Uusi vuosi, uudet salasanat & backupit

[Sami Lehtinen]

Eli otetaas tässä samalla tällainen pieni kysely meidän IT ammattilaisille täällä.

Kaikki aina hirnuu tolkuttomasti kun mä sanon, että teen kaksi kertaa vuodessa kaikkien salasanojen uusimisen & mm. backuppien restore testit. Sehän aivan liian harvoin!

Joten otetaas pienet gallup kysymykset tähän teille:
1. Koska olet viimeksi uusinut aivan kaikki salasanat / koodit? *
2. Ethän koskaan käytä samaa salasanaa kahteen eri järjestelmään, ethän?
3. Käytäthän vain ja ainoastaan vahvoja salasanoja?
4. Otatko varmuuskopiot, päivittäin, viikoittain, kuukausittain, vuosittain?
5. Testaatko varmuuskopioista tietojen palauttamisen, päivittäin, viikottain, kuukausittain, vuosittain?
6. Onhan sinulla myös off-site backupit ajantasalla? Tarkoittaa siis varmuuskopioita, jotka ovat vähintään eri palotilassa. Mieluiten toisessa rakennuksessa tai jopa kaupungissa, maassa tai mantereella.

 * Kyllä kohta yksi koskee mm. puhelimen pin koodia, access koodia, murtohälytysjärjestelmän koodia, jne. Kaikkia koodeja mitä ylipäätänsä pystyy itse valitsemaan. Myös maksukorttien koodit olisi hyvä uusia, mutta se ei ole valitettavasti mahdollista.

Mielenkiintoisia vastauksia odotellessa.

[Laiskamato]

1. En koskaan.
2. Käytän.
3. Useimmat.
4. Päivittäin.
5. Päivittäin.
6. Kyllä. Sijaitsevat Roubaix'ssa, Gravelines'ssa ja Strasbourgissa. 

[poiuyt]

1. En koskaan
2. En
3. Tärkeissä paikoissa 16-22 merkkisiä, vähemmän tärkeissä min. 8 merkkisiä.
4. Kotihakemisto peilataan 2 krt vrk saman koneen toiselle kiintolevylle, täysi varmuuskopio ulkoiselle usb-levylle  noin kerran kuussa.
5. Satunnaisesti
6. Ei ole. Pilvipalveluita olen harkinnut joskus tähän tarkoitukseen, mutta enpä taida omia tietoja & tiedostoja latailla pilveen, hidastakin se on.

[Eesaurus]

edit. Ei mitään sittenkään... Meni ohi silmien tuo "IT -ammattilaisille" kohta.

[Sami Lehtinen]

3. Tärkeissä paikoissa 16-22 merkkisiä, vähemmän tärkeissä min. 8 merkkisiä.
6. Ei ole. Pilvipalveluita olen harkinnut joskus tähän tarkoitukseen, mutta enpä taida omia tietoja & tiedostoja latailla pilveen, hidastakin se on.

3. Salasanan pituus ei ole olennainen asia, vaan sen entropia. Joskin pituus kyllä auttaa sitä olennaisesti. Mutta TamaOnVaanMunSalasana on todennäköisesti helpompi arvata kuin 5W'&0-€6Å4_ vaikka ensimmäinen onkin selvästi pidempi. - Olikohan se Microsoft kun julkaisi juuri työkalun salasanojen vahvuuden arviontiin.
6. Mikäs vika pilvessä on? Mä tuuppaan sinne kaikki tiedot oikein mielelläni, pilvipalvelut ovat tehneet off-site backupeista todella helppoja järjestää. Vaikka onhan sitä aina ennenkin ne voinut järkätä kaverille, töihin tms.

[poiuyt]

Juu, on mulla siis merkkejä, ei pelkästään kirjaimia. Löytyy numeroita, erikoismerkkejä, isoja ja pieniä kirjaimia kaikista tärkeistä salasanoista. Ääkkösiä olisi kai hyvä käyttää enemmänkin , mutta kaikissa ulkomaisissa palveluissa ei ole mahdollista.

PIlvipalvelut on hitaita ja minulla on kymmeniä gigoja videoita ja kuvia. Käytän kyllä Ubuntu onea, jollain tiedostoilla, joihin haluan päästä toiselta koneelta.

[Sami Lehtinen]

Tässä tämä telepaattinen salasanan arvionti softa. Toimii tosin vain englanninkielisillä sanoilla, mutta antaa hyvää vihjettä siitä, että pituus ei aina auta.

https://telepathwords.research.microsoft.com/

mm. Salasana MicrosoftWindows ei ole hyvä, vaikka onkin pitkä. Eikä UbuntuLinux ollut paljon sen parempi, vaikka se oli siis testin mukaan kuitenkin parempi, kuten me kaikki täällä tiedämmekin. Heh heh.

Hyvässä salasanassa tulee pelkästään vihreitä pukkeja. Esim: OByPwc7SV4-_2yH_b_Mf

[mrl586]

6. Mikäs vika pilvessä on? Mä tuuppaan sinne kaikki tiedot oikein mielelläni, pilvipalvelut ovat tehneet off-site backupeista todella helppoja järjestää. Vaikka onhan sitä aina ennenkin ne voinut järkätä kaverille, töihin tms.

NSA spying you. Tämä pätee ainakin osaan pilvipalveluista, jotka ovat NSA:n ulottuvilla.

[Sami Lehtinen]

6. Mikäs vika pilvessä on? Mä tuuppaan sinne kaikki tiedot oikein mielelläni, pilvipalvelut ovat tehneet off-site backupeista todella helppoja järjestää. Vaikka onhan sitä aina ennenkin ne voinut järkätä kaverille, töihin tms.

NSA spying you. Tämä pätee ainakin osaan pilvipalveluista, jotka ovat NSA:n ulottuvilla.

Kyllä, sitä varten mun backupit on 4096 bittisen RSA:n ja 256 bittisen TwoFishin takana.

Tuubaa: Käsittääkseni Snowden ei paljastanut NSA:n osalta mitään sellaista, mitä ei olisi voinut olettaa. Toisaalta taas mm. Bruce Schneier ja kumppanit jotka ovat perehtyneet asiaan, ovat todenneet että NSA:lla ei tietojen mukaan ole mitään ihmeellistä kykyä urkkia kunnolla salattuja tietoja. Yksi yö tuossa justiin mietinkin, että miksei paljastuksissa ollut mitään totaalisen mahtavaa. Esim kvanttitietokonetta joka purkaa kaiken kaapatun salatun liikenteen realiaikaisesti, tai edes sateliittiverkostoa joka kerää koko radiospektrin globaalisti talteen. Mutta ei, ei mitään hienoa.

Takaisin asiaan, eli  jos ja vaikka niillä olisi kyky mun backuppien salauksen murtamiseen, pistämällä kymmenien tai satojen miljoonien superkoneet jauhamaan avaimia vuosiksi, niin todennäköisesti syytä ei (toivottavasti) ole.

[Karvameduusa]

Laskentateho on taas kymmenen vuoden päästä eri luokkaa. Kymmenen vuoden päästä tarvitaan vahvempia salauksia. Kaikki mikä ihmisen rakentamaan on myös purettavissa.

[ajaaskel]

Harvoinpa tulee vaihdeltua salasanoja.  Toisaalta myöskin se datani kotona on sellaista että tuota ei jaksa varmaan kukaan lukea vaikka on kryptaamatonta...    
Tuo backup-asia sen sijaan on jossain määrin korjattu kotonakin, otan itse varmuuskopiot usb-levylle "rsnapshot" ohjelmalla joka on aika fiksu tuohon tarkoitukseen, ansaitsisi oman tarinansa.  Tämän hetkisen aikataulun mukaan se tekee päivittäin kopion ja lisäksi viikottain kopion.  Päivittäisiä kopioita tulee 7 kpl eli joka päivältä ja viikottaisia kopioita säästän 4.  Tuo on kätevä "aikakone", pääsee palaamaan eilisen tilanteeseen, sitä eiliseen, jne halutun ajan taakse päin.  rsnapshot luo kuvan että täydellinen kopio on jokaiselta päivältä viikko taaksepäin + viikottaiset täydet kopiot kun menee selaamaan sen tekemää hakemistorakennetta.  Tilan säästö on suuri tuolla ohjelmalla sillä se hyödyntää kovia linkkejä.
Palauttamista en ole testannut eikä se voisi toisaalta olla enää helpompaakaan kun tiedostot ovat ulkoisella levyllä sellaisenaan, suoraan kopioitavissa.  

[qwertyy]

1. En ihan kaikkia, mutta monet ehkä noin pari vuotta sitten. Epäilin Android troijalaisen iskeneen puhelimeen ja sen takia vaihdoin varuilta, mitä ilmeisimmin täysin turhaan monet salasanat. Mutta tuli kuitenkin tehtyä.

2. En tärkeisiin. Moniin nettipalveluihin, joiden olen ajatellut, että niissä ei haittaa mitään, vaikka tunnukset kaapattaisiin olen kyllä tehnyt samoilla tunnuksilla. Tosin myöhemmin olen monesti ihan piruuttani tehnyt tunnuksen jollain mailinaattorin tapaisella jos kyseessä on ollut yksittäinen käyttökerta. Kyllä ihan piruuttani. Mitäs ovat tehneet rekisteröitymisen pakolliseksi jonkin ihan triviaalin asian takia.

3. Käytäthän vain ja ainoastaan vahvoja salasanoja?
Tuokin on niin suhteellinen käsite. Täysin satunnaisia ne ovat. Nykyään ne kuitenkin kaapataan suoraan palveluntarjoajan kädettömyyden takia ja enemmän niiden armoilla ollaan.

4. Otatko varmuuskopiot, päivittäin, viikoittain, kuukausittain, vuosittain?
Riippuu kohteesta.

5. Testaatko varmuuskopioista tietojen palauttamisen, päivittäin, viikottain, kuukausittain, vuosittain?
En käytännössä koskaan. Verifiointi riittää.

6. Onhan sinulla myös off-site backupit ajantasalla? Tarkoittaa siis varmuuskopioita, jotka ovat vähintään eri palotilassa. Mieluiten toisessa rakennuksessa tai jopa kaupungissa, maassa tai mantereella.
Pilvessä. Henk.kohtaisesti minusta niitä oikeasti tärkeitä tietostoja on kuitenkin varsin vähän. Siis sellaiset jotka pitää olla saatavissa. Suurin osa tiedostoista mitä löytyy, niin ei haittaa vaikka häviäisikin. Sitten eriasia jos omistaa työhon ja sitä kautta elämiseen oikeasti vaikuttavia tietoja.

Pilvessä on helpoin pitää varmuuskopiota. Turvallisuudesta en ole oikein huolissani. Ei sinne ole pakko skannata dokumentteja tms. niin, että tietoja voisi käyttää väärin. Jos oikeasti pitäisi tehdä todella kriittisiä varmuuskopioita, niin veisin ne esim. pankkiin säilytettäväksi, enkä edes pitäisi niitä saatavilla millään palvelimella tms.

[qwertyy]

Takaisin asiaan, eli  jos ja vaikka niillä olisi kyky mun backuppien salauksen murtamiseen, pistämällä kymmenien tai satojen miljoonien superkoneet jauhamaan avaimia vuosiksi, niin todennäköisesti syytä ei (toivottavasti) ole.

Toisaalta kuten on jo tullut ilmi, niin NSA lahjoin jonkin RSA:lta jättämään takaoven koodiin. Se ei paljoa hyödytä jos sitä kautta tietoihin voi päästä vaikka normaali pöytä pentiumilla

[Sami Lehtinen]

Tuo backup-asia sen sijaan on jossain määrin korjattu kotonakin, otan itse varmuuskopiot usb-levylle "rsnapshot" ohjelmalla joka on aika fiksu tuohon tarkoitukseen, ansaitsisi oman tarinansa.

http://duplicity.nongnu.org/ on kätevä, syy miksi tykkään siitä, on se, että se tekee toki delta pakkauksen, ottaa vain muuttuneet tiedostot, mutta myös isoista tiedostoista se ottaa vain muuttuneet osiot. Todella kätevä mm. isompia tietokantoja varmistaessa. Heti ekana tulee mieleen mm. tietokannat, massiiviset mail folderit ja outlookin ost ja pst fileet. No ylipäätänsä kaikki sellainen data joka muuttuu osittain ja varmistetaan silti päivittäin.

Mulla on reilut kolmisen sataa gigaa dataa ja päivittäiset backupit vaihtelee jossain 100 kilon ja 25 megan välillä normisti. Varsinkin pilveen synkatessa aikasäästö on luonnollisesti massiivinen.

[audi]

Eli otetaas tässä samalla tällainen pieni kysely meidän IT ammattilaisille täällä.

Joten otetaas pienet gallup kysymykset tähän teille:
1. Koska olet viimeksi uusinut aivan kaikki salasanat / koodit? *
2. Ethän koskaan käytä samaa salasanaa kahteen eri järjestelmään, ethän?
3. Käytäthän vain ja ainoastaan vahvoja salasanoja?
4. Otatko varmuuskopiot, päivittäin, viikoittain, kuukausittain, vuosittain?
5. Testaatko varmuuskopioista tietojen palauttamisen, päivittäin, viikottain, kuukausittain, vuosittain?
6. Onhan sinulla myös off-site backupit ajantasalla? Tarkoittaa siis varmuuskopioita, jotka ovat vähintään eri palotilassa. Mieluiten toisessa rakennuksessa tai jopa kaupungissa, maassa tai mantereella.

1. Salasananhallintaohjelman mkaan 1-3 vuotta vanhoja
2. Ei kai.
3. Yleensä (15-30 merkkiä). Toisinaan palveluntarjoaja saattaa rajoittaa.
4. Tilanteen mukaan. Joskus harvoin voi mennä kuukausikin mutta silloin ei ole juurikaan muutoksia.
5. Vuosittain tai harvemmin, silloin tosin ei ole testitilanne, vaan koneen tai kiintolevyn vaihto.
6. Ei.

En ole IT ammattilainen mutta vastasin kuitenkin.

[Sami Lehtinen]

Pitäs varmaan vastata myös tähän ite. Siitä sitten voi olla montaa mieltä, että onko mun toimenpiteet riittäviä vai ei. Itse ainakin laskisin ne kohtuulliseksi. Vaikka tuossa pari sysadminia naureskelikin sille, että mulla ei ole täysin automatisoituja päivittäisiä restore testejä SMS hälytyksillä.

1. Joka vuosi kaikki, tärkeimpiä vaihdan jopa kuukausittain tai silloin jos on pienikin epäilys siitä, että voisi olla joku syy uusia ne. mm. ulkomailla matkustaminen, mahdollisesti ongelmallisen WLAN verkon käyttäminen, SSL sertifikaatti virhe tms. Vieraan koneen käyttäminen (Ei kai kukaan nyt näin kuitenkaan tee, koskaan, eihän?)
2. Ei koskaan samaa salasanaa eri palveluihin. (Siksi aina ihmettelenkin mikä älämölö tulee salasana vuodoista.)
3. Kyllä, vahvuus tosin vaihtelee vähän tilanteesta vahvasta järjettömän vahvaan. (80-256+ bittiä entropiaa, tilanteen mukaan, normaalisti noin 20 merkkiä)
4. Päivittäin, automatisoitu
5. Automatisoitu viikottainen testaus, sekä manuaalinen tehotarkistus kaksi kertaa vuodessa. Lisäksi käytössä on valvonta skriptit jotka pistää mailia sekä onnistumisesta, että epäonnistumisesta kootusti joka maanantai. Tietysti erroreista tulee ilmoitusta myös useammin. Viikottainen ilmoitus on käytössä sen takia, että jos sitä ei tule, niin sitten tietää että jossain on jotain pahasti pielessä.
6. Tietenkin. Kaikki backupit on vähintään tuplana, pääjärjestelmän lisäksi ja eri menetelmillä varmistettuna. Esim. 7z pakattuna ja salattuna ulkoiselle kiintolevylle (kerran kk) jonka lisäksi vielä par2 lisäkorruptoitumissuojaus käytössä ja päivittäin automaattisesti duplicityllä gpg salattuna Amazon Glacieriin. Tämän lisäksi säilytän myös historiat, että voin aika-matkata varmuuskopioissa vähintään puolivuotta taaksepäin mikäli ilmenee jotain piilokorruptoitumista tms.

Yksi juttu mikä kanssa huvittaa on se, että monet firmat ja tyypit sanoo, että ne ei halua kertoa mitään niiden tietoturva / varmistusratkaisuista. Yleensä tuo taitaa kuitenkin tarkoittaa sitä, että prosessit on niin kuralla, ettei kehdata kertoa miten huonosti asiat hoidetaan.

[audi]

2. Ei koskaan samaa salasanaa eri palveluihin. (Siksi aina ihmettelenkin mikä älämölö tulee salasana vuodoista.)
3. Kyllä, vahvuus tosin vaihtelee vähän tilanteesta vahvasta järjettömän vahvaan. (80-256+ bittiä entropiaa, tilanteen mukaan, normaalisti noin 20 merkkiä)

Luotatko erinomaiseen muistiisi, liimaatko salasanalappuja monitoriin kaikkien näkyville vai käytätkö kenties salasananhallintaohjelmaa? Itse olen vastoin ohjeita kirjoittanut paperille (kotona, ei tietenkään töissä). Tärkeimmät salasanat muistan ulkoa. Lisäksi käytän 1Password ohjelmaa. Koska en luota siihen, että saisin joka tilanteessa kaivettua tiedot esiin ohjelman syövereistä, niin ne ovat myös turvattomasti paperilla.

[shelby]

Mulla on noin sadassa rekkautumispaikassa sama salasana. Helppo muistaa, eri nicki kuites. Vai menikös se noin?

Hyvää tulevaa vuotta 2014.

[Sami Lehtinen]

Luotatko erinomaiseen muistiisi, liimaatko salasanalappuja monitoriin kaikkien näkyville vai käytätkö kenties salasananhallintaohjelmaa?

Hyvin trollattu. Ei vaineskaan, eihän tuossa ole olemassa kuin yksi ainoa realistinen vaihtoehto ja tiedät itsekkin mikä se on.

Joo, tietenkin password filu on asianmukaisesti varmistettuna. Sekä salasana on olemassa tallessa, mutta sellaisessa muodossa, että se on täysin hyödytön hyökkääjälle. Eli salasana on salattuna.

Satunnaisen salasanan salaamisessa on se hyvä puoli, että vaikka sen salaamiseen käytetty menetelmä olisikin heikko, niin se ei anna mitään lisäarvoa hyökkääjälle. Jos vaikka paperilla lukisi 6b34affde3d55d47 niin se on täysin hyödytön kaikille muille paitsi mulle. Koska tuo ei ole se salasana, vaan se pitää johtaa siitä. Kun taas dataa on noin vähän, ja salasana on lähtökohtaisesti satunnainen, se tekee salasanan johtamisen täysin mahdottomaksi jos ei tiedä algoritmiä ja avaimia jota on käytetty. Sen mä taas luotan mun erinomaisen muistin haltuun.

Salaus on kuitenkin sen verran raskas, että sen purkamiseen / luomiseen kannattaa kirjoittaa ohjelma. Eli tuo on vain last resort. Ohjelmaa ei ole missään vaiheessa tallennettu milleekään medialle. Excelilläkin se tietysti onnistuisi. Tarkoittaa siis tasan sitä, että tuosta muistilapusta ei ole taatusti mitään hyötyä kenellekään.

Jos tulee amnesia, niin oivoi...

Aina naurattaa kun ihmiset sanoo että salasanat on heikko lenkki. Ei taatusti ole. Lyön vetoa että on paljon helompaa turvautua muihin konsteihin, kun koittaa arvata noita salasanoja. mm. asuntoon murtautumiseen ja piilokameran asentamiseen. Toisaalta, silloin voi tulla hälytysjärjestelmän ja mahdollisten jo olemassa olevien piilokameroiden yllättämäksi.

Jäljelle jää siis malware joka vakoilee konetta, jonka kautta salasanat saadaan talteen. Tuo on varsin varteenotettava hyökkäysvektori. Eikä vaadi paikanpäällä käymistä, joka on riskikästä.

Btw. Tämä kannattaa katsoa jo on tylsää: https://www.youtube.com/watch?v=b0w36GAyZIA vaikka ei siinä mitään yllättävää musta ole. Lähinnä vain vahvistus sille, että konstit joista on tiedetty aikaisemmin on otettu ihan oikeasti käyttöön jonkun toimesta.

[audi]

Luotatko erinomaiseen muistiisi, liimaatko salasanalappuja monitoriin kaikkien näkyville vai käytätkö kenties salasananhallintaohjelmaa?

Ei vaineskaan, eihän tuossa ole olemassa kuin yksi ainoa realistinen vaihtoehto ja tiedät itsekkin mikä se on.

Joo, tietenkin password filu on asianmukaisesti varmistettuna. Sekä salasana on olemassa tallessa, mutta sellaisessa muodossa, että se on täysin hyödytön hyökkääjälle. Eli salasana on salattuna.

Arvasin ettet käytä post-it-lappuja. On mielenkiintoista lukea tällaisia keskusteluja, sillä mahdollisesti voin oppia jotakin uutta.

Katselin vanhoja viestejä ja löysin alla olevan:

Millä menetelmällä tuo varmennus korruptoitumista vastaan on tehty?

Reed Solomon on algoritmi ja sovellus on par2.

Onko tuttu menetelmä tiedostojen toimivuuden varmistamiseen?

Olen salannut kannettavan tietokoneeni kiintolevyn, varmuuskopioita taas en, koska niiden palauttamiseen voisi tulla ongelmia.