Διαχείριση κωδικών πρόσβασης στο διαδίκτυο
Πολλοί χρήστες αισθάνονται πελαγωμένοι όσον αφορά την ασφάλεια στο διαδίκτυο. Οι Mark Risher και Stephan Micklitz της Google συζητούν πώς αυτά τα συναισθήματα επηρεάζουν τη διαδικασία της ανάπτυξης μέτρων ασφαλείας.
Κύριε Risher, είστε διευθυντής του τμήματος Διαχείρισης προϊόντων της Google και εργάζεστε στον τομέα της ασφάλειας στο διαδίκτυο. Έχετε πέσει ποτέ θύμα απάτης στο διαδίκτυο;
Mark Risher: Δεν μπορώ να σκεφτώ κάποιο χαρακτηριστικό παράδειγμα αυτήν τη στιγμή, αλλά υποθέτω πως ναι. Κάνω λάθη κατά την περιήγησή μου στο διαδίκτυο όπως όλοι. Για παράδειγμα, πρόσφατα καταχώρισα τον κωδικό πρόσβασής μου Google σε λάθος ιστότοπο. Ευτυχώς, είχα εγκαταστήσει την προσθήκη Password Alert του Chrome, που υπέδειξε το σφάλμα μου. Φυσικά, στη συνέχεια, άλλαξα άμεσα τον κωδικό πρόσβασής μου.
Stephan Micklitz, Διευθυντής του τμήματος Μηχανικής στην ομάδα Απορρήτου και ασφαλείας της Google: Είναι ανθρώπινο να κάνουμε λάθη. Αφού απομνημονεύσουμε έναν κωδικό πρόσβασης, μπορεί να τον πληκτρολογήσουμε κάπου χωρίς να προσέξουμε πού τον πληκτρολογούμε.
Risher: Θα θέλαμε να καταργήσουμε ολοκληρωτικά τους κωδικούς πρόσβασης, αλλά αυτό δυστυχώς δεν είναι τόσο εύκολο.
"Πολλά μέτρα ασφαλείας εκτελούνται στο παρασκήνιο".
Mark Risher
Ποιο είναι το πρόβλημα με τους κωδικούς πρόσβασης;
Risher: Έχουν πολλά μειονεκτήματα: Αν και είναι δύChrome Password Alert σκολο να τους θυμάσαι είναι εύκολο να κλαπούν, ενώ η διαχείρισή τους μπορεί να γίνει κουραστική. Πολλοί χρήστες πιστεύουν ότι ένας κωδικός πρόσβασης πρέπει να είναι όσο το δυνατόν μεγαλύτερος και πολυπλοκότερος. Στην πραγματικότητα, αυτό αυξάνει τον κίνδυνο ασφαλείας. Οι χρήστες μπαίνουν στον πειρασμό να χρησιμοποιήσουν έναν πολύπλοκο κωδικό πρόσβασης σε περισσότερους από έναν λογαριασμούς, κάνοντάς τους πιο ευάλωτους.
Micklitz: Όσο λιγότερο χρησιμοποιείτε έναν κωδικό πρόσβασης, τόσο το καλύτερο. Αυτός είναι και ο λόγος για τον οποίο δεν πρέπει να συνδέεστε και να αποσυνδέεστε επανειλημμένα από τους λογαριασμούς σας. Με την πάροδο του χρόνου, αυτό μπορεί να κάνει τους χρήστες λιγότερο προσεκτικούς όσον αφορά την ιστοσελίδα στην οποία βρίσκονται, διευκολύνοντας το έργο όσων επιθυμούν να κλέψουν τους κωδικούς τους. Γι' αυτό συνιστούμε στους χρήστες να παραμένουν συνδεδεμένοι.
Αποσυνδέομαι αυτόματα από τον ιστότοπο της τράπεζάς μου εάν παραμείνω αδρανής για λίγα λεπτά.
Micklitz: Δυστυχώς, πολλές εταιρείες ακολουθούν ακόμα ξεπερασμένους κανόνες. Η συμβουλή για τις συνεχείς αποσυνδέσεις προέρχεται από μια περίοδο όπου οι περισσότεροι χρήστες συνδέονταν στο διαδίκτυο από Internet cafe ή κοινόχρηστους υπολογιστές. Σύμφωνα με την έρευνά μας, όσο περισσότερο εισάγουμε τους κωδικούς πρόσβασής μας, τόσο πιθανότερο είναι να πέσουμε θύματα κυβερνοεπίθεσης. Συνεπώς, είναι ασφαλέστερο απλώς να ενεργοποιήσετε το κλείδωμα οθόνης στο κινητό τηλέφωνο ή τον υπολογιστή σας και να χρησιμοποιήσετε έναν ασφαλή κωδικό.
Risher: Σωστά. Δυστυχώς, κυκλοφορούν πολλές εσφαλμένες ή μη πρακτικές συμβουλές που μπορεί να προκαλέσουν σύγχυση σε πολλούς χρήστες. Στο χειρότερο δυνατό σενάριο, οι χρήστες αισθάνονται τέτοια αβεβαιότητα που στο τέλος εγκαταλείπουν την προσπάθεια: "Εάν είναι τόσο δύσκολο να προστατέψω τον εαυτό μου, δεν έχει νόημα να προσπαθήσω". Αυτό είναι σαν να αφήνεις την εξώπορτα ανοικτή επειδή γνωρίζεις ότι υπάρχουν κλέφτες στην περιοχή.
Ο Mark Risher είναι Διευθυντής του Τμήματος διαχείρισης προϊόντος της Google για τον τομέα ασφάλειας και απορρήτου. Το 2010, ίδρυσε την εταιρεία κυβερνοασφάλειας Impermium, την οποία εξαγόρασε η Google το 2014. Από τότε, ο Risher εργάζεται στα κεντρικά γραφεία της εταιρείας στο Mountain View στην Καλιφόρνια. Στα δεξιά: Ένα κλειδί ασφαλείας όπως χρησιμοποιείται από το Πρόγραμμα Ενισχυμένης προστασίας. Διατίθεται έναντι μικρού χρηματικού αντιτίμου και μπορεί να χρησιμοποιηθεί σε διάφορους ιστοτόπους.
Πώς θα μπορούσε η Google να εγγυηθεί την ασφάλεια των χρηστών σε περίπτωση κατάργησης των κωδικών πρόσβασης;
Risher: Διαθέτουμε ήδη πολλά πρόσθετα μέτρα ασφαλείας που εκτελούνται στο παρασκήνιο. Ακόμη και αν ένας εισβολέας μάθαινε τον κωδικό πρόσβασής σας και τον αριθμό του κινητού σας τηλεφώνου, θα μπορούσαμε να εγγυηθούμε το 99,9 τοις εκατό της ασφάλειας του Λογαριασμού σας Google. Για παράδειγμα, ελέγχουμε τη συσκευή και τη χώρα από την οποία συνδέεται κάποιος. Εάν κάποιος προσπαθήσει να συνδεθεί στον λογαριασμό σας πολλές φορές επανειλημμένα με λανθασμένο κωδικό πρόσβασης, ενεργοποιούνται κάποιοι συναγερμοί στα συστήματα ασφαλείας μας.
Micklitz: Επίσης, αναπτύξαμε τον Έλεγχο ασφαλείας, ο οποίος επιτρέπει στους χρήστες να ορίσουν τις ρυθμίσεις ασφαλείας του Λογαριασμού τους Google βήμα προς βήμα. Με το Πρόγραμμα Ενισχυμένης προστασίας, προχωράμε ένα βήμα παρακάτω.
Πώς προέκυψε αυτό το πρόγραμμα;
Micklitz: Αρχικά, το πρόγραμμα αναπτύχθηκε για πολιτικούς, διευθυντικά στελέχη ή δημοσιογράφους που ενδέχεται να αποτελέσουν στόχο εγκληματιών. Ωστόσο, τώρα είναι διαθέσιμο σε οποιονδήποτε ζητά επιπλέον ασφάλεια στο διαδίκτυο. Μόνο όσοι διαθέτουν ένα ειδικό κλειδί ασφαλείας USB ή Bluetooth μπορούν να αποκτήσουν πρόσβαση στον προστατευμένο Λογαριασμό τους Google.
Risher: Γνωρίζουμε εκ πείρας πόσο αποτελεσματικό είναι αυτό το σύστημα, καθώς όλοι οι υπάλληλοι της Google χρησιμοποιούν ένα κλειδί ασφαλείας για να διατηρήσουν ασφαλή τον εταιρικό λογαριασμό τους. Από την παρουσίαση αυτού του μέτρου ασφαλείας, δεν έχει παρουσιαστεί ούτε ένα περιστατικό ηλεκτρονικού ψαρέματος (phishing) που θα μπορούσε να οφείλεται σε επιβεβαίωση κωδικού πρόσβασης. Το κλειδί ασφαλείας βελτιώνει την ασφάλεια του Λογαριασμού Google, επειδή ακόμα και αν οι εισβολείς γνωρίζουν τον κωδικό πρόσβασης, χωρίς το κλειδί ασφαλείας δεν έχουν πρόσβαση στον λογαριασμό. Σε γενικές γραμμές, ένας λογαριασμός στο διαδίκτυο μπορεί να παραβιαστεί από οπουδήποτε στον κόσμο. Οι λογαριασμοί που προστατεύονται από φυσικά κλειδιά ασφαλείας δεν διατρέχουν αυτόν τον κίνδυνο.
Micklitz: Παρεμπιπτόντως, αυτά τα κλειδιά ασφαλείας μπορούν να χρησιμοποιηθούν σε πολλούς ιστοτόπους, όχι μόνο για το Πρόγραμμα Ενισχυμένης προστασίας της Google. Μπορείτε να τα αγοράσετε έναντι μικρού χρηματικού αντιτίμου από εμάς ή άλλους παρόχους. Όλες οι λεπτομέρειες είναι διαθέσιμες στη διεύθυνση g.co/advancedprotection.
"Μερικές φορές, οι άνθρωποι δυσκολεύονται να αξιολογήσουν τους κινδύνους στο διαδίκτυο".
Stephan Micklitz
Ποιοι είναι κατά τη γνώμη σας οι μεγαλύτεροι κίνδυνοι στο διαδίκτυο σήμερα;
Risher: Ένα πρόβλημα είναι ο μεγάλος αριθμός λιστών με ονόματα χρηστών και κωδικούς πρόσβασης που υπάρχουν στο διαδίκτυο. Ο συνάδελφός μας Tadek Pietraszek και η ομάδα του, βρήκαν 3,5 δισεκατομμύρια συνδυασμούς ονομάτων χρηστών και κωδικών πρόσβασης μετά από έξι εβδομάδες αναζήτησης. Δεν πρόκειται για δεδομένα από παραβιασμένους Λογαριασμούς Google, αλλά για στοιχεία που κλάπηκαν από άλλους παρόχους. Ωστόσο, επειδή πολλοί χρήστες χρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς, αυτές οι λίστες αποτελούν πρόβλημα και για εμάς.
Micklitz: Το ηλεκτρονικό ψάρεμα (phishing) τύπου spear είναι ένα τεράστιο πρόβλημα. Σε αυτήν την περίπτωση ο εισβολέας δημιουργεί ένα πολύ έξυπνο εξατομικευμένο μήνυμα στο οποίο είναι πολύ δύσκολο για τον χρήστη να αναγνωρίσει την πρόθεση απάτης. Βλέπουμε τους εισβολείς να εφαρμόζουν όλο και περισσότερο αυτήν τη μέθοδο με επιτυχία.
Risher: Συμφωνώ με τον Stephan. Επίσης, το ηλεκτρονικό ψάρεμα (phishing) τύπου spear δεν είναι τόσο χρονοβόρο όσο ακούγεται. Δεν χρειάζονται περισσότερα από λίγα λεπτά για την εξατομίκευση ενός ανεπιθύμητου μηνύματος ηλεκτρονικού ταχυδρομείου. Οι εισβολείς μπορούν να χρησιμοποιήσουν τις πληροφορίες που οι χρήστες δημοσιεύουν για τους εαυτούς τους στο διαδίκτυο. Αυτό είναι ένα πρόβλημα με τα κρυπτονομίσματα. Για παράδειγμα: Αν κάποιος γνωστοποιήσει δημοσίως ότι κατέχει 10.000 Bitcoin, θα πρέπει να το θεωρήσει δεδομένο ότι αυτή η πληροφορία ενδέχεται να τραβήξει την προσοχή εγκληματιών που δρουν στον κυβερνοχώρο.
Micklitz: Θα ήταν σαν να στέκομαι στη μέση μιας αγοράς με ένα μεγάφωνο, ανακοινώνοντας το υπόλοιπο του τραπεζικού μου λογαριασμού. Ποιος θα το έκανε αυτό; Κανένας. Μερικές φορές όμως, οι άνθρωποι δυσκολεύονται να αξιολογήσουν τους κινδύνους στο διαδίκτυο.
Εξακολουθούν να αποτελούν πρόβλημα τα συνηθισμένα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου;
Risher: Η σύνδεση συσκευών και υπηρεσιών αποτελεί μια μεγάλη πρόκληση για εμάς. Οι χρήστες δεν συνδέονται στο διαδίκτυο μόνο μέσω φορητών υπολογιστών και smartphone. Χρησιμοποιούν επίσης τηλεοράσεις, smartwatch και έξυπνα ηχεία. Σε όλες αυτές τις συσκευές εκτελούνται διάφορες εφαρμογές, προσφέροντας στους εισβολείς πολλά πιθανά σημεία επίθεσης. Επειδή πολλές συσκευές είναι πλέον συνδεδεμένες, οι εισβολείς μπορούν να χρησιμοποιήσουν μια συσκευή για να προσπαθήσουν να αποκτήσουν πρόσβαση στις πληροφορίες που είναι αποθηκευμένες σε κάποια άλλη. Με αυτόν τον τρόπο, προκύπτει το εξής ερώτημα: Πώς μπορούμε να εγγυηθούμε την ασφάλεια των χρηστών παρά την πληθώρα των νέων συνηθειών χρήσης;
Micklitz: Αρχικά, προσδιορίζουμε ποια είναι τα απολύτως απαραίτητα δεδομένα για κάθε υπηρεσία και ποια δεδομένα ανταλλάσσονται μεταξύ τους.
Ο Stephan Micklitz
είναι Διευθυντής του τμήματος Μηχανικής στην ομάδα Απορρήτου και ασφαλείας της Google. Σπούδασε επιστήμη υπολογιστών στο Τεχνικό Πανεπιστήμιο του Μονάχου και εργάζεται στα γραφεία της Google στο Μόναχο από τα τέλη του 2007. O Micklitz είναι μέλος της γερμανικής πρωτοβουλίας ασφαλείας διαδικτύου με την ονομασία Deutschland sicher im Netz (DsiN).
Πώς χρησιμοποιείτε τεχνητή νοημοσύνη για την προστασία των χρηστών;
Micklitz: Η Google χρησιμοποιεί τεχνητή νοημοσύνη εδώ και αρκετό καιρό.
Risher: Αυτή η τεχνολογία έχει ενσωματωθεί από την αρχή στο Gmail, την υπηρεσία ηλεκτρονικού ταχυδρομείου της Google. Η Google ανέπτυξε τη δική της βιβλιοθήκη μηχανικής εκμάθησης με την ονομασία TensorFlow, η οποία διευκολύνει το έργο των προγραμματιστών που ασχολούνται με τη μηχανική εκμάθηση. Το Gmail συγκεκριμένα αξιοποιεί τη βιβλιοθήκη TensorFlow, καθώς του παρέχει μια πολύτιμη υπηρεσία κατά την αναγνώριση τυπικών μοτίβων.
Μπορείτε να εξηγήσετε πώς λειτουργεί αυτή η αναγνώριση μοτίβων;
Risher: Ας υποθέσουμε ότι παρατηρούμε ύποπτη δραστηριότητα από αρκετούς χρήστες που δεν μπορούμε να κατηγοριοποιήσουμε. Μια μηχανή αυτοεκμάθησης μπορεί να συγκρίνει αυτά τα συμβάντα και, στην καλύτερη περίπτωση, να εντοπίσει νέες μορφές απάτης προτού διαδοθούν στο διαδίκτυο.
Micklitz: Υπάρχουν, ωστόσο, όρια: Το πόσο έξυπνη είναι μια μηχανή καθορίζεται από τον χρήστη της. Εάν τροφοδοτήσω μια μηχανή με λανθασμένα ή μονόπλευρα δεδομένα, τα μοτίβα που θα αναγνωρίζει θα είναι επίσης εσφαλμένα ή μονόπλευρα. Παρά τη δημοσιότητα που έχει αποκτήσει η τεχνητή νοημοσύνη, η αποδοτικότητά της εξαρτάται πάντα από το άτομο που τη χρησιμοποιεί. Ο χρήστης θα πρέπει να εκπαιδεύσει τη μηχανή με δεδομένα υψηλής ποιότητας και έπειτα να ελέγξει τα αποτελέσματα.
Risher: Στην προηγούμενη εργασία μου σε έναν άλλο πάροχο ηλεκτρονικού ταχυδρομείου, λάβαμε ένα μήνυμα από έναν υπάλληλο μιας τράπεζας στο Λάγος. Εκείνο το διάστημα, κυκλοφορούσαν πολλά παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία υποτίθεται ότι προερχόντουσαν από τη Νιγηρία. Ο συγκεκριμένος άντρας κατήγγειλε ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που έστελνε κατέληγαν πάντα στον φάκελο ανεπιθύμητων του παραλήπτη, αν και ο ίδιος εργαζόταν σε μια ευυπόληπτη τράπεζα. Αυτή είναι μια τυπική περίπτωση εσφαλμένης γενίκευσης στην αναγνώριση μοτίβων λόγω ανεπαρκών πληροφοριών. Καταφέραμε να λύσουμε αυτό το πρόβλημα αλλάζοντας τον αλγόριθμο.
Φωτογραφίες: Conny Mirbach
Εξελίξεις στην κυβερνοασφάλεια
Μάθετε με ποιον τρόπο προστατεύουμε περισσότερα άτομα στο διαδίκτυο από οποιονδήποτε άλλο οργανισμό.
Μάθετε περισσότερα