Tagasi

Milline on parim viis paroolide hoidmiseks?

Jaga:

SVG placeholder SVG placeholder

Parim lahendus pealkirjas tõstatud küsimusele oleks see: paroolid tuleb pähe õppida ja siinkohal võikski teema lõpetada. Probleem on aga laiem, hõlmab paljusid erinevaid valdkondi, kuid peamiselt on seotud IT-lahendustega, kus ei piisa enam lühikestest numbrilistest nö. PIN-koodidest või siis analoogilistest fraasidest. Kasutajatele ei meeldi, et paroole peab kindla aja tagant muutma. Samuti on lahendusi, kus seda teha ei saagi, ning siis tuleb läheneda olukorrale vajaduspõhiselt.

Kust siis alustada?

Oluline on teha eeltööd, et oleks selge, mis on parooliga kaitstavad rakendused, kes on kasutajad ja milline on nende isikute hierarhia, kes paroolidele ligi pääsevad. Selline lähenemine võimaldab teha teadliku otsuse, kuidas edasi käituda.Tavakasutajatele tuleks pakkuda paroolide halduseks lihtsaid lahendusi, mida saab tsentraalselt hallata, andes igale kasutajale eraldi ligipääsu just temale vajalikele rakendustele. Lisaks võiks tavakasutajaid koolitada, andes neile juhtnööre, kuidas on hea luua ja meeles pidada kümneid erinevaid paroole. Selleks on mitmeid tehnikaid, näiteks mingi kindla „rütmi/süsteemi“ loomine, s.t. väljamõeldud lausete kasutamine, mis sisaldavad sümboleid, rakenduse nime lühendatud kujul, initsiaale, kontrollsõnu jms.Näide võimalikust tulemusest, mis võiks olla minu e-posti parool – *KRF0ntakt_e-post1Paroo1. Selliselt kombineerides saab luua parooli, mida on üsna ebameeldiv murda.Organisatsioonis on aga mitmeid töötajaid, kellel on rolle, mis eeldavad ligipääsemist mitmetele erinevatele keskkondadele ja rakendustele, kus tsentraalne paroolihaldus pole lihtsalt võimalik, on need siis serverid, andmevahetuskihid või rakendused, mis omavad administraatori õigustega kasutajat.Samuti peaks ettevõttes olema teada, mida tuleb täpselt teha, kui paroole peab muutma nende võimaliku lekke tõttu või võtmeisiku lahkumisel organisatsioonist. Kindlasti tuleb teada, missugune on paroolide muutmise mõju. Kas parooli(de) vahetus peatab oluliste rakenduste töö? Kui jah, siis kui kiiresti saab rakendused uuesti töökorda ja arendajad oma koodi värskendada?Paroolid, mis on seotud oluliste rakendustega, tuleks krüpteerida sobiva algoritmiga ja mitte salvestada lihttekstina, kuid samal ajal nõuavad paljud erinevad rollid organisatsioonis paroole lihttekstina. Lihttekstina paroolide hoidmine turvalises keskkonnas ja nö. räsimata paroolide andmebaasi salvestamisel on erinevad olukorrad, millest viimast ei tohiks kindlasti rakendada. Riskide juhtimises ei saa ega pole otstarbekas arvestada iga võimaliku ohustsenaariumiga, kui aga protsessid on arusaadavalt kirjeldatud ja neid ka järgitakse, saab riske oluliselt minimeerida.

Üks võimalik stsenaarium

Kindel IT töötaja ettevõttes peab haldama paljusid paroole, mis on seotud serverite ja muude rakenduste ning teenustega. On mõeldamatu, et neid paroole teab ainult see isik. Ta võib ju haigestuda, temaga võib juhtuda õnnetus või lihtsalt tekkib ettevõttel temaga pöördumatu erimeelsus vms. Seega peab ka organisatsiooni juhtkonnal olema võimalus nimetatud paroolidele ligi pääseda ja vajaduse korral need ka teistele töötajatele kättesaadavaks teha. Samas peavad paroolid olema turvaliselt jagatavad ja kättesaadavad ainult juhul, kui selleks tekib tõesti möödapääsmatu vajadus.

Millised reeglid peaksid kehtima?
  1. Juhtkond peaks saama taotleda parooli muudatusi organisatsioonis töötavate isikute põhiselt mitte keskkondade või rakenduste põhiselt ja kõigi kontode jaoks korraga. Sellise tegevuse läbiviimiseks on vaja kirjeldada protsess ja hilisemat muudatuse tuvastamist, näiteks kasutades Azure Active Directory
  2. Kõigist kasutajanimedest ja paroolidest tuleks luua süsteem ja anda neile ligipääs ainult töötajatele, kelle roll seda nõuab.
  3. Tavakasutajal peaks olema võimalus oma parooli taastada läbi kaheastmelise tuvastuse, kasutades selleks vastavat telefonirakendust või SMS-i.
Arendusmeeskonnad vajavad sageli olulisi paroole

Kui teil on arendusmeeskond või ostate sellist teenust ettevõttes sisse, on tõenäoline, et olete jaganud välja palju erinevaid paroole ja kasutajanimesid. Heade IT-tavade hulka kuulub sel puhul ka see, et enne seda on ettevõtte IT-sfääris arendus-, testimis- ja töökeskkonnad üksteisest eraldatud ja on halb, kui seda pole veel tehtud.Kellelgi peale usaldusväärsete andmebaasi administraatorite ei tohiks olla juurjuurdepääsu IT töökeskkonnale ja andmebaasile. Ja ainult usaldusväärsetel süsteemiadministraatoritel peaks olema juurdepääs tööserveritele.Arendajatel on keeruline oma tööd teha, kui neil pole juurdepääsu tööks vajalikele rakendustele või kui ettevõttes puuduvad reeglid, millele vastavalt tegutsedes saaksid nad vajaliku ligipääsu hankida. Kui arendaja peab oma muudatuste testimiseks korduvalt paroole taotlema, langeb tema töö tootlikkus ja organisatsioon võib selle tulemusena kaotada konkurentsivõimes.

Kuidas siis peaks käituma?

Kokkuvõtlikult võib öelda, et pole olemas parimat viisi paroolide salvestamiseks, vaid on vaja teada, mis töötajad ja milleks paroole vajavad ning millal nad neid vajavad. Teades vajadusi saate luua kõige lihtsama lahenduse just oma organisatsioonile.Üks võimalik lähenemine „eriti tähtsate“ paroolide hoidmiseks oleks kasutada lihtsat lihttekstifaili krüpteeritud USB-draivil + üks varukoopia sellest turvalises füüsilises asukohas. Andes juhtkonnale või vastutavale isikule juhised krüpteeritud USB kasutamiseks, on teil alati varukoopia ja ka andmevarguse puhul on nende kasutamine selleks mittevolitatud isiku(te) poolt esialgu võimatu.Selline lähenemine on muidugi veidi kohmakas ja nõuab planeerimist, kokkulepitud protsessi ja tööriistu. Kindlasti tasub mõelda aga ka tsentraalsele paroolihaldusele (Azure AD, PassCamp), et tavakasutajate elu lihtsamaks muuta, ja kui võimalik, siis piirata organisatsioonis ligipääs rakendustele VPN-iga.

Jaga:

SVG placeholder SVG placeholder
SVG placeholder Eelmine