:format(webp)/nginx/o/2017/12/15/7409583t1h4950.jpg)
Eestlastest veebikasutajate paroolide andmebaasi tekkimine veebi viitab sellele, et meil on rakenduste arendamisel turvalisusega tublisti mööda pandud, leiab küberasjatundja Peeter Marvet.
Peeter Marvet eestlaste andmelekkest: kuritegelikult lohakas tarkvaraarendus! (14)
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Seda probleemi kommenteeriks kolme sõnaga: kuritegelikult lohakas tarkvaraarendus.
Paroolide turvalisus on ilmselt läbi aastate kõige enam jutuks olnud küberhügieeni valdkond, paraku on liiga suur osa sellest tegelenud probleemiga valest otsast. «Paroolis peavad sisalduma suur täht, väike täht, number ja erimärk ning seda tuleb iga 3 kuu järel vahetada» sobib inimsusevastaste kuritegude nimekirja, mitte kasutamiseks.
Selle tulemuseks on rakendused, mis on harjutanud kasutajad Parool1! stiilis salasõnadega ja jätnud arendajale või tellijale tunde, et parooli-turvalisusega on tegeletud küll ja veel.
Analüüsides lekkinud paroolibaase ilmneb aga, et reaalseid probleeme on meil kolm:
- rakendused talletavad paroolid loetaval kujul. Õige oleks talletada vaid «parooli sõrmejälg» ehk räsi, millest andmebaasi lekkimisel ei ole võimalik parooli välja rehkendada;
- ülearu keeruliste nõuete tõttu mõeldakse välja üks «hea parool» ning kasutatakse seda kõikjal. Mõistlik oleks rohkem rõhuda eri paroolide olulisusele, et ühe teenuse paroolibaasi leke ei mõjutaks teisi;
- ... ning see «hea parool» on sageli kasutaja nimi või mõni levinud sõna, suurtäht alguses ja number või erimärk lõpus. Baasi lekkimisel saab selliseid n-ö sõnaraamatu ja paari reegli abil kergesti murda.
Esimene punkt ei ole otseselt kasutaja võimuses – selle eest vastutavad ettevõtted ja organisatsioonid, kes vastavaid veebiteenuseid käitavad. Ning isegi kui enamik hakkaks homme korralikuks, jääks hulk selliseid, mis ei hoia paroole turvaliselt... ning sama parooli mitmes kohas kasutamisel piisab ühest ebaturvalisest rakendusest.
Kasutaja jaoks on lahendusi kaks: pikk unikaalne parool (vt nt https://rabool.eu genereeritud näiteid: «otsus elus miljoni toob») mille sappa võib siis kõik nõuete rahuldamiseks vajalikud märgid panna ja mingi lahendus nende meelespidamiseks.
Selleks viimaseks sobib nii haruldaselt hea mälu kui parooliseif, mis lubab ühe tõeliselt pika ja turvalise parooli taha peita kõik eluks vajalikud saladused.
-----
Täna ilmnes, et internetis on kättesaadav umbes 215 000 Eesti internetikasutaja konto ja paroolidega otsitav andmebaas. Eesti kasutajate andmed pärinevad kokku 1,4 miljardi konto seast, mis on aastatel 2004–2017 lekkinud ligi 250 erinevast e-teenustest ja ettevõttest. Andmebaasi looja sõnul pärinevad need juba varem keskkondades LinkedIn, Yahoo ja Dropbox lekkinud kasutajaandmetest.
Seda, kas kellegi parool on ka tegelikult lekkinud, saab kontrollida aadressil https://gotcha.pw/