Οι κωδικοί πρόσβασης είναι η πιο κοινή μορφή ελέγχου ταυτότητας που όλοι έχετε χρησιμοποιήσει. Ωστόσο, τα password δεν είναι απόλυτα ασφαλή καθώς αν είναι ίδια για μεγάλο διάστημα θα μπορούσαν να παραβιαστούν με διάφορες ευφάνταστες τεχνικές που έχουν ανακαλύψει οι hackers. Εναλλακτικά θα μπορούσατε να χρησιμοποιήσετε άλλες μεθόδους ελέγχου ταυτότητας που όμως κάθε μία έχει υπέρ και κατά. Πάμε να δούμε πιο αναλυτικά αυτές τις μεθόδους.
Που χωλαίνουν τα passwords
Καταρχήν τα passwords απαιτούν καλή μνήμη! Αν οι κωδικοί που θα χρησιμοποιείστε είναι αρκετά εύκολοι, ένας hacker με μία επίθεση Brute force μπορεί να τους ανακαλύψει. Αν είναι αρκετά δύσκολοι ώστε να μην υπάρχουν σε ένα λεξικό brute force, είναι δύσκολο να τους θυμηθείτε. Φυσικά υπάρχουν τεχνικές ώστε να έχετε μεγάλους και περίεργους κωδικούς που θα είναι σχετικά ευκολομνημόνευτοι αλλά και πάλι χρειάζεστε ένα δυνατό μυαλό. Φυσικά υπάρχουν και οι password managers αλλά και πάλι απαιτείται να θυμάστε τον ένα και μοναδικό κωδικό για τον ίδιο τον password manager. Σκεφτείτε επίσης το ενδεχόμενο να χρησιμοποιείτε ένα δύσκολο και μεγάλο κωδικό πρόσβασης παντού, ώστε να μπορείτε να τον θυμόσαστε εύκολα αφού θα τον χρησιμοποιείτε συνέχεια. Αν όμως κάποιος τον υποκλέψει τότε θα έχει το κλειδί για όλες τις εφαρμογές και υπηρεσίες που μοιράζονται αυτόν τον κωδικό πρόσβασης. Αφήστε τα λάθη διαχείρισης που γίνονται από τους ίδιους τους χρήστες όταν άθελά τους μοιράζουν απλόχερα τους κωδικούς τους, όπως για παράδειγμα όταν χρησιμοποιούν το δημόσιο Wi-Fi του καφέ της γειτονιάς τους ή όταν κατεβάζουν και εγκαθιστούν απρόσεκτα κακόβουλο λογισμικό στον υπολογιστή τους. Και εντάξει, οι κωδικοί πρόσβασης είναι ένα πρόβλημα. Τι άλλες εναλλακτικές υπάρχουν; Πάμε να τις δούμε.
Έλεγχος με Βιομετρικά στοιχεία
Μπορείτε να χρησιμοποιήσετε τα βιομετρικά σας στοιχεία για την ταυτοποίηση σας. Αυτά είναι το δακτυλικό σας αποτύπωμα, η σάρωση του αμφιβληστροειδούς, η φωνητική επαλήθευση και η αναγνώριση προσώπου. Δεδομένου ότι τα παραπάνω βιομετρικά στοιχεία είναι μοναδικά για κάθε άνθρωπο (πάντα θεωρητικά καθώς υπάρχουν και οι δίδυμοι αλλά και τυχαίες ομοιότητες) ο βιομετρικός έλεγχος ταυτότητας είναι μια δυνατή μέθοδος ασφαλείας. Επιπλέον δεν απαιτείται να θυμάστε κωδικούς και είναι εύκολα προσβάσιμα αφού κουβαλάτε όλα τα παραπάνω κλειδιά πάντοτε μαζί σας. Ακόμα και αν κάποιος hacker καταφέρει να αποκτήσει ένα αντίγραφο του προσώπου, της φωνής ή του δακτυλικού σας αποτυπώματος, η χρήση έξυπνων εργαλείων ασφαλείας και η προσθήκη πρόσθετων μεθόδων ελέγχου ταυτότητας μπορούν να ελαχιστοποιήσουν σημαντικά αυτόν τον κίνδυνο. Μία άλλη, πιο περίπλοκη μέθοδος βιομετρικού ελέγχου ταυτότητας, είναι η αναγνώριση της τυπικής κυματομορφής που δημιουργείται από τον καρδιακό ρυθμό κάθε χρήστη. Ονομάζεται αναγνώριση καρδιακού παλμού ή καρδιακού ρυθμού, και αν και δεν χρειάζεται να κάνετε τίποτα (εκτός από το να είστε ζωντανοί) για να αποκτήσετε πρόσβαση στους λογαριασμούς σας, αυτός ο τύπος ελέγχου ταυτότητας είναι προσανατολισμένος σε περιβάλλοντα υψηλής ασφάλειας και είναι πολύ ακριβός για προσωπική χρήση. Όμως ενώ τα βιομετρικά στοιχεία είναι πιο ασφαλή και φιλικά στην χρήση τους για τον χρήστη, ο βιομετρικός έλεγχος ταυτότητας απαιτεί εξειδικευμένο υλικό και λογισμικό, με επιπρόσθετο κόστος, έστω και μικρό. Επίσης, τα βιομετρικά δεδομένα είναι αρκετά προσωπικά στοιχεία, επομένως μερικοί άνθρωποι μπορεί να αισθάνονται άβολα να τα χρησιμοποιήσουν για έλεγχο ταυτότητας, δεδομένου ότι δύναται οι υπηρεσίες που τα απαιτούν να τα αποθηκεύσουν στην βάση δεδομένων τους.
Έλεγχος ταυτότητας πολλαπλών παραγόντων
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (ή multi-factor authentication – MFA για συντομία) είναι μια μέθοδος ελέγχου ταυτότητας που απαιτεί δύο ή περισσότερους παράγοντες επαλήθευσης πριν επιτρέψει την πρόσβαση σε μια εφαρμογή ή μια ηλεκτρονική υπηρεσία. Έτσι, εκτός από ένα κωδικό πρόσβασης για να επαληθεύσετε πλήρως την ταυτότητά σας θα πρέπει να δώσετε και πρόσθετους παράγοντες επαλήθευσης, όπως κωδικούς πρόσβασης μίας χρήσης, γεωγραφική τοποθεσία ή σάρωση δακτυλικών αποτυπωμάτων. Η σχεδόν αδύνατη υποκλοπή και των δύο ή περισσότερών παραγόντων, από τους hackers, διασφαλίζει ότι δεν πέσετε θύματα απάτης. Αν και το MFA είναι πιο ασφαλές από τη χρήση ενός μόνο στατικού κωδικού πρόσβασης, είναι σχετικά άβολο, καθώς απαιτείται από τους χρήστες να εκτελέσουν πολλά βήματα. Για παράδειγμα, εάν χάσετε μια συσκευή που χρησιμοποιείτε για τον δεύτερο έλεγχο ταυτότητας, θα μπορούσατε να κλειδωθείτε από όλους τους διαδικτυακούς λογαριασμούς σας που χρησιμοποιούν MFA.
Κωδικοί μίας χρήσης
Γνωστοί και ως δυναμικοί κωδικοί πρόσβασης, ή κωδικοί μίας χρήσης (One-Time Passwords – OTP), είναι κωδικοί που μπορούν να χρησιμοποιηθούν μόνο για μία περίοδο σύνδεσης. Έτσι, όπως υποδηλώνει το όνομα, αυτός ο συνδυασμός χαρακτήρων μπορεί να χρησιμοποιηθεί μόνο μία φορά, γεγονός που τον βοηθά να αποφύγετε τα μειονεκτήματα των στατικών κωδικών πρόσβασης. Ενώ τα κλασσικά password των χρηστών παραμένουν ίδια, ο κωδικός πρόσβασης μίας χρήσης αλλάζει με κάθε νέα σύνδεση. Έτσι η κλοπή του δεν έχει πολύ νόημα για τους hackers, καθιστώντας ορισμένους τρόπους κλοπής ταυτότητας αναποτελεσματικούς. Οι τρεις πιο συνηθισμένοι τύποι OTP είναι η αποστολή του μέσω SMS ή μέσω email ή μέσω μίας προκαθορισμένης λίστας κωδικών. Το μειονέκτημα των OTP είναι ότι μπορεί να μην λάβετε κάποιον κωδικό από τον πάροχο υπηρεσιών λόγω δυσχέρειας λειτουργίας του ή να καθυστερήσει λόγω χαμηλής ταχύτητας σύνδεσης στο διαδίκτυο. Το μειονέκτημα της προκαθορισμένης λίστας είναι ότι πρέπει να την έχετε κάπου φυλαγμένη και να διαγράφετε τους κωδικούς που έχετε ήδη χρησιμοποιήσει. Μάλλον άβολη διαδικασία.
Είσοδος μέσω των Social Media
Η μέθοδος αυτή επιτρέπει στους χρήστες να συνδέονται σε εφαρμογές και υπηρεσίες χρησιμοποιώντας πληροφορίες από τους ιστότοπους κοινωνικής δικτύωσης (όπως το Facebook, το Twitter ή το LinkedIn) που είναι ήδη εγγεγραμμένοι και χρησιμοποιούν. Αυτή η μορφή απλής και εξαιρετικά γρήγορη σύνδεση είναι επίσης μια βολική εναλλακτική λύση στην τυπική, χρονοβόρα δημιουργία λογαριασμού. Ωστόσο, οι παραβιάσεις και οι διαρροές έχουν κάνει πολλούς χρήστες να μην εμπιστεύονται τη σύνδεση μέσω της κοινωνικής δικτύωσης όσον αφορά την ασφάλεια. Δεδομένου ότι οι εταιρείες συνεχίζουν να συλλέγουν δεδομένα χρηστών, οι ανησυχίες για το απόρρητο με τις συνδέσεις κοινωνικών δικτύων είναι αυξημένες.
Έλεγχος ταυτότητας με κλειδί ασφαλείας
Πρόκειται για μία τεχνική όπου για την είσοδό σας σε μία υπηρεσία απαιτείται η εισαγωγή ενός μοναδικού κλειδιού που βρίσκεται αποθηκευμένο σε ένα στικάκι το οποίο και συνδέεται με τον υπολογιστή σας μέσω μίας θύρας USB ή σύνδεσης Bluetooth. Για κάθε φορά που θέλετε να συνδεθείτε θα πρέπει να τοποθετήσετε το στικάκι στο pc σας. Τα κλειδιά ασφαλείας μερικές φορές συγχέονται με τα security tokens (ή USB tokens), τα οποία είναι επίσης φυσικές συσκευές, αλλά αυτές δημιουργούν έναν εξαψήφιο αριθμητικό κωδικό όταν ζητηθεί από την υπηρεσία. Αν και παρόμοια τεχνική, δεν είναι η ίδια. Ενώ τα κλειδιά ασφαλείας (Security Key) μπορούν να καταπολεμήσουν επιθέσεις που βασίζονται σε κωδικούς πρόσβασης (phishing, credential stuffing, dictionary passwords και άλλα), εξακολουθούν να είναι σχετικά νέος παίκτης στο παιχνίδι ασφάλειας στον κυβερνοχώρο, επομένως πιθανά να μην τα δείτε ποτέ. Επιπλέον, εάν το κλειδί ασφαλείας σας κλαπεί ή χαθεί, θα έχετε ένα σημαντικό ζήτημα.
Ένα μέλλον χωρίς κωδικό πρόσβασης
Φαίνεται ότι οι κωδικοί πρόσβασης αργοπεθαίνουν και το μέλλον μας επιφυλάσσει ένα διαφορετικό τρόπο σύνδεσης με υπηρεσίες.