Salasanat ja tietoturva

Uusimmat Keskustelu Yleistä Yleiset pulinat Salasanat ja tietoturva

Esillä 6 viestiä, 1 - 6 (kaikkiaan 6)
  • Julkaisija
    Artikkelit
  • LINKKI

    devspain
    Ei kirjautuneena
    Liittynyt: 30.01.2007
    Kirjoituksia: 22
    Vastauksia: 1281

    Ajattelinpa kirjoittaa pienen neuvon salasanoista nyt kun uutisissakin (sekä Orkissa) on jo käsitelty yhtä salasanavuotoa Suomessa.

    Ihan alkuun kaikille kysymys: Mitkä ovat 3 kaikken yleisintä tapaa murtautua tietokoneellesi?
    (Vastaus hieman alempana, mieti tarkkaan ensin!)

    Sitten itse aiheeseen.

    Ensinnäkin, itse vuotoon jonkun ulkopuolisen tahon ylläpitämällä palvelimella ei yksityishenkilö voi mitenkään varautua. Ei auta vaikka oma salasanansi olisi ”kilometrin pitkä” jos systeemi on muuten haavoittuvainen.
    Toisaalta, oma salasana kannattaa pitää tarpeeksi vaikeana, että ulkopuoliset eivät pääse juuri sinun tietoihisi käsiksi, esimerkiksi sähköpostiin.

    Tässä yllä on nyt kaksi erilaista tapausta, joissa voi olla riski. Ensimmäisessä palveluntarjoaja ei ole suojannut järjestelmäänsä tarpeeksi hyvin ja toisessa käyttäjä itse on valinnut mahdollisesti liian helpon salasanan.

    Kun rekisteröidyt mihin tahansa palveluun, joka vaatii käyttäjätunnuksen, muista että:
    -valitsemasi salasana on tarpeeksi pitkä, mieluiten ainakin 8 merkkiä pitkä tai enemmän
    -se sisältää isoja ja pieniä kirjaimia sekä numeroita
    -se ei tarkoita mitään, eikä missään tapauksessa ole koirasi nimi tai syntymäaikasi jne.

    Ole aina varovainen niiden palveluiden kanssa mitkä eivät käytä salattua yhteyttä (SSL) ja joissa liikutellaan rahaa tai muita arkaluontoisia tietoja.
    -salatun yhteyden tunnistaa selaimen osoitteessa olevasta https:// osiosta normaalin http:// sijaan
    -oletusarvoisesti selain myös osaa kertoa kun siirrytään salatulle alueelle tai siitä pois
    -sellaisissa palveluissa missä si ole taloudellista haittaa, ei SSL-yhteydellä ole juurikaan merkitystä (esimerkiksi Orkissa)
    -Älä koskaan anna luottokorttinumeroita tai pankkitietojasi/henkilötunnustasi jne verkon yli ellet todella tiedä kenen kanssa olet tekemisissä ja että yhteys on SSL-salattu.
    -Älä kerro salasanaasi kenellekään! Se on sinun!!! Muilla ei ole asiaa esimerkiksi sähköpostiisi, lähetä sen sijaan jaettava viesti eteenpäin niille, joille haluat sen menevän! Muista että myös ”PC” tarkoittaa ”Personal Computer”. Se on siis henkilökohtainen ja mikäli useampi henkilö käyttää samaa konetta, aseta koneeseen usempi käyttäjä ja jokaiselle oma tiedostoalueensa äläkä anna muille pääkäyttäjän oikeuksia!

    Suosittelen kaikille salasanan sijaan salalausetta! Esimerkiksi jos salasanansi on nyt koirasi nimi tmv, niin se on hyvin helppo murtaa tuntemalla sinut ja lähipiirisi. Toisaalta jos salasanasi on esimerkiksi X4Hyjq8xw, niin et itse muista sitä, joten joudut kirjoittamaan sen jonekin ylös, mahdollisesti tallettamaan lappusen näppäimistön alle, ja tietoturvariski on valmis!
    Salalause on sellainen lause, jolla on sinulle merkitys, eli jonka muistat, mutta se on silti tarpeeksi pitkä ja muille merkityksetön. Tällainen on esimerkiksi se, että ajattelet vaikkapa että ”Kummisetä on hyvä leffa”. Tästä saadaan muodostettua hyvin turvallinen salalause muokkamalla kaikki sanat yhteen, laittamalla ä:n tilalle A:n (siis ison A:n) ja vaikkapa kaikkiein i-kirjainten tilalle ykkösen. Siis ”Kumm1setAonhyvAleffa”. Näin salalauseesi on valmis ja se ei itsessään tarkoita mitään, mutta se on helppo muistaa. Silti se on hyvin pitkä ja siten murtoturvallinen. Keksi itse omasi!

    Käytä palveluissa eri salasanaa. Mikäli käytät hyvin montaa palvelua on toki vaikeaa muistaa kaikkien salasanoja, joten voi olla kätevää ottaa käyttöön vaikkapa 4 erilaista salasanaa erityyppisille palveluille, yksi tietokoneen avaamiseen, yksi sähköposteihin ja vastaaviin juttuihin, yksi kaikkiin tavallisiin nettipalveluihin ja yksi pankkipalveluihin ja muihin vastaaviin. Kaikkiin voi itse sitten valita sopivan ”vaikeustason”.

    Valitettavasti kaikki palvelut eivät vieläkään salli määrättömän pitkiä salasanoja, joten joskus joutuu turvautumaan lyhyempään vaihtoehtoon. Mikäli palvelu ei hyväksy pitkiä salasanoa, on se myös osoitus ammattitaidottomasta salasanojen tallennusmenetelmästä palvelimella. Kaikki ISO-standardin mukaiset järjestelmät tallentavat palvelun salasanat nk. shadow-password-menetelmällä siten, että itse salasanaa ei ole tallennettu palvelimelle lainkaan! Esimerkiksi suomessa tapahtunut tietomurtoyritys ei olisi siis mahdollinen! Näissä järjestelmissä salasanasta on tallessa vain nk. allekirjoitus ”checksum”, jota sitten verrataan sisäänkirjautuessa. Tämä vastaa salasanansi/salalauseesi sormenjälkeä ja sitä on mahdotonta purkaa takaisin koska matemaattinen algoritmi tuntee vain menetelmän tunnisteen luomiseen ja itse tunnisteessa ei ole enää tallessa alkuperäistä salasanaa.

    Mikäli haluat tietää enemmän tietoturvasta, ota yhteyttä IT Development Spain:iin, vastaan mielelläni kysymyksiin.

    Ja lopuksi vastaus alussa esitettyyn kysymykseen:
    1) =yleisin tapa: Mennään tietokoneen luo ja aletaan käyttämään sitä. Siinä ei ole salasanaa!
    2) Mennään koneen luo ja kysytään käyttäjältä salasana ja aletaan käyttämään sitä!
    3) Mennään suureen yritykseen. Sanotaan ”Möttönen ATK-yksiköstä päivää, meillä on nämä koneiden uusinnat nyt menossa, eli vien nyt tämän koneen pois. Huomenna tulee uudet…” Sitten häivytään paikalta koneen kanssa!

    Tietoturvallista syksyä kaikille Orkkilaisille.

    LINKKI

    Kari
    Ei kirjautuneena
    Liittynyt: 01.07.2006
    Kirjoituksia: 175
    Vastauksia: 1456

    Kiitos devspain hyvistä vinkeistä.

    Haluaisin tässä yhteydessä vielä erityisesti korostaa sähköpostisi salasanan pitämistä turvallisena ja ainoastaan omassa tiedossasi.

    Miksi?

    Siitä yksinkertaisesta syystä, että pääsy sähköpostiisi (tai yrityksen sähköpostiin) on käytännössä pääsy myös muihin salasanoihisi. Hallitsemalla sähköpostiasi hyökkääjä pystyy esiintymään sinuna ja pyytämään ”unohtamansa” salasanat itselleen.

    Rikolliset ja muut huijarit käyttävät suurella menestyksellä tätä menettelymallia huijauksissaan. Aiheesta lisää riskienhallintaan liittyvässä kirjoituksessani.

    Pidä siis erityisen hyvää huolta sähköpostistasi!

    LINKKI

    Johan Toki
    Ei kirjautuneena
    Liittynyt: 10.07.2006
    Kirjoituksia: 86
    Vastauksia: 1851

    Eli jos vaihdan itse salasanani sähköpostiini, niin voiko joku sen silti saada taas käsiinsä, vaikka vaihdan jopa sitä kysymystäkin jolla saan itse sen muka unohdettuani???

    Voisinko saada nyt hieman tarkemmin vielä rautalangasta väännettynä tätä asiaa jällen kerran – huokaus… 🙂

    Siis sellaisen vaikka ”blondeille tarkoitetun opastuksen – rautalangasta”, vaikka tummaverikko olenkin… 🙂

    LINKKI

    Zorro
    Ei kirjautuneena
    Liittynyt: 04.10.2007
    Kirjoituksia: 0
    Vastauksia: 11

    CERT-FI varoitus 07/2007

    13.10.2007
    CERT-FI varoitus 07/2007

    13.10.2007
    Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

    Tiedostossa vaikuttaa olevan noin 80000 suomalaisen internet-verkkopalvelun käyttäjien käyttäjätunnustiedot. Erityisesti yhteisöpalvelujen käyttäjien syytä olla tarkkana ja mahdollisesti varmuuden vuoksi vaihtaa salasanansa.

    CERT-FI on saanut ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisten verkkopalvelujen, lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä. Tiedostossa näyttäisi olevan myös joitakin satoja selväkielisiä salasanoja.

    CERT-FI selvittää parasta aikaa, mihin palveluihin tunnukset mahdollisesti liittyvät. CERT-FI on myös yhteydessä verkkopalveluntarjoajiin, teleyrityksiin ja poliisiviranomaisiin.

    Jos on syytä epäillä oman verkkopalvelusalasanan joutuneen vääriin käsiin, salasana on syytä vaihtaa välittömästi. Jos käyttää samaa salasanaa useissa eri verkkopalveluissa, kaikkien samaa salasanaa käyttäneiden palvelujen salasanat on vaihdettava.

    Yhteisö- ja keskustelupalvelujen ylläpitäjien on suositeltavaa selvittää, onko julkaistujen listalla käyttäjien salasanoja. Mikäli on syytä epäillä, että salasanat on saatu esimerkiksi tietomurron yhteydessä, asiasta olisi syytä ilmoittaa viranomaisille, esimerkiksi CERT-FI:lle ja poliisille.
    VAROITUKSEN KOHDERYHMÄ:

    * Suomalaisten internet-yhteisöpalvelujen käyttäjät
    * Yhteisöpalvelujen ja keskustelupalvelujen ylläpitäjät

    RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

    * Salasanojen vaihto
    * Verkossa julkaistun salasanalistan vertaaminen oman palvelun käyttäjätietokantaa vasten (ylläpitäjät)

    LISÄTIETOA:

    * CERT-FI julkaisee tilanteen edistymisen mukaan myös Tietoturva nyt! -artikkeleita.

    Tiedostossa vaikuttaa olevan noin 80000 suomalaisen internet-verkkopalvelun käyttäjien käyttäjätunnustiedot. Erityisesti yhteisöpalvelujen käyttäjien syytä olla tarkkana ja mahdollisesti varmuuden vuoksi vaihtaa salasanansa.

    CERT-FI on saanut ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisten verkkopalvelujen, lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä. Tiedostossa näyttäisi olevan myös joitakin satoja selväkielisiä salasanoja.

    CERT-FI selvittää parasta aikaa, mihin palveluihin tunnukset mahdollisesti liittyvät. CERT-FI on myös yhteydessä verkkopalveluntarjoajiin, teleyrityksiin ja poliisiviranomaisiin.

    Jos on syytä epäillä oman verkkopalvelusalasanan joutuneen vääriin käsiin, salasana on syytä vaihtaa välittömästi. Jos käyttää samaa salasanaa useissa eri verkkopalveluissa, kaikkien samaa salasanaa käyttäneiden palvelujen salasanat on vaihdettava.

    Yhteisö- ja keskustelupalvelujen ylläpitäjien on suositeltavaa selvittää, onko julkaistujen listalla käyttäjien salasanoja. Mikäli on syytä epäillä, että salasanat on saatu esimerkiksi tietomurron yhteydessä, asiasta olisi syytä ilmoittaa viranomaisille, esimerkiksi CERT-FI:lle ja poliisille.
    VAROITUKSEN KOHDERYHMÄ:

    * Suomalaisten internet-yhteisöpalvelujen käyttäjät
    * Yhteisöpalvelujen ja keskustelupalvelujen ylläpitäjät

    RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

    * Salasanojen vaihto
    * Verkossa julkaistun salasanalistan vertaaminen oman palvelun käyttäjätietokantaa vasten (ylläpitäjät)

    LISÄTIETOA:

    * CERT-FI julkaisee tilanteen edistymisen mukaan myös Tietoturva nyt! -artikkeleita.

    LINKKI

    Johan Toki
    Ei kirjautuneena
    Liittynyt: 10.07.2006
    Kirjoituksia: 86
    Vastauksia: 1851

    Mutta palaan edelleen ruohonjuuri tasolle… 😉

    Eli jos emailini on ”kräkätty”, auttaako edes salasanan vaihto? Eikö ”kräkkääjä” saa silloin sitäkin uutta salasanaa, kuten tuossa Karin esimerkissä mielestäni vihjaistiin?

    Pitääkö sitten vaihtaa koko emeili osoite taas vai kuinka pitäisi toimia kaiken turvan ja kauhun nimissä?

    LINKKI

    Zorro
    Ei kirjautuneena
    Liittynyt: 04.10.2007
    Kirjoituksia: 0
    Vastauksia: 11

    Netissä on tietyssä osoitteessa 78000 suomalaisten käyttämää salasanaa.
    Tietääkö Kari tai joku muu asiantuntija voinko ilmoittaa esim. käy googlessa ja laita hakusanaksi ?????? niin pääset tarkistamaan onko esim. sähköpostisi ja salasanasi siellä ?

    Tarkoitan tällä syyllistynkö johonkin rikokseen esim. henkilötietosuojalakiin ?

Esillä 6 viestiä, 1 - 6 (kaikkiaan 6)

Sinun täytyy olla kirjautunut vastataksesi tähän aiheeseen.