Οι κωδικοί πρόσβασης αποτελούν ένα αναγκαίο «κακό»: ναι μεν εισέρχονται «μεταξύ» του user και της υπηρεσίας που θέλει να χρησιμοποιήσει, αλλά είναι απαραίτητοι για την ασφάλεια των δεδομένων. Μάλιστα, όσο πιο περίπλοκοι είναι, τόσο πιο ασφαλείς θεωρούνται – με λίγα λόγια, «σπάνε» δυσκολότερα από τους hackers. Αν και έχουν εμφανιστεί διάφορες μέθοδοι «ενισχυμένης» ταυτοποίησης του χρήστη (βλ. δαχτυλικό αποτύπωμα, ίριδα κτλ.), τα passwords (δυστυχώς) δεν έχουν εκλείψει. Πώς, όμως, μπορεί κάποιος να υιοθετήσει ασφαλή (άρα και περίπλοκα) passwords και να τα διαχειριστεί με ευκολία; Η απάντηση βρίσκεται στους passwords managers. Μια από αυτές τις υπηρεσίες ακούει στο όνομα Lastpass.
Το Lastpass έχει παρουσιάσει ιδιαίτερη «άνθιση» τα τελευταία χρόνια. Εντούτοις, η υπηρεσία έχει δεχθεί και αρκετή κριτική, μετά από διάφορα security «incidents» και «breaches» που αντιμετώπισε. Μάλιστα, το λήμμα με την ονομασία της στην Wikipedia περιέχει ένα μικρό ειδικό… αφιέρωμα σε όλα αυτά τα συμβάντα και τις διαρροές. Το νεότερο από αυτά, έλαβε χώρα στα μέσα της περασμένης χρονιάς. Τον Αύγουστο του 2022, η LastPass έκανε γνωστό πως κυβερνοεγκληματίες είχαν χρησιμοποιήσει έναν παραβιασμένο λογαριασμό κάποιου developer για να αποκτήσουν πρόσβαση στο περιβάλλον ανάπτυξης, στον πηγαίο κώδικα και σε διάφορες τεχνικές πληροφορίες της υπηρεσίας. Περαιτέρω λεπτομέρειες δόθηκαν στη δημοσιότητα τον Νοέμβριο της ίδιας χρονιάς, όταν προστέθηκε ότι ορισμένα δεδομένα είχαν «εκτεθεί».
Εντούτοις, το πόσο σοβαρή ήταν η συγκεκριμένη διαρροή, αποκαλύφθηκε λίγο πριν τις γιορτές των Χριστουγέννων, στις 22 Δεκεμβρίου. Εκείνη την ημέρα, η LastPass συμπλήρωνε στην ενημέρωση της πως οι κυβερνοεγκληματίες είχαν χρησιμοποιήσει ορισμένες από τις πληροφορίες που είχαν αποκτηθεί μέσω της κυβερνοεπίθεσης για να υποκλέψουν backup δεδομένα, όπως ονόματα, ταχυδρομικές διευθύνσεις, τηλεφωνικούς αριθμούς, email και διευθύνσεις IP. Επιπλέον, όπως γινόταν γνωστό, κατάφεραν να υποκλέψουν και ορισμένα «θησαυροφυλάκια» (vaults) κωδικών πρόσβασης, που περιείχαν μη κρυπτογραφημένες διευθύνσεις URL και ονόματα ιστότοπων, καθώς και κρυπτογραφημένα usernames και passwords.
Η ίδια ανάρτηση σημείωνε πως τα τελευταία (ονόματα χρήστη και κωδικοί πρόσβασης) παραμένουν κρυπτογραφημένα και πως «μπορούν να αποκρυπτογραφηθούν μόνο με το μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη, χρησιμοποιώντας την αρχιτεκτονική Zero Knowledge». Σύμφωνα με την εταιρεία, το βασικό password για το «θησαυροφυλάκιο» όπου αποθηκεύονται οι υπόλοιποι κωδικοί -γνωστό ως master password- δεν αποθηκεύεται και δεν βρίσκεται υπό την διαχείριση της εταιρείας, ούτε γίνεται γνωστό σε αυτήν (για αυτό και η ίδια δεν μπορεί να το ανακτήσει σε περίπτωση που χαθεί). Σημειωνόταν πως εάν οι users έχουν επιλέξει τις προεπιλεγμένες ρυθμίσεις για αυτό το master password, «θα απαιτηθούν εκατομμύρια χρόνια για να το μαντέψει κάποιος κάνοντας χρήση της διαθέσιμης τεχνολογίας».
Με αυτά και με αυτά, η Lastpass βρέθηκε και πάλι στο στόχαστρο. Μια απλή αναζήτηση στο Google φέρνει στην επιφάνεια σωρεία αρνητικών δημοσιεύσεων, όσον αφορά στον τρόπο κατά τον οποίο έγινε η διαχείριση της διαρροής – αλλά και για τη διαρροή αυτή καθαυτή. Και από εκεί και πέρα, ξεκίνησαν οι συζητήσεις σε σχέση με το ποιες εναλλακτικές υπάρχουν, τι θα πρέπει να κάνει ο χρήστης για να προστατευτεί, τι θα πρέπει να κάνει σε περίπτωση που χρησιμοποιούσε τη συγκεκριμένη υπηρεσία, εάν υπάρχει κίνδυνος για τα δεδομένα του, εάν θα πρέπει να αλλάξει τους κωδικούς πρόσβασης κτλ. Μια γρήγορα συμβουλή είναι πως, ναι, καλό θα είναι κάποιος να αλλάξει εξαιρετικά ευαίσθητους κωδικούς πρόσβασης που είχε αποθηκεύσει στην υπηρεσία, αλλά και να ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων όπου αυτός είναι διαθέσιμος (όπως στις υπηρεσίες της Google, της Microsoft, της Apple, στα e-banking των τραπεζών κτλ.).
Εντούτοις, η όλη κατάσταση της βιομηχανίας, όσον αφορά στους κωδικούς πρόσβασης και τον τρόπο που τους χρησιμοποιούμε και τους διαχειριζόμαστε, προκαλεί μια ανησυχία. Πέρα από το συμβάν με το Lastpass, δεν είναι λίγες οι φορές που έχουμε δει διαρροές κωδικών πρόσβασης. Δεν είναι λίγες οι φορές που έχουμε δει εταιρείες να μην γνωστοποιούν άμεσα (ή και ποτέ) τέτοιου τύπου διαρροές. Δεν είναι λίγες οι φορές που έχουμε δει χρήστες να αποθηκεύουν τα passwords τους σε ένα απλό αρχείο κειμένου, στην επιφάνεια εργασίας τους. Δεν είναι λίγες οι φορές που έχουμε δει χρήστες να βάζουν τον ίδιο (εξαιρετικά απλό) κωδικό πρόσβασης παντού και πάντα. Και δεν είναι λίγες οι φορές που έχουμε δει ακόμη και μεγάλες επιχειρήσεις να μην δίνουν την απαραίτητη σημασία στην ασφάλεια και τη διαχείριση των κωδικών πρόσβασης που χρησιμοποιούν οι υπάλληλοι τους. Είναι πολλές και ανησυχητικές οι «δεν είναι λίγες» φορές. Και το ζήτημα είναι πολύπλευρο.
Ναι, έχουμε δει προτάσεις για εναλλακτικές. Και ναι, έχουμε δει εταιρείες να επενδύουν στην ανάπτυξη άλλων τρόπων ταυτοποίησης. Εντούτοις, εν έτει 2022, δεν φαίνεται να έχει βρεθεί ακόμη το «ιερό δισκοπότηρο», ένας τρόπος ταυτοποίησης που να είναι εξαιρετικά ασφαλής, εύκολος στην χρήση του και ευρέως διαδεδομένος. Είναι αυτοί οι παράγοντες που θα πρέπει να ικανοποιηθούν σε απόλυτο βαθμό, για να μην βλέπουμε διαρροές και συμβάντα όπως το παραπάνω. Εν έτει 2022, στην εποχή του ψηφιακού μετασχηματισμού και των δισεκατομμυρίων ευρώ που κατευθύνονται στην ψηφιοποίηση των… πάντων, είναι μάλλον ανεπίτρεπτο οι χρήστες και οι υπηρεσίες να βασίζονται σε (περισσότερο ή λιγότερο) απλοϊκούς κωδικούς για να κάνουν login. Είναι μάλλον ανεπίτρεπτο να συνεχίζουμε να ακούμε, τόσο συχνά, για περιστατικά όπως αυτό με την Lastpass. Το μέλλον πρέπει να είναι passwordless και προς αυτήν την πορεία θα πρέπει να κατευθυνθούν όλοι οι παράγοντες του κλάδου της πληροφορικής και οι σχετικές επενδύσεις.
Γιατί, με απλά λόγια, το να ψηφιοποιήσω κάθε πτυχή της καθημερινότητας μου και να χρησιμοποιήσω παντού έναν κωδικό πρόσβασης της μορφής 1234567123 (επειδή μπορώ, επειδή… βαριέμαι, επειδή δεν μου επιβάλλεται κάτι πιο ασφαλές), είναι σαν να φτιάχνω ένα πανέμορφο και πανάκριβο σπίτι και για πόρτα να χρησιμοποιώ μια κουρτίνα. Που την παίρνει και ο άνεμος όποτε φυσάει…
Το άρθρο δημοσιεύθηκε στο τεύχος 210 του περιοδικού Infocom