skip to Main Content

Paroolide õudusunenägu, osa 1

Paroolide õudusunenägu, osa 1

Hetkel olen endal kokku lugenud 88 töö- või eraelulist kontot ja parooli, mis on u 3/4 kõigist kasutusel olevatest kontodest. Ma arvan, et 10–20 kontot on sellised, mille puhul ma ei mäleta kasutajanime ega parooli ega ka olemasolu. Kui ma peaksin vahetama neid kõiki paroole 30 päeva järel, siis see tähendab, et peaksin iga päev vahetama 1 või rohkem parooli. Neid kõiki on ilmselgelt ebareaalne meeles pidada.
Eriti põnevaks läheb siis kui mõnda parooli/kontot kasutavad mitmed inimesed (kahjuks selliseid kontosid ikka esineb). Mis ma siis selle parooliga teen või kuidas jagan? Saadan e-kirja koos kasutajanime ja parooliga? – Üldiselt oleks see ebaturvaline. Ka minu tegelikkus on see, et mõned paroolid korduvad, osa ei vasta nõuetele, kõiki neid ei vaheta ja mõnest ei hooli ka.

Kas tuleb tuttav ette?

Parool klassikalise mõistena tähendab kokkulepitud märgusõna, leppesõna või -lauset, mille abil saab eraldada omi võõraist. Näiteks saadi parooli abil kindlusesse või tuvastati sõbralik isik vaenlase territooriumil.
Tänapäevaselt tähendab parool arvutisüsteemi turvalisust tagavat salasõna või muud märgijada, mis lubab süsteemi siseneda.

Tavakäsitluses loeme heaks parooliks:

  • mis on 12+ tähemärki pikk
  • milles on kasutusel numbrid, sümbolid, suured ja väikesed tähed
  • mis ei ole sõnastiku sõna või nende lihtne kombinatsioon (näiteks ArmasKodu)
  • mis ei sõltu loogilistest asendustest (näiteks K0du, kus o asendatud 0-ga)
  • mida vahetatakse regulaarselt (tavaliselt 30 – 90 päeva tagant)
  • mis ei ole kasutusel rohkem, kui ühes asukohas

Paroolidega seonduv on muutumas. Aru on saadud, et keerukad paroolid on suurem probleem, kui inimese võimekus nendega hakkama saada. Tuleb leida/kasutada täiendavaid viise isiku tuvastamiseks, kui seda on ainuüksi parool.
Seda lähenemist on näha juba näiteks Office 365 puhul, kus soovitatakse loobuda paroolivahetuse kohustusest. Lisaks on muudatused toimumas ka National Institute of Standards and Technology (NIST) poolt, kes samuti soovitab loobuda standardsest paroolivahetuse kohustusest.

Jätkuvate blogipostitustega pakume õudusunenäole ka lahendusi, millest siis lähitulevikus detailsemalt lugeda saab: paroolihaldurid, mitmetasemeline autentimine, ainulogimisega pöördus (single sign-on), privilegeeritud kontode haldus, identiteedi haldus, jne.

Kinnita oma
IT-turvavöö!

Kui tahad homsele päevale kindlama tundega vastu minna, registreeru esmasele tasuta infoturbekonsultatsioonile.  Võta meiega ühendust ja räägime täpsemalt.

VÕTAN ÜHENDUST

VIIMASED UUDISED