Close Menu
InfoCom
  • Telecoms
  • IT
  • AI
  • Security
  • Επιχειρήσεις
    • Στρατηγική
  • Πρόσωπα
    • Στελέχη
    • Συνεντεύξεις
    • Απόψεις
  • Today
  • SmartTalks
  • eMagazine
  • Weekly Telecom
  • AI.BRIEF
Facebook X (Twitter) Instagram
  • ABOUT
  • ΟΡΟΙ ΧΡΗΣΗΣ
  • ΕΠΙΚΟΙΝΩΝΙΑ
  • NEWSLETTER
Δευτέρα, 13 Ιουλίου
Facebook X (Twitter) YouTube LinkedIn RSS
InfoCom
  • Telecoms
  • IT
  • AI
  • Security
  • Επιχειρήσεις
    • Στρατηγική
  • Πρόσωπα
    • Στελέχη
    • Συνεντεύξεις
    • Απόψεις
  • Today
  • SmartTalks
  • eMagazine
  • Weekly Telecom
  • AI.BRIEF
InfoCom
Home»Πρόσωπα»Απόψεις

Το πρόβλημα με τους κωδικούς πρόσβασης

07/02/2023Χρήστος ΚοτσακάςBy Χρήστος Κοτσακάς5 Mins Read IT Απόψεις
Όλες οι εξελίξεις σε τηλεπικοινωνίες και τεχνολογία στο Google News!
Ακολουθήστε το Infocom.gr για τις σημαντικότερες ειδήσεις της ψηφιακής αγοράς.
Add as preferred source on Google

Οι κωδικοί πρόσβασης αποτελούν ένα αναγκαίο «κακό»: ναι μεν εισέρχονται «μεταξύ» του user και της υπηρεσίας που θέλει να χρησιμοποιήσει, αλλά είναι απαραίτητοι για την ασφάλεια των δεδομένων. Μάλιστα, όσο πιο περίπλοκοι είναι, τόσο πιο ασφαλείς θεωρούνται – με λίγα λόγια, «σπάνε» δυσκολότερα από τους hackers. Αν και έχουν εμφανιστεί διάφορες μέθοδοι «ενισχυμένης» ταυτοποίησης του χρήστη (βλ. δαχτυλικό αποτύπωμα, ίριδα κτλ.), τα passwords (δυστυχώς) δεν έχουν εκλείψει. Πώς, όμως, μπορεί κάποιος να υιοθετήσει ασφαλή (άρα και περίπλοκα) passwords και να τα διαχειριστεί με ευκολία; Η απάντηση βρίσκεται στους passwords managers. Μια από αυτές τις υπηρεσίες ακούει στο όνομα Lastpass.

Το Lastpass έχει παρουσιάσει ιδιαίτερη «άνθιση» τα τελευταία χρόνια. Εντούτοις, η υπηρεσία έχει δεχθεί και αρκετή κριτική, μετά από διάφορα security «incidents» και «breaches» που αντιμετώπισε. Μάλιστα, το λήμμα με την ονομασία της στην Wikipedia περιέχει ένα μικρό ειδικό… αφιέρωμα σε όλα αυτά τα συμβάντα και τις διαρροές. Το νεότερο από αυτά, έλαβε χώρα στα μέσα της περασμένης χρονιάς. Τον Αύγουστο του 2022, η LastPass έκανε γνωστό πως κυβερνοεγκληματίες είχαν χρησιμοποιήσει έναν παραβιασμένο λογαριασμό κάποιου developer για να αποκτήσουν πρόσβαση στο περιβάλλον ανάπτυξης, στον πηγαίο κώδικα και σε διάφορες τεχνικές πληροφορίες της υπηρεσίας. Περαιτέρω λεπτομέρειες δόθηκαν στη δημοσιότητα τον Νοέμβριο της ίδιας χρονιάς, όταν προστέθηκε ότι ορισμένα δεδομένα είχαν «εκτεθεί».

Εντούτοις, το πόσο σοβαρή ήταν η συγκεκριμένη διαρροή, αποκαλύφθηκε λίγο πριν τις γιορτές των Χριστουγέννων, στις 22 Δεκεμβρίου. Εκείνη την ημέρα, η LastPass συμπλήρωνε στην ενημέρωση της πως οι κυβερνοεγκληματίες είχαν χρησιμοποιήσει ορισμένες από τις πληροφορίες που είχαν αποκτηθεί μέσω της κυβερνοεπίθεσης για να υποκλέψουν backup δεδομένα, όπως ονόματα, ταχυδρομικές διευθύνσεις, τηλεφωνικούς αριθμούς, email και διευθύνσεις IP. Επιπλέον, όπως γινόταν γνωστό, κατάφεραν να υποκλέψουν και ορισμένα «θησαυροφυλάκια» (vaults) κωδικών πρόσβασης, που περιείχαν μη κρυπτογραφημένες διευθύνσεις URL και ονόματα ιστότοπων, καθώς και κρυπτογραφημένα usernames και passwords.

Η ίδια ανάρτηση σημείωνε πως τα τελευταία (ονόματα χρήστη και κωδικοί πρόσβασης) παραμένουν κρυπτογραφημένα και πως «μπορούν να αποκρυπτογραφηθούν μόνο με το μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη, χρησιμοποιώντας την αρχιτεκτονική Zero Knowledge». Σύμφωνα με την εταιρεία, το βασικό password για το «θησαυροφυλάκιο» όπου αποθηκεύονται οι υπόλοιποι κωδικοί -γνωστό ως master password- δεν αποθηκεύεται και δεν βρίσκεται υπό την διαχείριση της εταιρείας, ούτε γίνεται γνωστό σε αυτήν (για αυτό και η ίδια δεν μπορεί να το ανακτήσει σε περίπτωση που χαθεί). Σημειωνόταν πως εάν οι users έχουν επιλέξει τις προεπιλεγμένες ρυθμίσεις για αυτό το master password, «θα απαιτηθούν εκατομμύρια χρόνια για να το μαντέψει κάποιος κάνοντας χρήση της διαθέσιμης τεχνολογίας».

Με αυτά και με αυτά, η Lastpass βρέθηκε και πάλι στο στόχαστρο. Μια απλή αναζήτηση στο Google φέρνει στην επιφάνεια σωρεία αρνητικών δημοσιεύσεων, όσον αφορά στον τρόπο κατά τον οποίο έγινε η διαχείριση της διαρροής – αλλά και για τη διαρροή αυτή καθαυτή. Και από εκεί και πέρα, ξεκίνησαν οι συζητήσεις σε σχέση με το ποιες εναλλακτικές υπάρχουν, τι θα πρέπει να κάνει ο χρήστης για να προστατευτεί, τι θα πρέπει να κάνει σε περίπτωση που χρησιμοποιούσε τη συγκεκριμένη υπηρεσία, εάν υπάρχει κίνδυνος για τα δεδομένα του, εάν θα πρέπει να αλλάξει τους κωδικούς πρόσβασης κτλ. Μια γρήγορα συμβουλή είναι πως, ναι, καλό θα είναι κάποιος να αλλάξει εξαιρετικά ευαίσθητους κωδικούς πρόσβασης που είχε αποθηκεύσει στην υπηρεσία, αλλά και να ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων όπου αυτός είναι διαθέσιμος (όπως στις υπηρεσίες της Google, της Microsoft, της Apple, στα e-banking των τραπεζών κτλ.).

Εντούτοις, η όλη κατάσταση της βιομηχανίας, όσον αφορά στους κωδικούς πρόσβασης και τον τρόπο που τους χρησιμοποιούμε και τους διαχειριζόμαστε, προκαλεί μια ανησυχία. Πέρα από το συμβάν με το Lastpass, δεν είναι λίγες οι φορές που έχουμε δει διαρροές κωδικών πρόσβασης. Δεν είναι λίγες οι φορές που έχουμε δει εταιρείες να μην γνωστοποιούν άμεσα (ή και ποτέ) τέτοιου τύπου διαρροές. Δεν είναι λίγες οι φορές που έχουμε δει χρήστες να αποθηκεύουν τα passwords τους σε ένα απλό αρχείο κειμένου, στην επιφάνεια εργασίας τους. Δεν είναι λίγες οι φορές που έχουμε δει χρήστες να βάζουν τον ίδιο (εξαιρετικά απλό) κωδικό πρόσβασης παντού και πάντα. Και δεν είναι λίγες οι φορές που έχουμε δει ακόμη και μεγάλες επιχειρήσεις να μην δίνουν την απαραίτητη σημασία στην ασφάλεια και τη διαχείριση των κωδικών πρόσβασης που χρησιμοποιούν οι υπάλληλοι τους. Είναι πολλές και ανησυχητικές οι «δεν είναι λίγες» φορές. Και το ζήτημα είναι πολύπλευρο.

Ναι, έχουμε δει προτάσεις για εναλλακτικές. Και ναι, έχουμε δει εταιρείες να επενδύουν στην ανάπτυξη άλλων τρόπων ταυτοποίησης. Εντούτοις, εν έτει 2022, δεν φαίνεται να έχει βρεθεί ακόμη το «ιερό δισκοπότηρο», ένας τρόπος ταυτοποίησης που να είναι εξαιρετικά ασφαλής, εύκολος στην χρήση του και ευρέως διαδεδομένος. Είναι αυτοί οι παράγοντες που θα πρέπει να ικανοποιηθούν σε απόλυτο βαθμό, για να μην βλέπουμε διαρροές και συμβάντα όπως το παραπάνω. Εν έτει 2022, στην εποχή του ψηφιακού μετασχηματισμού και των δισεκατομμυρίων ευρώ που κατευθύνονται στην ψηφιοποίηση των… πάντων, είναι μάλλον ανεπίτρεπτο οι χρήστες και οι υπηρεσίες να βασίζονται σε (περισσότερο ή λιγότερο) απλοϊκούς κωδικούς για να κάνουν login. Είναι μάλλον ανεπίτρεπτο να συνεχίζουμε να ακούμε, τόσο συχνά, για περιστατικά όπως αυτό με την Lastpass. Το μέλλον πρέπει να είναι passwordless και προς αυτήν την πορεία θα πρέπει να κατευθυνθούν όλοι οι παράγοντες του κλάδου της πληροφορικής και οι σχετικές επενδύσεις.

Γιατί, με απλά λόγια, το να ψηφιοποιήσω κάθε πτυχή της καθημερινότητας μου και να χρησιμοποιήσω παντού έναν κωδικό πρόσβασης της μορφής 1234567123 (επειδή μπορώ, επειδή… βαριέμαι, επειδή δεν μου επιβάλλεται κάτι πιο ασφαλές), είναι σαν να φτιάχνω ένα πανέμορφο και πανάκριβο σπίτι και για πόρτα να χρησιμοποιώ μια κουρτίνα. Που την παίρνει και ο άνεμος όποτε φυσάει…

Το άρθρο δημοσιεύθηκε στο τεύχος 210 του περιοδικού Infocom

Ακολουθήστε το Infocom.gr και στα Google News, για όλες τις τελευταίες εξελίξεις από τον κόσμο των τηλεπικοινωνιών και της τεχνολογίας!

Infocom Today
SmartTalks

passwords security
Share. Facebook Twitter LinkedIn Email Copy Link
Avatar photo
Χρήστος Κοτσακάς
  • Website
  • LinkedIn

Ο Χρήστος Κοτσακάς είναι δημοσιογράφος με πολυετή εμπειρία στον χώρο του τεχνολογικού, επιχειρηματικού και διεθνούς ρεπορτάζ, επικεντρώνοντας το ενδιαφέρον του στα new media, τις νέες τεχνολογίες και τις startups. Έχει συνεργαστεί με μια σειρά από ηλεκτρονικά και έντυπα μέσα, σε τομείς όπως η αρθρογραφία, η επικοινωνία και η ενημέρωση.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Ηλεκτρονικό σύστημα εξετάσεων εφαρμόζει το ΑΠΘ

Ενιαία ψηφιακή πλατφόρμα για το Κτηματολόγιο με την υπογραφή της Vodafone

Το Υπερ-Συνδεδεμένο Νοσοκομείο: Μέσα στο Ζωντανό Πιλοτικό Πρόγραμμα της Πλατφόρμας wi.care+

ChatGPT: Πως να αλλάξεις τη ζωη σου σε 7 ημέρες

Ο Δήμος Αθηναίων φέρνει το Parkout για τέλος στο ατελείωτο ψάξιμο πάρκινγκ

Το ψηφιακό μέλλον θέλει ανθρώπους

Comments are closed.

Εγγραφείτε στο Weekly Telecom
* indicates required
RSS BizNow.gr
  • Ανανεωμένο στρατηγικό θεματολόγιο για κοινωνική δικαιοσύνη και ποιοτικές θέσεις εργασίας
  • ΕΛΣΤΑΤ: Ετήσια αύξηση 3,9% ο Δείκτης Βιομηχανικής Παραγωγής τον Μάιο 2026
  • «Το Εύλογον»: Η νέα ΤΟΤΕΕ για την αποκατάσταση μνημείων και διατηρητέων κτισμάτων
  • Πειραιώς και Accenture: Ανακοινώνουν την επωνυμία του νέου AI Hub στην Ελλάδα
  • To The Ellinikon ανοίγει στον κόσμο παραδίδοντας το The Ellinikon Sports Park
  • ΑΑΔΕ: Τα επιτεύγματα της ελληνικής φορολογικής διοίκησης στην ετήσια έκθεση της Ευρ. Επιτροπής
  • The Media Business Game: Βαρδινογιάννης, Μαρινάκης και Κυριακού προχωρούν την κοινή πλατφόρμα
RSS itsecuritypro.gr
  • Το Vodafone Business παρουσιάζει τις νέες υπηρεσίες SASE και Secure SD-WAN για ολοκληρωμένη ασφάλεια των επιχειρήσεων
  • Στη Βουλή το σχέδιο νόμου για το Εθνικό Εφαρμοστικό Πλαίσιο του Κανονισμού για την Τεχνητή Νοημοσύνη (AI Act) – Ξεκίνησε η ακρόαση των αρμόδιων φορέων
  • Ψηφιακά περιουσιακά στοιχεία μετά το θάνατο: Πώς να διαχειριστείτε τους κινδύνους για την ψηφιακή κληρονομιά των αγαπημένων σας
  • Newra AI Hub: Μια κοινή πρωτοβουλία της Πειραιώς και της Accenture εγκαινιάζει νέα εποχή στις στις χρηματοπιστωτικές υπηρεσίες
  • Η Commvault διατηρεί τη θέση της ως Leader για 15η συνεχή χρονιά στο Gartner® Magic Quadrant™ για Πλατφόρμες Backup και Προστασίας Δεδομένων
  • Η Ευρώπη ενδυναμώνει τις δεξιότητες κυβερνοασφάλειας με την κοινοπραξία CSC-EDIC – Στρατηγική συμμετοχή της ΕΑΚ
  • NIS2: Από τη δήλωση συμμόρφωσης στην αποδεδειγμένη κυβερνοανθεκτικότητα
Infocom Today

Copyright 2024 | All Rights Reserved

Type above and press Enter to search. Press Esc to cancel.