Kirjoittaja Aihe: Turvattomat salasanat  (Luettu 5121 kertaa)

USakari

  • Käyttäjä
  • Viestejä: 224
    • Profiili
Turvattomat salasanat
« : 30.12.21 - klo:18.18 »
Aina silloin tällöin silmiin osuu kehotus käyttää salasanoja, jotka ovat mahdollisimman pitkiä ja mahdollisimman satunnaisia ja sisältävät sekä isoja että pieniä kirjaimia kuin myös ainakin yhden numeron ja ainakin yhden erikoismerkin.

Kokeilin nyt (https://www.security.org/how-secure-is-my-password/) muutamia ehdokkaita. Esimerkiksi salasanan eRp5,9F murtamiseen menisi 9 minuuttia. Se katsotaan huonoksi, koska se on vain 7-merkkinen. Mutta lisätään perään huutomerkki (eRp5,9F!) niin päästäänkin jo 2 vuorokauteen. Vau.

Mutta hei. Joskus on kuitenkin niin, että jos annan kirjautuessani väärän salasanan, niin joudun odottamaan esimerkiksi 5 tai 10 minuuttia, ennenkuin saan yrittää uudestaan. Eikö tällainen viive pitäisi olla kaikissa salasanan tarkastusrutiineissa? Vai onko se jo? En tiedä, koska yleensä olen onnistunut syöttämään oikean salasanan.

Oletan, että 9 minuuttia, jonka arvioitiin menevän 7-merkkisen salasanan murtamiseen, ei sisällä juuri kuvattua viivettä. Mutta jos sisältäisi, niin mitenkähän kauan murtaminen sitten kestäisi?



ubpappa

  • Käyttäjä
  • Viestejä: 1469
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #1 : 30.12.21 - klo:18.39 »
Millä testasit ???
xubuntu 18;rasberry
acer aspire XC,näyttönä Toshiba tv ja vga päte...
Ymmärtää epätäydellisesti vain
suomea...;)

Jos tiedät vastaa, jos luulet tietäväsi vastaa.
Jos et tiedä/ymmärrä...älä vastaa.vanhuus tullee muillennii :))

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Turvattomat salasanat
« Vastaus #2 : 30.12.21 - klo:19.34 »
Kannattaa nyt ymmärtää, että tässä on kyse kahdesta erilaisesta viiveestä, joita ei voi yhdistää. Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tuo tiivisteen laskeminen vie jonkin verran konetehoa, ja vaikka sitä voikin kasvattaa lisäämällä tiivistefunktion monimutkaisuutta, laskemalla rinnakkain tuhansia tai vieläkin useampia tiivisteitä hyökkääjä saa keskimääräisen ajan joka tapauksessa hyvin alas. Tuo sama tiiviste on laskettava aina palveluun kirjautuessa ja hyvin monimutkainen tiivistefunktio olisi myös käyttäjän näkökulmasta epäkäytännöllinen, koska jokainen kirjautumisyritys veisi kauan. Koska hyökkääjän täytyy joka tapauksessa kokeilla kaikkia mahdollisia yhdistelmiä löytääkseen oikean tiivisteen, salasanan monimutkaisuuden kasvattaminen on hyödyllisempää. Hyökkääjä ei tiedä osuneensa oikeaan ennen kuin tiiviste (ja siten kokeiltu salasana) täsmää täysin murtautumilla löydettyyn tiivisteeseen. Tuota monimutkaisuuden lisäämistä voi ajatella niin, että kun lisää salasanaan yhden kirjaimen vaihtoehdot mahdolliseksi salasanaksi 29-kertaistuvat, koska kirjaimia on 29 erilaista. Jos taas lisää (pienten) kirjainten rinnalle numeron, niin ikään kuin kasvattaa jokaisen merkin mahdollisia vaihtoehtoja kymmenellä (numeroita on kymmenen). Isoilla kirjaimilla ja erikoismerkeillä on vastaava vaikutus. Tätä kompleksisuutta kuvataan tuolla security.org:n laskurilla. Noihin absoluuttisiin aikoihin ei kannata kovinkaan tarkkaan tuijottaa, koska hyökääjällähän voisi teoriassa olla vaikka kuinka monta tietokonetta, jolla laskea noita salasanoja rinnakkain (esim. vuokrapalvelimia tai bottiverkko).

Tuo toinen mainitsemasi viive liittyy ainoastaan palvelun toteutukseen. Palvelun kehittäjä on voinut vähentää tileihin kohdistuvia murtautumisyrityksiä rajoittamalla mahdollisia kirjautumisyrityksiä. Jos salasana on väärin, voidaan olettaa ettei sitä syöttänyt palvelun oikea käyttäjä vaan kirjautumista yrittää joku muu, jolloin häntä ei ole syytä päästää kirjautumaan. Jos kyse oli kuitenkin vain väärinkirjoitetusta salasanasta, niin käyttäjää ei ole lukittu kokonaan pois ja hän voi yrittää hetken päästä uudestaan. Tällä ei ole mitään tekemistä tiivisteiden tai salasanan monimutkaisuuden kanssa.

Yksinkertaistin tässä vähän joitakin asioita, mutta tästä saanee yleiskuvan. Yksi näkökulma, jota en maininnut on sanakirjahyökkäykset eli satunnaisennäköisten salasanojen sijasta kokeillaan laskea tiivisteitä sanakirjasta löytyville salasanoille. Koska näitä sanoja on verrattain vähän, palveluissa ei kannata käyttää sanakirjasta löytyviä sanoja. Ei edes lisättynä parilla hassulla numerolla, sillä se ei monimutkaista arvausprosessia tarpeeksi.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

USakari

  • Käyttäjä
  • Viestejä: 224
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #3 : 30.12.21 - klo:19.42 »
Millä testasit ???
Verkkoselaimella (Firefox).

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #4 : 30.12.21 - klo:20.46 »
Jos aihe on ihan outo joillekin ja ihmettelee, miksi saman salasanan käyttämistä ei missään nimessä suositella on helppoa hahmottaa esim. tällä palvelulla. Tuonne voi syöttää sähköpostiosoitteensa jota on käyttänyt johonkin kirjautumiseen ja tuloksena saa sen löytyykö tietosi mahdollisesti pitkäkyntisten listoilta.
https://haveibeenpwned.com/

Eikä todellakaan kannata yliarvioida turvallisuutta ja olettaa, että ei se omalle kohdalle osu. Itse kun laitan omat sähköpostini tuonne, niin näen, että ne kaikki on mahdollisesti "korkattu" joissain palveluissa. Sinänsä olen turvassa, koska tiedän, että en ole käyttänyt kuin kerran kyseisiä salasanoja ja kaikkiin palveluihin olen muuttanut salasanan jälkikäteen. Mutta jos olisinkin käyttänyt iän päivää samaa identtistä salasanaa kaikissa palveluissa, niin se lähes varmasti löytyisi tuollaisen sanakirjahyökkäysen sisällöistä.

Mielenkiintoisena lisänä olen käyttänyt yhtä lyhyehköä salasanaa monissa tietokoneissa käyttäjätunnukselle varsin pitkään. Pari vuotta sitten tuli käyttäjätiliä ja salasanaa luodessa huomautus, että kyseinen salasana on turvaton ja löytyy sanakirjavalikoimista :)

Myös puhelinnumeron käy tuonne ja sekin voi tuottaa monelle yllätyksen.

*Lisäys*
Jos saat positiivisen tuloksen tuolta, niin se ei toki tarkoita automaattisesti sitä, että olet täysin turvaton. Mutta riski on kasvanut todella radikaalisti.
« Viimeksi muokattu: 30.12.21 - klo:20.51 kirjoittanut qwertyy »

startx

  • Käyttäjä
  • Viestejä: 414
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #5 : 31.12.21 - klo:14.08 »
Työpaikalla on 3kk välein vaihtuva salasana ja minimipituus on 15 merkkiä, jonka pitää sisältää numero, iso ja pieni kirjain sekä erikoismerkki. Joku mystinen algortimi on myös, joka estää oman nimen ja 12345 jne. täytteen, eikä saa olla liian lähellä entisiä salasanoja. Lopputuloksena uutta salasanaa saa kokeilla kymmenen kertaa, kunnes järjestelmä sen hyväksyy. Hetken päästä, kun se pitää kirjoittaa uudestaan, niin sitä ei enää muistakaan, mikä oli lopulta hyväksytty, ja pitää suorittaa salasanan resetointi uudestaan. Suurella osalla salasana on kirjoitettu johonkin lapulle työpöydälle ja minä lähetän sen itselle whatsappiin, niin löytyy se sitten sieltä.

Salasanaakin saa kokeilla jotain 10 kertaa, kunnes kirjautuminen menee 15minuutin ajaksi lukkoon, joten en näe mitään perustetta moista hirvitystä pitää käytössä. Ennen oli vain 8 merkin minimi ja piti kirjain, numero ja erikoimerkki löytyä.

jarmala

  • Käyttäjä
  • Viestejä: 790
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #6 : 31.12.21 - klo:14.47 »
Työpaikalla on 3kk välein vaihtuva salasana ja minimipituus on 15 merkkiä, jonka pitää sisältää numero, iso ja pieni kirjain sekä erikoismerkki.

Kovin pitkiä salasanoja ei muista, jolloin se perinteen mukaan kirjoitetaan post-it -lapulle ja ennen vanhaan lappu liimattiin monitorin kylkeen. Nyt kun näytöt ovat litteitä eikä niissä enää ole kylkeä, lienee parasta liimata lappu näppäimistön alapintaan tai hiirimaton alle...
Ubuntu 18.04 LTS, Gnome Flashback Metacity, Xeon E3-1245 V2, 8 GB
Ubuntu 22.04 LTS, KDE Plasma, Celeron N5105, 8 GB

epiphone

  • Käyttäjä
  • Viestejä: 1111
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #7 : 31.12.21 - klo:14.56 »
Kovin pitkiä salasanoja ei muista, jolloin se perinteen mukaan kirjoitetaan post-it -lapulle ja ennen vanhaan lappu liimattiin monitorin kylkeen. Nyt kun näytöt ovat litteitä eikä niissä enää ole kylkeä, lienee parasta liimata lappu näppäimistön alapintaan tai hiirimaton alle...
Juu, näppäimistön alla on paras paikka...
Kahvi on väkevin juomani

USakari

  • Käyttäjä
  • Viestejä: 224
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #8 : 01.01.22 - klo:14.48 »
Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tiiviste on siis tehty niin, että pelkästään sitä tutkailemalla ei voi saada selville, mikä on salasana tiivistämättömänä? Entä jos hyökkääjä valmistelee tekosensa niin, että tekee ison joukon käyttäjätunnuksia ja liittää niihin eri salasanat? Voiko hän näiden tiivisteiden avulla päästä selville tiivistysmenetelmästä? (Jos siis murto onnistuu niin, että hän näkee sekä käyttäjätunnukset että niihin liittyvät salasanojen tiivisteet?)
« Viimeksi muokattu: 01.01.22 - klo:14.50 kirjoittanut USakari »

kamara

  • Käyttäjä
  • Viestejä: 3031
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #9 : 01.01.22 - klo:14.55 »
Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tiiviste on siis tehty niin, että pelkästään sitä tutkailemalla ei voi saada selville, mikä on salasana tiivistämättömänä? Entä jos hyökkääjä valmistelee tekosensa niin, että tekee ison joukon käyttäjätunnuksia ja liittää niihin eri salasanat? Voiko hän näiden tiivisteiden avulla päästä selville tiivistysmenetelmästä? (Jos siis murto onnistuu niin, että hän näkee sekä käyttäjätunnukset että niihin liittyvät salasanojen tiivisteet?)

Voi toki, mutta hyvä tiiviste on henkilökohtainen. Siis jokaisella käyttäjällä on eri tiiviste. Esimerkiksi tiivisteeseen on suolattu vakiotekstin lisäksi käyttäjätunnus, jolloin vaikka ratkaisisi tiivisteen suolauksen, niin joutuisi ratkaisemaan kaikkien käyttäjien tiivisteet erikseen. Toinen vaihtoehto on tehdä yksilöllinen tiiviste laittamalla suolaus tietokantaan kyseiselle käyttäjälle omansa jollakin random-datalla. Tietenkin tällaisen tiivisteen lisäksi kannattaa tiivisteeseen laittaa jokin vakio-tiivistesuolaus lisäksi.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Turvattomat salasanat
« Vastaus #10 : 01.01.22 - klo:20.05 »
Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tiiviste on siis tehty niin, että pelkästään sitä tutkailemalla ei voi saada selville, mikä on salasana tiivistämättömänä? Entä jos hyökkääjä valmistelee tekosensa niin, että tekee ison joukon käyttäjätunnuksia ja liittää niihin eri salasanat? Voiko hän näiden tiivisteiden avulla päästä selville tiivistysmenetelmästä? (Jos siis murto onnistuu niin, että hän näkee sekä käyttäjätunnukset että niihin liittyvät salasanojen tiivisteet?)

Tiivistysmenetelmä ei ole salainen eikä sen tarvitse olla. Kaikki hyvä kryptografia perustuu siihen, että algoritmit ovat julkisia, mutta käytetyt avaimet salaisia. Tosiaan tuo kamaran mainitsema suolaus on tapa estää sateenkaaritauluihin (oma suomennos; engl. rainbow table) perustuva hyökkäys. Idea on siis, että noita tiivisteitä erilaisille salasanoille voi tosiaan laskea valmiiksi pitkän listan ja sitten tehdä vain vertailun murrossa saatuun listaan salasanoja, mutta suolaa tekee tuollaisesta hyökkäyksestä epäkäytännöllisen, koska myös ne kaikki mahdolliset suolan arvot täytyisi huomioida, jolloin vaihtoehtojen määrä räjähtää valtavaksi, vaikka salasana ei monimutkaistukaan. Suola on kuitenkin talletettava tavalla tai toisella salasanan tiivisteen yhteyteen, eikä siksi korvaa monimutkaista salasanaa.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #11 : 04.01.22 - klo:22.51 »
Kovin pitkiä salasanoja ei muista, jolloin se perinteen mukaan kirjoitetaan post-it -lapulle ja ennen vanhaan lappu liimattiin monitorin kylkeen. Nyt kun näytöt ovat litteitä eikä niissä enää ole kylkeä, lienee parasta liimata lappu näppäimistön alapintaan tai hiirimaton alle...
Juu, näppäimistön alla on paras paikka...

Pitkiä salasanoja ei muista ja pöydät täyttyvät lapuista joissa salasanoja. Itsellä kotikoneessa ollut pitkään sama 6 merkkiä pitkä salasana. rootilla vähän pidempi. Nykyisin saa verkosta konetehoa ja hakkereilla voi niitä olla paljonkin käytössä. Pitkähkö salasanakaan ei ole turvallinen kun koneteho kasvaa. Kun pitkästä aikaa tein uutta Linux asennusta systeemi ei enää huolinut 6 merkkiä pitkää vanhaa salasanaa. Piti keksiä uusi ja on tuossa lapulla pöydällä.

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #12 : 05.01.22 - klo:18.48 »
Pitkiä salasanoja ei muista ja pöydät täyttyvät lapuista joissa salasanoja.
Tämän takia kannattaa ehdottomasti nykyään käyttää salasanojen hallintaohjelmia esim. KeePassXC tms.

Jtkone

  • Käyttäjä
  • Viestejä: 895
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #13 : 05.01.22 - klo:20.15 »
Mielenkiintoinen tuo USakarin linkki.
Tietysti kokeilin salasanaa "salasana", Murretaan välittömästi, kun taas "Minun salasana" ottaa 65 miljoonaa vuotta,
Joskus muistelin lukeeni, että turvallisimpia salasanoja on jonkun harvinaisemman kielen (kuten suomi) ihan selvä sanaiset lauseet,
Ainakin tuo testi tuota tukee. Ja onhan jokin suomen kielinen lause helpompi muistaa kuin jotkin satunnaiset kirjain numero yhdistelmät.

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #14 : 08.01.22 - klo:20.22 »
Mielenkiintoinen tuo USakarin linkki.
Tietysti kokeilin salasanaa "salasana", Murretaan välittömästi, kun taas "Minun salasana" ottaa 65 miljoonaa vuotta,
Joskus muistelin lukeeni, että turvallisimpia salasanoja on jonkun harvinaisemman kielen (kuten suomi) ihan selvä sanaiset lauseet,
Ainakin tuo testi tuota tukee. Ja onhan jokin suomen kielinen lause helpompi muistaa kuin jotkin satunnaiset kirjain numero yhdistelmät.
Epäilen kovasti tuota 65 miljoona vuotta, koska löytyy sanakirjasta ym.

Whig

  • Käyttäjä
  • Viestejä: 356
  • puppu-generaattori
    • Profiili
    • localhost
Vs: Turvattomat salasanat
« Vastaus #15 : 10.01.22 - klo:08.20 »
Mielenkiintoinen tuo USakarin linkki.
Tietysti kokeilin salasanaa "salasana", Murretaan välittömästi, kun taas "Minun salasana" ottaa 65 miljoonaa vuotta,
Joskus muistelin lukeeni, että turvallisimpia salasanoja on jonkun harvinaisemman kielen (kuten suomi) ihan selvä sanaiset lauseet,
Ainakin tuo testi tuota tukee. Ja onhan jokin suomen kielinen lause helpompi muistaa kuin jotkin satunnaiset kirjain numero yhdistelmät.
Epäilen kovasti tuota 65 miljoona vuotta, koska löytyy sanakirjasta ym.

Tämä sanoo 6kk: https://www.passwordmonster.com
Tämä sanoo 262 miljoonaa vuotta: https://thycotic.com/resources/password-strength-checker/
Tämä on jo realistisempi ja käskee vaihtamaan salasanan: https://password.kaspersky.com

Kuten kirjoititkin niin löytyy sanakirjasta joten luottaisin näistä eniten kaspersky:n testeriin sillä sen antama vastaus on se minkä itsekin antaisin jos joku minulta kysyisi mitä tehdä jos salasanani on "Minun salasana".

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #16 : 10.01.22 - klo:12.10 »
Tämä on jo realistisempi ja käskee vaihtamaan salasanan: https://password.kaspersky.com

Your password will be bruteforced with an average home computer in approximately...
10000+ centuries  ;D

Tuo siis omaani vastaavasta salasanasta joka on melkoinen tarina.

Eikä tarvi laittaaa mihinkään ylös kunhan muistaa mitä se koira tekikään. Eli salasana voi olla myös tarina.
Vähän pitkähän se on, mutta mihinkäs tässä olis kiire?
« Viimeksi muokattu: 10.01.22 - klo:12.14 kirjoittanut raimo »
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #17 : 10.01.22 - klo:16.38 »
Työpaikalla on 3kk välein vaihtuva salasana ja minimipituus on 15 merkkiä, jonka pitää sisältää numero, iso ja pieni kirjain sekä erikoismerkki. Joku mystinen algortimi on myös, joka estää oman nimen ja 12345 jne. täytteen, eikä saa olla liian lähellä entisiä salasanoja. Lopputuloksena uutta salasanaa saa kokeilla kymmenen kertaa, kunnes järjestelmä sen hyväksyy. Hetken päästä, kun se pitää kirjoittaa uudestaan, niin sitä ei enää muistakaan, mikä oli lopulta hyväksytty, ja pitää suorittaa salasanan resetointi uudestaan. Suurella osalla salasana on kirjoitettu johonkin lapulle työpöydälle ja minä lähetän sen itselle whatsappiin, niin löytyy se sitten sieltä.

Salasanaakin saa kokeilla jotain 10 kertaa, kunnes kirjautuminen menee 15minuutin ajaksi lukkoon, joten en näe mitään perustetta moista hirvitystä pitää käytössä. Ennen oli vain 8 merkin minimi ja piti kirjain, numero ja erikoimerkki löytyä.

Tiivisteen tarkoituksena on estää tämän kaltaisen käyttäytyminen. Tämä tarkoittaa joko sitä että kymmenen viimeisintä tiivistä on tallessa tai parhaimmassa tapauskessa salasana selväkielisenä ...

Ja tuo kolmen kuukauden vaihto-rutiini on haukuttu lyttyyn tietoturva-asiantuntujoiden toimesta aikoja sitten. Se ei estä salasanan vuotamista jos niikseen tulee ja aiheuttaa vain sitä että salasanoja kierretetään.  Ja salansana pitää vaihtaa jos se on vuotanut.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Turvattomat salasanat
« Vastaus #18 : 10.01.22 - klo:16.46 »
Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.

Tiiviste on siis tehty niin, että pelkästään sitä tutkailemalla ei voi saada selville, mikä on salasana tiivistämättömänä? Entä jos hyökkääjä valmistelee tekosensa niin, että tekee ison joukon käyttäjätunnuksia ja liittää niihin eri salasanat? Voiko hän näiden tiivisteiden avulla päästä selville tiivistysmenetelmästä? (Jos siis murto onnistuu niin, että hän näkee sekä käyttäjätunnukset että niihin liittyvät salasanojen tiivisteet?)

Voi toki, mutta hyvä tiiviste on henkilökohtainen. Siis jokaisella käyttäjällä on eri tiiviste. Esimerkiksi tiivisteeseen on suolattu vakiotekstin lisäksi käyttäjätunnus, jolloin vaikka ratkaisisi tiivisteen suolauksen, niin joutuisi ratkaisemaan kaikkien käyttäjien tiivisteet erikseen. Toinen vaihtoehto on tehdä yksilöllinen tiiviste laittamalla suolaus tietokantaan kyseiselle käyttäjälle omansa jollakin random-datalla. Tietenkin tällaisen tiivisteen lisäksi kannattaa tiivisteeseen laittaa jokin vakio-tiivistesuolaus lisäksi.

Jos tiiviste on tehty MD5:tavalla niin sateenkaari taulujen avulla voidaan selvittää tunnetuimpien salasanoejn tiivisteet. Tietokannoissa ollaan siirrytty esim scram-256 tiivisteiden käyttöön joka tekee tiivisteistä yksilöllisiä jokaisessa eri palvelussa. Se ei oel vielä yleisesti käytössä.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

Leko

  • Käyttäjä
  • Viestejä: 337
    • Profiili
    • taistop.kapsi.fi
Vs: Turvattomat salasanat
« Vastaus #19 : 01.02.22 - klo:18.25 »

Tulinpa kokeilleeksi kerran. Tein koneeseen tavakäyttäjän, nimi guest, pw guest.
Ei mennyt kovinkaan pitkä aika, kun palveluntarjoaja sulki liittymäni. Sain sen avatuksi, kun yhteydenoton jälkeen selvitin asian.

Käyttäjän guest kotihakemistossa oli kaikenlaista, mm. pitkiä listoja suomalaisia etunimiä jm.  Niillä oli ilmeisesti yritetty asiassa eteenpäin. Sen aineiston toimitin muistaakseni Tampereen ao. laitokseen. Vastausta ei ole tullut.

Että..