Δεν υπάρχει αμφιβολία: Ο κωδικός σας έχει κλαπεί και πρέπει να τον αλλάξετε!

Career

06/12/2018

Αυτό υποστηρίζει ο Enrique Dans, που τα τελευταία 30 χρόνια σχεδόν ασχολείται με την καινοτομία σε άρθρο του στο Forbes.

Οι πρόσφατες παραβιάσεις που υπέστησαν τα ξενοδοχεία Marriott Hotels και το δημοφιλές Quora υπογραμμίζουν εκ νέου τη σημασία της ασφάλειας στην ψηφιακή εποχή και τον τρόπο με τον οποίο οι χρήστες πρέπει να υιοθετήσουν τις σωστές διαδικασίες για να προσπαθήσουν να προστατεύσουν τα δεδομένα τους.

Στην περίπτωση του Marriott,  διέρρευσαν τα στοιχεία περίπου 500 εκατομμυρίων ανθρώπων που παρέμειναν σε ξενοδοχεία που ανήκαν στις W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute, Le Méridien, Four Points και Design Hotels, καθώς και οι μισθώσεις, συμπεριλαμβανομένων των ονομάτων και των διευθύνσεων, οι αριθμοί τηλεφώνου, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι αριθμοί διαβατηρίων, οι αναγνωριστικοί κωδικοί προγραμμάτων πιστότητας, η ημερομηνία γέννησης, το φύλο, τα δεδομένα παραμονής, οι προτιμήσεις επικοινωνίας και, σε ορισμένες περιπτώσεις, οι πιστωτικές κάρτες με την ημερομηνία λήξης τους. Τα δεδομένα κρυπτογραφήθηκαν με AES128, αλλά είναι πιθανό να έχουν κλαπεί και τα κλειδιά κρυπτογράφησης. Πρόκειται για μια μεγάλη καταστροφή που θα μπορούσε να δώσει στους εγκληματίες πρόσβαση σε άλλες υπηρεσίες και ακόμη και να τους επιτρέψει να πραγματοποιήσουν κλοπή ταυτότητας.

Περίπου δύο μήνες πριν, το Facebook ανακοίνωσε επίσης την κλοπή πληροφοριών που επηρέασαν τριάντα εκατομμύρια χρήστες, και προηγουμένως, υπήρξαν πολλές άλλες. Ως χρήστες, τι πρέπει να κάνουμε σε αυτές τις περιπτώσεις; Η έκθεση μας εξαρτάται, ουσιαστικά, από τις πρακτικές ασφαλείας μας. Το πρώτο πράγμα που πρέπει να κάνετε είναι να προσπαθήσετε να μάθετε ποιες πληροφορίες έχουν επηρεαστεί από την κλοπή, υποθέτοντας ότι αυτές οι πληροφορίες είναι διαθέσιμες σε όποιον θέλει να το χρησιμοποιήσει για να διαπράξει κάποιο είδος κλοπής ή απάτης. Η απάντηση της εταιρείας είναι πολύ σημαντική: στην περίπτωση της Marriott, πρόκειται για μια καταστροφή ασφαλείας: η εταιρεία ειδοποίησε για το πρόβλημα όλους τους χρήστες μέσω ηλεκτρονικού ταχυδρομείου - αλλά αντί να χρησιμοποιήσει την εταιρική της διεύθυνση, το έπραξε μέσω του starwoodhotels{@}email-marriott.com, η οποία καταχωρήθηκε σε επιχείρηση τρίτου μέρους και η σελίδα δεν φορτώνει ούτε έχει αναγνωριστικό πιστοποιητικό HTTPS. Η εταιρεία έθεσε τους πελάτες της σε ακόμη μεγαλύτερο κίνδυνο, ενδεχομένως εκθέτοντάς τους σε απάτες phishing από παρόμοιους τομείς με μικρές παραλλαγές. Δεν πρόκειται μόνο για κακές πρακτικές ασφαλείας, αλλά δείχνει πως η ασφάλεια των εταιρειών που διαχειρίζονται τις πληροφορίες μας δεν αντιμετωπίζεται από τους σωστούς ανθρώπους.
.
Όλα καταλήγουν στις πρακτικές ασφαλείας μας. Εάν είστε κάποιος που χρησιμοποιεί τον ίδιο κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεται "επειδή είναι εύκολο να το θυμηθείτε", έχετε ένα πρόβλημα: θα πρέπει να επιστρέψετε σε όλους τους ιστότοπους που έχετε χρησιμοποιήσει και να αλλάξετε το όνομα χρήστη και τον κωδικό πρόσβασης. Θυμηθείτε: το πρώτο βήμα για τους εγκληματίες του κυβερνοχώρου είναι να δοκιμάσουν το όνομα χρήστη και τον κωδικό πρόσβασης που έχουν κλαπεί σε ιστοτόπους, όπου μπορούν να αγοράσουν υλικό ή να αποκτήσουν πρόσθετα δεδομένα. Οι εγκληματίες δημιουργούν μερικές φορές εξελιγμένα σχήματα για να επιτεθούν σε ένα συγκεκριμένο άτομο, είτε επειδή έχουν ένα ορατό δημόσιο προφίλ είτε ανταποκρίνονται σε κάτι που έχει κάνει αυτό το άτομο, αλλά συνήθως απλά αναζητούν εύλογα εύκολους στόχους από τους οποίους μπορούν να κερδίσουν χρήματα. Εάν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης ή μικρές παραλλαγές παντού, είστε σίγουρα σε κίνδυνο.

Λαμβάνοντας υπόψη τις ευπάθειες πολλών από τους ιστοτόπους στους οποίους έχετε ανοίξει λογαριασμούς τα τελευταία χρόνια, είναι πιθανό να σας έχουν κλέψει τον κωδικό σας κάποια στιγμή από μια σελίδα που έχει παραβιαστεί. Μπορείτε να δοκιμάσετε να το ελέγξετε εισάγοντας το email σας σε ιστοτόπους όπως το have I been powned? τo οποία είναι αξιόπιστο και περιλαμβάνει πολλά από τα αρχεία πρόσφατα δημοσιευμένων παραβιάσεων ασφαλείας. Το πρόβλημα είναι ότι ο κωδικός πρόσβασης και το όνομα χρήστη μπορεί να έχουν κλαπεί μήνες ή χρόνια πριν, ενώ οι εταιρείες χρειάζονται πολύ χρόνο για να αναφέρουν μια κλοπή δεδομένων. Για το λόγο αυτό, εάν δεν το έχετε κάνει ήδη, είναι σίγουρα η ώρα να τερματίσετε αυτές τις κακές πρακτικές ασφαλείας και να αρχίσετε να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης. Εάν διαχειρίζεστε μια επιχείρηση, μπορείτε να κάνετε κάτι ακόμα καλύτερο: να αναπτύξετε έναν διαχειριστή κωδικών πρόσβασης ως μια τυπική πρακτική ασφάλειας για όλους τους υπαλλήλους σας. Στην ασφάλεια του κυβερνοχώρου, οι άνθρωποι είναι πάντα ο πιο αδύναμος κρίκος.

Ένας καλός διαχειριστής κωδικών πρόσβασης δεν αποτελεί κίνδυνο: αν κάποιος καταφέρει να έχει πρόσβαση στα αρχεία του, θα βρει κρυπτογραφημένες λίστες κωδικών πρόσβασης που δεν θα του χρησιμεύσουν σε κάτι. Αν χρησιμοποιήσουμε έναν καλό διαχειριστή κωδικών πρόσβασης και είμαστε ελάχιστα συστηματικοί σχετικά με αυτό, τα ζητήματα του κωδικού πρόσβασης επιλύονται απλά ζητώντας από τον συγκεκριμένο διαχειριστή να ορίσει έναν κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεστε, όπως όλα τα υπόλοιπα, θα είναι τυχαίος και αδύνατος να τον θυμηθούμε. Επιπλέον, θα είναι μοναδικός για αυτόν τον ιστότοπο. Αυτό ελαχιστοποιεί το πρόβλημα σε περίπτωση κλοπής. Αν είστε ένας από εκείνους τους ανθρώπους που σκέφτονται έναν κωδικό πρόσβασης και το θυμούνται ή τον γράφουν, τότε για το δικό σας καλό, θα πρέπει να τον αλλάξετε. Οι κωδικοί πρόσβασης όπως τους γνωρίζουμε έχουν ξεπεραστεί.

Jobfind

Πιστοποιημένη πλατφόρμα e-learning εκπαίδευσης
Τεχνοβλαστός Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης
Powered by: