neljapäev, 27. märts 2014

Kuidas luua head parooli?

Paroolid on enimlevinud vahend küberruumis enese tuvastamiseks ja seetõttu otseselt või kaudselt üks küberkriminaalide peamisi sihtmärke. Personaalsete veebiteenuste kasutamiseks tuleb paratamatult end kuidagi identifitseerida, seega käib tänapäevane veebis surfamine läbi paroolirägastiku. Paljud arvutikasutajad lähevad lihtsama vastupanu teed ja kasutavad sama parooli mitmes erinevas kohas, sest kümnete erinevate salasõnade meeles hoidmine on liiga keeruline. Lisaks valitakse sageli turvariskist hoolimata parooliks midagi sellist, mis võimalikult kergesti meelde jääks, näiteks kombinatsioon oma sünniajast, mõne sugulase nimest, aadressist ja telefoninumbrist. Selline tegutsemine suurendab aga märgatavalt riski, et mõni pahatahtlik isik suudab parooliga kaitstud kontole ligi pääseda. Kuidas siis ikkagi luua hea parool ja see ka korralikult meelde jätta?


Levinud ja lihtsasti äraarvatavad paroolid Järgnevalt mõned näited viisidest salasõnade loomiseks, mida tasub vältida, sest neid on suhteliselt lihtne ära arvata:
  1. Sinu partneri, lapse või kodulooma nimi (või nimetähed), millele sageli järgneb number 1, 12 või 123 (sest alatasa nõutakse, et parool sisaldaks ka numbreid).
  2. Sünniaeg – kuupäev või aasta, millal sündisid või mõni muu tähtis kuupäev, mille Sinu facebooki sõber kerge vaevaga üles leida suudaks.
  3. Sinu aadress – tänav, linnaosa, linn või riik.
  4. Sinu enda või mõne lähedase telefoninumber, mis on aja jooksul pähe kulunud.
  5. tere”, “teretere”, “123456”, “qwerty”, “salas6na”, “Pa$$w0rd” või mõni muu laialdaselt levinud märgijada.
  6. Kuulsuse nimi - poliitikud, sportlased, filmistaarid ja teised meediast tuntud isikud
  7. Kombinatsioon eelnevalt loetletud punktidest, näiteks “tere1972” või “Rakvere123
Õnneks ei lase enamik veebiteenuseid parooli mitu korda järjest proovida, kuid paraku ei ole harvad juhud, kus küberkurjategijatel õnnestub andmebaasidest kätte saada paroolide krüpteeritud räsi, mille abil veebiteenused paroolide õigsust kontrollivad.


Räsi leidmise algoritm peab olema ühesuunaline - see tähendab, et räsidest paroole tuletada on praktiliselt võimatu, kuid paroolist räsi tuletada on suhteliselt lihtne. Ründaja hakkab pärast edukat räside kättesaamist suurel kiirusel katsetama erinevaid paroole. Tänapäevasel lauaarvutil kulub http://www.passwordstrengthcalculator.org/index.php andmetel 8 kohalise salasõna (mis sisaldab väike- ja suurtähti ning numbreid) ära arvamiseks umbes 44 sekundit.

Näpunäiteid turvalise parooli loomiseks

Kuidas siis ikkagi luua turvaline parool, mis samas ka suhteliselt kergesti meeles püsiks? Mõned ideed meeldejääva parooli loomiseks:

  1. Pikkus - mida pikem, seda parem, seega oleks kasulik sisestada salasõna asemel salalause, mis võiks sisaldada ka kirjavahemärke ning numbreid. Näiteks “Eile lõunaks sõin 2 õuna, 2 pirni ja ühe porgandi.” ära arvamiseks kuluks https://howsecureismypassword.net/ andmetel enam kui 10^60 aastat. Üldiselt tasuks kasutada vähemalt 12 märgi pikkuseid paroole.
  2. Lisa suvalisi sümboleid keset parooli. Näiteks “va#alaskala”, “ka^namu?na”, “lauala~mp
  3. Kasuta suurtähti salasõna keskel. Näiteks “tuRvaline?paRool”, “salaJANEsõna
  4. Ainult endale arusaadav lühend pikemast lausest. Näiteks lausest “Küll on hea, kui õues on rohkem kui 0 kraadi” saab lühendi “Koh,kõ=rk0k.” ja lausest “Ruudulisel särgil on 2 varrukat ja 7 nööpi.” saab lühendi “#lisels=2v&7n”.
  5. Slängi, erinevate keelte ja kirjavigade oskuslik kasutamine muudab paroole raskemini arvatavateks. Näiteks “Täiega tshill on 30-kraadises kontoris tšättida” või “Tavai, kus on tshekk-in nr7?”
Erinevate paroolide haldamine

Turvalisest paroolist üksi on aga vähe abi, kui sama parooli kasutada erinevates kohtades, sest nii on suur tõenäosus, et keegi kuskilt mõne salasõna kätte saab või ära arvab ning proovib leitud parooli ka teiste teenuste puhul. Kindlasti peavad unikaalse salasõnaga olema Sinu peamised meilikontod (tavaliselt üks tööga seonduv ning teine eraotstarbeline). Sotsiaalmeedia ja teised süsteemid, kus leidub olulisel määral isiklikku infot võiksid samuti olla omanäolise salasõnaga ning soovitatavalt ka mitmeastmeliselt turvatud. Vähemoluliste lehtedega võib kasutada mõnda järgnevatest strateegiatest:

  1. Kasutada paroolihaldurit (nt KeePass või LastPass), mis oskavad ise turvalisi paroole luua ja meeles pidada. Paroolihalduri kasutamisel tuleks kindlasti valida unikaalne ja võimalikult turvaline üldparool.
  2. Kasutada osade lehtede puhul kattuvat osa salasõnas ja lisada täiendeid vastavalt leheküljele. Näiteks võtame kattuvaks osaks eelnevalt pakutud “#lisels=2v&7n” ja lisame sellele Wordpressi jaoks “wordpr-S” ja Twitteri jaoks “twitt-R”. Lisades veel keskele @-märgi, saame salasõnadeks vastavalt “#lisels=2v&7n@wordpr-S” ja “#lisels=2v&7n@twitt-R”. Loodud salasõnu saab ka mõnes tekstifailis salvestada näiteks kujul “{*}wordpr-S” ja “{*}twitt-R” ning see on märksa turvalisem kui nende täielikul kujul hoiustamine oma virtuaalsete dokumentide hulgas või klaviatuuri alla peidetud märkmepaberil.



Ükskõik kui keerulisest paroolist on vähe kasu, kui ründajal õnnestub kuidagi klahvivajutusi või krüpteerimata võrguliiklust pealt kuulata või oskab veenvalt kasutajalt otse küsides vajaliku info kätte saada. Samuti tasub hoolikalt läbi mõelda turvaküsimused, mis esitatakse juhul, kui parool on ununenud. Kui vastus turvaküsimusele on triviaalne, siis on ründajal võimalik hoopis sealtkaudu kontole ligi pääseda. Paljud teenused saadavad parooli ununemise korral e-maili salasõna uuesti seadmiseks vajaliku viitega. Seega võimaldab ligipääs peamisele meilikontole muuta ära ka mitmeid teisi salasõnu. Seetõttu on lisaks tugevatele paroolidele äärmiselt soovitatav kasutada võimaluse korral mitmeastmelist autentimist näiteks ID-kaardi või mobiili abil.

Sten Mäses
ASA Quality Services

5 kommentaari:

  1. on mingeid soovitusi - on kolm erinevat arvutivõrku, neist kaks asutusesised ja pole internetiga ühenduses. kokku umbes 10 erinevat kasutajakontot ja igal pool peab teatud aja tagant paroole vahetama. mingeid ideid, kuidas sellises olukorras läheneda nii et paroolid meelest ei läheks?

    VastaKustuta
  2. Üks võimalus on näiteks paroole rotatsioonis hoida: parooli lõpus numbrit või sümbolite kombinatsiooni igal uuendamisel ainult teile endale teadaoleva skeemi järgi vahetada. Sel juhul on muidugi vaja meeles pidada, mitmes kombinatsioon parasjagu kasutuses on.

    Muidugi võib ka paroolihaldurit kasutada, näiteks mobiilseadmes: LastPass on saadaval enamikel olulisematel platvormidel.

    VastaKustuta
  3. kahjuks pole lubatud telefone arvutivõrkude juurde kaasa võtta, liiga tundlikud seadmed telefonide suhtes. rotatsioon on nagu on... see on väga keeruline, on üritatud. erinevad kontod tahavad erineva aja tagant paroolide uuendamist (näiteks 1, 2, 3 kuud) ja mingist regulaarsest rotatsioonist ei tule midagi välja, lihtsalt ei seisa meeles, millist kontot viimati uuendasid. ja süsteemid liiga erinevad, et sünkrooni viia kuidagi.

    VastaKustuta
    Vastused
    1. Üks võimalus on valida kõige lühem parooli vahetamise intervall (nt 1 kuu) ja vahetada kõigis kolmes süsteemis korraga. Sel juhul saaks salasõna vahetada iga kuu esimesel tööpäeval ja rotatsiooni aluseks võtta nt kuu nime või numbri (st mitte lisada paroolile otse kuud, vaid sellest tuletatud märgijada).

      Kustuta
    2. Võib ka märkida üles salasõna vahetamise aja ja sellele vastavalt luua kuupäevast sõltuv süsteem.
      Nt 12. veebruarist võib tuletada "vee-ÜKS&2-bruar;" ja 23. aprillist sarnase loogikaga "apr-KAKS&3-ill;"

      Kustuta