Sain virikkeen tälle avaukselle eräästä toisesta ketjusta, jossa käsiteltiin salasanoja. Kenellä on oikeasti käytössä yli 10 merkkiset satunnaisia isoja ja pieniä kirjaimia, numeroita ja muita merkkejä sisältävät salasanat, "jotka on helppo muistaa"? Harvassa yhteydessä kai oikeasti tarvitaan noin vahvaa salasanaa. Silti eri palveluissa pitäisi käyttää eri salasanoja, joten useiden tuollaisten rimpsujen muistaminen käy äkkiä ylivoimaiseksi. Eri salasanat eri palveluille on sikäli tarkoituksenmukaista, että itse ei voi vaikuttaa palvelun tietoturvaan, ja yhdestä lähteestä varastettua salasanaa saatetaan yrittää kokeilla toisissakin palveluissa, jotka ovat samaan käyttäjään yhdistettävissä. Esimerkiksi "keräkaali" on ohjeistuksen mukaan heikko salasana, koska se sisältää vain pieniä kirjaimia. Vahvempaa salasanaa vaativa palvelu voi hyväksyä sen esimerkiksi muodossa "kerÄkaali", mutta joku ulkomainen palvelu voi hylätä molemmat vaihtoehdot herjaten, että vain kirjaimet ja numerot hyväksytään, mutta ei erikoismerkkejä, jollaiseksi "ä" siellä luetaan. Keräkaali on myös sen tähden huono valinta salasanaksi, koska se löytyy sellaisenaan sanakirjasta. Toisaalta voi pohtia, kuinka todennäköistä on, että joku todella yrittää murtaa tavallisen pertin salasanaa jollakin tietokoneohjelmalla, joka ensin kokeilee tavalliset sanat, sitten erilaiset kirjain- ja numeroyhdistelmät ja lopuksi aivan satunnaisia merkkijonoja päästäkseen kirjoittelemaan tuhmia tuon yhden pertin nimissä. Jos salasanaksi sitten on valikoitunut vaikkapa kerAkaal1, niin miksi tuo salasana pitää muistaa vaihtaa ainakin vuoden välein? Millä lailla tietoturvallisuus heikkenee, jos käyttää samaa salasanaa kaksi vuotta tai vieläkin pitempään? Tässä on lähtöoletuksena, ettei salasana ole milloinkaan ollut esimerkiksi teipattuna työpaikan monitorin reunaan, vaan käyttäjä on pitänyt sen omana tietonaan, kuten muutkin salasanansa.
Tunnen piston sydämmessäni -Minulla on yli 10merkkiä pitkä salasana joka koostuu kirjaimista sekä numeroista. Käytän sitä päivittäin useaan otteeseen joten se jää päähän aika helposti. -On totta että sanoin ettei pitäisi olla tuhansia eri salasanoja. AD, sekä pari muuta foorumia on sellaisia joihin minulla on eri salasana kuin tärkeimpiin portaaleihin joissa sitten siirrellään tietoa joka ei nyt mielellään ainakaan saisi joutua ulkopuolisen käsiin. -"keräkaali" on huono salasana koska salasana-generaattorit käyvät läpi sanoja jotka ovat ymmärrettävissä, eli jos tyttären nimi on juulia, todennäköisesti salasanageneraattori ratkaisee sen alle tunnissa, tulos voi tulla jopa sekunneissa. Kun KeRäKaAlIn!1 kirjoitusasua muutetaan, silloin se ei jääkkään generaattorin ansaan (heti) mutta on murrettavissa. Joten keräkaali kirjoitettuna miten vaan on huono salasana. -Salasanan vaihto vuoden välein on jäänyt mieleeni kouluajoilta kun luin datanomin opintoja. Meillä kävi luennoimassa tietoturva-alan expertti joka kertoi että vaihtamalla järjestelmällisesti salasanaa, vaikeutamme hakkereiden elämää. Koska vaikeakin salasana avautuu jossain kohtaa. Mutta sen muuttaminen aiheuttaa hakkereille harmaita hiuksia... Miksi sitten joku haluaisi hakkeroida juuri minut? Koska hän voi. Suurin osa aloittelevista hakkereista hakkeroi nimenomaan tavallisen-Pertin (sori) tilejä koska ne on huonosti suojattuja ja näin ollen tarjoavat harjoitusta vaativampiin tehtäviin. Moni ei pidä mitään ylitärkeää tileillään, mutta sitten löytyy ihmisiä jotka tallentavat arimmat asiansa nettiin ja luottavat että salasana: keräkaali pitää ne siellä. Ja ainahan jos hakkeri löytää jotain mielenkiintoista niin se myös levittää sen eteenpäin. Koska se toimii eräänlaisena "Trophyna" eli pokaalina hänen voitostaan.
Lastpass on vaihtoehto jos haluaa vahvoja salasanoja mutta ei halua koittaa niitä muistaa. Ei tarvitse kuin yhden pääsalasanan. https://lastpass.com/ Sivustolla saattaa ollaa autommaattinen käännös, joten ei kannata ihmetellä jos on vähän hoono soomi. Mutta lastpass on yksi suosituimmista salsanapalveluista, ja on erittäin luotettava. Omakohtaisia kokemuksia ei tosin ole. Vastaavia ohjelmia on myös muita esim. keepas. http://keepass.info/ Toinen vaihtoehto vahvoille salasanoille on käyttää jotain pitkää rimpsua tyyliin. Perkelekunpitääainauusiasalasanojakeksiäeihänniitämilläänmuista. Tommoset on vaikea ellei mahdoton purkaa johuten merkkien määrästä ja myös tää meidän kieli ainakin vielä, auttaa vähäsen. Pitkät rimpsut on myös helpompi muistaa kuin erikoismerkkejä ja numeroita sisältävät salasanat. Tosin kaikilla sivustoilla ei välttämättä saa noin montaa kirjainta, esim outlook/hotmailissa raja taitaa olla 16 merkkiä, gmailissa ja vaikka facebookissa raja taitaa olla kuitenkin 100 tai enemmän.
Toiki on vaihtoehto. Tosin itse pidän salasanan paikassa jonne ainakaan toistaiseksi ei ole murtauduttu, eli omassa aivokopassa
31 merkkiä on pisin salasana joka on käytössä. En sitä kuitenkaan tarvitse jokapäivä. Ebayssa ja PayPalissa sekä Amazonissa on kanssa yli 20 merkkiä käytössä. Toisaalta noita ei sentään tarvitse opetella muistamaan ulkoa
meillä Wifin salasana on 13merkkiä, sitä tulee käytettyä usein joten sen muistan kans. Tosin tässä päästään siihen että ihmisten muisti on erilainen. Mulla nuo rimpsut jää helposti mieleen. Ei mun niitä erikseen tarvi opetella. Pari käyttökertaa ja se jää muistiin.
Vieläkö joku varteenotettava verkkopalvelu hyväksyy salasanan syöttämisen satunnaisena arvailuna lukemattomia kertoja? Kyllä en sellaista palvelua käyttäisi. Tuo arvailu tulee katkaista kolmeen tai enintään viiteen kertaan ja sitten yhteys vaikkapa tunniksi poikki. Jos arvailu tämänkin jälkeen jatkuu, lisätään varoaikaa, vaikkapa vuorokaudeksi. Näin toimi/i mm. AOL:n sähköposti. Noiden salasanojen vaihtamisen järkevyydestä määräajoin voidaan olla kahta mieltä. Tiedän suomalaisen organisaation, jossa salasana on vaihdettava kerran kuukaudessa. Toimenpide aiheuttaa sen, että käyttäjillä salasana on jossain paperilappusella kirjoitettuna. Vaikeutta uuden salasanan muistamiseen lisää seikka, että uudessa salasanassa ei saa olla yhtään merkkiä samassa kohdassa vanhan kanssa. (esim. jätkäsaari ja jatkasääri ei käy) Toisessa tuntemassani organisaatiossa on käytössä kiinteä kuusi numeroinen salasana ja RSA-avain. Avaimessa vaihtuu kuusinumeroinen luku minuutin välein. Tuossa ei siis tarvitse muistaa kuin nuo ensimmäiset kuusi numeroa. Avaimen joutuessa vääriin käsiin, ei laitteella tee mitään, jos ensimmäistä kuutta numeroa ei tiedä. (jodenkin lähteiden mukaan tuo RSA-avainkoodi on NSA:n purkama) Edit: Laitoin yhdelle tutulle WiFi:n salasanan pituudeksi 42 merkkiä. Kysessä on alku runosta. Muistan sen nytkin, mutta tuttavan espanjalaiselle ystävälle se oli jokseenkin hankala.
Tietämättä yritystä tuossa ollaan ilmeisesti todella tärkeän tiedon kanssa tekemisissä, koska muuten tuo olisi älytöntä ylireagointia.
Kumpikin esimerkkini organisaatioista edustaa tietoturvaltaan ja salassapidoltaan lähes korkeinta tasoa, mitä maassamme on käytössä. Kyseessä ei kuitenkaan ole yritys, puolustusvoimat, eikä poliisi.
Ainakin Panda Free Antivirus ohjelmaan voi syöttää salasanan useamman kerran ilman että mitenkään reakoi siihen syöttömäärään. En kuitenkaan ole kokeillut monestiko se onnistuu kunnes lukkiutuu.
Viittasin tosiaan sinun kirjoitukseesi, mutta turha tuntea mitään pistoa, sillä viittauksessa ei ollut mitään henkilökohtaista. Nuo samat periaatteethan toistuvat jokseenkin aina, kun tästä asiasta kirjoitetaan. En tosiaan ole tullut ajatelleeksi asiaa noin, mutta en myöskään heti osta tuota selitystä. Voi olla, että olen naiivi ja sinisilmäinen, mutta en osaa kuvitella, mistä joku hakkeri saisi virikkeen alkaa murtaa juuri minun salasanaani jossakin nettipalvelussa. Ja jos hän siinä onnistuisi, mahtaisivatko hakkerikaveritkaan arvostaa yhden käytännössä merkityksettömän salasanan selvittämistä? Sen sijaan on nähty, että itse palveluihin ja niiden tietokantoihin yritetään kai jatkuvasti murtautua ja, kuten olemme saaneet lukea, joskus onnistutaankin. Tuhansien tai pahimmillaan jopa miljoonien ihmisten tietojen varastaminen herättää jo muidenkin kuin hakkerikavereiden huomiota. Sitä taas tuskin edistää, jos jotenkin onnistuisi ensin selvittämään, että vaikkapa salasanalla kerAkaal1 pääsee kirjautumaan jonkun pertin tilille AfterDawnissa. Nyt ei pidä ajatella, että väheksyisin salasanojen merkitystä, mutta ei sitä pidä liioitellakaan. Ihmisten muistikyky vaihtelee ja liian monimutkaisten salasanojen vaatiminen voi ääritapauksessa johtaa jopa tietoturvan heikkenemiseen. Esimerkiksi muistilappu voi unohtua työkoneen näppäimistön viereen ja työtovereissakin saattaa olla joku, joka käyttää tilaisuutta hyväkseen. Toisaalta kotona kannattaa olla säilössä myös muistilista salasanoista siltä varalta, että joku harvemmin käytetty meinaa unohtua. Yleisesti suositeltu ratkaisu on joku salasanojen hallintapalvelu. Silloin yhden salasanan muistaminen riittää ja sovellus haluttaessa generoi kullekin palvelulle oman yksilöllisen ja monimutkaisen salasanan. Tuollaisessa hallintapalvelussa on haastetta todelliselle hakkerille, sillä onnistunut tunkeutuminen palveluun voi paljastaa todella suuren joukon salasanoja. Kaiken varalta olenkin pysynyt erossa salasanojen hallintaohjelmista. Esimerkiksi LastPass-sovelluksesta on löytynyt useita tietoturva-aukkoja, eikä mitenkään voi olla varma, etteikö uusiakin vielä löytyisi. http://www.iltasanomat.fi/digitoday/tietoturva/art-2000001917217.html Oma käsitykseni tietoturva-asioiden maallikkona onkin, että tärkeämpää kuin ultravahva salasana, on eri salasanat eri palveluissa. Näin yhteen kohteeseen tehty tietomurto ei paljasta muissa palveluissa käytettyjä salasanoja esimerkiksi sähköpostiosoitteen johdattamana.
Taitaa mennä niin että vaikka lastpassin kautta pääästäisiinkin salsanoihin käsiksi, ne ei olisi selkokielisenä vaan pitkiä numero kirjain yhdistelmä rimpsuja. Niin se taitaa nykyään olla kaikissa paikoissa, ainakin toivottavasti. Onhan niitäkin kait ollut että johonkin on murtauduttu ja salasanat on ollut saatavina selkoielisenä. Alla on lastpassin tiedote koskien noita haavoittuvuuksia. https://blog.lastpass.com/2016/07/lastpass-security-updates.html/ En ole lukenu tise sitä, en siis tiedä mitä sinä sanotaan. Mutta aikaisemmin muistan jostain lukeeneeni että esim. tuossa iltajournlaismin jutussa mainittu juttu kahdesta tutkijasta taisi olla enemmän savua kuin tulta.
Hyviä pointteja, tartun kuitenkin pariin. On totta että aika tuuri saa käydä että juuri sinun tilisi hakkeroitaisiin. Aloittelevat hakkerit kuitenkin aloittavat opinnot alusta, eli harjoittelemalla. Harjoittelua ei aloiteta mistää FBI:n serverin kaappauksesta vaan yksittäisistä tileistä jotka on verrattain helppoja murtaa, näin kerätään kokemusta ja tietoa. Kärjistettynä voisin sanoa että kun opiskelen rakennusalaa niin ei mekään ensimmäisenä alettu taloa rakentamaan vaan tehtiin helpompia tehtäviä joiden mukana tietotaito karttui. Näinhän se menee. Tuossa viimeisessä lausahduksessa on aikamoinen paradoksi. Eli suosittelisit ennemmin montaa helppoa salasanaa kuin yhtä vahvaa koska monta salasanaa on helpompi muistaa kuin yksi. Itselläni on noin 15 aktiivista paikkaa jonne kirjaudun salasanalla, en ehkä päivittäin mutta viikoittain. Jos minun pitäisi muistaa 15 eri salasanaa 15 eri paikkaan niin silloinhan minä niitä post-it lappuja tarvisin joka hemmetin nurkalle, mutta muutamaan palveluun on eri salasana ja toisiin eri, eli kaksi eri salasanaa. Kumpaa käytän, riippuu ihan siitä mitä tietoa se palvelu minusta pitää sisällään. Tämä taitaa olla kuitenkin aika henkilökohtainen juttu. Muutama vuosi sitten kaverin FB tili hakkeroitiin ja aiheutettiin jonkinlaista kaaosta postaamalla ihmisten seinille "fusk you" viestejä sekä muuta sontaa. Kaveri kysyi neuvoa ja annoin neuvot mutta silti hän vaihtoi salasanan vain toiseksi helpoksi salasanaksi. Kolmannen kerran kun tili hakkeroitiin hän otti neuvosta vaarin ja laittoi antamani ohjeiden mukaisen salasanan, eikä ainakaan vielä ole tiliä kaapattu uudelleen. Muistista vielä sen verran että ihminen joutuu päivittäin muistamaan järkyttävän määrän asioita. Kun asioita toistaa, muistamisesta tulee ns. automaatio. Sama se on salasanan kanssa. Kun joudut päivittäin kirjoittamaan sen muutaman kerran niin viikon päästä se on jo pinttynyt mieleen. Sama tilanne on kun saa uuden pankkikortin ja pin-koodi on vaihtunut. muutaman päivä on tuskaa kun pinnistelee muistiaan että mikä se oli, vähän ajan päästä huomaa että sen koodin näpyttelee ilman miettimistä kassajonossa. Ihmisen kykyä muistaa asioita ei pitäisi aliarvioida, aivot on kuitenkin aika uskomaton kapistus.
1password on käytössä ja on mainio softa. Salasanat säilötään vahvasti kryptattuun tiedostoon joko icloudissa tai dropboxissa. Päästäkseen käsiksi siihen, hyökkääjän tulee murtaa ensin pilvipalvelu ja lopulta bruteforcettaa tiedosto auki. Tietoturvaväen konsensus on että jokaiseen palveluun tulee käyttää eri salasanaa. Jos yksi palvelu mokaa ja vuotaa 33-merkkisen salasanan murtotyökalujen käyttämiin salasanalistauksiin, samalla aukeaa kaikki muutkin palvelut joita tunnus ja salasanayhdiatelmä käyttää. Riittää että yksikin merkki muuttuu ja tietoturvan taso nousee.
Mutta tuo edellyttää että hakkerin täytyy tietää ne muut palvelut missä henkilö on.. Kovin epärealistinen kuva että hakkeri rupeaa selvittämään kaikkia palveluita, Lisäksi nikit ei kaikkiin palveluihin ole samat kuitenkaan. En mä ole missään muussa palvelussa nikillä "rick79" kuin AD:ssä. Joten sinänsä se ja sama jos joku hakkerois tän AD-tilin, kaikki muut tilit olis silti turvassa.
Kovin usein käyttäjätunnus on se sama sähköpostiosoite joka ikisessä palvelussa. Ei hakkeri pyri pääsemään jonkun tietyn ihmisen tietoihin käsiksi, jollei se satu olemaan jonkun nimeltämainitsettoman ison suomalaisen firman toimitusjohtaja tai lakimies ja esiinny heidän nimissään siirtäen ison summan rahaa omaan taskuunsa. Tai sitten satu olemaan mustasukkainen perheenjäsen.
Mulla on kyllä tälläsiä portaaleja varten ihan oma mailiosote. Ei tulis mieleenkään antaa virallista mailiossua tämänkaltaiselle palvelulle joka elää mainostuloilla, sama koskee fb:tä, jne.. Tosin jos joku hakkerois mun AD tilin niin sen mailin salasanan kräkkäämisessä sillä tyypillä meniski sitte lepposasti loppuvuosi ja kevätki siihen päälle. Lopputuloksena se pääsis käsiks mailiossuun joka on täynnä mainosposteja sunmuuta paskaa Mulla on hyvin selkeä jaottelu miten mitkäkin tilit on toisiinsa yhteydessä ja varsinkin niiden suojaukset on oma lukunsa. Näin ollen riittää 2 salasanaa jotka ristiin suojelee toisiaan. Lisäksi portaalijaottelu on tehty niin että vaikka yhden tilin murtaisi niin se ei sinällään johtaisi mihinkään. Vaikka mulla ei olekkaan 15 eri salasanaa.
Ihmetyttää monen into tallettaa käyttäjätunnuksensa ja salasanansa ulkopuolisiin pilvipalveluihin. Mitä sitten tehdään kun koko palvelu katoaa bittiavaruuteen? Onhan ne varmasti tallessa jossain muuallakin? Myös vain selaimelle tallennetut tunnukset ja salasanat, eivät välttämättä ole hyvä asia. Vuosia sitten jouduin murtautumaan Windows Vistaan. Käyttäjä oli unohtanut salasanansa ja pääsy koneelle siten estynyt. Live Linuxilla homma onnistui vartissa. Salasanaa ei tarvinut varsinaisesti murtaa vaan Linux tallensi vanhan salasanan päälle vain uuden. Microsoftin kunniaksi voidaan lukea, että menettelyllä silloiseen IE8 (muistaakseni) selaimeen tallennetut käyttäjän muut salasanat ja tunnukset, olivat kadonneet. Siten vihamielisellä tarkoituksella murrettu Vista, ei olisi luovuttanut muita tietoja tekijälle. Ei ole ollut myöhemmin tarvetta toistaa tuota, enkä tiedä toimiiko menetelmä enää näissä myöhempien aikojen Windowseissa. Oma salasanakätköni on tallennettuna tekstitiedostona useaan paikkaan, jossakin pakattuna ja salattuna, jossakin koneessa avoimesti luettavissa, mutta missä ja mistä sen tajuaa...
Aina kun salasana on kirjotettu ylimääräseen paikkaan on se tietoturvariski. Kuten aiemmin mainitsin että mulla ne on vaan päässä, kai joku kohta hakkeroi mun aivotkin Lisäksi kun käytetään salasanaohjelmia tai tallennetaan s.sanoja selaimeen niin eihän ne tietenkään jää mieleen kun niitä ei joudu kirjottamaan tai edes miettimään. Toinen hauska juttu on se että ihmiset on hirveen skitsoja siitä ettei kukaan nää vaikkapa fb-salasanaa kun sitä näpytellään, mutta samalla pöydällä lojuu avoimena ja täysin luettavissa pankin avainlukulista. Johon käyttäjätunnus ja salasana on muistamisen helpottamiseks kirjotettu..... Että näin
