Σκεφτείτε δύο φορές πριν χρησιμοποιήσετε το Facebook ή το Google για να συνδεθείτε παντού
Οι λεγόμενες επιλογές μεμονωμένης σύνδεσης (SSO – single sign-on) προσφέρουν μεγάλη άνεση. Αλλά έχουν μειονεκτήματα που δεν έχει ένας καλός διαχειριστής κωδικών πρόσβασης.
Εαν πρέπει να συνδεθείς σε προφίλ χρησιμοποιώντας συνεχώς την επιλογή Forgot My Password, το κουμπί “Σύνδεση με Google” ή “Σύνδεση με Facebook” μπορεί να μοιάζει σωτήριο. Οι υπηρεσίες παρέχουν έναν γρήγορο τρόπο να συνεχίσετε ό, τι κάνετε χωρίς να χρειάζεται να δημιουργήσετε έναν ολόκληρο λογαριασμό και να επιλέξετε έναν νέο κωδικό πρόσβασης για να τον φυλάξετε. Όμως, ενώ αυτά τα εργαλεία SSO είναι βολικά και προσφέρουν κάποια οφέλη ασφαλείας, δεν είναι η πανάκεια που ίσως νομίζετε.
Τα συστήματα SSO που προσφέρονται από μεγάλες εταιρείες τεχνολογίας έχουν ορισμένα προφανή πλεονεκτήματα. Για παράδειγμα, αναπτύσσονται και συντηρούνται από εταιρείες για να φτιάξουν ισχυρά χαρακτηριστικά ασφαλείας. Π.χ. κάντε είσοδο με την Apple, η οποία σας επιτρέπει να χρησιμοποιήσετε το TouchID ή το FaceID για να συνδεθείτε σε οποιονδήποτε ιστότοπο.
Αλλά για την ευκολία του, ο καταναλωτής SSO έχει και ορισμένα πραγματικά μειονεκτήματα. Δημιουργεί ένα μόνο σημείο αποτυχίας εάν κάτι πάει στραβά. Εάν ο κωδικός πρόσβασής σας ή το διακριτικό πρόσβασης κλαπεί από έναν λογαριασμό που χρησιμοποιείτε για SSO, θα μπορούσαν να εκτεθούν όλοι οι άλλοι ιστότοποι που χρησιμοποιήσατε για να συνδεθείτε. Και όχι μόνο πρέπει να εμπιστεύεστε τις εταιρείες που προσφέρουν SSO για την προστασία του απορρήτου και της ασφάλειάς σας, αλλά πρέπει επίσης να εμπιστεύεστε όλους τους ιστότοπους τρίτων που προσφέρουν αυτές τις επιλογές για να τις εφαρμόσετε σωστά.
«Είναι δύσκολο», λέει η Wendy Knox Everette, ανώτερος σύμβουλος ασφαλείας στη συμβουλευτική εταιρεία διαχείρισης κινδύνων και ασφάλειας Leviathan Security. «Αν οι άνθρωποι ήταν πολύ καλοί στο να χρησιμοποιούν κωδικούς πρόσβασης ενός ιστότοπου, τότε ίσως η δημιουργία εφάπαξ λογαριασμών σε ιστότοπους τρίτων θα είχε κάποιο νόημα. Αλλά οι άνθρωποι τα ξαναχρησιμοποιούν.”
Οι εγγενείς κίνδυνοι δεν είναι απλώς υποθετικοί.
Εάν ένας από τους κωδικούς πρόσβασης που έχετε εισέλθει παραβιαστεί, οι χάκερς μπορούν να έχουν πρόσβαση σε όλους τους λογαριασμούς που ασφαλίσατε με αυτόν τον κωδικό πρόσβασης. Ο καλύτερος τρόπος για να το ξεπεράσετε είναι να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος δημιουργεί ισχυρούς, ασφαλείς κωδικούς πρόσβασης όπου κι αν τους χρειάζεστε. Όπως το SSO, οι διαχειριστές κωδικών πρόσβασης μπορούν επίσης να γίνουν ένα μόνο σημείο αποτυχίας εάν ένας εισβολέας αναλάβει τον έλεγχο των συσκευών σας ή κλέψει τον μοναδικό κύριο κωδικό πρόσβασης.
Οι εγγενείς κίνδυνοι δεν είναι απλώς υποθετικοί. Τον Σεπτέμβριο του 2018, το Facebook αποκάλυψε μια μαζική παραβίαση δεδομένων που επηρέασε τουλάχιστον 50 εκατομμύρια από τους χρήστες του και, μεταξύ άλλων, αποκάλυψε οποιονδήποτε άλλο λογαριασμό από τους οποίους τα άτομα συνδέθηκαν χρησιμοποιώντας το Facebook SSO. Το Facebook ακύρωσε τα διακριτικά πρόσβασης μόλις διαπίστωσε την παραβίαση.
Μια μελέτη του 2018 διαπίστωσε επίσης πολλά σφάλματα στον τρόπο με τον οποίο 95 υπηρεσίες Ιστού και Κινητών εφάρμοσαν SSO καταναλωτή. Σε περισσότερους από δώδεκα ιστότοπους, ένας συνδεδεμένος χρήστης θα μπορούσε να αλλάξει τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον λογαριασμό χωρίς να χρειάζεται να εισάγει ξανά τον κωδικό πρόσβασης. Εάν αφήσατε κατά λάθος τον εαυτό σας συνδεδεμένο σε έναν λογαριασμό σε έναν υπολογιστή βιβλιοθήκης ή εάν το διακριτικό πρόσβασης στο Facebook σας διαρρέει σε μια μαζική παραβίαση, οι εισβολείς θα μπορούσαν να πάρουν τον έλεγχο του λογαριασμού σας. Σε άλλες περιπτώσεις, οι ερευνητές διαπίστωσαν ότι πολλοί ιστότοποι είχαν εφαρμόσει μία μόνο είσοδο έτσι δημιούργησαν τη δυνατότητα ενός χάκερ να ξεκινήσει επιθέσεις πλαστοπροσωπίας.
«Σε γενικές γραμμές, είμαι εναντίον των συστημάτων SSO των καταναλωτών, επειδή δεν παρουσιάζουν μόνο ένα σημείο αποτυχίας, αλλά επειδή επιτρέπουν πρόσθετες επιθέσεις που δεν είναι εφικτές με τον παραδοσιακό έλεγχο ταυτότητας βάσει κωδικού πρόσβασης», λέει ο Jason Polakis, ερευνητής στο Πανεπιστήμιο του Ιλινόις στο Σικάγο και ένας από τους συγγραφείς της μελέτης. «Πιστεύω ότι βρισκόμαστε σε ένα σημείο όπου οι διαχειριστές κωδικών πρόσβασης έχουν ωριμάσει και είναι αρκετά φιλικοί προς το χρήστη για να ξεκινήσουμε να εκπαιδεύουμε τους χρήστες για αυτούς και να πιέζουμε για την υιοθέτησή τους».
Πολλά συστήματα SSO καταναλωτών παρουσιάζουν επίσης πρακτικά ζητήματα με την ανάκτηση λογαριασμού. Εάν χρησιμοποιείτε το Twitter για να συνδεθείτε, ας πούμε, μια πλατφόρμα αποθήκευσης φωτογραφιών και χρόνια αργότερα χάσετε τον λογαριασμό σας στο Twitter, είναι δύσκολο να γνωρίζετε εάν το Twitter ή ο ιστότοπος φωτογραφιών είναι υπεύθυνοι για την αντιμετώπιση προβλημάτων. Ενδέχεται να μην υπάρχει τρόπος επαναφοράς της πρόσβασης στις φωτογραφίες σας.
Ένα πραγματικό παράδειγμα αυτού εμφανίστηκε νωρίτερα αυτό το μήνα, όταν η εταιρεία παιχνιδιών Epic προειδοποίησε ότι η Apple πρόκειται να ανακαλέσει την ικανότητα της Epic να προσφέρει σύνδεση με την Apple. Η Apple ξεκίνησε το παιχνίδι Fortnite της Epic από το App Store τον Αύγουστο και έκοψε στη συνέχεια την ιδιότητα μέλους του προγράμματος προγραμματιστών Apple της εταιρείας λόγω διαφορών αγορών εντός παιχνιδιού. Η Epic ανακαλύφθηκε για να προσφέρει πόρους στους χρήστες να μεταφέρουν τους λογαριασμούς τους με την Apple σε άλλους μηχανισμούς σύνδεσης, ώστε να μην χάνουν μόνιμα την πρόσβαση. Τελικά, η Apple επέκτεινε την υποστήριξη της Epic Sign In With Apple και λέει ότι δεν σκόπευε ποτέ να την ανακαλέσει, αλλά το περιστατικό επισήμανε τα μειονεκτήματα της εισαγωγής τρίτου μέρους στην πρόσβαση σε λογαριασμό.
Για τον μέσο χρήστη του διαδικτύου, μπορεί να αισθάνεται ότι υπάρχει ένας αποθαρρυντικός αριθμός παραγόντων στην επιλογή δέσμευσης σε έναν διαχειριστή κωδικού πρόσβασης έναντι της χρήσης SSO. Είτε έτσι είτε αλλιώς, η χρήση ταυτότητας δύο παραγόντων θα κάνει τους λογαριασμούς σας πιο ασφαλείς και πολύ πιο δύσκολο για τους χάκερς να τους παραβιάσουν.
«Είναι αδύνατο να είμαστε σίγουροι ότι το ένα είναι καλύτερο από το άλλο, γιατί δεν μπορούμε να γνωρίζουμε όλες τις λεπτομέρειες σχετικά με τον τρόπο με τον οποίο οι εταιρείες διαχειρίζονται εσωτερικά τα credentials σας», λέει ο Teri Radichel, Διευθύνων Σύμβουλος της εταιρίας ασφάλειας cloud 2 Sight Lab. Επιπλέον, κάθε χρήστης μπορεί να έχει περισσότερο ή λιγότερο ασφαλές οικιακό δίκτυο και διαφορετικοί διαχειριστές κωδικών πρόσβασης μπορεί να είναι περισσότερο ή λιγότερο ασφαλείς. Επιλέγω να μην βασίζομαι σε καμία πηγή για όλη μου τη διαχείριση του κωδικού πρόσβασης. ”
Το ένα πράγμα που όλοι μπορούν να συμφωνήσουν; Μην επαναχρησιμοποιείτε κωδικούς πρόσβασης. Απλά μην.