Muut alueet > Yleistä keskustelua

Turvattomat salasanat

(1/4) > >>

USakari:
Aina silloin tällöin silmiin osuu kehotus käyttää salasanoja, jotka ovat mahdollisimman pitkiä ja mahdollisimman satunnaisia ja sisältävät sekä isoja että pieniä kirjaimia kuin myös ainakin yhden numeron ja ainakin yhden erikoismerkin.

Kokeilin nyt (https://www.security.org/how-secure-is-my-password/) muutamia ehdokkaita. Esimerkiksi salasanan eRp5,9F murtamiseen menisi 9 minuuttia. Se katsotaan huonoksi, koska se on vain 7-merkkinen. Mutta lisätään perään huutomerkki (eRp5,9F!) niin päästäänkin jo 2 vuorokauteen. Vau.

Mutta hei. Joskus on kuitenkin niin, että jos annan kirjautuessani väärän salasanan, niin joudun odottamaan esimerkiksi 5 tai 10 minuuttia, ennenkuin saan yrittää uudestaan. Eikö tällainen viive pitäisi olla kaikissa salasanan tarkastusrutiineissa? Vai onko se jo? En tiedä, koska yleensä olen onnistunut syöttämään oikean salasanan.

Oletan, että 9 minuuttia, jonka arvioitiin menevän 7-merkkisen salasanan murtamiseen, ei sisällä juuri kuvattua viivettä. Mutta jos sisältäisi, niin mitenkähän kauan murtaminen sitten kestäisi?

ubpappa:
Millä testasit ???

Tomin:
Kannattaa nyt ymmärtää, että tässä on kyse kahdesta erilaisesta viiveestä, joita ei voi yhdistää. Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tuo tiivisteen laskeminen vie jonkin verran konetehoa, ja vaikka sitä voikin kasvattaa lisäämällä tiivistefunktion monimutkaisuutta, laskemalla rinnakkain tuhansia tai vieläkin useampia tiivisteitä hyökkääjä saa keskimääräisen ajan joka tapauksessa hyvin alas. Tuo sama tiiviste on laskettava aina palveluun kirjautuessa ja hyvin monimutkainen tiivistefunktio olisi myös käyttäjän näkökulmasta epäkäytännöllinen, koska jokainen kirjautumisyritys veisi kauan. Koska hyökkääjän täytyy joka tapauksessa kokeilla kaikkia mahdollisia yhdistelmiä löytääkseen oikean tiivisteen, salasanan monimutkaisuuden kasvattaminen on hyödyllisempää. Hyökkääjä ei tiedä osuneensa oikeaan ennen kuin tiiviste (ja siten kokeiltu salasana) täsmää täysin murtautumilla löydettyyn tiivisteeseen. Tuota monimutkaisuuden lisäämistä voi ajatella niin, että kun lisää salasanaan yhden kirjaimen vaihtoehdot mahdolliseksi salasanaksi 29-kertaistuvat, koska kirjaimia on 29 erilaista. Jos taas lisää (pienten) kirjainten rinnalle numeron, niin ikään kuin kasvattaa jokaisen merkin mahdollisia vaihtoehtoja kymmenellä (numeroita on kymmenen). Isoilla kirjaimilla ja erikoismerkeillä on vastaava vaikutus. Tätä kompleksisuutta kuvataan tuolla security.org:n laskurilla. Noihin absoluuttisiin aikoihin ei kannata kovinkaan tarkkaan tuijottaa, koska hyökääjällähän voisi teoriassa olla vaikka kuinka monta tietokonetta, jolla laskea noita salasanoja rinnakkain (esim. vuokrapalvelimia tai bottiverkko).

Tuo toinen mainitsemasi viive liittyy ainoastaan palvelun toteutukseen. Palvelun kehittäjä on voinut vähentää tileihin kohdistuvia murtautumisyrityksiä rajoittamalla mahdollisia kirjautumisyrityksiä. Jos salasana on väärin, voidaan olettaa ettei sitä syöttänyt palvelun oikea käyttäjä vaan kirjautumista yrittää joku muu, jolloin häntä ei ole syytä päästää kirjautumaan. Jos kyse oli kuitenkin vain väärinkirjoitetusta salasanasta, niin käyttäjää ei ole lukittu kokonaan pois ja hän voi yrittää hetken päästä uudestaan. Tällä ei ole mitään tekemistä tiivisteiden tai salasanan monimutkaisuuden kanssa.

Yksinkertaistin tässä vähän joitakin asioita, mutta tästä saanee yleiskuvan. Yksi näkökulma, jota en maininnut on sanakirjahyökkäykset eli satunnaisennäköisten salasanojen sijasta kokeillaan laskea tiivisteitä sanakirjasta löytyville salasanoille. Koska näitä sanoja on verrattain vähän, palveluissa ei kannata käyttää sanakirjasta löytyviä sanoja. Ei edes lisättynä parilla hassulla numerolla, sillä se ei monimutkaista arvausprosessia tarpeeksi.

USakari:

--- Lainaus käyttäjältä: ubpappa - 30.12.21 - klo:18.39 ---Millä testasit ???

--- Lainaus päättyy ---
Verkkoselaimella (Firefox).

qwertyy:
Jos aihe on ihan outo joillekin ja ihmettelee, miksi saman salasanan käyttämistä ei missään nimessä suositella on helppoa hahmottaa esim. tällä palvelulla. Tuonne voi syöttää sähköpostiosoitteensa jota on käyttänyt johonkin kirjautumiseen ja tuloksena saa sen löytyykö tietosi mahdollisesti pitkäkyntisten listoilta.
https://haveibeenpwned.com/

Eikä todellakaan kannata yliarvioida turvallisuutta ja olettaa, että ei se omalle kohdalle osu. Itse kun laitan omat sähköpostini tuonne, niin näen, että ne kaikki on mahdollisesti "korkattu" joissain palveluissa. Sinänsä olen turvassa, koska tiedän, että en ole käyttänyt kuin kerran kyseisiä salasanoja ja kaikkiin palveluihin olen muuttanut salasanan jälkikäteen. Mutta jos olisinkin käyttänyt iän päivää samaa identtistä salasanaa kaikissa palveluissa, niin se lähes varmasti löytyisi tuollaisen sanakirjahyökkäysen sisällöistä.

Mielenkiintoisena lisänä olen käyttänyt yhtä lyhyehköä salasanaa monissa tietokoneissa käyttäjätunnukselle varsin pitkään. Pari vuotta sitten tuli käyttäjätiliä ja salasanaa luodessa huomautus, että kyseinen salasana on turvaton ja löytyy sanakirjavalikoimista :)

Myös puhelinnumeron käy tuonne ja sekin voi tuottaa monelle yllätyksen.

*Lisäys*
Jos saat positiivisen tuloksen tuolta, niin se ei toki tarkoita automaattisesti sitä, että olet täysin turvaton. Mutta riski on kasvanut todella radikaalisti.

Navigaatio

[0] Viestien etusivu

[#] Seuraava sivu