Uudis

Samsungi spetsiaalselt eestlastele loodud parooligeneraator sattus kriitika alla

Kuvatõmmis Samsungi parooligeneraatorist. Foto: Kuvatõmmis

Eelmisel nädalal avas Samsung Eesti spetsiaalselt eestlastele mõeldud parooligeneraatori, mis lisab salasõnasse nii numbreid, märke kui ka suuri tähti. Ettevõtte sõnul aitab generaator luua lihtsalt meelde jäetavaid, kuid murdmiseks piisavalt keerukaid salasõnu.

Samsungiga ei ole ühel meelel Zone.ee turva- ja turunduse evangelist Peeter Marvet, kes kritiseeris seda avalikult Twitteris. Detailsemas kommentaaris tõi Marvet välja, et heaparool.ee tegemisel pole paraku arvestatud tegelike probleemidega – milleks on äraarvatavad mustrid ja sama parooli kasutamine mitmel saidil.

Parooligeneraatori lõi Samsungi tellimusel Eesti Animatsiooni Stuudio ning veebilehe turvalisuse kontrollis üle küberturvalisuse lahenduste ettevõtte CybExer Technologies. Nädala ajaga on generaatori abil loodud rohkem kui tuhat parooli.

Parool on manipulatsiooniründe käigus arvatav

Marveti sõnul on kasutajate harimine paroolide vallas tänuväärne töö, kuid Samsung ei ole sellega praegu hakkama saanud.

Tema kriitika tugineb suuresti sellele, et generaator küsib lemmiklooma või tootenime, omadussõna ning numbrijada. Marveti kohaselt on kaks kolmest komponendist manipulatsiooniründe (social engineering) abil teada saadavad.

“Need samad sõna-kategooriad leiab ka ründe-sõnastikest ning korduvate paroolide edetabelist. Näiteks üks mõnekümne tuhande kasutajaga sait, mille paroolid olid baasis lahtise tekstina: 9. koht: kalamaja – 18 kasutuskorda, 12. koht: armastus – 10 kasutuskorda, 18. koht: samsung – 9 kasutuskorda,” ütles ta.

Marvet toob näiteks 2014. aastal toimunud e-poe seemnemaailm.ee lekke, kus oli parool “armastus” populaarsuselt viies kõige levinum parool. Selle kõrval olid populaarsed ka “lilleke”, “loodus” ning “kodune”.

Ründajad teavad kasutajate nõrkusi

Ta lisab veel sedagi, et läbi aastate on küberhügieeni nime all õpetatud kasutajatele, et hea parool on kaheksa tähemärki, nende hulgas suur- ja väiketäht, number ja kirjavahemärk.

“Reegli koostamisel on peetud silmas paroole stiilis trIlbuK1!su, aga analüüsides Eesti paroolilekkeid ja küsides reaalselt ülevõetud e-postikontode omanikelt kasutatud parooli kohta ilmneb, et reegliga sobib ka palju lihtsam Peeter1! ja seda nippi teavad ka ründajad,” ütles ta.

Marvet on koostanud ülevaate paroolirünnete kohta talle kuuluva tehnokratt.net veebi üle ning on näinud, et väga levinud on katsed saada veebi ligipääs paroolidega “pets!@#”, “pets123” ja “pets2014”.

“Kaheldamatult on levinud paroolimustri täiendamine soovitusega kasutada ühe levinud sõna ja numbri kombinatsiooni asemel kahte levinud sõna ja numbri kombinatsiooni ning selle “pipardamine” kirjavahemärkidega teatav edasiminek, aga paraku on vähetõenäoline, et keegi hakkab neid paroole reaalselt kasutama, sest selline juhuslik kombo ei ole meeldejääv.

Ja kui on meeldejääv, siis ei ole see ilmselt väga juhuslik, sest inimese aju genereerib pigem mustreid kui juhuslikkust,” lisas Marvet.

Samsung on generaatorit juba täiustanud

Samsung Eesti mobiilidivisjoni juhi Antti Aasma sõnul on nad parooligeneraatorit juba täiustanud, et sisestatav number oleks pikem, samuti ei saa generaatorisse kirjutada liiga lühikesi sõnu, mis muudaks ka parooli enda lühikeseks ja seega kergemini ära arvatavaks.

“Lehekülg aitab praeguse seisuga kokku panna rohkem kui 14-tähemärgise parooli, mille loogikat on inimesel lihtsam meelde jätta kui täiesti juhuslikke numbreid. See suurendab samas ka tõenäosust, et inimene ei kirjuta seda parooli üles, mis oleks samuti ebaturvaline. Loomulikult oleks täiesti suvalistest tähedest, numbritest ja sümbolitest koosnev parool kõige efektiivsem, aga enamikule inimestest ei jää selline parool meelde ning nad kasutavad endiselt lihtsaid salasõnu, nagu Peeter123,” rääkis ta.

Aasma tõi välja, et Samsungi parooligeneraatori eesmärk on ärgitada inimesi mõtlema paroolide vahetamise vajalikkuse üle ning pakkuda lihtsa tööriista näol võimalust endale luua pikk ning numbreid, suuri tähti ja sümboleid sisaldav salasõna.

“Loomulikult valib inimene ise, millised sõnad ta parooli sisestab ning neid ei ole võimalik heaparool.ee lehe kaudu mitte kuidagi teada saada. Seni Eestist lekkinud salasõnad on väga ebaturvalised ning seetõttu on oluline, et iga pereliige mõtleks, kuidas ta saaks oma isiklikke salasõnu keerulisemaks ja ettearvamatumaks muuta,” ütles Aasma.

“Võitleme sama asja eest nagu Peeter Marvet: et inimesed ei kasutaks ühesõnalisi paroole, mis on nendega seostatavad. Seepärast aitamegi inimesel genereerida mitmest sõnast ja numbritest koosnevaid paroole,” selgitas Aasma.

“Peame isegi väga oluliseks, et Eestis oleks rohkem kodumaiseid parooligeneraatoreid kui üks, et inimestel oleks endil võimalus valida, milliste generaatorite loodud kombinatsioonid neile kõige paremini meelde jäävad. Samsung tervitab kõiki püüdlusi saada Eesti inimesed ebaturvaliste lühikeste paroolide pealt ära, kuna kõige tähtsam on inimesteni viia teadmine, kuidas endale turvalisi salasõnu luua,” lisas ta.

Samsungil ei ole hetkel kavas täiesti uut generaatorit välja töötada, kuid ettevõte kaalub võimalusi olemasoleva täiustamiseks.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.