Need tüütud salasõnad

Alguses oli salasõna. Ja salasõna oli ‘god’… või ‘love’ või ‘sex’ või ‘secret’. Möödusid aastad ja enam pole ka ‘s3x-g0d-l0ve-s3cr3t’ piisavalt keeruline. Mis nüüd?

teh-plague

The Plague: Our recent unknown intruder penetrated using the superuser account, giving him access to our whole system.

Margo: Precisely what you’re paid to prevent.

The Plague: Someone didn’t bother reading my carefully prepared memo on commonly-used passwords. Now, then, as I so meticulously pointed out, the four most-used passwords are: love, sex, secret, and…

Margo: [glares at The Plague]

The Plague: god. So, would your holiness care to change her password?

Juba arvutite ja Interneti koidikul vajasid süsteemid tõendit, et terminali taga istuv kasutaja on just see, kes ta väidab ennast olevat ning lühike tekstijupp kõlbas selleks väga hästi. Alguses polnud salasõna keerukus kuigi oluline, sest arvutiteid oli vähe ning nendes olev info polnud ka kuigi kriitiline. Piisas sellest, kui parool polnud liialt kergesti ära arvatav. Asjade arenedes tekkis aga pahatahtlikematel kodanikel huvi paroole ära arvata ja murda ning rakendada selleks ka selleks tööks sobivaid masinaid – arvuteid. Et arvutid mõistliku ajaga seda ülesannet lahendatud ei saaks, mõtlesid targad inimesed välja Turvalise Salasõna Reeglid.

Me kõik oleme paroolireeglitega kokku puutunud. „Paroolis tuleb kasutada suuri ja väikseid tähti, vähemalt üht numbrit ja üht muud sümbolit ning see peab olema vähemalt 8 sümbolit pikk.“ Probleemid selle lähenemisega ilmnesid tegelikult juba päris alguses. Ükskõik kui keerulisi reegleid sa ka ei kehtesta, leidub ikka väga lihtsalt ära arvatavaid paroole, mis kõigile keerukuse tingimustele vastavad. „Parool1.“ on täielikult eelpool toodud tingimustele vastav salasõna. Asja tegi veel hullemaks kellegi rumal idee, et kasutajad peavad iga kolme kuu tagant paroole vahetama. See sundis kasutajaid veel eriti leidlik olema, et uusi kiirelt meeldejäävaid “turvalisi” paroole leiutada. Nii, kuidas on kasvanud arvutite paroolimurdmise võimekus, on läinud rangemaks ka paroolile kehtivad nõuded. Ükskõik kui keerulist kaheksa sümboliga parooli ei loeta juba tükimat aega turvaliseks ja paroolide meeles pidamine on muutunud järjest raskemaks.

Vahepeal levinud nõuanne kasutada lühema suvaliste sümbolite jada asemel palju pikemat suvaliste sõnade jada, mis oleks nagu arvutile raskem murda, oli kasulik ainult nii kaua, kui paroolide murdmiseks kasutatav tarkvara polnud nendega arvestanud. Praeguseks kasutavad kõik popimad paroolimurdjad ka sõnastikke ning “My-Very-Secure-But-Long-Not-Random-Password” stiilis salasõnu ei loeta ka enam turvaliseks. Isegi juhuslike tähtede asendamine numbritega ei aita. Eestlasi aitab hetkel natuke see, et meid on nii vähe ja eesti keele sõnastikud pole paroolimurdjates veel levinud. Kuid nende sinna jõudmine on ainult aja küsimus.

Aegamööda tekkis kasutajatel teenuseid, kus parooliga ennast tuvastama peab, järjest juurde – e-poed, hobifoorumid, uudisteportaalid jne. Erinevatel andmetel on keskmisel internetikasutajal praeguseks üle 100 erineva konto. Sellist hulka erinevaid turvalisi paroole ei suuda muidugi enam keegi meeles pidada ning väljapääse on kaks – kas kirjutada salasõnad üles või neid taaskasutada. Paljud läksid muidugi kergema vastupanu teed ja valisid viimase. Heal juhul paar erinevat parooli erineva turvatasemega kontodele (olulistel üks parool, vähemolulistel teine), kehvemal juhul üks parool kõigile. Ega tegelikult saa seda neile ka väga pahaks panna, sest turvaeksperdid olid eelnevalt aastaid (aastakümneid?) korranud pidevat mantrat – „Paroole EI TOHI üles kirjutada!“.

Paroolide taaskasutamine pole ka muidugi kunagi väga hea idee olnud, kuid see on kasutajate enamuse jaoks toiminud – kuni nad pole sihitud rünnaku sihtmärgiks sattunud. Uued ajad on toonud aga uued probleemid. Nii, kuidas järjest rohkem infot on võrku liikunud, on kasvanud ka võimalused seda infot rahaks teha. IGA konto, ükskõik kui tähtsusetu see sulle ka ei tundu, on pahatahtlike kodanike jaoks ressurss, mida on võimalik kuidagi raha teenimiseks kasutada. Kui mitte muul moel, siis rämpspostituste tegemiseks ikka. See omakorda on tekitanud pahatahtlikes häkkerites enneolematu huvi kasutajate info teenuspakkujate juurest pihta panna – pahatihti ka väga edukalt [1]. Ka ei ole sellised lekked enam ammu teisejärguliste ja vähemtähtsate teenuste pärusmaa. Aja jooksul on kümnete miljonite kasutajate andmeid lekitanud Linkedin, Evernote, Dropbox, Ebay, Mail.ru, Yahoo ja paljud teised. Viimane suurem leke toimus täsikasvanute portaale haldavast firmast “Friend Finder Network”, kust lekkisid 412 miljoni kasutaja andmed, sh paroolid.

Kurjategijate peamine huvi on saada ükskõik mis teenusest kasutajate e-posti aadressid ja salasõnad. Kui teenusepakkuja on olnud väga lohakas ja hoiab paroole krüpteerimata kujul, on pahalase töö eriti kerge. Kui ettevaatusabinõud on tarvitusele võetud, on paroolid küll krüptitud, kuid nende lahti murdmine sõltub põhiliselt parooli turvalisusest. OK, saavad pahad parooli teada, mis nad selle infoga peale hakkavad? Nad kasutavad seda infot katseteks murda teisi teenuseid. Lihtsustatult – kui sul on lillekasvatajate foormis konto meiliaadressiga “kukununnu98@gmail.com” ja mille parooli kurjategija kätte saab, on loogiline samm katsetada selle sama infoga sisse logida Gmail’i, Facebook’i, teistesse foorumitesse jne Kui sa paroole taaskasutad, ongi sinu olulised kontod kaaperdatud. Kui läheb hästi, pääsed ehmatuse ja salasõnade vahetusega, kuid juhtumid, kus kurjategijad kasutavad kaaperdatud kontosid edasisteks pettusteks ning inimesed saavad olulist maine- ja rahalist kahju, pole sugugi harvad.

Lahendusi, kus kasutaja tuvastamine ei sõltu ainult ühest suhteliselt kergelt näpatavast salasõnast, on olemas küll – on riistvaralisel krüptograafial põhinevad lahendused (Eesti ID-kaart) ja on mitmeastmelisest autentimist kasutatavad lahendused. Ka Zone teenusportaalis saavad kasutajad ennast ID-kaardi või mobiil-ID abil tuvastada ning parooli kasutamise võimaluse üldse välja lülitada. Mitmeastmelisel autentimisel ei hakka ma lähemalt peatuma, sest RIA on oma blogis sellest pikalt kirjutanud [2] ning avaldanud ka juhised kuidas kaheastmelist tuvastus Gmailis [3] ja Facebookis [4] kasutusele võtta. Mitmeastmeline autentimine on praegu laialt saadaolevatest võimalustest parim kaitse kontode kaaperdamise vastu ning igaüks peaks seda võimalusel kasutama! Probleem on aga selles, et nendest sadadest teenustest, mida me iga päev kasutame, on mitmeastmelise autentimise kasutamine võimalik väga vähestel – minu aastate jooksul kogunenud ca 500-st kontost on sellised ainult 18. Seega kasutab rõhuv enamus kontosid kasutaja tuvastamiseks endiselt ainult salasõna. Miks?

Põhjuseid on päris palju, kuid olulisim sellest on kasutamise keerukus – nii teenusepakkujatele kui ka kasutajatele. IT arhitektide poolelt ma luban, et me oleme üle maailma juba joonestuslaudade taga ja kindlasti tuleme me välja paremate lahendustega, kuid me peame kuidagi ka sinnamaani hakkama saama. Kuidas on siis võimalik Internetis paroole kasutades ellu jääda? Erinevalt andmetel loetakse praegu turvaliseks juhuslikest sümbolitest salasõnu, mis on pikemad kui 16 sümbolit ning sama parooli kasutamine erinevates teenustes peaks olema täielikult välistatud. Kuidas need sajad paroolid meelde jätta? Ega see polegi võimalik ning lahendust pakuvad paroolihaldurid.

Paroolihaldur on tarkvara, mis hoiab kõiki su salasõnu krüpteeritud andmebaasis, mille kasutamiseks on vaja meeles pidada ainult üks (kuid siiski keeruline ja pikk!) salasõna. Moodsad paroolihaldurid abistavad sind kõiges, mis paroolide veebis kasutamist puudutab. Need aitavad sul turvalisi paroole genereerida, meeles pidada ning täidavad brauserite pluginate abil automaatselt sisselogimise vorme. Targemad paroolihaldurid tegelevad ka lekete info kogumisega ning hoiatavad kasutajat kui mõni nende parool on teenusepakkuja juurest Internetti lekkinud. Jah, paroolihaldurid pole ideaallahendus, need loovad omakorda uusi turvaprobleeme, kuid tõstavad latti siiski oluliselt kõrgemale ning on hetkel parim lahendus salasõnade kasutamiseks.

Ka paroolihaldurid on keerulisemad, kui üks laiatarbe turvalahendus olla võiks, kuid see pole raketiteadus – vähese õpetamise järel saavad kõik sellega hakkama. Kui te seda veel teinud pole, võtke kohe kasutusele LastPass [5] või mõni muu paroolihaldur (tundmatumaid asju soovitan siiski vältida). Tehke see selgeks endale ning õpetage ka abikaasale, lastele, vanematele ja sõpradele. Kuni IT-süsteemide arhitektid üle maailma parema süsteemi välja mõtlemiseks ajusid ragistavad, päästavad paroolihaldurid meid hullemast.

[1] http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
[2] https://blog.ria.ee/multiautentimisest/
[3] https://blog.ria.ee/kaheastmeline-autentimine-gmail/
[4] https://blog.ria.ee/kaheastmeline-autentimine-facebook/
[5] https://www.lastpass.com/