sunnuntai 4. joulukuuta 2011

Napsun salasanat -- lisää vuotoja tulossa?

Eilen nettiin vuodettiin 16141 käyttäjän tunnukset, salasanat ja sähköpostiosoitteet. Teko on lähes identtinen maanantaisen Helistin.fi:n tietovuodon kanssa, joten myös tekijä on todennäköisesti sama.

Napsun salasanoista voi laskea samanlaisia tunnuslukuja kuin Helistimen vuodosta. Aineisto on kuitenkin tuntuvasti pienempi, joten sen tilastollinen merkittävyys on vastaavasti heikompi. Salasanojen keskipituus on ällistyttävän tarkasti sama (Napsussa 7,48, Helistimessä 7,49) ja pituusjakaumassa on tyypillinen notkahdus seitsemän merkin kohdalla:


Tällä kertaa laskin myös, kuinka moni oli rikkonut yksinkertaisinta salasanaohjetta vastaan: salasana ei saa olla sama kuin käyttäjätunnus!. Napsussa näitä oli 820 eli 5,08 %, Helistimessä 1908 (2,61 %). Ja ei, myöskään käyttäjätunnus takaperin ei ole hyvä salasana. Tätä ei tiennyt 20 Napsussa (0,12 %) ja 30 Helistimessä (0,04 %).

Kaikki luvut on laskettu vuodetuista salasanoista. On mahdollista, että kaikkia salasanoja ei ole onnistuttu murtamaan, jolloin nämäkään lukemat eivät ole aivan tarkkoja.

12.11.2011 verkkoon vuodettiin ensin lähes puoli miljoonaa sähköpostiosoitetta (ns. jättivuoto) ja sen jälkeen väitetty 100 yleisimmän salasanan lista. Vasemmassa sarakkeessa on tämän listan 50 suosituinta salasanaa, keskellä Helistimen ja oikealla Napsun suosituimmat salasanat (Napsun listalta poistin salasanan, joka on ilmeisesti ylläpidon oma ja sama usealla eri tunnuksella - soo soo!).


Sinertävällä on merkitty ne salasanat, jotka löytyvät Top-100 listan 50 ensimmäisen joukosta ja punertavalla ne, jotka löytyvät jommasta kummasta tällä viikolla vuodetusta palvelusta.

Yhdenmukaisuus on merkittävä. Tämän perusteella voisi olettaa, että Helistimen ja Napsun tietokannat on varastettu jo syksyllä, ja että niiden tiedot ovat olleet mukana jättivuodon listalla.

Vielä huolestuttavampi on käänteinen johtopäätös: koska eräitä top-listan suosituimpia sanoja (kuten qwerty, porkkana ja karoliina) ei ole Helistimen eikä Napsun listalla, tulossa on todennäköisesti uusia salasanavuotoja.

Top-listalla ällistyttävän korkealla oleva 184684 antaa ymmärtää, että numerosarja voisi liittyä jotenkin murretun palvelun nimeen tai toimintaan. Saisiko tästä johtolankoja siihen, mikä murto on vielä julkistamatta?

Vertasin listaa silmämääräisesti myös Netcar-palvelun vuotoon. Silläkin suosittuja salasanoja ovat 123456, salasana, perkele, ANNELI ja johanna, mutta vastaavuus on muuten selvästi heikompi.

MikroPC-lehden Ossi Jääskeläinen näyttää tulleen toista kautta samanlaisiin johtopäätöksiin. Kannattaa siis pitää silmät auki ja seurata uutisia. This ain't over yet!

PS. Vuodetun listan hallussapito on mitä ilmeisemmin laitonta, mutta toisaalta osoitus avoimen datan hyödyistä. Listoja analysoimalla voimme auttaa poliisia ja varoittaa tulevia uhreja.

Lisäys klo 23:
Vielä yksi kiintoisa havainto: Helistimen ja Napsun käyttäjissä on 672 samaa sähköpostiosoitetta, joten heidän täytyy olla käyttäjinä molemmissa palveluissa. Näistä 360:lla on molemmissa palveluissa sama salasana, 312:lla eri. Tästä voi päätellä, että yli puolet ihmisistä käyttää samaa salasanaa eri palveluissa. Jos näin todella on, ohje "joka paikkaan eri salasana" ei ole vielä mennyt perille.

8 kommenttia:

Kaino Kivi kirjoitti...

Petteri: "Vuodetun listan hallussapito on mitä ilmeisemmin laitonta"

Turhan tiukka johtopäätös. Tämä on minusta parempi tulkinta:
"Jopa listan hallussapito SAATTAA olla rikos. Listan nähneet henkilöt OVAT vaitiolovelvollisia sen sisällöstä".

Jos siis olet epävarma, syyllistytkö rikokseen, niin on erittäin todennäköistä, että syyllistyt rikokseen. Tuosta on Rikoslaissa säädetty rangaistus.

Edellä olevalla perusteella on viisasta poistaa lista, jos sellainen on hallussa.

Anonyymi kirjoitti...

Eihän ne enää ole salasanoja :)

AnalFinland kirjoitti...

"Kaikki luvut on laskettu vuodetuista salasanoista. On mahdollista, että kaikkia salasanoja ei ole onnistuttu murtamaan, jolloin nämäkään lukemat eivät ole aivan tarkkoja."

Eiköhän noi luvut ole edelleenkin tarkkoja. Vai väitätkö, että murtautuja ei olisi onnistunut murtamaan jotain noista salasanoista, koska ne olivat liian pitkiä :-).

"Vuodetun listan hallussapito on mitä ilmeisemmin laitonta, mutta toisaalta osoitus avoimen datan hyödyistä. Listoja analysoimalla voimme auttaa poliisia ja varoittaa tulevia uhreja."

Mites sä nyt autoit tällä poliisia? Totesit vaan, että yleisimmät salasanat ovat typeriä. Mä vähän luulen ettei sun laskelmat avanneet uutta tutkintaketjua.

Anonyymi kirjoitti...

Joskus aikoinaan kaveripiirissä kiersi tunnus + salasana yhdistelmä, joka oli kaikkialle sama, kaikkien tiedossa ja sillä pääsi helposti erilaisilla satunnaisille forumeille tsekkaamaan jonkun viestin tai muuta.

Valtaosa näistä vuodoista on ollut paikkoihin, jotka menee kategoriaan "ihan sama". Eivät kiinnosta keskimäärin ketään ja keskimäärin sieltä löytyy se tietty joukko ihmisiä, joita ko. forumit kiinnostavat.

Eli onko näillä vuodoilla oikeastaan juuri mitään muuta kuin media-julkisuusarvoa ja pieni muistutus salasanan vaihtamisesta?

Itsekin olen odotellut että omat tiedot tulisivat johonkin näistä mukaan niin löytyisi kenties joku paikka missä on wanhat rekisteröintitiedot olemassa. Toisaalta jos olen omalla sähköpostiosoitteellani rekisteröitynyt "kukkaliisa" -nimimerkille vauva-forumille, niin mitäköhän kukaan voittaa saamalla ko. tunnuksen salasanan selville?

Hannu Tanskanen kirjoitti...

Päivän hesarissa on hyvä Karlssonin pilakuva salasanoista,harmi ettei löydy nettiversiosta.

Kustantajani BoD vaihtoi automaattisesti salasanani väliaikaiseen uuteen,jonka voin sitten itse muuttaa. Hyvä näin,eipä pääse kässäri julki ennen aikojaan!

Petteri Järvinen kirjoitti...

Pilapiirros:

www.hs.fi/karlsson/1135269960214

Petteri Järvinen kirjoitti...

Eiköhän noi luvut ole edelleenkin tarkkoja. Vai väitätkö, että murtautuja ei olisi onnistunut murtamaan jotain noista salasanoista, koska ne olivat liian pitkiä :-).

HS kertoi, että Napsussa oli 20 000 käyttäjää, vuodettuja tunnuksia kuitenkin vain 16141.

Arvoitus on, missä loput ovat. Murrettujen joukossa kun on pitkiä ja vahvojakin salasanoja.

Mites sä nyt autoit tällä poliisia? Totesit vaan, että yleisimmät salasanat ovat typeriä. Mä vähän luulen ettei sun laskelmat avanneet uutta tutkintaketjua.

Minä en auttanut mitenkään, mutta toivon esimerkkini rohkaisevan muita parempiin tutkimuksiin. Vertailemalla vuodettuja listoja voitaisiin päätellä milloin vuoto on tapahtunut ja jättivuodon sanoja tutkimalla voitaisiin selvittää, mitkä jo tehdyt murrot ovat vielä julkistamatta.

Mikko Rantalainen kirjoitti...

Uskoisin, että yleisesti salasanat, jotka ovat muotoa "184684" tai "753159" tai "654897" on valittu niiden nopean kirjoittamisen ansiosta, kun käytetään numeronäppämistöä. Itse olisin arvannut, että "0687354" tai "084964" olisi vieläkin nopeampi kirjoittaa, mutta kun pari kertaa kokeilee, niin tuo "184864" saattaa olla vielä nopeampi oikeakätiselle. Tyypillistä näille käyttäjille on, että kirjautuminen ei tahdo onnistua, jos numeronäppäimistöä ei voi käyttää...

Website Security Test