Kuidas valida turvalist, kuid meeldejäävat parooli

Ilmselt oled näinud registratsioonivorme, mis hindavad su parooli turvalisust reaalajas. Enamasti tahavad nad, et paroolis oleks vähemalt üks suur täht ning number. Vahel on reegleid rohkemgi. Kui kasutada parooli generaatorit on tulemus enamasti stiilis “f843”E9Hda32”, mille meeldejätmine on ilma fotograafilise mäluta võimatu. Kuidas valida parooli, mis oleks turvaline, kuid samal ajal meeldejääv?

Miks peab parool olema meeldejääv?

Pole midagi ebaturvalisemat, kui üles kirjutatud parool. Ja parool, mis meeles ei püsi kirjutatakse paratamatult üles – lihtsalt pole muud võimalust. Seetõttu peaks iga parool olema meeldejääv, kuid samas mitte lihtsalt ära arvatav.

Millist parooli kindlasti mitte kasutada?

Kunagi ei tohiks parool olla sinuga lihtsasti seostatav. Selleks on su nimi, sünnikuupäev, sünniaasta jms. Toomas82 on väga lihtsasti ära arvatav, kui su eesnimi on Toomas ning oled sündinud aastal 1982.
Samuti ei tohiks kasutada paroolina midagi, mida on lihtne ära arvata. Häkkerid kasutavad tihti tarkvara, mis kontrollib su parooli automaatselt levinumate vastu.

See on eriti ohtlik, kui su parool lekkima peaks. Kõik tänapäevased turvalised teenused hoiavad su parooli räsi (inglise keeles “hash”) kujul. Parooli räsi on jada tähemärke, mida pole võimalik tagasi algseks parooliks teha. Räsialgoritm genereerib ühest sisendist (paroolist) alati ühesuguse tähtede ja numbrite jada. Nii ei ole kellelgi võimalik su parooli näha ka siis, kui ta saab ligi andmebaasile. Sisselogimisel genereerib süsteem su sisestatud paroolist räsi ning võrdleb seda andmebaasis olevada. Kui räsid kattuvad teab süsteem, et sisestatud parool oli õige ilma, et kunagi su parooli inimloetavalt salvestaks.

Kui parool peaks lekkima saab ründaja väga lihtsalt võrrelda su parooli räsi nimekirja kõige levinumate sama algoritmiga räsistatud sõnade vastu. Näiteks sõna “parool” näeb SHA-256 algoritmiga räsistatult välja (räsistamise algoritme on palju, ma valisin suvalise) “365bdc6ae8c657d005aefebe0e904766c1d7222251738a317671cd0dac96d50d“. Kombinatsioonist 365bdc6ae8c657d005aefebe0e904766c1d7222251738a317671cd0dac96d50d ei ole kuidagi võimalik kätte saada sõna “parool”, kuid häkkeril võtab murdosa sekundist, et seda võrrelda nimekirja levinumate paroolide räside vastu. Seda nimetatakse vikerkaare tabeli rünnakuks (“rainbow table attack” inglise keeles):

Mõned näited paroolidest, mida ei tohiks kunagi kasutada on:

  • 12345
  • Parool
  • Kasutajanimi
  • Ei ütle
  • Saladus
  • Printsess
  • Su sünnikuupäev
  • Su aadress
  • qwert” ega ükskõik mitu järjestikust tähemärki.

See ei pea olema ainult klaviatuuri ülemiselt realt. Samuti “abcd” ning teised variatsioonid järjestikustest tähtedest tähestikus. Probleem pole ainult see, et need on lihtsalt ära arvatavad. Kui keegi peaks nägema sind sisestamas kasvõi osa paroolist on ülejäänut väga lihtne ära arvata. Keerulisemat parooli on oluliselt raskem väikese osa pealt ära arvata.

Täpselt sama kehtib ka variatsioonide puhul nagu “abc123” ja “qwe321” jne.

Mis teeb parooli turvaliseks?

Turvaline parool peab suutma vastu seista kahte tüüpi rünnakule.

Esimene neist on inimeselt, kes sind tunneb või on su kohta infot otsinud. Sinna alla lähevad kõik paroolid, mille osa on su nimi, sünniaasta, sünnikuu, aadress või midagi muud su isikuga seotut.

Teine on nn “toore jõu” (inglise keeles brute force) rünnakud, kus parooli üritatakse ära arvata lihtsalt erinevaid kombinatsioone järjest läbi proovides. Sellise rünnaku vormis proovitakse kõigepealt läbi populaarsemad paroolid. Kui parool pole ükski nendest, hakatakse järjest proovima erinevaid tähekombinatsioone.

Sellest saame tuletada turvalise parooli kaks omadust

1) Turvaline parool ei ole midagi tavapärast ega kergelt ära arvatavat.

2) Turvaline parool peaks olema võimalikult pikk. Lühikest parooli on lihtsam ära arvata toore jõu rünnakuga.

Mida pikem on parool seda raskem on seda ära arvata kusjuures iga uus tähemärk paroolis raskendab selle ära arvamist ekspontentsiaalselt.

Toore jõu rünnakut võib rakendada otse sisselogimisvormi vastu. See toimib küll ainult juhul, kui süsteem ei piira sisselogimiste arvu. Selline asi võib juhtuda isegi Apple-ga. Paari aasta tagune rünnak, kus murti lahti sadade kuulsuste iCloudi kontod ning nende intiimsed ipildid internetti lekkisid, tulenes just sellest. Õnneks pole enamik logimisvorme sellisel viisil rünnatavad, kuid ka suurtel tegijatel võib apse juhtuda. Sellisteks puhkudeks on oluline, et su parool ründele vastu peaks.

Teine variant toore jõu rünnakust on su parooli räsi vastu. Kui häkker on saanud su parooli räsi võib ta proovida seda arvata piiramatu arv kordi. Küsimus on ainult ajas, mis tal õige kombinatsiooni leidmiseks läheb.

Kui kaua see võtab sõltub konkreetsest algoritmist, millega see krüpteeritid on, kuid võtame näitena MD5 (tänapäeval juba pigem vananenud, kuid siiski kasutuses) algoritmi. Kiirusega 8783 parooli sekundis võtaks paroolide murdmine statistiliselt:

5 kohaline parool –  14 minutit 50 sekundit

6 kohaline parool – 23 tundi 29 minutit 45 sekundit

7 kohaline parool – 93 päeva 6 minutit 36 sekundit

8 kohaline parool – 24 aastat 69 päeva 15 tundi 56 minutit 57 sekundit

Iga tähemärk paroolis tõstab selle turvalisust märgatavalt

Oluline on märkida, et tänapäeval suudavad arvutid nõrgemaid algoritme, nagu seda on MD5, murda oluliselt kiiremini, kui 8783 korda sekundis. 10-12 kohaline parool on turvalisuse võti. Kui süsteem võimaldab, võiks see olla veelgi pikem.

Kuidas valida meeldejäävat turvalist parooli?

Oleme jõudnud selleni, et turvaline parool peaks olema võimalikult pikk. Enamik vorme nõuavad, et paroolis oleks ka suur täht ning vähemalt üks number, mis muudab lihtsalt pika sõna kasutamise keeruliseks.

Esimese asjana tasub valida sõnad, mis on sul meeles, kuid mida keegi otseselt sinuga seostada ei oska. Näiteks “kollane, auto, rand, laupäev”. Need jäävad piisavalt lihtsalt meelde, ning nendest saab koostada parooli “2KollastAutotSõidavadLaupäevalRanda”. Selle ära arvamine toore jõu meetodil on peaaegu võimatu. Kui keegi näeb sind sisestamas osa paroolist ei ole ta kuidagi võimalik selle põhjal ära arvata tervet selle sisu. Samuti pole seda raske meelde jätta – Kaks kollast autot sõidavad laupäeval randa. Küll vastab see kõigile turvalise parooli tingimustele.

Kui vorm nõuab, et paroolis oleks ka kirjavahemärke võid sõnad ümber tõsta nii, et näiteks koma tunduks seal loogilisel kohal “2KollastAutotSõidavadRanda,Laupäeval”. See teeb parooli veel ühe koha võrra pikemaks, ning peaks vastama pea kõigile tingimustele.

Kas parool peab olema unikaalne?

Jah. Iga parool peab olema unikaalne, sama parooli kahes kohas kasutada ei tohi. See on resoluutne kahel põhjusel.

Esiteks ei saa sa kunagi kindel olla, et andmebaas su prooliga ei leki. Lekked, ka suurte teenusepakkujate puhul, on kahjuks saanud tavaliseks. Rünnaku ohvrik on langenud Yahoo, Adobe, Dropbox ning paljud teised. Soovi korral saad kontrollida, kas su parool on mõne rünnaku käigus lekkinud. Selleks mine aadressile https://haveibeenpwned.com/ ning sisesta oma e-maili aadress. Süsteem kontrollib, kas sinu e-mail ja parool on olnud mõnes lekkes. Väga suure tõenäosusega on su parool vähemalt korra kuskilt juba lekkinud ning lekib veel.

Unikaalne parool ei sea lekke korral ohtu sinu teisi kasutajakontosid.

Väiksemate teenuste puhul ei saa sa kindel olla, et teenuse omanik su parooliga heaperemehelikult ringi käib. Registreerudes mõnda internetifoorumi ei saa sa kindel olla, et parooli hoitakse andmebaasis üldse räsi kujul. Isegi kui seda tehakse, ei saa sa kindel olla, et foorumi omanik või tema teenusepakkuja selle vastu toore jõu rünnakut ei rakenda. Väikese keskkonna andmebaas võib lekkida veel lihtsamalt, kui suure teenuse korral, omanik ei pruugi sellest isegi teada.

Ükskõik, milline neist stenaariumitest ka juhtuda ei võiks, unikaalsete paroolide kasutamine kaitseb su teisi kasutajakontosid.

Ära ütle oma parooli kellegi

Ka kõige turvalisem parool on kasutu, kui kõik seda teavad. Ideaalses stenaariumis ei tohiks su parooli teada keegi, peale su enda. See sisaldab ka elukaaslast, lähisugulasi ning parimaid sõpru. Su parool võib täiesti kogemata nende käest lekkida – nende arvuti võib olla nakatatud pahavaraga, mis paroole kogub. Samuti võivad nad parooli kogemata avaliku WiFi võrgu kasutamisega lekitada või õngitsemise ohvriks langeda (õngitsemisest olen pikemalt kirjutanud siin).

Ainult sinu pea on koht, kust parool lekkida ei saa!

Kui tõesti pead kellegi ajutiselt oma kasutajakonto ligipääsu andma kasuta selleks ajutist parooli või muuda parool kohe peale seda. Samuti peab ettevaatlik olema paroolide saatmisel krüpteetimata e-mailiga või muul meetodil, mida on lihtne pealt kuulata. Tavaline SMTP kaudu saadetud e-kiri pole krüpteeritud, mistõttu saavad seda pealt kuulata kõik su juhtmeta võrku ühendatud seadmed. Kuidas kasutada avalike WiFi võrke turvaliselt olen pikemalt kirjutanud siin.

Kasuta võimalusel kaksikaudentimist

Kui vähegi võimalik akitveeri oma kontol kaksikaudentimine (two factor authentication). Kaksikaudentimine tähendab, et igal uuest seadmest sisselogimisel pead selle mõnest teisest kanalist kinnitama.

Näiteks Google saadab su mobiilinumbrile SMSi, koodiga, mille pead sisselogimisel sisestama.

Kaksikaudentimist pakuvad kasutajakontole Google, Apple, Microsoft, Sony (Playstation), Twitter ning paljud teised. Kui vähegi võimalik peaks seda kasutama, kuna just see võib su andmed päästa.

Tingimused, millele parool vastama peaks

Kõige eelneva põhjal kontrolli, et iga su parool vastaks kõigile tingimustele antud nimekirjast. Kui kasvõi üks neist tingimustest pole täidetud on su konto ja identiteet internetis potensiaalselt ohus.

  1. Parool on unikaalne, sa pole sama parooli kunagi varem kasutanud
  2. Parool pole lihtsalt ära arvatav (vaata sektsiooni “Millist parooli kindlasti mitte kasutada”).
  3. Parool on vähemalt 12 tähemärki pikk. Kui teenusepakkuja seab paroolie maksimaalse pikkuse peaks kasutama iga võimaliku tähemärki
  4. Parool on meeldejääv, et sa ei peaks seda kuhugi üles kirjutama
  5. Sa pole parooli kunagi kellelegi öelnud

Paroolihaldurid

Alternatiivina tugevale ja meeldejäävale paroolile võib kasutada paroolihaldamistakrvara. Paroolihaldustarkvara genereerib sinu eest turvalised paroolid ning jätab need meelde oma keskkonnast. Veebilehitseja laiendi kaudu sisestab ta paroolid sinu eest. Nii pead meelde jätama ainult oma paroolihaldaja keskkonna parooli, mitte iga teenuse oma eraldi.

Paroolihalduri genereeritud paroolid on reegline pikad suvalised tähe- ja numbrikombinatsioonid. Juhul, kui su parool peaks mõnest teenusest lekkima (võimalus, mida ei saa kunagi välistada) ei kahjusta see kuidagi ühtegi su teist kontot. Samuti on sellise parooli toore jõu meetodil lahti murdmine praktiliselt võimatu.

Kõik paroolihaldajad pole loodud võrdsena. Veebilehitseja ja arvuti põhised paroolihaldurid on oma olemuselt ebaturvalised.  Kindlasti tuleks valida paroolihaldaja, mis hoiab su paroole pilves, mitte su oma arvutis. Selleks on mitu põhjust:

  1. Kui su arvuti peaks nakatuma viirusega, mis annab häkkerile selle üle kontrolli, saab ta suure tõenäosusega kätte kõik su paroolid. Pilvepõhisese paroolihaldaja puhul seda riski pole.
  2. Mõned lokaalsed paroolihaldajad, näiteks Mozilla Firefox oma, krüpteerivad kõik seadmes salvestatud paroolid “peaparooliga”. See lahendus on küll turvalisem, kuid ei oma kõiki järgnevaid eeliseid.
  3. Pilvepõhine paroolihaldaja sünkroniseerib paroolid kõigi su seadmete vahel. Parematel (ja mõtet on kasutada ainult parimaid) paroolihaldajatel on laiendused kõigile tuntumatele veebilehitsejatele ning rakendused nutitelefonidele. Nii saad sama genereeritud parooliga sisse logida nii oma arvutist, telefonist, kui tahvlist.
  4. Antud eelis on küll pigem lisa eelmisele punktile, kuid väärib eraldi välja toomist. Keskne paroolihaldus muudab paroolide vahetamise lihtsamaks. Kui vahetad parooli ükskõik millise seadmega kasutades pilvepõhist paroolihaldurit saad sellega kohe igal pool sisse logida ilma. Tavaolukorras pead pärast parooli vahetamist selle igal seadmel käsitsi sisse trükkima.

Enamik pilvepõhiseid paroolihaldureid toimib nn premium ärimudelil. Enamasti on paroolihalduri kasutamine ühes seadmes tasuta, kuid andmete seadmete vahel sünkroniseerimiseks tuleb maksa kuu või aastapõhist tasu. Toon järgnevalt ära mõned parimad paroolihaldurid.

  1. LastPass on suure tõenäosusega tuntuim paroolihaldaja. Tasuta versioonis võimaldab paroole tasuta hallata ühte tüüpi seadmetete (st, kas arvutid või nutitelefonid) vahel. Kõigi seadmete vahel paroolide haldamist lubav pakett on tasuline, kuid kuutasu on väiksem, kui kõige väiksema kohvi hind bensiinijaamas – 1 dollari. Kui tekkib vajadus mõnda oma parooli jagada lubab LastPass seda teha lihtsalt ja mugavalt.
  2. LogMeOnce võimaldab paroole sünkroniseerida piiramatu arvu seadmete vahel tasuta.  Nende hinnastusmudel on üles ehitatud ühekordsete tegevuste, näiteks paroolide jagamine, piiramisele. Kui sa ei soovi oma paroole kellegiga jagada on tegemist soodsaima paroolihalduriga. Küll jätavad soovida nende kasutajaliidesed, mis muudab teenuse kasutamise konkurentidega võrreldes ebamugavamaks.
  3. Dashlane paroolihaldur on oma funktsioonidelt ja hinnastamiselt väga sarnane LastPassile. Erinevalt LastPassist toimib ta ka ilma internetiühenduseta. Selle mugavuse eest tuleb küll maksta. Dashlane aastane litsens maksab 40 dollarit, samal ajal, kui LastPassi hind on 12. Samuti on Dashlane kasutajaliides parem, kui ühelgi teisel paroolihaldajal.
Share259
Tweet
Share1
260 Shares