Parool (informaatika): definitsioon, tüübid ja turvalisus
Parool on autentimise viis ja üks enim levinud identiteedi kinnitamise meetoditest. Parool on teadmisbaasiline ehk „midagi, mida sa tead” tüüpi autentimisfaktor; selle kõrval on olemas ka omamise faktor („midagi, mida sul on”, nt turvaüksus) ja biometrilised faktorid („midagi, mis oled”, nt näo- või sõrmejälg). Kuna parool võib olla ainuke viis isiku tuvastamiseks, tuleb seda hoida salajas ning kasutada turvalisi tavasid selle loomisel ja hoidmisel.
Parooli tüübid
Paroolid võivad olla:
- Staatilised – jäävad samaks kuni kasutaja neid muudab; neid tuleb perioodiliselt uuendada vastavalt poliitikale.
- Dünaamilised – muutuvad regulaarselt ja kehtivad ainult piiratud aja jooksul. Üks näide on ühekordne parool, mida saab kasutada ainult üks kord (OTP).
Lühike ajalooline taust
Paroole kasutati esimest korda sõjaväes, et pimedal ajal või vaenulikes olukordades oleks võimalik kindlaks teha, kes on sõber ja kes vaenlane. Sellesse pärandisse põhineb tänapäeva autentimine, kuigi tehnoloogiad ja ohutustasemed on oluliselt arenenud.
Parooli koostis ja tugevus
Kaasaegsed paroolid võivad koosneda märkidest, suur- ja väiketähtedest ning numbritest. Mõned süsteemid nõuavad minimaalset tähemärkide arvu (tavaliselt vähemalt 8, aga turvalisuse huvides soovitatakse 12–16 või enam), teised nõuavad erimärke. Mõned veebisaidid piiravad kasutatavaid märke ainult tähtedele ja numbritele ning keelavad teised klahvid klaviatuuril, samas kui teised soovitavad kasutada tähtede ja numbrite kombinatsiooni, samuti erimärke ja pikkust, et suurendada parooli entropiat ja raskendada ründaja jaoks selle äraarvamist.
Praegused turvalisuse juhised kallutavad pikkuse ja juhuslikkuse kasuks: lihtne, lühike sõna on kergemini murdmiseks kui pikk juhuslik fraas (passphrase). Näited headest praktikast:
- kasuta unikaalset parooli iga teenuse jaoks;
- eelistatult kasuta pikki passphrase’e (nt 3–4 juhuslikku sõna), mitte lühikesi keerulisi sõnu;
- kasuta paroole, mida ei saa kergesti ära arvata (väldi isiklikku infot, sünnipäevi, sõnaraamatusõnu);
- kasuta vajadusel paroolihaldurit, mis loob ja hoiab unikaalseid tugevaid paroole.
Veebisaidid sageli soovitavad häkkimise vähendamiseks muuta salasõna kord aastas või sagedamini olenevalt riski tasemest. Kui parool on liiga lihtne või korduv, võib inimene olla võimeline salasõna ära arvama või selle lekkimisel kaotab kasutaja ligipääsu mitmele kontole. Parooli sisestamise ajal kuvatakse iga salasõna täht tavaliselt asemel * või •; tänapäeval on sageli võimalus kuvada või peita sisestatud sõna, et vähendada sisestusvigu ilma turvalisust oluliselt langetamata.
Muud autentimisviisid ja mitmefaktoriline autentimine
Paroolile alternatiivina või koos sellega kasutatakse ka teisi meetodeid, nt sõrmejälgede skannerid ja näotuvastus. Turvalisuse suurendamiseks soovitatakse mitmefaktorilist autentimist (MFA), kus kombineeritakse vähemalt kaks erinevat faktorit (nt parool + OTP või parool + biomeetria).
Krüpteerimine, räsi ja paroolide hoidmine
Krüpteerimine on andmete tõlkimine andmete turvalisuse saavutamiseks. Krüpteeritud teksti lugemiseks tuleb esitada õige salajane võti või salasõna, et seda dekrüpteerida. Krüpteerimine on tavaliselt pöörduv protsess (kui on olemas võti), teine oluline tööriist turvalisuses on aga räsi ehk hashing.
Hashing on ühesuunaline funktsioon ja on pöördumatu: selle tulemusena saadud räsi ei võimalda algteksti lihtsalt taastada. Paroolide turvaliseks hoidmiseks ei tohiks kunagi salvestada paroole tavalise tekstina. Hea praktika on:
- salvestada paroolide asemel neid räsi kujul koos unikaalse soolaga (salt);
- kasutada aeglaseid ja ressursimahukaid hästikujundatud algoritme nagu bcrypt, scrypt või Argon2 (väldi MD5/SHA1 ilma soola ja kontekstita);
- lisada vajadusel „pepper” (täiendav serveripoolne saladus), piirates samal ajal andmebaasi ligipääsu;
- tagada andmete transpordi turvalisus (HTTPS), rakendada sisselogimise piiranguid (rate limiting), IP-põhine kaitse ja sisselogimise katsete lukustused või viivitused brute-force rünnete vastu.
Turvariskid ja ennetus
Olulised rünnakuliigid ja riskid:
- brute-force ja sõnaraamatu (dictionary) ründed – neile aitab vastu pikk ja juhuslik parool ning sisselogimise piirangud;
- phishing – kasutaja petetakse sisselogimisandmeid jagama; selle vastu aitab ka mitmefaktoriline autentimine;
- andmelekked ja korduvkasutus – sama parool mitmel saidil suurendab ohtu; paroolihaldurid ja unikaalsed paroolid aitavad seda riski vähendada;
- halvasti seadistatud salvestamine (ilma soolata, vananenud hash-algoritmidega) – tagab ründajatele lihtsama ligipääsu salasõnadele.
Lõppkokkuvõttes on parool endiselt praktiline ja laialt kasutatav autentimisvahend, kuid selle turvalisus sõltub nii kasutajast (parooli tugevus, kordumatust ja hoidmine) kui ka teenusepakkujast (õiged salvestustavad, transport ja täiendavad kaitsemeetmed nagu MFA ja rünnete tuvastus).
Seotud leheküljed
- Krüpteerimine - Krüpteerimine
- FreeOTFE - Ketta krüpteerimine
- Pretty Good Privacy (PGP) - e-posti krüpteerimine
- PuTTY - SSH krüpteerimine
Ressursid
- https://useful.tools/password-generator tasuta tööriist tugevate turvaliste paroolide genereerimiseks.
- https://www.theguardian.com/money/2016/may/21/how-create-perfect-password-hackers-online-accounts-safe "Kuidas luua täiuslik parool"
Küsimused ja vastused
K: Mis on salasõna?
V: Parool on autentimisviis, mida saab kasutada isiku tuvastamiseks.
K: Miks on oluline hoida paroole salajas?
V: Paroolide salajas hoidmine on oluline, sest need on ainus viis isiku tuvastamiseks.
K: Mida tähendab, et parool on staatiline?
V: Staatiline parool tähendab, et see jääb samaks, kui kasutaja seda ei muuda, või see muutub harva.
K: Mida tähendab, et parool on dünaamiline?
V: Dünaamiline parool tähendab, et see muutub regulaarselt ja ei jää samaks.
K: Millist dünaamilist parooli saab kasutada ainult üks kord?
V: Ühekordne parool on näide dünaamilisest paroolist, mida saab kasutada ainult üks kord.
