Eelmisel nädalal riputati PasteBin-i tarkvaraarendusfoorumisse üles 10 000 Hotmaili parooli koos kasutajanimedega. Sellesisuline BBC uudis levis kiiresti üle maailma ning peatselt selgus, et varastatud on ka Gmaili ja Yahoo! Maili paroole.
Nii Microsoft kui Google eitavad sissemurdmist ja neil on õigus – kaotsiläinud paroolid andsid pättide kätte…
kasutajad ise.
Tundub, et paljud inimesed üle maailma on saanud sellise teate:
Ehk siis neil on palutud kirjas, mis näeb välja täpselt nõnda, nagu ta oleks saadetud Windows Live administraatori poolt, minna etteantud aadressile, mis näeb pealiskaudsel vaatlemisel kuuluvat Windows Live domeeni, oma kasutajakontot seadistama.
Tegelikult suunas see link kasutaja sellisele veebilehele, mis nägi küll välja nagu Windows Live oma, kuid asus hoopis ühes teises serveris. Loomulikult üritas kasutaja sinna oma kasutajanime ja parooliga sisse logida, ja kui see ei õnnestunud, kordas oma katset, kinnitades kurjategijatele oma parooli veelkord üle.
Ilmselt rünnati samal viisil ka Gmaili, Yahoo Maili ja paljude teiste sotsiaalsete võrgustike kasutajate kontosid.Varastatud paroolid kuulusid öeldavasti Euroopas, täpsemini Lõuna-Euroopas asuvatele kasutajatele. Nii Microsoft kui Google kinnitavad, et pärast nimekirja avalikukstulekut sundisid nad neis olevaid kasutajaid oma salasõna vahetama.
Turvaspetsialistid toovad antud juhtumiga seoses välja veel kaks haavatavat kohta. Nimelt on paljudel paroolipõhistel autentimissüsteemidel ka meeldetuletusfunktsioon, mis küsib teilt kasutajatunnust ja vastust lihtsale turvaküsimusele. Vähemalt Windows Live ja Gmaili puhul on meiliaadress ühtlasi ka kasutajatunnuseks, väga paljude meilisüsteemide turvaküsimused aga olid kuni viimase ajani liiga lihtsad.
Sama on turvaspetsialistid üsna üksmeelselt väitnud ka lekkinud 10 000 salasõna kohta. Arvutikaitse on viletsatest salasõnadest ka varem kirjutanud.
Mida teha, kui kahtlustate, et ka teie parool on internetti lekkinud? Loomulikult tuleks parool vahetada, kasutades selleks mitte suvalises kirjas antud, vaid ise brauseriribale tipitud aadressi.
Hea poliitika on salasõnu ka perioodiliselt vahetada, meeldejätmiseks aga mitte loota mälule või kleepsupaberile, vaid paroolihaldustarkvarale. Viimastest soovitan näiteks selliseid:
Ka Peeter Marvet on kirjutanud meeldejäävaid paroole genereeriva skripti.
NB! Makrosid sisaldavad dokumendid, isegi kui need pärinevad Arvutikaitse lehelt, kontrollime enne koduses arvutis käimatõmbamist viirustõrjega üle – muudame selle endale harjumuseks!
Marveti paroolides on puudu numbrid ja suurtähed
Pakuks, et isegi teades piirangust “kaas- ja täishäälik vaheldumisi, suurtähti ja numbreid ei kasuta” on tegu oluliselt tugevama parooliga kui keskmise kodaniku oma seda täna on.
Ja… seal failis pole kirjas (sest tundus natuke liiga pikk) AGA ma muidu levitan seda koos soovitusega stiilis:
“Mõtle välja 8-12 tähene uudis-sõna mis sisaldab vaheldumisi kaas- ja täisshäälikuid. Kui leiad ilusakõlalise sõna võib seda veidi pipardada muutes mõne tähe suureks või asendades numbriga. Kellel on parasjagu loomekriis leiab abi lisatud Exceli-failist – see genereerib igal avamisel 200 uut suvalist (ent Petsi “lemmikreeglile” vastavat) parooli, leia nende hulgast mõni mis tundub meeldejääv ja piparda veidi.”
Sama tabelit on muideks mugav kasutada tehes massiliselt uusi kasutajakontosid (kusjuures ma olen veidi kahevahel, kas praktikas oleks parem kui see oleks ainult esimeseks loginiks ja kasutaja saaks selle kohe koeranimeks vahetada… või siis lepiks teadmisega, et ma olen tema random-parooli korra näinud ja ta elab sellega kuni töösuhte lõpuni ning paneb ka järgmisele koerale nimeks :-).
Avades ei genereerita midagi (Excel 2003 kahes eri masinas) ja #NAME? kohal öeldakse, et valem sisaldab tuvastamatut teksti.
ouch. ilmneb, et suvaliste väärtuste saamiseks kasutet RANDBETWEEN on funktsioon mis eeldab Analysis ToolPaki olemasolu, http://office.microsoft.com/en-us/excel/HP052092301033.aspx (mul on Maci peal Office2008, see ilmselt omab seda funktsionaalsust vaikimisi)
AGA ma saadan kohe Aarele parandet versiooni mis tavalist RANDi kasutab (ja kus on kirjas ka lühendatud soovitus pipardamiseks; ja kes uut valemit vaatab ja ABSi üle imestab… siis mulle jäi näppu miski viide Excel2003 bugile mis vahetevahel negatiivseid väärtusi genereerivat).
11-12 pikkune parool käib küll, kuid tuleb tõdeda, et lahtine interneti- liiklus (http) on loetav.
Seega https ja id tuvastus.
Vahetatud.