Kirjoittaja Aihe: Keskustelua salasanoista  (Luettu 7057 kertaa)

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Keskustelua salasanoista
« : 02.07.11 - klo:04.59 »
Haluaisin vaihtaa salasanani, mutta tämä foorumi ei salli sitä. Väittää aina vaan, että nykyinen salasanani on muka väärin. Mulla on tästä johtuen erittäin vahva käsitys siitä, että tämä foorumi bugaa.

Onhan nyt varmasti toimittu niin, että kaikilla sivuilla on sama merkistö? Nopeasti vilkaistuna näyttäisi olevan. Käsitelläänkö salasanaa aina samalla funktiolla ja samalla tavalla.  Minulla on vahva käsitys siitä, että näin ei menetellä. ;)

Joten saisiko bugin korjattua tai salasanan vaihdettua jollain muulla vaihtoehtoisella menetelmällä.

 - Kiitos

P.S. Miten musta tuntuu, ettei mene päivääkään ilman että joku asia bugaa perustavanaatuisesti.
« Viimeksi muokattu: 31.08.11 - klo:19.57 kirjoittanut Sami Lehtinen »

Storck

  • Vieras
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #1 : 02.07.11 - klo:10.33 »
Mikä selain käytössä? Jos Firefox niin: Muokkaa - Asetukset - Turvallisuus - Tallennetut salasanat - Näytä salasanat - Kyllä. Sieltä katsot mikä salasanasi oikeasti tänne on.

Jos joku muu selain niin joku muu osaa auttaa.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #2 : 02.07.11 - klo:10.51 »
Mikä selain käytössä?

FF

Lainaus
Jos Firefox niin: Muokkaa - Asetukset - Turvallisuus - Tallennetut salasanat - Näytä salasanat - Kyllä. Sieltä katsot mikä salasanasi oikeasti tänne on.

Jos joku muu selain niin joku muu osaa auttaa.

Kiitos hyvästä trollista, nauratti huolella. Ensinnäkään kuka käyttää selaimen muistia, se tunnetusti ei ole kovin turvallinen vaihtoehto. Toisekseen, kyse ei ole selaimen ongelmasta lainkaan. Testasin vielä ubuntulla ja windowssilla, Win XP + Chrome ja Win7 + FF/IE yhdistelmillä. Eikä selaimella ole todellakaan mitään tekemistä tämän asian kanssa.

Kyllä, voin logata ulos ja sisään, mutta EN voi vaihtaa salasanaa koska vanha salasanani on muka aina väärin.

Oma vahva käsitykseni on todellakin se, että tuo salasana käsitellään virheellisesti koodissa. Se kun sisältää unicode ja SQL injectioniksi laskettavia merkkejä. Joten jos koodaaja on failannut, eikä käytä aina täysin samaa menetelmää, on suuri todennäköisyys siihen, että homma ei toimi oikein.

P.S. Miksi aina suositellaan käyttämään vahvoja salasanoja ja sitten törmään jatkuvasti ongelmiin mistä ihmeellisimpien sivustojen kanssa että homma ei toimi oikein.

mm. Nordnetin järjestelmä bugasi ihan samalla tavalla, joskaan ei salasanan vaan käyttäjätunnuksen osalta.
« Viimeksi muokattu: 02.07.11 - klo:10.57 kirjoittanut Sami Lehtinen »

Storck

  • Vieras
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #3 : 02.07.11 - klo:10.54 »
Trollista,,,  just. Mistäs minä voin tietää sinun tieto- osaamistasosi.

Ole hyvä.

japfin

  • Käyttäjä
  • Viestejä: 226
    • Profiili
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #4 : 02.07.11 - klo:10.55 »
Ei suoraan asiaan liittyvää, mutta oli aika shokki tajuta että firefox antaa salasanat ja käyttäjätunnukset ilman mitään suojausta kenen tahansa nähtäville. Eikö kukaan ole tästä älähtänyt? Ei ihan anna turvallista kuvaa firefoxin käytöstä.

Taitaa olla selaimen vaihto edessä. Sääli, tykkäsin firefoxista.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #5 : 02.07.11 - klo:11.07 »
Ei suoraan asiaan liittyvää, mutta oli aika shokki tajuta että firefox antaa salasanat ja käyttäjätunnukset ilman mitään suojausta kenen tahansa nähtäville. Eikö kukaan ole tästä älähtänyt? Ei ihan anna turvallista kuvaa firefoxin käytöstä.

Taitaa olla selaimen vaihto edessä. Sääli, tykkäsin firefoxista.

Jos et käynnistä selainta Private Browsin modeen, niin se vuotaa joka tapauksessa järjestelmään yksityistä tietoa. "Clear history when firefox closes", optio "poistaa" tiedot tietokannasta. Mutta kuten kaikki tiedämme, tila merkitään vain vapaaksi free space mappiin. Tämä tarkoittaa sitä, että kuka tahansa edes aavistuksen pätevä kaivaa nuo tiedot sekunneissa, jotka luulit poistaneesi. Kannattaa tutkia niiden SQlite tiedostojen sisältö mitä FF jättää jälkeensä. Tämäkään ei ole mikään uutinen sinänsä, tuo sama toimintamalli on ollut käytössä about vuodesta 2003 asti. Vilkaiseppa vaikka places.sqlite fileen sisältöä sen jälkeen kun olet poistanut historian.

Huom, vaikka käytät private browsing modea jos järjestelmässä on swap käytössä, liittyy siihen samoja riskejä. Mutta kaivaminen ei ole aivan yhtä naurettavan helppoa.

Nämä ongelmat ratkeaa onneksi käyttämällä LUKSia.

Takaisin asiaan, eli vahvoihin salasanohin ja niiden aiheuttamiin ongelmiin.

Se ettei salasanan vaihto toimi, ei oikeastaan yllätä minua. Monet palvelut eivät pidä salasanoistani, joka ovat tyyliä:
pass:’ or 1=1–〰*'#"

Ihan oikeasti, ette usko miten moni palvelu bugaa kunnollisten salasanojen kanssa. ;) Tämä bugaamisen määrä myös osoittaa mitä ilmeisimmin sen, että 99,8% käyttäjistä ei käytä vahvoja salasanoja. Osa palveluista suorastaan pakottaa käyttämään heikkoja salasanoja. Esimerkiksi: a-z, A-Z, 0-9 ja 4-8 merkkiä. Pahimmassa tapauksessa PWD chekkaus rutiini ei edes ole case sensitive, sitäkin on nimittäin nähty.

Kuinka vaikeaa on muka oikeasti ottaa täysin vapaamuotoinen unicode merkkijono ja pistää se vaikka scryptin läpi. Sen jälkeen verrata sitä kannassa olevaan binary arvoon. Ei kovin vaikeaa, mutta selvästi aivan  liian vaikeaa suurimmalle osalle ns. web-kehittäjistä.

Etkö usko? Ota mikä tahansa satunnainen palvelu netistä ja yritä antaa salasaniksi esimerkiksi tuo käyttämäni esimerkki. Joissain harvoissa palveluissa on panostettu siihen, että salasanat voivat oikeasti olla vahvoja. mm. Slashdot, Google, Yahoo tms sallivat oikeasti vahvast salasanat. Mutta monet eivät.

Eikös se ole melkoisen hauskaa jos salasana on pelkkää heperaa tai katakanaa? ;) Siinä vaan ahkerasti sitten rainbow table tai sanakirjahyökkäystä suorittamaan. Onnea matkaan.
完璧なソリューション
Tässä vielä SHA256 hashi hexana tuosta unicode salasanasta:
5904ba0c71cb60f53667e702339436ef1a3d51fb2ef5c2f8f2f91e9d29e4f52e

P.S. Katakana salasana saattaa näyttää hauskalle, mutta juuri tuo kyseinen salasana on oikeasti heikko. Koska siihen toimii sanakirjahyökkäys, kunhan kielenä käytetään japania. Todellisuudessa unicode salasanojen on syytä olla olla täysin satunnaisia. Tätä ehtoa esimerkki salasanani ei täytä.

Edit: Myös Windows XP bugasi kunnollisten salasanojen kanssa.

Laitappa XP:ssä salasanaksi €uro-tESti. Lukitse kone, avaa se. Ok, boottaa kone ja syötä tuo sama salasana. Onnistuitko kirjautumaan? Hyvä.

Tottakai voisin kiertää tätä ongelmaa password recoveryllä / resetillä. Mutta silloin itse ongelmaa ei korjattaisi. Vihaan purkkaliima ratkaisuita. Kaikista ongelmista pitäisi aina tehdä root cause analysis eikä vain kehitellä erilaisia kiertotapoja asian ratkaisemiseksi.
« Viimeksi muokattu: 02.07.11 - klo:12.43 kirjoittanut Sami Lehtinen »

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Keskustelualueiden salasanan vaihto ei toimi (?)
« Vastaus #6 : 02.07.11 - klo:12.56 »
Ei suoraan asiaan liittyvää, mutta oli aika shokki tajuta että firefox antaa salasanat ja käyttäjätunnukset ilman mitään suojausta kenen tahansa nähtäville. Eikö kukaan ole tästä älähtänyt? Ei ihan anna turvallista kuvaa firefoxin käytöstä.

Taitaa olla selaimen vaihto edessä. Sääli, tykkäsin firefoxista.

Tämä ominaisuus löytyy kaikista selaimista. Toki tallennetut salasanat saa pois turvallisuus välilehdestä. Jos yksityisyys kiinnostaa kannattaa lukea tämä wiki artikkeli https://wiki.piraattipuolue.fi/Yksityisyys_Internetiss%C3%A4.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Keskustelualueiden salasanan vaihto toiminto on rikki
« Vastaus #7 : 02.07.11 - klo:18.00 »
Kukaan ei näyttänyt kommentoineen asiaa. Päätin sitten ratkaista asian. Tässä tulokset pienen haarukoinnin jälkeen.

Ensinnäkin, salasanan vaihtaminen on juuri täsmälleen niin rikki, kuin epäilinkin sen olevan pelkällä tuntumalla.

Ettekö usko? Laittakaa salasanaksi "jekku'merkki" tai muu merkkijono, joka sisältää tarvittavan jekkumerkin ja sen jälkeen ette enää pysty vaihtamaan salasanaa muuksi. Palautus toki onnistuu salasana sähköpostipalautus toiminnon kautta. Toisaalta, palauta salasana sähköpostilla idea on tietoturvan kannalta täysin älyvapaa ratkaisu ja vesittää tehokkaasti äärimmäisen vahvatkin salasanat. Tällaisten bugien takia laitan usein salasanan palautukseen toisen merkkijonon, joka on täsmälleen yhtä vahva kuin itse salasana. En nyt jaksanut kokeilla saako tuon salasana vastauskentän sekoamaan käyttämällä samaa merkkiä.

Että näin,nyt tiedetään missä vika on, katsotaan koska se saadaan korjattua.

Kuriositeettina mainittakoon salasanan 完璧なソリューション toimineen erinomaisesti. Unicode ei ole  tässä tapauksessa ongelma.

Tuo että ' merkki rikkoo salasana-toiminnon kertoo myös siitä, että palvelussa käsitellään salasanoja täysin virheellisesti. Mutta eipä se ole varmaan mitään uutta kenellekkään. Uskoisin ja tiedän, että suurimmassa osassa tavallisia verkkopalveluita edes perusteet ei ole kunnossa. (Eihän kukaan ole niin hölmö, että käyttäisi samaa salasanaa useampaan kuin yhteen palvelun, eihän?)

Jos joku on utelias mikä vanha salasanani oli jonka kautta ongelman havaitsin, niin se oli: $E/kY!:d0]>x'<*x=70!  

Kiitokset yhteistyöstä.

P.S. Sitten toivotaan että systeemit ei failaa ja joku palauta tietokantaa, jossa on tuo vanha salasana. Ei vaineskaan ei se aivan noin ole. Kuitenkin riittävän samanlainen, että siitä selviää kyseessä olevan vahva salasana. Se sisältää myös riittävästi erikoismerkkejä.
« Viimeksi muokattu: 02.07.11 - klo:18.17 kirjoittanut Sami Lehtinen »

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Keskustelualueiden salasanan vaihto toiminto on rikki
« Vastaus #8 : 02.07.11 - klo:19.00 »
Tiedoksi: Versiossa SMF 2.0 tuo bugi on korjattu.

Ongelma on voinyt myös syntyä lokalisoinnin / paikallisen kustomoinnin yhteydessä.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Tuli muuten aikaisemmat pointtini taas todistettua. Evli.com pankki ei salli erikoismerkkejä sisältäviä vahvoja salasanoja. Heidän uusiessaan järjestelmiään tilanne heikkeni vielä entisestään. Vanha salasana oli 0-9,A-Z,a-z merkistöstä muodostuva merkkijono ja pituutena vaatimattomat 20 merkkiä. Uudempaan järjestelmään en tuolla pystynyt kirjautumaan. Oli pakko kirjautua vanhaan järjestelmään, vaihtaa salasana uuteen samaa merkistöä käyttävään, mutta vain 12 merkkiä pitkään vaihtoehtoon. Sen jälkeen kirjautuminen uuteen palveluun onnistui.

Niin monen palvelun kehittäjille ja ylläpidolle menee terveiset, teidän pitäisi palkata joku pätevä sinne. ;)

Ehkä varmaan noin 20. palvelu, jossa törmään samanlaisiin perusongelmiin salasanojen kanssa. Palaute on nyt lähetetty, katsotaan kauanko tällaisen triviaalin pikkujutun korjaaminen kestää.

Edit: Tämän keskustelun saa siirtää myös yleiseen keskusteluun, jos se sinne tuntuu paremmin sopivan.

Edit II, translated version:

Evli.com bank doesn't allow passwords which include special charactes. Therefore I used 20 chars long random 0-9,A-Z,a-z password. But when they upgraded their system I couldn't login anymore. I had to login to old system, change my password to shorter one. Then I were able to login to the new system.

It's incredible. Why bank doesn't allow strong passwords? Why their password policy enforces users to have weak passwords? I just don't get it.

Maybe it would be good time for them to hire some new people. ;)
« Viimeksi muokattu: 31.08.11 - klo:20.06 kirjoittanut Sami Lehtinen »

Jtkone

  • Käyttäjä
  • Viestejä: 895
    • Profiili
Vs: Keskustelua salasanoista
« Vastaus #10 : 02.09.11 - klo:16.45 »
Mielenkiintoinen kirjoitus Sami Lehtiseltä. Eipä ole tullut tällaisen tasamaantallaajan pohdittua tuota(kaan) asiaa vaan on ollut siinä uskossa että a-z ja 0-9 riittävät.

PS.
Ilmeisesti ei enää kannata käyttää salasanana:Salasana on väärin ;)

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Keskustelua salasanoista
« Vastaus #11 : 04.09.11 - klo:09.23 »
Mielenkiintoinen kirjoitus Sami Lehtiseltä. Eipä ole tullut tällaisen tasamaantallaajan pohdittua tuota(kaan) asiaa vaan on ollut siinä uskossa että a-z ja 0-9 riittävät.

Ei tässä mitään uutta ole.
https://www.grc.com/haystack.htm

Tietysti pankin tapauksessa tilanne on vähän erilainen, koska on toivottavaa että järjestelmiin ei päästä murtautumaan ja käyttäjien salasana hasheja ei päästä varastamaan. Pankit myös rajoittavat salasanan kokeiluyrityksiä, niin kauan kun nuo yritykset tapahtuvat virallisen käyttöliittymän kautta. Mutta jos on tilanne jossa pankin järjestelmien salasana-hasheihin esimerkiksi päästään käsiksi, vaikka järjestelmästä otetun backupin varastamisen kautta, niin siihen vahvemmat salasanat taas auttavat.

Toisekseen en koskaan käytä samaa salasanaa useisiin palveluihin.

Vahvojen salasanojen idea on juuri siinä, että niitä ei saada purettua edes nopeilla brute force menetelmillä. Esimerkkinä, sinulla on USB-tikku joka sisältää valtionsalaisuuksia, massiivisa asiakastietorekistereitä, luottokorttitietoja, tai muuten vaan dataa jonka paljastumisesta tulisi mittaamaton vahinko tai vaikka 10 vuotta linnaa. Etkö silloin toivo, että tiedot ovat varmasti suojassa vähintään elinikäsi verran?

Asiallinen salaus helpottaa merkittävästi siinä ikävässä tilanteessa, kun huomaat hukanneesi tuon USB-tikun. Ainahan sitä voi toivoa, että löytäjä ei koskaan tajua että tikulla oleva SQL-dumppi sisältää esim. 200 000 luottokortinumeroa. Mutta mielestäni on paljon parempi salata tiedot kunnolla, kuin luottaa onneensa.

Nykyjään puhutaan myös usein eri salaustekniikoiden bittimääristä. Hehkutetaan että käytetään 256 bittistä salausta. Mutta jos tuon salauksen kanssa käytetään salasanaa, pitää 0-9,a-z salasanan olla vaatimattomasti 50 merkkiä pitkä jotta salasanasta saadaan salaukseen tarvittava 256 bitin entropia irti. 0-9,A-Z,a-z salasanoilla riittää vain 43 merkkiä. Mitä laajemmaksi merkistö kasvatetaan, sitä nopeammin myös salasanan pituusvaatimus laskee. Mikään ei ole naurettavampaa kuin mainostaa että käytämme 256 bittistä salausta ja sitten salasanana käytetään jotain 6-8 merkkistä salasanaa. 8 merkkinen 0-9,a-z salasana kun on tasan 41 bittiä vahva. Sehän ei täytä edes vanhan ja hyvän DESin 56 bitin tarvitsemaa avainpituutta.

Pitäisiköhän ostaa talvipuuhastelun iloksi huuto.netistä 10 kiintolevyä ja tehdä niille kunnon analyysi mitä kaikkea niiltä löytyy. ;) Ainakin aikaisemmissa testeissä ebayn kautta on löytynyt vaikka mitä mielenkiintoista.

Vaikka järjestelmät olisikin vahvoja, niin käyttäjä tuntuu usein olevan se heikoin lenkki.
HB Gary hack

Tietoturva puolella pitää muistaa, että koskaan ei saa olla avulias. ;) Aina pitää olla hankala.
« Viimeksi muokattu: 04.09.11 - klo:10.14 kirjoittanut Sami Lehtinen »