keskiviikko 3. helmikuuta 2016

Salasanojen hyvät, pahat ja rumat

Päivän Hesari ohjeistaa alati ajankohtaisessa asiassa: hyvin salasanojen valinnassa ja muistamisessa (Näin selätät salasanakaaoksen, 3.2.2016). Kirjoituksessa on toimittajan laatima fakta-laatikko, joka on hieman epätarkka.

Laatikon mukaan "salasana ei saa sisältää omaa nimeäsi, perheenjäsenten tai lemmikkien nimiä... siinä ei saa olla syntymäaikaasi tai oikeita sanoja". Tässä on varmaan tapahtunut pieni väärinkäsitys. Salasana saa kyllä sisältää näitä, mutta ei olla mikään näistä.

Huono salasana on "ABC-123", mikäli kyse on oman auton rekisteristä. Hyvä salasana olisi "AutoniOnABC-123". Vastaavasti lemmikin nimi "Musti" ei ole hyvä salasana, mutta "Koira:Musti" on jo erinomainen.

Erittäin hyviä salasanoja syntyy laittamalla useita suomen kielen sanoja peräkkäin, koska pituus vaikeuttaa brute-force-murtoa. "minullaonmelkeinainamattikukkarossa" on oikein hyvä salasana, vaikka siinä on suomen kielen sanoja ja ainoastaan pienaakkosia.

Jutun asiantuntijat suosittelevat salasanamanagerien käyttöä. Niissä on etunsa ja haittansa, kuten kaikissa muissakin tavoissa. Ajatus omista salasanoista jossain pilvessä, salattuna jollain algoritmilla ja suojattuna jälleen yhdellä uudella muistettavalla salasanalla sisältää riskejä. Lisäksi lähes kaikki mobiililaitteissa toimivat salasanamanagerit maksavat, poikkeuksiakin toki löytyy.

Liian pitkä salasana, auts! (maksimi vain 14 merkkiä)
Hyvä salasanakäytäntö koostuu useista osista, jotka liitetään peräkkäin. Tällöin törmätään kuitenkin ikävään rajoitukseen: monissa palveluissa salasanan pituus on rajoitettu, joskus yllättävän pieneen merkkimäärään. Lisäksi palveluissa on erilaisia vaatimuksia: yksi hyväksyy ääkköset, toinen vaatii isoja ja pieniä kirjaimia, kolmas lisäksi erikoismerkkejä.

Alla olevassa taulukossa on koottuna suosittujen nettipalveluiden salasanavaatimuksia ja toisaalta myös rajoituksia. X tarkoittaa "pitää olla", X* tarkoittaa "pitää olla jokin näistä ryhmistä" ja - tarkoittaa "ei saa olla".

Yleisten nettipalveluiden salasanavaatimuksia.
Kirjava taulukko osoittaa, miten vaikeaa on löytää yhtenäinen, eri palveluihin kelpaava käytäntö.

Netflix ja Spotify ovat kaikkein sallivimpia. Niihin kelpaa millainen salasana tahansa, ainoa vaatimus on neljän merkin minimipituus. Ylärajaa ei ole. Toisaalta Samsungin web-palvelu rajoittaa pituuden jo 15 merkkiin, Paypal 20:een ja AppleID sekä Yahoo 32 merkkiin.

Paypalin vaatimukset.
Paypal vaatii isoja ja pieniä kirjaimia sekä erikoismerkkejä, samoin Samsung. Microsoft ID vaatii näistä jotain, pelkät pienaakkoset eivät riitä. Apple vaatii pienten lisäksi isoja kirjaimia tai numeroita.

Yllättäen myös Dropbox-pilvipalvelu hyväksyy minkä tahansa vähintään 6-merkkisen salasanan, vaikka siinä olisi pelkkiä pienaakkosia. Niin tekee myös Twitter. Näissä käyttäjän on itse varmistettava, ettei tyydy minimiin.

Hesari tiukensi viime vuoden lokakuussa salasanavaatimuksia. Ihan mikä tahansa ei enää kelpaa, vaan pitää olla vähintään kuusi merkkiä näillä lisämausteilla:

Hesari vaatii vähintään kuusi merkkiä.
Hieman kummastuttaa, miksi verkkolehti haluaa näin vahvaa salasanaa.

Salasanojen ääkköset lisäävät tietoturvaa, mutta aiheuttavat käytännön ongelmia ulkomailla liikuttaessa. Lisäksi ne tuottavat muita yllätyksiä: esimerkiksi Gmail ei huoli niitä lainkaan, ei liioin Microsoft tai Apple.

Google ja Gmail eivät hyväksy ääkkösiä salasanaan. Pituutta ei kuitenkaan ole rajoitettu.
Myös uusi Yle-tunnus sekoilee, jos sille tarjoaa ääkkösiä ja välilyöntejä. Yritin valita salasanaksi "Tämä on pitkä salasana", jolloin tuloksena oli virheilmoitus:

Muka liian lyhyt salasana?
Ällistyttävin kohtalo ääkkösillä oli kuitenkin 23andMe.com-geenipalvelussa: yritys rekisteröityä tällaisella salasanalla kaatoi koko palvelun!

Ääkkösten käyttö salasanassa kaatoi koko palvelun.
Salasanat ovat tärkeitä, mutta paraskaan salasana ei takaa turvallisuutta. Salasana voidaan urkkia olan yli tai kaapata näppäimistöltä, oli se kuinka pitkä ja mutkikas tahansa. Ainoa turvallinen todennustapa on salasanan ja matkapuhelimen yhdistelmä eli kaksivaiheinen todennus (two factor authentication).

Siinä käyttäjä todennetaan salasanan lisäksi koodilla, jonka palvelu lähettää tekstiviestinä. Varjopuolena on, että puhelinnumero täytyy ilmoittaa palveluun ja koska viestit maksavat, vain suurilla ilmaispalveluilla on mahdollisuus niiden käyttöön. Tätä kuvaa taulukossa sarake "2-vaiheinen".

Jos kaksivaiheinen todennus on käytettävissä, se kannattaa ilman muuta kytkeä päälle. Sen jälkeen salasanamurheet kevenevät merkittävästi, ainakin kyseisissä palveluissa.

12 kommenttia:

Jukka kirjoitti...

Minä katselin tuota mainiota Mr. Robot sarjaa (tiedän, että nyt puhutaan fiktiosta, mutta käsittääkseni verrattain realistisesta fiktiosta) ja siinä tämä päähenkilö selvitti henkilön salasanan nimenomaan tietämällä lemmikin nimen ja osoitteen. Pointti siis se, että niillä tiedoilla salasanan arvaaminen algoritmilla helpottui huomattavasti. Näetkö tällaista riskiä?

Petteri Järvinen kirjoitti...

Toisen salasanan arvaaminen on paljon vaikeampaa kuin elokuvista voisi päätellä. Kokeile vaikka.

Se, että tuntee kohteen henkilökohtaista elämää (tai näkee tiedot vaikka sosiaalisesta mediasta) helpottaa kokeiluita, mutta mahdollisuuksia on silloinkin valtavan paljon. Useimmat salasanat kaapataan tietomurtoina palveluihin tai näppäimistökaapparin avulla, joten salasanan arvuuttelu tuskin on se suurin uhka.

Osmo kirjoitti...

En välttämättä pitäisi noita salasanoja erinomaisisina. Erikoismerkkien ym. käyttö on ennustettavaa. Eräs tapa on käyttää jotain pitkää sanaa yhdistettynä palveluittain vaihtelevaan numeroa. Numerot voi turvallisesti kirjoittaa paperille muistiin. Kukaan ei hyödy siitä, vaikka sen löytäisi.

Anonyymi kirjoitti...

@Petteri

Ainoa turvallinen todennustapa on salasanan ja matkapuhelimen yhdistelmä eli kaksivaiheinen todennus (two factor authentication).

Palautetta kirjoituksesta:

Miksi Petteri sorrut edellä laintun kaltaiseen banaaliin yleistämiseen?

Mikäli olisit kirjoittanut, että Paljon turvallisempi todennustapa ... jne. niin olisit lähempänä todellisuutta.

Siksi, että Two Factor Authentication (2FA) ei ole mitenkään nimenomaisesti yhteydesä kännykkään, salasanaan jne. tai yleensäkään teknologiseen välineseen, se voidaan hoitaa myös täysin manuaalisin menetelmin kynällä ja paperilla jos niin halutaan.

2FA perustuu siihen, että valitaan mikä tahansa kahden kobinaatio seuraavasta kolmesta todennustavasta: (any two's combination of following)

- jotakin jonka sinä tiedät (something you know)
- jotakin joka sinulla on (t. something you have)
- jotakin joka sinä olet (something you are)

Esimerkiksi:

- salasana + pankin tunnuskortti
- pin koodi + sormenjälki
- tunnusluku-avaimenperä + silmän retina -tunnistus.
- avain lukkoon + (numero) lukkoyhdistelmä
- passi + allekirjoitus

jne.

Ymmärrän kyllä että yleistämien ja yksinkertaistaminen voi kuulostaa nasevalta, mutta kun yleistää helpoosti liikaa syntyy sekaannuksia ja hämmennystä.

Ei vähiten niiden joukossa joille asia on vieras, mutta myös ne jotka ymmärtävät laajemmin aiheeseen liittyvän kokonaisuuden tuntevat, että yksinkertaistaja tekee itsestään narrin kun esiintyy asiantuntijana mutta ei kuitenkaan ymmärrä kokonaisuutta ts. ei ole oikeasti asiantuntija.

Tunnetulla julkisuudessa esiintyvällä, on asiantuntijalla sitten vielä oma vastuunsa, koska heidän helppoja banaaleja yleistämisiä tulee sitten vastaan kentällä työtä tekeville aivan ylimmän tason johtoa myöten. Kuvitellen, että tämän ja tämän asiantuntijana esiintyvän esittämä mielipide on koko kaikki mitä kyseisestä asiasta täytyy ymmärtää. Ja pakko sen on olla oikein, kun on julkisuudessa esillä.

Joten, please, harkitse useamman kerran ennen kuin vedät mutkat suoraksi ja heität yllä olevan kaltaisia osatotuuksia yleistyksinä. Niistä on pelkkää harmia kaikille, niin pahaa aaviastamattomille lukijoillesi jotka pitävät niitä totena, kuin alalla toimiville asiantuntijoille, sekä myös noloa myöhemmin myös itsellesi, sitten kun oivallat että kokonaisuus olikin laajempi kuin annoit aiemmin ymmärtää.

t. yksi tietoturvan kanssa pitkään tekemisissä ollut, kouluttautunut ja useamman sertifoinnin alalta vuosikymmenten aikana tehnyt.

Petteri Järvinen kirjoitti...

"Ainoa turvallinen..." viittaa tässä yhteydessä salasanoihin, joiden käytöstä ja heikkouksista on edellä pitkä kuvaus. Salasanoista ei saa turvallisia, vaikka noudattaisi kaikkia annettuja ohjeita pituudesta, vaikeudesta ja säännöllisestä vaihtamisesta. Ainoa tapa tehdä salasanoista turvallisia on yhdistää ne johonkin muuhun todennustapaan. Ehkä kirjoitin tämän epäselvästi, kun siitä syntyi väärinkäsitys.

Tiedän kyllä, mitä two-factor authentication tarkoittaa (sehän suomennetaan usein virheellisesti "kaksivaiheinen", vaikka oikeampi olisi "kahden tekijän"), ja miten monella tavalla se voidaan toteuttaa. Vielä turvallisempi olisi luonnollisesti three-factor authentication.

Blogikirjoitukset eivät ole tieteellistä tekstiä. Niiden tavoitteena on avata asioita maallikoille.

t. yksi tietoturvan kanssa pitkään tekemisissä ollut, kouluttautunut ja useamman sertifoinnin alalta vuosikymmenten aikana tehnyt.

Olisit laittanut rohkeasti nimesi näkyviin, niin olisit saanut sulan hattuusi asiantuntevuudellasi. Mahdatko olla hän, jonka kanssa keskustelin iltatilaisuudessa joulun alla?

Anonyymi kirjoitti...

Microsoft-tilin salasanassa on 16 merkin pituusrajoitus. Ainakin jotain sinne päin, en nyt muista tarkkaan.

Petteri Järvinen kirjoitti...

Aiemmin oli, mutta viimeksi kun kokeilin, pidemmätkin kelpasivat.

Anonyymi kirjoitti...

@Petteri

Olisit laittanut rohkeasti nimesi näkyviin, niin olisit saanut sulan hattuusi asiantuntevuudellasi. Mahdatko olla hän, jonka kanssa keskustelin iltatilaisuudessa joulun alla?

Ei, en ole. Emme ole tietääkseni tavanneet livenä, tieli-listan kautta joskus keskusteltu kauan sitten ja olen joskus kommentoinut näitä sun blogin kirjoituksia.

Low key on parempi vaihtoehto useimmille alalla työskenteleville kuin tarpeeton esillä olo. Ja osassa tehtävissä se on ehdoton edellytys.

Petteri Järvinen kirjoitti...

Tieli-lista - wow, siitä on aikaa! Kommentoi jatkossakin, jos näet virheitä tai epäjohdonmukaisuuksia. Blogikirjoitukset tulee usein tehtyä kiireessä, joten niihin voi jäädä sammakoita.

Mika kirjoitti...

Pelipalvelu Steam sallii myös yli 20 merkkiä pitkät salasanat ja tarjoaa myös rautatason Steam Guardin sekä vielä mobiilivarmennuksen mikä on hyvä juttu sillä tilille on voitu ostaa tuhansien eurojen edestä pelejä ja Counter-Strike pelin ulkoasulisukkeita, ns. "skinejä".

Steamin tietoturvasta olisi hyvä muidenkin toimioiden ottaa opiksi.

Anonyymi kirjoitti...

eBay hyväksyy 64 merkkiä pitkät salasanat.

Salasanamanageriin säilöttyä noin pitkää satunnaista salasanaa ei pysty murtamaan mitenkään, siinä kyllä tarvitsee päästä käsiksi käyttäjän järjestelmiin.

- Syltty

Anonyymi kirjoitti...

Minulla on ollut ongelmia saada Steamin mobiilivarmennus toimimaan.

- Syltty

Website Security Test