Οι κωδικοί πρόσβασης εδώ και δεκαετίες αποτελούν το βασικό «κλειδί» για την πρόσβαση στους λογαριασμούς και τα προσωπικά δεδομένα μας. Ωστόσο, τα τελευταία περιστατικά δείχνουν πως ίσως να μην επαρκούν πλέον για να μας προστατεύσουν.
Την περασμένη εβδομάδα έγινε γνωστό ότι μια διαβόητη ομάδα χάκερ στοχοποιεί κατόχους Google accounts, εκμεταλλευόμενη μια τεράστια βάση δεδομένων που διέρρευσε μέσω τρίτης υπηρεσίας. Η αφετηρία των επιθέσεων εντοπίζεται σε περιστατικό ασφαλείας της πλατφόρμας cloud της Salesforce, το οποίο έθεσε σε κίνδυνο χρήστες των υπηρεσιών της Google.
Με περίπου 2,5 δισεκατομμύρια άτομα να χρησιμοποιούν Gmail και Google Cloud παγκοσμίως, η εταιρεία καλεί τους χρήστες να βρίσκονται σε εγρήγορση και να εφαρμόσουν πιο ισχυρά μέτρα ασφαλείας.
Γιατί οι κωδικοί δεν αρκούν πλέον
«Αν δεν έχεις έναν καλό κωδικό στο email σου, τότε πρακτικά όλη σου η ψηφιακή ζωή είναι εκτεθειμένη, καθώς κάθε υπηρεσία επαναφέρει τους κωδικούς μέσω email», τονίζει ο Γκράχαμ-Κάμινγκ, ειδικός στην κυβερνοασφάλεια. «Αν καταφέρω να παραβιάσω το email σου, μπορώ να αποκτήσω πρόσβαση σχεδόν σε όλα τα υπόλοιπα».
Γι’ αυτό και η Google προχωρά σε ένα βήμα παραπέρα: προτρέπει τους χρήστες Gmail να σταματήσουν να χρησιμοποιούν κωδικούς πρόσβασης.
Κατά τη διαρροή, οι κυβερνοεγκληματίες απέκτησαν πρόσβαση σε εταιρικά δεδομένα που σχετίζονται με Gmail, όπως λίστες επαφών, συνεργασίες και metadata από email. Η Google επιβεβαίωσε ότι υπάρχει άμεση σύνδεση ανάμεσα στο περιστατικό της Salesforce και την έξαρση στοχευμένων επιθέσεων ηλεκτρονικού «ψαρέματος».
Οι χάκερ εμφανίζονται πλέον ως υπάλληλοι της Google, τμήματα πληροφορικής ή αξιόπιστοι συνεργάτες, χρησιμοποιώντας τα κλεμμένα στοιχεία για να κάνουν τα μηνύματά τους πιο πειστικά από ποτέ.
Από τους κωδικούς στις passkeys
Αντί να περιορίζεται στη συμβουλή για «ισχυρούς κωδικούς», η Google στρέφεται σε μια διαφορετική λύση: τις λεγόμενες passkeys. Πρόκειται για τεχνολογία που καταργεί τους κωδικούς και βασίζεται στη βιομετρική ταυτοποίηση της συσκευής του χρήστη.
«Για τον χρήστη, η passkey μοιάζει με το δακτυλικό αποτύπωμα ή το Face ID στο κινητό», εξηγεί ο Τζεφ Σάινερ, CEO της 1Password. «Το εντυπωσιακό είναι ότι δεν έχεις ποτέ κωδικό για την υπηρεσία. Απλώς χρησιμοποιείς το βιομετρικό στοιχείο και δημιουργείται η passkey. Από πλευράς ασφάλειας, είναι πιο ισχυρή και από τον πιο σύνθετο κωδικό, καθώς δεν μπορεί να υποκλαπεί με phishing».
Παρά την ώθηση προς τις passkeys, η Google εξακολουθεί να συστήνει την τακτική αλλαγή κωδικών σε περίπτωση παραβίασης. Το κεντρικό της μήνυμα, όμως, είναι σαφές: έχει έρθει η ώρα να αφήσουμε πίσω τους κωδικούς πρόσβασης.
Παράλληλα, προωθεί και την πολυπαραγοντική αυθεντικοποίηση. Όταν γίνεται είσοδος σε λογαριασμό, η χρήση εφαρμογών για two-factor authentication (2FA) θεωρείται πολύ πιο ασφαλής από τα SMS, που είναι ευάλωτα σε υποκλοπές και πλαστογραφήσεις.
