Το 98,5% των κωδικών αποτυγχάνει στο τεστ ασφαλείας – Πόσο ασφαλής είναι ο δικός σου;

κωδικοί, ασφάλεια κωδικών

Όλες έχουμε διαβάσει τους τίτλους: «Λογαριασμοί Gmail και Outlook σε κίνδυνο», «Κωδικοί Apple στο στόχαστρο», «Ακόμα και οι κωδικοί στο Linux είναι ευάλωτοι» και φυσικά, η διαβόητη ιστορία με τα «16 δισεκατομμύρια κωδικών που διέρρευσαν». Η αναπόφευκτη αλήθεια είναι πως οι επιτιθέμενοι θέλουν πρόσβαση στους λογαριασμούς σου και η παραβίαση του κωδικού σου είναι η πιο εύκολη μέθοδος, όπως προειδοποιεί ο Davey Winder.

Μία πρόσφατα δημοσιευμένη ανάλυση 10 εκατομμυρίων κωδικών από λίστα με 1 δισεκατομμύριο παραβιασμένα στοιχεία αποκάλυψε ότι το εντυπωσιακό 98,5% θεωρούνται αδύναμοι και ακατάλληλοι. Βεβαίως, το ότι έχουν ήδη παραβιαστεί υποδηλώνει ότι αυτό πιθανότατα ισχύει, αλλά το ερώτημα παραμένει: περνάει ο κωδικός σου το τεστ ασφαλείας;

Μόνο το 1,5% των κωδικών θεωρείται ισχυρό

Με τη χαρτογράφηση αυτού που η έκθεση αποκαλεί «θερμικό χάρτη» πολυπλοκότητας και μήκους κωδικού, διαπιστώθηκε ότι μόνο το 1,5% του συνόλου μπορούσε να θεωρηθεί ισχυρό. Με οποιοδήποτε μέτρο, μπορούμε να συμφωνήσουμε ότι ένας ισχυρός κωδικός πρέπει να αποτελεί το ελάχιστο απαιτούμενο. Αυτό σημαίνει πως το 98,5% – δηλαδή 9,85 εκατομμύρια από τα 10 εκατομμύρια του δείγματος – ήταν απλώς ακατάλληλοι. Οι χρήστες, σύμφωνα με την έκθεση, εξακολουθούν να δημιουργούν «αδύναμους κωδικούς που μπορούν να αποτελέσουν απλές διαδρομές επίθεσης για χάκερ».

Οι αυτόματες επιθέσεις δε χρειάζονται καν χάκερ

Ίσως έρθουν στο μυαλό σκηνές τύπου «ο Σέρλοκ Χολμς πιάνει τον κακό», αλλά όπως αναφέραμε, πρόκειται για παραβιασμένους κωδικούς. Αυτό όμως δεν αναιρεί τα σημεία που πρέπει να προσέξουμε. Οι αδύναμοι κωδικοί είναι σαν φρούτα χαμηλά στο δέντρο – εύκολα προσβάσιμα από αυτοματοποιημένες μηχανές παραβίασης, χωρίς καν ανθρώπινη επέμβαση. Όπως ανέφερε η ομάδα της Specops:

«Μόλις ένας επιτιθέμενος αποκτήσει ένα σετ έγκυρων διαπιστευτηρίων, μπορεί να κινηθεί μέσα στο δίκτυο, να αυξήσει τα προνόμιά του και να εξάγει ευαίσθητα δεδομένα». Και όλα αυτά μπορούν να γίνουν χωρίς να ενεργοποιηθεί κανένας συναγερμός ασφαλείας – εννιά φορές στις δέκα.

Ο Darren James, υπεύθυνος προϊόντων στην Specops, δήλωσε:

«Παρά τα χρόνια εκπαίδευσης, πολλοί χρήστες εξακολουθούν να επιλέγουν αδύναμους, εύκολα προβλέψιμους συνδυασμούς που οι εγκληματίες μπορούν να σπάσουν μέσα σε δευτερόλεπτα». Με άλλα λόγια, απέτυχαν στο τεστ ασφαλείας κωδικών.

Ποιο είναι το τεστ ασφαλείας των κωδικών

Το τεστ που πρέπει να περνά ο κωδικός σου για να θεωρείται κατάλληλος, όπως ορίστηκε από την ερευνητική ομάδα της Specops, συνοψίζεται ως εξής:

Ο κωδικός σου πρέπει να έχει τουλάχιστον 15 χαρακτήρες και να περιέχει τουλάχιστον δύο διαφορετικές κατηγορίες χαρακτήρων, όπως κεφαλαία και πεζά, αριθμούς και σύμβολα.

Αυτό μπορεί να θεωρηθεί το απόλυτο ελάχιστο για τη σύνταξη κωδικού. Η ομάδα της Specops εξήγησε ότι «κάθε επιπλέον χαρακτήρας πολλαπλασιάζει τον αριθμό πιθανών συνδυασμών ανάλογα με το μέγεθος του αλφαβήτου που χρησιμοποιείς». Αυτή η εκθετική αύξηση των συνδυασμών κάνει τη ζωή πολύ πιο δύσκολη για τους χάκερ που χρησιμοποιούν brute-force επιθέσεις.

«Ακόμα και με συστήματα που χρησιμοποιούν GPUs ή ASICs και δοκιμάζουν τρισεκατομμύρια συνδυασμούς ανά δευτερόλεπτο», αναφέρεται στην έκθεση, «το να ξεπεράσεις τους 15 χαρακτήρες μετατρέπει τον χρόνο παραβίασης από ώρες σε… χρόνια ή αιώνες».

Η μοναδικότητα είναι εξίσου σημαντική

Και πάλι, η πραγματικότητα δεν είναι τόσο απλή. Η ύπαρξη λιστών με δισεκατομμύρια παραβιασμένους κωδικούς καθιστά το έργο των επιτιθέμενων ευκολότερο, ακόμα κι αν πληρούνται τα ελάχιστα κριτήρια – εφόσον αυτοί οι κωδικοί επαναχρησιμοποιούνται και δεν είναι μοναδικοί. Άρα, η μοναδικότητα προστίθεται στους όρους επιτυχίας στο τεστ ασφαλείας κωδικών.

Η σημασία των μικτών χαρακτήρων

Η ίδια αρχή του πολλαπλασιασμού των συνδυασμών ισχύει όταν εισάγουμε μικτούς χαρακτήρες. Η προσθήκη αριθμών σε ένα αλφάβητο μόνο με πεζά γράμματα αυξάνει το μέγεθός του από 26 σε 36 χαρακτήρες. Αυτό, σύμφωνα με τους ερευνητές, ενισχύει τον χώρο των συνδυασμών κατά περίπου «(36/26)¹⁶ ~ 2,5 φορές επιπλέον» πέρα από το όφελος του μήκους.

Περνάει ο δικός σου κωδικός το τεστ ασφαλείας;

Αν όχι, καλύτερα να τον αλλάξεις άμεσα. Στην πραγματικότητα, ίσως είναι προτιμότερο να ακολουθήσεις τη συμβουλή της Google και της Microsoft και να τον αντικαταστήσεις με μια πολύ πιο ασφαλή εναλλακτική: τις ψηφιακές ταυτότητες πρόσβασης (passkeys).

Scroll to Top