tag:blogger.com,1999:blog-6843976375835852604.post789430357866974849..comments2024-03-28T20:05:56.432+02:00Comments on Havaintoja digimaailmasta: Onko salasana huono salasana?Petteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger11125tag:blogger.com,1999:blog-6843976375835852604.post-64540446821773466322010-03-25T14:42:16.197+02:002010-03-25T14:42:16.197+02:00Jännittävä näkökulma. Ja piristävä sen kohtuuttoma...Jännittävä näkökulma. Ja piristävä sen kohtuuttoman "käytä aina eri salasanaa tai saat syyttää itseäsi" -tilityksen jälkeen, jota kukaan ihminen ei voi noudattaa.<br /><br />Minäkin olen jakanut salasanani, tosin vain kahteen luokkaan:<br />1) sähköpostini salasana, jota en käytä missään muualla<br />2) verkkokaupat, maksamiseen ja luottokorttiin liittyvät palvelut ja suosikkipalveluni kuten Dropbox<br /><br />Selvästi pitäisi erottaa Dropbox ja muut tärkeät nettipalvelut kolmanteen luokkaan eroon luottokorttiin liittyvistä salasanoista.<br /><br />Kiitos tästä aiheesta!heikkipekkanoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-41160688052204378712010-03-25T07:58:57.801+02:002010-03-25T07:58:57.801+02:00Sinällään ymmärrän hyvin että ihmiset käyttävät hu...Sinällään ymmärrän hyvin että ihmiset käyttävät huonoja salasanoja Puupään (vai mikä se olikaan?) kaltaisissa palveluissa, joiden merkitys on varsin pieni eikä siellä voi vieraan tunnuksella saada mitään mainittavaa "tuhoa" aikaiseksi. Nykyään hyvin moni palvelu vaatii rekisteröitymisen, jolloin näitä "olikohan mulla tunnus täällä" -palveluita tulee aivan liikaa.<br /><br />Nykypäivän ongelma on enemmän se, että laillisesta tietojen keräyksestä tulee enemmän ongelmia kuin laittomasta. Yritysten asiakasrekistereitä käytetään markkinointiin ja postiluukusta tulee helposti mainoksia, joita ei halua. Sama juttu on sähköpostin kanssa, yksittäinen tilaus verkkokaupasta tai pakollinen rekisteröinti verkkopalveluun ja oletuksena alat saada mainospostia. Osa tästä roskasta on ulkoistettu siten että fiksu PR-toimisto ei edes anna mahdollisuutta päästä viesteistä eroon. <br /><br />Toinen tyypillinen malli on amerikkalainen verkkopalvelu, joka veloittaa $$$ vuosimaksua palvelun käytöstä. Vaikka luottokorttitiedot palvelussa ovat vanhentuneet, veloitetaan uusi kausi silti automaattisesti. Irtisanominen ei onnistu verkossa vaan pitäisi soittaa johonkin tavalliseen numeroon rajalliseen kellonaikaan tuntemattomassa aikavyöhykkeessä.<br /><br />Kannattaa tutustua 1Passwordin kaltaisiin sovelluksiin, joilla saa tunnusten hallinnan toimimaan ja voi käyttää vaikeita salasanoja kaikkialla. Dropboxin avulla 1Password on vielä käyttökelpoisempi mm. usean koneen ympäristössä.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-1806510803940103202010-03-24T17:07:32.249+02:002010-03-24T17:07:32.249+02:00Tiedon vapaalla levityksellä on etunsa. Se on kaik...<i>Tiedon vapaalla levityksellä on etunsa. Se on kaikkien tunnustettava.</i><br /><br />Tiedon kyllä. Kaupallinen viihde on eri asia. <br /><br /><i>Niin, ja pitäähän se kortti tai puhelin vielä saada käsiinsä</i><br /><br />Ja silloinkin kortti lukitsee itsensä kolmen väärän yrityksen jälkeen. PIN-koodi riittää hyvin SIM-kortin suojaksi, mutta eräät muut järjestelmät saattavat sallia rajattomasti yrityksiä.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-34208765336161449152010-03-24T15:19:17.021+02:002010-03-24T15:19:17.021+02:00Piraatit uhkaavat siirtyä salattuihin verkkoihin, ...<i>Piraatit uhkaavat siirtyä salattuihin verkkoihin, mikäli heitä aletaan liikaa jahdata. Aivan kuten fail-kulttuurin hakkerit, piraatit näkevät kopioinnin vain teknisenä kysymyksenä.</i><br /><br />Varmasti niitäkin on, mutta kaikkia piraatteja ei kannata niputtaa tuohon samaan kategoriaan. Tiedon vapaalla levityksellä on etunsa. Se on kaikkien tunnustettava.<br /><br /><i>Riippuu, kuinka järjestelmä antaa käyttäjän arvata salasanoja. Maksukorttien 4-numeroinen pin on riittävä, koska vain muutama arvaus sallitaan. Web-palveluihin tarvitaan vahvempi salasana.</i><br /><br />Niin, ja pitäähän se kortti tai puhelin vielä saada käsiinsä.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-76697963687603148242010-03-24T15:11:23.711+02:002010-03-24T15:11:23.711+02:00"Tietoturva-asiantuntijoiden uskottavuus on h..."Tietoturva-asiantuntijoiden uskottavuus on huono, jos 4-numeroinen pin-koodi hyväksytään ja samalla pidetään meteliä muista, pin-koodia turvallisemmista salasanoista, joita käytetään vähemmän kriittisissä sovelluksissa."<br /><br />Riippuu, kuinka järjestelmä antaa käyttäjän arvata salasanoja. Maksukorttien 4-numeroinen pin on riittävä, koska vain muutama arvaus sallitaan. Web-palveluihin tarvitaan vahvempi salasana.<br /><br />Itse asiassa käyttäjälle arvottu 4-numeroinen salasana on parempi kuin se, että käyttäjä saa itse määrittää salasanansa, koska osa käyttäjistä päätyy kuitenkin johonkin helposti arvattavaan. Salasana "hevonen" on piniä huonompi, vaikka periaatteessa siinä kombinaatioita on enemmän.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-36793042774485761092010-03-24T14:37:57.604+02:002010-03-24T14:37:57.604+02:00Varmaan on historiallinen syy, mutta ei se lisää s...Varmaan on historiallinen syy, mutta ei se lisää salasanan turvallisuutta.<br /><br />Tietoturva-asiantuntijoiden uskottavuus on huono, jos 4-numeroinen pin-koodi hyväksytään ja samalla pidetään meteliä muista, pin-koodia turvallisemmista salasanoista, joita käytetään vähemmän kriittisissä sovelluksissa.Mikko mattilanoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-39778252312563628032010-03-24T12:37:50.266+02:002010-03-24T12:37:50.266+02:00Eiköhän piraattien argumentti pikemminkin ole se, ...<i>Eiköhän piraattien argumentti pikemminkin ole se, että koska lataajien kiinni saaminen on niin vaikeaa ilman yksityisyydensuojan loukkaamista, lataaminen pitäisi sallia.</i><br /><br />Piraatit uhkaavat siirtyä salattuihin verkkoihin, mikäli heitä aletaan liikaa jahdata. Aivan kuten fail-kulttuurin hakkerit, piraatit näkevät kopioinnin vain teknisenä kysymyksenä. <br /><br /><i>Olen pitkään ihmetellyt, miksi kaikkein tärkeimmissä sovelluksissa käytetään vain neljänumeroista salasanaa,</i><br /><br />Neljän numeron PIN-koodiin on historiallinen syy. Nykyään PIN-koodi voi olla pidempikin, esim. kännyköiden SIMeissä aina 8 numeroon asti.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-6739198439165715962010-03-24T11:41:17.675+02:002010-03-24T11:41:17.675+02:00Olen pitkään ihmetellyt, miksi kaikkein tärkeimmis...Olen pitkään ihmetellyt, miksi kaikkein tärkeimmissä sovelluksissa käytetään vain neljänumeroista salasanaa, jota kutsutaan pin-koodiksi. Sinä on vain 9999 erilaista varianttia.<br /><br />MikkoMikko Mattilanoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-71996012705160259192010-03-24T09:02:08.226+02:002010-03-24T09:02:08.226+02:00"Tämä on sattumoisin sama argumentti, jota pi...<i>"Tämä on sattumoisin sama argumentti, jota piraatit käyttävät. Koska netistä lataaminen on helppoa ja tekijöitä on vaikea saada kiinni, kopiointi pitäisi vapauttaa."</i><br /><br />Eiköhän piraattien argumentti pikemminkin ole se, että koska lataajien kiinni saaminen on niin vaikeaa <b>ilman yksityisyydensuojan loukkaamista</b>, lataaminen pitäisi sallia.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-87208795899627919422010-03-23T21:41:48.763+02:002010-03-23T21:41:48.763+02:00En usko, että käyttäjätunnuksia juuri koskaan sala...En usko, että käyttäjätunnuksia juuri koskaan salataan. Sähköpostiosoitteetkin pitää olla selväkielisessä muodossa, jotta palvelu voi lähettää käyttäjille sähköpostia. Tässä tapauksessa sähköpostiosoite toimii käyttäjätunnuksena.<br /><br />Salasanojen säilyttäminen selväkielisenä on sen sijaan harvinaisempaa. Tosin välillä tulee vastaan web-palveluita, jotka lähettävät käyttäjälle unohtuneen salasanan sähköpostitse. Tämä riittää kertomaan, että tietoturvan perusperiaatteita ei ole noudatettu.<br /><br />En kuitenkaan pidä eroa kovin merkittävänä siihen, että salasanat ovat salattuina (vaikkapa MD5- tai SHA-algoritmeilla). Lähes kaikki salasanat ovat kuitenkin lyhyitä, joten alkuperäisen salasanan purkaminen tiivisteestä ei vie kauaa. Ja siis usein jopa sanakirja-arvaus toimii!<br /><br />Oleellisinta on, että miten tässä pääsi käymään niin, että hyökkääjälle heltisi palvelusta kaikki käyttäjätunnukset ja salasanat. Mahdollista tietysti on, että joku järjestelmän ylläpitäjistä on ollut tapauksessa mukana.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-34520483475115099612010-03-23T21:27:20.797+02:002010-03-23T21:27:20.797+02:00Vaikka joku veisi kämpästäsi tavaraa ja poliisi tu...Vaikka joku veisi kämpästäsi tavaraa ja poliisi tutkiikin sitä aina rikoksena tilanteesta riippumatta, esimerkiksi vakuutus ei korvaa mitään jos ovi on ollut sepposen selällään. Kyllä ylläpidollakin tulee olla vastuuta. <br /><br />Itse käytän käytännössä kolmea eri salasanaa ja lisäksi pankkitunnuksia: Yksi, täysin tietoturvaton salasana täysin merkityksettömille hupisaiteille joilla ei ole mitään merkitystä vaikka vuotaisikin, toista, turvallisempaa nettikaupoille ja kolmatta intranet-käyttöön.Anonymousnoreply@blogger.com