Uudised

Kuidas kaitsta e-poe paroole?

- Author  

Eesti E-kaubanduse Liit koondab ligi 400 usaldusväärset e-kauplejat ja suunanäitajat. Kasvatame e-kaubandust koos!

Tõnu Väät 
- Autor  
Tegevjuht

Kuidas tunneksid end, kui keegi võõras käib öösiti sinu elutoa sahtlites sorimas? Võibolla pole sealt eriti midagi leida, aga ebameeldiv on see ikka. Vaatame sama situatsiooni veebipoe kontekstis.

Ilmselt on sinu kasutuses veebipoe peaukse võtmed (administreerimisliidese parool ja kasutajanimi), millega sinna ise sisse logid. Nende võtmetega näed ühtlasi ka oma klientide andmeid, teinekord ka nende pangakaardi andmeid.

Niisiis, veebipoe võtmetega pääsed ligi enda ja oma klientide rahakotile. Need on seega ühed olulised võtmed! Esimene küsimus peaks nüüd olema - kas kellelgi on veel samasuguseid võtmeid?

Ilmselt jättis veebipoe arendustiim endale ühe. Äkki on vaja midagi remontida. Võib-olla sai ka sisu sisestaja võtme. Ja võib-olla käis keegi kolmas maksemoodulit liidestamas ja sai ka võtme.

Kui sa oma veebipoodi algusest lõpuni ise ei loonud, siis võib eeldada, et selliseid võtmeid on “küla peal” laiali mitmeid. Ja kuigi need on kindlasti usaldusväärsete isikute käes, on võimalus, et mõni võti valedesse kätesse satub seda suurem, mida rohkem on võtmest koopiaid.

Neli levinud ämbrit

Viise, kuidas võtmed kaovad, on mitmeid. Esimeseks on loomulikult võtme kogemata üleandmine. See võib lihtsasti juhtuda näiteks nii, et arendajale saadetakse parool e-posti teel. Ilmselgelt usaldame seda inimest, kellele parooli anname, aga kas usaldame ka oma e-posti teenusepakkujat, kes nüüd näeb seda parooli krüpteerimata kujul?

Teine viis oma parool kellelegi pahaaimamatult anda on see, kui keegi näiteks kutsub sind mängima uut online mängu, lugema mõnda artiklit või katsetama uut e-poe pluginat. Et seda jagatud teenust tarbida, tuleb aga esmalt luua kasutajakonto koos e-maili aadressi ja parooliga. Võib aga juhtuda, et nende teenuste arendaja tegelik eesmärk ongi koguda paroole ja mäng on lihtsalt söödaks konksu otsas.

See on laialt levinud praktika ja ohtlik neile, kes kasutavad sama parooli mitme konto puhul. Tumeveebis on pikad nimekirjad sedasi püütud paroolidest kõigile kättesaadavad.Väga mugav on võtmeid koguda ka näiteks avalikest arvutitest.

Pole eriti keeruline paigaldada arvutisse programm, mis kõik klahvivajutused tekstifaili maha salvestab ja selle tekstifaili sisu tuhandete kilomeetrite kaugusel asuvale huvilisele nähtavaks teeb. Selle igivana andmevarguse meetodi nimi on keylogging. See on lihtne ja seda kasutatakse väga palju.

Peaaegu sama lihtne on pealt kuulata avalikku WiFi liiklust. Kui teie olete WiFi ruuteri omanik või kui teil on juhuslikult admin taseme juurdepääs mõnele ruuterile, siis on teie võimuses vaadata kõiki ruuterit läbivaid andmeid.

Kui paroolid ja liiklus ei ole krüpteeritud (märksõnad HTTPS / SSL), siis on võimalik lihtsal moel luua tekstifail, millest saab need andmed välja lugeda. Kui siinkirjutaja huvi oleks koguda paroole, siis näiteks bussijaamas “tasuta” WiFi pakkumine oleks üsna tõhus viis.Niisiis on paroolist ilmajäämine vägagi lihtne.

E-kaubanduses tegutsejale on parooli kaotamine eriti valus, sest mängus on ka klientide andmed. Ükski tabalukk ega trellid ei pea, kui selle avajal on olemas peaukse võti. Sellisel vargal pole muukrauda, ketaslõikurit või raudkangi tarvis isegi kotist välja võtta. Seetõttu on tugev parool küberturvalisuse vaatevinklist kõige tähtsam asi.

Tugeva parooli aitab tagada nende lihtsate põhimõtete järgimine:

  • Parool olgu tugev, unikaalne ja see peab avama vaid ühe luku.
  • Igal kasutajal olgu oma unikaalne võti.
  • Ära logi sisse oma e-maili kontole, internetipanka või poe administreerimisliidesesse avalikest arvutitest.
  • Võimalusel ära kasuta avalikku WiFit. Tee endale telefoniga oma WiFi kuumkoht ja jälgi, et sa ei sisesta paroole lehekülgedele, millel puudub SSL (tavaliselt kuvatud kui roheline tabalukk brauseri aadressiriba vasakus otsas).
  • Vaata üle oma poe kasutajad. Kui kellelegi neist pole tegelikult ligipääsu vaja - eemalda nad!
  • Uuri, kellel on olemas võti sinu serverisse (FTP, SSH või delegeering). Neid näed, kui logid sisse oma serveripakkuja lehel (zone.ee, veebimajutus.ee vms).
  • Ära kasuta paroole, mille äraarvamine on võimalik. Arvesta ka, et tänapäevase arvutusvõimsuse juures pole mõnekümne miljoni tähekombinatsiooni läbiproovimine liiga keeruline.
  • Võimalusel kasuta alati kaheastmelist tuvastamist (tundmatust arvutist sisselogimisel saadetakse telefonile koodiga SMS). See on pisut ebamugav, aga igal juhul sinu huvides.

Loe veel uudiseid sellest kategooriast

Uudised otse e-kaubanduse mootorist

Kõik uudised

Liitud liiduga juba täna ja saad palju hüvesid

Oleme pädevad

Teame täpselt mis e-kaubanduses toimub ning kuidas seda äri arendamiseks kasutada. Jagame neid teadmisi hea meelega ülevaadete, uuringute ja koolituste kaudu. Et kasvamine ja ostmine oleks lihtsam.

Oleme usaldusväärsed

Eesti e-kaubanduse maine ja käekäik on meile olulised. Seisame selle eest, et Eesti e-kaubandus vastaks headele tavadele ja kõrgetele kvaliteedistandarditele. See on kasulik nii ostjale kui müüjale.

Oleme turvalised

Muudame koos e-kaubanduse turvalisemaks. Meie “Turvaline ostukoht” kvaliteedimärgis tagab ostjale kontrollitud ja rangetele tingimustele vastava ostukogemuse ning tõstab müüja usaldusväärsust ja parandab mainet.

Liitu liiduga

E-poed mida saad usaldada.

“Turvaline ostukoht” kvaliteedimärgis tagab ostjale kontrollitud ja rangetele tingimustele vastava ostukogemuse.

Tutvu kvaliteedimärgisega