Paroole kästakse harilikult tihti vahetada, kuid kuidas oleks seda õige teha? Selgub, et erinevad tingimused peaks olema seatud nii lehe külastajatele kui ka administraatoritele, räägib Veebimajutuse partner, Veebimeister.com asutaja Feliks Stavitski.

Miks on paroolide vahetamine oluline?

Teoorias on asi nii, et kui paroole regulaarselt vahetada, siis on ka pättidel raskem neile jälile saada. See kõlab ju loogiliselt. Kuid siin on üks “aga”. Sunnitud paroolivahetuste puhul hakkavad inimesed neid lihtsustama ja tuletama neid näiteks eelmistest paroolidest, mis omakorda hoopis lihtsustab pahalastel nende lahtimuukimist.

Minu arvates on vahetamisest olulisem raskestiarvatavate paroolide nõudmine, mis on piisavalt pikad ning kus nõutakse erinevate numbrite-sümbolite-tähtede kasutamist.

Kui tihti tuleks paluda veebilehe kasutajatel parooli vahetada?

Eelnevast vastusest lähtuvalt väidan ma, et paroole võiks vahetada küll regulaarselt, aga ka uute paroolide puhul tuleks nõuda turvalisust tõstvaid meetmeid.

Kindlasti tuleb selgitada, miks paroolide vahetamist üldse tarvis on või kui on kahtlusi, et sinu kasutajate andmed on kuidagi lekkinud, siis tuleks ka seda selgitada. Igal juhul on see siiski nende endi huvides ja tõenäoliselt meist mitte keegi ei tahaks oma privaatseid andmeid turul näha.

Teavitada tuleks klienti kas e-posti teel, või näiteks SMS-iga, olenevalt sellest, millist kontakteerumise varianti klient eelistab. Kui oodata näiteks, et klient logib lehele sisse ja siis paroolivahetust nõuda, siis mõne kliendi puhul võibki parool vahetamata jääda. E-posti teel on kindlam, et suurem osa kasutajaid ka tegutsevad.

Kuidas on asi aga lehekülje haldajate puhul?

Kuna administraator vastutab oma tegevusega ka teiste kasutajate andmete eest, siis peaks admin-poolega küll karmim olema. Nii paroolide tugevuse koha pealt, kui ka näiteks kaheastmelise tuvastamisega sisse logimise koha pealt. Kindlasti ei tohiks lasta administraatoritel kasutada enimlevinud kasutajanimesid või vaikimisi seadistatuid.

Mida võib endaga kaasa tuua liiga tihti paroolivahetuse sundimine?

Paroolid on teada-tuntud kasutusmugavuse tapjad. Parooli sisestamine on üks ebamugavamaid tegevusi üldse, rääkimata siis veel selle muutmisest.

Ja nagu juba enne mainitud, võivad kasutajad natuke lohakaks muutuda. Ning kui seda ebamugavat protsessi, mis see ju tegelikult on, liiga tihti teha, siis võivad kasutajad teid lihtsalt hüljata.

Kui oluline on kaheastmelise tuvastamise kasutamine ning kui lihtne on seda oma veebilehega integreerida?

Kaheastmelist tuvastamist võiks kindlasti kasutada, kui juba selline tehnoloogia olemas on. See tõstab turvalisuse taset tunduvalt võrreldes tavalogimisega.

Leidub palju 2FA teenuse pakkujaid, nii tasulisi kui tasuta, kes siis kasutavad näiteks Google Authenticatorit. Küll aga läheb vaja natuke abi, et neid oma lehega integreerida. Kui aga kasutad veebilehe mootorina WordPressi, siis on olemas lausa tasuta pluginaid, mis lisavad 2FA kaudu ühe kihi turvalisust.

Arvestades paroolide ohukohti, kas oleks mõistlikum hüljata traditsioonilised paroolid ning kasutada vaid kaheastmelist sisselogimist või sisselogimist läbi Google’i ja Facebooki?

Jah, kindlasti. Turvalisus on küll ala, kus tasub ajaga kaasas käia. See on pidev võitlus muukijate ja lukumeistrite vahel. Ajast maha jäädes ja kasutades vanu “Vasara” lukke, pole lootustki, et su vara kallale ei kiputa.