2016. aastal avaldas USA Riiklik Standardite ja Tehnoloogiainstituut NIST (National Institute of Standards and Technology) dokumendi koodiga 800-63B. Ettekirjutus sisaldas uusi USA riigiasutustele (teoreetiliselt) kohustuslikke reegleid infosüsteemide autentimise haldamiseks ning muutis seni paroolide keerukusele kehtinud nõuded lihtsamaks. Info on avalik olnud juba mõnda aega, kuid Eestis leidub endiselt palju infosüsteeme, mis nõuavad keerukaid paroole.
Parool ajalukku ei kao
Paroolidega on meil kõigil keerulised suhted. Läbi infosüsteemide ajaloo on see olnud pidev võitlus kahe poole vahel. Ühel pool süsteemide administraatorid, kes üritavad kasutajatele turvalisemate paroolide kasutamist peale suruda. Teisel pool kasutajad, kes üritavad reeglite rägastikus endale meeldejäävaid paroole tekitada. Mõnda aega tagasi tehtud uuringust selgus, et keerukad, sümboleid ja numbreid sislaadavad paroolid ei ole parim viis infosüsteemid turvaliseks muuta.
Pole ime, et uudised sellest, kuidas paroolid tuleks juba ammu ajalukku saata ja kohe-kohe on lõpuks saabumas tehnoloogia, mis seda just teebki, leiavad laia kõlapinda. Praktikas pole asi muidugi nii lihtne.
Kasutajate poolelt on probleem eelkõige selles, et parool on oma ideelt väga lihtne asi – enamvähem kõik saavad selle toimimisest aru ja kõik oskavad seda kasutada.
Teine probleem on tehniline, kuid olulisemgi – iga autentimismeetod sisaldab alati ka parooli komponenti ning parool on ainuke, mida saab kasutada iseseisvalt. Seoses mitmeastmelise autentimisega tuleb kindlasti tuttav ette, et autentimisvahendid saab jagada kolmeks:
- see, mida sa tead (parool)
- see, mis sul on (telefon, krüptovõti, id-kaart)
- see, mis sa oled (biomeetrilised meetodid, nagu sõrmejälg, nägu, iiris).
Kõige parem kaitse saavutatakse loomulikult siis, kui kasutusel on kõik kolm ning juba ühe puudumisel süsteemi sisse logida ei saa. Selle, mis sul on, saab sult lihtsalt ära varastada või ka ainult korraks “laenata” ning selleks, et autentimisvahend kohe sellisena kasutatav poleks, kasutatakse pea alati ka parooli komponenti (nt Eesti ID-kaardil PIN-koodid).
Biomeetriaga on lood veel keerulisemad. Lisaks eelnevale (ka biomeetrilised andmed on varastatavad ja/või kopeeritavad) on neil ka vahetamise probleem. Kui telefoni ja krüptovõtme saab varguse korral välja vahetada, siis kuidas vahetada sõrmejälgi? Parool on seega asi, mida me niikuinii kasutame peame ning paljude süsteemide turvatase võimaldab seda endiselt kasutada ka iseseisvalt.
Kuidas genereerida turvalisim parool?
Kõige turvalisem viis paroolide loomiseks on lasta genereerida need arvutil ning hoida krüpteerituna paroolihalduris. Kuigi turvalised, on paroolihaldurid endiselt suhteliselt vähe levinud ja inimesed eelistavad oma paari parooli paremal juhul meeles pidada. Halvemal juhul lihtsalt paberile üles kirjutada. Aga vaatame asja teisest küljest – mida saavad teha infosüsteemide omanikud, et kasutajad käiksid paroolidega turvalisemalt ümber? Kas on tehtud oma parim, et kasutajad saaksid turvalise(ma)lt käituda?
Maavärin turvamaailmas
2016. aastal avaldas NIST (National Institute of Standards and Technology) dokumendi koodiga 800-63B, mis sisaldab uusi USA riigiasutustele (teoreetiliselt) kohustuslikke reegleid infosüsteemide autentimise haldamiseks ning mis tekitas turvamaailmas kerge maavärina. Kuigi uudisekünnis sai vähemalt hetkeks ületatud, polnud selle sisus tegelikult midagi uut. Ettekirjutus muutis lihtsalt väga ametlikuks selle, millest mõned turvaeksperdid juba aastaid olid rääkinud. Lühidalt võib dokumendi sisu võtta kokku nelja punkti.
Esiteks – paroolide regulaarse vahetamise nõue on minevik. Mitmed tehtud uuringud on üheselt näidanud, et see mitte ei suurenda vaid hoopis vähendab paroolide turvalisust. Paroole peab vahetama ainult siis, kui on kahtlus, et parool on lekkinud.
Teiseks – ka paroolide keerukuse nõuded (peab sisaldama suur- ja väiketähti, numbreid ja erimärke) on minevik. Täpselt samuti nagu paroolide regulaarne vahetamine, on seegi nõue tegelikult turvalisust hoopis vähendanud.
Kolmandaks – paroolide kunstliku keerukuse asemel väärtustatakse paroolide pikkust. Minimaalne lubatud pikkus peab olema vähemalt 8 sümbolit, maksimaalne lubatud pikkus 64 sümbolit. Selleks, et kasutaja saaks enda jaoks mõistlikke, kuid ründaja jaoks keerulisi paroole kasutada, ei tohi seada ebamõistlikke piiranguid sümbolitele kasutamisele paroolis. Jah, ka tühikud ja isegi Unicode võiks olla okei.
Neljandaks – kohustus veenduda, et kasutajad ei kasutaks levinud ja ebaturvalisi paroole, lasub infosüsteemide omanikel. Eelkõige peab infosüsteem veenduma, et parooliks poleks üksikud sõnad sõnastikust (minimaalse lisaga, näiteks üks number), et neid poleks lekkinud paroolide baasides ning et parool ei sisaldaks kasutajanime ega korduvaid mustreid.
Uued nõuded on igati loogilised
Kui järele mõelda, ei ole eeltoodud nõuetes midagi mõistusevastast, kuid formaalselt on siiski tegemist päris korraliku pöördega.
Esiteks ei toetuta paroolireeglite loomisel ainult loogikale ja kõhutundele vaid reaalsetele uuringutulemustele. Me võime küll arvata, et mingi reegel muudab süsteemid turvalisemaks, aga kuidas on lood tegelikult?
Teiseks liigutab dokument olulise osa paroolidega seotud vastutusest kasutajalt infosüsteemide omanikele. Kuigi reaalsus on alati kompromiss turvalisuse ja kasutusmugavuse vahel, ei tähenda see seda, et me ei peaks kasutama võimalusi neid teineteisele lähemale toomiseks. Parooli “Karuvanaema tagumik on pärast 3. siilile istumist väga valus”, on kasutajal mugav meelde jätta ja see on ka turvalisem, kui näiteks “gT7ylak.0p”. Seega on tegemist win-win situatsiooniga.
Samuti on väga oluline nihe panna seal, kus see tehniliselt võimalik on, paroolide turvalisuse eest vastutama infosüsteemide omanikud. Võrreldes seni domineerinud “kõik oleks turvaline, kui kasutajad käituks nii”-suhtumisega on see suur muutus. Kui mingi probleemi lahendamiseks on tehnilised meetmed olemas, ei ole nende mitte rakendamiseks ning vastutuse kasutajatele lükkamiseks mitte mingit vabandust.
Paroolide keerukuse nõue oli viga
Kui nüüd kellelgi tekib (õigustatud) küsimus, et mis vahepeal muutunud on, et reeglid sellise pöörde tegid, on õige vastus – mitte midagi. Mees, tänu kellele me paroolide regulaarse vahetamise ja keerukusnõuete reegli all kannatanud oleme, tunnistas eelmisel aastal intervjuus, et see oli viga isegi 15 aastat tagasi.
Ka Zone on äsja räägitud nõuete valguses paroolidele kehtestatud reeglid üle vaadanud. Paroolide regulaarset vahetamist pole Zone küll kunagi nõudnud, kuid näiteks suur- ja väiketähtede nõue ja teised taolised reeglid on nõuetest kadunud. Pikad paroolid igasuguste sümbolitega aga lubatud.
Kõikvõimalike sümbolite lubatavust ei maksa muidugi uisapäisa kasutama tormata. Näiteks klienditarkvara ei pruugi olla nii liberaalne kui Zone ning võib enda jaoks kahtlaseid sümboleid paroolis lihtsalt ignoreerida.
Zone näiteks ei luba parooli vahetades uues paroolis kasutada levinud paroolimustreid ja kasutajanime. Neist viimati nimetatud halb harjumus tekitab reaalseid probleeme ka Zone kasutajatele (loe lähemalt siit).
Aita turvateater lõpetada
Nagu artikli sissejuhatuses öeldud, on Eestis ikka veel hulgaliselt infosüsteeme, kus paroolid peavad endiselt olema 8–16 sümboliga, keerukad ning neid tuleb iga kuu aja tagant vahetada. Sarnaseid nõudeid leiab ka turvapoliitikast ja koolitusmaterjalidest ning sellest räägivad turvaeksperdid ajakirjanduses.
Kui ka sinu töökoha või kooli infosüsteemis endiselt sellised nõuded kehtivad, anna selle haldajale märku. Vajadusel viita sellele artiklile või palu guugeldada “NIST passwords 2016”. Aitame turvateatri lõpetada ning infosüsteemid ka tegelikult turvalisemaks muuta.
