keskiviikko 12. marraskuuta 2014

Salasanoista salalauseisiin

Yle uutisoi tietoturva-aiheesta: salasanan (password) sijaan tulisi käyttää salalausetta (passphrase). Ei siis "9Qsdfk/" vaan "Tämä on minun salalauseeni". Jälkimmäinen on pitkä ja turvallinen, silti helppo muistaa. Tästä on havainnollinen sarjakuvakin.

Salalause on vanha idea -- muistan törmänneeni siihen ensi kertaa 1990-luvun lopussa PGP-ohjelman yhteydessä. Tänään tietokoneet (etenkin näytönohjaimella varustetut) ovat niin tehokkaita, että ne pystyvät kokeilemaan jopa miljardeja salasanoja tai hash-tiivisteitä sekunnissa, ja siksi pelkät salasanat eivät välttämättä riitä.

Salalauseessa on muutamia käytännön ongelmia. Mobiililaitteilla pitkät lauseet ovat työläitä kirjoittaa, etenkin jos salasanakenttä näyttää pelkkiä tähtiä merkkien sijaan (ja jos merkit näkyvät, riski olanylisurffauksesta on vielä suurempi).

Toinen ongelma on siinä, että nettipalveluissa salasanan maksimipituus on rajoitettu. Uusissa palveluissa rajana on usein 32 merkkiä (esim. Amazon, AppleID, Ampparit), mutta Outlook.comissa raja on jo 16 merkissä. Netflix sallii 60 merkin lauseet, F-Securen Younited ja eBay sallivat 64 merkkiä. Facebook ei ilmoita maksimipituutta ja Twitter näyttää hyväksyvän miten pitkät salasanat tahansa.

Ebay hyväksyy 6-64 merkin pituiset salasanat ja -lauseet.
Joskus raja voi olla huomattavasti alempana. Esimerkiksi MySpace rajoittaa pituuden jo 10 merkkiin ja Samsung 15 merkkiin:

Samsung-tilin salasanan maksimipituus on vain 15 merkkiä.
Veikkauksen aiempi nettipalvelu hyväksyi vain 4-8 merkin salasanat. Käsittämätöntä sinänsä, että LähiTapiola ja Pop pankki sallivat edelleen vain kahdeksan merkin salasanoja!

Mikko Hyppösen toinen vinkki liittyy salasanamanagerien käyttöön. Ne ovat kieltämättä näppäriä, mutta moni vierastaa ajatusta lähettää salasanansa pilveen -- olkoonkin, että ne ovat salattuja (taas uudella salasanalla). Täydellinen riippuvuus ulkoisesta ohjelmasta tai palvelusta voi myös kostautua, jos haluaa kirjautua tililleen vaikkapa nettikahvilasta tai uudelta koneelta.

Salasanamanagereita mainostetaan ilmaisina, mutta se koskee vain Windowsia ja Maciä. Mobiiliversioista pitää yleensä maksaa vuosittaista palvelumaksua. Hinta on piilotettu niin, ettei sitä ole helppo löytää. LastPass perii 12 dollaria vuodessa, F-Securen oman F-keyn hinta on "alkaen 1,36 euroa/kk" eli "alkaen 16,32 euroa vuodessa".

Todentamisen problematiikkaan on useita ratkaisuja, mutta mikään niistä ei ole täydellinen. Salalauseiden ja managerien lisäksi vaihtoehtoina ovat mm. kaksivaiheinen todentaminen älypuhelimen avulla (joko tekstiviestit tai authenticator-sovellukset) sekä älypuhelimissa yleistyvä sormenjäljen käyttö.

19 kommenttia:

Anonyymi kirjoitti...

Eikös monissa nettipalveluissa peräkkäisten kirjautumisyritysten määrä ole rajoitettu muutamaan kertaan? Sekin jo estää tehokkaasti hakkereiden toimet.

Petteri Järvinen kirjoitti...

Salasanojen vahvuudella on merkitystä vain, mikäli hakkeri saa haltuunsa palvelun käyttäjätietokannan tai kyse on salasanoista, joita voidaan murtaa offline-tilassa (esim. WLAN-verkon salasanat).

Markus kirjoitti...

Salasanat on kyllä sellainen ikuisuusongelma. Itselläni on ollut aina tapana, että käytän kolmea eri salasanaa (muistamisen vuoksi) ja palvelun tärkeys määrittää sitten mitä salasanaa käyttää. Esimerkiksi netposti, paypal, soneran oma sivu yms on kategoria ykköstä joissa salasana oikeasti on vain kasa merkkejä ja numeroita ja isoja/pieniä kirjaimia ja pituuskin vielä lähempänä 20 merkkiä. Kategoria kakkosessa on sama salasana mutta lyhennettynä. Se on tyyliin "ekat 10 merkkiä" käytössä esim Facebookissa, googlessa, Microsoftissa, dropboxissa yms toissijaisesti tärkeissä ja hieman epämääräisemmin toteutetuissa palveluissa... Kolmas kategoria on sitten erilaiset lehtitalojen profiilit sun muut matkapuhelinfoorumit yms hömppäpalvelut. Näissä on taas täysin erilainen kolmas salasana. Kaikissa sama ja jos se vuotaa niin ei paljoa haittaa. Noh kuulostaa ihan ok mutta käytännönongelmia on runsaasti. Ensimmäiseksi palvelut tietty ruikuttavat "salasana liian pitkä". "salasana ei saa alkaa isolla kirjaimella" siis loputon määrä erilaisia ruikutuksia. Sonerakin palveluun ei sitten kelvannut tuo pitkä ja tehokas salasana vaan piti ottaa se lyhennetty muoto käyttöön. Pankit elelee vieläkin kultaisia 80-luvun aikoja ja salasana saakin olla vain pelkkiä numeroita. Ja niitäkin se kahdeksan merkkiä max.

Noh kätevintä nykyisin on, että useissa palveluissa on käytössä jo kaksivaiheinen tunnistus autentikaattorisovelluksella ja tämä tuo jo rajusti lisäturvaa. Ainakin nuo kategoria kakkosen sovellukset (fabo, Microsoft, google, dropbox yms).

Jostain syystä kaksivaiheista tunnistusta ei hirveästi ole suomalaisissa palveluissa käytössä (netposti, pankit yms?), tosin nordea-pankista tuli jo tieto, että ensi vuonna luopuvat postitettavista salasanalistoista ja tilalle tulee autentikaattorisovellus/avainlukugeneraattorilaite... Ilmeisesti ensimmäisenä suomessa.

Niin tai näin, salasanoissa on turha neuvoa mitään. Suurin ongelma ei todellakaan ole käyttäjien muisti. Kyllä sitä hyviä monimutkasia salasanoja keksii kuka tahansa. Ongelmana on palveluiden hyvin kirjavat käytännöt sen suhteen minkälainen salasanan yleensäkään tulee olla!

Saku kirjoitti...

Piti ihan tarkistaa: Säästöpankki ei näyttänyt koskeneen äskettäisessä verkkopankkinsa ulkoasu-uudistuksessa mitenkään tekniseen puoleen, vaan salasana katkaistaan sisäänkirjautumisessa 8. merkin jälkeen:

< input type="password" name="password" class="input-medium" maxlength="8" autocomplete="off" value=""/ >

Tämä "ominaisuus" on ollut kyseisessä pankissa vähintään vuosia, jos ei alusta saakka. Salasanan vaihto muistaakseni katkaisee sen samalla tavalla, eli käyttäjä saattaa tietämättään syöttää huomattavasti pitemmän salasanan mutta ainoastaan sen 8 ensimmäistä merkkiä ovat relevantteja.

Anonyymi kirjoitti...

Salasanan pituus.

Entä kuinka pitkä pätkä salasanasta käytetään. Ei siitä ole kovin montaa vuotta kun sanasesta käytettiin vain 8 ensimmäistä merkkiä. Mikähän on nykyään eri järjestelmien käytäntö? Internet sen tietää mutta en viitsi kysyä, kysyn asiantuntijalta.

Anonyymi kirjoitti...

Piti ihan laskea. KeePassissa on 170 tietuetta eli tunnus/salasanaparia. Melkein kaikki salasanat on generoitu ohjelman omalla generaattorilla enkä siten yritäkään muistaa niitä. Sähköpostin salasanan ja pari muuta muistan ulkoa. Lauseita käyttäisin, mikäli palvelut niitä merkkimäärän puolesta tukisivat.

Petteri Järvinen kirjoitti...

Unixin (ja Linuxin) vanhat versiot rajoittivat salasanan tehollisen pituuden 8 merkkiin, ylimenevät jätettiin huomiotta. Tämän vuosituhannen distroissa salasanatekniikka vaihtelee, pituusrajoitus esim. 72 tai 127 merkkiä.

Vanhoissa Windowseissa salasanan maksimipituus oli 14 merkkiä, mutta pienet kirjaimet muutettiin isoiksi ja salasana tallennettiin kahtena 7 merkin arvona, mikä helpotti murtamista. Nykyisissä Windowseissa raja on 127 merkkiä.

Anonyymi kirjoitti...

Miksiköhän Petteri Järvinen jättää jutussaan kokonaan mainitsematta perinteiset salasanojen hallintaohjelmat, kuten esimerkiksi KeePass ja Password Safe? Näissä ohjelmissahan salasanat talletetaan kryptattuun salasanalla suojattuun tiedostoon. Kyseisen tiedoston voi sitten tallettaa minne haluaa, eikä ole riippuvainen pilvipalveluista tai muista NSA:n vakoilun kohteista :)

Olen itse käyttänyt jo kymmenisen vuotta näitä kahta ohjelmaa, ensin Password Safea ja sittemmin KeePassia. Systeemi on toiminut hyvin. Tietenkin mobiililaitteella palveluita käytettäessä tilanne on toinen, mutta valtaosa kymmenistä salasanoistani onkin palveluihin, joita en käytä mobiililaitteilla ja ylipäänsä käytän palveluita hyvin harvoin.

Lopuksi mielenkiintoinen ehdotus, jonka eräs työkaverini kertoi minulle. Hän käyttää KeePassia salasanojen hallintaan ja on päätynyt seuraavaan ratkaisuun. Hän antaa KeePassin keksiä vaikkapa kirjaston palvelun salasanan, jolloin salasanasta tulee äärimmäisen vaikea tyyliin "WTtyifjuslEW456t_dshfkafsksf". Sitten hän kirjatuu tällä salasanalla kerran palveluun ja jättää sen selaimen muistiin. Sitten joskus esimerkiksi tietokonetta uusittaessa, salasana kaivetaan KeePassista ja kirjaudutaan uudelleen.

Toimisikohan tällainen systeemi?

Jari kirjoitti...

Vähän offtopic:

"Mobiililaitteilla pitkät lauseet ovat työläitä kirjoittaa"

On vähän huolestuttavaa, kun tietotekniikkaa luodaan tällaisten laitteiden ehdoilla. Nokian suurin innovaatio taisi olla juuri tekstiominaisuudet. USASSA (jossa lukutaidottomiakin on enemmän) keksittiin sitten varsinainen kuvapuhelin, iPhone. (Vaikkakin Nokia suuruuden aikoinaan lähestyi itsekin tätä suuntausta.)

Unknown kirjoitti...

Ehkä asia jonka ajattelen eri tavalla on netin ilmaisuus. Ilmaisia lounaita ei ole ja se pätee myös nettiin. Vapaaehtoisesti voidaan tehdä paljon, mutta mikä takaa ettei into lopu jossain vaiheessa.
Sen vuoksi olen päätynyt siihen että maksan hiukan jos palvelu on hyvä. Salasanat ovat sen verran tärkeä osa, että siitä olen valmis hiukan maksamaan niin että turvallisuus on kunnossa ja käyttö helppoa. Salasanoja on sentään kertynyt reippaasti yli 100.

Kallein investointi on !Password joka sitten toimiikin kaikilla laitteilla ja selaimilla myös mobiilissa. Keksii salasanat ja täyttää ne jos sivu ei ole feikki. Itse tiedosto on salattu ja sen voi laittaa periaatteessa mihinkä vain.

Olen myös käyttänyt maksullista Lastpassia. Suurin syy siihen on se että voi jakaa käyttöön yhteisiä salasanoja perheen kesken helposti. Maksulliseen kuuluu mobiiliohjelmat, eikä maksu ole suuri.
Molemmat lisäksi tarkistavat salasanojen kuntoa.

Tuommoisten lauseiden kanssa pelaaminen on enemmän aloittelijoille sopivaa, koska heillä ei ole montaa muistettavaa.

Anonyymi kirjoitti...

Ubuntussa voi asentaa ja käyttää ohjelmaa KeePassX.

'sudo apt-get install keepassx' ilman lainauksia.

Järvinen ei taaskaan tapansa mukaan noteeraa Linuxia artikkelissaan.

Anonyymi kirjoitti...

Keep ass toimii myös Androidilla, salasanatietokannan voi tallentaa puhelimeen tai ladata pilvestä käyttöön. Käytettävyys yllättävän hyvä myös mobiilissa ja ilmaiseksi.

Anonyymi kirjoitti...

Keepass(X):n tiedoston voi tosiaan tallentaa vaikka Dropboxiin ja käyttää sitä kautta puhelimessa. Toimii erinomaisesti eikä maksa. Petteri taitaa yhä saada sponssia Microsoftilta open source -disinformaation levittämisestä. Vai onko vain osaamattomuutta?

Petteri voisi keskittyä joskus kirjoittamaan vaikka tutoriaalia, miten tavallinen kansalainen säästäisi selvää rahaa käyttämällä open sourcea tällaisissa eikä maksaisi Hyppöselle ja muille turhasta työstä. Keepass kuitenkin on myös AES-suojattu. Jos ammattitaito riittää, näistä työkaluista voisi koittaa löytää tietoturva-aukkoja.

Unknown kirjoitti...

Olisiko niin että lopulta on paljon vaihtoehtoja, mutta onko niistä olemassa kunnollisia ulkopuolisia arvioita?
En tiedä.
Minä olen oman käyttöni perustanut tunnetuissa hyvissä alan lehdissä oleviin arviointeihin.
Ovathan salasanat avaimia lähes kaikkiin. Varmasti kyseenalaiset tahot ovat hyvin kiinnostuneita näistä varastoista.
Mitenkä muut ajattelevat?

Petteri Järvinen kirjoitti...

Hän antaa KeePassin keksiä vaikkapa kirjaston palvelun salasanan, jolloin salasanasta tulee äärimmäisen vaikea tyyliin "WTtyifjuslEW456t_dshfkafsksf". Sitten hän kirjatuu tällä salasanalla kerran palveluun ja jättää sen selaimen muistiin. Sitten joskus esimerkiksi tietokonetta uusittaessa, salasana kaivetaan KeePassista ja kirjaudutaan uudelleen.

Toimisikohan tällainen systeemi?


Chromessa ja Firefoxissa selaimen tallentamat salasanat on helppo nähdä, mikäli pääsee koneelle oikean käyttäjän puolesta. Toinen riski on siinä, että selaimen muistista salasanat kopioituvat pilveen. Haluatko, että Google, Apple tai Microsoft tietävät salasanasi? Ehkä ne ovat salattuja, ehkä ei - emme tiedä.

Anonyymi kirjoitti...

Ihmettelen hiukan Petteri Järvisen viimeisintän kommenttia. Kai nyt selaimet sentään säilyttävät salasanat kryptattuina? Eli ei kai niitä nyt ainkaan kuka tahansa näe?

Petteri Järvinen kirjoitti...

Jos pääsee käyttäjän koneelle, salasanat näkee selaimesta helposti (tosin nykyään Chrome kysyy sentään Windows-salasanan, ennen ei mitään). Firefoxissa salasanat voi suojata master passwordilla (arvaa vain, kuinka harva sellaista on määritellyt).

Olen kirjoittanut asiasta blogiin: bittimittari.blogspot.fi/2013/08/selain-vaarantaa-salasanasi.html

Petteri Järvinen kirjoitti...

(Palautin joukon kommentteja blogin roskapostisuodattimesta sekä tähän että muihin postauksiin).

Salasanamanagerin yleistyessä tulevat haittaohjelmat, jotka on tähdätty erityisesti niitä vastaan: http://www.digitoday.fi/tietoturva/2014/11/24/uusi-uhka-kohdistuu-tietoturvastaan-tarkkoihin-kayttajiin/201416245/66

Anonyymi kirjoitti...

Salalausekkeen ei kannata olla ennalta arvattava koska hakkereilla on sanakirjat käytössään. Sinne väliin voi ripotella vaikkapa numeroita ja isoja kirjaimia. Tai sitten voi käyttää dicewarea.


http://world.std.com/~reinhold/diceware.html

Kun hankin älypuhelimen minun oli aivan pakko muuttaa emailin salasana paljon yksinkertaisemmaksi. Koska salasana oli maskattu, tuli 16-merkkisen satunnaisen salasanan kirjoittaminen edes kerran oikein täysin mahdottomaksi.

- Syltty