Κωδικοί ασφαλείας: Ακολουθήστε ευλαβικά αυτούς τους 7 κανόνες
Η κυβέρνηση των ΗΠΑ έχει επενδύσει πολλά στην ασφάλεια στον κυβερνοχώρο. Δείτε τι προτείνουν οι ειδικοί να κάνετε όταν πρέπει να δημιουργήσετε έναν νέο κωδικό πρόσβασης και ξεχάστε αυτό που ξέρατε μέχρι τώρα. Αναζητάτε συμβουλές για το πώς να προστατεύσετε το σπίτι και το γραφείο σας από κυβερνοεπιθέσεις; Ένα καλό μέρος για να ξεκινήσετε είναι με τους ανθρώπους που κάνουν αυτά τα πράγματα καθημερινά για λογαριασμό της κυβέρνησης των Ηνωμένων Πολιτειών.
Εάν θέλετε πραγματικά να εμβαθύνετε στις λεπτομέρειες της ψηφιακής ασφάλειας, διαβάστε τις τετράτομες Οδηγίες Ψηφιακής Ταυτότητας από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST). Είναι ένα τεράστιο έγγραφο και μεγάλο μέρος του απευθύνεται σε ομοσπονδιακές υπηρεσίες που χρειάζονται εξαιρετικά ισχυρή ασφάλεια. Υπάρχουν επίσης πολλές πρακτικές, ευανάγνωστες πληροφορίες, όπως η συζήτηση για το πόσο μεγάλοι και πολύπλοκοι κωδικοί πρέπει πραγματικά να είναι.
Οι άνθρωποι του NIST έχουν δημιουργήσει μια απλή σελίδα Βασικών οδηγιών Κυβερνοασφάλειας που συνοψίζει όλες αυτές τις τεχνικές πληροφορίες σε μια σειρά από σαφείς οδηγίες για ιδιοκτήτες και διευθυντές μικρών επιχειρήσεων.
Για μια απλούστερη, πιο πρακτική συλλογή οδηγιών, δοκιμάστε τον ιστότοπο Secure Our World , που διαχειρίζεται η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA). Απευθύνεται σε ένα κοινό καταναλωτών χωρίς τεχνικό υπόβαθρο, γεγονός που το καθιστά μια σταθερή πηγή πληροφοριών που μπορείτε να μοιραστείτε με φίλους και συγγενείς για να τους βοηθήσετε να αντιμετωπίσουν κοινές απειλές.
Σύμφωνα με τις πιο πρόσφατες εκδόσεις όλων αυτών των εγγράφων παρακάτω είναι μια λίστα με επτά κανόνες που πρέπει να ακολουθούνται όταν πρόκειται για κωδικούς πρόσβασης.
- Βεβαιωθείτε ότι όλοι οι κωδικοί πρόσβασης είναι αρκετά ισχυροί
Τι κάνει έναν κωδικό πρόσβασης ισχυρό;
Είναι αρκετά μεγάλος — τουλάχιστον 12 χαρακτήρες και ιδανικά περισσότεροι.
Είναι τυχαίο, με συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων που δεν βρίσκονται σε ένα λεξικό και δεν περιλαμβάνουν κανένα μέρος του ονόματός σας ή το όνομα της υπηρεσίας που ξεκλειδώνουν.
Δεν είναι εύκολο να μαντέψεις.
Από όλους αυτούς τους παράγοντες, οι ειδικοί συμφωνούν ότι το μήκος είναι το πιο σημαντικό. Στην πραγματικότητα, οι ειδικοί στο NIST λένε ότι οι πρόσφατες αναλύσεις των βάσεων δεδομένων με παραβιασμένους κωδικούς πρόσβασης δείχνουν ότι το να έχεις μεγαλύτερο κωδικό πρόσβασης είναι πολύ πιο σημαντικό από το να προσπαθείς να τον κάνεις περίπλοκο.
Οι φράσεις πρόσβασης που αποτελούνται από τρεις ή περισσότερες άσχετες λέξεις που χωρίζονται με σύμβολα και αριθμούς μπορούν επίσης να είναι αποτελεσματικές.
- Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης
Ο μέσος άνθρωπος έχει δεκάδες κωδικούς πρόσβασης. Ένα εξαιρετικά δραστήριο διαδικτυακά άτομο μπορεί να έχει εκατοντάδες διαπιστευτήρια. Κανένας άνθρωπος δεν μπορεί να απομνημονεύσει ακόμη και μια χούφτα μακρών, τυχαίων, μοναδικών κωδικών πρόσβασης. Αυτός είναι ο λόγος για τον οποίο χρειάζεστε έναν διαχειριστή κωδικών πρόσβασης , ο οποίος εκφορτώνει τη δουλειά της δημιουργίας μοναδικών, αδύνατων να μαντέψετε κωδικών πρόσβασης και τους αποθηκεύει σε έναν ασφαλή, κρυπτογραφημένο θύλακα.
Τεχνικά, ένα σημειωματάριο με στυλό και χαρτί μπορεί να κάνει μέρος αυτής της δουλειάς, αν και με πολύ περισσότερη δυσκολία. Ένας διαχειριστής κωδικών πρόσβασης που βασίζεται σε λογισμικό, ωστόσο, κάνει πολλά περισσότερα: δημιουργεί αμέσως πραγματικά τυχαίους κωδικούς πρόσβασης, αποθηκεύει τα διαπιστευτήριά σας σε μια κρυπτογραφημένη βάση δεδομένων και συγχρονίζει τα πάντα σε πολλές συσκευές.
Το πιο σημαντικό επίπεδο προστασίας, ωστόσο, είναι αυτό που δεν είναι αμέσως προφανές. Ο διαχειριστής κωδικών πρόσβασης γνωρίζει ποιος τομέας (ή τομείς) σχετίζεται με ένα αποθηκευμένο σύνολο διαπιστευτηρίων και δεν θα εισάγει κωδικό πρόσβασης σε έναν τομέα που δεν είναι εξουσιοδοτημένος. Έτσι, εάν ένας έμπειρος εισβολέας δημιουργήσει ένα email που σας ξεγελάει ώστε να πιστεύετε ότι προέρχεται από την τράπεζά σας ή τον μεσίτη σας και κάνετε κλικ σε έναν σύνδεσμο που πηγαίνει σε έναν ψεύτικο τομέα, ο διαχειριστής κωδικών πρόσβασης θα αρνηθεί να εισαγάγει τα διαπιστευτήριά σας.
Αυτό είναι ένα ισχυρό εργαλείο κατά του phishing.
- Μην επαναχρησιμοποιείτε ποτέ έναν κωδικό πρόσβασης
Είναι φυσικό ανθρώπινο ένστικτο να έχετε ένα αγαπημένο σύνολο διαπιστευτηρίων (όνομα χρήστη και κωδικό πρόσβασης) που χρησιμοποιείτε ξανά σε πολλούς ιστότοπους. Ναι, αυτό κάνει τα πράγματα πιο εύκολα να θυμούνται, αλλά διασφαλίζει επίσης ότι μια παραβίαση δεδομένων σε έναν ιστότοπο θα δώσει στους εισβολείς πρόσβαση σε αυτό το σύνολο διαπιστευτηρίων, τα οποία θα δοκιμάσουν με τη σειρά τους σε άλλους ιστότοπους που δεν επηρεάστηκαν από την παραβίαση.
Επίσης: Όταν εξαντληθεί η υποστήριξη των Windows 10, έχετε 5 επιλογές, αλλά μόνο 2 αξίζει να εξεταστούν
Ένας καλός διαχειριστής κωδικών πρόσβασης θα πρέπει να επισημαίνει τους επαναχρησιμοποιημένους κωδικούς πρόσβασης και να προσφέρει τη δημιουργία ισχυρών, μοναδικών αντικαταστατών.
Σημείωση: Η απλή επισήμανση ενός θαυμαστικού ή ενός αριθμού στο τέλος του παλιού σας κωδικού πρόσβασης δεν πληροί τις προϋποθέσεις για τη δημιουργία νέου κωδικού πρόσβασης. Ούτε η δημιουργία μιας νέας παραλλαγής ενός από τους κωδικούς πρόσβασης που χρησιμοποιείτε συνήθως.
- Αποφύγετε τις υποδείξεις κωδικού πρόσβασης
Η όλη ιδέα μιας υπόδειξης κωδικού πρόσβασης είναι ότι αποτελείται από κάποια λέξη ή όνομα ή ημερομηνία που έχει νόημα για εσάς. Εξ ορισμού, αυτό το είδος κωδικού πρόσβασης είναι εύκολο να μαντέψει κανείς και η προσθήκη μιας υπόδειξης κωδικού πρόσβασης κάνει τη δουλειά ακόμα πιο εύκολη για κάποιον που θέλει να εισβάλει στους λογαριασμούς σας.
Η καλύτερη υπόδειξη κωδικού πρόσβασης είναι τέσσερις λέξεις: “Έλεγχος διαχείρισης κωδικών πρόσβασης”.
- Αλλάξτε τους προεπιλεγμένους κωδικούς πρόσβασης
Ένας από τους πιο ύπουλους τρόπους για να εισβάλουν οι εισβολείς σε ένα οικιακό ή επαγγελματικό δίκτυο είναι να περάσουν από μια συσκευή σε αυτό το δίκτυο, χρησιμοποιώντας τρωτά σημεία στη διεπαφή διαχείρισης. Αυτός θα μπορούσε να είναι ο δρομολογητής σας Wi-Fi, για παράδειγμα, με τον προεπιλεγμένο κωδικό πρόσβασής του, ο οποίος συχνά είναι απλώς ο κωδικός πρόσβασης . Οι κάμερες που βασίζονται σε IP και τα κουδούνια πόρτας που εγκαθιστάτε ως μέρος ενός συστήματος οικιακής ασφάλειας είναι επίσης πιθανά σημεία εισόδου.
Εάν έχετε κάποια από αυτές τις συσκευές στο δίκτυό σας, αντικαταστήστε αυτούς τους προεπιλεγμένους κωδικούς πρόσβασης με πιο ισχυρά διαπιστευτήρια.
- Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων όποτε είναι δυνατόν
Ανεξάρτητα από το πόσο ισχυρούς κάνετε τους κωδικούς πρόσβασής σας και πόσο προσεκτικά προσπαθείτε να τους προστατεύσετε από τον παραβιασμό, κάτι συμβαίνει. (Δεν είναι ακριβώς έτσι η έκφραση, αλλά είναι αρκετά κοντά.)
Η πιο αποτελεσματική προστασία, με διαφορά, είναι να διασφαλίσετε ότι κανείς δεν μπορεί να συνδεθεί στους λογαριασμούς σας σε μια νέα συσκευή, εκτός εάν μπορεί να παρέχει μια δεύτερη μορφή αναγνώρισης, ιδανικά χρησιμοποιώντας μια εφαρμογή ελέγχου ταυτότητας σε μια συσκευή που διαθέτετε. (Οι κωδικοί που αποστέλλονται στο τηλέφωνό σας μέσω SMS είναι μια αποδεκτή επιλογή, αλλά διατρέχουν μεγαλύτερο κίνδυνο να παραληφθούν από έναν αποφασισμένο εισβολέα.)
- Μην αλλάξετε τους κωδικούς πρόσβασής σας εκτός και αν χρειαστεί
Οι ειδικοί συμφωνούν ότι η τακτική αλλαγή κωδικών πρόσβασης δεν είναι απαραίτητη και ότι οι οργανισμοί που απαιτούν από τους χρήστες να αλλάξουν τον κωδικό πρόσβασής τους χωρίς λόγο, στην πραγματικότητα κάνουν τα δίκτυά τους λιγότερο ασφαλή.
Γιατί; Επειδή οι άνθρωποι που αναγκάζονται να αλλάζουν τους κωδικούς πρόσβασης τακτικά είναι πιθανό να επιλέξουν έναν αδύναμο, εύκολο να μαντέψεις κωδικό πρόσβασης. Εάν έχετε κάνει καλή δουλειά στην επιλογή ενός ισχυρού και μοναδικού κωδικού πρόσβασης, δεν χρειάζεται να τον αλλάξετε υπό κανονικές συνθήκες.
Λοιπόν, πότε πρέπει να αλλάξετε τον κωδικό πρόσβασής σας;
Προφανώς, θα πρέπει να αντικαταστήσετε έναν κωδικό πρόσβασης εάν είναι απαράδεκτα αδύναμος ή εάν είναι αντίγραφο αυτού που χρησιμοποιείτε αλλού. Θα πρέπει επίσης να αλλάξετε οποιονδήποτε κωδικό πρόσβασης με την πρώτη υπόδειξη ότι έχει παραβιαστεί ως μέρος παραβίασης δεδομένων.
Τούτου λεχθέντος, εάν το τμήμα πληροφορικής σας ή μια ηλεκτρονική υπηρεσία επιμένει να επιβάλει αλλαγή κωδικού πρόσβασης, θα πρέπει να κάνετε ό,τι λένε. Απλώς αφήστε τον διαχειριστή κωδικών πρόσβασης να δημιουργήσει τον μεγαλύτερο, ισχυρότερο κωδικό πρόσβασης που ανταποκρίνεται στις απαιτήσεις του.