Kuidas veebisaitide paroole tugevamaks muuta?

 (3)
Valaste joal
Foto: Andres Putting

Öelge 8tähemärgilistele salasõnadele hüvasti, need on nõrkadele. Georgia Tehnoloogiainstituudi hiljutine uuring näitab, et koitmas on 12tähemärgiliste paroolide ajastu.

Uuringu läbiviijad kasutasid graafikakaartide klastereid (need on ju odavad ja neid saab programmeerida väga kiiresti algelisi arvutusi sooritama).

Nad suutsid kaheksast tähemärgist koosnevad paroolid vähem kui kahe tunniga lahti murda. Sama tulemus 12tähemärgiliste puhul võtnuks aga 17 134 aastat!

Projektis osalenud Richard Boyd leiab, et 12tähemärgilised paroolid peaks praegu juba standardiks olema. 12 on parim arv, sest leiab tasakaalu mugavuse ja turvalisuse vahel.

Nad eeldasid, et osav häkker suudab kuni triljon paroolikombinatsiooni sekundis läbi proovida. 11 tähemärgi lahtimuukimiseks kuluks 180 aastat, aga vaid ühe tähemärgi lisamise puhul kasvab see aeg enam kui 17 000 aastani!

Hea idee oleks kasutada uuteks paroolideks terveid lauseid, mitte sõnade ja numbrite kombinatsioone. Üks soovitus (inglise keeles) on No, the capital of Wisconsin isn't Cheeseopolis! Või ehk midagi kergemat: I have two kids: Jack and Jill.

Arengud odava arvutusjõudluse vallas muudavad pikad keerukad paroolid vajalikuks, aga mitte sugugi kõigi veebisaitide käigushoidjad ei lisa neid oma turvalahendustele, märkis Boyd. Parim oleks kasutada nii pikka ja keerukat parooli kui sait lubab, näiteks kui sait võimaldab märke nagu @y;}v%W$\5\, peaks neid kasutama.

Standardklaviatuuril (inglise tähestikuga) on 95 tähte ja sümbolit. Rohkem tähemärke tähendab rohkem ümberpaigutusi ja arvutil muutub peagi raskeks õiget parooli ainult n-ö arvamise teel kätte saada.

Osad veebisaidid lubavad kasutada ülipikki paroole. Fidelity.com lubab näiteks 32tähemärgilisi.

Turvalistele paroolidele pühendatud Microsofti sait õpetab, et salasõna ei tohiks olla päris sõna või tähtede loogiline kombinatsioon. See hoiab teid paremini "sõnastikurünnaku" eest, mis kasutab sõnade ja enamlevinud tähemärgijärjestuste andmebaasi, et parooli ära arvata.

Georgia Tehnoloogiainstituudi kasutatud graafikakaartide protsessorid jooksid üheaegselt ja püüdsid kõiki paroolikombinatsioone ära arvata. Mida pikemad salasõnad, seda rohkem katseid see muidugi nõudis.

Probleem on muidugi mugavuses: kuidas suuta igale külastatud saidile uut ja võimalikult turvalist salasõna välja mõelda? Inimestel on üldiselt kombeks kasutada sama parooli igal pool.

Üks lahendus on paroole kasutaja jaoks salvestav veebisait Password Safe, aga häkkeril on siiski võimalik selle sisu kätte saada. Samuti on probleem, et paljud saidid nagu Facebook näitavad sisselogimisi ja kasutajanimesid, et mitmesugustele eri saitidele veebis ligi pääseda.

Saadaval on ka pisikesed seadmed, mis genereerivad mitu korda minutis suvalisi numbreid, mida parooli juures sisselogimiseks kasutada. Need maksavad paartuhat krooni ja nende jõudlus on võrreldav paari aasta taguste superarvutite omadega.