Ei suoraan asiaan liittyvää, mutta oli aika shokki tajuta että firefox antaa salasanat ja käyttäjätunnukset ilman mitään suojausta kenen tahansa nähtäville. Eikö kukaan ole tästä älähtänyt? Ei ihan anna turvallista kuvaa firefoxin käytöstä.
Taitaa olla selaimen vaihto edessä. Sääli, tykkäsin firefoxista.
Jos et käynnistä selainta Private Browsin modeen, niin se vuotaa joka tapauksessa järjestelmään yksityistä tietoa. "Clear history when firefox closes", optio "poistaa" tiedot tietokannasta. Mutta kuten kaikki tiedämme, tila merkitään vain vapaaksi free space mappiin. Tämä tarkoittaa sitä, että kuka tahansa edes aavistuksen pätevä kaivaa nuo tiedot sekunneissa, jotka luulit poistaneesi. Kannattaa tutkia niiden SQlite tiedostojen sisältö mitä FF jättää jälkeensä. Tämäkään ei ole mikään uutinen sinänsä, tuo sama toimintamalli on ollut käytössä about vuodesta 2003 asti. Vilkaiseppa vaikka places.sqlite fileen sisältöä sen jälkeen kun olet poistanut historian.
Huom, vaikka käytät private browsing modea jos järjestelmässä on swap käytössä, liittyy siihen samoja riskejä. Mutta kaivaminen ei ole aivan yhtä naurettavan helppoa.
Nämä ongelmat ratkeaa onneksi käyttämällä LUKSia.
Takaisin asiaan, eli vahvoihin salasanohin ja niiden aiheuttamiin ongelmiin.Se ettei salasanan vaihto toimi, ei oikeastaan yllätä minua. Monet palvelut eivät pidä salasanoistani, joka ovat tyyliä:
pass:’ or 1=1–〰*'#"
Ihan oikeasti, ette usko miten moni palvelu bugaa kunnollisten salasanojen kanssa.
Tämä bugaamisen määrä myös osoittaa mitä ilmeisimmin sen, että 99,8% käyttäjistä ei käytä vahvoja salasanoja. Osa palveluista suorastaan pakottaa käyttämään heikkoja salasanoja. Esimerkiksi: a-z, A-Z, 0-9 ja 4-8 merkkiä. Pahimmassa tapauksessa PWD chekkaus rutiini ei edes ole case sensitive, sitäkin on nimittäin nähty.
Kuinka vaikeaa on muka oikeasti ottaa täysin vapaamuotoinen unicode merkkijono ja pistää se vaikka scryptin läpi. Sen jälkeen verrata sitä kannassa olevaan binary arvoon. Ei kovin vaikeaa, mutta selvästi aivan liian vaikeaa suurimmalle osalle ns. web-kehittäjistä.
Etkö usko? Ota mikä tahansa satunnainen palvelu netistä ja yritä antaa salasaniksi esimerkiksi tuo käyttämäni esimerkki. Joissain harvoissa palveluissa on panostettu siihen, että salasanat voivat oikeasti olla vahvoja. mm. Slashdot, Google, Yahoo tms sallivat oikeasti vahvast salasanat. Mutta monet eivät.
Eikös se ole melkoisen hauskaa jos salasana on pelkkää heperaa tai katakanaa?
Siinä vaan ahkerasti sitten rainbow table tai sanakirjahyökkäystä suorittamaan. Onnea matkaan.
完璧なソリューション
Tässä vielä SHA256 hashi hexana tuosta unicode salasanasta:
5904ba0c71cb60f53667e702339436ef1a3d51fb2ef5c2f8f2f91e9d29e4f52e
P.S. Katakana salasana saattaa näyttää hauskalle, mutta juuri tuo kyseinen salasana on oikeasti heikko. Koska siihen toimii sanakirjahyökkäys, kunhan kielenä käytetään japania. Todellisuudessa unicode salasanojen on syytä olla olla täysin satunnaisia. Tätä ehtoa esimerkki salasanani ei täytä.
Edit: Myös Windows XP bugasi kunnollisten salasanojen kanssa.
Laitappa XP:ssä salasanaksi €uro-tESti. Lukitse kone, avaa se. Ok, boottaa kone ja syötä tuo sama salasana. Onnistuitko kirjautumaan? Hyvä.
Tottakai voisin kiertää tätä ongelmaa password recoveryllä / resetillä. Mutta silloin itse ongelmaa ei korjattaisi. Vihaan purkkaliima ratkaisuita. Kaikista ongelmista pitäisi aina tehdä root cause analysis eikä vain kehitellä erilaisia kiertotapoja asian ratkaisemiseksi.
