Μετά από δεκαετίες χρήσης των κωδικών πρόσβασης ίσως να είμαστε πολύ κοντά στην εγκατάλειψή τους.
Από το «123456» ή την ημερομηνία γέννησης έως τα δύο βήματα επιβεβαίωσης και τα σύγχρονα password managers, η καθημερινότητα στο online περιβάλλον προϋποθέτει τη χρήση κωδικών. Laptops, smartphones, Social Media, online banking, streaming πλατφόρμες, συνδρομητικές υπηρεσίες, η χρήση όλων των παραπάνω έχει ως πρώτο βήμα την πληκτρολόγηση ενός ισχυρού και φαινομενικά ασφαλούς κωδικού. Σύμφωνα με μια πρόσφατη έρευνα της NordPass κάθε χρήστης χρησιμοποιεί σήμερα κατά μέσο όρο 100(!) κωδικούς, όχι απαραίτητα διαφορετικούς μεταξύ τους.
Η δημιουργία αυτών των μακρoσκελών, περίπλοκων κωδικών πρόσβασης που αποτρέπουν καλύτερα τους διαδικτυακούς κλέφτες είναι σίγουρα κουραστική, ειδικά αν πρόκειται για δεκάδες διαφορετικούς διαδικτυακούς λογαριασμούς. Αλλά είναι μια απαραίτητη διαδικασία, λαμβάνοντας υπόψη τους αριθμούς ρεκόρ στις παραβιάσεις τα τελευταία χρόνια.
Έξι δεκαετίες με κωδικούς
Ο πρώτος κωδικός πρόσβασης, όπως τους ξέρουμε σήμερα, εμφανίζεται το 1961, για τον κοινής χρήσης υπολογιστή που είχε το γνωστό πανεπιστημιακό ίδρυμα MIT. Το συγκεκριμένο σύστημα ήταν εξοπλισμένο με κωδικό πρόσβασης έτσι ώστε να εξασφαλίζεται η ασφαλής σύνδεση των ακαδημαϊκών. Ο αστικός μύθος θέλει το συγκεκριμένο σύστημα να είναι και το πρώτο που έπεσε θύμα παραβίασης δεδομένων.
Έξι δεκαετίες μετά οι κωδικοί πρόσβασης δεν αφορούν μόνο τους ακαδημαϊκούς, αλλά αποτελούν την πιο συνήθη μορφή ελέγχου ταυτότητας για όλους τους χρήστες.
Αυτό βέβαια δεν έχει αποτρέψει τις παραβιάσεις. Είτε γιατί αρκετοί από εμάς καταφεύγουμε στην εύκολη λύση ενός αδύναμου password για να τον θυμόμαστε εύκολα είτε γιατί οι κυβερνοεγκληματίες μπορούν να εκμεταλλευτούν κάθε ευάλωτο (ή όχι) στοιχείο των μέτρων προστασίας που λαμβάνουμε. Είναι χαρακτηριστικό ότι ακόμα και σήμερα εκατοντάδες εκατομμύρια άνθρωποι χρησιμοποιούν ως κωδικό το «123456» σε έναν ή και περισσότερους λογαριασμούς που χρησιμοποιούν (έρευνα NordPass 2021). Από την ίδια λίστα βλέπουμε ότι για τους δέκα πιο συνηθισμένους κωδικούς οι hackers χρειάζονται κάτω από ένα δευτερόλεπτο για να τον σπάσουν.
Προκειμένου λοιπόν να είμαστε καλύτερα προετοιμασμένοι για κάποια προσπάθεια παραβίασης λογαριασμών μας είναι καλό να θυμόμαστε πάντα ότι χρειαζόμαστε κάποιο password για οποιαδήποτε υπηρεσία χρησιμοποιούμε και η οποία μπορεί να περιέχει κάποιο ευαίσθητο προσωπικό δεδομένο.
Μερικές βασικές αλήθειας στα μέτρα αυτοπροστασίας είναι:
- Δεν χρησιμοποιούμε τον ίδιο κωδικό σε δύο ή και περισσότερους λογαριασμούς.
- Ανανεώνουμε τακτικά τους κωδικούς πρόσβασης, ανεξάρτητα από το αν απαιτείται ή όχι από την υπηρεσία.
- Δεν καταφεύγουμε στη χρήση παλαιότερων κωδικών.
- Δεν χρησιμοποιούμε κάποιο κωδικό πρόσβασης που να συνδέεται νοηματικά με κάποιο δημόσιο δεδομένο μας (π.χ. η ημερομηνία γέννησης)
- Ένα ισχυρό password περιλαμβάνει τουλάχιστον οκτώ ψηφία, με πεζά και κεφαλαία γράμματα, αριθμούς, αλλά και σύμβολα.
- Χρησιμοποιούμε τα εργαλεία διπλής επιβεβαίωσης, όπου είναι διαθέσιμα.
- Διατηρούμε back up αρχείο με τους κωδικούς (όχι σε κάποια ηλεκτρονική συσκευή, αλλά) στο χαρτί.
Ας δούμε και μερικά ακόμα στοιχεία που έχουν ενδιαφέρον (Goodfirms 2021):
- 30% των παραβιάσεων ασφαλείας προκαλούνται από αδύναμους κωδικούς πρόσβασης
- 62.9% των χρηστών ανανεώνουν τον κωδικό τους μόνο αν είναι υποχρεωτικό
- 45.7% των χρηστών χρησιμοποιούν ένα κοινό κωδικό για πολλαπλά sites και εφαρμογές
- 52.9% των χρηστών μοιράζονται τους κωδικούς τους με συναδέλφους, φίλους και μέλη της οικογένειάς τους
Οι κωδικοί λοιπόν μπορεί να έχουν μια μεγάλη ιστορία πίσω τους, αλλά η ίδια η ιστορία έχει δείξει ότι δεν έχουν εξαλείψει τον κίνδυνο της παραβίασης λογαριασμών και προσωπικών δεδομένων. Αυτός είναι και ο λόγος που σχεδιάζεται η εγκατάλειψή τους στο μέλλον. «Όσοι οι κωδικοί πρόσβασης είναι κομμάτι της εξίσωσης, τόσο τα συστήματά μας θα παραμένουν ευπαθή», σημείωσε πρόσφατα η Joy Chik, υψηλόβαθμο στέλεχος της Microsoft και υπεύθυνη των λύσεων ασφάλειας της εταιρείας.
Το επόμενο βήμα
Τα τελευταία χρόνια οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης κερδίζουν σταδιακά δημοτικότητα. Όχι μόνο επειδή οι κωδικοί πρόσβασης έχουν ευπάθειες σε κάποιες επιθέσεις, αλλά και επειδή οι κωδικοί πρόσβασης δημιουργούν τριβές και δυσκολεύουν τα πράγματα για τους ανθρώπους. Για πολλούς χρήστες η «εφεύρεση» ενός κωδικού που συνδυάζει γράμματα, αριθμούς και σύμβολα, έτσι ώστε να είναι δύσκολο να σπάσει, είναι και μια σημαντική ταλαιπωρία. Επιπρόσθετα, δεν είναι εύκολο να τον θυμούνται όταν είναι απαραίτητο. Μάλιστα, αυτός είναι ο λόγος που η πλειοψηφία αυτών των περίπλοκων κωδικών χρησιμοποιούνται σε περισσότερες από μία εφαρμογές (66% των χρηστών στις ΗΠΑ αυτό παραδέχονται).
Η ταλαιπωρία δεν περιορίζεται μόνο στους ιδιώτες. Αντίστοιχο φαινόμενο παρατηρείται και στο επιχειρηματικό περιβάλλον, αφού οι κωδικοί πρόσβασης δημιουργούν διοικητικά έξοδα και στις εταιρείες. Σύμφωνα με έρευνα της Forrester Research οι μεγάλοι οργανισμοί ξοδεύουν έως και 1 εκατομμύριο δολάρια ετησίως σε παρεμβάσεις που περιλαμβάνουν την επαναφορά κωδικού πρόσβασης.
O έλεγχος ταυτότητας χωρίς password περιλαμβάνει κάθε μέθοδο ελέγχου ταυτότητας που βασίζεται σε άλλες μεθόδους, όπως ένας παράγοντας κατοχής (π.χ. μια εφαρμογή ελέγχου ταυτότητας για κινητά) ή ένα βιομετρικό χαρακτηριστικό, όπως ένα δακτυλικό αποτύπωμα ή σάρωση προσώπου. Τέτοιες λύσεις αρκετοί από εμάς έχουμε ήδη ξεκινήσει να χρησιμοποιούμε στα laptops και smartphones που έχουμε ήδη στην κατοχή μας.
Όμως, το όραμα ενός μέλλοντος χωρίς κωδικούς ίσως να έρθει πολύ πιο γρήγορα από όσο φανταζόμαστε. Μάλιστα, μερικά από τα μεγαλύτερα ονόματα στον κλάδο της τεχνολογίας, όπως η Apple, η Google και η Microsoft εκτιμούν ότι είμαστε πιο κοντά από ποτέ στην υλοποίησή του.
Η συμμαχία FIDO
Πιθανότατα τον όρο FIDO δεν τον έχετε ξανακούσει, αλλά πρόκειται για μια συμμαχία που έχει σχεδόν μια δεκαετία ζωής. Στα μέλη της συναντάμε όχι μόνο τις τρεις μεγάλες «κυρίες» της τεχνολογίας που αναφέραμε προηγουμένως, αλλά και άλλα γνωστά ονόματα, όπως η Samsung, η Amazon, η Lenovo, η Intel, η Meta Platforms, η Qualcomm, αλλά και η Visa, η Mastercard, η American Express και αρκετοί ακόμη. Εκπρόσωποι δηλαδή από διάφορα πεδία, από λύσεις αλλά και hardware που έχουμε όλοι στις συσκευές που χρησιμοποιούμε.
Βασική αρχή της FIDO Alliance είναι ότι «η μη χρήση κωδικού πρόσβασης πρέπει να είναι πιο εύκολη από τη χρήση του». Σύμφωνα με τη συμμαχία η πηγή του προβλήματος έγκειται στην αλλαγή ή την προσθήκη μιας συσκευής, αφού δεν υπάρχει μια απλή μέθοδος με την οποία θα συνδέσουμε όλες τις εφαρμογές και τους λογαριασμούς που χρησιμοποιούμε, κατά τη διαδικασία «σεταρίσματος» της συσκευής. Το πρότυπο που έχει δημιουργήσει η συμμαχία δεν αποθηκεύει τους ίδιους τους κωδικούς πρόσβασης, αλλά κρυπτογραφικά κλειδιά, που μπορούν να συγχρονιστούν μεταξύ των συσκευών που χρησιμοποιούμε και προστατεύονται από το βιομετρικό κλείδωμα ή τον κωδικό πρόσβασης της συσκευής. Σύμφωνα με τη Google, από το 2023 και έπειτα οι χρήστες των Android συσκευών δεν θα χρησιμοποιούν πλέον τους κωδικούς, αλλά αποκλειστικά ένα Google Passkey. To δακτυλικό αποτύπωμα, το πρόσωπό μας, ένας κωδικός PIN θα ξεκλειδώνει όλους τους λογαριασμούς μας στον Chrome. Παρόμοια είναι και η λύση της Apple, που υπόσχεται σύνδεση χωρίς password σε όλη τη γκάμα των συσκευών της (iPhone, iPad, Mac, Apple TV) που θα χρησιμοποιούν τα νέα της λειτουργικά (iOS 16 και macOS Ventura), με την εταιρεία να σημειώνει ότι το passkey των χρηστών δεν θα μπορεί να το «διαβάσει» ούτε και η ίδια. Θα αποθηκεύεται τοπικά στη συσκευή και όχι σε κάποιον server της Apple.
Για να βαδίσουμε προς το μέλλον που υπόσχεται η FIDO alliance είναι απαραίτητη η διαλειτουργικότητα της λύσης που θα προσφέρει. Οι κάτοχοι iPhone δεν έχουν απαραίτητα Mac ή iPad για PC ή tablet, οι κάτοχοι Android δεν έχουν απαραίτητα ως default browser τον Chrome στο laptop που χρησιμοποιούν. Οι προσδοκίες είναι σίγουρα μεγάλες, αλλά χρειάζονται αρκετά βήματα ακόμα για να υλοποιηθεί η υπόσχεση της FIDO.