«Επισφαλής η χρήση ίδιου password σε διαφορετικούς λογαριασμούς και υπηρεσίες»
11.08.2014
19:16
1,2 δισεκατομμύρια κλεμμένα στοιχεία login φέρνουν στο φως το μείζον ζήτημα παραβίασης των κωδικών πιστοποίησης της ταυτότητας των χρηστών
Το πρόβλημα του ευάλωτου τρόπου επιβεβαιώσεις της ταυτότητας των χρηστών μέσω λέξεων-κλειδί (passwords) -οι οποίες συχνά επαναλαμβάνονται, καθώς οι περισσότεροι χρησιμοποιούν την ίδια “μυστική” λέξη για την πρόσβασή τους σε διαφορετικές online υπηρεσίες (όπως λογαριασμούς email και social media ή ακόμα και εφαρμογές web banking), καταδεικνύει πρόσφατη έκθεση, σύμφωνα με την οποία ομάδα Ρώσων υπέκλεψε 1,2 δισεκατομμύρια user names και passwords από 420.000 ιστοσελίδες.
Σύμφωνα με πληροφορίες, οι παραβιάσεις αφορούν διαφορετικά μεγέθη επιχειρήσεων, από εταιρείες της λίστας Fortune 500 μέχρι πολύ μικρές επιχειρήσεις. Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν, καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.
Η ομάδα των Ρώσων φέρεται να κατάφερε να αποκτήσει αυτά τα στοιχεία με την χρήση botnets, εντοπίζοντας έτσι ιστοσελίδες με ευπάθειες. Θεωρείται ότι οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, τις έχουν χρησιμοποιήσει για να στείλουν μηνύματα spam μέσω κοινωνικών δικτύων. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες χρησιμοποιήσουν τα passwords σε άλλες online υπηρεσίες -κάτι το οποίο συνηθίζεται από τους περισσότερους, τότε οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση και σε άλλους λογαριασμούς, συλλέγοντας έτσι επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το περιστατικό καταδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι συχνή η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες και υπηρεσίες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν.
Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, να μπορεί ενδεχομένως να αποκτήσει μη εξουσιοδοτημένη πρόσβαση και σε πολλούς άλλους λογαριασμούς του.
Ακόμα και η συχνή ενημέρωση για σημαντικές ευπάθειες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από το Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο εντοπισμένο σφάλμα.
Σύμφωνα με πληροφορίες, οι παραβιάσεις αφορούν διαφορετικά μεγέθη επιχειρήσεων, από εταιρείες της λίστας Fortune 500 μέχρι πολύ μικρές επιχειρήσεις. Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν, καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.
Η ομάδα των Ρώσων φέρεται να κατάφερε να αποκτήσει αυτά τα στοιχεία με την χρήση botnets, εντοπίζοντας έτσι ιστοσελίδες με ευπάθειες. Θεωρείται ότι οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, τις έχουν χρησιμοποιήσει για να στείλουν μηνύματα spam μέσω κοινωνικών δικτύων. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες χρησιμοποιήσουν τα passwords σε άλλες online υπηρεσίες -κάτι το οποίο συνηθίζεται από τους περισσότερους, τότε οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση και σε άλλους λογαριασμούς, συλλέγοντας έτσι επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το περιστατικό καταδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι συχνή η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες και υπηρεσίες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν.
Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, να μπορεί ενδεχομένως να αποκτήσει μη εξουσιοδοτημένη πρόσβαση και σε πολλούς άλλους λογαριασμούς του.
Ακόμα και η συχνή ενημέρωση για σημαντικές ευπάθειες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από το Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο εντοπισμένο σφάλμα.
Η χρήση φορητών συσκευών
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication -πιστοποίηση δυο φάσεων. Οταν οι χρήστες κάνουν log in με τα passwords τους, λαμβάνουν μέσω email, SMS ή απευθείας σε εφαρμογές έναν δεύτερο, προσωρινό κωδικό.
Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στον δεύτερο κωδικό για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι η βιομετρική πιστοποίηση. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, πρώτη η Apple την έκανε ευρέως γνωστή, με την προσθήκη ενός αισθητήρα αναγνώρισης του δακτυλικού αποτυπώματος στο iPhone 5S. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο κεντρικό πλήκτρο. Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει τη δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Το authentication του μέλλοντος
Η διαδικασία πιστοποίησης των χρηστών φαίνεται πως έχει ακόμα πολύ δρόμο, καθώς οι ερευνητές αναζητούν συνεχώς νέους τρόπους, που συχνά μοιάζουν να προέρχονται από ταινίες επιστημονικής φαντασίας. Την περασμένη χρονιά, η Regina Dugan, επικεφαλής του Advanced Technology and Projects group στη Google, πρότεινε ένα τατουάζ ή ένα χάπι κατάποσης που να μπορεί να αναγνωρίζει τον χρήστη.Το μόνο που θα χρειάζεται να κάνουν οι χρήστες είναι να ακουμπούν την συσκευή τους – ή ακόμα και το αυτοκίνητο τους – για να την ξεκλειδώσουν.
Μια εταιρεία που αναδείχθηκε από το πανεπιστήμιο της Οξφόρδης εργάζεται, επίσης, πάνω σε ένα νέο σύστημα authentication. Το σύστημα της Oxford BioChronometrics υπολογίζει τις αμέτρητες διαφορετικές συμπεριφορές που φέρει ένας χρήστης όταν αλληλεπιδρά με τη συσκευή του.
Αυτό θα μπορούσε να περιλαμβάνει τον τρόπο που ο χρήστης γέρνει προς το κινητό του τηλέφωνό όταν πληκτρολογεί, την ταχύτητα που κάνει scroll, τις κινήσεις που κάνει με το ποντίκι του και ακόμα περισσότερα. Το σύστημα συνδυάζει αυτές τις πληροφορίες για να δημιουργήσει ένα “electronically Defined Natural Attributes (eDNA)” του χρήστη, το οποίο στη συνέχεια χρησιμοποιεί για να αναγνωρίσει την ταυτότητά του.
Χρήσιμα βήματα
Εντούτοις, ίσως περάσει αρκετός καιρός μέχρι αυτά τα φιλόδοξα projects για τις μεθόδους authentication να γίνουν πραγματικότητα.
Ετσι, για την ώρα, εταιρείες που ειδικεύονται στην παροχή λύσεων ασφαλείας και στην προστασία των υπολογιστικών συστημάτων, όπως Symantec, συμβουλεύουν τους χρήστες να διαφυλάξουν τις online πληροφορίες τους από τους επιτιθέμενους ακολουθώντας κάποια απλά βήματα:
-Χρησιμοποιείστε πάντα ισχυρά passwords και ποτέ μην τα χρησιμοποιείτε ξανά σε άλλες ιστοσελίδες ή εφαρμογές.
-Ενεργοποιείστε το two-factor authentication στις ιστοσελίδες που το παρέχουν.
-Εξετάστε το ενδεχόμενο χρήσης ενός password manager, όπως το Norton Identity Safe, το οποίο αποθηκεύει με ασφάλεια διαφορετικούς κωδικούς πρόσβασης σε online υπηρεσίες.
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication -πιστοποίηση δυο φάσεων. Οταν οι χρήστες κάνουν log in με τα passwords τους, λαμβάνουν μέσω email, SMS ή απευθείας σε εφαρμογές έναν δεύτερο, προσωρινό κωδικό.
Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στον δεύτερο κωδικό για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι η βιομετρική πιστοποίηση. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, πρώτη η Apple την έκανε ευρέως γνωστή, με την προσθήκη ενός αισθητήρα αναγνώρισης του δακτυλικού αποτυπώματος στο iPhone 5S. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο κεντρικό πλήκτρο. Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει τη δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Το authentication του μέλλοντος
Η διαδικασία πιστοποίησης των χρηστών φαίνεται πως έχει ακόμα πολύ δρόμο, καθώς οι ερευνητές αναζητούν συνεχώς νέους τρόπους, που συχνά μοιάζουν να προέρχονται από ταινίες επιστημονικής φαντασίας. Την περασμένη χρονιά, η Regina Dugan, επικεφαλής του Advanced Technology and Projects group στη Google, πρότεινε ένα τατουάζ ή ένα χάπι κατάποσης που να μπορεί να αναγνωρίζει τον χρήστη.Το μόνο που θα χρειάζεται να κάνουν οι χρήστες είναι να ακουμπούν την συσκευή τους – ή ακόμα και το αυτοκίνητο τους – για να την ξεκλειδώσουν.
Μια εταιρεία που αναδείχθηκε από το πανεπιστήμιο της Οξφόρδης εργάζεται, επίσης, πάνω σε ένα νέο σύστημα authentication. Το σύστημα της Oxford BioChronometrics υπολογίζει τις αμέτρητες διαφορετικές συμπεριφορές που φέρει ένας χρήστης όταν αλληλεπιδρά με τη συσκευή του.
Αυτό θα μπορούσε να περιλαμβάνει τον τρόπο που ο χρήστης γέρνει προς το κινητό του τηλέφωνό όταν πληκτρολογεί, την ταχύτητα που κάνει scroll, τις κινήσεις που κάνει με το ποντίκι του και ακόμα περισσότερα. Το σύστημα συνδυάζει αυτές τις πληροφορίες για να δημιουργήσει ένα “electronically Defined Natural Attributes (eDNA)” του χρήστη, το οποίο στη συνέχεια χρησιμοποιεί για να αναγνωρίσει την ταυτότητά του.
Χρήσιμα βήματα
Εντούτοις, ίσως περάσει αρκετός καιρός μέχρι αυτά τα φιλόδοξα projects για τις μεθόδους authentication να γίνουν πραγματικότητα.
Ετσι, για την ώρα, εταιρείες που ειδικεύονται στην παροχή λύσεων ασφαλείας και στην προστασία των υπολογιστικών συστημάτων, όπως Symantec, συμβουλεύουν τους χρήστες να διαφυλάξουν τις online πληροφορίες τους από τους επιτιθέμενους ακολουθώντας κάποια απλά βήματα:
-Χρησιμοποιείστε πάντα ισχυρά passwords και ποτέ μην τα χρησιμοποιείτε ξανά σε άλλες ιστοσελίδες ή εφαρμογές.
-Ενεργοποιείστε το two-factor authentication στις ιστοσελίδες που το παρέχουν.
-Εξετάστε το ενδεχόμενο χρήσης ενός password manager, όπως το Norton Identity Safe, το οποίο αποθηκεύει με ασφάλεια διαφορετικούς κωδικούς πρόσβασης σε online υπηρεσίες.
Ακολουθήστε το protothema.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr