Ülemaailmne salasõna päev, mida pühitsetakse maikuu esimesel neljapäeval, on õigeaegne meeldetuletus tõsiasjale, et salasõnad on meie kohta käiva isikuteabe rikkuse võti. Ent vilets salasõnapraktika, kaasa arvatud sama salasõna kasutamine juurdepääsuks paljudele kontodele võib kaasa tuua tõsiseid riske ja õõnestada meie privaatsust ja küberjulgeolekut.
Oleks kena kujutleda, et kui „salasõna leiutaja“ kandidaadid oleksid teadnud, kui suurde kähmlusesse sajandeid hiljem tema arvutiteisend lõpuks satub selle tõstatamises, ei oleks nad selle pärast kunagi muretsenud. Või ehk selle leiutaja – võib-olla gileadlane või Rooma sõdalane – lihtsalt ei hoolinud valikust turbe ja mugavuse vahel, mis vaenab meid internetiajastul. Igatahes on militaarne salasõna kohal, et jääda.
Kui teravmeelitsused jätta, siis tavaelus käib asi nii: te panete kirja oma kasutajanime ja salasõna, mida ainult teie üksi teate, ning te olete kullatükk. Et uuesti sisse logida, on teil vaja ainult tuletada meelde ja sisestada logimismandaadid. Muidugi te teadsite, et see käib nii, seega võtsite tarvitusele mõned „ettevaatusabinõud“: te seadistasite konto kergesti meeldejääva salasõnaga.
Ja selles ongi probleem. „Kergesti meeldejääv“ võrdub sageli lühikese ja lihtsaga, seega kergesti äraarvatavaga. Eriti tõsi on see salasõnu lahtimurdva tarkvaraga, mis teeb operaatorlikke katsetusi, murdes jõhkralt sisse teie kontole. Selline tarkvara võib avada varakambri sama võlujõuga nagu väljend „Seesam, avane!“ koopasuu hästituntud rahvajutus.
Teisest küljest on raskem murda, kuid ka meelde jätta salasõna, mis on pikk, keerukas ja suvaline. Ja selles peitub ka probleem (jälle!). Paljude võimatult äraarvatavate salasõnade meenutamine ja võimekus pidada meeles, millisele konkreetsele veebiteenusele igaüks neist kuulub, on lihtsalt liiga suur ülesanne, kui teil just pole elevandi ajumahtu.
Salafraasid – korrake minu järel: „Tore on lugeda MeElameTurvaliselt!“ – võib tõepoolest aidata nii turvalisuse kui mugavuse (viimane on lihtsalt meelejäävuse vahendaja) mõttes. Kuid kas on mõistlik, et iga kasutaja peab meeles eristatava salafraasi või salasõna iga eraldi veebikonto jaoks?
Midagi peab loovutama
Mida teevad paljud inimesed – vähemalt need, kes pole elevandid –, on säästa oma turvalisuselt, kasutada jõledat salasõna („123456“, kasutab keegi?) ja minna lõbusalt oma teed. Kuni häkitakse nende kontosid ja ohustatakse nende veebikuvandit või, veel hullem, varastatakse nende identiteeti ja raha. Pealegi on inimloomuses eirata riske, kuni tabab katastroof.
Tundub tõepoolest, et seda kõike ei saa teiega juhtuda; see tähendab paljusid veebikontosid, igal neist on ülimalt tugev, unikaalne ja meeldejääv salasõna või –fraas. Pole ka ime, et meie kannatus katkeb ja valime vaimse otsetee. Me rakendame muud toimetuleku strateegiat, mis õlitaks häkkimise rattaid – salasõna taaskasutamist.
Kui vastandute kasutajamaa turvalisusele, võib kihla vedada teie viimase taala peale, et salasõna taaskasutamine on seal eranditult õige koos kõigi teiste sagedaste ja mõtlematute pahategudega, mida sooritavad kasutajad autentimise vallas. Salasõnad, mis on loodud teise sageli kasutatud strateegiaga, mis sisaldab igale kontole veidi muudetud salasõna („osaline taaskasutamine“), kipuvad olema äraarvatavad ja seetõttu murdmiseks sama kerged.
Miks on salasõna taaskasutamine nii riskantne?
Naabruskond, milleks on internet, võib olla mitmeti pigem vähem kui heanaaberlik, topelt sellepärast, kui andmetega seotud rikkumised on meie kaasaja reaalsus. Rikkumised paljastavad sageli sisselogimise üksikasju, mida – kui te kasutate neid ligipääsemiseks mitmele kontole – saab edukalt kasutada rünnakuteks, mida tuntakse mandaaditoppe (credential stuffing) nime all. See muutub eriti tülikaks, kui ründaja kasutab varastatud või lekkinud ligipääsumandaate, mis kuuluvad ühe konto juurde selleks, et murda sisse teisele – sageli kõrgema väärtusega – kontole. Tänu sagedastele salasõnaleketele on kasutaja-/salasõnakombinatsioonid kergesti kättesaadavad, ning seejuures peaaegu tasuta.
Kui toimub rikkumine ja mandaate pole salvestatud eesrindliku tugeva räsiväärtusfunktsioonidega (näiteks tuletage meelde häket Adobe vastu aastal 2013), võib tugev salasõna või isegi salafraas olla mitte küllaldane tõkestamaks konto hõivamise rünnakut, kui te kasutate sedasama salasõna pääsemaks ligi mitmele veebiteenusele.
Tegurdamine teise teguriga
Paljusid konto hõivamise püüdeid võib nurjata kahe teguriga autentimine (2FA). Lisatud autentimistegur annab lisakaitsekihi lisaks tavalisele salakoodile/salasõnale/salafraasile, ning parandab mingil moel kaasasündinud inimlikud nõrkused, mis tulevad igapäevaselt välja meie viletsa salasõna valimisega.
Siiamaani on kõik hästi. Ent paljud veebiteenuse pakkujad peavad siiski evitama 2FA oma autentimisskeemidesse. (Te saate kontrollida erinevate veebikülgede seisu 2FA suhtes oma silmaga siit: https://twofactorauth.org/.) Lisaks, nagu näitab värske aruanne 2FA omaksvõtu määra kohta Google’i kontode seas (madalam kui 10 protsenti) seda, et isegi kui selline võimalus on aastaid kättesaadav, ei kasuta enamus kasutajaid lihtsalt seda ära, olgu see kas teadmatusest või neil on tähtsamatki teha.
Muidugi on olemas teisi autentimisviise, mis võivad kergendada koormust meie õlgadel (ja ajus), olgu need biomeetria (näiteks sõrmejälje või vikerkesta tuvastamine) või algoritmid mõõtmaks käitumisjooni (näiteks trükkimisrütm) või muud. Ent nende kättesaadavus ja ühtlasi omaksvõtt on pole siiski kaugeltki levinud.
Ent kas on veel muid mooduseid?
Nojah, ehkki järgnev astub tegelikult ägedalt vastu paljudele nõuannetele, mida jagavad turbekutid. 2014. aastal avaldas Microsoft Research dokumendi, mis soovitas erinevat tegevussuunda. Mõeldes erinevatest veebikontodest kui millestki katkematust tervikust, kinnitas dokument, et salasõnade taaskasutamine on teataval määral vältimatu, kuid see peaks jääma madala riskitaseme ja väärtusega teenustele. Teiste sõnadega, põhjendused olid sellised, et kõik kontod pole sünnilt võrdsed, ja seepärast peaks need jagama väärtusrühmadesse. ESET-i vanemteadur David Harley kaalus seda lähenemisviisi, vihjates selle võimalikele püünistele, oma läbinägelikus kirjatükis.
Teisest küljest on võimalik, et te ei praagi üldse välja oma veebikontosid ükskõik millisel hulgal, te ajate kergesti läbi unikaalsete ja tugevate salasõnadega või –fraasidega. Te ei soovi ka tegeleda mingi tõsise mnemotehnikaga või püüelda sobivust mälumängule.
Seda silmas pidades on väidetavalt kergeim asi, mida teha, panna kõik oma salasõnad (muidugi tugevad ja unikaalsed) mingisse digiseifi. Selline hoidla on pühendunud salasõnahaldustarkvara, mis ideaalis krüpteerib ja salvestab kõik teie salasõnad arvutis ja veebiväliselt.
Salasõnahaldurid on tõepoolest salasõnaturbes moes ja vaistlikult on raske eitada nende väärtust. Lisaks leidis värske uurimus, et salasõnahaldurid teevad head nii salasõna tugevusele kui unikaalsusele, ehkki selline strateegia töötab ilmselt ainult siis, kui salasõnu moodustab tarkvara.
Igal juhul, oletades, et te usaldate oma salasõnahalduri rakendust – ja te ei kasutaks seda, kui ei usaldaks, eks ole? – siis määratleb selle turvalisuse suuresti teie peamise salasõna tugevus. See on topelt asjaomane, kui te arvestate, et te panete tõhusalt kõik oma munad, mõned ka kuldsed, ühte korvi. Sellisest korvist võib tegelikult saada nõrk lüli.
Nad ei pääse läbi
Ilmselgelt on salasõnad puudustega. Välja arvatud see, et meie internetiajastul pole ühtki muud üldlevinud moodust kasutaja autentimiseks. Kuigi aastal 2004 ennustati salasõnadele kohe saabuvat hingusele minekut, võivad nad olla üle elanud oma taastuleku. Tundub, et kulub veel mõnda aega, enne kui nad lähevad dinosauruste teed.
Kokkuvõttes on mõned asjad arvutiturvalisuses tavakasutaja kontrolli alt väljas, kuid miks mitte minna ja parandada asju, mis on kontrolli all? Mingi moel annab paljude teiste inimeste püsivalt vilets salasõnapraktika võimaluse olla esirinnas. Mis selles halba on?
Allikas: Welivesecurity
