Kuidas end hulluks ajamata mõelda välja tugev parool?
25. juuli 2013, 12:42
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Turvatarkvara tootja Eset jagab internetikasutajatele nõuandeid, kuidas luua erinevates veebikeskkondades kontot avades turvaline ja kindel parool.
Paljud saidid ei lase kasutajatel kontot luua enne, kui nad on loonud sobivalt «tugeva» parooli, mida mõõdetakse tihti tekstilippudega saitidel, mis kirjeldavad paroole «nõrkade» või «tugevatena» tippimise ajal.
Sellist tüüpi süsteem ahvatleb kasutajaid langema mitmetesse lõksudesse nagu numbrite ja sümbolite lisamine paroolide lõppu, mis muudab need lihtsalt meeldejäävaks, ent samas ka palju lihtsamalt häkitavaks.
Õnneks on mõned trikid selliste meeldejäävate paroolide loomiseks, mis vähemalt aeglustavad küberkriminaale ning annavad teile seega aega oma kontode lähtestamiseks, kui krüptitud paroolide loend lekib andmete kuritarvitamise käigus.
Kaaluge võimalust kasutada fraase, mitte sõnu!
Ühe ingliskeelse sõna kasutamine paroolina on uskumatult ebaturvaline – see on lihtne saak «sõnastikurünnetele», mida küberkriminaalid kasutavad paroolide ära arvamiseks. Heaks esimeseks sammuks on pelgalt rohkemate sõnade lisamine: näiteks parooli «draakon» asemel parooli «draakononväsinud» kasutamine.
«Sellest on abi teatud punktini,» ütles Eseti vanemteadustöötaja David Harley. «Pikkusest on kasu, ent salafraasi äraarvatavust võidakse alahinnata. Sõnastikud võivad sisaldada sageli kasutatud fraase niisama lihtsalt, nagu need sisaldavad üksikuid sõnu, ja tühik on vaid üks tärkidest ning sõnadevahelise eraldaja otsimine on tegelikult dekrüptimistehnika. Küll aga on kasu salafraasi kasutamisest kombineeritult muude tehnikatega nagu vaheldamine, tärkide asendused, erimärgid jne.»
Matemaatika võib olla sõber!
Saidid, mis nõuavad erimärkide nagu «!» kasutamist parooli osana, viivad tihti selleni, et kasutajad lisavad erimärgi parooli ehk salasõna lõppu. See muudab taas küberkriminaalide töö lihtsamaks. Harley ütles: «See kehtib ka juhul, kui sait kohustab teid parooli perioodiliselt muutma, ent lubab teil seda teha numbrit lõppu lisades. See on parooli kräkkimise elementaartõde.»
Matemaatilisi valemeid kasutades, kus märgid tähendavad midagi, saab luua meeldejäävaid ja turvalisi paroole. Miski nagu «1sada+5=Kolmsada» on turvalisuse tagamiseks piisavalt pikk, sisaldab kenakest tärkide valikut ning vale vastus on piisavalt rumal, et see oleks meeldejääv. Nende sümbolite lausetes kasutamine toimib niisama hästi.
Suurus on tähtis!
Suurus on keerukusest tähtsam eeldusel, et te ei kasuta vaid üht pikka sõna. Mitmest elemendist koosnevad pikad paroolid on lühikestest turvalisemad. Lühikest lauset nagu «õnnonhea« on väga raske ära arvata, kuna võimalusi on 1 677 259 342 285 730 000 000 ning seda vaid 15-märgise väiketähtedest parooli puhul. Ühe numbri või erimärgi lisamine muudab kriminaalide töö veelgi raskemaks. «Kui täiendate seda muude tehnikatega, siis saate pikendada selle kräkkimiseks kuluvat aega,» kommenteeris Harley.
Ärge kasutage sõnu küberkriminaalide sõnastikust!
Küberkriminaalid kasutavad tüüpiliselt «sõnastikurünnet», mistõttu on võtmeks nende elu raskeks tegemisel kõige «sõnastikus» leiduva vältimine. See hõlmab tavaliselt mis tahes ingliskeelset sõna või ka mis tahes üksikut sõna muudes keeltes.
Ärge kasutage oma nime ühtki osa!
Kriminaalide kasutatavad programmid otsivad ka teie nime osi või kasutajanime taaskasutamist paroolis. See on üks esimesi asju, mida parooli kräkkija (inimene või masin) otsib, kui püüab parooli ära arvata.
Ärge kasutage kodulinna nime!
Hoolimata sellest, kas küberkriminaalid omavad «teadmisi» teie kohta, näiteks teie Facebooki lehelt, või mitte, siis kohanimesid on lihtne ära arvata. Näiteks juhul, kui elate Tallinnas, siis ei ole «Tallinn» kindlasti hea paroolivalik. Sõnastikurünnetes kasutatud sõnaloendid sisaldavad suure tõenäosusega tavalisi kohanimesid.
Ärge kasutage televisioonist pärit «meelepäraseid» või «vastumeelseid» tegelasi!
Sõnastikuründed hõlmavad tavaliselt laulupealkirju, raamatute pealkirju, multifilmitegelaste nimesid jne – ning pole mingit tähtsust sellel, kui ainulaadseks te oma maitset peate. Eeskätt ei ole soovitavad veidrad viited nagu «Superman» või «Gandalf», mis kerkivad korrapäraselt esile kõikide aegade kõige ülekasutatumate paroolide loendites.
Elementide segamine
Numbreid ja lauseid omavahel segades võib saada turvalisi paroole isegi juhul, kui «rikute reegleid» ja kasutate isikuandmeid. Kuigi me oleme püüdnud hoida ära lihtsalt meeldejäävate ja ka lihtsalt äraarvatavate sõnade nagu koera nime või sünnipäeva kasutamist, siis saate neid ikka ohutult kasutada, kui teete seda nutikalt.
«Roverloves 2 run» (ehk Rover armastab joosta: tähtis on pöörata tähelepanu sihilikele kirjavigadele ingliskeelses originaalparoolis!) on hea parool. «On 4/17/60 I enteredthe world» (ehk sündisin siia maailma 4/17/60: tähtis on pöörata tähelepanu sihilikele kirjavigadele ingliskeelses originaalparoolis!) on kellegi sünnipäeva sisaldav väga tugev parool!
Kasutage võltsisikuandmeid!
«Veel parem on kasutada võltsisikuandmeid eeldusel, et teete seda järjekindlalt,» ütles Harley. «On inimesi, kes pooldavad ja propageerivad võltsandmete kasutamist sotsiaalmeedia saitidel, kui vähegi võimalik ja sobiv ja seaduslik ning see on seotud teema: kui esineb oht, et keegi, kellel on teie kohta piisavalt infot, võtab konkreetselt teid sihikule, siis on tõenäoline, et ta kasutab sotsiaalmeediat vastava info kogumiseks. Ent kui te kasutate samu võltsandmeid sotsiaalmeedia jaoks ja parooli mnemoonika jaoks, siis ei oma see kriminaali jaoks mingit tähtsust, et tegemist on võltsandmetega: need on talle ikka väga kasulikud.»