς, επομένως για να διασφαλίσετε ότι είστε πλήρως προστατευμένοι, με το να ενημερώνεστε κάθε φορά που ένας εισβολέας ή ένα μη εξουσιοδοτημένο άτομο θέλει να αποκτήσει πρόσβαση στον λογαριασμό σας, θα βελτιώσει μόνο την ασφάλειά σας.

[deniSun]

Με το 1 μόνο διαφωνώ.
Έχω διαβάσει ότι οι καλύτεροι/ασφαλέστεροι κωδικοί είναι τα passphrase με random words.

[aiolos.01]

Με το 1 μόνο διαφωνώ.
Έχω διαβάσει ότι οι καλύτεροι/ασφαλέστεροι κωδικοί είναι τα passphrase με random words.

Αποκλείεται αν χρησιμοποιείς κανονικές λέξεις να είναι ασφαλέστερο απο τυχαίους χαρακτήρες. Ουσιαστικά η κάθε λέξη θα είναι ενας χαρακτήρας σε dictionary attack. Απλά το passphrase είναι καλύτερο απο το 123456 κλπ.

π.χ. στο cP0Dzdpmr!C>xe? θα πρέπει να μαντέψει 15 χαρακτήρες. Στο thelittlehouseontheprairy χρειάζεται να μαντέψει 6 λέξεις που τις παίρνει όμως έτοιμες απο λεξικό (άρα οχι χαρακτήρα-χαρακτήρα). Απλά το πρώτο δεν παίζει να το θυμάσαι και θες manager ενώ το δεύτερο είναι εύκολο.

[Ilias Velaoras]

Τα passphrase έχουν κύρια αδυναμία τα dictionary attacks, που δεν υπάρχουν σε απλό password. Είναι καλύτερο από οπτική οτι μπορείς να τα θυμάσε, και για μη tech-savvy χρήστες μπορεί έτσι να απομνημονεύσουν πίο ισχυρό κωδικό από τον αντίστοιχο σε password. Μόλις το πρόβλημα του να τον θυμάσε φύγει, το passphrase χάνει το προτέρημα του.
Ένα passphrase, αφού αποτελείται από λέξεις, ακολουθεί τους κανόνες γραμματικής. Γίνονται πολλοί λιγότεροι οι συνδιασμοί χαρακτήρων που θα αρθρώσουν μια λέξη, άρα μαζί πεύτει και το entropy.
Κάτι που μπορείς να κάνεις για να δυναμώσεις ενα passphrase είναι να βάλεις τυχαίους χαρακτήρες ανάμεσα στα γράμματα ή στις λέξεις (άρα πάυουν να υπάρχουν άμεσα σε λεξικό), και από εκεί είναι που αρχίζει να μοιάζει με password.
Φυσικά αυτό μπορείς να το πείς και να έχεις ένα passphrase που σου λέει θέλει 1τρις χρόνια για να σπάσει και το password να θέλει 5τρις, δεν θα σου είναι αισθητή η διαφορά, αλλά το ένα θα είναι τεχνικά πιο ασφαλές.

[gcf]

Παλιό αλλά σχετικό


- - - Updated - - -

Αποκλείεται αν χρησιμοποιείς κανονικές λέξεις να είναι ασφαλέστερο απο τυχαίους χαρακτήρες. Ουσιαστικά η κάθε λέξη θα είναι ενας χαρακτήρας σε dictionary attack. Απλά το passphrase είναι καλύτερο απο το 123456 κλπ.

π.χ. στο cP0Dzdpmr!C>xe? θα πρέπει να μαντέψει 15 χαρακτήρες. Στο thelittlehouseontheprairy χρειάζεται να μαντέψει 6 λέξεις που τις παίρνει όμως έτοιμες απο λεξικό (άρα οχι χαρακτήρα-χαρακτήρα). Απλά το πρώτο δεν παίζει να το θυμάσαι και θες manager ενώ το δεύτερο είναι εύκολο.

Για να πάρουμε το thelittlehouseintheprairie:
Aς υποθέσουμε τα παρακάτω:
Το επίσημο λεξικό scrabble περιέχει 1065 λέξεις 3 γραμμάτων, 4000 λέξεις των 4 γραμμάτων (υπάρχουν 150000 λέξεις σε κανονικά λεξικά) και 9000 λέξεις των 5 γραμμάτων.
και ας μην λογαριάσουμε τη δυνατότητα χρήσης κεφαλαίων ή συνδυασμού πεζοκεφαλαίων.
Ας πούμε ότι έχουμε ένα passphrase 5 λέξεων με 2 λέξεις των 3, 2 των 5 και 1 των τεσσάρων γραμμάτων πχ
anygamehorsewinquick
οι διατάξεις 5 λέξεων με αυτές τις προδιαγραφές είναι 5!/(2!*2!)=30
Για κάθε διάταξη, οι πιθανές επιλογές είναι 1065^2*4000*9000^2=3.674889e+17
Τελικά τα passphrase είναι 1.1024667e+19. Δεν είναι και πολλά αλλά φανταστείτε τι γίνεται αν οι λέξεις του passphrase γίνουν 7, με διαφορετικούς συνδυασμούς αριθμού γραμμάτων κάθε λέξης και χρήση λέξεων και με 6 ή και 7 γράμματα.
Αν πει κανείς ότι πχ όπου ο βάζει 0 ή ότι μεταξύ των κενών βάζει ειδικούς χαρακτήρες με κάποιο απομνημονεύσιμο αλγόριθμο:
any!game@@h0rse$$$win%%%%quick
εχει ένα πανίσχυρο password που το θυμάται πανεύκολα και δεν είναι ευάλωτο σε dictionary attacks.
(οι παρατηρητικοί θα είδαν πως μπαίνουν οι ειδικοί χαρακτήρες)
Ή πχ thΕ!littlΕ@h0usΕ!iΝ@thΕ!prairiΕ

[deniSun]

Αποκλείεται αν χρησιμοποιείς κανονικές λέξεις να είναι ασφαλέστερο απο τυχαίους χαρακτήρες. Ουσιαστικά η κάθε λέξη θα είναι ενας χαρακτήρας σε dictionary attack. Απλά το passphrase είναι καλύτερο απο το 123456 κλπ.

π.χ. στο cP0Dzdpmr!C>xe? θα πρέπει να μαντέψει 15 χαρακτήρες. Στο thelittlehouseontheprairy χρειάζεται να μαντέψει 6 λέξεις που τις παίρνει όμως έτοιμες απο λεξικό (άρα οχι χαρακτήρα-χαρακτήρα). Απλά το πρώτο δεν παίζει να το θυμάσαι και θες manager ενώ το δεύτερο είναι εύκολο.

Τα passphrase έχουν κύρια αδυναμία τα dictionary attacks, που δεν υπάρχουν σε απλό password. Είναι καλύτερο από οπτική οτι μπορείς να τα θυμάσε, και για μη tech-savvy χρήστες μπορεί έτσι να απομνημονεύσουν πίο ισχυρό κωδικό από τον αντίστοιχο σε password. Μόλις το πρόβλημα του να τον θυμάσε φύγει, το passphrase χάνει το προτέρημα του.
Ένα passphrase, αφού αποτελείται από λέξεις, ακολουθεί τους κανόνες γραμματικής. Γίνονται πολλοί λιγότεροι οι συνδιασμοί χαρακτήρων που θα αρθρώσουν μια λέξη, άρα μαζί πεύτει και το entropy.
Κάτι που μπορείς να κάνεις για να δυναμώσεις ενα passphrase είναι να βάλεις τυχαίους χαρακτήρες ανάμεσα στα γράμματα ή στις λέξεις (άρα πάυουν να υπάρχουν άμεσα σε λεξικό), και από εκεί είναι που αρχίζει να μοιάζει με password.
Φυσικά αυτό μπορείς να το πείς και να έχεις ένα passphrase που σου λέει θέλει 1τρις χρόνια για να σπάσει και το password να θέλει 5τρις, δεν θα σου είναι αισθητή η διαφορά, αλλά το ένα θα είναι τεχνικά πιο ασφαλές.

Με το 1 μόνο διαφωνώ.
Έχω διαβάσει ότι οι καλύτεροι/ασφαλέστεροι κωδικοί είναι τα passphrase με random words.

1. Το διευκρίνισα όμως.
Με 16 χαρακτήρες είσαι οκ.
Με 16 τυχαίες λέξεις σε passphrase από οποιοδήποτε λεξικό είσαι super ok.
Έχεις πολλούς περισσότερους συνδυασμούς να κάνεις.
Φαντάσου το passphrase σαν μια λέξη με πχ 16 χαρακτήρες όπου κάθε χαρακτήρας είναι μια λέξη από ένα λεξικό χιλιάδων λέξεων.
Προφανώς και προσφέρει πολύ καλύτερη προστασία.

2. Έχουν αλλάξει οι εποχές.
Αυτός που βάζει psw ώστε να μπορεί να το θυμάται είναι ανόητος.
Έχεις έναν psw manager με offline αποθήκευση και κρυπτογράφηση του αρχείου πχ keepass και βάζεις το key generator να σου βγάλει κωδικό.

3. Το key generator του keepass μετράει την ποιότητα του κωδικά σε bit entropy.

Ο κωδικός 16 χαρακτήρων:
Ty$#mpNcv%Kcwh79
δίνει entropy: 96.09bit

To passphrase 16 λέξεων:
annuity parabola gluten hedging deserving wolf hardened kitten pounce body dwindling parsnip unequal hush primal rimmed
δίνει entropy: 206.79bit

Θα αρκούσε μια passphrase 7 με 8 μόνο λέξεων για να συγκριθεί με την δυναμικότητα ενός κωδικού 16 χαρακτήρων:
defiant repeated ripping sleek hurried aneurism dock
δίνει entropy: 90.47bit
lustily immorally filler premises squatter fanciness exhale parole
δίνει entropy: 103.39bit

[aiolos.01]

Κάνεις λάθος στη σύγκριση με εντροπία. Η εντροπία απλά κοιτάει τους χαρακτήρες. Εγώ μίλησα για dictionary attack.

Το keepass (που χρησιμοποιώ και εγώ) δεν χρησιμοποιεί λεξικό για να μετρήσει την εντροπία. Η πραγματική εντροπία του passphrase είναι σαφώς μικρότερη αφού κάθε λέξη δεν είναι τυχαίοι χαρακτήρες αλλά περιλαμβάνεται σε μια λίστα. Οπότε ναι σε brute force attack το "lustily immorally filler premises squatter fanciness exhale parole" είναι καλύτερο απο το "Ty$#mpNcv%Kcwh79" αλλά σε dictionary attack θα είναι πολύ χειρότερο.

Στο αγγλικό λεξικό υπάρχουν περίπου 580 χιλιάδες λέξεις. Άρα μια φράση με 8 λέξεις έχει 580.000^8 = 1,3 *10^22 συνδυασμούς.

Αν χρησιμοποιείς αγγλικούς χαρακτήρες, κεφαλαία, μικρά, αριθμούς και μερικά σύμβολα (ας πούμε 60 χαρακτήρες) σε password 16 χαρακτήρων όπως αυτό που έγραψες έχεις 60^16 = 2,8 * 10^28 συνδυασμούς. Δηλαδή 6 τάξεις μεγέθους περισσότερους.

Βλέπεις λοιπόν οτι μπορεί η εντροπία να σου δίνει παρόμοιες τιμές αλλά απέναντι σε dictionary attack οι τυχαίοι χαρακτήρες υπερέχουν στο συγκεκριμένο παράδειγμα.


Αυτό που προτείνει ο gcf είναι καλή λύση αλλά δεν είναι passphrase πλέον. Είναι ενα υβρίδιο που αρχίζει να γίνεται δύσκολο να το θυμάσαι.

[EvanGR]

Δεν είναι μόνο το θέμα πόσο δύσκολο είναι να το θυμάσαι, αλλά και το πόσο δύσκολο είναι να το διαβάσεις για να το πληκτρολογήσεις κάπου αλλού, ή να το πεις από το τηλέφωνο*.

Ένα pass phrase, ακόμα και εμπλουτισμένο με σύμβολα, είναι πολύ πιο εύκολο.


(*) Ναι, ξέρω. Αλλά σε κάποιες περιπτώσεις (π.χ. γονείς) χρειάζεται να το κάνεις και αυτό.

[gdimitris]

Χρησιμοποιω το bitwarden και ειμαι σουπερ ευχαριστημενος. Δωρεαν και λειτουργει και σε android. Ξεχωριστος κωδικος για καθε site.

[xaris2335]

Βιντεάκι απο τον Μέντορα μου.
https://www.facebook.com/watch/?v=407165844558262

[vageo]

Υπάρχει όμως και ένας άλλος προβληματισμός. Οι κωδικοί να αποθηκεύονται στον browser ή όχι.

[sdikr]

Υπάρχει όμως και ένας άλλος προβληματισμός. Οι κωδικοί να αποθηκεύονται στον browser ή όχι.

Αν έχω πρόσβαση στον υπολογιστή σου, παίρνω τους κωδικούς σου και πάω βόλτα, καθώς αυτοί αποθηκεύονται στο profile σου.

[vageo]

Για οικιακό σταθερό Η/Υ και μοναδικό χρήστη εμένα δεν υπάρχει ασφάλεια;

[sdikr]

Για οικιακό σταθερό Η/Υ και μοναδικό χρήστη εμένα δεν υπάρχει ασφάλεια;

Κοίτα δύσκολα κάποιος θα έρθει να σου χακάρει τον υπολογιστή, όποτε ναι μπορείς να το πεις αυτό.
Αλλά ασφάλεια όχι δεν υπάρχει.
Σκέψου οτι μπορεί να κολλήσεις κάποιο trojan και να αποκτήσει κάποιος πρόσβαση στα αρχεία σου, μπορεί να πάρει και τους κωδικούς.

Θα το κυνηγήσει κάποιος να το κάνει αυτό;
Μάλλον όχι.
Αν όμως εσύ κολλήσεις γιατί έτρεξες κάτι, μάλλον θα το κάνει, σου λέει αφού μου δίνει πρόσβαση ας δω τι μπορώ να πάρω.


Προσωπικά εγώ τους κωδικούς τους έχω αποθηκευμένους στον browser, εκτός απο τους κωδικούς που θεωρώ σημαντικούς και αν υπάρχει δυνατότητα 2fa την έχω ενεργή.

[tsigarid]

Εγώ δεν αποθηκεύω τίποτα στον browser.