Veel kord paroolidest

Paroolidega on meil kõigil keerulised suhted. Läbi infosüsteemide on see olnud pidev võitlus kahe poole vahel – süsteemide administraatorid, kes üritavad kasutajatele turvalisemate paroolide kasutamist peale suruda; ning kasutajad, kes üritavad nendes reeglite rägastikus endale meeldejäävaid paroole tekitada.

Pole ime, et uudised sellest, kuidas paroolid tuleks juba ammu ajalukku saata ja kohe-kohe on lõpuks saabumas tehnoloogia, mis seda just teebki, leiavad laia kõlapinda. Praktikas pole asi muidugi nii lihtne.

Kasutajate poolelt on probleem eelkõige selles, et parool on oma ideelt väga lihtne asi – enamvähem kõik saavad selle toimimisest aru ja kõik oskavad seda kasutada. Teine probleem on tehniline, kuid olulisemgi – iga autentimismeetod sisaldab alati ka parooli komponenti ning parool on ainuke, mida saab kasutada iseseisvalt. Seose mitmeastmelise autentimisega tuleb kindlasti tuttav ette, et autentimisvahendid saab jagada kolmeks:

  • See, mida sa tead (parool)

  • See, mis sul on (telefon, krüptovõti, id-kaart)

  • See, mis sa oled (sõrmejälg, nägu, iiris jt biomeetrilised meetodid)

Kõige parem kaitse saavutatakse loomulikult siis, kui kasutusel on kõik kolm – juba ühe puudumisel süsteemi sisse logida ei saa. Selle, mis sul on, saab sult lihtsalt ära varastada või ka ainult korraks “laenata” ning selleks, et autentimisvahend kohe sellisena kasutatav poleks, kasutatakse pea alati ka parooli komponenti (nt Eesti ID-kaardil PIN-koodid). Biomeetriaga on lood veel keerulisemad – lisaks eelnevale (ka biomeetrilised andmed on varastatavad ja/või kopeeritavad) on neil ka vahetamise probleem. Kui telefoni ja krüptovõtme saame varguse korral välja vahetada, siis kuidas vahetada sõrmejälgi? Parool on seega asi, mida me niikuinii kasutame peame ning paljude süsteemide turvatase võimaldab seda endiselt kasutada ka iseseisvalt.

Liiga lihtne: selles paroolis puuduvad ilmselgelt suur- ja väiketäht ning number, lisaks on pikkust vaid 7 märki ja tegemist kunstiteosega (see parool võib esineda popkultuuri-sõnabaasis). Foto: Matthew Brodeur

Turvalisim viis on lasta paroolid genereerida arvutil ning hoida neid krüpteerituna paroolihalduris ning sellest olen ma juba mõni aeg tagasi siinsamas blogis kirjutanud. Kuigi turvalised, on paroolihaldurid endiselt suhteliselt vähe levinud ja inimesed eelistavad oma paari parooli paremal juhul meeles pidada, halvemal juhul lihtsalt paberile üles kirjutada. Aga vaatame siis asja teisest küljest – mida saavad teha infosüsteemide omanikud, et kasutajad käiksid paroolidega turvalisemalt ümber? Kas me oleme seni teinud oma parima, et kasutajad saaksid turvalise(ma)lt käituda?

2016 aastal avaldas NIST (National Institute of Standards and Technology) dokumendi koodiga 800-63B, mis sisaldab uusi USA riigiasutustele (teoreetiliselt) kohustuslikke reegleid infosüsteemide autentimise haldamiseks ning mis tekitas turvamaailmas kerge maavärina. Kuigi uudisekünnis sai vähemalt hetkeks ületatud, polnud selle sisus tegelikult midagi uut – see muutis lihtsalt väga ametlikuks selle, millest mõned turvaeksperdid juba aastaid olid rääkinud. Lühidalt võib dokumendi sisu võtta kokku nelja punkti.

  • Paroolide regulaarse vahetamise nõue on minevik. Mitmed tehtud uuringud on üheselt näidanud, et see mitte ei suurenda vaid hoopis vähendab paroolide turvalisust. Paroole peab vahetama ainult siis, kui on kahtlus, et parool on lekkinud.

Kasutajad leiavad parooli vahetamise nõudele rahuldamiseks kõige efektiivsema lahenduse.
  • Samamoodi on minevik paroolide keerukuse nõuded (peab sisaldama suur- ja väiketähti, numbreid ja erimärke). Täpselt samuti nagu paroolide regulaarne vahetamine, on seegi nõue tegelikult turvalisust hoopis vähendanud.

  • Paroolide kunstliku keerukuse asemel väärtustatakse paroolide pikkust – minimaalne lubatud pikkus peab olema vähemalt 8 sümbolit, maksimaalne lubatud pikkus vähemalt 64 sümbolit. Ning selleks, et kasutaja saaks enda jaoks mõistlikke, kuid ründaja jaoks keerulisi paroole kasutada, ei tohi olla olla ebamõistlikke piiranguid sümbolitele paroolis. Jah, ka tühikud ja isegi Unicode võiks olla OK.

  • Kohustus veenduda, et kasutajad ei kasutaks levinud ja ebaturvalisi paroole, lasub infosüsteemide omanikel. Eelkõige peab infosüsteem veenduma, et parooliks poleks üksikud sõnad sõnastikust (minimaalse lisaga, nt üks number), neid poleks lekkinud paroolide baasides ning parool ei sisaldaks kasutajanime ega korduvaid mustreid.

Populaarsed salasõnad, kultuurilised viited ja mugavad klahvijärjestused on esimesed, mida sissetungijad kasutada proovivad.

Kui nüüd natuke järele mõelda, ei ole selles midagi tervele mõistusele vastu käivat, kuid formaalselt on tegemist päris korraliku pöördega.

Esiteks ei toetuta paroolireeglite loomisel ainult loogikale ja kõhutundele vaid need toetuvad reaalsetele uuringutulemustele. Me võime küll arvata, et mingi reegel muudab me süsteemid turvalisemaks, aga kuidas on lood tegelikult?

Teiseks liigutab dokument olulise osa paroolidega seotud vastutusest kasutajalt infosüsteemide omanikele. Kuigi reaalsus on alati kompromiss turvalisuse ja kasutusmugavuse vahel, ei tähenda see seda, et me ei peaks kasutama võimalusi neid teineteisele lähemale toomiseks. Parool Karuvanaema tagumik on pärast 3. siilile istumist väga valus, on nii mugavam kasutajal meelde jätta kui ka turvalisem kui gT7ylak.0p – win-win situatsioon.

Samuti on väga oluline nihe panna seal, kus see tehniliselt võimalik on, paroolide turvalisuse eest vastutama infosüsteemide omanikud. Võrreldes seni domineerinud “kõik oleks turvaline, kui kasutajad käituks nii” suhtumisega on see suur muutus. Kui mingi probleemi lahendamiseks on tehnilised meetmed olemas, ei ole nende mitte rakendamiseks ning vastutuse kasutajatele lükkamiseks mitte mingit vabandust.

Kui nüüd kellelgi tekib (õigustatud) küsimus, et mis siis vahepeal muutunud on, et reeglid sellise pöörde tegid, on õige vastus – mitte midagi. Mees, tänu kellele me paroolide regulaarse vahetamise ja keerukusnõuete reegli all kannatanud oleme, tunnistas eelmisel aastal intervjuus, et see oli viga isegi 15 aastat tagasi.

Ka Zone vaatas eelmisel aastal kõige selle valguses paroolidele kehtestatud reeglid üle. Paroolide regulaarset vahetamist pole me küll kunagi nõudnud, kuid suur- ja väiketähtede jms reeglid on meie nõuetest kadunud ning pikad paroolid igasuguste sümbolitega lubatud. Seda kõikvõimalike sümbolite lubatavust ei maksa muidugi uisapäisa kasutama tormata. Näiteks klienditarkvara ei pruugi olla nii liberaalne kui Zone ning võib tema jaoks kahtlaseid sümboleid paroolis lihtsalt ignoreerida.

Samuti ei luba me parooli vahetades uues paroolis kasutada levinud paroolimustreid ja kasutajanime. Neist viimane halb harjumus tekitab reaalseid probleeme ka Zone kasutajatele ning Ardi on kirjutanud sellest ka meie blogis.

Vaatamata sellele, et info on avalik olnud juba mõnda aega, leiab ka Eestis suurel hulgal infosüsteeme, kus paroolid peavad endiselt olema nt 8-16 sümboliga, neil on keerulised keerukusnõueded ning neid tuleb iga kuu aja tagant vahetada. Sarnaseid nõudeid leiab endiselt turvapoliitikastest ja koolitusmaterjalidest ning sellest räägivad turvaeksperdid ajakirjanduses.

Kui ka sinu töökoha või kooli infosüsteemis endiselt sellised nõuded kehtivad, anna selle haldajale märku – viita sellele artiklile või palu guugeldada “NIST passwords 2016”. Aitame selle turvateatri lõpetada ning meie infosüsteeme ka tegelikult turvalisemaks muuta.

Üks mõte “Veel kord paroolidest” kohta

Kommenteerimine on suletud