maanantai 14. marraskuuta 2011

Salasanat joutavat mennä

Viime päivien henkilötieto- ja salasanavuodoista voi vetää vain yhden johtopäätöksen: salasanat joutavat mennä.

Käyttäjätunnus ja salasana riittivät yksilöimään ihmisen 1980-luvulla, kun jokaisella oli vain yksi tietokonepääte, johon työpäivän aluksi kirjauduttiin. Nyt töissä on lukuisia tietojärjestelmiä, jotka vaativat yksilöllistä salasanaa ja velvoittavat vaihtamaan sen säännöllisesti.

Ja mikä pahinta, myös tavallisten kansalaisten pitää keksiä jatkuvasti uusia salasanoja (ja muistella vanhoja!) voidakseen asioida nettipalveluissa ja viranomaisten kanssa.

Vanhan salasanatekniikan varaan ei voi enää rakentaa 2010-luvun palveluita. Luotettavan todentamisen ongelma on noussut tietoyhteiskunnan kehittämisen esteeksi. Sama pätee henkilötunnukseen: HETUa ei voi yrittää piilotella niin, että sen tietäminen todistaisi henkilöllisyyden.

Suomi oli edelläkävijänä kehittämässä HST-korttia, jolla olisi voitu siirtää kaikki nettipalvelut yhden kortin ja yhden PIN-koodin taakse. Hanke kuitenkin hiipui (paitsi Virossa, jossa sillä voi jopa äänestää verkossa). Nyt kortille olisi totisesti käyttöä!

Toinen keino olisi käyttää matkapuhelinta todentamisen apuna. Lähes jokaisella netinkäyttäjällä on kännykkä. Mobiilivarmenne on yksi vaihtoehto; Google tarjoaa kevyemmän, tekstiviestillä lähetettävään numerokoodiin perustuvan vaihtoehdon.

Kun asiointipalveluihin saadaan kunnon todennus, salasanojen käyttö jää verkkolehtiin ja netin keskustelupalstoihin, joissa identiteetillä ei ole suurtakaan merkitystä. Salasanojen käyttö saa jäädä palveluihin, jotka eivät aiheuta vahinkoa, vaikka niiden tiedot kaapattaisiin tai vuodettaisiin nettiin.

23 kommenttia:

Zarr kirjoitti...

Tai sitten salasanaparadigmat voisi vetää uusiksi: http://xkcd.com/936/

Mutta minkäs teet kun IT-päälliköt käskevät keksimään numeroita ja erikoismerkkejä väkisin salasanoihin. Sanomalla yhden säännön eli minimipituus 30 merkkiä niin päästään jo aika pitkälle.

Tero Lehto kirjoitti...

Ei jokaiseen palveluun minusta tarvita vahvaa tunnistautumista verkkopankki- tai mobiilitunnistautumisella.

Vaikka mobiilitunnistautuminen on halvempaa kuin verkkopankkitunnuksilla (Tupas) asiointi, ei sekään maksutonta ole. Operaattorithan veloittavat siitä jonkun korvauksen per asiointikerta, ja päälle vielä mahdollisesti kuukausimaksun palvelulta ja/tai kuluttajalta.

Enemmänkin kannattaisi minusta ajatella, että onko joka paikkaan todella oltava käyttäjätunnus ja salasana.

Anonyymi kirjoitti...

Nyt olisi hyvä aika korvata kaikki Kela-kortit, ajokortit, plussakortit, pankkikortit, henkilökortit, passit ym. yhdellä sähköisellä identiteettikortilla.

Käyttäjätunnukset ja salasanat eri palveluihin voisivat jäädä ennalleen, mutta ne saisivat toimia vain kun identiteettikortti olisi fyysisesti kiinni lukulaitteessa.

Tällä tavoin salasanojen murroista ei olisi haittaa, ellei myös kyseistä korttia oltaisi varastettu.

Hannu Tanskanen kirjoitti...

Eikö pankkitunnistuksen käyttö ole turvallista asiointipalveluissa? Äänestykseen ne eivät tietenkään käy, koska ei voida varmistaa, että käyttäjä on myös tunnusten omistaja.

Anonyymi kirjoitti...

Olkaa nyt edes iloisia suomalaisista pankkitunnuksista. Täällä kehityksen kärkimaassa Australiassa useammallakin pankilla on nettipankissa vain käyttäjätunnus (lähetetty sähköpostilla) sekä salasana. Yksi salasana. Itse valittu ja voi vaihtaa, mutta oletuksena se on aina se sama salasana. Yritin pankille urputtaa asiasta, sanoivat vain, että "elä poika huolehdi, meillä 128-bittinen salaus..." Tuota... niinpä.

Anonyymi kirjoitti...

"Kun asiointipalveluihin saadaan kunnon todennus, salasanojen käyttö jää verkkolehtiin ja netin keskustelupalstoihin, joissa identiteetillä ei ole suurtakaan merkitystä. ... "

Niinpä niin - eihän sillä ole mitään väliä, kuka Petterin nimissä keskustelufoorumeilla "suutaan aukoo". Liekkö koko blokikirjoitus Petterin tekemä, vai olisikohan joku lainannus kaverin salasanaa ihan vähän?

Petteri Järvinen kirjoitti...

Ei olla pelkän salasanan varassa: Googlella on tekstiviestitodennus, joten tämä blogi on minun ja vain minun :-)

Salasanoja ja käyttäjätunnuksia voisi käyttää vapaasti pilipali-palveluissa, jolloin niiden tietovuodot eivät olisi vaaraksi. Vain tärkeät palvelut voisi suojata vahvalla todennuksella. Eipähän tarvitsisi sitten kehottaa puolta Suomea vaihtamaan salasanoja, kun joku wanna-be-hakkeri ensi kerralla uhkaa paljastaa salasanoja.

Anonyymi kirjoitti...

Viimeksi kun käytin Googlen tekstiviestitunnistusta niin mitään viestiä ei tullut puoleen päivään.

Hannu Tanskanen kirjoitti...

NYT alkaa mennä pelottavaksi; tietoturva-asiantuntija Wright kertoo blogissaan, että B747 "jumbon" moottoreita voi ohjata matkustajan viihdejärjestelmästä:

Craig S Wright

"For those who do not know, 747's are big flying Unix hosts. At the time, the engine management system on this particular airline was Solaris based. The patching was well behind and they used telnet as SSH broke the menus and the budget did not extend to fixing this. The engineers could actually access the engine management system of a 747 in route. If issues are noted, they can re-tune the engine in air.

The issue here is that all that separated the engine control systems and the open network was NAT based filters. There were (and as far as I know this is true today), no extrusion controls. They filter incoming traffic, but all outgoing traffic is allowed. For those who engage in Pen Testing and know what a shoveled shell is... I need not say more"

Hannu Tanskanen kirjoitti...

Ja näkyy olevan myös MicroP:n uutisena:

MicroPC

Rukous kirjoitti...

Rukoilemalla tietoturva paremmaksi.

Osmo kirjoitti...

Ei pidä sekoittaa asioita. Tässä tapauksessa oli kyse sähköpostipalveluista, ei jostain viranomaispalvelusta tms. Nämä sähkepostipalvelut eivät edes usein ole suomalaisia. Niiden tunnistautumista ei voi laittaa suomalaisen henkilökortin varaan. Lisäksi on otettava huomioon palvelun käytön helppous. Salasana, joka on tietokoneelle tallennettu on helppo. Jos aina pitäisi käyttää jotain korttia tms. jäisi minulta moni palvelu käyttämättä.

Mitä tulee Tupas-tunnistautumiseen, on se aivan riittävän varma. Sen etu myös on, ettei se ole sidottu mihinkään päätelaitetyyppiin, käyttöjärjestelmään tms. Moni muista ongelmat, jotka tuli, kun Sampo Pankki alkoi käyttää javaa tunnistautumisessa verkkopankissa. Verkotunnusten etu on myös se, että ne voi kopioida ja pitää kopiota lompakossa ja alkuperäistä kotona koneen lähellä. Näin käyttö on helppoa, eikä lompakko jää kotiin, kun menee hakemaan sitä takin taskusta tunnistautumista varten. Joskus teknisesti yksinkertainen ratkaisu on paras. Erityisen huono tässä on HST, jossa kortilla on kaksi täysin eri funktiota, joista toista käyttää yleensä kotona, kun toista taas ei koskaan tarvitse kotona. Kortti on aina väärässä paikassa.

Tupas ei myöskään ole avoin valtakirja haittaohjelmille, koska jokainen transaktio vaatii käyttäjän toimia toisin kuin HST:ssa.

Anonyymi kirjoitti...

Tero Lehto on täysin oikeassa kommentoidessaan seuraavasti:"Enemmänkin kannattaisi minusta ajatella, että onko joka paikkaan todella oltava käyttäjätunnus ja salasana."

Oletusarvoksi näyttää syntyneen se, että ihmisen on aina tunnistauduttava käyttäessään eri sähköisiä palveluita.

Lähtökohtana on ja tulisi jatkossakin olla oikeus anonymiteettiin.

Ihmisellä tulee olla oikeus liikkua erilaisissa sähköisissä järjestelmissä myös ilman tunnistautumista. Näihän se on toistaiseksi myös reaalimaailmassa. Meidän ei tarvitse hakea kulkulupia ja kantaa mukanamme henkilöllisuuden tunnistamiseen riittävän luotettavaa korttia kun käymme lähikaupassa ostamassa täysmaitoa ja makkaraa. Sähköisessä maailmassa taasen täytyy. Mielestäni se ei ole hyvä kehityssuunta.

Pasi Turunen kirjoitti...

"NYT alkaa mennä pelottavaksi; tietoturva-asiantuntija Wright kertoo blogissaan, että B747 "jumbon" moottoreita voi ohjata matkustajan viihdejärjestelmästä."

Ilmankos M$ lopetti taannoin Flight Simulator-ohjelman edelleenkehittämisen, kun ei se olisi tuolle pärjännyt.

OlliJT kirjoitti...

Eikö tässä ongelman ydin kuitenkin ole se, että tietojärjestelmät pitäisi saada niin varmoiksi, että hakkerit eivät pääsisi käsiksi koko käyttäjätietokantaan. Järjestelmän tunnistautumismenetelmän vahvuudella ei ole niin merkitystä siinä vaiheessa, kun hakkeri jo tutkii vapaasti järjestelmässä olevaa tietoa.

Hannu Tanskanen kirjoitti...

"Ilmankos M$ lopetti taannoin Flight Simulator-ohjelman edelleenkehittämisen, kun ei se olisi tuolle pärjännyt"

;=)

Tästä tulee pakostakin taas mieleen tuo AF:n Rion koneen mereen meno. Uudessa TM:ssa oli Pietari Vanhalan juttu tapauksesta, lehti oli haastatellut Finnairin Pekka Peräkylää, A330-lentäjää ja kouluttajaa. Kahden perämiehen toiminta vaikuttaa täysin käsittämättömältä, elleivät molemmat olleet valelentäjiä Koneessa ei ollut muuta vikaa, kuin 36 sekunnin katko automatiikan toiminnassa. Voiko edes pienkoneen aloitteleva pilotti vetää koneen 36 asteen nousukulmaan ja moottorit täydelle teholle, kun sakkausvaroitin huutaa koko 3,5 minuutin putoamisen asti alas? Kokenut kapteenikin tuli ohjaamoon ja ohjaimet ottanut perämies sanoi, "minulla ei ole kontrollia koneeseen". Joku hakkeri "ohjasi"?

Se, että moottoreita voidaan nykyisin ohjata koneen huollosta käsin on rutiinia, mutta todella pelottaa, jos suojaus on noin huono?

Mitä sanot Petteri vanhana lentäjänä?

Zarr kirjoitti...

kun sakkausvaroitin huutaa koko 3,5 minuutin putoamisen asti alas?

Älä hölise. Tuossa nimenomaan sakkausvaroitin *ei* huutanut.

Airbusin sakkausvaroitin lakkaa huutamasta, kun nopeus laskee alle 65 solmun, vaikka kone sakkaisikin. Syynä on se, että alle 65 solmun nopeuksissa suuntavektori ei ole enää anturin(joka on käytännössä pieni tuuliviiri) tiedossa, joten kone ei voi tietää sakataanko oikeasti.

Seuraus oli, että kun nokka oli nousussa ja nopeus laski alle tuon lukeman, sakkausvaroitin lakkasi huutamasta. Kun pilotti työnsi koneen (kertaalleen) nokan alas eli toimi kuten pitää saadakseen nopeutta, sakkausvaroitin alkoi huutamaan. Pilotti kuvitteli tekevänsä virheen ja nosti nokkaa, jolloin varoitin hiljeni.

Eli joo, tossa on sekä lentäjän virhe, että käyttöliittymän virhe - sakkausvaroittimen ei pitäisi lopettaa huutamista tuossa tilanteessa.

Hannu Tanskanen kirjoitti...

Oliko noin? Luin artikkelin kiireesti seisaaltani ja saatan muistaa väärinkin (luen TM:n tapaisia aviiseja vain parturissa ;=).

Hannu Tanskanen kirjoitti...

Joo, lienet oikeassa,lukaisin nyt tuon raportin. Damn it, eihän näihin lentäviin tietokoneisiin enää uskalla astua, yhdeksän (9) tapausta tällä vuosituhannella, jolloin koneen hallinta on menetetty!

Tuon Rion jälkeen vältin ilmabusseja, aina se ei onnistu, mutta nyt tämä B747:sta ... ja vasta syyskuussa lensin Canadairilla, jossa "deep stall" mahdollinen (korkeusperäsin ylhäällä sivuperäsimessä) ..

Petteri Järvinen kirjoitti...

Joskus luin, että jos pienkone lentää sumuun, lentäjällä on keskimäärin 90 sekuntia elinaikaa ennen kuin asentotajun menetys johtaa harha-aistimuksiin jotka pudottavat koneen.

Jos mittarinäytöt ovat epäluotettavia, kone on keskellä yötä Atlantin yllä eikä maanäkyvyyttä ole, on vaikea pitää konetta hallinnassa.

Pelottavin lentokoneiden turvauutinen oli kuitenkin tämä: http://www.mikropc.net/kaikki_uutiset/boeing+747n+moottoreita+voi+ohjata+matkustajan+viihdejarjestelman+avulla/a721826

Hannu Tanskanen kirjoitti...

@Petteri Järvinen

Aivan samaa mieltä,kuten eilen tuosta uutisesta edellä sanoin ;)

Mitä tuo muuten on selkokielellä, ei tarkoittane sitä, että hakkeri suoraan viihdemonitorin valikosta säätelisi moottoreita?

Tuosta sumusta/pilvestä; onneksi kai nykyisin kaikissa pienkoneissakin on keinohorisontti?
Ainakin minun Cessnassani oli jo 1974 ja kun lentelimme ensimmäisiä tuntejamme, lennonopettajani Sydänmaa huomasi minun käyttävän sitä ja sanoi, että tässä vaiheessa se ei ole tarkoitus, vaan "perstuntuman" saanti VFR-lennossa ;=). Meillä muuten oli moottoriopissa Lähteenmäki, joka on kai vieläkin toinen virallisista lento-onnettomuuksien tutkijoista Suomessa (voihan niitä olla jo enemmänkin?).

ksym kirjoitti...

Kaikki munat samaan koriin. Ehkä kaikkein nerokkain insinöörikehittelyn tuote ikinä.

Jessus sentään ihmiset.

Anonyymi kirjoitti...

Olen itse ajatellut, että sähköisissä palveluissa mobiilitunnistautuminen peittoaa pankkitunnukset kätevyydessä. Vanhat tunnistautumiseen käytettävien usb-tikkujen ideat ovat toivottomia, mutta tämä voisi toimiakin. Ehdottomasti, nuo turvalukusähellykset ovat todella ärsyttäviä. Käytännössähän kyseessä on henkilötodistuksen sähköinen versio ja siinä mielessä haluaisin, että se ymmärretään. Jotkut ovat miettineet, että mitä jos kännykkä nyysitään, mitä kaikkea mobiilitunnistautuminen mahdollistaa. Mutta periaatteessa muovisen henkilöllisyystodistuksen valta on tietoturvallisuuden kannalta paljon pahempi. Sen käyttämsieenhän ei tarvita mitään salasanaa tai muuta, joka kuitenkin kännykän varastajan pitäisi mobiilitunnistautumisesta hyötyäkseen myös jotenkin onkia tietoonsa.

Hankalaa tietysti mobiilijuttuihin siirtymisessä on, että vaikka monista suomalaisista siltä tuntuu, jokaisella ei ole kännykkää. Ja demokraattisessa yhteiskunnassa moisen kaupallisen vekottimen hankkimiseen pakottaminen on hiukkasen kyseenalaista. Ja mitä enemmän tällaiseen teknologiseen järjestelmään sijoitetaan, sitä hankalammaksi ja kalliimmaksi elämä ilman kännykkää muuttuu. Mielestäni siinä piilee syrjinnän siemen.

Tätä voisi kiertää sillä, että valtio tukisi kännykän hankkimista, tarjoaisi vaikka tällaista jotain Lada-mallia kaikille kansalaisille. Miten tuollainen rahoitetaan järjestelmäuudistusten lisäksi, joita tällainen siirtymä vaatisi, sitä en osaa sanoa. Ehkä moista muutosta ei tarvita. Se, että jokin olisi kätevää, ei tarkoita, että se pitäisi toteuttaa... En tiedä...

Website Security Test