Πόσο εύκολα χακάρονται οι λογαριασμοί μας στο ίντερνετ και γιατί πρέπει να έχουμε δυνατούς κωδικούς πρόσβασης;

Συντάκτης: Δημοσίευση:

Τη σήμερον ημέρα ένα μεγάλο μέρος της ζωής μας το περνάμε στο ίντερνετ, χρησιμοποιώντας ένα σωρό σελίδες στις οποίες αποθηκεύουμε τα δεδομένα μας. Αν όμως τα κλειδιά των λογαριασμών μας πέσουν σε λάθος χέρια, κινδυνεύουμε να εκτεθούμε ανεπανόρθωτα. Για αυτό το λόγο όλοι συστήνουν να έχουμε διαφορετικούς κωδικούς για κάθε λογαριασμό, οι οποίοι θα περιλαμβάνουν γράμματα, αριθμούς, σύμβολα και άλλα στοιχεία. Πόσο εύκολα χακάρονται όμως οι λογαριασμοί μας και τι ακριβώς πρέπει να περιλαμβάνει ένας σωστός κωδικός;

Σκέψου για παράδειγμα να βρει κάποιος τα κλειδιά σου στο Facebook και με το προφίλ σου να πάει στο προφίλ του αφεντικού σου και να τον βρίσει. Άντε να αποδείξεις ότι δεν ήσουν εσύ! Μπορεί ας πούμε να αποκτήσει κάποιος πρόσβαση στο Dropbox σου και να πάρει και να δημοσιεύσει τις... πονηρές φωτογραφίες που κρατάς εκεί. Μπορεί τέλος η επιχείρησή σου να βρίσκεται στο ίντερνετ, με τη μορφή ενός e-shop και με τη βοήθεια ενός αδύναμου κωδικού, να μπει κάποιος και να στη διαγράψει τελείως!

Όσο περισσότερο εξαρτόμαστε λοιπόν από τις υπηρεσίες του ίντερνετ, τόσο περισσότερο θα πρέπει να ανησυχούμε για την ασφάλειά τους. Δε χρειάζεται βέβαια να αρρωστήσουμε από την ανησυχία, καθώς το μόνο που χρειάζεται είναι να έχουμε καλούς και τακτοποιημένους κωδικούς, ας δούμε όμως ποιες μεθόδους χρησιμοποιούν οι χάκερ και πόσο εύκολα χακάρονται οι κωδικοί μας.

Διαφήμιση

Τι είναι τα hash string;


Ας ξεκινήσουμε με τα βασικά. Όταν κάνουμε έναν λογαριασμό στο PlayStation για παράδειγμα, η υπηρεσία αποθηκεύει τα στοιχεία πρόσβασής μας σε μία βάση δεδομένων. Αν αυτή η υπηρεσία είναι σοβαρή, αποθηκεύει τον κωδικό μας σε κρυπτογραφημένη μορφή, στο λεγόμενο hash string. Αν λοιπόν χακάρει κάποιος τους server του PlayStation (κάτι που έχει συμβεί στο παρελθόν) και πάρει τα στοιχεία χιλιάδων λογαριασμών, μαζί και του δικού μας, θα έχει στα χέρια του αυτά τα hash string, μαζί με το username μας.


Από κάθε κωδικό πρόσβασης δημιουργείται ένα μοναδικό hash string. Αν λοιπόν πολλοί χρήστες έχουν εντελώς τυχαία τον ίδιο κωδικό, ο χάκερ θα βλέπει και το ίδιο hash string για όλους. Βρίσκοντας λοιπόν σε ποιο κωδικό αντιστοιχεί το συγκεκριμένο hash string, θα μπορέσει να μπει και σε όλους τους λογαριασμούς, αφού έχει ήδη στα χέρια του τα username.

Το καλό είναι ότι από το hash string δεν μπορούμε να βρούμε τον κωδικό δουλεύοντάς το ανάποδα (reverse engineering). Υπάρχουν όμως τρόποι για να βρεθεί ο κωδικός, οι γνωστότεροι από τους οποίους είναι:

  1. τα Rainbow Table,
  2. το Dictionary Attack (Wordlist),
  3. το Brute Force Attack

Rainbow Tables


Τα Rainbow Table είναι βάσεις δεδομένων, οι οποίες περιλαμβάνουν γνωστούς κωδικούς και τα αντίστοιχα hash τους. Ο χάκερ μας λοιπόν μπορεί να πάει σε μία από αυτές τις βάσεις, να βάλει όλα τα hash που έχει στα χέρια του και αν κάποια από αυτά περιλαμβάνονται στη βάση, να βρει τους κωδικούς που αντιστοιχούν.


Αν λοιπόν προσθέσει σε αυτή τη βάση το hash "5f4dcc3b5aa765d61d8327deb882cf99", θα μάθει πολύ εύκολα ότι ο κωδικός που χρησιμοποιούμε είναι η λέξη "password". Κάποιος άλλος χρήστης έχει σκεφτεί πιο πονηρά και έχει βάλει την ίδια λέξη με τη μορφή "p@ssw0rd!". Είναι όντως πιο ασφαλής γιατί χρησιμοποιεί γράμματα, αριθμούς και σύμβολα. Ταυτόχρονα όμως είναι και αυτή κοινή και περιλαμβάνεται στα Rainbow Table με hash "d5ec75d5fe70d428685510fae36492d9". Ο χάκερ μας δηλαδή θα μπορέσει με μεγάλη ευκολία να μπει και σε αυτόν το λογαριασμό.

Αν θέλετε να μάθετε το hash (MD5) για τους δικούς σας κωδικούς, μπορείτε να επισκεφτείτε μία σελίδα όπως το MD5 Hash Generator και να το βρείτε. Αν πάλι έχετε κάποιο hash δικού σας λογαριασμού και θέλετε να δείτε αν περιλαμβάνεται στα Rainbow Table, ένα από αυτά βρίσκεται στη σελίδα CrackStation. Το CrackStation είναι ένα μόνο από τα πολλά Rainbow Table που υπάρχουν στο ίντερνετ και αν δεν περιλαμβάνει τους δικούς μας κωδικούς, δε σημαίνει ότι αυτοί λείπουν και από τα υπόλοιπα.

Διαφήμιση

Dictionary Attack (Wordlist)


Αν τώρα ο κωδικός μας δεν είναι μία κοινή λέξη ή δεν περιλαμβάνεται σε κάποιο Rainbow Table, ο χάκερ μας έχει την επιλογή του Dictionary Attack. Η "επίθεση" αυτή γίνεται μέσω ενός τεράστιου αρχείου κειμένου (Wordlist), το οποίο περιλαμβάνει πάρα μα πάρα πολλούς κωδικούς, κοινούς και μη. Το μόνο που χρειάζεται να κάνει ο χάκερ μας, είναι να χρησιμοποιήσει ένα αυτόματο πρόγραμμα, για να συγκρίνει το hash string που έχει στα χέρια του, με αυτά που περιλαμβάνονται στη Wordlist. Αν το πρόγραμμα βρει το hash μέσα στη λίστα, θα του δώσει και τον κωδικό.


Μία τέτοια λίστα περιλαμβάνει και το CrackStation που είδαμε προηγουμένως, το μέγεθος της οποίας είναι 15GB! Για ένα αρχείο κειμένου, αυτό το μέγεθος είναι πραγματικά τεράστιο!

Το Dictionary Attack όμως μπορεί να γίνει στοχευμένα και για εμάς προσωπικά. Όταν ο χάκερ πήρε στα χέρια του τα στοιχεία του λογαριασμού μας, έμαθε το username, το ονοματεπώνυμο, την ηλικία και ότι άλλο είχαμε προσθέσει στο προφίλ μας. με λίγη φαντασία λοιπόν μπορεί να δημιουργήσει κωδικούς με το συνδυασμό όλων αυτών, να τους μετατρέψει σε hash string και να τους συγκρίνει με αυτό που έχει στα χέρια του.

Brute Force Attack


Δεν τελειώνουμε όμως εδώ, καθώς αν ο χάκερ μας δεν καταφέρει τίποτα με τις δύο πρώτες μεθόδους, μπορεί να δοκιμάσει την τεχνική του Brute Force Attack. Σε αυτή τη μέθοδο χρησιμοποιείται ένας υπολογιστής ο οποίος μετατρέπει αυτόματα όλους τους συνδυασμούς γραμμάτων, αριθμών και συμβόλων, σε ένα hash string, για να βρει τον κωδικό. 

Για παράδειγμα η λέξη "password" μπορεί να βρεθεί σε μόλις 2.17 δευτερόλεπτα, διότι είναι ένας συνδυασμός μέσα από τους 26 πεζούς χαρακτήρες του αλφαβήτου!


Για τη λέξη "p@ssw0rd!" θα χρειαστούν 4,16 ημέρες, διότι είναι συνδυασμός από 69 χαρακτήρες (πεζά, αριθμοί, σύμβολα).


Για τη λέξη "h%9D3-Ijn76" θα χρειαστούν 18,28 αιώνες, γιατί αποτελεί συνδυασμό από 95 χαρακτήρες (πεζά, κεφαλαία, αριθμοί και σύμβολα), ενώ είναι και ελαφρώς μεγαλύτερη από τους προηγούμενους!


Όπως βλέπουμε και στην τελευταία περίπτωση, η συγκεκριμένη τεχνική χρειάζεται πολύ χρόνο και έναν πολύ δυνατό υπολογιστή για να αποφέρει αποτελέσματα. Για αυτό το λόγο κοστίζει πολύ στον χάκερ που θα τη δοκιμάσει, οπότε αν δεν είσαι ο Πρόεδρος των ΗΠΑ ή κάποια μεγάλη εταιρία, δεν πρόκειται ποτέ να το κάνει κάποιος στο λογαριασμό σου. Αυτό βέβαια πρόκειται να αλλάξει άρδην με τους κβαντικούς υπολογιστές, η δύναμη των οποίων είναι πολλαπλάσια, αλλά μέχρι τότε θα έχει βρεθεί άλλος τρόπος ασφάλειας.

Η τεχνική του "salting"


Επειδή οι εταιρίες γνωρίζουν ότι δεν παίρνουμε και πολύ στα σοβαρά την ασφάλεια των λογαριασμών μας, πολλές από αυτές χρησιμοποιούν την τεχνική του "salting" στο λογαριασμό μας. Με τη μέθοδο αυτή, το Facebook για παράδειγμα, παίρνει τον κωδικό μας και προσθέτει σε αυτόν κάποια δικά του ψηφία (για παράδειγμα τη λέξη "face"), πριν μετατραπεί σε hash string.

Αν για παράδειγμα χρησιμοποιούμε τη λέξη "password", ο αλγόριθμος του Facebook θα την κάνει "passfacewordface" και στη συνέχεια θα τη μετατρέψει σε hash. Το hash λοιπόν της λέξης "password" θα είναι διαφορετικό από τη λέξη "passfacewordface" και αυτό είναι το έξτρα μέτρο ασφαλείας που καθιστά στην ουσία τα Rainbow Table άχρηστα.


Πώς πρέπει να είναι ένας καλός κωδικός και τι μπορείς να κάνεις για να τον θυμάσαι;


Τι μάθαμε λοιπόν από όλα τα παραπάνω; Ότι οι κωδικοί που θα επιλέξουμε για τους λογαριασμούς μας, πρέπει ιδανικά να περιέχουν κεφαλαία και πεζά γράμματα, αριθμούς, σύμβολα, ειδικούς χαρακτήρες και να είναι διαφορετικοί για κάθε ιστοσελίδα στην οποία κάνουμε εγγραφή. Πρέπει επίσης να μην είναι κοινοί ή ακόμη καλύτερα να μην έχουν καμία έννοια, ενώ τέλος αν θέλουμε την απόλυτη ασφάλεια, θα πρέπει να αποτελούνται από όσο το δυνατόν περισσότερα ψηφία γίνεται.

Αν έχεις όμως τεράστιους κωδικούς, οι οποίοι ταυτόχρονα δεν έχουν καμία έννοια πώς είναι δυνατόν να τους θυμάσαι; Για αυτό υπάρχουν οι password manager σαν τον Keepass DX, οι οποίοι αποθηκεύουν για εμάς τα πάντα και μας προτείνουν νέους κωδικούς, κάθε φορά που κάνουμε εγγραφή σε νέα υπηρεσία. Επιλέγουμε τον συγκεκριμένο password manager γιατί αποθηκεύει τοπικά τους κωδικούς μας και όχι σε κάποιο server. Έτσι έχουμε τον απόλυτο έλεγχο στους κωδικούς μας, αλλά αν χάσουμε τη βάση στην οποία αποθηκεύονται, χάνουμε τα πάντα.

Ειδικά στο Android είναι πολύ βολικός, καθώς μπορεί να ρυθμιστεί και ως "Υπηρεσία αυτόματης συμπλήρωσης". Όταν λοιπόν θελήσουμε να μπούμε σε ένα από τα προφίλ μας ή να κάνουμε login σε μια εφαρμογή, θα μας εμφανίσει ένα παράθυρο για να επιλέξουμε τον κωδικό μέσα από το Keepass DX! Πολύ καλό.



Σχόλια

Δημοσίευση σχολίου

Πες την άποψή σου ή κάνε την ερώτησή σου ελεύθερα, ακολουθώντας όμως τους στοιχειώδεις κανόνες ευγένειας.

Δείτε επίσης...

Android | Γιατί δε θα αγόραζα ποτέ smartphone της OnePlus

Συντάκτης: Δημοσίευση: 17 σχόλια
Εικόνα
Η OnePlus είναι μία εταιρία που κατασκευάζει εξαιρετικά τηλέφωνα και μας το απέδειξε φέτος προσφέροντάς μας το καλύτερο μεσαίο Android smartphone ( OnePlus Nord ) και μία από τις κορυφαίες ναυαρχίδες (OnePlus 8 Pro) της χρονιάς. Σκεπτόμενος λοιπόν πόσος περισσότερος κόσμος θα αγοράσει φέτος τις συσκευές της, μου ήρθαν στο μυαλό όλα όσα έχουν βγει στο φως τα τελευταία χρόνια που αποδεικνύουν επίσης πόσο ανήθικη εταιρία είναι και πόσα ψέμματα μας έχει πει στο βωμό του κέρδους. 
Διαβάστε περισσότερα

Φεύγω από την Google (μέρος 15) | ''Ξηλώνουμε'' τα Google apps από το Android

Συντάκτης: Δημοσίευση: 19 σχόλια
Εικόνα
Στα άρθρα της σειράς "Φεύγω απ'την Google" έχουμε δει πώς μπορούμε να αντικαταστήσουμε τις βασικές υπηρεσίες της εταιρίας, με εναλλακτικές εφαρμογές που σέβονται το ιδιωτικό μας απόρρητο. Τώρα λοιπόν που έχουμε συνηθίσει τις νέες μας υπηρεσίες, είναι ευκαιρία να αφαιρέσουμε εντελώς την Google και από το Android smartphone μας. Πόσο εφικτό είναι όμως αυτό σε ένα λειτουργικό σύστημα το οποίο είναι "δεμένο" με τη συγκεκριμένη εταιρία;
Διαβάστε περισσότερα

Ιδιωτικό απόρρητο | Το αφελές επιχείρημα του ''Δεν έχω τίποτα να κρύψω''

Συντάκτης: Δημοσίευση: 10 σχόλια
Εικόνα
  Η πρόσφατη διαρροή προσωπικών δεδομένων από μισό δισεκατομμύριο λογαριασμούς του Facebook, στην οποία περιλαμβάνονται από το κινητό του Χαρδαλιά μέχρι του Mark Zuckerberg, είναι άλλη μία ευκαιρία για να πούμε πόσο σημαντικό είναι να μη συμπληρώνουμε όλα τα πεδία ή να δηλώνουμε ψεύτικα στοιχεία στα προφίλ μας. Τα προσωπικά δεδομένα είναι προσωπικά, όχι δημόσια αλλά πολύς κόσμος δυστυχώς δεν το καταλαβαίνει, προτάσσοντας το επιχείρημα του "Δεν έχω τίποτα να κρύψω".
Διαβάστε περισσότερα

Docker (μέρος 7) | Στήνουμε έναν reverse proxy για τα container μας με το Traefik

Συντάκτης: Δημοσίευση: 8 σχόλια
Εικόνα
Αν πάμε να στήσουμε σε έναν server όλες τις υπηρεσίες που έχουμε δει μέχρι στιγμής στα "Μαθήματα Docker" , θα ανακαλύψουμε ότι πρέπει να ανοίξουμε πολλές πόρτες στο router μας, αν θέλουμε να έχουμε πρόσβαση σε αυτές εκτός του τοπικού μας δικτύου. Αυτό από μόνο του είναι ένα τεράστιο πρόβλημα για την ασφάλεια του server μας, το οποίο πρέπει να αποφύγουμε και ένας εξαιρετικός τρόπος για να το κάνουμε αυτό είναι να στήσουμε έναν reverse proxy server. Σήμερα θα δούμε πώς γίνεται αυτό χρησιμοποιώντας το Traefik Proxy.
Διαβάστε περισσότερα

Μάθε παιδί μου Linux (μέρος 11) | Δίσκοι, κατατμήσεις και σύστημα αρχείων (filesystem)

Συντάκτης: Δημοσίευση: 4 σχόλια
Εικόνα
Ξεκινάμε το δεύτερο κύκλο μαθημάτων της σειράς "Μάθε παιδί μου Linux" , αυτόν που από Linux User θα σε κάνει Linux Admin! Σήμερα θα μιλήσουμε για το σύστημα αρχείων του Linux ή αλλιώς "filesystem" και θα δούμε τα είδη και τις ιδιαιτερότητές του. Θα δούμε επίσης πώς μπορούμε να διαχειριστούμε τα μέσα αποθήκευσης, όπως οι σκληροί δίσκοι και τα USB στικάκια, ενώ θα ρίξουμε και μια ματιά σε μερικά πολύ βασικά εργαλεία που τα αφορούν.
Διαβάστε περισσότερα

Ubuntu Touch 2020 review | Μια πραγματική mobile GNU/Linux διανομή έτοιμη για καθημερινή χρήση

Συντάκτης: Δημοσίευση: 5 σχόλια
Εικόνα
Είδαμε πρόσφατα την είδηση ότι το Ubuntu Touch, η έκδοση του Ubuntu για smartphone και tablet δηλαδή, προσφέρεται πλέον και σε GSI πακέτο εγκατάστασης . Αυτό σημαίνει ότι μπορεί πλέον να εγκατασταθεί σε όλες σχεδόν τις Android συσκευές που έχουν κυκλοφορήσει από το Android 8.1 και μετά, εξαλείφοντας στην ουσία το μεγάλο πρόβλημα της συγκεκριμένης διανομής, που ήταν συμβατή με απειροελάχιστες συσκευές. Επειδή λοιπόν είναι τρομερά ενδιαφέρον να έχουμε μία πραγματική GNU/Linux διανομή και στο κινητό μας, αποφασίσαμε να του ρίξουμε μία ματιά και να δούμε σε ποιο επίπεδο βρίσκεται η ανάπτυξή του το 2020.
Διαβάστε περισσότερα

Android | Περιόρισε την παρακολούθηση των εφαρμογών και κόψε τις διαφημίσεις με το TrackerControl

Συντάκτης: Δημοσίευση: 5 σχόλια
Εικόνα
Το πρόβλημα με πολλές εφαρμογές στο Android είναι ότι πέρα από τη βασική υπηρεσία που σου προσφέρουν, ενσωματώνουν και ένα σωρό άλλα πράγματα, τα οποία είτε δεν είναι χρήσιμα για εμάς, είτε βρίσκονται εκεί για να συλλέγουν τα προσωπικά μας δεδομένα. Μερικά από αυτά μπορούμε να τα αποφύγουμε, απορρίπτοντας τις άδειες που ζητάνε για μέρη της συσκευής μας (π.χ. πρόσβαση στην κάμερα, τις επαφές κ.ο.κ.), κάποια άλλα όμως λειτουργούν αυτόματα και ο μόνος τρόπος για να τα σταματήσουμε, είναι να κόψουμε την πρόσβαση στο ίντερνετ για τη συγκεκριμένη εφαρμογή.
Διαβάστε περισσότερα

Απόρρητο | ''Μπερδεύουμε'' τον αλγόριθμο Google και Facebook με ψεύτικες πληροφορίες

Συντάκτης: Δημοσίευση: 3 σχόλια
Εικόνα
Στις συζητήσεις περί προσωπικών δεδομένων πάντα θα υπάρχει κάποιος που θα σου πει ότι "το Facebook και η Google γνωρίζουν ήδη τα πάντα για σένα" και ότι είναι μάταιο να προσπαθήσεις να τους αποφύγεις. Αν υποθέσουμε ότι ισχύει κάτι τέτοιο (που δεν ισχύει), υπάρχει ένας τρόπος να πληρώσεις το Facebook και τη Google με το ίδιο νόμισμα. Θα το ονομάσουμε "Operation Saturation" ή αλλιώς "Επιχείρηση Κορεσμός" και στη θέση των διαγραμμένων δεδομένων μας θα ανεβάσουμε ένα σωρό ασυνάρτητες πληροφορίες!
Διαβάστε περισσότερα

Docker (μέρος 1) | Τι είναι και πώς το εγκαθιστούμε στον υπολογιστή μας;

Συντάκτης: Δημοσίευση: 4 σχόλια
Εικόνα
Ένα μεγάλο πρόβλημα που έχουν όσοι χρησιμοποιούν εικονικές μηχανές (VM), είναι ότι σε κάθε μία από αυτές πρέπει να φορτώνουν ένα ολόκληρο λειτουργικό σύστημα για να τρέξουν μία και μόνο εφαρμογή ή υπηρεσία. Το πρόβλημα δηλαδή με υπηρεσίες όπως το Virtualbox είναι ότι αν έχεις Windows PC και θέλεις να δοκιμάσεις μία Linux εφαρμογή, θα πρέπει να εγκαταστήσεις ολόκληρο το Linux και να του δώσεις μάλιστα συγκεκριμένους πόρους από τον επεξεργαστή, τη RAM και το δίσκο του υπολογιστή σου. Όλα αυτά όμως αποτελούν πλέον παρελθόν, καθώς με το Docker η όλη διαδικασία γίνεται ευκολότερα, ταχύτερα και κυρίως πιο οικονομικά από άποψη πόρων.
Διαβάστε περισσότερα

Android | Βάλε στην ''απομόνωση'' τις εφαρμογές που δεν εμπιστεύεσαι με το Shelter

Συντάκτης: Δημοσίευση: 2 σχόλια
Εικόνα
Σχεδόν κάθε μήνα ακούμε πλέον για νέα περιστατικά που αποδεικνύουν ότι οι μεγάλες εταιρίες όπως η Google, το Facebook, η Apple και η Microsoft δεν ενδιαφέρονται καθόλου να προστατεύσουν τα προσωπικά μας δεδομένα. Μία λύση είναι να μη χρησιμοποιούμε τις υπηρεσίες τους, αλλά υπάρχουν κάποιες εφαρμογές, όπως για παράδειγμα το Google Maps, που είναι πραγματικά αναντικατάστατες. Δεν μπορείς όμως να αφήνεις το Google Maps να τρέχει 24/7 στο κινητό σου τηλέφωνο, απλά επειδή το χρειάζεσαι μια φορά την εβδομάδα. Η μέση λύση λοιπόν είναι το Shelter, μία εφαρμογή που εγκαθιστά σε έναν ξεχωριστό χώρο όλες τις εφαρμογές στις οποίες δεν έχουμε εμπιστοσύνη και μας δίνει τη δυνατότητα να τις "παγώσουμε" όταν δεν τις χρειαζόμαστε. Ποιο είναι το πρόβλημα; Το πρόβλημα είναι ότι πολλές από τις εφαρμογές που χρησιμοποιούμε καθημερινά, έχουν σκοπό να αντλήσουν όσο περισσότερα προσωπικά δεδομένα μπορούν από εμάς, για να πωληθούν αργότερα σε διαφημιστικές (και όχι μόνο) εταιρίες. Οι επαφές, η τοπο
Διαβάστε περισσότερα