maanantai 2. helmikuuta 2015

Suomi24:n sähköpostisotku ihmetyttää

Suomi24 teki viime viikolla muutoksia sähköpostipalveluunsa. Ilmeisesti se siirtyi (Gmailin tapaan) järjestelmään, jossa sähköpostitunnuksen pisteet leikataan pois. Siten heikki.hakkeri@suomi24.fi, heikkihakkeri@suomi24.fi ja hei.kki.hakk.eri@suomi24.fi viittaavat kaikki samaan tiliin.

Gmail on toiminut näin alusta lähtien, jolloin päällekkäisiä tunnuksia ei ole päässyt syntymään. Suomi 24:ssä tekniikan vaihto jälkikäteen johti kuitenkin tilanteeseen, jossa tunnuksia meni päällekkäin ja käyttäjät pääsivät lukemaan toistensa tilejä jos heillä oli vieläpä sama salasana. IT-viikon uutinen kertoo, mistä on kyse.

Median tehtävänä ei pitäisi olla ainoastaan välittää virallinen selitys nettiin vaan tarvittaessa kyseenalaistaa se. Tilastojen perusteella tuntuu hyvin epätodennäköiseltä, että jopa 50 ihmisellä olisi sekä sama sähköpostiosoite että myös sama salasana.

Wikipedian mukaan Suomi24:llä on 1,7 miljoonaa käyttäjätiliä. On mahdoton tietää, kuinka monta päällekkäisyyttä syntyi kun pisteet poistettiin. Tiedämme kuitenkin jotain salasanojen jakautumisesta ja huonoista salasanoista.

Pari viikkoa sitten amerikkalainen tietoturvayhtiö SplashData julkaisi oman tilastonsa salasanoista (suomenkielinen uutinen Digitodayssä). Sen mukaan 123456, password ja muut klassikot johtavat edelleen huonojen salasanojen listaa. Oleellista on kuitenkin se, että 25 yleisintä huonoa salasanaa edusti vain noin 2,2 prosenttia kaikista salasanoista. Huonot salasanat ovat samoja kuin ennenkin, mutta niitä käytetään yhä harvemmin. Valistus on siis mennyt perille.

Todennäköisesti luvut pätevät myös Suomessa. Vuonna 2011 nettiin vuodettiin useiden palveluiden käyttäjätietoja. Silloin laskin, että Napsun 16 141 käyttäjän salasanoista yleisimpiä olivat salasana, aurinko, Napsu ja 123456. Yhteensä 27 yleisintä salasanaa oli valinnut 362 käyttäjää eli 2,24 prosenttia kaikista. Luku täsmää hyvin Splash Datan tietoihin.

Karkeasti arvioiden 2,24 prosentilla Suomi 24:n käyttäjistä (noin joka 50:nnellä eli 38080 henkilöä) on erittäin huono salasana, jossa törmäys on hyvinkin mahdollinen. Kun tämä jaetaan 50:llä (tunnusten määrä, jotka pääsivät toistensa posteihin), saadaan arvioksi että joka 761 käyttäjätunnus olisi mennyt päällekkäin pisteiden poistamisen vuoksi.

Luku 2,24 prosenttia kertoo vain huonojen salasanojen määrän. Todennäköisyys sille, että kaksi henkilöä on valinnut lisäksi saman huonon salasanan, on vielä pienempi -- ts. käyttäjätunnusten törmäyksiä olisi pitänyt tapahtua vielä paljon tiheämmin.

Nämä ovat erittäin, erittäin karkeita arvioita. Ne osoittavat vain, että joko Suomi 24:n selitys on epätarkka tai sitten palvelun käyttäjät ovat valinneet kerrassaan poikkeuksellisen huonoja salasanoja.

PS. Pisteiden poistamista voi käyttää hyödyksi, kun haluaa selvittää mitä kautta oma sähköpostiosoite vuotaaa roskapostittajille tai päätyy rekistereihin. Kirjoita se eri muodoissa eri paikkoihin ja tarkkaile, millä osoitteella alat saada mainoksia -- näin syyllinen löytyy helposti.

7 kommenttia:

Markus kirjoitti...

Analysoit nyt liikaa Petteri. Näissä asioissa täytyy ottaa huomioon muitakin muuttujia. Vaikka suomi24 on 1,7 miljoonaa käyttäjätiliä. Tuskin kovinkaan monen kaveri OIKEASTI suomi24 tiliään käyttää yhtään mihinkään. Nämä tilit on kerrytettyjä vuosikymmenien aikaisia tauhkatilejä. Itsellänikin taitaa olla kolme neljä kappaletta joiden niin käyttäjätunnuksesta kuin salasanastakaan ole mitään käryä. Jos Matti Virtanen on luonut tauhkatilin matti.virtanen@ ... ja ottanu pikasalasanaksi vaikka tuon 12345, kun näistä asioista ei sillon 15 vuotta sitten paljoa vielä puhuttu. Voi nykyaikanen Matti Virtanen hyvinkin olla ongelmissa.

Näitä tauhkatilejä perustellaan myös, kuten luukku.com tilejäkin. TILAPÄISIKSI tileiksi. Tämä taas on VALVEUTUNEIDEN käyttäjien tapa toimia. Ei annakaan sitä oikeaa osoitetta johonkin palveluun jos on vähänkin epävarma, esimerkiksi sivustosta johon on rekisteröitymässä. Perustetaan näennäisen "aito" luukku.com/suomi24 sähköposti. Vain siksi aikaa että sieltä klikataan sitten sitä linkkiä sähköpostiosoitteen vahvistukseksi.

Jokatapauksessa suomi24 sähköposti, sekä tili on pelkkää vitsiä. Harva käyttää näitä missään oikeissa arkiasioissa - toisin kuin vertaamaasi GMAILia.

Voisi melkein väittää tälleen pseudotieteellisesti, että tuosta 1,7 miljoonasta käyttäjätilistä (kun erotakaan palvelusta ei voi), suunnittelleen about 1,5 miljoonaa on näitä tauhkatilejä, vuosikymmenien takaisia lapsuuksien aikaisia "sähköpostitilejä" mitä kukaan aikuinen ei enää käytä yhtään mihinkään.

Markus kirjoitti...

Vielä pieneksi lisäykseksi se pointti tauhkatileistä. Kun tili muutoinkin perustetaan vain hetkeksi yhtä asiaa varten - sen linkin painallusta varten jonkin sivuston verifioimiseksi, tällöin salasanalla edes ole niin väliä - olkoot vaikka se 12345. Sekin on valveutuneen käyttäjän tapaa toimia. Jos tällaisen tauhkatilin salasanat joskus vaikka vuotaakin julkiseksi jotenkin ihmeellisesti - niin kuin viime aikoina on tapahtunut. Sillä ei ole merkitystä kun se salasanakaan ei ole aito ja oikea, mitä muualla sitten käyttää...

Tämä voi siis selittää syyn miksi "sattumalta" useissa tileissä on myös sama salasana.

Markus kirjoitti...

Kertoohan noiden sähköpostipalveluiden luonteestakin jotain jo se, että eiväthän nämä palveluntarjoajatkaan ole ottaneet näitä palveluitaan enää pitkään kovinkaan vakavasti. Se vain on ollut välttämätön paha - lisäosa joka on tarjottu joskus kaksikymmentävuotta sitten.

Eihän nykymaailmassa oikeasti enää mitään tee sähköpostilla, jossa on päätähuimaavat 10 megatavua tilaa! Jos haluaa sen 300 megatavuun, pitää maksaa netflixin kuukausimaksun hintasta kuukausimaksua. Myös vanhanaikanen pop-protokolla on lisämaksullinen käypäsellä vitosella kuussa. Eli sähköpostia ei edes voi käyttää millään sähköpostiohjelmalla. Näissä niin hinnat kuin ominaisuudet on jämähtänyt jonnekkin 2000-luvun alkuun.

Samaan aikaan on kuitenkin olemassa outlook.com ja gmail käytännöllisesti katsoen rajattomilla tallennustiloilla ja imap/exchange protokollilla ja vieläpä ilmaiseksi. Molemmissa on kevyt ja käyttökelpoinen web-näkymä yms.

Jopa suomalaisten internet-operaattoreiden sähköpostipalvelut ovat jämähtäneet aika pahasti näiden megapalveluiden jalkoihin. Ja siis nämä "suomi24 palvelut" ovat oikeasti pelkkiä vitsejä.

Sen suomi24 kuitenkin selkeästi unohti kun "pöksyt kinttuihin" joutui yhtäkkiä. Että se kuitenkin on SÄHKÖPOSTIpalvelu. Ja vaikka eivät vakavasti palveluaan ole ottaneet enää vuosikymmeniin - viestintävirasto kyllä ottaa... Ei tästä mitään muuta voi päätellä.

Petteri Järvinen kirjoitti...

Tämä voi olla selitys, miksi Suomi 24:n salasanat ovat niin paljon muita palveluita huonompia.

Uutisoinnista sai kuitenkin käsityksen, että väärille tileille joutuneet käyttäjät olivat huolissaan viestintäsalaisuudestaan, mikä kertoo palvelun merkityksestä heille.

Markus kirjoitti...

Se on totta. Kyllä varmasti se arvion mukanen 200 000 oikeaakin käyttäjää löytyy. Ja näille huoli on tietysti aito ja perusteltu. Mutta 1,7 miljoonaa tiliä antaisi vähän harhaanjohtavan kuvan, kuin 1/3 suomen väestöstä käyttäisi mukamas suomi24 palveluita... Siitä oli kyse. Numerosokeudesta.

Tapz kirjoitti...

Gmail-tunnuksiin voi lisätä plus-merkillä mitä tahansa loppuun. Ei siis tarvitse käyttää eri pistevariaatioita.

Suomi24 keskustelun tasosta voi päätellä, että käyttäjien älykkyysosamäärä ja ikä ei päätä huimaa. Siksi ei ole yllättävää, että monella on sama huono salasana.

Anonyymi kirjoitti...

Tagin lisääminen osoitteeen plussalla on hieno ominaisuus, käytännössä ongelmana on nykypäivänä se että yllättävän suuri osa järjestelmistä on osaamattomien toteuttamia ja plus-merkki sähköpostiosoitteessa ei ole sallittu tai aiheuttaa ongelmia.

Itse rekisteröidyin yhteen verkkokauppaan sellaisella ja eihän se toiminut ollenkaan vaikka tunnus onnistuikin. Suunnon Ambit-kellojen verkkopalvelu taas meni totaalisen rikki plussasta ja kesti kuukauden saada Suunnolla joku tekemään asialle jotain (lue: poistamaan tiedot ja siirtymään plussattomaan osoitteeseen).

Website Security Test