Miks „kiire registreerimine” tekitab riske ja kuidas neid vähendada
„Kiire registreerimine” kõlab nagu väike võit. Mõni sekund ja konto on olemas, olgu see e-poes, äpis või meelelahutuses. Sageli kasutatakse sama e-posti, sama telefoni ja samu paroole, sest nii on lihtsam. Just see mugavus loob aga olukorra, kus üks viga avab mitu ust korraga.
Kiirus ise pole probleem, probleem on läbipaistmatus. Kas loodi uus konto või seoti vana konto sotsiaalvõrguga? Kas anti luba näha e-posti aadressi, sõbralisti või isegi profiili nime? Enamik inimesi klõpsab „Jätka” ja mõtleb alles siis, kui midagi läheb valesti.
Kus kiire liitumine kõige rohkem „kannab” ja miks see oluline on
Kiirliitumist kohtab seal, kus kasutaja võib igal hetkel ümber mõelda. Seepärast surutakse sammud lühikeseks ja valikud peidetakse. See ei tähenda halba tahet, lihtsalt eesmärk on vähendada katkestamist. Sama loogika töötab ka siis, kui keegi tahab võrrelda eri platvorme ja loeb ülevaadet, näiteks Kasiino lehel, sest ühe klõpsuga konto tundub alati lihtsam kui vormi täitmine.
Just sellises kohas peaks turvamõte olema eriti selge. Kui konto tehakse kiirustades, jääb turvakiht tihti lisamata. Hiljem avastatakse, et sisselogimine käib endiselt ainult parooliga. Kui see parool on kuskil varem lekkinud, hakkab probleem rulluma.
Kuidas „kiire” konto tegelikult tekib
Kiire registreerimine võib tähendada eri asju. Mõnikord luuakse konto e-posti ja koodiga, mõnikord kasutatakse Google’i, Apple’i või Facebooki sisselogimist. Eestis lisanduvad veel ID-kaart, Smart-ID ja Mobiil-ID, mis annavad tugeva identiteedi, kuid ei kaitse kõigi kõrvalriskide eest. Kui e-post või telefoninumber on nõrk koht, tekib ikkagi võimalus konto üle võtta.
Enne kui mõni teenus muutub igapäevaseks, tasub endale selgeks teha, mida „kiire” tavaliselt kaasa toob:
- Seotakse konto ühe keskse identiteediga, näiteks Google’i või Apple’i kontoga.
- Lubatakse teenusel lugeda profiili põhiandmeid, vahel ka e-posti aadressi ja nime.
- Jäetakse parool loomata või seatakse see hiljem, kui enam ei viitsita.
- Salvestatakse sisselogimine seadmesse, mida võivad kasutada ka teised pereliikmed.
Kui need punktid on meeles, on lihtsam märgata, kus risk kasvab. Samuti on lihtsam otsustada, millal teha samm pikemalt. Mõnes olukorras tasub see aeg ära.
Kaks levinud lõksu, mis tabavad ka ettevaatlikke inimesi
Esimene lõks on sotsiaalne sisselogimine kontoga, mis on kunagi kompromiteeritud. Kui Facebooki või Google’i ligipääs on varem lekkima läinud, muutuvad haavatavaks ka kõik teenused, kuhu sama kaudu sisse logitakse, eriti kui kontol on vanad taastemeilid või nõrgad varukoodid.
Teine lõks on phishing, mis näeb välja nagu tavaline teade ja mängib Eestis tihti pankade usalduse peale. Swedbanki logo ja jutt „konto lukustub 24 tunni pärast” sunnivad klikkima, kuigi avanev sisselogimisleht on vale aadressiga koopia. Kiirharjumus teeb selle eriti lihtsaks, seega tasub kiire kõrvale võtta lühike kontrollirutiin.
Väikesed kontrollid enne klikki, mis võtavad vähem kui minuti
Parim kaitse pole keeruline. See on rutiin, mis töötab ka väsinuna, ka telefonis, ka bussis. Kui kontroll on liiga pikk, jäetakse see tegemata, seega peab see olema lühike ja konkreetne:
- Vaadata saatja aadressi lõpuni, mitte ainult nime.
- Hoida kursorit lingi kohal ja vaadata, kuhu see tegelikult viib.
- Kontrollida domeeni, sest kriips või lisatäht muudab kõik.
- Mitte sisestada paroole „kiirelt”, kui leht avanes kirjast või sõnumist.
Need neli punkti on lihtsad, aga nad püüavad kinni suure osa pettusi. Pärast kontrolli on mõistlik minna teenusesse otse, kirjutades aadressi ise. See harjumus säästab kõige rohkem närve.
Konto „hooldus” kord kuus, et kiire registreerimine ei kleepuks külge
Kui konto on juba loodud, saab riski vähendada ilma draamata. Alustada tasub sealt, mis annab kõige suurema võidu. Esiteks tuleb kontrollida, kas kontol on kaheastmeline autentimine. Google’i ja Apple’i puhul on see sisuliselt kohustuslik, kuid seadistused võivad olla nõrgad, kui taastamine käib ainult SMS-iga.
Teiseks tasub üle vaadata, millised äpid ja teenused on kontoga seotud. Google’i konto „Security” lehel on see nimekiri olemas. Apple’i puhul näeb seotud seadmeid ja sisselogimisi samuti selgelt. Kui nimekirjas on midagi tundmatut, tuleb ligipääs eemaldada ja parool vahetada.
Kolmandaks on mõistlik hoida paroolid eraldi. Paroolihaldur teeb selle lihtsaks, sest siis ei pea midagi meeles pidama. Kui paroolihaldurit ei kasutata, tekib ikka kiusatus teha „üks hea parool”. Just see harjumus teeb ühe lekke väga kalliks.
Phishingu märgid ja praktilised näited on hästi kokku võetud ühes kohas, kus räägitakse ka domeenitrikkidest ja kiirustamise võttest, see phishingu osa sobib meeldetuletuseks ka tavakasutajale. Kui see teema on selge, muutub „kiire registreerimine” vähem ohtlikuks, sest klikkimine pole enam automaatne. Siis jääb alles ainult mugav osa.
Kui turvalisem valik on aeglasem valik
Mõnikord on parem teha konto tavarežiimis. Seda eriti siis, kui teenus seob end rahaga, isikuandmetega või pikaajalise kasutusega. Kui konto taastamine sõltub telefoninumbrist, tasub mõelda ka SIM-kaardi turvale. SIM-vahetuse juhtumid pole ulme, eriti kui keegi saab kätte isikuandmeid.
Kiire registreerimine võib olla täiesti okei, kui pärast tehakse kaks asja ära. Lisatakse tugev autentimine ja korrastatakse taastamine. Kui need sammud on tehtud, ei pea mugavusest loobuma, sest kontroll on tagasi kasutaja käes.
