Paroolide õudusunenägu, osa 1

CYBERS 23. jaan. 2018

Hetkel olen endal kokku lugenud 88 töö- või eraelulist kontot ja parooli, mis on u 3/4 kõigist kasutusel olevatest kontodest. Ma arvan, et 10–20 kontot on sellised, mille puhul ma ei mäleta kasutajanime ega parooli ega ka olemasolu. Kui ma peaksin vahetama neid kõiki paroole 30 päeva järel, siis see tähendab, et peaksin iga päev vahetama 1 või rohkem parooli. Neid kõiki on ilmselgelt ebareaalne meeles pidada.

Eriti põnevaks läheb siis kui mõnda parooli/kontot kasutavad mitmed inimesed (kahjuks selliseid kontosid ikka esineb). Mis ma siis selle parooliga teen või kuidas jagan? Saadan e-kirja koos kasutajanime ja parooliga? – Üldiselt oleks see ebaturvaline. Ka minu tegelikkus on see, et mõned paroolid korduvad, osa ei vasta nõuetele, kõiki neid ei vaheta ja mõnest ei hooli ka.

Kas tuleb tuttav ette?

Parool klassikalise mõistena tähendab kokkulepitud märgusõna, leppesõna või -lauset, mille abil saab eraldada omi võõraist. Näiteks saadi parooli abil kindlusesse või tuvastati sõbralik isik vaenlase territooriumil.
Tänapäevaselt tähendab parool arvutisüsteemi turvalisust tagavat salasõna või muud märgijada, mis lubab süsteemi siseneda.

Tavakäsitluses loeme heaks parooliks:

  • mis on 12+ tähemärki pikk
  • milles on kasutusel numbrid, sümbolid, suured ja väikesed tähed
  • mis ei ole sõnastiku sõna või nende lihtne kombinatsioon (näiteks ArmasKodu)
  • mis ei sõltu loogilistest asendustest (näiteks K0du, kus o asendatud 0-ga)
  • mida vahetatakse regulaarselt (tavaliselt 30 – 90 päeva tagant)
  • mis ei ole kasutusel rohkem, kui ühes asukohas

Paroolidega seonduv on muutumas. Aru on saadud, et keerukad paroolid on suurem probleem, kui inimese võimekus nendega hakkama saada. Tuleb leida/kasutada täiendavaid viise isiku tuvastamiseks, kui seda on ainuüksi parool.
Seda lähenemist on näha juba näiteks Office 365 puhul, kus soovitatakse loobuda paroolivahetuse kohustusest. Lisaks on muudatused toimumas ka National Institute of Standards and Technology (NIST) poolt, kes samuti soovitab loobuda standardsest paroolivahetuse kohustusest.

Jätkuvate blogipostitustega pakume õudusunenäole ka lahendusi, millest siis lähitulevikus detailsemalt lugeda saab: paroolihaldurid, mitmetasemeline autentimine, ainulogimisega pöördus (single sign-on), privilegeeritud kontode haldus, identiteedi haldus, jne.

Jaga

Märksõnad

Märksõnad

Jaga

Viimased postitused

19. jaan. 2023

Kuidas teha esimest korda küberturbe eelarvet?

 KüberCast’i külaliseks on CYBERS’i CTO Aleksei Zjabkin. Koos arutletakse selle üle, kuidas korrektselt alustada esmakordselt küberturve eelarve tegemisega, mis on eelarvestamise tüüpilisemad vead ning kuidas on võimalik neid vältida. 

Loe edasi
19. jaan. 2023

Kas petta petturit?

Ronnie Jaanholdi ja Siim Pajusaare seekordseks külaliseks on CYBERS küberturbekeskuse juht Siim Sarv, kes lahkab lähemalt ühe juhtumi anatoomiat, kus uuriti pahaaimamatu petturi töövõtteid

Loe edasi
19. jaan. 2023

KüberCast – mis? miks? kellele?

KüberCast on podcast, kus arutletakse avatult küberturvalisuse müütide ja tabude üle. Saatejuhtideks on Ronnie Jaanhold ja Siim Pajusaar. Avasaates on teemaks nii päevakajalised kübermaailma uudised kui ka alustatakse seitsme surmapatu ülevaatega.

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.