Υπάρχει ασφάλεια στα passwords;

[Teo]

Οι άνθρωποι σε όλη την πορεία τους στην ιστορία χρησιμοποιούσαν κωδικούς και συνθηματικά για να προστατεύσουν κάποιες καταστάσεις. Το πρόβλημα με τα passwords θεωρείται προϊστορικό. Στις μέρες μας, δεν υπάρχει σχεδόν κανένα άνθρωπος στον ανεπτυγμένο κόσμο που να μην χρησιμοποιεί σχεδόν καθημερινά κωδικούς. Από το pin της τράπεζας, στον συναγερμό του σπιτιού, στα κινητά και στους ηλεκτρονικούς υπολογιστές.

Είτε επικοινωνείτε με ένα φύλακα ασφαλείας για να σας επιτρέψει την είσοδο σε ένα κτήριο, είτε χρησιμοποιείται username για να αποκτήσετε πρόσβαση σε μια IT πηγή, τα passwords μας έχουν υπηρετήσει πολύ καλά για εκατοντάδες χρόνια. Όμως οι πρόσφατες παραβιάσεις ασφαλείας έχουν δείξει την ανεπάρκεια των passwords σαν μέσο ασφάλισης ευαίσθητων πληροφοριών, και μπορεί να αποδειχτεί ως το «τελευταίο καρφί στο φέρετρο».

O Stephen Byrne, υπεύθυνος παραγωγής στην Baltimore Technologies, διαφωνεί ότι οι πρόσφατες παραβιάσεις ασφαλείας έχουν τονίσει την ανεπάρκεια των password σαν μέσο ασφάλισης ευαίσθητων πληροφοριών. Οι περισσότερες παραβιάσεις (hacking) πλέον δεν γίνονται λόγω κενών ασφαλείας αλλά κενών στην χρήση των κωδικών.

Στις αρχές Αυγούστου η ΒΤ στην υπηρεσία Openworld, παραδέχτηκε ότι το τμήμα υποστήριξης επέτρεψε χρήστες να παρακάμψουν του ελέγχους ασφαλείας και να αποκτήσουν passwords για λογαρισμούς άλλων ανθρώπων. Πρόσφατα, στην στρατιωτική Fort Hood στο Texas, μια φίρμα ασφαλείας απόκτησε πρόσβαση στα δίκτυα άλλων στρατιωτικών βάσεων και πρακτορείων πολιτών, συμπεριλαμβανομένου της NASA. Το εκπληκτικό σε αυτή την περίπτωση ήταν ότι ενώ θα έπρεπε να είναι υψίστης ασφάλειας, η πρόσβαση αποκτήθηκε λόγω της χρησιμοποίησης της λέξης “password” για password! Φυσικά τα παραδείγματα είναι άπειρα...

Η λογική της χρήσης κωδικών δείχνει αρκετά απλή. Κάθε άτομο έχει τον δικό του κωδικό ο οποίος αντιστοιχεί στο username τους, και τους δίνει τα ανάλογα δικαιώματά τους στο σύστημα. Αλλά αν εφαρμόσουμε μερικούς κανόνες ασφαλείας αρχίζει να γίνετε περίπλοκο. Επιτρέπετε στους χρήστες να επιλέξουν το password τους; Είναι το password αρκετά περίπλοκο για να μην μπορεί να το μαντέψει κάποιος ή είναι ευάλωτο σε μια λεξική επίθεση; Εχει τουλάχιστον 8 χαρακτήρες. Ειναι αλφαριθμητικό με σύμβολα; Αλλάζει συχνά;

Στις μέρες μας, τέτοια θέματα διευθετούνται από το δικτυακό λειτουργικό σύστημα (πχ. Windows 2000 Server) και είναι σχετικά εύκολο για τους διαχειριστές. Υπάρχουν όμως μερικά εκπληκτικά ζητήματα τα οποία δεν μπορούν να διευθετηθούν από το λειτουργικό σύστημα. Πως μπορείτε να αποτρέψετε τους χρήστες απ’ το να γράφουν τα passwords σε ένα κομμάτι χαρτί πάνω στο γραφείο τους; Τι θα γίνει αν ξεχάσουν τα password τους; Πως σιγουρεύετε ότι η εμπιστευτικότητα των κωδικών των πελατών σας συντηρείτε; Αυτά τα ζητήματα είναι αρκετά επικίνδυνα στη διαχείριση ενός κλειστού δικτύου, αλλά όταν η κοινωνία των χρηστών είναι μια ανοιχτή ομάδα βασισμένη στο Internet έχετε προβλήματα, όπως εικονογραφούνται στα παραπάνω παραδείγματα.

Εκτός από τα διαχειριστικά ζητήματα, καποιος θα μπορούσε να ρωτήσει για τη δύναμη χρησιμοποίησης username/password ως εργαλείο ασφαλείας. Εκτός και αν ένα password είναι πάνω από οχτώ χαρακτήρες με τον συνδιασμό των κεφαλαίων και των αλφαριθμητικών, δεν μπορεί να χαρακτηριστεί ως δυνατή αναγνώριση, ούτε καν ως αρκετή. Όλα δείχνουν ότι τα passwords είναι μονός συντελεστής απόδειξης της γνησίοτητας. Αν γνωρίζετε το password, μπορείτε να παραστείσετε το χρήστη. Η αναγνώριση του διπλού συντελεστή απαιτεί την κατοχή κάποιου όπως και την γνώση κάποιου, παρέχοντας μια δυνατότερη μορφή απόδειξης γνησιότητας. Υπάρχουν πολλές ποικιλίες αναγνώρισης διπλού συντελεστή, συμπερλαμβανομένου του SecureID ή Digipass. Όμως η καλύτερη λύση για το πρόβλημα έιναι η χρήση της τεχνολογίας Υποδομής Δημόσιου Κλειδιού (PKI) και ψηφιακές ταυτότητες (Digital Certificates). Οι ψηφιακές ταυτότητες παρέχουν έναν τρόπο σίγουρης αναγνώρισης χρηστών και την κληροδοτούνται από πολλές εφαρμογές και πλατφόρμες. Η χρήση των ψηφιακών ταυτοτήτων προσφέρουν ευκολία και για αυτό όλο και περισσότερες οικονομικές, διαχειριστικές διεργασίες τις χρησιμοποιουν όταν ασχολούνται με μεγάλο αριθμό χρηστών, συγκεκριμένα όταν συμπεριλαμβάνουν χρήστες εκτός από το προσωπικό του οργανισμού.

Συνδυασμός ψηφιακών ταυτοτήτων βασισμένα σε δυνατή αναγνώριση με σωστή διαχείριση πρόσβασης και τεχνολογίες αναγνώρισης, σιγουρεύουν ότι οι σωστοί άνθρωποι έχουν τα σωστά δικαώματα προστατεύοντας τη φήμη και τους πόρους του οργανισμού. Οι ψηφιακές ταυτότητες παρέχουν διαχείριση για την ανακάλεση προσόντων όταν ένα χρήστης φύγει ή μετακινηθεί. Μπορεί να γίνει από τους ίδιους ή από τον διαχειριστή. Η παροχή αυτών μπορεί να γίνει σε συστήματα αναγνώρισης για την εξασφάλιση των πιστοποιήσεων σε smartcard, κινητό ή κουπόνι USB.

Τέτοια συστήματα ασφαλείας δεν είναι μια πολυτέλεια αυστηρά για ένα μεγάλο οικονομικό ή κυβερνητικό οργανισμό αλλα γίνονται ρεαλιστικές επιλογές για μικρότερες επιχειρήσεις σε όλους τους βιομηχανικούς τομείς. Όπως και η ασφάλιση του δικτύου, δυνατότερα συστήματα ασφαλείας θα προστατεύσουν την φήμη των οργανισμών και θα δώσουν εμπιστοσύνη στο Internet.

Πολλοί που είναι απλοί χρήστες του internet, όταν τους ρωτάω αν έχουνε αγοράσει κάτι ηλεκτρονικά χρεώνοντας την πιστωτική τους κάρτα μου απαντάνε με την γνωστή τεχνοφοβική φημολογία. Μα λένε ότι μπορούν να μου κλέψουν τον αριθμό της κάρτας μου και να τον χρησιμοποιήσουν. Η απάντησή μου είναι η εξής. Οταν πας σε ένα κατάστημα ρούχων, η κάθε κοπελίτσα στο ταμείο που χρεώνει την κάρτα σου, έχει πρόσβαση στον αριθμό σου αφού έχεις αφήσει πίσω σου και μία υπογεγραμμένη απόδειξη συναλλαγής. Δεν είναι λίγες οι φορές που τοποθετούνε αυτές τις αποδείξεις τη μία πάνω από την άλλη δίπλα στην ταμειακή μηχανή. Πραγματικά ιδίως σε πολυκαταστήματα είναι πολύ πιο εύκολο να φύγεις με αριθμούς πιστωτικών καρτών από το να τις βρεις στο internet.

Στις περισσότερες περιπτώσεις το κενό ασφαλείας δεν αφορά το σύστημα αλλά τους χρήστες. Οφείλεται στην εκπαίδευση και την παιδεία που δεν τους μεταδόθηκε ποτέ.