Windows NT võrgu security ja selle kasutamine

Kõige suurem mure on see mure, et muret enam ei ole…

Antud dokument on mõeldud kõikide arvutivõrgu kasutajate tarbeks, sõltumata nende soolisest, rassilisest, usulisest ja vanuselisest kuuluvusest. Autor annab siin ülevaate andmekaitse- ning selle kasutuse põhitõdedest ning järgnevalt konkreetsed juhised, mis nupule ja millises järjekorras vajutada, et kasutada Windows NT turvavahendeid. Alltoodud tõdede omandamine on hädavajalik ning sarnaselt ohutustehnikale, tuleb ka siin anda allkiri, et antud informatsioon on teada antud ja teadmiseks võetud ning alltoodud nõuete mittetäitmisest tuleneva eest vastutab kasutaja ise ja oma peaga.

Miks üldse security?

Security ehk andmekaitse tähendab kasutajatele piiranguid ja täiendavaid ebamugavusi, süsteemide programmeerijatele ja paigaldajatele olulisel hulgal lisatööd ja kõigest sellest tulenevalt tellijafirmadele oluliselt suuremaid kulutusi (~3x). Miks siis üldse tegeldakse niisuguse ahistamise ja rahakulutamisega?!?

Aegamööda on arvutisüsteem muutunud firmade ja asutuste tegevuse ja eksistentsi hädavajalikuks eelduseks, ehk teisisõnu, kui arvuti(d) ei käi, siis katkeb ka asjaajamine. Et ootamatu tööpaus, mis võib lõppeda arvutispetsialisti kurva konstateeringuga, et info, mis nüüd arvutitest vastu vaatab, kajastab kolm kuud varasemat seisu, võib firmale väga kalliks kujuneda, on vaja astuda samme niisuguste olukordade vältimiseks. Kolm vaala, mille seljas elab arvutisüsteemi turvalisus ja tõrkekindlus on:

Security tähendab eeskätt õiguste piiramist, täpsemalt asjaolu, et mitte kõik arvutist möödajalutavad inimesed ei saa arvutiga teha seda, mida heaks arvavad. Tundub olevat veidi ahistav, kuid vahendid on loodud kõigi arvutikasutajate kasu ja turvalisuse huvides — nii nende jaoks, kellele antakse õigusi, kui ka nende jaoks, kelle õigusi piiratakse. Tulemuseks on:

Võõras, ära tule! Et kõikidel, oma igapäevases töös arvutit kasutavatel inimestel on kasutajatunnused (ning paroolid), ilma milleta nad ei saa arvutiga mitte midagi teha, on võõrad ehk sanktsioneerimata isikud täiesti kõrvalised inimesed, kelle igapäevase töö ärategemine ei sõltu arvuti töökorras olekust. Niisugused inimesed ei suhtu arvutisse reeglina heaperemehelikult ning võivad süsteemi mittesihipäraselt kasutades kogemata või lausa meelega põhjustada palju paksu pahandust. Näiteks arvuti juurde pääsenud koristaja pojapoeg, kes kustutab mängule ruumi tegemiseks ära raamatupidajate andmebaasid. Andmete taastamine läheb, vaid töötasusid arvestades, maksma päris kena summa, isegi siis kui on olemas eelmise õhtu koopia ning uuesti on vaja sisse tippida vaid viimase päeva algdokumendid.

Andmekaitse. Igale kasutajale määratakse ligipääsuõigused (vaikimisi on antud ligipääs vaid üldotstarbelisele loomingulise töö tarkvarale, nt. Microsoft Office). Seega ei saa mitte kõik inimesed ligi kõigele serverites talletatavale, mis väldib andmete väärkasutaust ja sellest tulenevaid ebameeldivusi. Näiteks ettevõtte palkade andmebaas tohib olla kättesaadav vaid teatud raamatupidajatele, juhtkonnale ja kassapidajale. Iga kasutaja isiklikud failid, kasvõi näiteks kirjavahetus on aga kättesaadavad vaid temale. Sellest omakorda tuleneb:

Vähem vastutust, vähem kahtlusaluseid. Kui on kindlalt teada, et ükski laopidaja ei saa ligi pangatehinguid sooritavale tarkvarale, ei saa neid ka süüdistada ka avastatud väärülekannete tegemises. Teisalt on kahtlusaluste ring piiratud vaid pangaprogrammile ligi pääsevate kasutajate hulgaga ning süüdlase väljaselgitamine on sedakorda lihtsam.

Tegija jääb (peaaegu) alati kirja. Üldiselt talletab süsteem kõik kasutajate liigutused ning hiljem võib logifailide järgi selgitada, kes kuna ja millega hakkama sai, täpsemalt millise kasutajanime alt sisseloginu milliseid operatsioone millisel kellaajal sooritas. Kõigest sellest tuleb korralikult ülesseatud arvutivõrgus veel üks oluline lisaeelis:

Iga kasutaja saab teha Igast arvutist Igat tööd, mida antud masina riistvara ning tema privileegid võimaldavad (III reegel). Windows 95 ja Windows NT keskkonnas töötades käivad ka töökeskkonna parameetrid (ekraanivärvid, taustapildid, rakenduste parameetrid) kasutajaga arvutist-arvutisse kaasa. Seega muutub mõiste ‘Minu arvuti’ mõisteks ‘Minu kasutajatunnus’.

Iseseisvaks mõtlemiseks

  1. Mis juhtub, kui ma ei saa oma tööarvutit kasutada 20 minutit? 2 tundi? 2 päeva? Kas naaberarvuti võimaldab mul samavõrra teha oma igapäevast tööd?
  2. Mis juhtub, kui see dokument, mida ma olen koostanud nädal aega ja mille esitustähtaeg hingab kuklasse (nt. eriliselt oluline pakkumine, mida on suured ðansid võita), on viimasel ja otsustaval hommikul kadunud ning pole ühtegi töötavat masinat, kus saaks kasvõi kaks päeva vana mustandi uuesti sisse lüüa.
  3. Mis juhtub, kui seesama dokument on sattunud konkurendi kätte, kes teeb, lähtudes sellest mõnevõrra ‘parema’ pakkumise ja esitab selle tund aega enne, kui mina jõuan kohale oma kiiruga ja karvaselt mustandist sisse löödud ning seetõttu (kirja) vigadest kubiseva ja logiseva sõnastusega pakkumisega?

Kasutajatunnus ja parool

Arvutisüsteemide kaitse põhineb kasutajatunnuse – parooli mehhanismil. Enne, kui andmekaitsega süsteemi saab üldse kasutama hakata, peab kasutaja esitama oma kasutajatunnuse (reeglina isikunime modifikatsiooni) ehk ennast identifitseerima. Et aga elu on näidanud, et minad võivad olla vägagi erinevad, peab antud kasutaja kinnitama enese iseolemist, esitades oma, täpsemalt eelnevalt sisestatud kasutajanimega seotud parooli ehk ennast audentifitseerima. Kui kasutajatunnus – parool ei klapi, on tulemuseks veateade ning nime – parooli küsimise protsess ehk logimine algab otsast peale.

Kasutajatunnuse – parooli loomise ja haldamise mehhanismist arusaamisel on põhiprobleemiks analoogilise süsteemi puudumine meie igapäevaelus, mistõttu tuleb veidi pikemalt ja üldisemalt vaadelda kasutajatunnuse – parooli protokolli:

  1. Süsteemiadministraator loob kasutajatunnuse ehk arve (account’i) antud isiku tarbeks antud süsteemis töötamiseks. Reeglina on kasutajatunnuseks inimese eesnimi, perenimi, initsiaalid või kõige eeltoodu mingi kombinatsioon. Näiteks autori, nimega Mait Vestre kasutajatunnused on erinevates (alam)süsteemides olnud Mait, Mait_V, MV, MVestre, MW, Westman jne. Kasutajatunnuse loomiseks ning sellega seotud privileegide muutmiseks on vaja eriõigusi, mis on olemas vaid üksikutel süsteemi kasutajatel. On ka asutusi (tavaliselt küll üht arvutisüsteemi kasutavate asutuste gruppe), kus ühelgi kohalikul töötajal pole peaserveri administreerimisõigust. Igal juhul tuleb kasutajatunnuse saamiseks või ligipääsuõiguste lisamiseks pöörduda oma otsese ülemuse poole, kes lahendab probleemi isiklikult või delegeerib antud töö vastavaid õigusi omavale isikule.
  2. Administraator seab loodud kasutajatunnusele algparooli ning edastab kasutajatunnuse-parooli koos paroolile esitatavate nõuetega (miinimumpikkus, keerukus) kasutajatunnuse omanikule. Oluline kasutajanime/parooli omadus on tõstutundlikkus, mis määrab, kas suur- ja väiketähti loetakse erinevateks. Reeglina kasutajanimi pole tõstutundlik, ehk kasutaja Malle võib esineda ka malle, MALLE, MaLlE jne. nime all, paroolid reeglina aga on. NB! Siit soovitus: kui sisselogimine ei taha juba teisel-kolmandal katsel, vaatamata parooli hoolsale tippimisele õnnestuda, kontrollige, ega Caps Lock pole kogemata sisse ununenud!
  3. Kasutaja logib esmakordselt sisse, esitades tippides oma kasutajatunnuse lahtrisse, mis Ingliskeelsetes programmides kannab pealkirja ‘User:’, ‘Username:’, ‘User ID:’, ‘Login:’ või midagi samalaadset. Administraatorilt saadud algparool tipitakse lahtrisse, mis kannab valdavalt nime Password:, eestikeelsete programmides on peale selge ja lihtsa ‘Parool:’ kasutusel ka ‘Salasõna:’, ‘Salakood:’ jne.
    NB! Parool sisestatakse 'pimesi', ehk tipitud sümboleid, tagamaks parooli salastatust, ekraanil ei näidata. Võimalikud variandid on, et parooli tippimise ajal ei saa ekraanilt üldse tagasisidet või veidi kasutajasõbralikum, kuid parooli pikkust ‘lekitav’ variant, kus kõik parooli sümbolid asendatakse mõne metasümboliga (reeglina ‘*’, ka ‘¨ ’). Kui kasutaja suutis oma kasutajanime ja algparooli õieti sisse lüüa, jõutakse nn. sunnitud ehk automaatselt nõutava paroolivahetuseni.
  4. Paroolivahetus. Klassikaline paroolivahetuse protokoll nõuab kõigepealt vana ehk käigusolevat parooli (võtmesõna Old password:, ka lihtsalt Password:). Vana parooli küsimine on vajalik, et keegi kuritahtlik inimene, kes satub Teie töökoha juurde sellal, kui te olete hetkeks nägemisulatusest väljas, ei saaks teie parooli niisama lihtsalt ära muuta. Kui parooli muudetakse sisselogimisel ehk toimub sunnitud paroolivahetus, võidakse mõnedes süsteemides esialgse parooli küsimine ära jätta, mistõttu tuleb väga tähelepanelikult jälgida, millist parooli parajasti nõutakse!
    Kui vana parool edukalt sisestatud ja sellega enese iseolemine tõestatud, nõutakse uut parooli (võtmesõna New Password:), mille järel uue parooli kinnitust, ehk uut parooli veelkord (võtmesõnad Confirm new password, Re-enter…või ka Verify…). Uut parooli küsitakse kaks korda sellepärast, et tagada parooli veatu sisestamine, sest tipitakse paroole nagu ikka ja alati — pimesi. Missugune uus parool peab olema, sellest edaspidi ning üpris põhjalikult.
    Võimalikud tõrked parooli vahetamisel. Kõige sagedasem ja lihtsam viga on parooli ja parooli kinnituse ebaklapp ehk lihtne näpukas uue parooli tippimisel (…no match…). Reeglina on seatud paika ka nn. paroolipoliitika, ehk parooli pikkusele ja keerukusele esitatavad miinimumnõuded, mistõttu liiga lühikesi või lihtsaid paroole vastu ei võeta (…too short; …too simple). Et parooli vahetamine tähendab parooli vahetamist, on kasutusel oleva või ka varem kasutuses olnud parooli pakkumine uue pähe on läbikukkumisele määratud üritus, mõnedes süsteemides hakatakse protestima isegi kasutuses olnud ja uue parooli liigse sarnasuse pärast.
  5. Igapäevane töö. Kui parool välja mõeldud ja paika pandud, algab igapäevane arvutikasutus, mis koosneb tööseanssidest. Tööseanss algab kasutaja registreerumise ehk sisselogimisega ning lõpeb väljalogimisega. Enamikus süsteemides on võimalik ka tööseansi ajutine peatamine ehk töökoha lukustus, mis erinevalt väljalogimisest ei katkesta rakenduste tööd ning on palju käepärasem kasutada, kuna töö jätkamiseks on vaja anda vaid üks (reeglina sisselogimise) parool ning töö saab jätkuda sellest kohast, kus see ennem pooleli jäi.
    Võimalikud tõrked sisselogimisel. Kõige sagedamini tuleb ette parooli ning ka kasutajanime valestitippimist. Tulemuseks on veateade, mis sisaldab võtmesõnu incorrect password, authentication failed. Enamikes süsteemides läheb kasutajanimi, parast suuremat hulka ebaõnnestunud sisselogimise katseid mingiks ajaks lukku, ehk antud nime alt pole võimalik sisse logida mistahes masinast (account is locked). On võimalik ka variant, et lukku läheb hoopis töökoht (terminal), ehk mitte üks kasutaja ei saa antud masinast sisse logida. Autor on seni seadnud paika, et kui on tehtud 10 ebaõnnestunud logimise katset 10 minuti jooksul, antakse kasutajale 10 minutit parooli rahulikuks meeldetuletamiseks.
  6. Kui parool on aegunud ehk olnud kasutuses üle administraatori poolt määratud kehtivusaja, nõutakse forsseeritult parooli uuendamist (võtmesõna has expired) ning toimub esmakordse sisselogimisega analoogne paroolivahetus (vt. 2.).
    Kui Teie parool saab mingil põhjusel avalikuks (näiteks tippisite parooli eksikombel kasutajanime lahtrisse ning keegi vaatas seda üle õla pealt), tuleb see kõikvõimalike ebameeldivute vältimiseks viivitamatult ära muuta. Kui Te ise ei mõista seda teha, pöörduge administraatori poole, administraator sellisel juhul kindlasti pahaseks ei saa, pigem tänab Teid tähelepanelikkuse ja korrektsuse eest, igal juhul tehke enesele selgeks, kuidas toimub parooli muutmine.
    Kui Teil on parool ununenud või õnnestus uue parooli sisestamisel teha kaks korda järjest sama näpukas, on ainus inimene, kes Teid aidata saab, süsteemiadministraator. Viimane annulleerib pahuralt porisedes Teie parooli ja teavitab Teid uuest ajutisest paroolist.

Kokkuvõte. Eeltoodu oli kasutajanime- ja parooli kasutamise ideoloogia kirjeldus, mis võib olla mõnedes süsteemides mõnevõrra lihtsustatud. Mistahes süsteemi kasutamiseks on vaja selgeks teha vaid viis võrdlemisi lihtsat protseduuri:

  1. Sisselogimisdialoog, selle kasutamine, klahvikombinatsioonid, (vea)teated.
  2. Paroolivahetusdialoog, selle kasutamine, klahvikombinatsioonid, (vea)teated.
  3. Kuidas ise teha paroolivahetust ehk ligipääs paroolivahetusdialoogile.
  4. Konsoolilukk, selle seadistus, aktiveerimine, (vea)teated.
  5. Väljalogimine.

Iseseisvaks mõtlemiseks

  1. Esmapilgul tundub algparooli sunnitud äramuutmine olevat veidi üleliigne, katsuge põhjendada seda protseduuri. Nipp1: niisama ei oleks keegi selle tegemiseks vaeva näinud. Nipp2: lugege läbi järgmine peatükk.
  2. Millist infot oodatakse, kui pärast sisselogimist tulevad teated
    Your password has been expired.
    Old password: _
  3. Istusin üksinda oma kabinetis ning tippisin oma parooli suurte ja ümmarguste tähtedega kasutajanime lahtrisse. Mida teen? Mida teen siis kui on meelest läinud, kuidas pääseb ligi paroolivahetusdialoogile? Kas ka tegelikult teen nii?

Turvameetmed

Käesolev peatükk on antud dokumendi kõige olulisem osa. Kõik kasutajad peavad täitma alltoodud reegleid ning suhtuma nendesse niimoodi, nagu hoone signalisatsioonikoodide salastatusse või seifivõtmete kindlas kohas hoidmisse.

§1 Oluline nõue: mõelge endale hea parool

Et kogu arvutisüsteemi turvalisus baseerub parooli (mitte)teadmisel, siis hea parooli valik on eeldus andmekaitse toimeks. Milline siis parool peab — ei pea olema. Lühidalt: parool peab arvuti kasutajale enesele hästi meelde jääma ning olema teiste poolt võimalikult raskesti äraarvatav.

Parooliks ei sobi kasutaja nimi või kasutajanimi. Üldiselt, mistahes nimi on väga halb parool, olgu see kas vanemate, kellegi sugulase, vutimeeskonna, armukese või kassipoja nimi. Põhjuseks kõikvõimalike nimede suhteliselt väike hulk ning sellest tulenev lihtne aimatavus. Halvaks, kuigi natuke vähem halvaks parooliks on ka sõnaraamatu sõna, klahvijada klaviatuurilt (nt. ‘qwerty’) või liiglühike parool (3 või vähem märki).

Hea parool on esmapilgul mõttetuna tunduv tähtede (A…Z; a…z), numbrite (0…9) ning sümbolite (!@#$%^&*()_+=/?[]{}) kombinatsioon. Autor soovitab: 6-8 märki, millest vähemalt üks on number või sümbol. Paraku aga igati hea parool ‘k@Ss1Xi’ ei tule niisama lihtsasti pähe, kohe päris kindlasti ei taha aga kuidagi pähe jääda. Siinkohal kaks põhimeetodit paroolide genereerimiseks.

  1. Liitsõnameetod. Aluseks võetakse mõni ilmvõimatu ja samas naljakas liitsõna, mis assotsieerub mõne nalja või sündmusega. Kui fantaasiaraasukest liitsõna väljamõtlemiseks tõesti ei jagu, võib aluseks võtta mõne tavalise (liit)sõna. Näiteks liitsõna ‘kassiahi’. Rakendame sellele ebatavalist kapitalisatsiooni ehk suur- ja väiketähtede vaheldust, saades näiteks ‘kASsiaHi’. Nüüd võib rakendada sümboliseerimist, asendades mõningad tähed sarnasekõlaliste sümbolitega ja visates mõned tähed üldse minema. Tulemuseks võiks olla ‘k@Ss1Xi’, mis on juba väga hea parool.
  2. Lausemeetod. Hea parooli saab ka mõnest, soovitavalt naljakast lausest, võttes sõnade esitähed (loomulikult ei tohi lause pärineda mõnest tuntud loosungist või laulusalmist) Näiteks: ‘Minu LemmikLaul On Pastöriseeritud Piim’ annab parooliks tähekombinatsiooni ‘mllopp’, mida juba niisama lihtsasti välja ei mõtle ega ka tuntumate keelte sõnaraamatuid ning isiku- ja kohanimesid sisaldava parooliproovijaga üles ei leia, eriti pärast keerukustamist, mis võiks anda näiteks ‘mlL0Pp’.

Kuidas parooli meelde jätta? Soovitus: jätke meelde tehnika ehk parooli tuletuskäik seniks, kuni parooli lõppkuju pika kasutamise peale pähe kulub. Eeltoodud näidetes peaks seega meelde jätma algsõna (lause) ning mõtlema enese jaoks kindlad märkide asendamise ning kapitalisatsiooni reeglid.

§ 2 Olulisem nõue: sisselogitud töökohta ei tohi jätta järelvalveta ega laste hooleks

Autorit on pahatihti peetud väga pahaks ja kiuslikuks inimeseks, kui on saadud kuri märkus arvutisüsteemi ripakile jätmise pärast. Kui aga protestija käest küsida, et miks ta ruumist lahkudes näiteks seifiust pärani lahti ei jäta, on tavaliselt vastuseks ‘aga arvutiga ei saa ju midagi paha teha’. Taguge oma pealuu sisse: asjaolu, et Teie ise ei mõista arvuti taha sattudes midagi (paha) teha, ei tähenda teps mitte seda, et keegi teine ei saaks, kasutades Teie äraolekut midagi väga kurja teha. Näiteks:

Pääseb ligi (Teie isiklikule) informatsioonile, ehk loeb näiteks Teie erakirju, või muud informatsiooni, mis on kätte saadav vaid Teie kasutajanimele (näiteks palkade tabel, mis on firmades reeglina kiivalt salastatud).
Teeb Teie nime all olles mingi pättuse, kustutab näiteks maha mõne Teie vajaliku faili, saadab Teie nime alt Teie isiklikule sõbrale ja kauaaegsele äripartnerile solvava sisuga elektronkirja või korraldab asutuse andmebaasisüsteemis korraliku kaose. Analoogiliste ja veel ebameeldivamate võimaluste leidmiseks ei pea antud kontekstis kannatama ei paranoia, ega ka jälitusmaania all. Tehtus süüdi jääte paraku aga Teie, sest süsteemi logifailides on kirjas, et just Teie kasutajanimeline tegi kõigepealt seda, siis toda ja siis veel ‘üht-teist’.
Harjutage enesele algusest peale sisse, et kui on plaanis minna lõunale või veerandiks tunniks jalgu sirutama, on tugevalt soovitatav (loe: rangelt nõutav) tööseansi lõpetamine (väljalogimine), sest nii näidatakse, et arvuti on hetkel vaba ning välistatakse enese kasutajanime (kuri)tarvitamine. Et väljalogimine eeldab kõigi rakenduste sulgemist ja hilisemat uuestiavamist, lisaks on lõunaaeg või kohvipaus just paras aeg, seadmaks arvuti tegema mõnda mahukamat arvutust, saab kasutada ka nn. konsoolilukustust ning parooliga ekraanisäästjaid.

§ 3 Kõige olulisem nõue: hoidke parool saladuses

Kuitahes hästi koostatud parool ega ka korrektne väljalogimine ja konsooliluku kasutamine ei päästa, kui parool on saanud teatavaks kellelegi teisele. Tulemusena saab mistahes isik, mistahes arvutist esineda teienimelisena ning teha kõike seda paha, mis oli mainitud eelmises punktis, sõltumata Teie ruumisviibimisest ning närveerimata Teie ootamata tagasituleku pärast.

Reegel 1: Paroole ei anta edasi. Kehtib raudreegel: mitte kunagi ja mitte mingitel tingimustel ei lasta kedagi teist oma nime alt sisse ning ei logita sisse kellegi teise nimelisena. Kui selgub, et näiteks seoses Malle puhkusega on Tiinal vaja ligi pääseda Malle tööle, annab süsteemihaldur Tiinale vajalikud privileegid juurde. Hiljem on lihtne selgitada, kas ilmnenud vigades on süüdi Malle oskamatus või soperdas hoopis teda asendav Tiina asja ära. Näitena, kui oluliseks peetakse suuremates süsteemides oma nime kasutamist, reegel Tartu Ülikooli arvutivõrgu kasutajaeeskirjadest: teise kasutaja nime all töötamine võib lõppeda kuni semestrise (pooleaastase) arvutisüsteemi kasutamise keeluga.

Reegel 2: Paroole ei kirjutata üles. Kõikide oma hädade kõrval on koodlukkudel üks vaieldamatu eelis — neil puudub materiaalne võti, mis võib ära kaduda, ära varastatud saada, koju jääda jne. Vaid inimese mälus olev võti on imekerge kaasas kanda, alati käepärast ning maksimaalselt turvaline.

Reegel 3: Paroole ei näidata välja. Parool tuleb tippida kiiresti ning kümnesõrmemeetodil. Niimoodi sisestatud parooli on kõrvalseisjal väga raske välja lugeda, kui aga parool tipitakse sisse ühe näpuga ning kiirusega üks sümbol kolme sekundi kohta, saab see koheselt avalikuks, vähemalt antud kirjatüki autorile, vaatamata viimase raskele lühinägelikkusele.

Reegel 4: Erinevates süsteemides (programmides) erinevad paroolid. Sarnaselt igapäevaeluga, kus igal inimesel tuleb omada väga mitme luku võtmeid, ei saa ka arvutikasutuses läbi vaid ühe kasutajanime ja parooliga. Esimene kasutajanimi ning parool esitatakse võrguopsüsteemile (Windows NT, Novell, Unix vms.), mis määrab ära, millistele andmefailidele ja rakendusprogrammidele kasutaja pääseb ligi. Ka rakendustel ja isegi andmefailidel võib olla täiendav turvasüsteem. Siin rusikareegel: kõige keerukam peab olema võrgu(opsüsteemi) parool, rakenduste paroolid võivad olla lihtsamad, kuid peavad kindlasti erinema võrguparoolist ning väga soovitavalt ka üksteisest. Vajalik on see selleks, et ühe parooli väljalekkimine ei annaks ligipääsu teistele süsteemidele. Teoreetiliselt peaksid süsteemid olema üles ehitatud nii, et parooli algkuju leidmine oleks väga raske, praktikas kipub aga olukord, eriti poolkodukootud raapatupidamis– ja andmebaasirakendustes olema tugevalt vastupidine ning nii mõnegi süsteemi kasutajanimede–paroolide loend on autorile avanenud mõnetunnise mõtte– ja mõnesekundilise arvutitöö tulemusena.

Iseseisvaks mõtlemiseks

  1. Genereerige kaks võimalikult erinevat parooli liitsõnameetodil ning kaks lausemeetodil ning kirjutage need üles! kontrollige päev hiljem oma mälu, võrreldes meeldetuletatut ülesmärgituga. Kontrollige oma mälu ka nädal hiljem.
  2. Kas vaid numbritest koosnev parool on hea?
  3. Minu parool sisaldab lisaks tähtedele ka numbreid. Kumbi numbriklahve (põhiklaviatuuril või numbriklaviatuuril) tuleb parooli tippides kasutada?
  4. Kas kolmesümboliline parool kõlbab: a. ekraanisäästja/konsooliluku parooliks? b. raamatupidamissüsteemi parooliks, millele pääseb peale minu ligi veel neli raamatupidajat? c. pangaprogrammile, millele pääsen ligi vaid mina ja peadirektor?
  5. Mul on vaid minule kättesaadavas kataloogis äärmiselt delikaatse sisuga fail, kas tasub sellele rakendada täiendavalt tekstiredaktori parooli? Krüptimisprogrammi?
  6. Kas paroolivahetuse nõudmine iga kindla aja tagant (autor: pool aastat, mitmed administraatorid: paar kuud) on vaid kasutajate kiusamiseks?

Lisa 1. Süsteemihoolde kasutajatunnuste loomise algoritm

Tavakasutajal on kasutajanimeks tema eesnimi. Näiteks töötaja Peeter Prussakas kasutajanimeks on Peeter. Sarnaste eesnimedega kasutajate puhul on staažikamal töötajal kasutajanimeks eesnimi, ülejäänutele lisatakse eesnimele alakriips ja nii palju tähti perenimest, et nimi oleks üheselt määratud. Näiteks töötajate (staažikuse järjekorras) Malle Maasikas, Malle Mustikas, Malle Murakas ja Malle Muulukas kasutajanimed oleksid Malle, Malle_M, Malle_Mu, Malle_Ml. Muuluka kasutajanimi peaks olema küll Malle_Muu, algoritmi rikutakse nime halva kõla tõttu. Üldiselt, kui kasutaja väga soovib mingisugust muud kasutajatunnust (perenimi, väga tuntud hüüdnimi pika eesnime asemel jne), on sellise sooviga ka arvestatud. Kui antud kasutajal on vaja süsteeemi administreerida, luuakse adminprivileegidega lisakasutaja, lisades kasutajanime ette tähe 'S'. Näiteks Mait -> SMait.

Koostanud

Mait Vestre

Parandanud ja täiendanud

Aivar Ilves