IT Professional Security - ΤΕΥΧΟΣ 36

More documents

Info

I SSUE Κωδικοί Πρόσβασης Έπειτα από την μελέτη του διαγράμματος 13 των (πιο) αδύναμων κωδικών πρόσβασης, οι παρακάτω οδηγίες-κανόνες θα πρέπει να τηρούνται από τους Έλληνες χρήστες. Συγκεκριμένα, συνιστάται να ακολουθούνται οι παρακάτω ο- δηγίες (Garfinkel & G. Spafford, 1991). Πρέπει να αποφεύγεται να χρησιμοποιείται ως κωδικός πρόσβασης ή μέρος αυτού ο- τιδήποτε από τα ακόλουθα: Το όνομά σας Όνομα συζύγου Όνομα πατέρα Όνομα κατοικίδιου Όνομα του παιδιού σας Ονόματα στενών σας φίλων και συνεργατών σας Ονόματα αγαπημένων σας προσωπικοτήτων Όνομα του εργοδότη σας Οποιοδήποτε κύριο όνομα Το όνομα που χρησιμοποιείτε στον υπολογιστή σας Το κινητό σας τηλέφωνο Ο αριθμός των πινακίδων αυτοκινήτου Οποιοσδήποτε αριθμός δημοσίου εγγράφου (ταυτότητα, ΑΦΜ, κτλ) Οποιαδήποτε ημερομηνία γέννησης συγγενικού προσώπου Άλλες πληροφορίες που μπορούν εύκολα να αντιστοιχηθούν σε εσάς Οποιοδήποτε όνομα χρήστη του υπολογιστή σας σε ο- ποιαδήποτε μορφή Οποιαδήποτε λέξη που υπάρχει στο αγγλικό, ελληνικό και οποιοδήποτε άλλο λεξικό Οποιαδήποτε από τις παραπάνω λέξεις γραμμένη με λατινικούς χαρακτήρες Κωδικός με επαναλαμβανόμενα γράμματα Πρότυπα απλά στο πληκτρολόγιο, όπως qwerty Όλα τα παραπάνω γραμμένα ανάποδα Όλα τα παραπάνω, προηγούμενα ή ακολουθούμενα από ψηφίο Σε αυτό το σημείο παρατίθεται η τάση που έχουν οι χρήστες, σύμφωνα με την έρευνα, να χρησιμοποιούν προσωπικά τους στοιχεία ως κωδικό πρόσβασης. Στο διάγραμμα 14 εμφανίζεται η συνήθεια των χρηστών να χρησιμοποιούν προσωπικά στοιχεία ως κωδικό πρόσβασης, είτε αυτοτελή είτε με άλλους συνδυασμούς. Διάγραμμα 14: Προσωπικά στοιχεία ως κωδικοί πρόσβασης στην Ελλάδα, σε ηλεκτρονικά μέσα Επιλογές Ποσοστό Ημερομηνία γέννησης 31% Κανένα 28% Το όνομά μου 26% Αθλητική ομάδα 14% Άλλο 10% Κινητό τηλέφωνο 10% Διεύθυνση 9% Μάρκα/μοντέλο αυτοκινήτου 8% Επωνυμία εταιρείας που εργάζομαι 6% Όνομα κατοικίδιου ζώου 5% Όνομα συζύγου 5% Όνομα παιδιών 5% Πολιτικό κόμμα 1% Διάγραμμα 15: Προσωπικά στοιχεία που χρησιμοποιούνται ως κωδικοί πρόσβασης Ελλήνων χρηστών στο διαδίκτυο Στο διάγραμμα 15 παρουσιάζονται ταξινομημένα τα προσωπικά στοιχεία που χρησιμοποιούνται στους κωδικούς, από το συνηθέστερο προς το πιο σπάνιο. Εξάγεται το συμπέρασμα ότι 2 στους 3 χρήστες κάνουν χρήση κάποιου προσωπικού τους στοιχείου με κάποια πολύ προφανή, όπως το όνομά τους και κάποια πιο δύσκολο να προβλεφθούν από τρίτους. Ένα 28% του δείγματος αποφεύγει να χρησιμοποιήσει κάποιο προσωπικό στοιχείο, ενώ το 10% χρησιμοποιεί κάτι διαφορετικό α- πό τα παραπάνω, όπως είναι: ο αριθμός μητρώου επαγγέλματος το PIN του κινητού τηλεφώνου αριθμός λογαριασμού τραπέζης 24 | security
ο τίτλος αγαπημένου τραγουδιού ή ταινίας κάποια ημερομηνία (π.χ. επέτειος) ψευδώνυμο τροποποιημένο κάποιο από τα e-mail τους κάποιοι προσωπικοί συνδυασμοί γραμμάτων και λέξεων 11. Προτάσεις δημιουργίας ανθεκτικών κωδικών. Ως ανθεκτικά-καλά-passwords θεωρούνται αυτά τα οποία (Sanjour, Arensburger & Brink., 1999): Περιέχουν κεφαλαία και μικρά γράμματα Περιέχουν ψηφία και σημεία στίξης Είναι εύκολο να απομνημονευθούν ώστε να μη χρειάζεται να σημειώνονται κάπου Έχουν μήκος πάνω από δέκα χαρακτήρες Είναι δυνατό να πληκτρολογηθούν γρήγορα ώστε να μη μπορέσει κάποιος να τα δει ολόκληρα την ώρα που τα πληκτρολογείτε Επίσης, οι Έλληνες χρήστες θα πρέπει να προσέξουν και τον τρόπο γραφής τους, δηλαδή συνδυασμό μικρών και κεφαλαίων γραμμάτων, αν παρεμβάλλονται από σημεία στίξης, αλλά και αν είναι γραμμένα με ελληνικούς ή λατινικούς χαρακτήρες. Είναι δηλαδή πολύ πιθανό κάποιος να έχει ως κωδικό κάποιο προσωπικό του στοιχείο (όνομα, επίθετο, αριθμό κινητού τηλεφώνου, αγαπημένη αθλητική ομάδα κτλ.) στο ο- ποίο να παρεμβάλλεται ανάμεσα στους χαρακτήρες ένα σύμβολο (., -, :, !, @, κτλ). Θα μπορούσε δηλαδή ένας κωδικός να είναι ο “p.a.p.a.d.o.p.o.u.l.o.s” Ακόμη, ενδέχεται κάποιος χρήστης να κάνει στον κωδικό του εναλλαγή κεφαλαίων και πεζών γραμμάτων ή να αντικαθιστά κάποιο γράμμα με σύμβολο, δηλαδή το “α” με “@”, το “ε” με “€”, το “ξ” με “3”, το “θ” με “8”, το “ί” με “!” κτλ. Δεν πρέπει να παραλείπεται το γεγονός ότι οι κωδικοί του διαγράμματος 5.3 που θεωρούνται αδύναμοι, δεν πρέπει να χρησιμοποιούνται από Έλληνες χρήστες όχι μόνο όπως παρουσιάστηκαν πρωτύτερα, αλλά και συνοδευόμενοι με κάποιο προσωπικό στοιχείο. Για παράδειγμα, κάποιος που έχει ημέρα γέννησης την 16η ημέρα κάποιου μήνα, μπορεί να έχει ως κωδικό το όνομά του, να ακολουθεί ένα σύμβολο και έπειτα τον αριθμό της ημέρας γέννησης. Δηλαδή να είναι ο κωδικός “Κωσταντίνος-16” γραμμένος είτε με ελληνικούς είτε λατινικούς χαρακτήρες. Είναι προφανές ότι ενώ ο κωδικός αυτός είναι ασφαλής διότι έχει μεγαλύτερο πλήθος χαρακτήρων από 8, είναι ό- μως αρκετά προβλέψιμος από κάποιο γνωστό του πρόσωπο. Συμπεράσματα Γενικότερα, από όσα έχουν αναφερθεί παραπάνω, μέσα από την έρευνα διαπιστώθηκε πως υπάρχουν χρήστες οι οποίοι έ- χουν πλήρη επίγνωση της σοβαρότητας του κωδικού πρόσβασης. Αυτό μάλιστα γίνεται σαφές από τις υποδείξεις αρκετών χρηστών ότι δεν έχουν επιλέξει ποτέ κάποιον από τους α- δύναμους κωδικούς που παρατέθηκαν. Ακόμη, αρκετοί χρήστες αναγνωρίζουν ότι προσωπικά στοιχεία του χρήστη δεν θα πρέπει να αποτελούν τον πλήρη κωδικό τους ή τμήμα αυτού. Επίσης πρέπει να τονιστεί ότι το μεγαλύτερο ποσοστό του δείγματος (79%) χρησιμοποιεί την απομνημόνευση ως μέσο αποθήκευσης του κωδικού τους, ενώ αρκετοί (56%) δεν έχουν αποκαλύψει ποτέ τον κωδικό τους σε τρίτα άτομα. Τέλος, εξήχθη το συμπέρασμα ότι οι χρήστες ανάλογα με τις γνώσεις και την ενημέρωση που έχουν λάβει, λειτουργούν α- ντίστοιχα για τους κωδικούς τους πρόσβασης. Οποιαδήποτε ενημέρωση και μελέτη για τους κωδικούς πρόσβασης από τους χρήστες, χωρίς αμφιβολία, θα αποτελέσει ένα θετικό έναυσμα για την ασφάλειά τους. ΠΡΟΤΑΣΕΙΣ-ΒΕΛΤΙΩΣΕΙΣ Μέσα από αυτήν την έρευνα βγήκαν αρκετά χρήσιμα συμπεράσματα που αφορούν τους Έλληνες χρήστες. Ωστόσο θα μπορούσε στο μέλλον να διεξαχθεί μία αντίστοιχη έρευνα που να καλύπτει μεγαλύτερο αριθμό χρηστών. Θα πρέπει να βρεθούν τρόποι ώστε ένα αντίστοιχο ερωτηματολόγιο να δημοσιευθεί σε forum, ιστοσελίδες και να προσεγγίσει μεγαλύτερο δείγμα. Ίσως να μπορούσε να συμβάλλει και η Ένωση Πληροφορικών Ελλάδας, για την προώθησή του σε εκπαιδευτικές μονάδες. Έτσι θα υπήρχε η δυνατότητα μια τέτοια έρευνα να α- πευθυνθεί σε εκπαιδευτικούς και μαθητές, αλλά κυρίως σε ά- τομα-γνώστες της πληροφορικής, ώστε να παραθέσουν και τις δικές τους απόψεις. Ακόμη, σε μία μελλοντική έρευνα θα ήταν χρήσιμες και ερωτήσεις ανάπτυξης, ζητώντας από το δείγμα να προτείνει τους συγκεκριμένους αδύναμους κωδικούς για τους Έλληνες χρήστες. ΕΝΔΕΙΚΤΙΚΗ ΒΙΒΛΙΟΓΡΑΦΙΑ Garfinkel, S., &Spafford, G. (1991). Practical UNIX security. PasswordResearch. (2012). RetrievedMay 20, 2012, from http://passwordresearch.com/stats/statistic96.html Riley, S. (2006). Password security: what users know and what they actually do. Usability News, 8(1). Sanjour, J., Arensburger, A., & Brink., A. (1999). Choosing a Good Password. RetrievedMay 21, 2012, from http://www.cs.umd.edu/faq/Passwords.html Spafford, E. H. (1992). OPUS: Preventing weak password choices 1. Computers & <strong>Security</strong>, 11(3), (p. 273–278). Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2000). The memorability and security of passwords-some empirical results. Technical Report-University Of Cambridge Computer Laboratory. iT<strong>Security</strong> security | 25
Page 1: Μάιος - Ιούνιος - Ioύ
Page 4 and 5: CONTENTS 21 26 32 1|EDITORIAL 4|NEW
Page 6: NEWS Ημερίδα Προστασ
Page 9 and 10: Πως να Εντοπίσετε,
Page 11 and 12: Η ORTHOLOGY LTD ανακοινών
Page 13 and 14: ασφάλειας ΙΤ, το με
Page 15 and 16: I SSUE Σύστημα Διαχεί
Page 17 and 18: τηγικής που σχεδιά
Page 19 and 20: δικλείδων ασφάλεια
Page 21 and 22: και της ασφάλειας σ
Page 23 and 24: I SSUE Κωδικοί Πρόσβα
Page 25: σφύγουν σε κάτι τέτ
Page 29 and 30: στροφή. Με μια πρώτ
Page 31 and 32: παρόχους, όπως οι AT&
Page 33 and 34: Πως υλοποιείται έν
Page 35 and 36: του κλασικού server-base
Page 37 and 38: τερματικό τους, τόσ
Page 39: Στην πραγματικότητ

IT Professional Security - ΤΕΥΧΟΣ 36

Create successful ePaper yourself

Delete template?

Save as template?