Kuidas luua tugev parool, mida sa ka päriselt mäletad?

Taktikaline vaade
Written By Roland Puiestik

Mis siis tegelikult on tugev parool? Näiteks parool mis sisaldab ühte suurtähte, numbrit, sümbolit, fööniksi pisarat ja on vähemalt 128 tähemärki pikk. Aga see ei ole hea parool. Vanakooli tarkus kahjuks just midagi taolist soovitab.

Enamik sellest vanast nõuandest loob tegelikult nõrgemaid turvatavasid, sest see sunnib meid kasutama lihtsasti ennustatavaid mustreid (nagu S@ladus123!) ja looma paroole mille saatus on saada kleepsudeks monitori serval.

Selles artiklis lükkan ümber vanad müüdid ja õpetan teile lihtsa, ajurakkude sõbraliku ja kordades turvalisema meetodi paroolide loomiseks. Ja neile, kes tahavad teada, miks see meetod töötab, olen lisanud ka tehnilise osa, mis näitab, kuidas arvutid tegelikult paroole murravad.

 
 

Mis teeb paroolist tugeva parooli?

Lühike vastus: pikkus ja ettearvamatus. Harva üritavad pahalsed teie parooli ära arvata. Nad kasutavad automatiseeritud programme, mis proovivad läbi miljoneid kombinatsioone minutis. Lühike ja keeruline parool on arvutiprogrammi jaoks lihtne saak. Pikk ja lihtne parool on aga peaaegu murdmatu. Kogu saladus peitub matemaatilises kontseptsioonis, mida nimetatakse entroopiaks ja rünnaku meetodites.

  • Parooli entroopia ehk selle äraarvamise keerukus arvutatakse valemiga log₂(R^L), kus R on kasutatavate märkide arvu kogum (nt tähestiku suurus) ja L on parooli pikkus.

    Parooli keerukust väljendatakse “bitti entroopiat” tulemusega.

    Näiteks parooli “P@r00l!” entroopia on madal, 46,7 bitti entroopiat (kui täpne olla siis Shannon valemi bitti entroopiat arvestades, et R=102). Kuigi see kasutab erinevaid märke, on selle pikkus vaid 7 tähemärki ja see põhineb levinud sõnal. Arvuti, mis teab levinud asendusi (a -> @, o -> 0), murrab selle lahti sekunditega.

    Paroolifraasi diivan-aku-porgand entroopia on astronoomiliselt kõrgem ehk 108,8 bitti entroopiat.

    Isegi kui kasutame ainult väiketähti (R=26) ja sümboleid (R=40), on pikkus 18 (koos sidekriipsudega R=66). Selle lahtimurdmiseks kuluks tavalisel arvutil üle miljardi aasta võrreldes meie eelmise parooliga mis võtaks ainult natukene üle nädala.

    NB! Kui nädal tundub pikk aeg siis meenutan, et see on tavalisel koduarvutil. Kui võtame näiteks superarvuti siis:

    • P@r00l! lahtimurdmine võtab alla sekundi

    • diivan-aku-porgand lahtimurdmine võtab aga üle miljoni aasta aega.

    Seega, pikkus võidab pea alati keerukuse.

    PS! Miks pea alati? Sest me eeldame, et kasutatakse tavalist brute-force meetodit kus arvuti arvab iga tähte järjest. Kui aga kasutatakse dictionary-attack meetodit siis muutub olukord koheselt ning ka diivan-aku-porgand muutub ebaturvaliseks. Enamus ründajaid kasutavad mitut taktikat korraga. Seega kontekst on oluline. Ainuke lõplik kaitse on ikkagi kas paroolihaldurit kasutada või midagi peale parooli veel kasutada. Alati saab luua ka parooli mis on 128 suvalist tähemärki ja sümbolit reas. Aga ma lubasin ajurakkude sõbralikku lahendust.

Parooli pikkuse häda seisneb aga faktis, et see ei kipu meelde jääma. Paroolid mis ei ole meeles need pannakse kirja ja kontori olukorras tähendab see, et kas monitori küljes on märkmepaber või klaviatuuri all on väike meenutus parooliga. See lähenemine aga jääb täielikult lootma, et nii kolleegid kui külalised ja näiteks teenusepakkujad kes kontoris käivad ei kuritarvita seda informatsiooni millele neil nüüd vaba ligipääs on. Seda võib juhtuda ka kogemata ja tahtmatult.

Veel aastal 2024 oli juhtum kus suutsin kliendi kontori wifisse logida nende salajase parooli kaudu, et tõestada nende infoturbe meetmete nõrkust. Nimelt oli ettevõtte turundusjuht jaganud toredat kontoriürituse pildiseeriat Facebookis kust oli võimalik mitme pildi peale kokku näha tervet lehte mis oli seinale kleebitud koos kontori WiFi parooliga.

Loo moraal? Kui ei kasuta paroolihaldurit siis ole kindel, et su parool oleks meeldejääv!

 

Lahendus = paroolifraas

Kõige parem viis luua pikk ja ettearvamatu parool, mida on samas lihtne meeles pidada, on kasutada paroolifraasi. See on mitmest sõnast koosnev lause või fraas. Entroopia suurendamiseks võite kasutada sümboleid aga keskenduge pikkusele.

Mõned head näited, mis on kergesti meeldejäävad ja äärmiselt turvalised:

  • MinuHobuneOn100%ToriHobune

  • MinuSkodaVõtab+-6liitrit/sajale

  • Kolm-lihtsat-sõna+sümbolid&numbrid

Need on pikad, unikaalsed ja kergesti trükitavad. Need on head paroolid teie kõige olulisemate kontode jaoks, näiteks teie arvuti või paroolihalduri peaparooliks.

NB! Palun ärge kasutage ühtki siinolevat näidet copy-paste meetodil. Need muutuvad muidu jube ruttu esimesteks paroolideks mida pahalased proovima hakkavad.

Miks paroolide roteerimine on halb mõte (ja mida selle asemel teha)?

Paljud ettevõtted sunnivad siiani töötajaid oma paroole iga 90 päeva tagant vahetama. See on iganenud praktika, mida tänapäeva turvaeksperdid enam ei soovita. Sundides inimesi pidevalt paroole vahetama, julgustame neid looma väikeseid ja ennustatavaid muudatusi (nt Saladus2024! muutub Saladus2025!), mis teeb ründajate töö lihtsamaks mitte keerulisemaks. Juhul kui ka on peale pandud parooli keerukuse kontroll siis on olukord veel hullem. Sunnitakse töötajaid looma paroole mis ei jää mitte kunagi meelde ja lõppevad seetõttu kirjapanduna kuskil arvuti vahetus läheduses.

Palju turvalisem lähenemine on ühtlasi ka palju lihtsam: seal kus paroolihaldurit ei ole võimalik kasutada, kasutage tugevat ja unikaalset paroolifraasi mis ka meelde jääb.

 

Paroolide korduvkasutamine

Kõige suurem viga, mida saate teha, on kasutada sama parooli mitmes erinevas teenuses. Kui üks nendest teenustest (nt suvaline foorum või e-pood) langeb andmelekke ohvriks, proovivad kurjategijad teie lekkinud e-maili ja parooli kombinatsiooni kõikides teistes suurtes teenustes (teie GMAIL, Facebook, internetipank jne).

Tänapäeval turvalised keskkonnad ei ole ehitatud enam ainult turvalistele paroolidele lootes. Lõppkokkuvõttes, isegi kui teie parool lekib, ei tohiks see olla katastroof, kui teil on paigas teised kaitsekihid nagu mitmeastmeline autentimine (MFA). Mõned süsteemid liiguvad isegi paroolivaba tuleviku suunas, kasutades sisselogimiseks näiteks biomeetriat või "maagilisi linke", mis saadetakse teie e-mailile.

 

Paroolihaldurid ja füüsilised märkmikud

On inimlikult võimatu pidada meeles 50 erinevat unikaalset paroolifraasi. Selle mure lahendamiseks ongi meil paroolihaldurid.

  • Paroolihaldurid: See on parim lahendus enamiku inimeste ja eriti ettevõtete jaoks. Paroolihaldur on nagu digitaalne seif, mis genereerib ja hoiustab teie eest kõikide teenuste jaoks unikaalsed ja keerukad paroolid. Teie peate meeles pidama ainult ühte tugevat peaparooli. Te ei pea alustama tasulise lahendusega. Isegi teie veebibrauserisse (nagu Google Chrome või Safari) sisse ehitatud paroolihaldur on kordades parem kui paroolide korduvkasutamine.

  • Füüsiline märkmik: Jah, te lugesite õigesti. Mõnes kontekstis on füüsiline märkmik suurepärane lahendus. Teie vanaema jaoks, kes kasutab vaid paari veebiteenust (nt internetipank), on paroolide kirjutamine märkmikusse, mida hoitakse turvaliselt kodus, kordades turvalisem kui lihtsate ja korduvkasutatavate paroolide kasutamine. Kontekst on kõige olulisem.

 

Tegelik kaitse: MFA ja paroolivaba tulevik

Mitmeastmeline autentimine (MFA) on teie ülim kaitsekiht. See tähendab, et isegi kui varas saab teie parooli teada, ei pääse ta teie kontole sisse ilma teise tegurita – näiteks koodita teie telefonist. Lülitage MFA sisse kõikjal, kus see on võimalik. Alustamiseks sobivad suurepäraselt tasuta rakendused nagu Google Authenticator või Authy. Lisaturvalisuse jaoks võite kasutada FIDO2 krüptovõtit nagu näiteks YubiKey.

Lisaks võtke kasutusele paroolihaldur. Modernsed paroolihaldurid lubavad jagada paroole töötajatega ilma, et nad eales parooli ennast näeks. Nad lihtsalt logitakse sisse. Lisaks võimaldavad mõningad paroolihaldurid automaatseid paroolivahetusi ehk võid paroole muuta kasvõi kord tunnis ilma, et ise ühtegi lisa sammu tegema peaksid või midagi meelde jätma.

Viimaks, vaadake kas teie keskkond mida kasutate võimaldab passwordless autentimist. Siinkohal saate kasutusele võtta näiteks näpujälje lugeja mis on näiteks igal Mac arvutil kohe olemas või juba varem mainitud krüptovõtme. See lihtsustab logimist ja tõstab turvalisust.

Tehnilise kõrvalpõikena ka meenutan, et paljud keskkonnad lubavad teostada “konteksti põhist autentimist”. Ehk teilt küsitakse logimist või krüptovõtit või parooli alles siis kui kahtlus tekib, et arvutit kasutab keegi teine. See kuidas selle kahtluseni jõutakse on sisuliselt maagia aga lihtsustatud kujul kontrollitakse pidevalt taustal kuidas hiir liigub, kui kiiresti trükitakse klaveril ja palju kirjavigu tekitatakse, kus võrgus masin asub, mis riigis ta on ja palju muid telemeetrilisi detaile. Aga antud artikli jaoks on see juba liiga sügavale minek nii, et kui hakkas huvi pakkuma siis võtke julgelt ühendust.

 

Unustage vanad reeglid. Moodne ja turvaline paroolistrateegia on lihtne:

  1. Kasutage oma kõige olulisemate kontode jaoks pikki ja meeldejäävaid paroolifraase.

  2. Laske paroolihalduril luua ja meeles pidada unikaalsed paroolid kõikide teiste teenuste jaoks.

  3. Kaitske kõik oma kontod MFA-ga.

See on kõige efektiivsem ja ühtlasi ka lihtsam lähenemine, mis tagab teile meelerahu ja reaalse turvalisuse ilma suurte toodete ja teenuste hinnalipikuteta.

Roland Puiestik
Next

10 küberturbe parimat praktikat, mis tagavad 80% kaitsest