tiistai 29. marraskuuta 2011

Helistimessä ihan kohtuullisia salasanoja

Helistin.fi on tuorein tietomurron uhri. Nettiin vuodetut 73 158 salasanaa ja käyttäjätunnusta tarjoavat mahdollisuuden arvioida, miten oppi turvallisista salasanoista on mennyt perille.

Varsin hyvin. Ainakin kun ottaa huomioon, että helistin.fi on lähinnä äideille -- siis tavallisille kotikäyttäjille -- suunnattu palvelu.

Yleisin salasana on -- tadaa! -- jälleen kerran salasana. Sen on valinnut 197 käyttäjää eli 0,27 % rekisteröityneistä. Ei erityisen huono tulos, jos kyse on vain kirjoittelusta nettifoorumille. Mutta jos kyse on terveysasioinnista tai jos samaa "salasanaa" on käytetty muissakin palveluissa, riski on suuri.

Toiseksi yleisin salasana on aurinko (yllätys!), kolmanneksi yleisin johanna (naisten palsta, nääs) ja neljäs vauva (eipä ole vaikea arvata, kun ollaan vauva-aiheisella palstalla).

Kaikkien salasanojen äiti, kansainvälinen voittaja jo ties monettako kertaa eli 123456 on vasta sijalla 10 (77 henkilöä). Muita yleisiä sanoja ovat rakkaus, terveys, mustikka sekä naisten etunimet (todennäköisesti rekisteröityneiden henkilöiden tai vauvojen omat).

32 suosituimman salasanan joukkoon mahtuvat myös enkeli ja pikkumyy. Hakkerille se kertoo, että palvelun sisältö ohjaa salasanan valintaa. Ehkä autoharrastajien foorumissa kannattaisi kokeilla autojen merkkejä tai osia?

Kakkahuumoria, jota ruotsalaiset kuulemma suosivat, on hyvin vähän, vaikka esimerkiksi kakkapylly sopii hyvin aihepiiriin. Myöskään seksi ei ole kovin monella mielessä.

Kaikkien salasanojen keskipituus on 7,49 merkkiä, mikä ei aivan yllä turvallisena pidettyyn kahdeksaan merkkiin. Viestintäviraston suosittelemasta 15 merkistä jäädään todella kauas: vain 0,06 prosentilla salasana täyttää tämän (mielestäni kohtuuttoman ankaran) kriteerin. Toisaalta 32,1 prosentilla salasana on kuusi merkkiä tai lyhyempi.

Jostain syystä seitsemän merkin salasanoja on vähemmän kuin kuuden ja kahdeksan merkin salasanoja. Olen nähnyt saman ilmiön ennenkin, enkä osaa selittää syytä seitsemän merkin epäsuosioon.

Vielä yksi jännä havainto: salasanan 123456 valinneissa oli suhteettoman paljon miehiä. Joko he ovat huolimattomia tai olivat Helistimessä vain käymässä, eivätkä sen vuoksi vaivautuneet keksimään kunnollista salasanaa.

Oma päätelmäni näistä laskelmista on, että oppi salasanojen valinnasta on mennyt kohtuullisen hyvin perille. Vaikka helposti arvattava vauva on yleinen, senkin löytämiseksi pitäisi kokeilla keskimäärin 500 käyttäjätunnusta ennen kuin tärppäisi (ns. reverse hacking).

Käytetyt salasanat riittävät torjumaan satunnaiset kokeilut, mutta valtaosa niistä murtuu helposti mikäli hyökkääjä saa hash-tiivistein suojatun tietokannan. Ja jos ylläpito on suojannut kannan huonosti tai jättänyt sen kokonaan tekemättä, hyvälläkään salasanalla ei ole merkitystä. Turha siis stressata itseään asialla kohtuuttomasti.

Niin... entäpä ylläpidon omat tunnukset? Heidän salasanojensa keskipituus on 7,7 merkkiä eli sama kuin käyttäjillä. Joukossa on yksi huono, muutama kyseenalainen ja vain yksi vahva salasana. Monessa on käytetty yleistä kikkaa vaihtaa e-kirjaimet kolmosiksi, i-kirjaimet ykkösiksi ja o-kirjaimet nolliksi. On kyseenalaista, voiko tätä enää nykyoloissa pitää turvallisena menetelmänä ainakaan ylläpidon ollessa kyseessä.

11 kommenttia:

Anna-Liisa kirjoitti...

Salasanat näyttävät joutuvan salasanarosvoille sellaisinaan palveluntarjoajien palvelimilta. Vaivalla aikaansaaduista vahvoista salasanoista ei ole sen suurempaa iloa kuin 123456-tyyyppisistäkään. Ainoa varotoimi, joka tuntuisi maksavan vaivan, on käyttää kaikissa palveluissa eri salasanoja ja vaihtaa niitäkin usein. Silloin on pakko pitää itsellään tiukan järjestelmällistä salasanakirjanpitoa.

Ennustan että identiteettiryöstöjen myötä verkkoelämä tulee romahduksen kautta läpikäymään perusteellisen uudestisyntymän. Olisiko sinulla Petteri mitään visioita mitä uusia teknisiä ratkaisuja olisi horisontissa? Käyttäjän tunnistus biologisesti optisen lukijan avulla? Tai sirun avulla?

Petteri Järvinen kirjoitti...

Salasanat varastetaan selväkielisinä vain niiltä palvelimilta, joiden turvallisuus ei ole kunnossa. Harmi vain, ettei käyttäjä voi tietää, mikä on hoitanut asiansa ja mikä ei.

Salasanojen tulevaisuudesta Taloussanomien eilinen juttu:
http://www.taloussanomat.fi/informaatioteknologia/2011/11/28/g07ajkjg--eihan-tata-kukaan-muista/201117637/12

Anonyymi kirjoitti...

Mitäpä järkeä on vaikka kännykän salasanassa,kännyhän on aina päällä ja jos katoaa/varastetaan,varas voi soitella noin vain? Ainoa turva suurelle laskulle on kai pre-paid-kortin käyttö?

Eliaksen blogi kirjoitti...

Taannoisessa autojen myyntifoorumin salasanavuodon yhteydessä silmään pisti se, että naisen sukuelimiä tarkoittava p-alkuinen sana oli monissa salasanoissa. Automerkkejäkin toki oli.

Anna-Liisan kommentoima ja tiukkaa kirjanpitoa edellyttävä"eri salasana joka palveluun"-periaate voidaan toteuttaa helposti jos käyttäjällä on käytössään suurimman osan ajasta sama tietokone. Windows-käyttäjät voivat käyttää esim. KeePass-nimistä salasanojen hallintaohjelmistoa: http://www.valo-cd.fi/ilmainen_keepass

Idea on yksinkertainen: palveluiden salasanat tallentuvat salattuun "salasanalompakkoon", joka aukeaa aina samalla pääsalasanalla. Muistettavia salasanoja on siis vain yksi, vaikka joka palvelussa olisi eri salasana.

Monissa käyttöjärjestelmissä tällaisia ohjelmistoja vakiona.

Anonyymi kirjoitti...

"Viestintäviraston suosittelemasta 15 merkistä jäädään todella kauas: vain 0,06 prosentilla salasana täyttää tämän (mielestäni kohtuuttoman ankaran) kriteerin."

Mielestäni se ei ole ankara ollenkaan. Ja se jopa helpottaisi muistamaan salasanoja kryptisten lyhenteiden sijaan. Salasana 'vauvaninimionjohanna' on paljon turvallisempi kuin 'vauva3!#'

Anonyymi kirjoitti...

Ainakin nämä keskusteluforumien salasana-paljastukset taitavat kaikki olla tapauksia, missä salasanat on tallennettu kryptattuna.

Teknisessä mielessä olisi tietysti mielenkiintoista tietää oliko tuo vanhan phpBB:n reikä huonosta kryptauksesta johtuva, oliko esimerkiksi salasanan pituudella maksimipituus-rajoituksia, ja purettiinko kaikki palvelun salasanat. (Vastaus kaikkiin kyllä?)

Vaikka omat salasanat ovatkin nykyään kohtuullisen hyviä ja erilaisia eri palveluissa (kiitos 1Password, joka sekä pitää kirjaa salasanoista että helpottaa niiden luomista), olen lähinnä mielenkiinnolla odottanut missä vaiheessa joukkoon eksyy joku itsellekin tuttu palvelu mihin on joskus rekisteröitynyt kertaalleen jotain yksittäistä syytä varten ja joku wanha salasana on käytössä.

Petteri Järvinen kirjoitti...

Ainakin nämä keskusteluforumien salasana-paljastukset taitavat kaikki olla tapauksia, missä salasanat on tallennettu kryptattuna.

Sillä ei ole paljon merkitystä, jos kryptaukseen on käytetty salasanaa 12345 tai vastaavaa. Ainoa turvallinen tapa ovat suolatut tiivisteet.

Anonyymi kirjoitti...

Ei 15 merkkiä ole mitenkään kohtuuton vaatimus. Silloin voi käyttää lausetta, joka on helpompi muistaa kuin erikoismerkit (ks. klassikko http://xkcd.com/936/)

Suomen kielen ehdottomana bonuksena taivutusmuodot, joita on "rajattomasti".

Esim. vauvapalstoillanieivätnörttimmekäänhetiarvaisi

Turhan monessa paikassa vain salasanojen pituutta on turhaan rajoitettu. Miten laitat 15 merkkiä, kun järjestelmä sallii vain 8?

Hannu Tanskanen kirjoitti...

@Off-topic

iPhone syttyi tuleen lennolla:


AAMULEHTI

Tästä tuli mieleeni taas Nokia Navigatorini outo pakkokäynnistyminen Deltan lennolla Atlantasta Pariisiin syyskuussa. Jossain Halifaxin paikkeilla iltayöstä känny käynnistyi itsestään, sammui hetkeksi kun painoi pitkään pois-kytkintä, mutta käynnistyi uudelleen hetken kuluttua ja tätä toistui puolen tusinaa kertaa,kunnes revin akun irti. Noin ei voi tehdä Applessa ja Nokia 9:ssa. Miksi kännyille tapahtuu outoja lentokoneessa ja minkälaisen vaaran ne muodostavat?

Asiakasuskollisuusjohtaja kirjoitti...

Pituusrajoituksen lisäksi oman systeemin löytämistä rajoittaa poikkeavat rajoitukset merkistössä. Esim. Ålandsbanken ei salli erikoismerkkejä, pituuskin on rajoitettu.

Meidän webkehittäjien pitääkin ajatella salasanavaatimuksia laajemmin kuin oman palvelun vaatimusten kautta. Käyttäjien pitää pystyä käyttämään oman systeeminsä mukaan luomia salasanoja.

Samalla voi miettiä mihin ollaan menossa. Onko sähköpostiosoite + salasana tulossa yksinkertaisesti tiensä päähän? Voiko kuluttajalta edellyttää, että hän muistaa mihin palveluihin hän on rekisteröitynyt ja mikä salasana missäkin on käytössä. Muistettavia kun on helposti satoja.

Voi olla, että pienempien palveluiden on hakeuduttava Facebookin, Googlen tai OpenID:n tunnistuspalveluiden kylkeen.

OpenID ei kuitenkaan auta, jos et enää muista, millä tunnarilla sinne kirjauduit, kuten minulla on juuri tilanne erään palvelun osalta. Entäpä jos palvelu tarjoaa Facebook ja Twitter-tunnistuksen, muistatko kumpaa käytit? Ehkäpä tulevaisuus on LastPass.com:in kaltaisten palveluiden?

Suomessa ei kuitenkaan kannata keksiä mitään kansallisia virityksiä, ei ohjeiden, ei lainsäädännön eikä teknologian suhteen. Ne toisivat suomalaisille palveluntarjoajille, -kehittäjille ja ohjelmistotaloilla vain kilpailuhaitan.

Anonyymi kirjoitti...

Tätäkään vuotoa ei olisi tapahtunut, jos alkuperäistä muutaman viikon takaista vuotoa ei olisi mainostettu ja levitetty mediassa niin paljon. Sama koskee kaikkia samalla menetelmällä tehtyjä tunnusten anastamisia.

Kiitos Järvinen, Hyppönen ja media. Vielä kerran. Ja tulevina kertoina.

Website Security Test