Iga 70-s tutvumisportaali konto sissemurtav parooliga “123456”

B. Schneier teatab: Saksa tutvusmislehekülje 100 000 kasutajakonto salasõnade analüüs näitas, et 1.4% kasutajatest on oma parooliks määranud “123456”. 2.5% salasõnadest algab kombinatsiooniga 1234.

Arvutikaitse guru Schneier kommenteerib lakooniliselt: “Huvitav.”

Arvutikaitse.ee soovitab korralike salasõnade väljamõtlemist ja meeldejätmist õppida siit

90% inimesi läheb paroolipüügi õnge

Hiljutise uuringu tulemused näitavad, et hea paroolipüügi petukirja (phishing) ohvriks langeb 90% inimesi, sealhulgas vilunud arvutispetsialistid.

“Miks paroolipüük toimib” on hiljutine uurimus petukirjade ja -veebisaitide kohta. Visuaalselt kõige petlikumad petusaidid võtsid õnge lausa 90% uurimuses osalejatest, seejuures said petta ka arvutispetsialistid. Otsustavaks osutus mitte tehniliste turvameetmete järgitegemine (näiteks turvalist ühendust tähistava luku manamine internetisirvija vastavasse aknasse), vaid lehekülje üleüldine välimus.

Kokkuvõtlikult – kui sa ei näe mingit asja sageli, siis sa ei pane seda tähele. Seda inimaju eripära kasutavad petturid targalt ära ning teavad hästi, et kui petulehekülg näeb välja umbes nagu pärislehekülg, siis tõenäoliselt ei pane ohver väikeseid muutusi tähele – ta on otsustanud, et sattub pärislehele ning ei pane nö vasturääkivaid detaile lihtsalt tähele.

Mida siin soovitada? Eks ikka seda, et kui harjunud pangalehekülg hakkab järsku küsima midagi muud kui ta seni on teinud, on asi kahtlane. Näiteks Hansapanga internetipank küsib alguses kasutajatunnust ja püsiparooli ning siis ühte numbrit koodikaardilt. Kui aga ühel päeval küsitakse kõiki koodikaardi koode, siis on tegu pettusega.

F-Secure’i spetsialistid soovitavad, et internetipangad võiksid lasta kasutajatel kaunistada oma pangalehekülgi millegi isiklikuga – näiteks lemmik-jalgpallimeeskonna logo või oma tüdruksõbra pildiga. See oleks midagi sellist, mille puudumist paneks inimene kohe tähele ning mis võiks juhtida ta tähelepanu sellele, et võib olla sattunud petuleheküljele.

Paroolid jätkuvalt kleepsuga monitori küljes

Massachusettsis asuv IT konsultatsioonifirma Nucleus Research väidab oma uurimises, et iga kolmas arvutit kasutav töötaja kirjutab oma paroolid lihtsalt paberile. Seega on arvutivõrkude paroolipoliitika kõige nõrgemaks kohaks mitte paroolide lihtsus ning nende vahetamise ebapiisav sagedus, vaid inimesed, kes neid paroole kasutama peavad.

Nucleus Research’i hinnangul võib kasutajate harimine küll mõnevõrra vähendada inimfaktorist tingitud turvariski , kuid tõhusamaks juurdepääsuõiguste kontrolliks tuleks kasutada midagi muud peale paroolide, näiteks biomeetrilist isikutuvastust.

Arvutikaitse.ee arvates on ka biomeetrial omad turvariskid – puhtmehaanilisel sõrmejälje või silma võrkkestakujutise lugemisel võib olla nõrgalt tagatud, et autenditav ikka tõepoolest füüsiliselt kohal viibib ja oma vaba tahet väljendab. Meie hinnangul on hetkel turvalisimaks elektrooniliseks autentimisvahendiks ID kaart.

Nucleus research küsitles 325-t arvutikasutajat ning jõudis järeldusele, et paroolide lihtsus või keerukus ning nende vahetamise sagedus või vahetamise nõude puudumine ei mõjuta suuresti lõppkasutaja käitumist: üks töötaja kolmest kipub oma parooli paberile kirjutama ka siis, kui see on suhteliselt lihtne ning selle vahetamist ei nõuta. Üleskirjutamise sagedust ei mõjuta eriti ka vajadus meeles pidada mitut salasõna.

Salasõna üleskirjutamise põhjus on lihtne: inimesed kardavad, et neil ei püsi see meeles, ega oska leida paremat moodust salasõna säilitamiseks. 70% kasutajatest vajab kord aastas IT abi, et taastada ununenud salasõna, 16% vajab niisugust abi kaks või kolm korda aastas, 9% kuni viis korda aastas ning 5% rohkem kui viis korda aastas.

Arvutikaitse.ee soovitab salasõnade meelespidamiseks kasutada mõnd spetsiaalset salasõnade haldamise programmi, näiteks Password Agent’i. See aitab vajaduse korral koostada piisavalt keerulisi salasõnu, säilitab neid krüpteeritud kujul arvutikettal või mõnel muul andmekandjal ning vajab vaid üht salasõna kõigile ülejäänutele ligipääsemiseks. Seda salasõna ei maksaks siis muidugi jälle mõnele paberilehele üles kirjutada.

Password Agent’i saab alla laadida siit, kodukasutajale on see tasuta.

Turvaline ja lihtne salasõna

 

pass.jpg Murdmiskindla salasõna meeldejätmine tundub võimatu ülesandena. Võtkem näiteks “r55ttttAr” – väga turvaline ja oi kui keeruline. Kuid allpool kirjeldame, kuidas on võimalik samsuguseid keerulisi salasõnu lausa iga netisaidi jaoks eraldi välja mõelda ning neid kõiki vabalt meeles pidada.
Alustuseks heitkem pilk sellele, mis nõetele peaks vastama hea salasõna:

  1. sisaldab nii suur- kui väiketähti;
  2. sisaldab numbreid või kirjavahemärke;
  3. on vähemalt 8 märki pikk;
  4. ei sisalda sinu ega sinu lähedaste nimesid, sünnipäevi vms;
  5. ei sisalda sõnastikus leiduvaid sõnu.

Tegelikult on see imelihtne!

Salasõna esimene pool “r55ttt” tähendab: “Rong 5ee 5õitis Tsuhh Tsuhh Tsuhh” (S-d on asendatud numbritega 5). Aju on ehitatud nii, et kergem on meelde jätta rohkem infot kui vähem, nii paradoksaalne kui see ka ei oleks. Paremini jääb meelde terve laulusalm koos seostega kui üks imelik täheühend.

Salasõna teine pool “tAr” on sõna “rate” 3 esimest tähte tagurpidi, kusjuures eelviimane on suurtäht. Tegu on nimelt rate.ee kontol kasutamiseks mõeldud salasõnaga.

Internetipangas võib kasutada parooli “pP0rjkNa” – “Piilu Part 0li Rongi Juht” + sõna “pank” 3 viimast tähte tagurpidi. Seejuures paned ehk tähele, et meie parooli nii eest- kui tagantpoolt teine täht on suurtäht ning “o”? asemel kasutame numbrit “0”.

Nagu näed, oleme tekitanud omaenda turvalise salasõna meetodi, mis kõlab nii:

  1. salasõna esimene pool on laulusalmi sõnade esitähed;
  2. salasõna teine pool on internetisaidi 3 viimast tähte tagurpidi;
  3. “0″ asemel kasutame numbrit 0, “s” asemel numbrit 5;
  4. salasõna eest- ja tagantpoolt teine täht on suurtähed.

“Legendaarne”

Sina ei pea kasutama laulusalme või netisaidi viimaseid tähti tagurpidi. Mõtle välja midagi täiesti isiklikku.

Näiteks võid koostada salasõna järgmiselt: lemmikräppari nimi tagurpidi, millesse on segatud isikukoodi 4 viimast numbrit, ning viimane täht on suur, näiteks:
c2a6p2u7T

Kui kasutad seda arvutis, kus kahtlustad klahvilogija olemasolu, siis võid muuta salasõna ümber:
a2k6n2e7G

Niisiis – lase fantaasial vabalt lennata! Selliste keeruliste salasõnade sisestamine võtab esimestel kordadel pisut rohkem aega – pead mõtlema “Tupac… kuidas see ongi tagurpidi – tsee, aaa…”. Kuid juba mõne korraga kulub uus turvaline salasõna pähe.

Kuidas mitte sattuda paroolipüügi-pettuse ohvriks?

Paroolipüük ehk phishing on üks levinumatest tavakasutajatele suunatud rünnetest. Oskuslikult kujundatud petu-e-kirjadega saadakse ohvrilt kätte tema kasutajanimesid ja salasõnasid ning tulemuseks võib olla igasuguseid jamasid alates kadunud privaatsusest ja sõprade e-posti-aadressite rämpspostitajatele lekkimisest kuni tõsiste finantsikahjudeni. Järgnevalt vaatame põhireegleid, kuidas pettuse ohvriks sattumist vältida.
1. Ära logi sisse ühelegi leheküljele, millele oled sattunud e-kirjas olevat linki vajutades. Selle asemel sisesta lehekülje aadress ise internetisirvija asukohareale.Paljud petukirjad toimivad sel moel, et sisaldavad endas linki ehk viidet mõne teenusepakkuja (näiteks panga) lehele, kus küsitakse sisse logimiseks vajalikke andmeid (kasutajanimi, parool, koodikaardi andmed jms). Kuigi selliste linkide saatmine e-kirjaga on halb turvapraktika, kasutavad seda siiski paljud lugupeetud firmad, näiteks eBay.

2. Võta kaine mõistus appi – Kui midagi pakutakse ülisoodsalt, on tõenäoliselt tegu pettusega.

Näide: Lehekülg X palub sul sisestada oma rate.ee kasutajanimi ja parooli, et panna kasutajale Z 10 punkti. TASUTA! Tegelikkuses saadakse kätte sinu kasutajanimi ja parool, parimal juhul tehakse sinu üle pisut nalja.