tiistai 5. lokakuuta 2021

Facebook kaatui - miten se oli mahdollista?

Facebook, Google ja muut suuret nettipalvelut ovat liki pomminvarmoja. Niin kauan kuin maailmassa riittää sähköä, nämä palvelut vastaavat selainten ja mobiilisovellusten kutsuhuutoihin. Sentään kotain hyvää nettijättien mahtiasemasta.

Eilen illalla, maanantaina 4.10.2021, tapahtui jotain odottamatonta: Facebook näytti hävinneen verkosta kokonaan. Samaa tietä menivät Instagram ja Whatsapp. Face ja Insta ovat monelle viihdettä, mutta Whatsappia käytetään myös yritysten sisäiseen viestintään.

Facebook on kadonnut verkosta.

Ensimmäisenä tuli mieleen massiivinen kyberhyökkäys. Oliko joku onnistunut kaatamaan Facebookin verkon? Liittyikö tämä jotenkin edellisenä iltana USA:n televisiossa näytettyyn ex-johtajan haastatteluun, jossa hän paljasti Facebookin piilotelleen palvelujensa tuottamia ongelmia rahan vuoksi?

Tapahtunutta selvitellään vielä, mutta syy näyttää olleen yhtiön oman ylläpidon virheessä.

Internet on sananmukaisesti "verkkojen verkko". Jokainen loogisesti yhtenäinen verkko muodostaa oman autonomisen alueensa (AS). Yleensä teleoperaattori muodostaa yhden AS-alueen, johon kuuluvat sen asiakkaiden omat verkot, mutta suurilla yhtiöillä voi olla oma AS-alue. Facebookilla se on AS32934. Tällaiset yritykset ovat omia operaattoreitaan. AS-verkot välittävät reititystietoja toisilleen BGP-protokollalla (Border Gateway Protocol).

Lisäksi tarvitaan nimipalvelu DNS (Domain Name Service). Se kertoo, mihin ip-osoitteeseen pitää ottaa yhteyttä, kun selaimeen kirjoittaa www.facebook.com. Kun ip-osoite on saatu, reitittimet tietävät BGP:n ansiosta miten sinne päästään.

BGP on vanha protokolla, jonka ongelmat tiedetään. AS-alueen ylläpitäjän kirjoitusvirheet ovat ennenkin johtaneet arvaamattomiin seurauksiin, sillä väärät reititystiedot leviävät maailman muihin reitittimiin ja saavat ip-paketit kulkemaan epätavallista reittiä. Kolme vuotta sitten pieni nigerialainen nettioperaattori kaappasi vahingossa Googlen liikenteen kulkemaan oman verkkonsa kautta. Kiinalaiset ovat tehneet vastaavaa useita kertoja, samoin venäläiset.

Reititysvirheet hidastavat nettiä jonkin verran, mutta koska liikennetiedot ovat julkisia, virheet paljastuvat nopeasti. Tietoturvakaan ei enää vaarannu, koska yhteydet ovat salattuja. Mutta se, että koko maailmaan dataliikennettä voidaan uudelleenohjata muutamalla kirjoitusvirheellä, on perua internetin alkuvuosista ja pelottava muistutus siitä, miten huteralla pohjalla verkkoinframme on.

Eilen illalla Facebookin verkkoalue päivitti muille reitittimille sellaisia reittitietoja, etteivät paketit enää päässeet perille. Reitin puuttuessa myös Facebookin omat nimipalvelimet lakkasivat toimimasta ja Facebook hävisi hetkessä mustaan aukkoon.

Facebookia ei löytynyt edes DNS-nimipalvelusta.

Ylläpito oli lukinnut talon, mutta jättänyt avaimet sisään. Tämän tilanteen purkaminen kesti kuusi tuntia, mikä globaalissa palvelussa on ihmisikä.

Ja koska kyse on verkkojen verkosta, Facebookin ongelmat heijastuivat muuallekin. Tietoa etsivät käyttäjät ruuhkauttivat muita palveluita ja selaimen refresh-painiketta hakkaavat käyttäjät ylikuormittivat nimipalveluita, mikä heijastui takkuiluna eri puolille verkkoa.

Nyt kaikki taas toimii, mutta tapahtunutta puidaan vielä pitkään. Etätyöaikana teknisten vahinkojen korjaaminen on vaikeaa. Etäylläpito on mahdollista vain, jos verkko toimii ja pakettien reitti on tiedossa. Tällaiset viat on pakko korjata paikan päällä (tai ainakin fyysisestä sisäverkosta, joka ei tarvitse BGP:n reunareititystietoja).

Eilisten uutisten perusteella verkon kaatuminen halvaannutti koko yhtiön, joka on panostanut kovasti etätyöhön ja VR-neuvotteluihin. Koronan vuoksi palvelinkeskuksissa oli tavallista vähemmän henkilökuntaa. Kulkukortit ja sähkölukot eivät toimineet edes yhtiön kampusalueella, koska kaikki oli modernisti pilvessä.

Tapahtunut saa varmasti yhtiöt pohtimaan modernien ja kustannustehokkaiden pilviratkaisujen luotettavuutta. Pilvet ovat mainioita silloin, kun kaikki toimii. Pilvien haihtuessa jäljelle ei jää mitään.

Jokainen FB-, Insta- ja Whatsapp-käyttäjä sai eilen muistutuksen omasta riippuvuudestaan. Olemme jenkkipalveluiden armoilla, emmekä voi tehdä mitään, jos niissä on ongelmia. Asiat eivät ole enää omissa käsissämme.

Tällä kertaa selvittiin muutaman tunnin katkoksella. Kyberhyökkäys tai aurinkomyrsky voisivat pimentää verkot ja reitittimet viikoiksi, jolloin mikään ei toimisi. Miten silloin selvitään? Miten pärjäisit viikon ilman Facebookia ja Whatsappia? Entä ilman suomalaisia nettipalveluita? Siten kuin ennen vanhaan 1990-luvulla, jolloin oli kyllä netti, tietokoneet, sähköposti matkapuhelimet ja tekstiviestit, mutta ei niitä palveluita, joiden varassa arkemme nykyään pyörii?

Nyt on hyvä hetki pohtia omaa resilienssiä, niin organisaation kuin yksilönkin tasolla.

21 kommenttia:

Anonyymi kirjoitti...

Itselle tuli tästä myös oppina ja muistutuksena Facebook login käyttö muissa palveluissa ja sen tuomat ongelmat. Vaikka itse palvelut olivat käytössä ei niihin päässyt kirjautumaan, koska Facebook oli alhaalla. Täytynee jatkossa luopua tämän käytöstä.

Petteri Järvinen kirjoitti...

Facebookia EI PITÄISI IKINÄ käyttää kirjautumiseen! Tämän ongelman lisäksi se sitoo palvelun käyttäjäksi jatkossakin. Lisäksi FB voi poistaa tilisi milloin vain, ilman valitusoikeutta ja perusteluita.

Zarr kirjoitti...

Pikkulinnut lauloivat, että teknisessä mielessä kyseessä on ollut anycast-noodien vääränlainen konffis. Vikasietoisuustilassa jos anycast-node on sitä mieltä että on alhaalla, sen pitäisi jatkaa reittiensä mainostusta huonommilla arvoilla. FB:n tapauksessa mainostukset vedettiin kokonaan pois. Ja kun tämä tapahtui kaikille niin koko höskä hajosi.

Ilmeisesti nyt on hajonnut se tilantarkkailija itsessään. Tämän seurauksena palvelimet ovat kuvitelleet olevansa rikki ja vetäneet mainostuksensa pois. Lopulta kukaan ei enää mainostanut itseään maailmalle. Ja tämä olisi tosiaan vältetty sillä että mainostus olisi jatkunut mutta niin että "rikkinäisten" palvelinten reitit olisivat olleet pienemmällä preferenssillä.

Eli tässä tapauksessa BGP on toiminut tasan noinniinkuin by design.

William Gallop kirjoitti...

Opin uuden asian Whatsupista: kellon kuva kertoo ettei viesti ole päässyt serverille.

Petteri Järvinen kirjoitti...

Kyllä BGP toimii, vuosikymmenten varmuudella. Facebookin ylläpito ei vain ole ymmärtänyt toimiensa seurauksia. Hyvä muistutus siitä, miten uusimmatkin virtualisointi- ja konesalitekniikat lepäävät viime kädessä vanhan internet-infran päällä. Jos infrassa mokataan, mikään ylemmmän tason hienous ei pelasta tilannetta.

Jv kirjoitti...

"Pilvet ovat mainioita silloin, kun kaikki toimii. Pilvien haihtuessa jäljelle ei jää mitään."

Toisaalta otettu lainaus aiheeseen vapaasti suomennettuna: "Pilveä ei ole, on vain jonkun toisen tietokoneita."

Tätä olisi kaikkien etenkin firmojen IT palveluista vastaavien hyvä muistuttaa itselleen joka viikko.

Anonyymi kirjoitti...

Avaisitko Petteri tätä enemmän, vaikka uudella blogilla? En nyt ihan tuota kommenttia usko...

Facebookia EI PITÄISI IKINÄ käyttää kirjautumiseen!

Petteri Järvinen kirjoitti...

Jos kirjaudut Facebookilla, olet sidottu palveluun jatkossakin. Mikä pahinta, Facebook voi lopettaa tilisi ilman selityksiä ja samalla menetät pääsyn kaikkiin palveluihin, joihin olet sillä kirjautunut. Lisäksi vielä Facebookin omat käyttökatkot, seurantamahdollisuudet ja mahdolliset tietomurrot.

Markus kirjoitti...

Minä hieman kyllä laajentaisin tuota ajatelmaa, ettei facebookia kannata ikinä käyttää kirjautumiseen.

Ihan totta, mutta sama koskee kyllä kaikkia kilpaileviakin palveluita. Kuten googlea, applea, microsoftia jne.

Sama koskee muuten kaiken maailman password-managereitakin. Ohjelma generoi ihan varmasti todella hyvän ja tehokkaan salasanan. Mutta perusideologia on, että joka palvelussa on eri salasana ja vielä kriittisempää, käyttäjää ei vaivata muistamaan sitä. Vaan pitäisi luottaa siihen ohjelmaan/palveluun. Jota koskee ihan kaikki samat lainalaisuudet kuin tätä facebook-kirjautumistakin.

Eli kun et muista salasanoja, saattaa ilmaisen password-manageri-ohjelman valmistaja muuttaakin yhtäkkiä palvelu maksulliseksi. Myydä sen pois tai mennä vaikka konkurssiin. Tai sitten tulee jokin katkos.

On ilmiselvää, että nimenomaan kirjautumis-markkinat ovat tällä hetkellä hyvin kuumat ja isot sekä jotkin pienemmätkin yhtiöt ovat haistaneet hyvän markkinaraon saada asiakas "ansaan" käyttämään palvelua.

Näissä asioissa kuitenkin vanha keino on parempi kuin pussillinen uusia. Keksii ihan itse (monimutkaisen) salasanan palveluihinsa ja ennen kaikkea mieluiten käyttää vaikka kaksiosaista todennusta lisäksi. Silloin sillä salasanalla ja sen monimukaisuudellakaan ole enää niin väliä. Nykyisin on jo todella hyvä tilanne kaksiosaisen varmentamisen saralla. Esimerkiksi jopa kotimainen "pikkufirma" hosting-operaattorini shellit.org alkoi juuri tukemaan asiaa.

Petteri Järvinen kirjoitti...

Facebookista sanottu koskee myös AppleID:tä, Googlea ja Microsoftia. Ne tosin harvemmin poistavat tiliä, kuten FB voi tehdä todellisen tai kuvitellun väärinkäytöksen jälkeen.

Salasanamanagerit ovat monin tavoin parempia kuin Facebook, sillä voit tehdä varmuuskopion salasanatietokannasta, voit vaikka tulostaa sen, voit vaihtaa salasanamanageria ja vaikka ohjelman valmistaja lopettaisi, ohjelma jatkaa silti toimintaansa niin pitkään kuin itse haluat käyttää. Lisäksi on saatavissa avoimen lähdekoodin managereita, joissa ei tarvitse pelätä tuen loppumista. Voit pitää tietokantaa omalla usb-tikulla pilven sijaan. Jne.

Markus kirjoitti...

Tuota tuota nyt...

Mä itsekin vihaan facebookkia mutta kyllä se nyt edelleenkin niin on, että mikä tahansa firma voi milloin tahansa mennä nurin. Saattaa lopettaa ohjelman kehityksen (esimerkiksi nimenomaan google on tästä kuuluisa). Ohjelma saattaa vioittua jopa siinä applen laitteessa. Millä tavalla tietoturvaa edistää se, että se salasanarimpsukka kaikki printataan paperille? Sitähän nimenomaan EI SAA tehdä. Ollaan juuri niissä vanhoissa ajoissa jolloin salasanat oli post-it lapuilla näppäimistön alla.

Myös microsoft, apple ja google bannaa tilejä. Esimerkiksi jos he jotenkin kuvittelee tiliä käytettävän rikolliseen tarkoitukseen. Tai rahallista väärinkäyttöä.

Jutun ydin oli, että salasananhallintaa ei voi luottaa tällaisiin ulkoisiin ja kaiken huipuksi vielä niin sanotusti keskitettyyn asiaan. Kirjaumis-asioissa se vanhan ajan hajautus on paljon parempi kuin keskitys. Varsinkin, jos keskittäminen laiskistaa ihmisiä.

Kirjautumis-asiat on tällä hetkellä suuressa mullistuksessa. Itse asiassa se on aihe, josta juuri sinun - Petteri olisi hyvä pitää enemmänkin puhetta. Mutta ei voi yksimalkaan demonisoida yhtä firmaa (vaikka se "hirviö" onkin) ja ummistaa silmät niiltä muilta firmoilta.

Salasanan hallinta on kuitenkin asia joka täytyy pitää omissa käpälissä. Se on ihan itsestäänselvä asia. Tottakai siinäkin on ongelmansa, mutta yleensä ongelmat koskee vain yhtä palvelua eikä niin että kaikilta lähtee "matto jalkojen alta" kerralla.

Toisekseen. Kaksiosainen todennus on jo todella hyvä ratkaisu. Siinäkin tosin on sama ongelma kuin password-managereissa. Sekin ohjelma saattaa vioittua...

Markus kirjoitti...

Itse asiassa lisäksi vielä.

Mulla on jopa elävän elämän esimerkki lähipiirissä, jossa nimenomaan Googlen 2FA (universaali) appsi oli täysin seonnut... Oli muuten aikamoinen selvittely kun ohjelma näyttää joka palveluun ihan höpöhöpö numeroita. Piti palvelu kerrallaan yrittää vaihtoehtoisilla kikoilla sisälle. Ja siitä eteenpäin pysyä kaukana ainakin googlen tuottamasta appsista. Yhtäläisesti se password-manageri voisi tehdä saman.

Mutta 2FA:ssa vaihtoehtona usein on myös se tekstari.

Petteri Järvinen kirjoitti...

Kaikissa menetelmissä on omat riskinsä, mutta kirjautumisten uskominen Facebookin haltuun on yksinkertaisesti huonoin vaihtoehto.

Tunnukset ja salasanat kannattaa pitää omassa hallussa, mutta se on mahdollista myös salasanamanagerin kanssa.

Vanhat salasanaohjeet eivät enää päde, esimerkiksi säännöllistä vaihtamista ei enää suositella. Sanojen tulostaminen paperille on ihan OK, jos uhkan koetaan tulevan verkosta.

Petteri Järvinen kirjoitti...

Tässä vielä artikkeli kolmen vuoden takaa: Stop Using Login With Facebook Immediately—Here’s Why

Zarr kirjoitti...

Markus, miksi salasanalistaa ei saisi tulostaa paperille jos kyse on yksityishenkilöstä joka todennäköisesti ei ole minkään räätälöidyn hyökkäyksen kohteena?

Nykypäivänä pitää muistaa että valtaosa tietomurroista/vuodoista/salasanaphishauksista tapahtuu etäyhteyksillä. Se post-it-lapulla monitorin kylkeen teipattu salasana on siis monessa mielessä jopa turvallisempi kuin vain sähköisessä muodossa oleva salasanatietokanta!

Jari kirjoitti...

...teknisessä mielessä kyseessä on ollut anycast-noodien vääränlainen konffis. Vikasietoisuustilassa jos anycast-node on sitä mieltä että on alhaalla, sen pitäisi jatkaa reittiensä mainostusta huonommilla arvoilla. FB:n tapauksessa mainostukset vedettiin kokonaan pois. Ja kun tämä tapahtui kaikille niin koko höskä hajosi...

Hyvä muistutus siitä, miten uusimmatkin virtualisointi- ja konesalitekniikat lepäävät viime kädessä vanhan internet-infran päällä. Jos infrassa mokataan, mikään ylemmmän tason hienous ei pelasta tilannetta.

En ymmärrä mitään, vaikka olen ylläpitänyt montaa nettisivua ja palvelinta. 1990-luvulla on painettiin kaaliin, että internet on atomipommin kestävä maailmanlaajuinen tietoverkko ja vertaansa vailla oleva verkkojen verkko. Facebookin palvelukokonaisuus on sen sijaan keskitetty järjestelmä, eikä sillä ole muuta tekemistä internetin kanssa, kuin konesalien yhteys käyttäjään ja toisiin saleihin.

Olen huolissani niistä, joille Facebookista on tullut jonkinlainen internetin ruumiillistuma, tapa hahmottaa internet. Eihän tämä "internaatio" ole mitään uutta, koska jo 1990-luvulla Microsoft yritti kaapata netin työpöydälle sijoitetulla kuvakkeella. Eräskin tuttavani luuli, että internet on yhtä kuin se ohjelma, jota käytettiin joskus PC-koneissa: Internet Explorer. Hupaisaa, että kuvake oli lähes samanlainen kuin Facebookin logo.

Nykyään tuntuu tyhmältä edes käyttää sanaa internet tai netti. Monille se on "sokeapiste" varmaan siksi, että verkkoinfra on luonteeltaan hajautettua. Ei ole olemassa ylintä tahoa, joka voisi sammuttaa verkon. Ja se mikä ei keskity tiettyyn paikkaan tai ei ole itsessään näkyvä, sitä ei ole olemassa, monten mielestä.

Jari kirjoitti...

Facebook ja Instagram on oikeastaan enemmän kuin internet. Facebook-kirjoittelu on monelle yhtä kuin totuus ja Instagramin vartalot ovat ihmisihanne. Siksi palvelun kaatuminen on yhtä kuin maailmanloppu. Maanantai-illalla MTV:n uutisissa 3-4 luetuinta uutista koski Facebookia.

Vaikka somen psykologiasta puhutaan paljon, niin verkkoinfra jää usein keskustelun ulkopuolelle. Muistaakseni joskus pelättiin, että internet jakaantuisi kahtia tai mahdollinen runkolinjavaurio jumittaisi liikenteen. Internet on demokratian peruskivi ja sen kaatuminen olisi uhka. (Facen kaatuminen on todellisuudessa vain ruumiillistuma tästä.)

Markus kirjoitti...

Tää olisi kyllä oikeasti jo kirjan paikka. Vink vink Petteri.

Minulle tuli eilen puhelu eräältä yrittäjältä. Puhelun aihe ei ole itselleni uusi. Mutta yrittäjä itsessään oli kauhuissaan. Hänen puhelimestaan oli kadonnut yhtäkkiä toistasataa kontaktia. Tiedän hyvin, miksi yrittäjä on kauhuissaan. Tuhannen kontaktin joukosta kun yhtäkkiä randomisti katoaa tietoa, ei oikeastaan voi tietää mitä on kadonnut. Sen yleensä huomaa vasta sitten kun sitä tarvitsee. Yleensä vielä kiireessä.

Olen nähnyt näitäkin joitakin. Ja itse asiassa kokenut jopa itse Lumia-aikoina. Lumia-aikana itseltäni katosi randomisti muutamakymmentä kontaktia puhelimesta. Huomasin sen, kun eräs lähisukulainen soitti minulle ja luuri näytti vain numeron. Olin hämmentynyt kun vastasin. Miksi nimi ja kuva ei näy? Aloin tutkia asiaa ja huomasin about muutaman kymmenen kontaktin poistuneen johonkin. Ne oli poistunut jopa työpöytä Outlookista.

Aloitin kirjoittamalla nyt tuon sukulaiseni numeron uudelleen. Jonkin ajan kuluttua se oli taas kadonnut? Aloitin oikein tuntikausien peuhaamisen, mikä katoamisen saattoi aiheuttaa. Miksi juuri ne yleisesti ottaen lähimpien ihmisten numerot katosi mutta pääasiallisesti toissijaiset on tallella. Löysin pitkän uurastuksen jälkeen yhteisen tekijän. SKYPE. Kaikki kadonneet numerot oli skype-kontakteja myös. Eli skype-appsi oli jotenkin hajonnut tai sielä oli muutettu jotain siten, että jos kontakti oli myös skype-kontakti, numerot vain hävisi. Ainoa korjauskeino oli poistaa skype puhelimesta?! Tosi hyvin microsoft miljardien softansa sotki.

Sitten laitoin kontaktit takaisin manuaalisesti. Skypessä (tietokone) oli se hyvä puoli, että sieltä sentään löytyi ne tiedot joita tarvitsin. Tämän jälkeen ongelmaa ei ollut. Muuten kuin että lopetin skypen käytön siihen paikkaan. Se loi valtavan epäluottamuksen.

Nyt kun alan tutkimaan taas tuon yrittäjän tapausta, hyvin rajoitetuin työkaluin, olen taas ihan oikeasti nähnyt tämän pilvipalveluiden taian. Ei automaattisista varmuuskopioista pilveen ole paljoa hyötyä, jos ne tuhoutuu samalla kun jokin appsikin alkaa sotkea jotain.

Nyt vain toivon, että yrittäjän tiedot löytyvät jostain "roskakorista" tai jollain palautustyökalulla niitä saa takaisin. Kunhan ensin löytyy se syy, mikä ne tiedot on tuhonnut.

Eli kaikki nämä palvelut alkaa olla aika pelottavalla tavalla sidoksissa toisiinsa ja niissä on vikoja. PALJON! Oli se sitten seonnut bitlocker - tämmöisiäkin tapauksia on ollut, läppäri ei suostu menemään sisään kun vaatii bitlockerin avainta joka buutilla (Mitäköhän nyt tapahtuu kun se on windows 11 alkaen pakollinen?), tai google authenticator mikä näyttää puutaheinää.

Tuon takia en suosittele keskittämään oikeastaan mitään näitä asioita vain yhden tarjoajan ekosysteemiin. Se on hurjan kätevää. Mutta kun jotain menee pieleen on oikeasti pulassa.

Harvoin kuitenkaan syyllinen on se itse pilvipalvelu. Kokemuspohjalta voin sanoa, että se syyllinen on yleensä jokin kolmannen osapuolen hajonnut/päivitetty rikki/poistettu appsi tai väärä vipu väännetty appsissa (yhdistä tämä yhteystietoihin). Se vaikutus vain heijastuu pilvipalveluun asti. Eli vaikka pilvipalvelu itsessään olisi luotettava ja luotettavan toimijan tekemä ja ylläpitämä se "fonecta kukasoitti palvelu appsin luoja" ei sitä välttämättä ole (tällainenkin on löynyt "duplikaatti yhteystieto-ongelman takaa")...

Ja tämä olisi se kirjan aihe! Nämä todella monimutkaiset kytkökset.

Edelleenkin olen ihan samaa mieltä. Facebook nyt on vihoviimeisin kirjautumisen palvelu.

Markus kirjoitti...

Vastaus Zarr:lle

Kaikki murrot eivät tapahdu verkossa. Ei ole mitään syytä tulostella salasanalistaa paperille kenenkään vietäväksi/kadottavaksi kun salasanan voi muistaa omassa päässäänkin.

Taas kerran. Tällainen keskitetty lista kaikista salasanoista on siitä riskaabeli, ettet paperin kadottua välttämättä edes muista mitä kaikkea siihen oli kirjoitettu.

On totta, ettei täydellistä maailmaa ole olemassakaan ja kaikissa metodeissa on hyöty/riski-suhde. Mutta minä olen hakenut koko ajan ideaa, että varsinkin keskitetty palvelu hoitamaan usean muun palvelun asiaa on hieman riskaabelia. Varsinkin aikana kun se ei oikeasti ole enää välttämätöntä. Kun on parempiakin ja turvallisempia tapoja sekä ennenkaikkea tapoja joissa ei ole riippuvainen jostain tarjoajasta, sekä sen mahdollisista oikuista.

Zarr kirjoitti...

Minä olen ollut kertaalleen asiakkaalle vastailemassa tikettiin kun kyselivät että "salasanasäilöapplikaatiomme on levinnyt eli tietokanta korruptoitunut, onko teillä tallella tän toimittamanne järjestelmän tunnuksia jossain". No ei ollut koska oli asiakkaan vastuulla. Ei kuin konsultoimaan recoveryprosessiin...

Tuosta oppineena ovat sen jälkeen printanneet salasanalistan paperille ja pistäneet paperin kassakaappiin. Jos joku sen sieltä vie niin on isompia ongelmia....

Markus kirjoitti...

Zarr.

No tuossahan tuli hyvä esimerkki, miksi en suositellut käyttämään keskitettyä appia salasanojen tallennukseen.

Paperi kassakaapissa on tietysti hyvä, jos siis on se kassakaappi. Juju kuitenkin paperissa on, että sellainen pitää oikeasti pistää jonnekin talteen koska siinä oikeasti on keskitettynä sitten ne ihan kaikki salasanat. Kuitenkin jos applikaatio toimii, et tarvitse sitä paperia ja silloin et välttämättä hoksaa sen kadonneen. Paperi saattaa olla kadoksissa ikiajat ennen kuin jostain syystä huomaat sen kadonneen. Se on se paha asia paperi-taktiikassa.

Ennemmin kannattaa olla ovela. Päässä voi tietysti säilyttää salasanat mutta voihan sitä käyttää jotain ympärilläänkin olevaa. Kuten vaikka hyllyssä olevaa kirjaa. Voit vaikka ajatella, että "petteri järvisen PC-käyttäjän opas, alkaen sivusta 10 sarakkeesta kymmenen, kymmenes kirjain, kymmenen sivun ajan" on se salasana. Joskus muinoin (DOS-peleissä) taktiikkaa käytettiin pelikopioiden estämiseksi. Kuitenkaan kirjassa ei ole mitään merkintöjä, joten kukaan ulkopuolinen ei millään voi asiaa tietää mutta kirjasta löytyy varmuuskopioita ihan kirjastoista. Tämä on siis vain heitto, mutta kuitenkin yksi miljoonasta mielikuvituksellisesta tavasta joilla salasananhallinta voidaan hoitaa turvallisesti. Varaskaan jos nyt koskaan moista opusta varastaisi, ei millään voisi tietää että siinä on "master key" samassa.

Ongelmiahan ei ole vain siinä, miten tehokas "etuovi" on. Myös "takaoveen" täytyy kiinnittää huomiota. Olen myös huomannut toimissani, että joskus on pelottavan hämmästyttävän helppoa päästä silti palveluun vaikka "etuovena" on 2FA järjestelmä (joka vaikka on rikki). "Takaovena" kysytään koiran nimeä ja äitin syntymäaikaa ja salasananvaihto-linkki tulee luukku-sähköpostiin. Eli sekin pitää joskus ihan oikeasti testata - mikä prosessi on kun unohtaa salasanan. Kuinka paljon se nakertaa sitä turvaa?

Siinä sitä kirjan aihetta myös.