tiistai 23. maaliskuuta 2010

Onko salasana huono salasana?

Siis onko "salasana" huono salasana? Tyhmä kysymys, totta kai on.

Älypää-palvelun tietomurtaja vei 127 000 käyttäjätunnusta ja salasanaa, jotka levisivät verkkoon. Typerä ja lapsellinen temppu - mutta entä jos murtaja olisi pitänyt tunnukset omana tietonaan? Älypään palvelussa ei ole mitään tärkeää, mutta luultavasti samoilla tunnuksilla olisi päässyt moneen muuhunkin nettipalveluun.

Mistä voimme tietää, etteikö näin ole käynytkin? Pelottava ajatus.

Onneksi Älypään hakkeroinut henkilö toi itse murron julkisuuteen. Sen ansiosta pääsimme mm. tutkimaan listaa tämän hetken yleisimmistä salasanoista.

Top-20-lista ei tarjoa suuria yllätyksiä - suosituin salasana on edelleen 'salasana'. On tapana nauraa käyttäjille, joihin mikään oppi tietoturvasta ei näytä menevän perille. Vaikka salasanojen vaaroista muistutetaan niin koulussa, työpaikalla kuin julkisuudessakin, ihmiset valitsevat edelleen salasanaksi yksinkertaisia ja helposti arvattavia sanoja.

Mutta asia ei ole ihan näin suoraviivainen. Jos olisi, tämä blogimerkintä olisi jäänyt kirjoittamatta. En olisi itsekään jaksanut toistaa vanhaa liturgiaa hyvistä ja huonoista salasanoista. Sitä on kuultu kyllästymiseen asti.

Vaikka 'salasana' oli aineiston perusteella suosituin salasana, sitä oli ilmeisesti 127 000 nimen aineistossa vain 419 kappaletta eli 0,33 prosenttia. Syksyn 2007 tietomurrossa yleisin salasana oli niin ikään salasana; sen oli valinnut 214 käyttäjää 63 023:sta. Prosentuaalinen osuus on siis pysynyt käytännössä samana. Noin joka 300. käyttäjä valitsee salasanan salasanaksi.

Toiseksi yleisin salsana oli 123456 (304 kpl) ja kolmanneksi yleisin palvelun nimi eli älypää (184 kpl).

On tietysti tyhmää valita salasanaksi salasana, 123456 tai palvelun nimi, mutta huono salasana saattaa olla myös tietoinen valinta. Älypää-palvelussa ei ymmärtääkseni ole mitään erityisen luottamuksellista (en tiedä, en ole koskaan käyttänyt). Vaikka joku pääsisi kirjautumaan toisen käyttäjän puolesta, hän ei pysty aiheuttamaan taloudellista vahinkoa. On parempi käyttää hupipalveluissa huonoa, mutta helposti muistettavaa salasanaa kuin kunnollista, vaikeasti arvattavaa salasanaa - etenkin, jos samaa salasanaa käytetään myös yrityksen omassa verkossa tai muissa tärkeissä palveluissa (niin ei tietenkään pitäisi tehdä).

Huonoja salasanoja on varmasti paljon, mutta tästä aineistosta ei voi vetää sitä johtopäätöstä, että myös työpaikan salasanat olisivat näin huonoja.

Jotain palvelun kohderyhmästä kertoo sekin, että neljänneksi suosituin salasana on kissa ja kahdeksanneksi suosituin hevonen. Olisikohan käyttäjissä paljon tyttöjä? Syksyn 2007 murrossa kissa ja hevonen eivät mahtuneet 20 yleisimmän joukkoon, mutta olivat silti top-50:ssä. Näiden tilastojen perusteella juuri mikään ei näytä muuttuneen salasanojen valinnassa.

Tietomurto on rikos silloinkin, kun se on teknisesti helppoa. Tämä on sattumoisin sama argumentti, jota piraatit käyttävät. Koska netistä lataaminen on helppoa ja tekijöitä on vaikea saada kiinni, kopiointi pitäisi vapauttaa. Tuskin hekään vaativat saman periaatteen soveltamista tietomurtoihin?

Tässä tapauksessa todellinen älypää on ollut palvelun kehittäjä, joka on tallentanut käyttäjien tunnukset ja salasanat selväkielisessä muodossa. Se on vastoin alkeellisimpiakin tietoturvaperiaatteita. Jos palvelun kehittäjä ei ole tätä ymmärtänyt, Sanomien olisi pitänyt havaita asia kun se osti palvelun itselleen. Ei kai suuri mediakonserni muutenkaan ostele sikoja säkissä? Nyt harrastajamainen nettipalvelu aiheutti pörssinoteeratulle mediayhtiölle ikävän mainevahingon.

Kuka sitten palvelusta nykyään vastaakin, sietäisi itse joutua syytteeseen tietoturvalain rikkomisesta. Okei, sellaista ei ole, joten sovellettakoon vaikka henkilötietolakia. Näin laajan rekisterin suojauksesta on PAKKO huolehtia asianmukaisesti -- silloinkin kun kyse on puhtaasta viihdepalvelusta.

11 kommenttia:

Anonyymi kirjoitti...

Vaikka joku veisi kämpästäsi tavaraa ja poliisi tutkiikin sitä aina rikoksena tilanteesta riippumatta, esimerkiksi vakuutus ei korvaa mitään jos ovi on ollut sepposen selällään. Kyllä ylläpidollakin tulee olla vastuuta.

Itse käytän käytännössä kolmea eri salasanaa ja lisäksi pankkitunnuksia: Yksi, täysin tietoturvaton salasana täysin merkityksettömille hupisaiteille joilla ei ole mitään merkitystä vaikka vuotaisikin, toista, turvallisempaa nettikaupoille ja kolmatta intranet-käyttöön.

Anonyymi kirjoitti...

En usko, että käyttäjätunnuksia juuri koskaan salataan. Sähköpostiosoitteetkin pitää olla selväkielisessä muodossa, jotta palvelu voi lähettää käyttäjille sähköpostia. Tässä tapauksessa sähköpostiosoite toimii käyttäjätunnuksena.

Salasanojen säilyttäminen selväkielisenä on sen sijaan harvinaisempaa. Tosin välillä tulee vastaan web-palveluita, jotka lähettävät käyttäjälle unohtuneen salasanan sähköpostitse. Tämä riittää kertomaan, että tietoturvan perusperiaatteita ei ole noudatettu.

En kuitenkaan pidä eroa kovin merkittävänä siihen, että salasanat ovat salattuina (vaikkapa MD5- tai SHA-algoritmeilla). Lähes kaikki salasanat ovat kuitenkin lyhyitä, joten alkuperäisen salasanan purkaminen tiivisteestä ei vie kauaa. Ja siis usein jopa sanakirja-arvaus toimii!

Oleellisinta on, että miten tässä pääsi käymään niin, että hyökkääjälle heltisi palvelusta kaikki käyttäjätunnukset ja salasanat. Mahdollista tietysti on, että joku järjestelmän ylläpitäjistä on ollut tapauksessa mukana.

Anonyymi kirjoitti...

"Tämä on sattumoisin sama argumentti, jota piraatit käyttävät. Koska netistä lataaminen on helppoa ja tekijöitä on vaikea saada kiinni, kopiointi pitäisi vapauttaa."

Eiköhän piraattien argumentti pikemminkin ole se, että koska lataajien kiinni saaminen on niin vaikeaa ilman yksityisyydensuojan loukkaamista, lataaminen pitäisi sallia.

Mikko Mattila kirjoitti...

Olen pitkään ihmetellyt, miksi kaikkein tärkeimmissä sovelluksissa käytetään vain neljänumeroista salasanaa, jota kutsutaan pin-koodiksi. Sinä on vain 9999 erilaista varianttia.

Mikko

Petteri Järvinen kirjoitti...

Eiköhän piraattien argumentti pikemminkin ole se, että koska lataajien kiinni saaminen on niin vaikeaa ilman yksityisyydensuojan loukkaamista, lataaminen pitäisi sallia.

Piraatit uhkaavat siirtyä salattuihin verkkoihin, mikäli heitä aletaan liikaa jahdata. Aivan kuten fail-kulttuurin hakkerit, piraatit näkevät kopioinnin vain teknisenä kysymyksenä.

Olen pitkään ihmetellyt, miksi kaikkein tärkeimmissä sovelluksissa käytetään vain neljänumeroista salasanaa,

Neljän numeron PIN-koodiin on historiallinen syy. Nykyään PIN-koodi voi olla pidempikin, esim. kännyköiden SIMeissä aina 8 numeroon asti.

Mikko mattila kirjoitti...

Varmaan on historiallinen syy, mutta ei se lisää salasanan turvallisuutta.

Tietoturva-asiantuntijoiden uskottavuus on huono, jos 4-numeroinen pin-koodi hyväksytään ja samalla pidetään meteliä muista, pin-koodia turvallisemmista salasanoista, joita käytetään vähemmän kriittisissä sovelluksissa.

Anonyymi kirjoitti...

"Tietoturva-asiantuntijoiden uskottavuus on huono, jos 4-numeroinen pin-koodi hyväksytään ja samalla pidetään meteliä muista, pin-koodia turvallisemmista salasanoista, joita käytetään vähemmän kriittisissä sovelluksissa."

Riippuu, kuinka järjestelmä antaa käyttäjän arvata salasanoja. Maksukorttien 4-numeroinen pin on riittävä, koska vain muutama arvaus sallitaan. Web-palveluihin tarvitaan vahvempi salasana.

Itse asiassa käyttäjälle arvottu 4-numeroinen salasana on parempi kuin se, että käyttäjä saa itse määrittää salasanansa, koska osa käyttäjistä päätyy kuitenkin johonkin helposti arvattavaan. Salasana "hevonen" on piniä huonompi, vaikka periaatteessa siinä kombinaatioita on enemmän.

Anonyymi kirjoitti...

Piraatit uhkaavat siirtyä salattuihin verkkoihin, mikäli heitä aletaan liikaa jahdata. Aivan kuten fail-kulttuurin hakkerit, piraatit näkevät kopioinnin vain teknisenä kysymyksenä.

Varmasti niitäkin on, mutta kaikkia piraatteja ei kannata niputtaa tuohon samaan kategoriaan. Tiedon vapaalla levityksellä on etunsa. Se on kaikkien tunnustettava.

Riippuu, kuinka järjestelmä antaa käyttäjän arvata salasanoja. Maksukorttien 4-numeroinen pin on riittävä, koska vain muutama arvaus sallitaan. Web-palveluihin tarvitaan vahvempi salasana.

Niin, ja pitäähän se kortti tai puhelin vielä saada käsiinsä.

Petteri Järvinen kirjoitti...

Tiedon vapaalla levityksellä on etunsa. Se on kaikkien tunnustettava.

Tiedon kyllä. Kaupallinen viihde on eri asia.

Niin, ja pitäähän se kortti tai puhelin vielä saada käsiinsä

Ja silloinkin kortti lukitsee itsensä kolmen väärän yrityksen jälkeen. PIN-koodi riittää hyvin SIM-kortin suojaksi, mutta eräät muut järjestelmät saattavat sallia rajattomasti yrityksiä.

Anonyymi kirjoitti...

Sinällään ymmärrän hyvin että ihmiset käyttävät huonoja salasanoja Puupään (vai mikä se olikaan?) kaltaisissa palveluissa, joiden merkitys on varsin pieni eikä siellä voi vieraan tunnuksella saada mitään mainittavaa "tuhoa" aikaiseksi. Nykyään hyvin moni palvelu vaatii rekisteröitymisen, jolloin näitä "olikohan mulla tunnus täällä" -palveluita tulee aivan liikaa.

Nykypäivän ongelma on enemmän se, että laillisesta tietojen keräyksestä tulee enemmän ongelmia kuin laittomasta. Yritysten asiakasrekistereitä käytetään markkinointiin ja postiluukusta tulee helposti mainoksia, joita ei halua. Sama juttu on sähköpostin kanssa, yksittäinen tilaus verkkokaupasta tai pakollinen rekisteröinti verkkopalveluun ja oletuksena alat saada mainospostia. Osa tästä roskasta on ulkoistettu siten että fiksu PR-toimisto ei edes anna mahdollisuutta päästä viesteistä eroon.

Toinen tyypillinen malli on amerikkalainen verkkopalvelu, joka veloittaa $$$ vuosimaksua palvelun käytöstä. Vaikka luottokorttitiedot palvelussa ovat vanhentuneet, veloitetaan uusi kausi silti automaattisesti. Irtisanominen ei onnistu verkossa vaan pitäisi soittaa johonkin tavalliseen numeroon rajalliseen kellonaikaan tuntemattomassa aikavyöhykkeessä.

Kannattaa tutustua 1Passwordin kaltaisiin sovelluksiin, joilla saa tunnusten hallinnan toimimaan ja voi käyttää vaikeita salasanoja kaikkialla. Dropboxin avulla 1Password on vielä käyttökelpoisempi mm. usean koneen ympäristössä.

heikkipekka kirjoitti...

Jännittävä näkökulma. Ja piristävä sen kohtuuttoman "käytä aina eri salasanaa tai saat syyttää itseäsi" -tilityksen jälkeen, jota kukaan ihminen ei voi noudattaa.

Minäkin olen jakanut salasanani, tosin vain kahteen luokkaan:
1) sähköpostini salasana, jota en käytä missään muualla
2) verkkokaupat, maksamiseen ja luottokorttiin liittyvät palvelut ja suosikkipalveluni kuten Dropbox

Selvästi pitäisi erottaa Dropbox ja muut tärkeät nettipalvelut kolmanteen luokkaan eroon luottokorttiin liittyvistä salasanoista.

Kiitos tästä aiheesta!

Website Security Test