Δευτέρα, 9 Νοεμβρίου 2015

Γνωρίζετε ότι δεν μπορείτε να σκεφτείτε ένα ασφαλές password;

Η διαδικασία εύρεσης και απομνημόνευσης πολύπλοκων κωδικών δεν παρέχει αποτελεσματική ασφάλεια, λέει η IBM. Όμως, υπάρχει λύση.







“Σύμφωνα με το NIST National Institute of Standards and Technology στις ΗΠΑ– ένα password φτιαγμένο από άνθρωπο με 16 ψηφία περιέχει μόλις 30bit εντροπίας, κάτι που μεταφράζεται σε περίπου 1 δισεκατομμύριο συνδυασμούς. Ένα σύγχρονο password-cracker δοκιμάζει περισσότερα από 300 εκατομμύρια password ανά δευτερόλεπτο, οπότε ο κωδικός με μήκος 16 ψηφία θα σπάσει από τη μηχανή σε ελάχιστο χρόνο”, λέει η Lehmann.
Η εύρεση και απομνημόνευση πολύπλοκων κωδικών δεν είναι λύση για αποτελεσματική ασφάλεια, λέει η Dr. Anja Lehmann, που είναι κρυπτογράφος της IBM.
H Lehmann λέει ότι ένα απλό password, μπορεί να είναι ασφαλές, αν ο τρόπος επαλήθευσης του είναι σωστός. Αντίθετα, ένα πολύπλοκο password το οποίο έχει δημιουργηθεί από έναν άνθρωπο μπορεί να σπάσει σε λιγότερο από ένα δευτερόλεπτο.




Ακόμη χειρότερα, η κλασική αυτή μέθοδος δημιουργίας password είναι παρωχημένη για ακόμη έναν λόγο. Τα password όχι μόνο δεν κρυπτογραφούνται,  αλλά στις περισσότερες των περιπτώσεων απλά ανασύρονται από τον server μίας εταιρείας – αν ο κωδικός χρησιμοποιείται σε επιχειρηματικό περιβάλλον.
Αυτό που μπορεί να κάνει το σπάσιμο των κωδικών περισσότερο δύσκολη υπόθεσηκαι να προστατέψει αποτελεσματικά δεν είναι η μάταιη προσπάθεια δημιουργίας ενός ασφαλούς κωδικού. Η Lehman προτείνει μία περισσότερο δραστική λύση. Οι εταιρείες να “σπάνε” την πληροφορία που χρειάζεται για να γίνει χακ ένα password σε πολλούς διαφορετικούς server.
Αυτή η μέθοδος δημιουργεί ένα σενάριο στο οποίο ο χάκερ θα πρέπει να αποκτήσει πρόσβαση σε πολλούς server για να ανακτήσει τις πληροφορίες που χρειάζεται για να "σπάσει" το password. Ακόμη πιο δύσκολη… θα γίνει η ζωή του αν αυτοί οι server τρέχουν διαφορετικά λειτουργικά συστήματα έχουν διαφορετικούς διαχειριστές.

Μια [καλή] λύση στο πρόβλημα της δημιουργίας password

Η διαδικασία εύρεσης και απομνημόνευσης πολύπλοκων κωδικών δεν παρέχει αποτελεσματική ασφάλεια, λέει η IBM. Όμως, υπάρχει λύση


Μια καλή λύση στο θέμα της δημιουργίας ενός ασφαλούς κωδικού –σίγουρα καλύτερη από αυτό που μπορούμε να σκεφτούμε πολλοί από εμάς μόνοι μας – προτείνεται από μία νέα επιχειρηματία, την 11χρονη Mira Modi.
H Modi προτείνει τη χρήση του Diceware για τη δημιουργία ενός κωδικού. Μάλιστα, η Modi έχει φτιάξει μία εταιρεία και πουλάει password, τα οποία αποστέλλονται με κανονικό ταχυδρομείο.
Για να φτιάξετε το δικό σας ισχυρό password με τη μέθοδο της Modi θα χρειαστείτε ένα ζάρι [ή 5 ζάρια, για να συντομεύετε] με το οποίο θα φτιάξετε πεντάδες αριθμών. Θα φτιάξετε τόσες πεντάδες όσες λέξεις θέλετε να έχει ο κωδικός σας. Η κάθε πεντάδα αντιστοιχεί σε μία λέξη από τη λίστα Diceware [εναλλακτικά μπορείτε να χρησιμοποιήσετε τη λίστα Beale].
Για παράδειγμα, αν κληρώσετε με το ζάρι σας τις εξής πεντάδες:
1 6 6 6 5
1 5 6 5 3
5 6 3 2 2
3 5 6 1 6
6 5 2 2 4
6 4 3 2 6,
η αντιστοιχία τους με τη λίστα Diceware είναι η ακόλουθη:
1 6 6 6 5 cleft
1 5 6 5 3 cam
5 6 3 2 2 synod
3 5 6 1 6 lacy
6 5 2 2 4 yr
6 4 3 2 6 wok,
και ο κωδικός που θα φτιάξετε θα είναι ο εξής:
cleft cam synod lacy yr wok

Tips και τεχνικά για το password σας :

Φροντίστε ο κωδικός σας να έχει τουλάχιστον 17 χαρακτήρες
Μη γράφετε στη λίστα Diceware των 36 σελίδων αν την τυπώσετε από το PDF
Αν χρησιμοποιείτε περισσότερα του ενός ζάρια, διαβάζετε τα από αριστερά προς τα δεξιά
Μην τροποποιείτε τον κωδικό που προκύπτει
Για έξτρα προστασία προσθέστε έναν ειδικό χαρακτήρα στον κωδικό σας

Για αυτούς που αγαπούν τα τεχνικά θέματα να πούμε ότι ένας κωδικός με μία λέξη Diceware έχει εντροπία 64,6bit, ενώ ένας με οκτώ λέξεις Diceware103,2bit.
Τέλος, αφού κάνετε όλα τα παραπάνω και δημιουργήσετε τον κωδικό σας, μην τον πείτε σε κανέναν.