kolmapäev, 16. aprill 2014

Kuidas luua tugevaid paroole ja neid kõiki meeles pidada

Alustuseks - inimlik probleem

Erinevates netikeskkondades ja vestlusringides on tulnud ilmsiks 2 väga inimlikku probleemi:

  1. inimesed ei tea, mis on turvaline (keeruline, raskesti äraarvatav) salasõna ja kuidas seda luua
  2. kuidas neid kõiki keerulisi salasõnu meeles pidada.

Hügieen arvutivõrgus

Alustuseks mõned elementaarsed turvareeglid tänapäevases julmas internetidžunglis ellu jäämiseks:

  1. ära MITTE KUNAGI kasuta oma e-postikonto salasõna kuskil mujal kui sellele e-postikontole sisselogimiseks.
    Põhjendus: Sinu E-posti kontol leiduva info tähtsus on aja möödudes määratult kasvanud. Asi on selles, et oma peamise e-postikonto kaudu registeerud Sa erinevatele veebilehtedele kasutajaks, lased sinna saata nende keskkondade salasõnade meeldetuletusi jne. Võib-olla on Sul e-kirjakastis koguni mõned salasõnad ja võib-olla on Sul e-kirjade hulgas koguni selliseid, mis mitte mingil juhul ei tohiks võõra pilgu alla sattuda (olgu seal ettevõtte tundlik info, Sinu kirjavahetus armastatuga või mis iganes).
  2. ära MITTE KUNAGI kasuta ühte parooli rohkem kui ühel saidil.
    Põhjendus: Sa ei tea mitte kunagi konkreetse veebilehe turvataset ja seda, kuidas nad Sinu parooli hoiavad. Eestis konkreetse näitena lasering.ee netipood hoiab salasõna lahtise tekstina andmebaasis. Kui ma olin salasõna unustanud, siis ma palusin nende netilehel saata mulle uue salasõna, aga nad saatsid vana salasõna. See on täiesti lubamatu salasõnade hoidmisviis juba vähemalt 5-7 aastat. Eraldi pikk jutt on see, kuidas salasõnu korrektselt hashitud kujul hoida jne, aga mõte on selles, et ei tohi usaldada veebilehe arendajat või omanikku Sinu salasõna käitlemisel. Kui Sinu salasõna on veebilehe andmebaasis lahtiselt ja sinna andmebaasi sisse murtakse ja seesama salasõna on Sul kasutusel veel kuskil, siis võid olla üsna kindel, et Sinu kontodele logitakse võõraste poolt peagi sisse. Veebileht, mille IT-tase on selline, salasõnad on baasis lahtiselt, langeb VÄGA SUURE tõenäosusega ka kräkkimise ohvriks. Sa ei taha, et lasering.ee andmebaasist pärit salasõnaga saab sisse logida Sinu mailikontole, facebooki, dropboxi, gmaili jne jne. Seega kasuta unikaalseid salasõnu!
  3. ära MITTE KUNAGI logi krüpteerimata veebilehele sisse, kui oled WIFI võrgus.
    Põhjendus: WIFI võrke on üsna lihtne "pealt kuulata". Piisab sellest, kui kurikael on kas samas WIFI võrgus (avalikud WIFI-d, kohvikud, hotellid, kaitsmata WIFI purk kodus jne) või istub oma sülearvutiga kuskil lähedal. Kui võrguliiklus Sinu arvuti ja konkreetse veebilehe vahel on krüpteerimata, siis on see sama hea kui alasti karjuda keset Viru tänavat "Peeter on loll" ja oodata, millal esimene suvaline Peeter Sulle füüsilise noomituse teeb.
    KUidas aru saada, kas veebileht kasutab krüpteeritud ühendust? Krüpteeritud ühendus käib reeglina HTTPS (SSL, TLS ja muud head nimed) ühenduse kaudu. See tähendab, et:
    1. Brauseril on aadressirea alguses https://, mitte http://. Väike "s" on oluline erinevus.
    2. Vähegi uuemate brauserite aadressiriba algus muutub roheliseks, läheb konkreetselt rohelist värvi. Kui see on punane, siis on asi juba kahtlane. Pöördu teisi kanaleid pidi veebilehe haldaja poole ja palu tal oma veebileht korda (turvaliseks) teha. 
  4. ära MITTE KUNAGI logi sisse oma maili- ja sotsiaalmeediakontodele ühiskasutatavatest arvutitest (näiteks reisil olles internetikohvikutest, hotelli fuajee "üldkasutatavast" arvutist jne).
    Põhjendus: need võõrad arvutit on reeglina väga ebaturvalised, kasutavad ebaturvalist Windows operatsioonisüsteemi ja on täis viiruseid. Mõnikord on neisse installitud ka keyloggerid ehk tarkvara või riistvaralised seadmed, mille ülesandeks on salvestada kõik klahvivajutused (ja edastada need kurikaeltele). Ja ongi Su paroolid läinud. Edasi kasuta fantaasiat. Kui reisil olles virutatakse ära Sinu Facebooki parool ja logitakse sinna sisse, siis:
    1. Saab Sinuna esinedes saata Su sugulastele-tuttavatele "abipalveid" (saatke palun raha sinna ja sinna panka)
    2. Saab kätte kogu sinu privaatse pildikogu joomingutest, mida Sa otsustasid Facebookis hoida ja sellega asuda Sinult raha välja pressima
    3. Asuda Sinuna esinedes korda saatma kõikmõeldavat kurja. Lase mõttel lennata!
  5. Eriline hoiatus Eesti kohta on seoses ID-kaardi kasutamisega. 
    1. Ära kasuta ID-kaarti võõras arvutis (avalikus arvutis, näiteks Politseiametis passi eest riigilõivu makstes jne). Sa ei tea, kas see arvuti on turvaline. Parem kasuta mobiil-ID-d. Mobiil-ID on turvalisem kui ID-kaart. Seda väga lihtsal põhjusel - andmeid edastav seade (arvuti) ja autentimiseks kasutatav seade (mobiiltelefon + SIM-kaart) on füüsiliselt lahus. Arvutiviirus ei mõjuta Mobiil-ID teenuse toimimist. Mobiil-ID-d saad kasutada muretult ka seal, kus ei ole ID-kaardilugejat.
    2. Ära hoia ID-kaarti lugejas kauem kui on tarvis konkreetse teenuse (näiteks netipanga) kasutamiseks.
    3. Mobiil-ID-ga tuleb ALATI kontrollida n.ö sessiooninumbrit. See on see 4-kohaline number, mida koht, kuhu sisse logid kuvab, ja mida kuvab Sinu telefoni Mobiil-ID PIN-koodi sisestamise dialoog. See koht, kuhu sisse logid ja Sinu telefon peavad näitama sama numbrit. Mitte kunagi, MITTE KUNAGI ära autendi seda päringut, mida Sa pole ise just praegu algatanud.

See oleks praeguseks kõik. Internetis leiduvaid ohte on võrreldamatult rohkem, aga neid elementaarseid reegleid järgides peaks esmatasandi turvalisus olema tagatud. Loomulikult käivad siia juurde veel kõik n.ö "vanad reeglid" nagu ära ava tundmatuid faile, ära suhtle võõrastega, ära käi kahtlastel netilehtedele, ära hoia arvutis seadusevastaseid faile (lasteporno, piraatfilmid ja -muusika jne jne jne).

Salasõnad - keerulised ja kergesti meelespeetavad

Lühike ja turvaline variant

Hea variant on kasutada n.ö password manageri ehk programmi, mis on mõeldud salasõnade meelespidamiseks. Neid programme on hästi palju. Tuntuimad on vast OSX-i sisse ehitatud Keychain Access ja paljudel platvormidel töötav KeePass (http://keepass.info/). Kõigi nende tööpõhimõte on üks:
- on üks n.ö tugev master-salasõna, mis avab teised salasõnad.
Ehk siis Sul on vaja meeles pidada ainult üks, hea ja keeruline master-salasõna ja teised salasõnad leiad Sa password manageri andmebaasist. Selle meetodi miinuseks on asjaolu, et alati ei ole see arvuti käepärast, kuhu on installitud password manager. Selle häda vastu on loodud programmid, mis hoiavad salasõnu (tihti turvaliselt) võrgus (nö pilves) ja siis Sa saad neid kätte nii oma tööarvutist, nutitelefoniga kui ka kodusest arvutist. Siiski tuleb arvestada nõrgenenud turvalisusega, sest "mis võrgus, see võrgus":)
NB! Brauser ei ole password manager hoolimata sellest, et see pakub Sulle salasõnade meelespidamise võimalust!

Pikk, keeruline ja veel turvalisem variant

Pikem, keerulisem ja tegelikult kõige turvalisem variant on hoida kõik salasõnad oma peas. Kui neid on aga kümneid (sest - mäletad - igal keskkonnal peab olema OMA salasõna), siis kuidas seda küll saavutada? Kellegi mälu pole kummist ja pea pole prügikast.
Kuidas siis ikkagi saavutada paljude, ent samas keeruliste (keeruline tähendab "raskesti äraarvatavate"

Põhimõtteliselt on vaja meeles pidada ainult 3 salasõna.

Esiteks jaga veebikeskkonnad turvakriitilisuse järgi klassidesse:
1. suvalised veebilehed
2. sotsiaalmeedialehed ja pilveteenused, mis sisaldavad sinu isikuandmeid (Facebook, Dropbox jne)
3. mailikontod, internetipangad, eesti.ee jm kõrgendatud turvalisust nõudvad kohad, mis sisaldavad tundlikke isikuandmeid

1. klassi paroolid võiks olla vähemalt 8 tähemärki. Need peaks sisaldama suur- ja väiketähti ja numbreid.
2. klassi paroolid võiks olla vähemalt 12 tähemärki. Need võiks lisaks numbritele ja suurtele ning väikestele tähtedele sisaldada ka tühikuid (mitte küll alguses ega lõpus vältimaks segadust)
3. klassi paroolid võiks olla vähemalt 16 tähemärki ja need võiks sisaldada kõikmõeldavad klaviatuuril leiduvaid märke.

Nüüd lood paroolid:
1. klassi paroolide näited:
suvaline sait 1: kaelaNihestus21
suvaline sait 2: kaelaNihestus22
suvaline sait 3: kaelaNihestus23
jne jne

2. klassi paroolide näited
Facebook: Kassiraibe_Hüppas-Facebooki
Dropbox: Kassiraibe_Hüppas-Dropboxi
Suvaline järgmine pilveteenus: Kassiraibe_Hüppas-Suvalisseteenusesse

3. klassi paroolide näited
eesti.ee: Ajakirja "Horisont" aastatellimus #1981
gmail.com: Ajakirja "Horisont" aastatellimus #1982
suvaline tähtis koht: Ajakirja "Horisont" aastatellimus #1983

Ole hea ja tee mulle teene - ära palun kasuta siintoodud salasõnu 1:1 mitte kusagil. Selleks hetkeks, kui Sa seda blogipostitust loed, on kräkkerid selle juba ära skänninud ja need salasõnad on nende andmebaasides olemas.

Lohutus

Lisan veel juurde, et kräkkerid (õigupoolest nende kasutuses olev väga võimas riistvara veelgi võimsama tarkvaraga) skännivad tänapäeval läbi kõik digitaalselt saadaolevat raamatud ja neil on kõik enamlevinud sõnad, fraasid ja NENDE KOMBINATSIOONID teada. Oluline on aru saada, et keegi ei murra, proovi ega mõistata paroole käsitsi. Seda teevad väga targad programmid, mis suudavad sekundis läbi proovida väga suure hulga erinevaid variante.

Meie - eesti keelt kasutavate inimeste - kasuks räägib asjaolu, et meie keelt räägitakse maailmas väga vähe, veel vähesemad kräkkerid saavad sellest ja selle loogikast aru ja seega on meil mõnevõrra turvalisem kasutada üldlevinud eesti keele sõnu (hea, kui need sõnad sisaldavad täpitähti). See eelis meil ajapikku väheneb, sest mida rohkem eestikeelset kirjandust digiteeritakse ja läbi skännitakse, seda rikkamaks saavad kurikaelte käsutuses olevad andmebaasid ja targemaks nende iseõppivad murdja-programmid.

Ässitus

Ässitan teid kõiki õiendama, sõimama ja kaklema lollide, hoolimatute veebilehepidajatega, kes ei hooli turvalisusest. Kui näete, et mõni lehepidaja eksib elementaarsete reeglite vastu, siis saatke talle kohe kuri kiri ja ähvardage andmekaitseinspektsiooni, politsei ning kasvõi NATO küberkaitsekeskuse ekspertide kaelasaatmisega. Kui mõni veebileht on piiranud salasõna maksimaalse pikkuse vähema kui 32 märgiga või siis selles sisalduvate märkide hulga (näiteks, et tühikuid või . või - ei tohi seal olla), siis tuleks neile anda kaigast. Virtuaalselt ja reaalselt.
Meie kõigi ülesandeks on nõuda arendajatelt ja otsustajatelt vastutust ja turvalisemat internetti!

P.S. Nagu võisid märgata, ei kasutanud ma üldlevinud sõna "häkker". Idioodist ajakirjanikud ja muud lollpead on selle sõna tähenduse ära rikkunud. Häkker oma algses tähenduses ei ole halb ega kuri. Kuri, halb IT-mees, kes siseneb võõrastesse süsteemidesse, varastab salasõnu jm infot, on kräkker. See tuleb sõnast "kräkkima" (to crack) ehk murdma (turvalisust murdma, turvabarjäärist läbi murdma). Häkker on tihti heatahtlik nohik, n.ö patsiga poiss, kes lihtsalt jagab hullult hästi IT-d, võib-olla oskab progeda ja häkib asju kokku (ehk siis paneb käima tarkvara ja riistvara, mis ei taha algul hästi käima minna jne jne).

7 kommentaari:

Mad Max ütles ...

Kasulik postitus. Tänud!

Kas võiksid palun valgustada ka veel ühes küsimuses, millele pole googeldades vastust leidnud:

Kui ma töö juures tööarvutiga oma isiklikule google kontole sisse login, siis kas firma itimees näeb samaaegselt mu tegevuse sisu?

Näiteks kirjutan google docsis teksti või vaatan isiklikke fotosid. Kas töökoha itimees näeb nende dokumentide-piltide sisu kui olen sisse logitud?

Kaur ütles ...

Max - eelda, et kui ta tahab, siis näeb. Samas on see tema poolt kuritegu, sõnumisaladuse rikkumine.

Mad Max ütles ...

To Kaur

Selge, tänks!

Küsimus tuli sellest, et paljud inimesed teevad koondamise kartuses töö ajal lisatööd teistele firmadele:)) Et oleks mingid tagavara-bisnesid kogu aeg.

Nad kasutavad selleks Dropboxi, hotmaili, Gmaili ja Google docsi. Arvates, et kuna nad võrgukettale midagi ei lae, siis ei ole tööandjal võimalik nende väikest haltuuratsemist avastada. Töö tehakse ära ju arvuti RAM mälus ja salvestatakse pilve.

Kõik teavad, et itimees näeb külastatud külgede aadresse aga arvatakse, et läbi browseri logimine on sama nagu oma internetipangas käimine. Et tööandja sisu ei näe.

Nii et ikka on parem loobuda igasugusest sahker-mahkerist töö ajal:))

Sven ütles ...

@madmax olles tööandja võrgus, tuleb eeldada ja arvestada sellega, et tal täielik voli sinu arvuti ja võrguliikluse üle. Seadused ja nende rikkumine antud juhul ei loe, sest tavainimene ei jaksa peaaegu mitte kunagi korporatsioonidega kohut käia. Kehtib ka vanasõna "õige hõlma ei hakka keegi". St et ära tee tööandja ajast ja tema vahenditega haltuurat ja kõik ongi ok.

Sven ütles ...

Selgitan natuke tehnilisemalt ka. Kui kasutad tööandja arvutit, siis väga suure tõenäosusega on tal sellele arvutile root-access. See aga annab ligipääsu KÕIGELE selles arvutis. K.a sertifikaatidele ja privaatvõtmetele. Kui tööandja on tark (ent jobu), siis on arvutites ka keyloggerid või vähemalt mingi auditi süsteem.
Seega on tal soovi korral võimalik näha ka sinu "eraasju".

Mad Max ütles ...

to Sven Varkel

Aitäh selgitamast. Eks minusuguste lihtkasutajate segadus tuleb sellest, et oleme selgeks õppinud, et RAM = elektrooniline mälu. Ehk et kõik, mida kettale ei salvestata, kustub kohe kui programm sulgeda.

Aga tegelikkuses pole siis kasu ka sellest, et sisenetakse läbi Chrome inkognito-akna või Safari private browsingu, mis ei salvesta küpsiseid ega passworde?

Sven ütles ...

Moodne operatsioonisüsteem on üsna keeruline ja ma küll ei julgeks väita, et asjad, mis on mälus, kunagi kettale ei jõua. OS kirjutab hoiab ju kettal virtuaalmälu, swapib jne jne. Nn inkognito-aken aitab väidetavalt (usume ainult brauseritootja väiteid!) tõesti selle vastu, et kettale midagi ei "unustata", aga ... Võrguliikluse pealtkuulamise jms vastu ei aita see mitte kunagi. Võrguliikluse pealtkuulamise vastu aitab ainult väga korralik end-2-end krüpteerimine JUHUL KUI oled 100% kindel enda privaatvõtme turvalisuses ja turvaprotokolli implementeerimise kvaliteedis.

Hiljutine OpenSSL-i Heartbleed bug näitas ilmekalt, et teoorias võib kogu krüpto olla ülikõva jne jne, aga kui implementatsioon ehk konkreetne programm on vigane, siis ei aita ei ussi- ega püssirohi. Selletõttu on tõsiseltvõetava krüpto puhul AINUMÕELDAV kasutada avatud lähtekoodiga lahendusi. Kui ise neid veel lugeda ja kompileerida ka oskad, siis peaks suur osa riske olema kaetud.

Muidu aga hakkab mulle aasta-aastalt üha rohkem tunduma, et kogu see arvuti- ja võrguvärk on väga ebaturvaline ja Internet sarnaneb turuplatsile. Kõik protokollid, mis kehtivad aegade algusest (http, ftp, smtp jne jne) on loodud teistsuguse filosoofia egiidi all - avatuse filosoofia egiidi all. Vahepeal on aga maailm drastiliselt muutunud, mängu on tulnud RAHA ...