Paroolidega seotuse teemat on Zone’i blogis lahatud korduvalt ning muuhulgas on täpselt välja toodud halva paroolinõuande kasutamise tulemused. Kasulik on end kurssi viia ka heade soovitustega.

Häid nõuandeid jagab aga NIST (National Institute of Standards and Technology), mille “Special Publication 800-63B” võtab arvesse seniste paroolireeglite tekitatud ebaturvalised käitumismustrid.

Et enda teadmised proovile panna, võib püüda alustuseks vastata küsimusele: millised järgnevatest ei ole NIST-i nõuded turvalisele paroolile:

1. parool peab olema vähemalt 10 märki pikk;
2. parool peab olema vähemalt 8 märki pikk;
3. parool peab olema vähemalt 6 märki pikk, võib koosnema ainult numbritest;
4. parool peab sisaldama suur- ja väiketähte, numbrit, märki;
5. parool peab vähemalt X kuu järel vahetama;
6. parool ei tohi olla sama, mis viimased X parooli;
7. parooli või kasutajanime sisestamise lahtris ei tohi toimida copy ja paste;
8. parool ei tohi sisaldada nime, järjestikuseid märke, levinud salasõnu.

Õiged vastused leiab postituse lõpust.

Turvateemalistel esitlustel on selgunud, et paljud kuulajad noogutavad täpselt valede kohtade peal. Põhjuseks see, et IT-osakonnad jõustavad endiselt iganenud reegleid ning neid tiražeeritakse endiselt nii paberil kui digitaalses meedias.

Milline on hea ja milline halb reegel?

Hea paroolinõue peaks aitama infosüsteemide arendajatel ja haldajatel süsteeme kaitsta. Samas ei tohi see koormata liigselt kasutajat ning sundida teda ebaturvalisele optimeerimisele. Sest inimene pole rumal, küll aga evolutsiooniliselt harjunud leidma kõige tõhustamat teed seatud eesmärgi saavutamiseni.

Näiteks – selleks, et parooli ei saaks N korda proovides ära arvata, peaks rakendus suutma sellist rünnet tuvastada ja takistada (konto ajutiselt lukustama), ent samas vältima teenustõkestusrünnet läbi kontode lukku ajamise.

Levinud tavad nagu parooli sage vahetamine ja keerukusnõuded annavad paraku soovitule vastupidise tulemuse: kasutaja lisab sõnale mõne numbri ja märgi ning siis suurendab sammhaaval numbrit või kasutab selleks aastaarvu.

Kaks lihtsat reeglit, mille puhul tasub viidata sellele blogipostile on:

1. märgipõhised keerukusnõuded;
2. parooli kohustuslik vahetamine iga X ajavahemiku järel (aga: NIST nõuab vahetamist juhul kui on kahtlus, et see on lekkinud).

3+2 lihtsat reeglit, mida järgida

On mõned reeglid, mida tasub salasõnanõuete puhul jälgida.

1. Salasõna asemel räägitagu salafraasist. See on veidi pikem isekomponeeritud liitsõna või sõnamäng/kalamburism ning töötab väga hästi (jalgpallisupikulp, lumehangumine vms).
2. Salafraasina ei tohiks kasutada enda või kasutuskoha nime, levinud (sala)sõnu (nt Passw0rd!, kalamaja) ja järjestikuseid märgijadasid (q1w2e3r4).
3. Oluliste teenuste jaoks (töökoha kasutajakonto, e-post, sotsmeedia) peaks kasutama unikaalset salafraasi

Neid kolme reeglit järgides on 98% tööd tehtud. Kuid kaks veidi suuremat pühendumist nõudvat soovitust on tegelikult veel.

1. Olulistes teenustes (e-post, sotsiaalmeedia) tuleks lülitada sisse kaheastmeline autentimine (2fa ehk two-factor authentication – nt SMSiga saadetav turvakood).
2. Kasutama peaks parooliseifi (nt LastPass, 1Password, KeepAss) unikaalsete paroolide loomiseks ja haldamiseks ja meeles pidama ainult üks tugeva ehk seifi salafraasi.

Viimase punkti juurde vihjeks, et KeePass on täiesti tasuta ja LastPassis saab erakonto teha tasuta (kui tööandja peaks LastPassi ametlikult kasutusele võtma, saab era- ja töökontole ligi ühe sisselogimisega – seejuures mõistagi nii, et tööandja ei saa sinna ligi).

Ja lõpuks – õige vastus artikli alguses toodud küsimusele – NIST-i nõuded ei ole 1, 4, 5, 6, ja 7.