IT Professional Security - ΤΕΥΧΟΣ 36
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ο τίτλος αγαπημένου τραγουδιού ή ταινίας<br />
κάποια ημερομηνία (π.χ. επέτειος)<br />
ψευδώνυμο<br />
τροποποιημένο κάποιο από τα e-mail τους<br />
κάποιοι προσωπικοί συνδυασμοί γραμμάτων και λέξεων<br />
11. Προτάσεις δημιουργίας ανθεκτικών κωδικών.<br />
Ως ανθεκτικά-καλά-passwords θεωρούνται αυτά τα οποία<br />
(Sanjour, Arensburger & Brink., 1999):<br />
Περιέχουν κεφαλαία και μικρά γράμματα<br />
Περιέχουν ψηφία και σημεία στίξης<br />
Είναι εύκολο να απομνημονευθούν ώστε να μη χρειάζεται<br />
να σημειώνονται κάπου<br />
Έχουν μήκος πάνω από δέκα χαρακτήρες<br />
Είναι δυνατό να πληκτρολογηθούν γρήγορα ώστε να μη<br />
μπορέσει κάποιος να τα δει ολόκληρα την ώρα που τα πληκτρολογείτε<br />
Επίσης, οι Έλληνες χρήστες θα πρέπει να προσέξουν και τον<br />
τρόπο γραφής τους, δηλαδή συνδυασμό μικρών και κεφαλαίων<br />
γραμμάτων, αν παρεμβάλλονται από σημεία στίξης, αλλά και<br />
αν είναι γραμμένα με ελληνικούς ή λατινικούς χαρακτήρες.<br />
Είναι δηλαδή πολύ πιθανό κάποιος να έχει ως κωδικό κάποιο<br />
προσωπικό του στοιχείο (όνομα, επίθετο, αριθμό κινητού<br />
τηλεφώνου, αγαπημένη αθλητική ομάδα κτλ.) στο ο-<br />
ποίο να παρεμβάλλεται ανάμεσα στους χαρακτήρες ένα<br />
σύμβολο (., -, :, !, @, κτλ). Θα μπορούσε δηλαδή ένας κωδικός<br />
να είναι ο “p.a.p.a.d.o.p.o.u.l.o.s”<br />
Ακόμη, ενδέχεται κάποιος χρήστης να κάνει στον κωδικό του<br />
εναλλαγή κεφαλαίων και πεζών γραμμάτων ή να αντικαθιστά κάποιο<br />
γράμμα με σύμβολο, δηλαδή το “α” με “@”, το “ε” με “€”,<br />
το “ξ” με “3”, το “θ” με “8”, το “ί” με “!” κτλ.<br />
Δεν πρέπει να παραλείπεται το γεγονός ότι οι κωδικοί του διαγράμματος<br />
5.3 που θεωρούνται αδύναμοι, δεν πρέπει να χρησιμοποιούνται<br />
από Έλληνες χρήστες όχι μόνο όπως παρουσιάστηκαν<br />
πρωτύτερα, αλλά και συνοδευόμενοι με κάποιο προσωπικό<br />
στοιχείο. Για παράδειγμα, κάποιος που έχει ημέρα γέννησης<br />
την 16η ημέρα κάποιου μήνα, μπορεί να έχει ως κωδικό<br />
το όνομά του, να ακολουθεί ένα σύμβολο και έπειτα τον αριθμό<br />
της ημέρας γέννησης. Δηλαδή να είναι ο κωδικός “Κωσταντίνος-16”<br />
γραμμένος είτε με ελληνικούς είτε λατινικούς χαρακτήρες.<br />
Είναι προφανές ότι ενώ ο κωδικός αυτός είναι ασφαλής<br />
διότι έχει μεγαλύτερο πλήθος χαρακτήρων από 8, είναι ό-<br />
μως αρκετά προβλέψιμος από κάποιο γνωστό του πρόσωπο.<br />
Συμπεράσματα<br />
Γενικότερα, από όσα έχουν αναφερθεί παραπάνω, μέσα από<br />
την έρευνα διαπιστώθηκε πως υπάρχουν χρήστες οι οποίοι έ-<br />
χουν πλήρη επίγνωση της σοβαρότητας του κωδικού πρόσβασης.<br />
Αυτό μάλιστα γίνεται σαφές από τις υποδείξεις αρκετών<br />
χρηστών ότι δεν έχουν επιλέξει ποτέ κάποιον από τους α-<br />
δύναμους κωδικούς που παρατέθηκαν.<br />
Ακόμη, αρκετοί χρήστες αναγνωρίζουν ότι προσωπικά στοιχεία<br />
του χρήστη δεν θα πρέπει να αποτελούν τον πλήρη κωδικό<br />
τους ή τμήμα αυτού.<br />
Επίσης πρέπει να τονιστεί ότι το μεγαλύτερο ποσοστό του<br />
δείγματος (79%) χρησιμοποιεί την απομνημόνευση ως μέσο<br />
αποθήκευσης του κωδικού τους, ενώ αρκετοί (56%) δεν έχουν<br />
αποκαλύψει ποτέ τον κωδικό τους σε τρίτα άτομα.<br />
Τέλος, εξήχθη το συμπέρασμα ότι οι χρήστες ανάλογα με τις<br />
γνώσεις και την ενημέρωση που έχουν λάβει, λειτουργούν α-<br />
ντίστοιχα για τους κωδικούς τους πρόσβασης. Οποιαδήποτε<br />
ενημέρωση και μελέτη για τους κωδικούς πρόσβασης από τους<br />
χρήστες, χωρίς αμφιβολία, θα αποτελέσει ένα θετικό έναυσμα<br />
για την ασφάλειά τους.<br />
ΠΡΟΤΑΣΕΙΣ-ΒΕΛΤΙΩΣΕΙΣ<br />
Μέσα από αυτήν την έρευνα βγήκαν αρκετά χρήσιμα συμπεράσματα<br />
που αφορούν τους Έλληνες χρήστες. Ωστόσο θα<br />
μπορούσε στο μέλλον να διεξαχθεί μία αντίστοιχη έρευνα που<br />
να καλύπτει μεγαλύτερο αριθμό χρηστών. Θα πρέπει να βρεθούν<br />
τρόποι ώστε ένα αντίστοιχο ερωτηματολόγιο να δημοσιευθεί<br />
σε forum, ιστοσελίδες και να προσεγγίσει μεγαλύτερο<br />
δείγμα. Ίσως να μπορούσε να συμβάλλει και η Ένωση Πληροφορικών<br />
Ελλάδας, για την προώθησή του σε εκπαιδευτικές μονάδες.<br />
Έτσι θα υπήρχε η δυνατότητα μια τέτοια έρευνα να α-<br />
πευθυνθεί σε εκπαιδευτικούς και μαθητές, αλλά κυρίως σε ά-<br />
τομα-γνώστες της πληροφορικής, ώστε να παραθέσουν και τις<br />
δικές τους απόψεις. Ακόμη, σε μία μελλοντική έρευνα θα ήταν<br />
χρήσιμες και ερωτήσεις ανάπτυξης, ζητώντας από το δείγμα να<br />
προτείνει τους συγκεκριμένους αδύναμους κωδικούς για τους<br />
Έλληνες χρήστες.<br />
ΕΝΔΕΙΚΤΙΚΗ ΒΙΒΛΙΟΓΡΑΦΙΑ<br />
Garfinkel, S., &Spafford, G. (1991). Practical UNIX security.<br />
PasswordResearch. (2012). RetrievedMay 20, 2012, from<br />
http://passwordresearch.com/stats/statistic96.html<br />
Riley, S. (2006). Password security: what users know and what they<br />
actually do. Usability News, 8(1).<br />
Sanjour, J., Arensburger, A., & Brink., A. (1999). Choosing a Good<br />
Password. RetrievedMay 21, 2012, from<br />
http://www.cs.umd.edu/faq/Passwords.html<br />
Spafford, E. H. (1992). OPUS: Preventing weak password choices 1.<br />
Computers & <strong>Security</strong>, 11(3), (p. 273–278).<br />
Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2000). The<br />
memorability and security of passwords-some empirical results.<br />
Technical Report-University Of Cambridge Computer Laboratory.<br />
iT<strong>Security</strong><br />
security | 25