Paroolid
Internetis, ja ka veidi laiemalt arvutite- ja nutitehnoloogiamaailmas, räägitakse päris palju (aga võib-olla piisavalt ei räägita seda õigele sihtgrupile), et kui tähtis on arvutiparoolide õigesti kasutamine.
Minu jaoks silmiavav oli see koomiks, mis seletab, et kuidas meile alati paroolide loomisel selgitatud juhendid on natuke vale viis turvalise parooli valimisel. Et sõna eri tähtede peitmine nendele sarnaste sümbolite taha ei tee arvutile "arvamist" palju keerulisemaks. Aga lisades mitu mitteseonduvat sõna kokku, muutub juba parooli pikkuse tõttu rünne väga keeruliseks (vt koomiksit). Ma leidsin ka kellegi kaaluka vastuargumendi, mis selgitas, et kui kõikides veebikeskkondades teha sellised erinevad (nagu ju soovitatakse), aga ebaloogiliselt seonduvad laused paroolideks, siis nende meeldejätmine muutub palju kiiremini raskesti hoomatavaks. Ise olen kasutanud veel sellist võimalust, et loon mingi lause, mis mulle hästi meelde jääb, aga oleks raske huupi ära arvata, ja selle lause sõnade esitähtedest moodustan parooli. Nt lause "ma armastan Katrinit" paroolivaste oleks "maK", mis muidugi ei sobi pikkuse pärast ühekski parooliks, aga niimoodi saab genereerida päris lihtsalt päris raskesti "äraaimatavaid" paroole.
Kindlasti ei tohiks paroole kirjutada kuhugi üles ja panna rahakotti vahele (tean mõnda sellist inimest lähedalt).
Tehnoloogia
Pikka aega on juba olemas olnud, ja minu arust viimasel ajal ka üha enam reklaamitud, sellised abivahendid nagu paroolihaldurid. Need hoiustavad sinu erinevate kasutajate paroole. Kui lasta halduril ka parool sulle ise genereerida, siis saaksid vastuseks arvatavasti tähe-numbri-märgikombinatsiooni, mida ise eales meeles ei suudaks hoida, aga samuti on arvutitel pea võimatu ära arvata. Siin oleks kasulik pidada meeles, et paroolihalduri parooli pead ikka ise meelde jätma ja see võiks siis olla turvaline (aga ka meeldejääv) parool.
Kindlasti ei saa mainimata jätta ka kaheastmelist autentimist. Selles osas on muidugi riigina esirinnas meie Eesti e-riik ID-kaardi abil autentimisega. Selle puhul on üks aste PIN-kood (on meeles) ja teine ID-kaart (on olemas). Sarnase põhimõttega on Smart-ID ja Google Autheticator jm sarnased äppid, kus lisaks oma parooli või PIN-koodiga sisenemisele (on meeles), on sul vaja ka oma nutitelefoni ligipääsu (on olemas).
Koolitus
Eestis tuleks väga aktiivselt tõsta teadlikust interneti tavakasutajate (vähem tehnoloogia teadlike inimeste) seas sellest, kui tähtis on oma paroolide eest hoolitsemine, õigete paroolide valik, abistavad tehnoloogiad ning vajadusel nende välja vahetamine. Miks viimane just väga oluline on? Sellepärast et pole haruldane kui mõni suure kasutajabaasiga keskkond (kas turvanõrkuse või sihipärase rünnaku tõttu) lekitab pahalastele oma kasutajate emailid koos paroolidega. Küll enamasti on need räsi (hash) kujul, aga lihtsa parooli korral käib murdumine imeruttu.
Reeglid
Siinkohal aitavad veebilehtede loodud piirangud paroolide loomisel. Juba niikaua kui ma mäletan on paroolide minimaalseks lubatud pikkuseks 8 tähemärki, aga hiljuti olen kohanud (kasvõi juba TTÜ UNI-ID) ka 10-tähemärgi nõuet. Enamasti nõutakse ka nii suur- kui ka väiketähte ning numbrit, vahel harva ka sümbolit (olen korra kohanud). See annab paroolile lisaturvalisust, kuna ei saa lisada midagi väga ebaturvalist nagu "martmets", aga see tähendab ka, et eelnevalt koomiksis pakutud versioon ei läheks läbi. Sul juhul tuleks kuhugi lisada suurtäht ja mingi number.
Viited:
https://xkcd.com/936/
