maanantai 15. lokakuuta 2007

Salasanat karkuteillä

Viikonloppuna tapahtunut suomalaisten verkkopalvelujen salasanavuoto on herättänyt runsaasti huomiota. Tällä kertaa tv-uutisetkin olivat hyvin ajan hermolla; esimerkiksi Nelosen tv-uutiset teki useita juttuja tapahtuneesta.

Salasanoja, hash-koodeja ja sähköpostiosoitteita sisältävä lista oli pitkä ja maallikolle vaikeaselkoinen. Ovat pankkitunnukseni nyt vaarassa? Onko Hotmailiin ja Luukku.comiin murtauduttu, kun niiden sähköpostiosoitteita oli listalla? Ei sentään.

Tapahtumien yksityiskohdat ovat vielä hämärän peitossa, mutta ilmeisesti keskustelufoorumien ylläpitäjät eivät ole päivittäneet järjestelmiään riittävän aktiivisesti. Päivittämättöminä MySQL, phpBB ja muut laajasti käytetyt vapaat ohjelmat ovat otollinen kohde tietomurtajille.

Mitä opimme tapahtuneesta? Ainakin sen, että salasanoihin perustuva todennus on epäluotettavaa ja riskialtista - mutta se tuskin on uutinen kenellekään. Tärkein opetus on siinä, että jokaiseen tärkeään palveluun on syytä keksiä uusi salasana.

Käyttäjiä on aina kielletty käyttämästä samaa salasanaa useissa eri palveluissa ja niin ikään kielletty kirjoittamasta salasanoja paperille. Molempia vaatimuksia on mahdoton täyttää samanaikaisesti. Tapahtunut osoittaa, että paperille kirjoittaminen on kahdesta pahasta selvästi pienempi. Tuhansien käyttäjien muistilappuja on mahdotonta varastaa samanaikaisesti.

Paljastuneista salasanoista tehdyt analyysit osoittavat, ettei oppi hyvistä salasanoista ole muutoinkaan tavoittanut kaikkia. Joukossa on luvattoman paljon lyhyitä, helposti arvattavia sanoja, tai salasanaksi on otettu oma käyttäjätunnus.

Salasanamurrot on tehty lähinnä nuorten käyttämiin palveluihin. Niissä salasanaa ei ehkä pidetä kovin kriittisenä - eikä se olekaan. Vaara syntyy vasta sitten, jos paljastunutta salasanaa on käytetty myös tärkeämmissä palveluissa.

Nimimerkki Obi-Lan kirjoitti eräällä keskustelualueella: "Sääli ettei Petteri Järvise tunnuksia löytyny tuolta." Ei löytynyt ainakaan tällä kertaa, mutta kuka tietää seuraavasta?

Käyttäjä ei voi uuteen palveluun rekisteröityessään tietää, miten hyvin ylläpito on huolehtinut tietoturvasta. Siksi ainoa keino parantaa omaa turvallisuutta on yrittää keksiä riittävän hyviä salasanoja.

Ei kommentteja:

Website Security Test