ΠΕΖΑ; ΚΕΦΑΛΑΙΑ; ΑΡΙΘΜΟΙ; ΣΥΜΒΟΛΑ; ΜΑ ΓΙΑΤΙ, ΕΠΙΤΕΛΟΥΣ, ΤΑ ΧΡΕΙΑΖΟΜΑΙ ΟΛΑ ΑΥΤΑ;

Προσπαθήστε οι κωδικοί σας να αποτελούνται από οκτώ τουλάχιστον χαρακτήρες (σε μέγεθος) και να συμπεριλαμβάνουν τουλάχιστον έναν χαρακτήρα από όλα τα διαθέσιμα «αλφάβητα»

Φυσικά οι επιτιθέμενοι, όταν προσπαθούν να βρουν έναν κωδικό πρόσβασης, δεν δοκιμάζουν έναν-έναν όλους τους συνδυασμούς. Χρησιμοποιούν ειδικό λογισμικό, το οποίο με τη σειρά του αξιοποιεί την επεξεργαστική ισχύ του υπολογιστή τους

Οι κωδικοί πρόσβασης (passwords) έχουν εδώ και καιρό μπει για τα καλά στην καθημερινότητά μας και δεν προβλέπεται να φύγουν από αυτήν, στο εγγύς μέλλον τουλάχιστον. Το χαμηλό κόστος τους (σε σχέση με άλλες τεχνολογίες), σαν μηχανισμός ασφαλούς πρόσβασης, τους καθιστά ιδανικούς για χρήση σε μια πλειάδα διαφορετικών συσκευών και συστημάτων, από τον προσωπικό και εταιρικό μας υπολογιστή, μέχρι και στην ηλεκτρονική μας τραπεζική υπηρεσία και το κινητό μας τηλέφωνο. Τα τελευταία χρόνια ακούμε και διαβάζουμε συνεχώς για τη σημασία του να έχουμε έναν «ισχυρό» κωδικό πρόσβασης - με πολλά γράμματα, αριθμούς και σύμβολα. Τι είναι όμως αυτό που πραγματικά κάνει έναν κωδικό πρόσβασης «ισχυρό»;

Η «ισχύς» ενός κωδικού πρόσβασης εξαρτάται από δύο βασικούς παράγοντες: Από το «μέγεθος» του κωδικού και από την «πολυπλοκότητά» του. Με το «μέγεθος», εννοούμε φυσικά το πόσο μεγάλος σε έκταση είναι ένας κωδικός (σε αριθμό χαρακτήρων), ενώ η πολυπλοκότητα εξαρτάται από τα διαφορετικά είδη (σετ) χαρακτήρων που μπορούμε να χρησιμοποιήσουμε, όπως θα εξηγήσουμε στις παρακάτω γραμμές. Στο παράδειγμα που θα χρησιμοποιήσουμε, θα λάβουμε υπόψη μόνο τη δυνατότητα ενός εισβολέα να επιχειρήσει μια «brute-force» επίθεση εναντίον του κωδικού μας. Μια τέτοιου είδους επίθεση σημαίνει ότι ο επιτιθέμενος δοκιμάζει (συνήθως μέσω κάποιου εξειδικευμένου λογισμικού) όλους τους πιθανούς συνδυασμούς των γραμμάτων, αριθμών και συμβόλων, μέχρι να επιτύχει τον σωστό συνδυασμό.

Το «λεξιλόγιο»

Η «πολυπλοκότητα» του κωδικού εξαρτάται από τον συνδυασμό των διαφορετικών «αλφαβήτων» στον κωδικό μας. Αυτά τα «αλφάβητα», όταν προστίθενται μαζί, συνθέτουν το «λεξιλόγιο» της επίθεσης. Τα διαθέσιμα «αλφάβητα» χωρίζονται στις εξής κατηγορίες:

1. Πεζά γράμματα (a-z): 26 πιθανά γράμματα
2. Κεφαλαία γράμματα (A-Z): 26 πιθανά γράμματα
3. Αριθμοί (0-9): 10 πιθανοί αριθμοί
4. Σύμβολα (&,%, $ ,! κλπ): 7 πιθανοί χαρακτήρες

Λαμβάνοντας υπόψη το γεγονός ότι για να βρει ένας επιτιθέμενος τον κωδικό μας θα πρέπει να δοκιμάσει όλους τους διαφορετικούς πιθανούς συνδυασμούς, όσο μεγαλύτερο είναι το «λεξιλόγιο» που χρησιμοποιήσαμε για τον κωδικό μας, τόσο περισσότερος χρόνος θα χρειαστεί για την ανεύρεσή του. Για παράδειγμα, σκεφτείτε να έχετε έναν κωδικό πρόσβασης τριών χαρακτήρων. Αν χρησιμοποιήσουμε μόνο πεζά γράμματα, ο εισβολέας θα πρέπει να δοκιμάσει κάθε πιθανό συνδυασμό πεζών γραμμάτων (από το a-z) για κάθε έναν από τους τρεις χαρακτήρες που συνθέτουν τον κωδικό πρόσβασης. Το «λεξιλόγιο» κατ’ επέκταση, θα αποτελείται από μόλις 26 χαρακτήρες. Συγκεκριμένα, ο επιτιθέμενος θα πρέπει να δοκιμάσει 18.278 διαφορετικούς συνδυασμούς, για να βρει τον κωδικό μας.

Τώρα, εάν στον κωδικό μας χρησιμοποιήσουμε πεζά γράμματα και αριθμούς, το «λεξιλόγιο» θα αποτελείται πλέον από 26 + 10 = 36 χαρακτήρες. Άρα, ο εισβολέας θα πρέπει τώρα να δοκιμάσει 47. 988 διαφορετικούς συνδυασμούς.

Είναι προφανές ότι όσο το «λεξιλόγιο» γίνεται μεγαλύτερο, τόσο πιο δύσκολο γίνεται για τον επιτιθέμενο να βρει τον κωδικό πρόσβασης. Αν χρησιμοποιήσουμε και τα τέσσερα διαθέσιμα «αλφάβητα», τότε το «λεξιλόγιό» μας θα αυξηθεί σε 69 συνολικά χαρακτήρες. Άρα για τον ίδιο κωδικό, ο επιτιθέμενος θα πρέπει να δοκιμάσει 328.509 διαφορετικούς συνδυασμούς. Κατά συνέπεια, μπορεί να γίνει εύκολα αντιληπτό για ποιο λόγο ο κωδικός μας πρέπει να συμπεριλαμβάνει χαρακτήρες από όλα τα «αλφάβητα» (a-z, A-Z, 0-9 και σύμβολα).

Σε ένα δευτερόλεπτο

Φυσικά, οι επιτιθέμενοι, όταν προσπαθούν να βρουν έναν κωδικό πρόσβασης, δεν δοκιμάζουν έναν-έναν όλους αυτούς τους συνδυασμούς! Χρησιμοποιούν ειδικό λογισμικό, το οποίο με τη σειρά του αξιοποιεί την επεξεργαστική ισχύ του υπολογιστή τους. Ενδεικτικά, για τον κωδικό των τριών χαρακτήρων που χρησιμοποιήσαμε στο παράδειγμά μας, και που αξιοποιεί μόνο πεζά γράμματα και αριθμούς, (και όπως είδαμε έχει 47.988 διαφορετικούς συνδυασμούς), το λογισμικό μπορεί να δοκιμάσει όλους τους πιθανούς συνδυασμούς σε λιγότερο από ένα δευτερόλεπτο, χρησιμοποιώντας έναν κανονικό υπολογιστή γραφείου. Για να δούμε όμως ακόμα μερικά παραδείγματα κωδικών με τον (ενδεικτικό) συνολικό χρόνο που χρειάζεται για να «σπάσουν»:

· Κωδικός: 1038529384240 (μήκος = 13, χρησιμοποιώντας μόνο ένα αλφάβητο - αριθμούς)
Χρόνος: 41 λεπτά
· Κωδικός: AlexJohnes (μήκος = 10, δύο αλφάβητα - πεζά και κεφαλαία γράμματα)
Χρόνος: Περίπου 365 ημέρες
· Κωδικός: Ap10bRt! (Μήκος = 8, χρησιμοποιώντας και τα 4 αλφάβητα - πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα)
Χρόνος: Περίπου πέντε χρόνια
· Κωδικός: AvFdRgFFsDC (μήκος = 11, με τη χρήση δύο αλφαβήτων - πεζά και κεφαλαία γράμματα)
Χρόνος: Περίπου 59 χρόνια

Άρα, σε έναν κωδικό πρόσβασης και το «μέγεθος» και η «πολυπλοκότητα» μετρούν. Προσπαθήστε οι κωδικοί σας να αποτελούνται από οκτώ τουλάχιστον χαρακτήρες (σε μέγεθος) και να συμπεριλαμβάνουν τουλάχιστον έναν χαρακτήρα απ' όλα τα διαθέσιμα «αλφάβητα», πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα. Και αν νομίζετε ότι τέτοιου είδους κωδικοί είναι δύσκολο να απομνημονευθούν, προσπαθήστε να τους χρησιμοποιήσετε σε μια φράση: Για παράδειγμα, η φράση «I like to eat one egg and toast for breakfast» μπορεί να μετατραπεί στον «ασφαλή» κωδικό «Il2e1e&tfb». Όσο πιο δημιουργικοί μπορείτε να γίνετε, τόσο πιο «ασφαλή» μπορείτε να κάνετε τον κωδικό σας!

Γενικές συμβουλές

Και επειδή υπάρχουν και άλλα είδη «έξυπνων» επιθέσεων (εκτός από «brute-force») που μπορούν να χρησιμοποιήσουν επιτήδειοι για να βρουν τους κωδικούς σας, κλείνουμε με μια λίστα από εννέα επιπρόσθετες γενικές συμβουλές για το τι να αποφύγετε στους κωδικούς σας:

1. Μη χρησιμοποιείτε ποτέ τον ίδιο κωδικό και όνομα χρήστη (username)

2.Μη χρησιμοποιείτε ονόματα μελών της οικογένειας, φίλων ή κατοικίδια ζώα.

3.Μη χρησιμοποιείτε γενικές πληροφορίες σχετικά με τον εαυτό σας ή τα μέλη της οικογένειας, όπως για παράδειγμα η ημερομηνία γέννησης, ο αριθμός τηλεφώνου, ο αριθμός κυκλοφορίας του οχήματος, το όνομα του δρόμου, το διαμέρισμα / αριθμός σπιτιού κ.λπ.

4.Μη χρησιμοποιείτε «sequences», δηλαδή συνεχόμενα γράμματα του αλφάβητου, αριθμούς ή πλήκτρα στο πληκτρολόγιο, π.χ. ABCDE, 12345, qwerty.

5.Μη χρησιμοποιείτε λέξεις που μπορούν να ανευρεθούν σε κοινά λεξικά - δημιουργείστε τις δικές σας.

6. Μη χρησιμοποιείτε λέξεις που μπορούν να βρεθούν σε κοινά λεξικά και να θεωρήσετε ότι γίνονται ασφαλέστερες με την απλή αντικατάσταση ενός γράμματος με αριθμό όπως π.χ. «passw0rd».

7. Μη χρησιμοποιείτε οποιεσδήποτε κοινές λέξεις σε αντίστροφη σειρά, π.χ. «drowssap» (από το «password»)

8. Μη χρησιμοποιείτε οποιεσδήποτε κοινές λέξεις με την προσθήκη ενός αριθμού στην αρχή ή στο τέλος, π.χ. «password1234 ή «123password».

9. Φροντίστε να ελέγχετε πάντα την «ισχύ» των κωδικών σας χρησιμοποιώντας σχετικές ιστοσελίδες όπως η .

ΑΛΕΞΗΣ ΜΙΧΑΗΛ
Υποψ. Διδάκτωρ Ασφάλειας Πληροφοριών,
BSc, MSc, MBA, CISSP, CISA, CEH, EDRP, Security+,
Διευθυντής Ασφάλειας Πληροφοριών
και Επικεφαλής του Προγράμματος Διαδικτυακής Ασφάλειας Ledra College