Salasõnad on kõikjal, nende valimine tüütu ja meelespidamine raske. Kas kuidagi teisiti ei saaks?

0

Tarvi Raudmägi, G4S Eesti andmeturbejuht

Lühike ja kiire vastus on, et tänasel päeval veel ei saa. Ehk on ühiskond mõne aastakümne pärast tõesti valmis igat laadi salasõnadest loobuma, aga täna me nendeta veel kuidagi läbi ei saa. Enamasti kipume salasõnu seostama vaid arvutite, ehk ka nutiseadmetega. Tegelikult ei ole see nii lihtne ja salasõnanad kaitsevad nii meie pangakaarte kui ka koduseid valvesüsteeme. Oma olemuselt on ju ka vaid numbritest koosnev PIN-kood salasõna – kasutame neid telefoni teel panga või turvafirmaga suhtlemisel, isegi autode juures ei saa PINidest ja salasõnadest mööda.

Mida siis teha, et salasõnad-PINid-koodid oma ülesannet täidaksid ja samas ikka meelde jääksid ning mugavad kasutada oleksid? Kas selline kooslus on võimalik? Ette rutates julgen väita, et mälutreeningut ja väikeseid ebamugavusi ei saa vältida, küll aga saab teha mõnadagi salasõnade kvaliteedi tõstmiseks ja nende meelespidamise, aga ka sisestamise lihtsustamiseks. Ja veel parem on, kui saame lisaks salasõnale kasutada veel midagi muud, midagi käega katsutavat. Eestis on selleks väga hea lahendus ID-kaart. Kaart ise omab õiguslikku tähendust, see peab lugejas olemas olema ja on ka veel kaitstud PINi ehk salasõnaga.

Su salasõna on Google’is? Aga kui peame siiski piirduma ainult salasõnaga? Esiteks peab salasõna oma eesmärgi täitmiseks olema piisavalt keeruline ja raskesti ära arvatav. Kõige lihtsamini ära arvatav salasõna on see, mille saame teada näiteks… Google-ga. Kõikide seadmete, süsteemide vaikimisi salasõnad on väga lihtsalt leitavad.

Seega esimene ja kõige tähtsam reegel:kõik – jah eranditeta kõik! – tootja poolt seadistatud salasõnad tuleb ära muuta!

Sama kehtib ka pangakaartide, ID-kaardi, arvutisüsteemide jt salasõnade kohta.

Teiseks peab salasõna ära arvamine oma kasutuskohas olema piisavalt raske.

Kindlasti tekib paljudel kohe õigustatud küsimus, miks mainisin kasutuskohta. Põhjus on lihtne, parool peab olema piisavalt keerukas, et tema juhuslik äraarvamine oleks väga madala tõenäosusega. Näiteks kui meil on neljast numbrist koosnev PIN- kood, siis võimalikke erinevaid PINe on 10000 (0000 on ka lubatud) oletame, et saame teha 5 katset enne süsteemi lukustumist. Sellisel juhul on juhusliku äraarvamise tõenäosus üks 2000st. Tundub piisav?

Aga kui äraarvaja teab, näiteks nägi silmanurgast, et PIN algab numbritega 79? Sellisel juhul saame tõenäosuseks juba ühe 20st.

Seega, parem juba pikem, ütleme 6-kohaline PIN. ID-kaardil võiks allkirjastamiseks isegi veelgi pikemat kasutada. Samas süsteem, mis ise ei lukustu, näiteks paljud veebikeskkonad või ka juhtum, kus ründaja on kätte saanud kogu süsteemi kasutajate salasõnade räsi ning saab nüüd spetsiaalset tarkvara kasutades teha tuhandeid äraarvamise katseid sekundis, eeldab juba hoopis teist kvaliteeti.

Vaatamegi nüüd, milline üks hea ja pommikindel salasõna on Salasõna ei tohi sisalduda kasutaja ega tuttavate-sugulaste-koerte-kasside nimesid, sünnikuupäevi, pangakonto, telefoni-, auto- ja muid lihtsasti äraarvatavaid numbreid ning nimesid. Kindlasti peaks vältima kõikide teile teada olevate sõnade muutmata kujul kasutamist. See käib ka kõikide võõrkeelte, isegi murrete kohta. Muutmata kujul saavad spetsiaalsed tarkvarad nende paroolikogudes olevaid sõnu ära arvata tervikuna. Näiteks parool 12toyota! Sisaldab numbreid 1, 2 , sõna toyota ja ühte kirjavahemärki. Seega on selles salasõnas 4 osa ja see on minutitega murtav. Kui nüüd toyota sees muuta ära mõned tähed, näiteks mõlemad t d-ks esimene o nulliks ja y asendada j-ga siis võib eeldada, et sõna d0joda on ründeprogrammile tundmatu ning see peab hakkama kõiki tähti järjest läbi proovima. Ühtäkki on meil jälle 9-märgiline salasõna, mille murdmine on üsna raske.

Pikk olgu teie parool! Vähemalt 10 tähemärki, veel parem kui 12. Võimalik, et salasõna peab suutma oma eesmärki täita ka mitmete aastate pärast. Kasvõi pakkisite oma privaatsed pidid salasõnaga kokku ja unustasite koduse arvuti kõvakettale. Kas tahate, et 10 aasta pärast keegi paki leiaks ja siis juba oma tulevikuarvuti tohutu jõuga parooli murraks?

Heas salasõnas on suur ja väiketähti, numbreid ja mõni kirjavahemärk kuluks ka ära.Murdmiseks kasutatav tarkvara proovib esmalt läbi ainult väikesed tähed, siis suurte ja väikeste kombinatsioonid, lõpuks lisab ka numbrid ning muud märgid. Seega, tehkem proovitavate märkide hulk võimalikult suureks.

Parool olgu uus, võimalusel püüdke vältida paroolide korduvkasutust. Samuti vältige erinevates kohtades sama parooli kasutamist. Kõlab uskumatuna, aga paroole varastavaid veebilehti, pahavarasid ja muud sarnast haldavad inimesed teevad koostööd ning täiendavad pidevalt oma arsenali. Eeldada, et suudate kõiki pahavarasid oma arvutitest eemal hoida ja kõiki halbu veebilehti vältida, ei tohiks keegi. Isegi teadliku kasutuse korral on oht olemas.

Vahemärkusena ütlen, et olen isegi salasõna varguse ohvriks langenud ja ei tea täie kindlusega siiani, kuidas seda tehti. Kord lekkinud parool leiab tihti tee tuntud ja tervikuna proovitavate salasõnade hulka, veelgi hullem on, kui suudetakse seda konkreetse inimese ja tema kontodega seostada. Tagatipuks ei saa te oma hea ja pika parooli lekkimisest teada enne, kui keegi seda juba kurjasti kasutab. Seega on parem igale poole uus salasõna valida. Kui päris nii ei saa, siis hoidke vähemalt internetis, koduses arvutis ja töökohal kasutatavad salasõnad lahus.

Muutke oma salasõnu regulaarselt. Küsimus ei ole selles, kas keegi salasõna teada saab, küsimus on, millal see juhtub. Pidevalt vahetades jätame pahadele vähem aega ja võimalusi.

Ärge öelge oma parooli kellelegi. Arvatavasti ei tee salasõna saanud inimene sihilikult midagi paha, aga kas olete kindel, et tema ka seda salasõna piisavalt hästi hoiab, kleepsuga oma laua kohale ei kinnita või siis meeles pidamiseks kuhugi interneti avarustesse salvesta?

Vältige parooli üles kirjutamist, kui kuidagi muud moodi ei saa, siis vähemalt ärge jätke nähtavale kohale. Nutiseadmega tehtud fotolt on hiljem aega küll kõiki paroole lugeda! Mingil juhul ei tohi leidja aru saada, millise konto parooli ta leidis.

Püüdke lisaks paroolile ka oma konto nime varjata. Konto ja salasõna ära arvamine teeb ülesande suurusjärgu võrra raskemaks.

Kõige lõpuks veel paar nõuannet:

  • Kontrollige oma salasõna tugevust. Näiteks http://www.passwordmeter.com/ on selleks sobiv koht. Samas kontrollimiseks kasutage ikka midagi lähedast, mitte päris planeeritavat salasõna ennast. Nii igaks juhuks, kas teate isiklikult, et see või mõni muu veebileht kurjamitele ei kuulu?
  • Kõikide pikkade ja keeruliste salasõnade hoidmiseks kasutage vajadusel näiteks ID-kaardi ja digidoc krüptoga kaitstud dokumenti. Selleks on ka muid lahendusi, aga nagu juba mainitud, Eesti e-riik on meile andnud hea vahendi, mis tagatipuks ka õiguslikult kaitstud.
  • Tihti saab parooli taastada või ka muuta parooli vihjetega. Kui ise vihjet kirjutada ei saa, siis jätke kõik tühjaks! Ema neiupõlvenimi on liiga lihtne ja kasside nimesid on eesti keeles ka vähe kasutusel.
  • Kui mingi veebiteenuse või interneti mängu haldajana esinev isik küsib teie parooli, siis võite olla kindel, et asi ei ole õige. Haldajal ei ole parooli kunagi vaja, ta saab vajalikud toimingud enda haldurivahenditega tehtud.

Jaga

Kommenteeri