Paroolid on meie di­gi­taalse iden­ti­teedi võtmed. Tugev parool on esimene kait­se­liin kü­ber­kur­ja­te­gi­jate vastu. Sta­tis­tika näitab aga, et 36% Ühend­ku­ning­riigi vas­ta­ja­test kasutab sama parooli 5–10 vee­bi­sai­dil ning 35% tunnistas, et vahetab parooli iga päev või mitu korda nädalas.

Millised on parooli tur­va­li­suse nõuded?

Paljud inimesed kasutavad endiselt nõrkuid või kergesti ära­ar­va­ta­vaid pa­roo­li­kom­bi­nat­sioone. Paroolide kõrge tur­va­li­suse ta­ga­miseks tuleks arvesse võtta mitmeid tegureid. Turvalise parooli valimine ja pa­roo­li­hal­duri ka­su­ta­mine on paroolide tur­va­li­suse sei­su­ko­halt põhilised aspektid.

Mis teeb paroolid tur­va­li­seks?

Kuigi tur­va­li­sed paroolid üksi ei suuda pakkuda ab­so­luut­set kaitset kü­ber­kur­ja­te­gi­jate rünnakute vastu, on turvalise parooli loomine ikkagi äärmiselt oluline teie kontode kaits­miseks. Kasutajad saavad kont­rol­lida, kas nende valitud parool on turvaline, järgides mitmeid kri­tee­riume:

  • Pikkus: Parooli pikkusel on otsustav tähtsus, kuna pikemaid paroole on eks­po­nent­siaal­selt raskem murda kui lühemaid. Tugev parool peaks olema vähemalt 12–16 tähemärki pikk.

  • Komp­leks­sus: Turvaline parool peaks sisaldama suuri ja väikseid tähti, numbreid ning erimärke, nagu @, # või $. Selline mit­me­ke­si­sus muudab parooli ära­ar­va­mise raskemaks nii ini­mes­tele kui ka au­to­ma­ti­see­ri­tud töö­riis­ta­dele.

  • Et­te­nä­ge­ma­tus: vältige pa­roo­li­des lihtsaid mustreid või ära­tun­ta­vaid sõnu, kuna kü­ber­kur­ja­te­gi­jad kasutavad sageli sõ­nas­ti­ku­rün­na­kuid, testides levinud paroole.

  • Uni­kaal­sus: Ärge kasutage sama parooli mitmes teenuses ja plat­vor­mil. Kasutage hoopis iga vee­bi­tee­nuse jaoks uni­kaal­set parooli.

  • Re­gu­laar­sed uuendused: Eriti krii­ti­liste teenuste puhul võib paroolide re­gu­laarne uuen­da­mine vähendada vara­se­mate tur­va­li­suse rik­ku­miste tõttu tekkiva ära­ka­su­ta­mise riski.

Õige pa­roo­li­hal­duri valimine

Pa­roo­li­hal­du­rid on prak­ti­li­sed vahendid keerukate paroolide loomiseks ja tur­va­li­seks hoid­miseks. Õige pa­roo­li­hal­duri valimisel veenduge, et see toetab lä­bivk­rüp­tee­ri­mist ja sisaldab selliseid funkt­sioone nagu rik­ku­miste hoiatused või tur­vaau­di­tid. Re­gu­laar­sed uuendused on veel üks märk usal­dus­väär­sest pa­roo­li­hal­du­rist.

Viimaste aastate suurimad paroolide lekit

Iga päev usaldame et­te­võ­te­tele ja teh­no­loo­giale tohutuid koguseid tundlikke andmeid, kusjuures paroolid on sageli ainus kait­se­meede – mida, nagu näib, ei võeta piisavalt tõsiselt. Seda kin­ni­ta­vad arvukad and­melek­ked veebi viimase aja ajaloos. Kü­ber­kur­ja­te­gi­jad on korduvalt pääsenud ligi sis­se­lo­gi­mis­and­me­tele, kasutades selleks selliseid meetodeid nagu pahavara, pet­tus­mei­lid või jõu­võt­tega rünnakud, ning va­ras­ta­nud kon­fi­dent­siaal­seid ka­su­ta­ja­and­meid. Allpool on ülevaade mõnest olu­li­se­mast juhtumist:

  • LinkedIn (2012, 2016): LinkedIn sattus 2012. aastal häkkimise ohvriks, mille ta­ga­jär­jel varastati üle 6,5 miljoni hashitud parooli. 2016. aastal ilmusid dark webis veel 117 miljonit selle rünnaku käigus va­ras­ta­tud sis­se­lo­gi­mis­andmet.
  • Yahoo (2013, 2014): Üks suurimaid tur­va­li­suse rikkumisi tabas Yahoo’d. Aastatel 2013–2014 sattus ohtu kokku kolm miljardit kontot, seal­hul­gas ka­su­ta­ja­ni­med, paroolid ja tur­va­kü­si­mu­sed.
  • Adobe (2013): rikkumise käigus varastati üle 150 miljoni Adobe’i ka­su­ta­ja­konto, millest paljude paroolid olid halvasti krüp­tee­ri­tud.
  • Facebook (2019): Facebook ava­li­kus­tas, et miljoneid ka­su­ta­jate paroole hoiti si­se­mis­tel ser­ve­ri­tel ta­va­teks­tina. Kuigi andmed väl­ja­poole ei lekkinud, tõi juhtum esile vajaduse tur­valiste tavade järele isegi ettevõtte tasandil.
  • Kogumikud #1–#5 (2019): 2019. aasta jaanuaris avaldati selle mega-and­melekke raames üle kahe miljardi e-posti aadressi ja parooli eri­ne­va­test al­li­ka­test, seal­hul­gas tea­daole­va­test ja varem tund­ma­tu­test lekketest.
  • Twitter/X (2022): Tur­va­li­suse rikkumise tõttu ava­li­kustati vea tõttu üle 5,4 miljoni konto isi­ku­and­med, seal­hul­gas te­le­fo­ni­numb­rid ja e-posti aadressid.
  • RockYou (2024): RockYou2024 oli massiivne andmeleke, mida peetakse üheks suurimaks, mis kunagi avaldatud on, ja mis hõlmas üle 9,9 miljardi eri­ne­va­test al­li­ka­test kogutud parooli.

Need sündmused rõhutavad kü­ber­tur­va­li­suse ot­sus­ta­vat tähtsust. GMX-i poolt 1050 inimese seas läbi viidud esin­dus­liku uuringu tulemused on seda ül­la­ta­va­mad: 64% vas­ta­nu­test kinnitas, et kasutab sama parooli mõnes või isegi kõigis oma vee­bi­kon­to­des, samas kui vaid 21% kasutab iga konto jaoks erinevat parooli. 2019. aasta GMX-i uuring näitas ka, et 9% ei olnud oma peamise e-posti konto parooli kunagi vahetanud, mis teeb nad väga haa­va­ta­vaks.

Image: Infographic: The British and their passwords
In­fog­rap­hic on the topic ‘The British and their passwords’.
Note

Kü­ber­kur­ja­te­gi­jad ei kasuta rünnakute soo­ri­ta­miseks sageli oma arvuteid, vaid kasutavad ära pa­haa­i­ma­ma­tute ka­su­ta­jate seadmeid. Need seadmed na­ka­ta­takse pa­ha­va­raga, mis võimaldab rün­da­ja­tel neid kaug­juhtida. Sellised nakatunud süsteemid, mida ni­me­ta­takse sageli botiteks või zombideks, on or­ga­ni­see­ri­tud suurteks võrkudeks.

Kuidas kont­rol­lida parooli tur­va­li­sust

Paroolide tur­va­li­suse kont­rol­li­mine on oluline samm oma di­gi­taal­kon­tode kaits­misel vo­li­ta­mata juur­de­pääsu eest või and­melekke järel. Kasutada on mit­me­su­gu­seid meetodeid ja vahendeid, millega saab kont­rol­lida, kas teie paroolid on sattunud võõraste kätte, vastavad keh­ti­va­tele tur­va­stan­dar­di­tele või on liiga nõrgad.

And­melekke kont­rol­li­miseks mõeldud vee­bi­tee­nu­sed

  • Have I Been Pwned (HIBP): Üks tuntumaid ja usal­dus­väär­se­maid platvorme on Have I Been Pwned (HIBP). Siin saad kont­rol­lida, kas sinu e-posti aadress või parool on sattunud tea­daoleva and­melekke ohvriks. Si­ses­ta­des oma e-posti aadressi, saad nimekirja vee­bi­sai­ti­dest, kus on toimunud andmeleke ja kust sinu andmed võivad olla va­ras­ta­tud. Veebisait võimaldab ka paroolide otsest kont­rol­li­mist, tagades ano­nüüm­suse spet­siaal­sete rä­si­mis­teh­no­loo­giate abil.
  • Google Security Check: Google pakub Chrome’is in­teg­ree­ri­tud paroolide kont­rol­li­mise funkt­siooni. Brauser hoiatab teid, kui mõni teie sal­ves­ta­tud pa­roo­li­dest on olnud osa and­me­le­kest. Lisaks saate oma Google’i konto kaudu teha põhjaliku tur­va­kont­rolli, mis tuvastab ka nõrgad või kor­duv­ka­su­ta­tud paroolid.
  • Pa­roo­li­hal­du­rite tur­va­oma­du­sed: Paljud tä­na­päe­va­sed pa­roo­li­hal­du­rid pakuvad funkt­siooni, mis kont­rol­lib teie sal­ves­ta­tud paroole. Need töö­riis­tad otsivad nõrkusi, korduvat ka­su­ta­mist ja tea­daole­vaid tur­va­li­sus­juh­tu­meid. Sel viisil saate selge ülevaate sellest, millised paroolid vajavad uuen­da­mist.

Parooli tugevuse kont­rol­li­mine

Lisaks and­melek­kide kont­rol­li­misele on oluline hinnata ka paroolide tugevust. Selleks on olemas mitmed töö­riis­tad, mis hindavad parooli pikkust, keerukust ja entropiat (ju­hus­lik­kust). Need teenused si­mu­lee­rivad ka seda, kui kaua võtaks aega parooli murdmine jõu­võt­tega. Näiteks parooli 123456 saab murda vähem kui sekundiga, samas kui tugevam parool, nagu X$4g8JwQ!a_%j, suudaks rün­na­ku­tele vastu pidada aastaid.

Käsitsi lä­bi­vaa­ta­mine ja jä­re­le­valve

Kui teate, et mõni konk­reetne platvorm on langenud and­melekke ohvriks, kont­rol­lige, kas teil on sellel plat­vor­mil konto. Vahetage oma paroolid kohe välja, eriti kui olete neid kasutanud ka teistel vee­bi­sai­ti­del. Samuti on kasulik jälgida kü­ber­jul­ge­oleku uudiseid või platvorme nagu Reddit (nt alam­foo­rum [r/netsec]), et olla kursis uute and­melek­ke­dega. Tur­va­au­ku­dest tea­ta­takse seal sageli varem kui ametlike kanalite kaudu, mis võimaldab teil õi­ge­aeg­selt en­ne­tus­meet­meid võtta. Lisaks pakuvad sellised töö­riis­tad nagu HIBP e-posti teateid, mis hoiatavad teid, kui teie e-posti aadress ilmub uues and­melek­kes.

Go to Main Menu