FYI.

This story is over 5 years old.

Τεχνολογία

Ο Κωδικός σου Δεν Είναι Ασφαλής και Δεν Φταις Εσύ για Αυτό

Μίλησα με τον ειδικό σε θέματα διαδικτυακής ασφαλείας Nik Cubrilovic για το πώς θα έλυνε τα προβλήματα στον κόσμο των password.
Mike Pearl
Κείμενο Mike Pearl
09 Οκτώβριος 2014, 10:29pm
Φωτογραφία: Flickr/ user: Christian Ditaputratama

Όταν μιλάμε για κωδικούς, μιλάμε για ένα εκ της συμβάσεως «σπασμένο» σύστημα, καθώς όση ασφάλεια και να προσπαθούμε να καρπωθούμε δημιουργώντας κωδικούς και κρύβοντας τα μυστικά μας, η αλήθεια είναι πως τις περισσότερες φορές δεν καταφέρνουμε απολύτως τίποτα.

Αποφάσισα να βρω ένα φάρμακο για αυτή την αρρώστια. Ξεκίνησα στήνοντας ένα έξυπνο σύστημα, ώστε να παράγω άσχετα μεταξύ τους πράγματα, αλλά με έναν τρόπο που θα μπορούσα να θυμηθώ. Δεν πρόκειται να αναφερθώ με λεπτομέρεια στο σύστημά μου, αλλά θα σας πω μόνο ότι περιλαμβάνει το όνομα της υπηρεσίας για την οποία έπρεπε να έχω κωδικό και έναν κωδικό που έχει νόημα μόνο για μένα.

Εξήγησα το σύστημα μου στον ειδικό σε θέματα διαδικτυακής ασφάλειας Nik Cubrilovic για να δω αν χρειαζόταν κάποια βελτίωση. Πρέπει να υπάρχει άλλωστε ένα καλό σύστημα για να δημιουργείς κωδικούς, πάνω στο οποίο να συμφωνούν οι ειδικοί. Και σίγουρα ένας απλός άνθρωπος σαν κι εμένα θα μπορούσε να εφαρμόσει ένα τέτοιο σύστημα έτσι δεν είναι;

Πιάνουμε την κουβέντα από το σημείο που το εξηγώ το άκρως απόρρητο σύστημα παραγωγής password μου.

VICE: Πώς σου φαίνεται το σύστημα που έφτιαξα για να δημιουργώ τα passwords μου;
Nik Cubrilovic: Για να το ξεκαθαρίσουμε, αν κάποιος έβλεπε έναν από τους κωδικούς σου, θα μπορούσε να βρει τους υπόλοιπους; Έχω ακούσει για παρόμοια συστήματα όπου παίρνεις το γράμμα τάδε της υπηρεσίας που σε αφορά, μετά ένα γράμμα από μια αγαπημένη σου μπάντα, μετά μια γραμμή από έναν τραγούδι τους και χρησιμοποιείς όλα τα παραπάνω ως αρχής και βάση του κωδικού σου.

Δεν θα χρησιμοποιούσα ποτέ λέξεις από το λεξικό…
Κι όμως κάνεις λάθος, γιατί όταν συνδυάσεις τέσσερις λέξεις – και υπάρχουν υπολογισμοί που αποδεικνύουν αυτό που σου λέω – φτιάχνεις έναν πιο δυνατό κωδικό από οτιδήποτε μπορεί να σκεφτεί κάποιος.

Ναι αλλά οι λέξεις είναι καλύτερες από τις άκυρες συνδέσεις που χρησιμοποιώ εγώ για να φτιάξω passwords;
Άκου. Το ανθρώπινο μυαλό δεν παράγει άκυρα ή ασύνδετα πράγματα με επιτυχία. Αν ρωτήσεις κάποιον να σου πει ένα νούμερο από το ένα μέχρι το 100 και μετά τους πεις να το κάνει 1000 φορές, θα δεις ότι οι επιλογές του δεν είναι ασύνδετες. Αυτό γίνεται ακόμα χειρότερο με τους κωδικούς. Όταν βάζεις κάποιον στην διαδικασία να βγάλει ένα password, το αποτέλεσμα είναι συνήθως κακό. Αυτό είναι πλέον δεδομένο και υπάρχουν και τα στοιχεία που το αποδεικνύουν.

Τι είδους στοιχεία;
Οι βάσεις δεδομένων που κρατάνε κωδικούς δεν είναι τέλειες, τις κλέβουν, τις χακάρουν και μετά απλά αναλύονται οι διάφοροι κωδικοί. Η πιο διάσημη τέτοια περίπτωση ήταν το rockyou.com, από την οποία βγήκαν 40 εκατομμύρια κωδικοί. Το 87% αυτών χακαρίστηκαν με ένα απλό αγγλικό λεξικό και με μικρές διαφοροποιήσεις και αλλαγές, όπως το να αλλάζεις το Ο με το 0, προσθέτοντας ένα ερωτηματικό ή ένα θαυμαστικό στο τέλος ή τους αριθμούς 12345. Όλοι αυτοί οι κωδικοί χακαρίστηκαν μέσα σε ελάχιστες ώρες.

Ομολογώ ότι το σύστημά μου κάπως έτσι είναι. Γιατί είναι καλύτερες οι απλές λέξεις από το λεξικό;
Κοίτα, το να χρησιμοποιήσεις τέσσερις Αγγλικές λέξεις όπως "big hay straw stack" είναι ένα δυνατό password. Ξέρω ότι ίσως ακούγεται αντίθετο με το οτιδήποτε έχεις ακούσει σχετικά με το διαδίκτυο, αλλά το Oxford Dictionary έχει πόσες λέξεις; 200.000; Σκέψου λοιπόν 200.00 εις την τετάρτη και όλους τους πιθανούς συνδυασμούς. Δημιουργεί πολύ πιο δυνατές επιλογές από μια λέξη που στο τέλος της έχει μερικά ψηφία ή ένα θαυμαστικό ή οτιδήποτε άλλο μπορεί να σκεφτεί κάποιος.

Μου έχεις ανοίξει τα μάτια. Υπάρχουν όμως υπηρεσίες που σου λένε «όχι, βάλε κάτι άλλο, δεν μπορείς να χρησιμοποιήσεις λέξεις από το λεξικό».
Αυτό δεν είναι καλό. Ξεκίνησα έναν ιστότοπο που λέγεται badpasswords.org και αναδεικνύει ιστότοπους που ακολουθούν κακές πρακτικές σχετικά με τους κωδικούς. Αυτό που αναφέρεις είναι ένα από τα βασικά πράγματα που δεν θα έπρεπε να κάνουν. Θα πρέπει κιόλας να συμπεριλάβεις και αυτό το κόμικ σε κάθε ποστάρισμα που κάνεις σχετικό με passwords, γιατί πιστεύω ότι μιλάει με ιδανικό τρόπο για το πώς θα έπρεπε να χρησιμοποιείς λέξεις ως κωδικό.

Σε αυτό το σημείο που έδειξε αυτό το κόμικ του XKCD.

Θα μπορούσες να μου κάνεις μια περίληψη του τι λέει το κόμικ;
Αυτοί οι περιορισμοί, κάνουν την παραγωγή κωδικών πιο δύσκολη και άρα κάνει τα όποια passwords πιο εύκολα να βρεθούν. Αν κοιτάξεις το πρώτο καρέ του κόμικ, μιλάει για «κοινές αντικαταστάσεις» (common substitutions). Επειδή πλέον τόσοι κωδικοί έχουν χακαριστεί και επειδή έχουμε τόσα στοιχεία σχετικά με τον τρόπο που ο άνθρωπος βγάζει έναν κωδικό, τα προγράμματα που υπολογίζουν τέτοιες αντικαταστάσεις είναι πλέον πολύ καλά σε αυτό που κάνουν. Τρομακτικά καλά.

Το εύρος επιλογών είναι 44 στοιχεία εν συγκρίσει με τα 28. Για να στο οπτικοποιήσω αυτό, κάθε στοιχείο διπλασιάζει τον απαιτούμενο χρόνο, οπότε η διαφορά μεταξύ 28 και 29 στοιχείων είναι πολύ σημαντική. Αν ένας κωδικός 28 στοιχείων απαιτεί μια ημέρα για να τον σπάσεις, ένας κωδικός 29 στοιχείων χρειάζεται δύο ημέρες. Αν συνεχίσεις και υπολογίζεις με βάση αυτήν την κλίμακα μέχρι τα 44 στοιχεία, καταλήγεις με ένα σενάριο όπου ουσιαστικά θα σου πάρει δεκαετίες για να σπάσεις έναν κωδικό που είναι μόλις τέσσερεις λέξεις. Και θα είναι και πιο εύκολος να τον θυμάσαι.

Οπότε δεν πρέπει ποτέ να χρησιμοποιούμε τους κωδικούς μας; Πρέπει απλά να παίρνουμε τέσσερις λέξεις;
Ότι κάνουμε τώρα ως σωστό είναι λάθος. Το άλλο λάθος είναι αυτό που αναγκάζει κόσμο να αλλάζει τους κωδικούς του ανά τακτά χρονικά διαστήματα. Το μόνο που καταφέρνεις με αυτό είναι να αναγκάζεις τους ανθρώπους να σημειώνουν τους κωδικούς τους κάπου ή να επιλέγουν κάτι πιο απλό. Ή να κλειδώνουν τους εαυτούς τους έξω από τους λογαριασμούς τους. Οπότε, σχεδόν όλα από αυτά που κάνουμε σχετικά με τους κωδικούς μας, είναι λάθος. Αυτά είναι τα άσχημα νέα. Τα καλά νέα είναι πως αυτές οι πρακτικές έχουνε αρχίσει να αλλάζουν.

Αφού μίλησα στον Nik, ήρθα σε επαφή με τον δημιουργό του XKCD, Randall Munroe, ο οποίος σχεδίασε το σκίτσο και είναι ουσιαστικά η ποιητική φιγούρα των πιο nerd-ικών κομματιών του διαδικτύου. Υπέθεσα ότι θα υποστήριζε το σύστημα για το οποίο μιλούσε στο σκίτσο, ως τον ξεκάθαρο τρόπο για να λύσει κανείς όλα του τα προβλήματα με τους κωδικούς. Όπως μπορείτε να φανταστείτε, τα πράγματα είναι κάπως πιο περίπλοκα.

«Ελάχιστα πράγματα που έχω γράψει, δημιούργησαν τόσο ντόρο όσο αυτό», μου εξήγησε. «Το διαδίκτυο είναι γεμάτο από ερασιτέχνες αναλυτές ασφαλείας».

Το επόμενο που μου είπε ήταν ακόμα καλύτερο.

«Έχω αρχίσει να πιστεύω όλο και περισσότερο πως όλη αυτή η ιστορία γύρω από τα passwords είναι χαμένος κόπος, που φαντάζομαι δεν είναι ακριβώς αυτό που ήθελες να ακούσεις».

Κατά την διάρκεια της κουβέντας μας, ο Cubrilovic μου έθιξε και ένα άλλο κομμάτι του προβλήματος των κωδικών, που θα μπορούσε να δώσει την λύση στο όλο πρόβλημα. Το ονόμασε ο «δεύτερος παράγοντας». Μου εξήγησε πως οι δεύτεροι παράγοντες μπορεί να ένας ανιχνευτής δακτυλικού αποτυπώματος ή ένας ανιχνευτής ματιών, μια smart card, ένα SMS, «οποιοδήποτε από αυτά θα μπορούσαν να λειτουργήσουν ως δεύτερος παράγοντας μετά την είσοδο του κωδικού. Προς τα εκεί πηγαίνουν τα πράγματα».

Αυτό μου κάνει περισσότερο. Αν η όλη ιδέα του κωδικού είναι «χαμένος κόπος», όπως είπε ο Munroe, τότε ας την «στείλουμε». Δηλώνω πολύ αισιόδοξος για αυτόν τον «δεύτερο παράγοντα». Μια τέτοια φάση στην διαδικτυακή μας ασφάλεια θα παρέμενε τέλεια για πάντα και δεν θα επέτρεπε την ύπαρξη στιγμών απογοήτευσης και εκνευρισμού.

Ακολουθήστε το VICE στο Twitter, Facebook και Instagram.