Μετάβαση στο περιεχόμενο
Λογαριασμός Google
Λογαριασμός Google
Πορτρέτο δύο ανδρών σε ένα εξωτερικό μπαλκόνι με φόντο τον ορίζοντα μιας πόλης.

Διαχείριση κωδικών πρόσβασης στο διαδίκτυο

Πολλοί χρήστες αισθάνονται ανήμποροι να διαχειριστούν ζητήματα ασφάλειας στο διαδίκτυο. Ο Mark Risher και ο Stephan Micklitz της Google συζητούν πώς αυτές οι ανάγκες των χρηστών λαμβάνονται υπόψη κατά την ανάπτυξη μέτρων ασφάλειας.

Κοινή χρήση

  • Κοινή χρήση στο X
  • Κοινή χρήση στο Facebook
  • Κοινή χρήση στο Linkedin
  • ×
    Λήψη συνδέσμου με δυνατότητα κοινής χρήσης

Κύριε Risher, είστε διευθυντής του τμήματος διαχείρισης προϊόντων της Google και εργάζεστε στον τομέα της ασφάλειας στο διαδίκτυο. Έχετε πέσει ποτέ θύμα απάτης στο διαδίκτυο;

Mark Risher: Δεν μπορώ να σκεφτώ κάποιο χαρακτηριστικό παράδειγμα αυτή τη στιγμή, αλλά υποθέτω πως ναι. Κάνω λάθη όταν περιηγούμαι στο διαδίκτυο, όπως όλοι. Για παράδειγμα, πρόσφατα πληκτρολόγησα τον κωδικό πρόσβασης Google σε λάθος ιστότοπο. Ευτυχώς, είχα εγκαταστήσει την προσθήκη Password Alert του Chrome που μου υπέδειξε το λάθος. Φυσικά, στη συνέχεια, άλλαξα αμέσως τον κωδικό πρόσβασής μου.

Stephan Micklitz, διευθυντής τεχνολογίας στην ομάδα απορρήτου και ασφάλειας της Google: Είναι ανθρώπινο να κάνουμε λάθη. Αφού απομνημονεύσουμε έναν κωδικό πρόσβασης, μπορεί εύκολα να συμβεί να τον πληκτρολογήσουμε κάπου, χωρίς να προσέξουμε πού τον εισάγουμε.

Risher: Θα θέλαμε να καταργήσουμε ολοκληρωτικά τους κωδικούς πρόσβασης, αλλά αυτό δυστυχώς δεν είναι τόσο εύκολο.

"Πολλά μέτρα ασφάλειας εφαρμόζονται στο παρασκήνιο."

Mark Risher

Τι κακό έχουν οι κωδικοί πρόσβασης;

Risher: Έχουν πολλά μειονεκτήματα: Είναι εύκολο να υποκλαπούν και δύσκολο να τους θυμάσαι, ενώ η διαχείρισή τους μπορεί να γίνει κουραστική. Πολλοί χρήστες πιστεύουν ότι ένας κωδικός πρόσβασης πρέπει να είναι όσο το δυνατόν πιο μεγάλος και πολύπλοκος. Στην πραγματικότητα όμως, αυτό θέτει την ασφάλεια σε μεγαλύτερο κίνδυνο. Οι χρήστες μπαίνουν στον πειρασμό να χρησιμοποιήσουν έναν πολύπλοκο κωδικό πρόσβασης σε περισσότερους από έναν λογαριασμούς, κάτι που τους κάνει ακόμα πιο ευάλωτους.

Micklitz: Όσο λιγότερο χρησιμοποιείτε έναν κωδικό πρόσβασης, τόσο το καλύτερο. Αυτός είναι και ο λόγος για τον οποίο δεν πρέπει να συνδέεστε και να αποσυνδέεστε επανειλημμένα στους λογαριασμούς σας. Με την πάροδο του χρόνου, αυτό μπορεί να κάνει τους χρήστες να μην προσέχουν σε ποια ιστοσελίδα βρίσκονται, κάνοντας ευκολότερη την υποκλοπή των κωδικών πρόσβασής τους. Γι' αυτό συνιστούμε στους χρήστες να παραμένουν συνδεδεμένοι.

Ο ιστότοπος της τράπεζάς μου με αποσυνδέει αυτόματα αν παραμείνω αδρανής για λίγα λεπτά.

Micklitz: Δυστυχώς, πολλές εταιρείες ακολουθούν ακόμα ξεπερασμένους κανόνες. Η συμβουλή για τις συνεχείς αποσυνδέσεις προέρχεται από μια περίοδο όπου οι περισσότεροι χρήστες συνδέονταν στο διαδίκτυο από Internet cafe ή κοινόχρηστους υπολογιστές. Από την έρευνά μας προκύπτει ότι όσο συχνότερα οι χρήστες εισάγουν τους κωδικούς πρόσβασής τους, τόσο πιθανότερο είναι να πέσουν θύματα κυβερνοεπίθεσης. Συνεπώς, είναι ασφαλέστερο να ενεργοποιήσετε απλώς το κλείδωμα οθόνης στο κινητό τηλέφωνο ή τον υπολογιστή σας και να χρησιμοποιήσετε έναν ασφαλή κωδικό πρόσβασης.

Risher: Ακριβώς. Δυστυχώς, κυκλοφορούν πολλές εσφαλμένες ή μη πρακτικές συμβουλές που μπορεί να προκαλέσουν σύγχυση σε πολλούς χρήστες. Στο χειρότερο δυνατό σενάριο, οι χρήστες αισθάνονται τέτοια αβεβαιότητα που στο τέλος εγκαταλείπουν την προσπάθεια: "Εάν είναι τόσο δύσκολο να προστατέψω τον εαυτό μου, δεν έχει νόημα να προσπαθήσω". Αυτό είναι λίγο σαν να αφήνεις την εξώπορτα ανοικτή, επειδή γνωρίζεις ότι υπάρχουν κλέφτες στην περιοχή.

Δύο εικόνες, η μία δίπλα στην άλλη. Η πρώτη εικόνα είναι το πορτρέτο ενός άνδρα με σγουρά μαλλιά που φοράει μπλε πουκάμισο, κάθεται σε ένα τραπέζι με τα χέρια σταυρωμένα και χαμογελά. Η δεύτερη εικόνα είναι μια κοντινή φωτογραφία ενός χεριού που κρατά ένα μικρό λευκό Κλειδί ασφαλείας Titan με χρυσό βύσμα USB.

Ο Mark Risher είναι διευθυντής του τμήματος διαχείρισης προϊόντων της Google για την ασφάλεια και το απόρρητο. Το 2010 ίδρυσε την εταιρεία κυβερνοασφάλειας Impermium, την οποία εξαγόρασε η Google το 2014. Από τότε, ο Risher εργάζεται στα κεντρικά γραφεία της εταιρείας στο Mountain View στην Καλιφόρνια. Στα δεξιά: Ένα κλειδί ασφαλείας, όπως χρησιμοποιείται στο Πρόγραμμα Ενισχυμένης προστασίας. Διατίθεται έναντι μικρού αντιτίμου και μπορεί να χρησιμοποιηθεί σε διάφορους ιστοτόπους.

Πώς θα μπορούσε η Google να εγγυηθεί την ασφάλεια των χρηστών σε περίπτωση κατάργησης των κωδικών πρόσβασης;

Risher: Έχουμε ήδη πολλά πρόσθετα μέτρα ασφάλειας που εκτελούνται στο παρασκήνιο. Ακόμη και αν ένας εισβολέας μάθαινε τον κωδικό πρόσβασής σας και τον αριθμό του κινητού τηλεφώνου σας, θα μπορούσαμε να εγγυηθούμε κατά 99,9% την ασφάλεια του Λογαριασμού σας Google. Για παράδειγμα, ελέγχουμε τη συσκευή και τη χώρα από την οποία συνδέεται κάποιος. Εάν κάποιος προσπαθήσει να συνδεθεί επανειλημμένα στον λογαριασμό σας με λανθασμένο κωδικό πρόσβασης, ενεργοποιούνται κάποιοι συναγερμοί στα συστήματα ασφαλείας μας.

Micklitz: Επίσης, έχουμε αναπτύξει τον Έλεγχο ασφαλείας, ο οποίος επιτρέπει στους χρήστες να ορίσουν τις ρυθμίσεις ασφάλειας του Λογαριασμού τους Google βήμα προς βήμα. Και με το Πρόγραμμα Ενισχυμένης προστασίας, προχωράμε ακόμα ένα βήμα παραπέρα.

Πώς προέκυψε αυτό το πρόγραμμα;

Micklitz: Αρχικά, το πρόγραμμα αναπτύχθηκε για πολιτικούς, διευθύνοντες συμβούλους ή δημοσιογράφους που μπορεί να αποτελέσουν συνήθεις στόχους εγκληματιών. Ωστόσο, τώρα είναι διαθέσιμο σε οποιονδήποτε ζητά επιπλέον ασφάλεια στο διαδίκτυο. Μόνο όσοι διαθέτουν το ειδικό κλειδί (dongle) USB ή Bluetooth μπορούν να αποκτήσουν πρόσβαση στον προστατευμένο Λογαριασμό τους Google.

Risher: Γνωρίζουμε εκ πείρας πόσο αποτελεσματικό είναι αυτό το σύστημα, καθώς όλοι οι υπάλληλοι της Google χρησιμοποιούν κλειδί ασφαλείας, προκειμένου να διατηρούν ασφαλή τον εταιρικό τους λογαριασμό. Μετά την υιοθέτηση αυτού του μέτρου ασφάλειας, δεν είχαμε ούτε ένα περιστατικό ηλεκτρονικού ψαρέματος (phishing) που θα μπορούσε να συσχετιστεί με επιβεβαίωση κωδικού πρόσβασης. Το κλειδί ασφαλείας βελτιώνει την ασφάλεια του Λογαριασμού Google, επειδή ακόμα και αν οι εισβολείς γνωρίζουν τον κωδικό πρόσβασης, δεν μπορούν να αποκτήσουν πρόσβαση στον λογαριασμό χωρίς αυτό. Σε γενικές γραμμές, ένας λογαριασμός στο διαδίκτυο μπορεί να παραβιαστεί από οπουδήποτε στον κόσμο, όμως αυτό δεν ισχύει για τους λογαριασμούς που προστατεύονται με ένα φυσικό κλειδί ασφαλείας.

Micklitz: Παρεμπιπτόντως, αυτά τα κλειδιά ασφαλείας μπορούν να χρησιμοποιηθούν για πολλούς ιστοτόπους, όχι μόνο για το Πρόγραμμα Ενισχυμένης προστασίας της Google. Μπορείτε να τα αγοράσετε έναντι μιας μικρής χρέωσης από εμάς ή άλλους παρόχους. Όλες οι λεπτομέρειες βρίσκονται στη διεύθυνση g.co/advancedprotection.

"Μερικές φορές, οι άνθρωποι δυσκολεύονται να αξιολογήσουν τους κινδύνους στο διαδίκτυο."

Stephan Micklitz

Ποιοι είναι κατά τη γνώμη σας οι μεγαλύτεροι κίνδυνοι στο διαδίκτυο σήμερα;

Risher: Ένα πρόβλημα είναι ο μεγάλος αριθμός λιστών με ονόματα χρηστών και κωδικούς πρόσβασης που υπάρχουν στο διαδίκτυο. Ο συνάδελφός μας, Tadek Pietraszek, και η ομάδα του σάρωσαν για έξι εβδομάδες το διαδίκτυο και βρήκαν 3,5 δισεκατομμύρια συνδυασμούς ονομάτων χρηστών και κωδικών πρόσβασης. Δεν πρόκειται για δεδομένα από παραβιασμένους Λογαριασμούς Google, αλλά για στοιχεία που κλάπηκαν από άλλους παρόχους. Ωστόσο, επειδή πολλοί χρήστες χρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς, αυτές οι λίστες αποτελούν πρόβλημα και για εμάς.

Micklitz: Θεωρώ ότι οι επιθέσεις spear phishing είναι ένα τεράστιο πρόβλημα. Πρόκειται για επιθέσεις όπου ο εισβολέας δημιουργεί ένα τόσο έξυπνα εξατομικευμένο μήνυμα, που είναι πολύ δύσκολο για το θύμα να αναγνωρίσει την πρόθεση εξαπάτησης. Βλέπουμε τους εισβολείς να εφαρμόζουν όλο και περισσότερο αυτή τη μέθοδο με επιτυχία.

Risher: Συμφωνώ με τον Stephan. Επίσης, οι επιθέσεις spear phishing δεν είναι τόσο χρονοβόρες όσο ακούγεται. Συνήθως χρειάζονται μόνο λίγα λεπτά για την εξατομίκευση ενός ανεπιθύμητου μηνύματος ηλεκτρονικού ταχυδρομείου. Οι εισβολείς μπορούν να χρησιμοποιήσουν τις πληροφορίες που οι χρήστες δημοσιεύουν για τον εαυτό τους στο διαδίκτυο. Αυτό είναι πρόβλημα όταν μιλάμε για κρυπτονομίσματα. Για παράδειγμα: Αν κάποιος γνωστοποιήσει δημοσίως ότι κατέχει 10.000 Bitcoin, δεν θα πρέπει να εκπλαγεί αν αυτή η πληροφορία τραβήξει την προσοχή των εγκληματιών του κυβερνοχώρου.

Micklitz: Θα ήταν σαν να στέκομαι στη μέση ενός σουπερμάρκετ ανακοινώνοντας το υπόλοιπο του τραπεζικού μου λογαριασμού με μια ντουντούκα. Ποιος θα το έκανε αυτό; Κανένας. Μερικές φορές όμως, οι άνθρωποι δυσκολεύονται να αξιολογήσουν τους κινδύνους στο διαδίκτυο.

Πορτρέτο ενός άνδρα με σγουρά μαλλιά που φοράει ανοιχτό μπλε πουκάμισο με κουμπιά και κάνει χειρονομίες με τα δύο χέρια, ενώ μιλάει μέσα σε έναν χώρο γραφείου.

Εξακολουθούν να αποτελούν πρόβλημα τα συνηθισμένα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου;

Risher: Η σύνδεση συσκευών και υπηρεσιών αποτελεί μια μεγάλη πρόκληση για εμάς. Οι χρήστες δεν συνδέονται στο διαδίκτυο μόνο μέσω φορητών υπολογιστών και smartphone. Χρησιμοποιούν επίσης τηλεοράσεις, smartwatch και έξυπνα ηχεία. Σε όλες αυτές τις συσκευές εκτελούνται διάφορες εφαρμογές που προσφέρουν στους εισβολείς πολλά πιθανά σημεία επίθεσης. Και καθώς πολλές συσκευές είναι πλέον συνδεδεμένες, οι εισβολείς μπορούν να χρησιμοποιήσουν μια συσκευή για να προσπαθήσουν να αποκτήσουν πρόσβαση στις πληροφορίες που είναι αποθηκευμένες σε κάποια άλλη. Οπότε προκύπτει το εξής ερώτημα: Πώς μπορούμε να εγγυηθούμε την ασφάλεια των χρηστών παρά το πλήθος των νέων συνηθειών χρήσης;

Micklitz: Αρχικά, εξετάζουμε ποια είναι τα απολύτως απαραίτητα δεδομένα για κάθε υπηρεσία και ποια δεδομένα ανταλλάσσονται μεταξύ των υπηρεσιών.

Πώς χρησιμοποιείτε την τεχνητή νοημοσύνη για να προστατεύσετε τους χρήστες;

Micklitz: Η Google χρησιμοποιεί τεχνητή νοημοσύνη εδώ και αρκετό καιρό.

Risher: Αυτή η τεχνολογία έχει ενσωματωθεί από την αρχή στην υπηρεσία ηλεκτρονικού ταχυδρομείου μας, το Gmail. Η Google ανέπτυξε, μάλιστα, τη δική της βιβλιοθήκη μηχανικής μάθησης, την TensorFlow, η οποία διευκολύνει το έργο των προγραμματιστών που ασχολούνται με τη μηχανική μάθηση. Το Gmail επωφελείται ιδιαίτερα από τη βιβλιοθήκη TensorFlow, καθώς παρέχει μια πολύτιμη υπηρεσία αναφορικά με την αναγνώριση τυπικών μοτίβων.

Μπορείτε να εξηγήσετε πώς λειτουργεί αυτή η αναγνώριση μοτίβων;

Risher: Ας υποθέσουμε ότι παρατηρούμε ύποπτη δραστηριότητα μεταξύ αρκετών χρηστών που δεν μπορούμε να κατηγοριοποιήσουμε. Μια μηχανή αυτοεκμάθησης μπορεί να συγκρίνει αυτά τα συμβάντα και, στην καλύτερη περίπτωση, να εντοπίσει νέες μορφές απάτης προτού διαδοθούν στο διαδίκτυο.

Micklitz: Υπάρχουν όμως όρια: Μια μηχανή είναι τόσο έξυπνη όσο το άτομο που τη χρησιμοποιεί. Εάν τροφοδοτήσω μια μηχανή με λανθασμένα ή μονόπλευρα δεδομένα, τα μοτίβα που θα αναγνωρίζει θα είναι επίσης λανθασμένα ή μονόπλευρα. Παρά τον ενθουσιασμό που υπάρχει γύρω από την τεχνητή νοημοσύνη, η αποδοτικότητά της εξαρτάται πάντα από το άτομο που τη χρησιμοποιεί. Ο χρήστης είναι αυτός που πρέπει να εκπαιδεύσει τη μηχανή με δεδομένα υψηλής ποιότητας και έπειτα να ελέγξει τα αποτελέσματα.

Risher: Μια φορά, όταν εργαζόμουν για έναν άλλο πάροχο ηλεκτρονικού ταχυδρομείου, λάβαμε ένα μήνυμα από έναν υπάλληλο μιας τράπεζας στο Λάγος. Εκείνο το διάστημα, κυκλοφορούσαν πολλά παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία υποτίθεται ότι προερχόντουσαν από τη Νιγηρία. Ο συγκεκριμένος άνθρωπος παραπονιόταν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που έστελνε κατέληγαν πάντα στον φάκελο ανεπιθύμητων του παραλήπτη, παρόλο που εργαζόταν σε μια ευυπόληπτη τράπεζα. Αυτή είναι μια τυπική περίπτωση εσφαλμένης γενίκευσης στην αναγνώριση μοτίβων λόγω ανεπαρκών πληροφοριών. Καταφέραμε να λύσουμε αυτό το πρόβλημα, αλλάζοντας τον αλγόριθμο.

.

Φωτογραφίες: Conny Mirbach

Επιστροφή στην κορυφή της σελίδας