Kirjoittaja Aihe: Keskustelua salasanoista ja niiden tallentamiseen käytettävistä ohjelmista  (Luettu 10419 kertaa)

asuspoju

  • Käyttäjä
  • Viestejä: 640
  • Linux_Eki useissa verkkopeleissä, palveluissa jne.
    • Profiili
    • Youtube kanavani.
Täytyypä keepassia testata. Sepostelin jo pitemmältikin kunnes huomasin että tämä oli jokin nosto ja olin postannut aiemminkin. Miten onko teillä uuden salasanan muodostamisessa ongelmia? Jos vaikka rekisteröidyt johonki palveluun niin käytättekö perus salasanoja tai niiden variaatioita vai aina uusi ja talteen? Itse käytän aina jotain perus salasanaa jos tulen kirjautumaan kerran vain palveluun tai vain satunnaisesti.
http://www.youtube.com/user/LinuxEki
"Varkaat tulee ikkunoista"
http://tinyurl.com/ltspopin - Opinnäytetyöni LTSP-järjestelmästä

qwertyy

  • Käyttäjä
  • Viestejä: 5778
    • Profiili
Itsellä oli joskus muutamassa palvelussa sama salasana, mutta nykyään teen ihan täysin satunnaisen salasanan. Muutamat salasanat jotka pitäisi yrittää oikeasti muistaa joka paikassa, niin sellaiset olen tehnyt jostain mieleenjääneestä melkoisen pitkästä sanonnasta ja tietyllä tekniikalla niiden sanoista otetuista kirjaimista. Yleensä vielä sisältää jonkin helposti muistettavan luvun.

Btw onko teille koskaan tehty valmiiksi surkuhupaisan huonoa salasanaa johonkin paikkaan? Itse nimittäin sain erään suhteellisen tärkeän palvelun salasanan ja käyttäjätunnuksen luonnin yhteydessä ihan käsittämättömän huonosti muodostetun salasanan. Pisti huvittamaan kun noin 5 sekunnin sisään salasanan lukemisesta tajusin mistä se muodostuu ja 99% varmuudella pääsisin nyt parinkymmenen muun vastaavan käyttäjätilin sisään jos vain haluaisin.
« Viimeksi muokattu: 08.07.11 - klo:20.26 kirjoittanut qwertyy »

Vika/fiba

  • Käyttäjä
  • Viestejä: 660
    • Profiili
Suku(nimen) neljä ja Et(unimen) kaksi ensimmäistä kirjainta ainakin on saatu salasanaksi. Jostain syystä noudatin palveluntarjoajan neuvoa vaihtaa salasana heti.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Itsellä on aika yksinkertainen ratkaisu salasanojen säilyttämiiseen. Tekstitiedosto johon on tallennettu palvelun nimi, käyttäjätunnus palveluun, salasana palveluun. Tiedosto normaalisti PGP  (sillä openpg:llä)salattuna, muuta ei tarvitse muistaa kuin salauslause openPG:lle. Käytännössä muistan salasanani, mutta jos unohtuu ei muuta kuin kaivaa ko. tiedoston esiin ja avaa.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Tekstitiedosto johon on tallennettu palvelun nimi, käyttäjätunnus palveluun, salasana palveluun. Tiedosto normaalisti PGP  (sillä openpg:llä)salattuna.

Käytin joskus samaa ratkaisua. Tuossa on vain kaksi merkittävää ongelmaa:
A) Tieto on salaamattomana koneen muistissa -> voi tallentua swappiin.
B) Ellet pura/decryptaa tiedostoa suoraan ramdiskille tallentuu tiedosta  varmasti kopio myös kiintolevylle -> todella paljon huonompi homma.

Omat salasanat ovat vähintään 20 merkkiä, sisältää numerot, isot ja piennet akkoset, reilusti erikoismerkkejä ja unicode merkkejä. Valitettavan moni palvelu ei edes salli vahvojen salasanojen käyttämisen. Aivan liian moni palvelu sallii vain 0-9,A-Z,a-z, ja max 8 merkkiä. Jokaiseen palveluun tietenkin oma satunnainen salasana.

Kun salasanaa käytetään salausavaimena pitää muistaa, että tuollainen salasana on entropialtaan vain noin 130 bittiä. AES256/SHA256 parin kanssa kannattaisi käyttää vähintään 40 merkkistä satunnaista salasanaa. Muuten salasana on salauksen heikoin lenkki. Tämä tosiasia unohtuu käyttäjiltä kovin usein.
« Viimeksi muokattu: 11.07.11 - klo:05.01 kirjoittanut Sami Lehtinen »

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Tekstitiedosto johon on tallennettu palvelun nimi, käyttäjätunnus palveluun, salasana palveluun. Tiedosto normaalisti PGP  (sillä openpg:llä)salattuna.

Käytin joskus samaa ratkaisua. Tuossa on vain kaksi merkittävää ongelmaa:
A) Tieto on salaamattomana koneen muistissa -> voi tallentua swappiin.
B) Ellet pura/decryptaa tiedostoa suoraan ramdiskille tallentuu tiedosta  varmasti kopio myös kiintolevylle -> todella paljon huonompi homma.

Omat salasanat ovat vähintään 20 merkkiä, sisältää numerot, isot ja piennet akkoset, reilusti erikoismerkkejä ja unicode merkkejä. Valitettavan moni palvelu ei edes salli vahvojen salasanojen käyttämisen. Aivan liian moni palvelu sallii vain 0-9,A-Z,a-z, ja max 8 merkkiä. Jokaiseen palveluun tietenkin oma satunnainen salasana.

Kun salasanaa käytetään salausavaimena pitää muistaa, että tuollainen salasana on entropialtaan vain noin 130 bittiä. AES256/SHA256 parin kanssa kannattaisi käyttää vähintään 40 merkkistä satunnaista salasanaa. Muuten salasana on salauksen heikoin lenkki. Tämä tosiasia unohtuu käyttäjiltä kovin usein.

Olen yleensä pyyhkinyt salaamattoman tiedoston yli windows puolella salausohjelman pyyhintätyökalulla, linux puolella wipe komennolla, välimuisti taitaa se pahin ongelma olla. Tosin ylipäätään asiahan on niin että jos jollain on fyysinen pääsy koneeseen/kovalevyyn silloin kaikenlaiset suojatoimet ovat vain hidaste, jos tunkeutujalla on riittävästi aikaa ja asiantuntemusta.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Olen yleensä pyyhkinyt salaamattoman tiedoston yli windows puolella salausohjelman pyyhintätyökalulla, linux puolella wipe komennolla, välimuisti taitaa se pahin ongelma olla. Tosin ylipäätään asiahan on niin että jos jollain on fyysinen pääsy koneeseen/kovalevyyn silloin kaikenlaiset suojatoimet ovat vain hidaste, jos tunkeutujalla on riittävästi aikaa ja asiantuntemusta.

Käytin myös tuota pyyhkimistä, mutta sekin voi olla ongelmallista. Ainakin teoriassa mm. levyohjain voi päättää että juuri nyt se klusteri/sektori on sen verran vaurioitunut että se korvataan uudella vara-alueelta, jolloin tieto jää pyyhkimättä. Eikä sitä pääse pyyhkimään ilman levyvalmistajan työkaluja.

Windowssissa voi helposti määritellä swapin pyyhkimisen sammutuksen yhteydessä.

Mitä tulee tuohon fyysiseen pääsyyn, niin kyllä ja ei. Jos kone mm. läppäri tai kotikone varastetaan ja tieto on asianmukaisesti salattuna, se on todella iso hidaste. Jos taas tiloihin on jatkuva pääsy, esim. työkaverit, niin silloin ongelma on paljon suurempi. Tuossa tapauksessa pitäisi aina konetta käyttäessä tarkistaa se fyysisesti ja käyttää bios ja kokolevyn salausta, jotta niille ei voida helposti istuttaa mitään. Jos koko levyn kryptausta ei ole käytössä, voidaan koneeseen aina laittaa helposti keyloggeri tms. Salasana voidaan myös pyydystää radioteitse (näppäimistö ja usb-kaapelit säteilevät), video signaali vuotaa yleensä ulos. Näppäimistön äänestä pystytään päättelemään salasana. Sekä viimeisenä ja helppona vaihtoehtona tiloihin voidaan asentaa piilokamera joka tallentaa salasanan.

Aika haastavaksi alkaa menemään. Tuo tietenkin menee ihan siihen suurimpaan foliohattu kategoriaan. Normaalein uhka on se, että salasana vuotaa itse palvelusta, varastetaan troijalla / keyloggerilla tai on salaamattomana kun itse kone varastetaan. Salauksen käyttäminen ei ratkaise noista kuin pienen osan.

Siitä miten vahvoja salauksia käyttäneitä kavereita on bustattu, on monta tarinaa. Yksi ihan käytännöllinen tapa on se, että tiedettiin käyttäjän käyttätymisprofiili aika tarkasti. Tyypillä oli huippusalaukset käytössä, mutta kun se meni käymään vessassa, arvaa lukitsiko se koneen? No ei. Ei muuta kuin rynnäkkö kämppään ja sen jälkeen poliisit tekeytyivät kyseiseksi kaveriksi. Vahva autentikointi kun kerran kertoi hänen olevan puikoissa. Jos koneen olisi ehtinyt lukitsemaan, sekään ei välttämättä auttaisi, jos ei tehnyt kunnon dismounttia. Windowssin / ubuntun lukitus ei pyyhi salausavaimia koneen muistista. Muistien jäähdytys todella kylmäksi, ja siirto laitteeseen joka kopioi muistien sisällöt talteen. Taas kerran vahvakaan salaus ei auttanut. Kun hyökkääjällä on riittävä päättäväisyys ja resurssit käytettävissä menee asiat aika hankaliksi.

Onhan sinulla jatkuva videovalvonta tiloissa joissa koneet on? Muuten et edes tiedä, että koneessasi on ollut keyloggeri viikon ajan. Se istutettiin boot sectoriin rootkittinä tai pöytäkoneen tapauksessa asennettiin suoraan USB-portin väliin. Aijai, on monta tapaa epäonnistua.

EDIT: Juuri tämän kaltaisten palveluiden (ja hölmöjen käyttäjien) takia salasanan varastointiin pitäisi myös panostaa.

Lainaus käyttäjältä: md5 decrypt
This is very huge online md5 database at have about 4,700,000,000 md5 hashes.
Database generating in progress now, whats is why it working not very fast - 1-6 seconds for decrypt one md5sum.
What hashes you can decrypt: we have all md5 hashes of [a-z,A-Z,0-9] with length 1-6, and all hashes for [0-9] with length up to 9, also we have 20,000,000 of most usable passwords and dictionary worlds.
MD5 crack going very easy, our service already have md5 database of already cracked hashes, so tool just searching for in database by your md5 checksum.

Eipä homma ole edes armeijalla hallussa. Paketti on TPB:ssä jaossa.
« Viimeksi muokattu: 12.07.11 - klo:17.43 kirjoittanut Sami Lehtinen »

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili


Käytin myös tuota pyyhkimistä, mutta sekin voi olla ongelmallista. Ainakin teoriassa mm. levyohjain voi päättää että juuri nyt se klusteri/sektori on sen verran vaurioitunut että se korvataan uudella vara-alueelta, jolloin tieto jää pyyhkimättä. Eikä sitä pääse pyyhkimään ilman levyvalmistajan työkaluja.

Windowssissa voi helposti määritellä swapin pyyhkimisen sammutuksen yhteydessä.

Mitä tulee tuohon fyysiseen pääsyyn, niin kyllä ja ei. Jos kone mm. läppäri tai kotikone varastetaan ja tieto on asianmukaisesti salattuna, se on todella iso hidaste. Jos taas tiloihin on jatkuva pääsy, esim. työkaverit, niin silloin ongelma on paljon suurempi. Tuossa tapauksessa pitäisi aina konetta käyttäessä tarkistaa se fyysisesti ja käyttää bios ja kokolevyn salausta, jotta niille ei voida helposti istuttaa mitään. Jos koko levyn kryptausta ei ole käytössä, voidaan koneeseen aina laittaa helposti keyloggeri tms. Salasana voidaan myös pyydystää radioteitse (näppäimistö ja usb-kaapelit säteilevät), video signaali vuotaa yleensä ulos. Näppäimistön äänestä pystytään päättelemään salasana. Sekä viimeisenä ja helppona vaihtoehtona tiloihin voidaan asentaa piilokamera joka tallentaa salasanan.

Aika haastavaksi alkaa menemään. Tuo tietenkin menee ihan siihen suurimpaan foliohattu kategoriaan. Normaalein uhka on se, että salasana vuotaa itse palvelusta, varastetaan troijalla / keyloggerilla tai on salaamattomana kun itse kone varastetaan. Salauksen käyttäminen ei ratkaise noista kuin pienen osan.

Siitä miten vahvoja salauksia käyttäneitä kavereita on bustattu, on monta tarinaa. Yksi ihan käytännöllinen tapa on se, että tiedettiin käyttäjän käyttätymisprofiili aika tarkasti. Tyypillä oli huippusalaukset käytössä, mutta kun se meni käymään vessassa, arvaa lukitsiko se koneen? No ei. Ei muuta kuin rynnäkkö kämppään ja sen jälkeen poliisit tekeytyivät kyseiseksi kaveriksi. Vahva autentikointi kun kerran kertoi hänen olevan puikoissa. Jos koneen olisi ehtinyt lukitsemaan, sekään ei välttämättä auttaisi, jos ei tehnyt kunnon dismounttia. Windowssin / ubuntun lukitus ei pyyhi salausavaimia koneen muistista. Muistien jäähdytys todella kylmäksi, ja siirto laitteeseen joka kopioi muistien sisällöt talteen. Taas kerran vahvakaan salaus ei auttanut. Kun hyökkääjällä on riittävä päättäväisyys ja resurssit käytettävissä menee asiat aika hankaliksi.

Onhan sinulla jatkuva videovalvonta tiloissa joissa koneet on? Muuten et edes tiedä, että koneessasi on ollut keyloggeri viikon ajan. Se istutettiin boot sectoriin rootkittinä tai pöytäkoneen tapauksessa asennettiin suoraan USB-portin väliin. Aijai, on monta tapaa epäonnistua.


Toisaalta jos salattua tietoa käyttää se on pakko purkaa jossain vaiheessa, ja kas kummaa riskit kasvavat, enpä voi sanoa omaavaani videovalvontaa kämpälläni, mutta sanoisin riskin olevan sangen pienen, kun en pommien valmistelua tai muuta esim. viranomaisia suuresti kiinnostavaa harrasta. Ylipäätään voi kuitenkin sanoa että siinä vaiheessa peli on menetetty jos riittävän kiinnostunut ja riittävät resurssit omaava pääsee laitteeseen fyysisesti käsiksi, joko etävalvontana tai sitten vie kapistuksen ja kovalevyt mennessään. Silti sanoisin ns. vanhanaikaisen metodin olevan turvallisempi noin yleensä ainakin jos haluaa kaikensortin viranomaisilta tietonsa pitää omana tietonaan. Pilvipalveluihin tms. kun näemmä yhdellä jos toisellakin puuhailijalla on pääsy, jollei muuten niin oikeuden määräyksellä. Sitä vastoin jotain usb tikullista salattua dataa voi olla aika hankala löytää, jollei se ole missään ilmeisessä paikassa.

Jos sattuisin olemaan esim. kiinalainen toisinajattelija en esim. googlen tms. suuryrityksen kuvioihin luottaisi pätkääkään. Niillä on sikäli isot paineet tehdä ko maassa bisnestä, että voivat helposti taipua painostukseen.

Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.