Γκρινιάζω και ξαναγκρινιάζω για αυτό το θέμα, χωρίς να με ενδιαφέρει αν ακούγομαι “γραφικός”. ΜΗΝ ΣΤΕΛΝΕΤΕ PASSWORDS ΜΕ EMAIL.
Γιατί; Επειδή, πολύ απλά, οι περισσότεροι από εσάς χρησιμοποιείτε είτε κάποια cloud-based email υπηρεσία είτε κάτι σε POP3 mail client που αποθηκεύει τα μηνύματά σας τοπικά, είτε ένα συνδυασμό και των δύο.
Αυτό σημαίνει ότι όταν στέλνετε σε κάποιον “το administrator password για remote desktop στον server” η πληροφορία αυτή παραμένει τουλάχιστον σε δύο σημεία: Στο αρχείο απεσταλμένων μηνυμάτων σας και στο inbox του παραλήπτη.
ΓΙΑ ΠΑΝΤΑ.
Τα σημεία γίνονται ακόμα περισσότερα αν π.χ. κατεβάζετε σε κάποιο τοπικό mail client σας τα μηνύματα από κάποια cloud-based υπηρεσία (gmail, yahoo, outlook.com) και ακόμα πιό πολλά αν παίρνετε και backup του τοπικού σας αρχείου μηνυμάτων.
Αυτό αυξάνει την έκθεση του password σας σε κινδύνους και μάλιστα ακόμα περισσότερο επειδή βρίσκεται και τουλάχιστον σε ένα σημείο που δεν βρίσκεται υπό τον άμεσο έλεγχό σας (το mail του παραλήπτη).
Αυτά είχα να πω, αρχικά. Ας δούμε τώρα τον αντίλογο του Μονίμως Αντιδραστικού Αναγνώστη (ναι, για σένα λέω, που διάβασες μέχρι εδώ και ετοιμάζεσαι να ανοίξεις το στομα σου - περίμενε, γιατί στα έχω έτοιμα παρακάτω).
“Μα εγώ το στέλνω και τους λέω να το αλλάξουν ΑΜΕΣΩΣ, άρα...”
Συγχαρητήρια. Βάζω στοίχημα οτι ο,τι και να λες γίνεται άμεσα και όλοι σε ακουν χωρίς δεύτερη κουβέντα. Εκτός αν είσαι στρατιωτικός και δίνεις διαταγές, υπάρχει και η απειροελάχιστη εκείνη πιθανότητα να μην δώσει κανείς δεκάρα για το τι λες και το password να παραμείνει ενεργό, ακριβώς όπως το έστειλες στο email, εις τον αιώνα τον άπαντα. Η πιο νωρίς, αν πέσει στα χέρια τρίτου.
“Μα εγώ δεν το στέλνω με email, το στέλνω σε κινητό με SMS”
Αν το password που στέλνεις είναι κάτι πιό περίπλοκο από “1234” σε βλέπω να παθαίνεις ταχύτατα αγκύλωση, στραβισμό και περισσότερες από δέκα διαφορετικές ποικιλίες ημικρανίας. Ειδικά αν το κάνεις συχνά. Υπόψη ότι ΚΑΙ το SMS μένει, τόσο στο κινητό σου όσο και στο κινητό του παραλήπτη. Και ενδεχομένως και σε οποιεσδήποτε web-based υπηρεσίες έχεις συνδέσει το κινητό σου. Να συνεχίσω;
“Μα εγώ το στέλνω, το σβήνω από τα απεσταλμένα και λέω και στον παραλήπτη να κάνει το ίδιο”.
Και φυσικά ένας ή και οι δύο από τους δύο σας απλά το διαγράφουν μία φορά και το στέλνουν στο recycle bin της υπηρεσίας / του client τους όπου κάθεται για λίγο ή περισσότερο καιρό, ενώ καιροφυλακτεί και η πιθανότητα “δεν δίνω δεκάρα για το τι μου είπες” που αναφέρθηκε πιό πάνω. Ξέρεις πόσοι έστειλαν στοιχεία σύνδεσης FTP με αυτό τον τρόπο, και το αποτέλεσμα του “δεν δίνω δεκάρα για το τι μου είπες” ήταν να γεμίσει το site τους συμπαθή σκριπτάκια που φορτώνουν malware στους υπολογιστές των επισκεπτών τους ; Φυσικά και δεν ξέρεις, γιατί ντρέπονται να το αναφέρουν.
“Και αν μείνει στο email, τι έγινε δηλαδή;”
Τίποτα. Εκτός αν κάποιος αποκτήσει πρόσβαση στο email σου ή στο email του πελάτη σου ή στο PC σου που αποθηκεύεις τις λήψεις σου μέσω POP3, ή στα backups σου, τώρα ή στο μέλλον. Υπό την ίδια έννοια, μπορείς επίσης να αφήνεις ορθάνοιχτη την πόρτα του σπιτιού σου όταν φεύγεις με σκοπό να απουσιάσεις ένα τρίμηνο. Κατά πάσα πιθανότητα δεν θα συμβεί τίποτα, ε;
“Εγώ τα στέλνω στο Facebook chat / Skype / Viber / LinkedIn…”
Μπράβο. ΜΠΡΑΒΟ. Οχι απλά παραμένουν τα passwords σου σε μια ΣΥΣΤΟΙΧΙΑ απο servers για πάντα, έχεις ΚΑΙ τον κίνδυνο να σου χακάρουν το account. Και αν όχι το δικό σου μπορεί του συνομιλητή σου. Και πίστεψέ με, αν το κάνουν ΘΑ ΤΑ ΔΟΥΝ. Και θα τα χρησιμοποιήσουν.
Ωραία, και τι εν��λλακτικές έχω;
Χμ, ξέχνα κατ’αρχήν την πρώτη λύση που ξέρω οτι σκέφτεσαι - να πάρεις τον παραλήπτη ΤΗΛΕΦΩΝΟ και να του κάνεις spell ένα ένα τα γραμματάκια: “αλφα, ζήτα κεφαλαίο...οχι, οχι, μικρό, 2...οχι τη λέξη ‘dio’, δύο, το νούμερο...ampersand...τι εννοείς δεν ξέρεις τι είναι το ampersand; το ‘και’. ΟΧΙ, ΟΧΙ τη λέξη ‘και’, το σύμβολο! Οχι, δεν έχει κεφαλαίο και πεζό…”
Οι λόγοι είναι ευνόητοι και περιλαμβάνουν συνήθως εκσφενδονισμό του ακουστικού στην άλλη άκρη του δωματίου. Φυσικά, αν δεν μπορείτε να κάνετε αλλιώς, είναι και η μόνη εναλλακτική.
Αλλη (tricky, βέβαια) εναλλακτική είναι να χρησιμοποιήσετε μεν email/chat υπηρεσίες για να στείλετε passwords, αλλά να στείλετε ΜΟΝΟ το password χωρίς καμία άλλη αναφορά στο τι αφορά αυτό, ούτε στο τρέχον νήμα συζητήσεων ούτε σε προηγούμενα. Τα υπόλοιπα τα λέτε στον παραλήπτη τηλεφωνικά. Ετσι, ακόμα και κάποιος να αποκτήσει πρόσβαση στα στοιχεία σας, θα έχει στα χέρια του ένα password χωρίς καμία άλλη πληροφορία για το τι μπορεί να κάνει με αυτό.
Μια καλή πρακτική που μπορείτε να ακολουθήσετε είναι αυτή των προσωπικών αυτοκαταστρεφόμενων μηνυμάτων, δηλαδή μηνύματα που μόλις ο παραλήπτης τα διαβάσει διαγράφονται από την υπηρεσία μέσω της οποίας τα στείλατε. Στο email σας χρησιμοποιείτε μόνο το link που δημιουργείται για την εγγραφή σας, το οποίο φυσικά και μετά την ανάγνωση παύει να ισχύει, οπότε παύουν και οι ανυσηχίες σας. Εγώ χρησιμοποιώ εδώ και αρκετό καιρό το PrivNote για αυτή τη δουλειά, υπάρχουν όμως και άλλες υπηρεσίες οι οποίες προσφέρουν μηνύματα που ειτε αυτοκαταστρέφονται με την ανάγνωση , είτε μετά από συγκεκριμένο χρονικό διάστημα
Μια timed υπηρεσία ανταλλαγής μηνυμάτων που μπορείτε να δοκιμάσετε, πολύ απλή στην υλοποίησή της είναι το Temp.pm.
Μια πολύ ενδιαφέρουσα υπηρεσία είναι το BurnNote, το οποίο σας επιτρέπει να ορίσετε “timers” αυτοκαταστροφής έτσι ώστε να κάνετε ολόκληρο αυτοκαταστρεφόμενο chat, καθώς και τρόπο εμφάνισης των μηνυμάτων (με δυνατότητα αντιγραφής / χωρίς).
A, και φυσικά υπάρχει το SnapChat για iPhone και Android phones, και το Cyber Dust για Windows phones.
Τελος, μπορείτε να δοκιμάσετε το MxHero for Chrome,που εκτός όλων των άλλων μπορεί να στείλει και αυτοκαταστρεφόμενα μηνύματα.
Ο,τι και να επιλέξετε σίγουρα είναι ασφαλέστερο από αυτό που κάνετε τώρα. Φυσικά, ακόμα πιό ασφαλής επιλογή είναι να χρησιμοποιείτε από κοινού κάποιο password management app και να ανταλάσσετε passwords εκεί (αν και υπάρχουν λογικές αντιρρήσεις για την αποθήκευση passwords στο cloud). Γι'αυτά όμως θα μιλήσουμε σε επόμενο άρθρο.