Τρια Κιλά Κώδικα - The Serious Blog

Η σοβαρή πλευρά της αστείας πλευράς της Πληροφορικής

Αν είναι να μου στείλεις ένα password, κάντο σωστά


Γκρινιάζω και ξαναγκρινιάζω για αυτό το θέμα, χωρίς να με ενδιαφέρει αν ακούγομαι “γραφικός”. ΜΗΝ ΣΤΕΛΝΕΤΕ PASSWORDS ΜΕ EMAIL.

Γιατί; Επειδή, πολύ απλά, οι περισσότεροι από εσάς χρησιμοποιείτε είτε κάποια cloud-based email υπηρεσία είτε κάτι σε POP3 mail client που αποθηκεύει τα μηνύματά σας τοπικά, είτε ένα συνδυασμό και των δύο. 

Αυτό σημαίνει ότι όταν στέλνετε σε κάποιον “το administrator password για remote desktop στον server” η πληροφορία αυτή παραμένει τουλάχιστον σε δύο σημεία: Στο αρχείο απεσταλμένων μηνυμάτων σας και στο inbox του παραλήπτη. 

ΓΙΑ ΠΑΝΤΑ.

Τα σημεία γίνονται ακόμα περισσότερα αν π.χ. κατεβάζετε σε κάποιο τοπικό mail client σας τα μηνύματα από κάποια cloud-based υπηρεσία (gmail, yahoo, outlook.com) και ακόμα πιό πολλά αν παίρνετε και backup του τοπικού σας αρχείου μηνυμάτων.

Αυτό αυξάνει την έκθεση του password σας σε κινδύνους και μάλιστα ακόμα περισσότερο επειδή βρίσκεται και τουλάχιστον σε ένα σημείο που δεν βρίσκεται υπό τον άμεσο έλεγχό σας (το mail του παραλήπτη).

Αυτά είχα να πω, αρχικά. Ας δούμε τώρα τον αντίλογο του Μονίμως Αντιδραστικού Αναγνώστη (ναι, για σένα λέω, που διάβασες μέχρι εδώ και ετοιμάζεσαι να ανοίξεις το στομα σου - περίμενε, γιατί στα έχω έτοιμα παρακάτω).

“Μα εγώ το στέλνω και τους λέω να το αλλάξουν ΑΜΕΣΩΣ, άρα...”

Συγχαρητήρια. Βάζω στοίχημα οτι ο,τι και να λες γίνεται άμεσα και όλοι σε ακουν χωρίς δεύτερη κουβέντα. Εκτός αν είσαι στρατιωτικός και δίνεις διαταγές, υπάρχει και η απειροελάχιστη εκείνη πιθανότητα να μην δώσει κανείς δεκάρα για το τι λες και το password να παραμείνει ενεργό, ακριβώς όπως το έστειλες στο email, εις τον αιώνα τον άπαντα. Η πιο νωρίς, αν πέσει στα χέρια τρίτου.

“Μα εγώ δεν το στέλνω με email, το στέλνω σε κινητό με SMS”

Αν το password που στέλνεις είναι κάτι πιό περίπλοκο από “1234” σε βλέπω να παθαίνεις ταχύτατα αγκύλωση, στραβισμό και περισσότερες από δέκα διαφορετικές ποικιλίες ημικρανίας. Ειδικά αν το κάνεις συχνά. Υπόψη ότι ΚΑΙ το SMS μένει, τόσο στο κινητό σου όσο και στο κινητό του παραλήπτη. Και ενδεχομένως και σε οποιεσδήποτε web-based υπηρεσίες έχεις συνδέσει το κινητό σου. Να συνεχίσω;

“Μα εγώ το στέλνω, το σβήνω από τα απεσταλμένα και λέω και στον παραλήπτη να κάνει το ίδιο”.

Και φυσικά ένας ή και οι δύο από τους δύο σας απλά το διαγράφουν μία φορά και το στέλνουν στο recycle bin της υπηρεσίας / του client τους όπου κάθεται για λίγο ή περισσότερο καιρό, ενώ καιροφυλακτεί και η πιθανότητα “δεν δίνω δεκάρα για το τι μου είπες” που αναφέρθηκε πιό πάνω. Ξέρεις πόσοι έστειλαν στοιχεία σύνδεσης FTP με αυτό τον τρόπο, και το αποτέλεσμα του “δεν δίνω δεκάρα για το τι μου είπες” ήταν να γεμίσει το site τους συμπαθή σκριπτάκια που φορτώνουν malware στους υπολογιστές των επισκεπτών τους ; Φυσικά και δεν ξέρεις, γιατί ντρέπονται να το αναφέρουν.

“Και αν μείνει στο email, τι έγινε δηλαδή;”

Τίποτα. Εκτός αν κάποιος αποκτήσει πρόσβαση στο email σου ή στο email του πελάτη σου ή στο PC σου που αποθηκεύεις τις λήψεις σου μέσω POP3, ή στα backups σου, τώρα ή στο μέλλον. Υπό την ίδια έννοια, μπορείς επίσης να αφήνεις ορθάνοιχτη την πόρτα του σπιτιού σου όταν φεύγεις με σκοπό να απουσιάσεις ένα τρίμηνο. Κατά πάσα πιθανότητα δεν θα συμβεί τίποτα, ε;

“Εγώ τα στέλνω στο Facebook chat / Skype / Viber / LinkedIn…”

Μπράβο. ΜΠΡΑΒΟ. Οχι απλά παραμένουν τα passwords σου σε μια ΣΥΣΤΟΙΧΙΑ απο servers για πάντα, έχεις ΚΑΙ τον κίνδυνο να σου χακάρουν το account. Και αν όχι το δικό σου μπορεί του συνομιλητή σου. Και πίστεψέ με, αν το κάνουν ΘΑ ΤΑ ΔΟΥΝ. Και θα τα χρησιμοποιήσουν.

Ωραία, και τι εν��λλακτικές έχω;

Χμ, ξέχνα κατ’αρχήν την πρώτη λύση που ξέρω οτι σκέφτεσαι - να πάρεις τον παραλήπτη ΤΗΛΕΦΩΝΟ και να του κάνεις spell ένα ένα τα γραμματάκια: “αλφα, ζήτα κεφαλαίο...οχι, οχι, μικρό, 2...οχι τη λέξη ‘dio’, δύο, το νούμερο...ampersand...τι εννοείς δεν ξέρεις τι είναι το ampersand; το ‘και’. ΟΧΙ, ΟΧΙ τη λέξη ‘και’, το σύμβολο! Οχι, δεν έχει κεφαλαίο και πεζό…”

Οι λόγοι είναι ευνόητοι και περιλαμβάνουν συνήθως εκσφενδονισμό του ακουστικού στην άλλη άκρη του δωματίου. Φυσικά, αν δεν μπορείτε να κάνετε αλλιώς, είναι και η μόνη εναλλακτική.

Αλλη (tricky, βέβαια) εναλλακτική είναι να χρησιμοποιήσετε μεν email/chat υπηρεσίες για να στείλετε passwords, αλλά να στείλετε ΜΟΝΟ το password χωρίς καμία άλλη αναφορά στο τι αφορά αυτό, ούτε στο τρέχον νήμα συζητήσεων ούτε σε προηγούμενα. Τα υπόλοιπα τα λέτε στον παραλήπτη τηλεφωνικά. Ετσι, ακόμα και κάποιος να αποκτήσει πρόσβαση στα στοιχεία σας, θα έχει στα χέρια του ένα password χωρίς καμία άλλη πληροφορία για το τι μπορεί να κάνει με αυτό.

Μια καλή πρακτική που μπορείτε να ακολουθήσετε είναι αυτή των προσωπικών αυτοκαταστρεφόμενων μηνυμάτων, δηλαδή μηνύματα που μόλις ο παραλήπτης τα διαβάσει διαγράφονται από την υπηρεσία μέσω της οποίας τα στείλατε. Στο email σας χρησιμοποιείτε μόνο το link που δημιουργείται για την εγγραφή σας, το οποίο φυσικά και μετά την ανάγνωση παύει να ισχύει, οπότε παύουν και οι ανυσηχίες σας. Εγώ χρησιμοποιώ εδώ και αρκετό καιρό το PrivNote για αυτή τη δουλειά, υπάρχουν όμως και άλλες υπηρεσίες οι οποίες προσφέρουν μηνύματα που ειτε αυτοκαταστρέφονται με την ανάγνωση , είτε μετά από συγκεκριμένο χρονικό διάστημα 

Μια timed υπηρεσία ανταλλαγής μηνυμάτων που μπορείτε να δοκιμάσετε, πολύ απλή στην υλοποίησή της είναι το Temp.pm

Μια πολύ ενδιαφέρουσα υπηρεσία είναι το BurnNote, το οποίο σας επιτρέπει να ορίσετε “timers” αυτοκαταστροφής έτσι ώστε να κάνετε ολόκληρο αυτοκαταστρεφόμενο chat, καθώς και τρόπο εμφάνισης των μηνυμάτων (με δυνατότητα αντιγραφής / χωρίς).

A, και φυσικά υπάρχει το SnapChat για iPhone και Android phones, και το Cyber Dust για Windows phones. 

Τελος, μπορείτε να δοκιμάσετε το MxHero for Chrome,που εκτός όλων των άλλων μπορεί να στείλει και αυτοκαταστρεφόμενα μηνύματα.

Ο,τι και να επιλέξετε σίγουρα είναι ασφαλέστερο από αυτό που κάνετε τώρα. Φυσικά, ακόμα πιό ασφαλής επιλογή είναι να χρησιμοποιείτε από κοινού κάποιο password management app και να ανταλάσσετε passwords εκεί (αν και υπάρχουν λογικές αντιρρήσεις για την αποθήκευση passwords στο cloud). Γι'αυτά όμως θα μιλήσουμε σε επόμενο άρθρο.



Σχόλια (12) -

  • Nick

    12/12/2014 1:12:00 μμ | Απάντηση

    Αχά, φαντάζομαι αν μιλήσεις για encrytpion θα σκάσει το κεφάλι κάποιου και θα εμφανιστεί η NSA και ο Σόρος, ε?

    • Ζαχαρίας

      12/12/2014 1:14:13 μμ | Απάντηση

      Ηδη που το ανέφερες βλέπω νομίζω πράκτορες εδω γύρω. Smile
      Βασικά και οι υπηρεσίες self-desctructible messaging ειναι encrypted, αλλά νομίζω ότι μέχρι εκεί μπορεί να φτάσει το πράγμα, μετά δεν θα με διαβάζει κανείς...

    • Chris

      12/12/2014 2:14:16 μμ | Απάντηση

      Και το κλειδί στον άλλο πως θα το δώσεις; Με mail? K αν έχετε προσυμφωνήσει σε ένα κλειδί, γιατί δεν έγινε το ίδιο με τα password? Smile

  • tizen

    12/12/2014 2:07:15 μμ | Απάντηση

    LastPass, κάνει τόσα που βαριέμαι να τα γράφω, όπως και share κάποιων password σε άλλους.

    Επίσης, βάλε κανένα disqus στα σχόλια!!! Το ξέρω βαριέσαι. Αδελφός. Απλά σου φύτεψα την ιδέα και περιμένω στωικά να ποτιστεί στο πίσω μέρος του κεφαλιού σου και να ωριμάσει, μέχρι να ξυπνήσεις κάποια μέρα σε κάτι μήνες και να το κάνεις...

    • Chris

      12/12/2014 2:20:29 μμ | Απάντηση

      To LastPass είναι για να μανατζάρεις τα pass σου, όχι για να τα στείλεις σε άλλους από όσο ξέρω.

      Διόρθωσέ με αν κάνω λάθος, δεν το έχω χρησιμοποιήσει ποτέ.

      • Ζαχαρίας

        12/12/2014 2:21:39 μμ | Απάντηση

        Είναι ΚΑΙ για να μοιράζεσαι με άλλους, ιδιαίτερα στην Enterprise έκδοση. Ειπαμε, σε άλλο post θα τα πούμε αυτά!

        • Chris

          12/12/2014 2:31:09 μμ | Απάντηση

          Άντε, περιμένω. Μόλις του έριξα μια ματιά κ δεν μου φαίνεται και τρελή αναβάθμιση από το KeePassX. Ίσως επειδή το έχω αποκλειστικά για προσωπική χρήση.

          10 10 10 10 10 10 10 10 10 10 10. Γίνεται να φτιάξω κάπου account και δεν το βλέπω;

          • tizen

            12/12/2014 3:38:20 μμ | Απάντηση

            Δοκίμασέ το, είναι πολύ βολικό. Έχουν και extensions για όλους τους browsers.
            Παλιότερα είχα την αρρώστια με την ασφάλεια και είχα ένα buffalo router με dd-wrt με ssh και τα passwords μέσα στην flash του router.  Συνδεόμουν με winscp και 1024-bit assymetric encryption και βλακείες. Είχα και στο θρυλικό μου N900 εγκατεστημένα ότι χρειαζόταν και ένιωθα ο βασιλιάς της ασφάλειας. Μετά το τερμάτισα στήνοντας ένα owncloud σε ένα raspberry pi κλπ κλπ.
            Τελικά στο τέλος, απλά βα-ρε-θη-κα.
            Πλέον θυμάμαι μόνο για την πάρτη μου τους κωδικούς για e-banking, βασικό mail και paypal και όλα τ' άλλα σε password manager και ας είναι και cloud στο πουθενά και ας τα κλέψουν τα ρημάδια. Τι θα μου κάνουν; Θα ποστάρουν κακίες με τον λογαριασμό μου; Ωωωω... Θα παραγγείλουν ναρκωτικά από το ebay; Τι είναι το χειρότερο που μπορούν να σου κάνουν; Μια τρύπα στο νερό. Γι' αυτό LastPass και ηρέμησε το κεφάλι μου.

          • Ζαχαρίας

            12/12/2014 3:41:00 μμ | Απάντηση

            Οχι, και άλλος φίλος μου προτείνει να βάλω disqus, αλλά έχω ενδοιασμούς γιατί θα χάσω όσα θα κερδίσω...

  • Chris

    12/12/2014 2:12:51 μμ | Απάντηση

    Η κλείνεις το history στο hangouts κ δεν χρειάζεσαι να φύγεις καν από το gmail. (Για όσους χρησιμοποιούμε gmail/google for business).

    • Ζαχαρίας

      12/12/2014 3:39:46 μμ | Απάντηση

      Μακάρι να ήταν όλα τόσο απλά...

      support.google.com/hangouts/answer/3115403?hl=en
      Keep in mind that if you're talking to someone who is connected to the network with a different desktop chat client, it's possible that his or her software is keeping a separate copy of the history.

  • bgt

    30/3/2015 3:05:56 μμ | Απάντηση

    Και επισης οι πελατες σου στελνουν τα passwords ξανα και ξανα καθε φορα που κανουν quote/fw/reply το αρχικο email.
    Κοιτα απο μια στιγμη και μετα αφου τους το εχεις επισημανει 1000000000000 φορες...εγκαταλειπεις.
    Απλα τους χρεωνεις ενα σκασμο λεφτα καθε φορα που τους χακαρουν.
    Μετα το 2ο χακαρισμα, συνηθως μαθαινουν παντως. Συνηθως Smile

Loading