Πέμπτη 18 Σεπτεμβρίου 2014

H ασφάλεια 2ου επιπέδου σε on-line υπηρεσίες με απλά λόγια….



Κατά καιρούς έχουν δει το φως της δημοσιότητας περιπτώσεις κακόβουλης δημοσιοποίησης στο διαδίκτυο, ευαίσθητων προσωπικών δεδομένων (πχ πολύ προσωπικές φωτογραφίες, κλπ), τα οποία έχουν ουσιαστικά κλαπεί από hackers, οι οποίοι κατάφεραν και είχαν πρόσβαση (από δικούς τους υπολογιστές ή συσκευές) σε υπηρεσίες παρόχων, όπως είναι το iCloud, το Google Drive, το Dropbox, κλπ. (Πρόσφατο παράδειγμα οι γυμνές φωτογραφίες της Jennifer Lawrence, κ.ά.).

Ο πιο συνηθισμένος τρόπος πρόσβασης σε τέτοιου είδους υπηρεσίες είναι η απλή χρήση username και password, που επιτρέπει όμως την πρόσβαση από οποιαδήποτε συσκευή ή υπολογιστή, ιδιαίτερα βολικό όταν κάποιος ταξιδεύει συχνά στο εξωτερικό και αναγκάζεται να χρησιμοποιεί πολλούς και διαφορετικούς υπολογιστές. Από την άλλη όμως, το ίδιο απλά μπορεί κάποιος, αφού υποκλέψει το ζευγάρι username και password, να αποκτήσει πρόσβαση στο λογαριασμό σας και στα δεδομένα σας, που έχετε αποθηκευμένα στις υπηρεσίες αυτές, με πολύ πιθανό ενδεχόμενο να αξιοποιήσει κακόβουλα και φυσικά παράνομα τα δεδομένα αυτά.

Για την αντιμετώπιση (ή μάλλον καλύτερα την ελαχιστοποίηση) τέτοιων περιπτώσεων, οι περισσότεροι πάροχοι υπηρεσιών, έχουν αναπτύξει και εφαρμόσει ένα επιπλέον επίπεδο ασφάλειας, επιβεβαίωσης και αναγνώρισης της χρησιμοποιούμενης συσκευής (ή/και του browser) πρόσβασης, πέραν του απλού ζεύγους username και password και  συνιστούν στους χρήστες τους ή τους προτρέπουν, να ενεργοποιήσουν τη δυνατότητα αυτή.

Η τεχνική ασφάλειας 2ου επιπέδου (“Second security layer”), είναι επίσης γνωστή και σαν έλεγχος 2 βημάτων (“two-step verification”). Αυτή είναι μια τεχνική που χρησιμοποιείται από πολλούς σημαντικούς παρόχους υπηρεσιών στο διαδίκτυο, όπως είναι η Google και το Facebook, ενώ άλλοι πάροχοι όπως η Amazon και η υπηρεσία της Cloud Drive  αποτελούν εξαιρέσεις. Παρόμοια τεχνική εφαρμόζεται καιρό στις τραπεζικές συναλλαγές ή στις on-line αγορές με ηλεκτρονικούς τρόπους πληρωμής πχ με πιστωτικές/χρεωστικές κάρτες (ευρέως γνωστή ως “3d secure” η “3ds”).

Η τεχνική ασφάλειας 2ου επιπέδου, δουλεύει ως εξής : Όταν εισέρχεστε στην υπηρεσία  από μια νέα συσκευή (όταν δηλ. κάνετε log-in από έναν άλλο νέο υπολογιστή, smartphone, tablet, κλπ), για να γίνει αποδεκτή η πρόσβασή σας, αφού θα έχετε ήδη δώσει σωστά το username σας και το password σας, θα πρέπει επιπλέον να εισάγεται έναν κωδικό, ο οποίος θα σας έχει σταλεί από τον πάροχο, στο κινητό σας τηλέφωνο. Φυσικά, από πριν, (συνήθως κατά την πρώτη εγγραφή σας στην υπηρεσία) θα πρέπει να έχετε δηλώσει τον αριθμό του κινητού σας τηλεφώνου, ώστε να μπορεί ο πάροχος να σας στείλει τον κωδικό αυτό (κωδικός επιβεβαίωσης ταυτότητας). Πρέπει επίσης να σημειωθεί ότι αυτός ο κωδικός επιβεβαίωσης ταυτότητας, έχει συνήθως περιορισμένη χρονική διάρκεια ισχύος μερικών λεπτών (1- 2 λεπτά).

Με τον τρόπο αυτό, αν κάποιος κακόβουλος εισβολέας, πχ ένα hacker, μάντευε ή κατόρθωνε να γνωρίζει το ζευγάρι username και password της πρόσβασής σας στην υπηρεσία του παρόχου, για να αποκτήσει πρόσβαση σ’ αυτή την υπηρεσία από τη νέα σας συσκευή, θα έπρεπε να έχει εκείνη τη στιγμή και φυσική πρόσβαση (να έχει δηλ. στα χέρια του) και το κινητό σας για να μπορέσει να δει τον κωδικό επιβεβαίωσης πρόσβασης.
Η διαδικασία αυτού του ελέγχου (του «2ου βήματος» με τον κωδικό επιβεβαίωσης ταυτότητας), συνήθως γίνεται μόνο την πρώτη φορά που θα χρησιμοποιήσετε μια νέα συσκευή για την πρόσβασή σας στην εν λόγω υπηρεσία, ενώ τις επόμενες η συγκεκριμένη συσκευή θα έχει ήδη ταυτοποιηθεί την 1η φορά στον πάροχο και δεν θα χρειασθεί να την  επαναλάβετε (εκτός ενδεχομένως μετά από επαναδιαμόρφωση ή reset της συσκευής).

Η διαδικασία ενεργοποίησης χρήσης ασφάλειας 2ου επιπέδου ή της χρήσης του 2ου βήματος ασφάλειας, γίνεται μια φορά, χρησιμοποιώντας τις κατάλληλες επιλογές ρυθμίσεων ασφαλείας πρόσβασης, και για κάθε πάροχο υπηρεσιών (APPLE, GOOGLE, κλπ).

Το πρόβλημα είναι βέβαια ότι θα πρέπει μετά, να ακολουθείτε αυτή τη διαδικασία (με τον επιπλέον κωδικό) για κάθε νέα σας συσκευή, πράγμα αρκετές φορές βαρετό, ιδίως αν έχετε μακριά το κινητό σας και θα πρέπει να σηκωθείτε να το πάρετε, να διαβάσετε τον κωδικό και να το εισάγετε στο browser σας. Ωστόσο επιβάλλεται να το κάνετε, ιδίως αν θέλετε να προστατεύσετε ακόμη περισσότερο ευαίσθητα προσωπικά σας δεδομένα, από ενδεχόμενη κλοπή.

APPLE ID

Όπως είναι γνωστό στους περισσότερους κατόχους συσκευών APPLE, το Apple ID (δηλ. ο κωδικός πρόσβασής σας – το password) είναι απαραίτητο για σχεδόν όλες τις υπηρεσίες της APPLE, όπως Apple app store, iTunes, iMessage, Facetime, κλπ και φυσικά και στο iCloud.

Για την ενεργοποίηση της ταυτοποίηση μιας νέας συσκευής σας, από τις ανωτέρω υπηρεσίες της  APPLE, απαιτείται να έχετε ένα τουλάχιστον απλό κινητό ικανό να λαμβάνει μηνύματα κειμένου SMS. (Φυσικά δεν χρειάζεται να είναι iPhone!).

Αυτό που πρέπει να κάνετε είναι να πάτε στην σχετική ιστοσελίδα http://appleid.apple.com και να κάνετε κανονικά login με το username (το Apple ID σας) και password σας. Κατόπιν επιλέξτε το tab“Password and Security” και κάντε “κλικ” στο “Get started...” της επιλογής  “Two-Step Verification”.

Ενδεχομένως κάποιες φορές θα χρειαστεί να περιμένετε αρκετό χρονικό διάστημα. Αυτό γίνεται για λόγους ασφαλείας. Η καθυστέρηση περιορίζει τη δυνατότητα των hackers που γνωρίζουν το username σας και το Apple ID σας, να προσποιηθούν ότι είστε εσείς και μετά αλλάζοντας γρήγορα το Apple ID σας από την νέα συσκευή, να σας αποκλείσουν από οποιαδήποτε μετέπειτα πρόσβαση στις υπηρεσίες αυτές. Η APPLE, σας στέλνει επίσης ένα e-mail (συνήθως το username σας είναι το e-mail σας) αμέσως μόλις ζητήσετε την ενεργοποίηση της ταυτοποίησης της συσκευής σας από την επιλογή Two-Step Verification”, ώστε να σας ενημερώσει ότι είναι σε εξέλιξη προσπάθεια (από «κάποιον»…) να ταυτοποιήσει μια νέα συσκευή. Έτσι, αν αυτός ο «κάποιος» δεν είστε εσείς, μπορείτε να ειδοποιήσετε την APLLE να σταματήσει αμέσως την διαδικασία αυτή.

Μετά την περίοδο αναμονής, θα πρέπει να δηλώσετε ένα ή περισσότερα κινητά τηλέφωνα που θα μπορούν να δέχονται μηνύματα κειμένου SMS, δηλ. τους κωδικούς επιβεβαίωσης ταυτότητας συσκευής, εν προκειμένω. Δηλώνεται υποχρεωτικά τον αριθμό του κινητού που εσείς ο ίδιος έχετε πρόσβαση και που συνήθως είναι το προσωπικό σας. Η δήλωση ενός επιπλέον κινητού τηλεφώνου (πχ του/της συζύγου ή του φίλου/της φίλης, αποτελεί μια καλή πρακτική και σας εξασφαλίζει καλύτερα, ακόμη και στην περίπτωση που χάσετε το δικό σας κινητό (το πρώτο κινητό που δηλώσατε). Μη δηλώσετε παραπάνω κινητά, γιατί έτσι μάλλον μειώνετε την ασφάλεια.

Με αυτόν τον τρόπο θα μπορείτε να λαμβάνετε μέσω SMS, κάθε φορά 4-ψήφιο κωδικό επιβεβαίωσης ταυτότητας για να τον χρησιμοποιήσετε για την ταυτοποίηση κάθε νέας σας συσκευής για πρόσβαση στις υπηρεσίες της APPLE.

Πρέπει να σημειωθεί ότι επίσης η APPLE σας στέλνει κι ένα «μεγάλο» backup κωδικό, 14 χαρακτήρων, για την ανάκτηση της πρόσβασής σας, για την έσχατη περίπτωση  που χάσετε όλα σας τα κινητά! Η διαδικασία με τη χρήση ενός τόσο μεγάλου κωδικού χρησιμοποιείται, για μεγαλύτερη ασφάλεια, σε αντικατάσταση της χρήσης απλοϊκών ερωτήσεων – απαντήσεων που χρησιμεύουν συνήθως ως επιπλέον επιβεβαιωτικά της ταυτότητας σας και είναι του τύπου «Ποιο είναι το όνομα του κατοικίδιου σας» ή «Ποια ήταν η μάρκα του πρώτου αυτοκινήτου σας» ή «Ποιο ήταν το όνομα του παππού σας», μια και αυτά πλέον θεωρούνται πιο εύκολα «μαντέψιμα» από τους hackers, άρα περισσότερο επισφαλή. Φυλάξτε πάρα πολύ καλά, αυτόν τον κωδικό ανάκτησης των 14 χαρακτήρων, σε ασφαλές μέρος. Αν έχετε χάσει όλα τα κινητά που έχετε δηλώσει και χάσετε και αυτόν τον κωδικό ανάκτησης, τότε μάλλον θα χάσετε οριστικά την πρόσβαση στις υπηρεσίες αυτές, ιδιαίτερα οδυνηρό αν πρόκειται για πολύτιμα προσωπικά δεδομένα πχ προσωπικές φωτογραφίες ή κείμενα που έχετε αποθηκεύσει πχ στο iCloud.

GOOGLE ACCOUNT

Ένας λογαριασμός στην GOOGLE χρησιμοποιείται για πρόσβαση σε μια πληθώρα υπηρεσιών της GOOGLE, όπως είναι φυσικά το Gmail, ο Blogger,  τα video σας στο YouTube και οπωσδήποτε και ο χώρος αποθήκευσης Google Drive. Επισημαίνεται επίσης ότι η ταυτότητά στην GOOGLE μπορεί να χρησιμοποιηθεί και από άλλες υπηρεσίες για την ταυτοποίησή σας (όπως η LinkedIn, κα), έτσι ώστε να μην χρειάζεται συνέχεια να δημιουργείτε κάθε φορά νέα στοιχεία ταυτοποίησης  πρόσβασης (username/password, κλπ) στις υπηρεσίες αυτές.


Για να ενεργοποιήσετε το 2ο βήμα ασφάλειας στην GOOGLE, ξεκινήστε πηγαίνοντας στις επιλογές ρυθμίσεων λογαριασμού (account settings) στο επάνω δεξί μέρος της σελίδας Gmail. Αναζητήστε την επιλογή “2-Step Verification” στο security tab. Μετά μπορείτε να εισάγετε τον αριθμό του κινητού τηλεφώνου στο οποίο θα λαμβάνετε με SMS τους κωδικούς επιβεβαίωσης ταυτότητας των νέων σας συσκευών. Και η GOOGLE σας παρέχει τη δυνατότητα δήλωσης περισσότερων αριθμών κινητών τηλεφώνων και επιπλέον μπορείτε να δηλώσετε και αριθμό σταθερού στον οποίον μπορείτε να ακούτε (αντί να λαμβάνετε με SMS) ηχογραφημένο – αυτοματοποιημένο μήνυμα με το (6-ψήφιο) κωδικό επιβεβαίωσης. Σημειώνεται ότι η GOOGLE  χρησιμοποιεί 6-ψήφιους κωδικούς επιβεβαίωσης ταυτότητας (αντί 4-ψήφιων της APPLE).

Ενώ το APPLE ID  συνήθως χρησιμοποιείται περισσότερο με συσκευές της APPLE και εφαρμογές που τρέχουν σ’ αυτές, είναι γεγονός ότι ο λογαριασμός της GOOGLE συνεργάζεται με περισσότερες συσκευές και εφαρμογές αλλά και πολλά websites, κάποια όμως από τα οποία δεν «γνωρίζουν» πώς να χρησιμοποιήσουν έναν κωδικό επιβεβαίωσης ταυτότητας. Ενδεικτικά παραδείγματα τέτοιων περιπτώσεων είναι η εφαρμογή Mail που τρέχει σε iPhones, iPads και υπολογιστές Mac, καθώς και το Microsoft Outlook.

Για την αντιμετώπιση τέτοιων περιπτώσεων, μπορείτε να δημιουργείτε κωδικούς μιας χρήσης (One-Time Password : OTP), μέσω της επιλογής “App-specific passwords”. Έχετε όμως υπόψη σας ότι το OTP που θα λάβετε θα χρησιμοποιηθεί αντί του κανονικού σας password.

Μια άλλη δυνατότητα που σας παρέχει επίσης η GOOGLE, είναι η δημιουργία σειράς κωδικών, για να τους χρησιμοποιήσετε σε περιπτώσεις όπου δεν μπορείτε να λάβετε SMS πχ όταν ταξιδεύετε στο εξωτερικό. Οι «off-line» αυτοί κωδικοί, χρησιμοποιούνται αντί των 6-ψήφιων κωδικών επιβεβαίωσης ταυτότητας που κανονικά θα λαμβάνατε μέσω SMS. Κάθε φορά που επιλέγεται τη δημιουργία σειράς κωδικών, δημιουργούνται 10 τέτοιοι κωδικοί. Και μπορείτε να τους αντιγράψετε ή να τους εκτυπώσετε για να τους έχετε μαζί σας όταν χρειαστεί. (Φυσικά, ο κάθε κωδικός από αυτή τη σειρά των 10, μπορεί να χρησιμοποιηθεί μόνον 1 φορά, κάτι σαν τους κωδικούς ανανέωσης χρόνου).

Τέλος, η GOOGLE σας παρέχει τη δυνατότητα να κατεβάσετε και να εγκαταστήσετε το appGoogle Authenticator” σε συσκευές Android, Apple και BlackBerry. Μπορείτε να χρησιμοποιείτε το  Google Authenticatorapp για τη δημιουργία κωδικών και να τους χρησιμοποιείτε όταν δεν μπορείτε να λάβετε μηνύματα SMS.

MICROSOFT ACCOUNT

Αντίστοιχα με τα προηγούμενα, ένας λογαριασμός Microsoft χρησιμοποιείται για πρόσβαση στο Outlook email, σε αποθηκευτικό χώρο OneDrive, κλπ. Μπορείτε να ενεργοποιήσετε να χρησιμοποιείτε το 2ο επίπεδο ασφάλειας, από την επιλογή του tabSecurity & Password” στις ρυθμίσεις του λογαριασμού σας.

Η διαδικασία είναι παρόμοια με αυτή της GOOGLE, μόνο που η MICROSOFT θα σας στέλνει με  SMS, 7-ψήφιους κωδικούς επιβεβαίωσης ταυτότητας (αντί των 4-ψήφιων της APPLE και των 6-ψήφιων της GOOGLE). Επίσης και η MICROSOFT διαθέτει εφαρμογή (“Microsoft Authenticator” App για Windows Phones που είναι συμβατή με το “Google Authenticatorapp) που μπορείτε να τη χρησιμοποιείτε για τη δημιουργία κωδικών μιας χρήσης στις περιπτώσεις που δεν μπορείτε να λάβετε μηνύματα SMS. Επίσης η MICROSOFT σας παρέχει τη δυνατότητα αποστολής κωδικού επιβεβαίωσης ταυτότητας μέσω αρχείου σε email, σε λογαριασμό email που εσείς έχετε προ-επιλέξει (αντί SMS σε κινητό τηλέφωνο) στη διαδικασία ενεργοποίησης του 2ου βήματος ασφάλειας.

Αντίστοιχα, η MICROSOFT σας δίνει τη δυνατότητα να δημιουργείτε κωδικούς μιας χρήσης (One-Time Password : OTP), για συσκευές, εφαρμογές και  websites που δεν «γνωρίζουν» κανονικά πώς να χρησιμοποιήσουν έναν κωδικό επιβεβαίωσης ταυτότητας του 2-step verification system της Microsoft.

Τέλος για τη MICROSOSFT να σημειωθεί ότι δεν παρέχει τη δυνατότητα δημιουργίας σειράς κωδικών για «off-line» χρήση (όπως δίνει το σύστημα της GOOGLE), ωστόσο παρέχεται αντίστοιχη με την APPLE δυνατότητα για «μεγάλο» κωδικό ανάκτησης στην περίπτωση που χάσετε όλα τα κινητά σας.

Χρήση τεχνικών ασφάλειας 2ου επιπέδου σε άλλους παρόχους.

Η Yahoo, το Facebook, το Twitter και το Dropbox είναι και αυτοί πάροχοι υπηρεσιών που προσφέρουν δυνατότητες για χρήση ασφάλειας 2ου επιπέδου.


Οι πάροχοι αυτοί κατά κανόνα χρησιμοποιούν τις τεχνικές ασφάλειας 2 επιπέδου με παρόμοιο τρόπο. Οι διαφορές έγκεινται κυρίως στους εναλλακτικούς, επιπλέον των μηνυμάτων κειμένου (μέσω SMS), δυνατοτήτων αποστολής κωδικών επιβεβαίωσης ταυτότητας. Το Facebook, για παράδειγμα (το οποίο χρησιμοποιεί τον όρο “Login Approvals” για την δικιά του τεχνική ασφάλειας 2ου επιπέδου), προσπαθεί να σας κατευθύνει να χρησιμοποιείτε την δικιά του εφαρμογή (“Code Generator” app), ενώ τα μηνήματα SMS  χρησιμοποιούνται περισσότερο ως δυνατότητα ασφαλείας (backup). Επίσης, το Facebook αποκαλεί "Είσοδος Εγκρίσεις" αντί για επαλήθευση σε δύο βήματα.

Συμπερασματικά θα λέγαμε ότι αξίζει να μπείτε στον κόπο να ενεργοποιήσετε τις δυνατότητες ασφάλειας 2ου επιπέδου που σας προσφέρει ο πάροχός σας, προκειμένου να εξασφαλίσετε μεγαλύτερη προστασία των ευαίσθητων δεδομένων που αποθηκεύονται στις υπηρεσίες του.
Πηγές:
1.        Techlife News 15/9/2014 - A Second Layer of security On-Line- http://www.techlifenews.com/TechLife_News/TechLife_News.html
2.        Apple Frequently asked questions about two-step verification for Apple ID - http://support.apple.com/kb/HT5570
3.        Google Επαλήθευση σε 2 βήματα - https://www.google.com/intl/el/landing/2step/
4.        Yahoo Ρυθμίστε τη δεύτερη επαλήθευση σύνδεσης - https://gr.help.yahoo.com/kb/yahoo-account/SLN5013.html?impressions=true
6.        Dropbox How do I enable two-step verification on my account? - https://www.dropbox.com/help/363

WCO publishes global standards on e-commerce

On  10 July 2018 , the WCO published the  Framework of Standards on Cross-Border E-Commerce   as adopted at the end of June 2018 by th...