Henrik Roonemaa: ära oma parooli vaheta

IT-inimestel on aeg üles ärgata ja tunnistada, et see kõik on jama. Paroolid on oma aja ära elanud ja need tuleks asendada millegi muuga. Enamik inimesi on ilmselt vähemalt kümmekonna eri veebiteenuse kasutajad. Paljudel meist on kontod kümnetel veebisaitidel: e-post, pangad, lennufirmad, meediaväljaanded, sotsiaalvõrgustikud, foorumid, suhtlusprogrammid ja nii edasi ja nii edasi. Kui me kõik järgiks IT-spetsialistide soovitusi, ei saakski me muud teha, kui hommikust õhtuni uusi paroole välja mõelda ja neid muudkui erinevates saitides vahetamas käia.

Viimased nädal aega on kõvasti juttu olnud järjekordsest suurest internetiga seotud turvaaugust nimega Heartbleed, mille tõttu olid juba mitu aastat paljud suured ja väikesed veebiteenused häkkeritele ligipääsetavad. Nad võisid jälgi jätmata selle augu kaudu varastada paroole ja muud meie isiklikku infot. Nüüd see auk avastati ja ma olen saanud nädal aega kirju, et selles ja tolles teenuses tuleks nüüd parool välja vahetada. Peale Heartbleedi avastatakse kogu aeg ka väiksemaid turvaauke ja muidugi saadetakse jälle siis kõigile kasutajatele automaatne teade, et nüüd oleks tarvis oma parool välja vahetada.

Eile andis paroolide vahetamise soovituse Eesti internetikasutajatele ka Riigi Infosüsteemi amet: «Need tuleks kindluse mõttes vahetada kõigis veebikeskkondades, muuhulgas ka Google’i/Gmaili, Facebooki, Yahoo, Dropboxi, Tumblri ja Amazoni teenustes,» seisis selles.

Palju õnne. Sisuliselt on see tõepoolest adekvaatne soovitus, aga see ei toimi. Ma olen kindel, et enamik kasutajaid kustutab sellised kirjad lihtsalt ära ning elab oma igapäevast elu edasi. Ja mis veel hullem, tavalistel inimestel ei ole superturvalised paroolid nagu «6TYhgcxzx%#(», nad kirjutavad parooliks ikka «taburet» või «lillepott» ja kui süsteem nõuab suurtähte ja numbrit, siis nad teevad oma paroolist «Taburet1968», unustavad selle siis kohe ära ja helistavad pärast mulle, sest nad ei saa oma e-posti lugeda.

Võimalusi, millega parooli asendada, on mitu. Üheks heaks näiteks on ID-kaar­t, sest lisaks mu paroolile peavad kurjategijad siis ära varastama ka mu ID-kaardi ja see on juba palju keerulisem ettevõtmine. Samas ei ole tõenäoline, et ID-kaardi moodi asi üle maailma kiiresti levima hakkaks, küll aga levivad suure hooga näiteks nutitelefonid. Kui ma Facebooki või Dropboxi sisse login, saadetakse mulle juba praegu ka kontroolkood SMSiga ja nii ei olegi eriti tähtis, mis mu parool parajasti on. Sisse logida saab vaid siis, kui SMSiga tulnud koodi ka õigesti sisestad. Eesti mobiil-ID teenus toimib umbes samamoodi.

Sellel plaanil, millekohane manifest on ka veebisaidil passwordless.org, on oma miinuseid, aga vähemalt lõppeks siis ära praegune pimesikumäng, kus IT-spetsialistid teevad näo, et nad tõesti usuvad, et sajad miljonid inimesed tegelevadki päevast päeva ainult uute paroolide väljamõtlemisega. See on ohtlik enesepettus.