maanantai 10. lokakuuta 2022

Käytännön salasanaohjeita vuonna 2022

Tänään 10.10. alkavan digiturvaviikon kunniaksi muutama käytännöllinen ja ajanmukainen salasanaohje. Perinteiset ohjeet (pitkä ja monimutkainen, vaihdettava säännöllisesti ym) eivät enää toimi. Mikä siis salasanoissa on oleellista?

Se kirkastui itsellekin vasta, kun vaihdoin roolia ja kokeilin salasanojen murtamista.

Yritä nyt sitten täyttää eri palveluiden erilaiset vaatimukset... (Vattenfall)

Käytännössä toisen salasanaa on mahdoton arvata. Järjestelmällinen bruteforce-murto on mahdollista, mutta siihen vaaditaan edelleenkin paljon konetehoa. Jo kymmenen merkin salasana tekee väsytysmenetelmän käytön vaikeaksi, ellei kyse ole sitten yrityssalaisuuksista tai valtiohakkeroinnista. 

Oleellista on, ettei salasanaa löydy miltään valmiilta listalta. Suurten sanalistojen koko on jopa 30 gigatavua. Niihin on kerätty salasanoja erilaisista tietovuodoista ja muista lähteistä. Eivät hakkerit lähde murtamaan kaikkia mahdollisia merkkejä, vaan he käyttävät valmiita listoja. 

Harva jaksaa ladata gigatavujen listoja tutkiakseen, onko oma salasana joskus paljastunut jonkun toisen käyttämänä jossain tietovuodossa. Erilaiset tarkistuspalvelut, kuten https://haveibeenpwned.com/ ovat tässä suureksi avuksi.

Google on indeksoinut vuotolistoja, joten voit myös kokeilla salasanan etsimistä hakukoneella. Siinä on toki ilmeiset riskinsä, joten kannattaa olla varovainen. Kuitenkin vanha sanonta "jos salasanasi löytyy hakukoneella, se ei ole salasana" pitää hyvin paikkansa. Oman salasanan pitäisi olla ainutkertainen paitsi omien laitteiden, myös koko internetin sisällön suhteen.

Tärkein ohje on tämä: jokaiseen palveluun eri salasana! On ihan turha luoda 20 merkin mystistä sanahirviötä Ks8,asigl!!,6hzz7BBq ja käyttää sitä eri palveluissa. Jos salasana paljastuu yhdenkin kerran, se päätyy mukaan sanalistoihin ja on sen jälkeen käyttökelvoton. Silloin salasanan pituus ja mutkikkuus ei auta mitään.

Ääkkösiä sisältävät salasanat ovat liki mahdottomia murtaa, koska UTF-koodaus tekee niiden väsyttämisen hyvin työlääksi. Ehkä juuri samasta syystä useimmat palvelut eivät hyväksy niitä. Ääkköset eivät kelpaa wifi-verkkoihin eivätkä Googlelle, vaikka molemmat ovat muuten hyvin sallivia salasanojen suhteen.

Salasanan säännöllistä, proaktiivista vaihtamista ei ole suositeltu enää vuosiin. Neuvoin luopumaan siitä tavasta 11 vuotta sitten kirjassani, ja nykyään myös viranomaiset kehottavat samaan. Vaihtamisesta koituvat käytännön haitat ylittävät siitä saadut tietoturvahyödyt. Salasanaa kannattaa vaihtaa vain, jos sen tiedetään vuotaneen.

Älä koskaan käytä Googlen tai Facebookin tarjoamaa mahdollisuutta kirjautua palveluihin heidän tunnuksellaan, ilman uutta salasanaa. Se sitoo sinut näihin nettijätteihin jatkossakin ja jos jotain sattuu, kaikkien palveluiden turvallisuus vaarantuu kerralla. Juuri äsken Meta varoitti, että 400 haitallista älypuhelinsovellusta (Android ja iOS) oli kaapannut salasanoja Facebook-kirjautumisen varjolla.

Sähköpostin salasana on kaikkein tärkein. Jos sähköpostiin murtaudutaan, rosvo voi kaapata kaikki muut tilit hyödyntämällä olen unohtanut salasanani -toimintoa. Tästä olen saanut nyt syksyllä uhreilta jo useampia yhteydenottoja. Tilanne voi olla todella ahdistava ja tilien saaminen takaisin työlästä.

Älä koskaan kerro salasanaasi ulkopuoliselle kysyjälle, ei varsinkaan puhelimessa. Ne, joilla on tietohallinnon puolesta tarve päästä tilillesi, pääsevät sinne ilman salasanan kysymistäkin. Älä myöskään kerro, millaisia salasanatekniikoita, niksejä tai hallintaohjelmia käytät. Jokainen tiedonmurunen voi helpottaa kohdistettua murtoa. 

Oleellista on myös se, miten salasanoja käytetään. Niitä ei pidä koskaan kirjoittaa vieraalla koneella. Omallakin koneella kannattaa varmistaa, ettei kukaan kurki olan yli. Muistan eräänkin tapauksen, jossa tunnettu turvallisuushenkilö syötti iPadiin PIN-koodinsa niin, että se näkyi ainakin kymmenen metrin päähän.

Monivaiheinen vahvistus (2FA, MFA) antaa merkittävää lisäturvaa ja kannattaa ottaa käyttöön aina, kun mahdollista. Se ei silti ole pomminvarma, ja varsinkin tekstiviesteinä tulevia koodeja voi kaapata tai urkkia erilaisilla kikoilla.

Ja vielä: kannattaa käyttää mieluummin mobiilisovellusta kuin palvelua nettisivulta. Mobiilisovellus on aina turvallisempi.

24 kommenttia:

Anonyymi kirjoitti...

Kiitos asian nostamisesta lyhyesti ja ytimekkäästi.

Olisiko sinulla jotain lähdettä tähän, miksi salasanojen säännöllinen vaihtaminen ei ole hyvästä. Pahimmillaan yhdessä organisaatiossa 3kk välein pakkovaihto... Seurauksena on se, että lähes kaikilla on se uusin salasana jossain postit-lapulla työpöydällä?

Petteri Järvinen kirjoitti...

NIST on muuttanut salasanasuosituksia jo muutama vuosi sitten. Tässä yksi helppotajuinen artikkeli aiheesta: https://www.packetlabs.net/posts/periodic-password-changes/

NIST suosittelee myös, että salasanakenttä ei näyttäisi tähtiä vaan merkit, kun niitä kirjoitetaan. Olen pitkään ihmetellyt, miksi iPhone ei noudata suositusta. Tuottaa vain lisää ongelmia.

Anonyymi kirjoitti...

Tästä

Tärkein ohje on tämä: jokaiseen palveluun eri salasana!

Olen eri mieltä. Käytän monellakin perinteisellä weppisivustolla (phpbb-foorumit etc) tasan samaa ja itse asiassa jopa varmasti joiltakin listoilta löytyvää salasanaa.

Jos joku menee bruteforcettamaan tuon, niin hän voi...ööö, tehdä trollipostauksia kaksi minuuttia ennen bannatuksi tulemistaan?

Jos vahinko mitä kyseisellä tunnuksella voi tehdä on olematon, ja haluat käyttää kyseistä palvelua satunnaisesti muualtakin kuin omalta koneelta, niin mitä väliä.

Sama pätee myös throwaway-accountteihin. On monia paikkoja joissa pitää "rekisteröityä" vaikka oikeasti siitä ei ole mitään hyötyä, esim. monet lehdet. Vaikka Iltalehdelläkin on "Tämä juttu on maksuton, mutte vaatii reggauksen"-tierin artikkeleita. Tätä varten voi helposti generoida gmailista tai vastaavasta accon jossa demografiakseen ilmoittaa olevansa 80-vuotias mummo Gambiasta. Ei mitään syytä generoida kovinkaan turvallista salasanaa.

Markus kirjoitti...

Itse en vain yksinkertaisesti pysty laittamaan joka palveluun eri salasanaa. Enkä halua käyttää mitään salasanapalveluakaan asiaan, joka generoisi salasanan palvelulle erikseen. Esimerkiksi applella on tällainen palvelu ihan integroituna maciin ja iphoniin jne.

Mutta olen tehnyt eräänlaisen lohkoamisen. Minulla on kaksi sähköpostia ja toinen on sellainen mitä en edes tutki. Se on kuitenkin käyttäjätunnuksena niin sanottuihin toissijaisiin palveluihin kuten vaikka foorumit, kaikki julkinen netissä oleva kirjoittelu. Tai netissä olevat pikkupalvelut. Näissä kaikissa on se yksi ja sama salasana. Niillä ei ole merkitystä koska niin sähköposti kuin se salasanakaan ei ole missään tärkeässä käytössä. Jos joku haluaa mun matkapuhelinfoorumin tilin korruptoida niin olkoot hyvät vain.

Sitten se oikea sähköposti on käytössä jo vähemmän tärkeissä palveluissa kuten kaikissa esimerkiksi suoratoistopalveluissa, musiikkipalveluissa (pl apple music joka on taas applen salasanan takana). Sekään salasana ei ole mikään pitkä mutta luottamus näihin palveluihin on jo suurempaa joten niissä voi käyttää sitä oikeaa sähköpostia. Salasana edelleenkin on kuitenkin se sama kaikkien näiden palveluiden kesken.

Sitten onkin jo eri meiningit kun tulee tärkeämpiä palveluita, oikeita asiointipalveluita. Edelleen ovat yhdistetty pääsähköpostiin mutta salasana onkin jo pitempi ja monimutkasempi. Yleensä kaksivaiheinen tunnistaminenkin on käytössä. Autentikaattorisovelluksella jos mahdollista. Näitä palveluita on pääasiallisesti kotimaiset palvelut kuten sähkölaitos, puhelinoperaattori jne. Useisiin näihin ei edes pääse enää käyttäjätunnuksella ja salasanalla vaan pitää olla jo nettipankkitunnistautumista.

Sitten on vielä erikseen niin sanotut ydinpalvelut. Näiden salasana on sitten täysin eri jopa keskenään. Pitkä ja monimutkainen. Sekä kaksivaiheinen autentikaattorisovelluksella itsestäänselvästi käytössä. Näitä on esimerkiksi pilvipalvelut. Sähköposti. Hosting palvelu, Microsoft/Google/Apple tilit jne.

Facebookkeja sun muita some palveluita en käytä ollenkaan mitään. Niiden appseja en ole asentanut enkä sivustoja avannut. Sekin helpottaa asioita. Ja siinä olen ehdottomasti Petterin kanssa samaa mieltä, että koskaan ikinä näitä ei saa käyttää kirjautumiseen. Olen itse nähnyt pulassa olevia ihmisiä kun ovat jälkeenpäin poistelleet itsensä facebookista ja sitten ei pääsekään kirjautumaan esimerkiksi spotifyyn. Spotify on siitä hassu myöskin, että sitä Facebook tililä ei saa mitenkään edes eroteltua enää sen jälkeen eli pitää luoda kokonaan uusi tili, jolloin olet menettänyt kaikki soittolistat yms.

Petterin mielipide näihin salasanageneraattori/tallennus sovelluksiin kiinnsotaisi kyllä. Nythän jokin niistä kusahti. Lastpass tjsp. Mutta oma mielipiteeni näihinkin on, pysykää kaukana. Se on vain firma sielä takana. Et voi tietää onko se luotettava, mutta et myöskään voi tietää, pysyykö se firma pystyssä. Sielä ne kaikki generoidut salasanat on sitten jumissa. Myös appsituki voi yhtäkkiä loppua. Tulee jokin muutos käyttöjärjestelmään, ettei ne enää toimi jne. Ei voi luottaa.

Nyrkkisääntö: hoida itse oma kirjautumisesi joka palveluun erikseen.

Zarr kirjoitti...

@Markus:

Salasanageneraattoreista suosittelisin keepassia, omalla levyllä lojuvalla tietokannalla. Tämä kotikansio voi sitten synkkautua haluttaessa vaikka johonkin verkkolevylle turvaan - tai sen voi kopioida manuaalisesti mihin haluaa, esim. puhelimeen tai vaikka jonnekin oman sähköpostin drafts-kansioon tai mihin nyt haluaakaan.

Tykkään tuosta ratkaisusta, koska ulkoisten palveluntarjoajien näkökulmasta keepassin salasanatietokanta on vain tiedosto muiden joukossa, joten ei tarvita mitään erillistä "salasanasynkkauspalvelua", mikä tahansa geneerinen tiedostojensynkronointipalvelu riittää.

Eikä sitä ole edes mikään pakko tietystikään synkata yhtään mihinkään, mutta vähintään varmuuskopio tietty pitää olla jossain.

KohtoKohto kirjoitti...

Ansiokas kirjoitus jälleen kerran Petteri Järviseltä. Salasanojen jatkuva vaihtorumba on onneksi mennyttä aikaa. Paljon järkevämpää on vaatia käyttäjiltä hyviä salasanoja kuin jatkuvaa vaihtelua, joka helposti altistaa sille, että salasanat ovat lapulla näppiksen alla.

Olisin kuitenkin eri mieltä Petteri Järvisen kanssa siitä, tarvitseeko ihan joka palveluun olla oma salasana. Mikäli palvelu ei ole erityisen tärkeä, eikä siellä esimerkiksi ole mitään omia henkilötietoja, miksi pitäisi käyttää jokaiseen palveluun jotain omaa salasanaa.

Petteri Järvisen kirjoituksessa ei mainittu salasanojen hallintaohjelmiston hyödyntämistä. Nimimerkki Zarr mainitsi Keepass ohjelman. Sen avulla salasanat pysyvät kryptatussa tiedostossa hyvässä järjestyksessä turvassa. Kyseessä on nimenomaan tiedosto, ei netissä oleva palvelu.

Käytän itse Keepassiä salasanojeni hallintaan. Ohjelman voi antaa generoida satunnaisen merkkijonon salasanaksi. Käytänkin itse Keepassiä niin, että annan sen generoida webbipalveluihin satunnaisen salasanan. Sen jälkeen tallennan salasanan selaimeen ja käytän palvelua selaimen muistamalla salasanalla. Tarvittaessa salasana on siis tallella Keepassissä ja voin kirjautua palveluun sillä.

Markus kirjoitti...

Minä en oikeastaan noissa salasanasovelluksissa ole huolissani niiden luotettavuudesta. Ongelma on ennemminkin niissä niiden generoimissa salasanoissa, joita käyttäjä ei tiedä. Se on niin nopea napin painallus käyttää sitä sovelluksen ehdottamaa salasanaa, että käyttäjä ei tiedä salasanaa. Se tallentuu tietysti appsin muistiin ja siinä on eri tekniikoita, kuten täälläkin on kerrottu.

Tietysti itsekin käytän salasanojen automaatti-täyttöä joka on esimerkiksi applella. Samoin käytän applen omaa salasanavarastoa. On kätevää, että vaikka muistankin salasanan ulkoa, sen voi silti aina jostain tarkistaa. Jos tulee vaikka muistinmenetys. Ei sitä koskaan tiedä, isku päähän. Face id avaa sen salasanavaraston.

Ongelma näissä salasanageneraattoreissa on se, että appsit voi vikaantua. Voi tulla huono päivitys joka hajottaa appsin. Niitä on tullut vaikka kuinka paljon monissa muissa yhteyksissä. Mitä sitten tapahtuu? Et pääse mihinkään sisään enää, kun se minkä salasana pitäisi ehdottaa, ei enää toimikaan. Tietysti voi tulla korjaava päivitys tai sitten ei. Sitähän ei mikään takaa. Monissa vioissa asiakkaan huuto on yleensä kaikunut kuuroille korville. Sen näkee tuolla lähes joka softavalmistajan foorumeilla.

Eli tuo on hyvä idea niin kauan kun kaikki toimii. Mutta kuitenkin se on taas yksi ratas lisää kokonaisuudessa, joka voi vikaantua.

Siksi, ehkä kuitenkin on parempi vain muistaa itse salasanansa ja käyttää sitä vanhan aikaista manuaalista kirjautumista.

Zarr kirjoitti...

Voi tulla huono päivitys joka hajottaa appsin. Niitä on tullut vaikka kuinka paljon monissa muissa yhteyksissä. Mitä sitten tapahtuu?

Tässä suhteessa jälleen liputus Keepassin puolesta. Kukaan ei käske päivittämään kyseistä softaa pakotetusti ja lähdekoodi on avointa.

Anonyymi kirjoitti...

Itse käytän samalla yleisperiaattella luotua mutta silti hieman erilaista salasanaa eri palveluihin. Salasanani sisältää komponentin josta (vain itse) tunnistan mihin palveluun se on, ja kun salasana vielä sisältää ajallisenkin osan niin tiedän myös suurinpiirtein milloin se on viimeksi vaihdettu. Tämän lisäksi salasana ei ole sana vaan lause välilyönteineen, ainakin siellä missä se on mahdollista.

Tämä on osoittautunut vuosien saatossa hyväksi kompromissiksi, enkä näitä itse keksimiäni salasanoja ole löytynyt mistään julkisista listoista tai sanakirjoista.

Niihin oikeasti tärkeisiin kirjautumiskohteisiin käytän MFA:ta. Siinä on vaan se potentiaalinen ongelma että jos työpuhelimeni hajoa tai katoaa niin saatan olla liemessä, varsinkin kun niitä MFA-appeja on ainakin 4 eri, joista useammassa parinkin eri kirjautumiskohteen konfiguraatiot.

Mikko kirjoitti...

Myös suositus KeepAssille, lisäksi näin lausuttuna tuo aina hymyn huulille.

Markus kirjoitti...

Zarr. Päivitys ei välttämättä myös aina tule appsiin. Se voi tulla myös käyttöjärjestelmään. On niitäkin tapauksia. Uusin iOS versio, jotkin softat lakkaa toimimasta. Apple/Google/Microsoft jne muuttaa jotain politiikkaansa. Edelleenkin, ei poista riskiä. Itse asiassa, jopa pahentaa sitä, jos appsia nimenomaan ei päivitä. Siinäkin voi olla tietoturvasyitä, miksi se kuitenkin olisi hyvä päivittää.

Kuitenkin kaikelta tuolta välttyy kun ei vain käytä. Anonyymin neuvo on itse asiassa aika sama kuin itse käytän. On tietynlainen runko jolla monimutkainen salasana muodostuu, kuitenkin tietynlaisella itse tietämälläni kaavalla. Kukaan muu ei tiedä kaavaa, mutta itse saan palvelun luonteen tietäen pähkäiltyä päässäni, että sen on pakko olla "tuolla kaavalla".

Anonyymi kirjoitti...

Salasanat joita voi murtaa laskennallisesti (siis omalla koneella eikä tarvi yrittää kirjautua minkään ulkopuolisen palveluntarjoajan sivuille) ovat pitkiä, esim. bitcoinin yksityisavain on E9873D79C1D81DC0FA6A5778611389_SAMPLE_PRIVATE_KEY_DO_NOT_IMPORT_F4453213303DA61F20BD67FC233AA33262 tms.

Firefox-selain ehdottaa heti salasanakenttää täytettäessä että turvallinen salasana olisi tarjolla: "Use a Securely Generated Password ZCwRG1aAkGFAU2d". Firefoxin tarjoama salasana on lyhyempi koska niillä kirjautaan jollekin sivustolle, mikä toimii hidastimena sille kuinka tehokkaasti hyökkääjä voi kokeilla väärää salasanaa.

Puhelimessa tapahtuvan hetu/osoite-tunnistuksen tapauksessa on vielä suurempi hidaste sille, kuinka usein väärällä hetulla/osoitteella voi yrittää käyttää palvelua.

Anonyymi kirjoitti...

Miten turvallisena pidätte sitä tapaa, että antaa selaimen tallettaa käyttäjätunnukset ja salasanat?

Jussi H. kirjoitti...

"Ne joilla on tietohallinnon puolesta tarve päästä tilillesi, pääsevät sinne ilman salasanan kysymistäkin". Voisiko blogisti avata tätä hiukan? Olen näissä asioissa kovin amatööri mut kiinnostaa. Jussi H. 75v.

Anonyymi kirjoitti...

Jussi H. kirjoitti...

"Ne joilla on tietohallinnon puolesta tarve päästä tilillesi, pääsevät sinne ilman salasanan kysymistäkin". Voisiko blogisti avata tätä hiukan? Olen näissä asioissa kovin amatööri mut kiinnostaa.

Tietojärjestelmien ylläpitäjät pääsevät tarvittaessa lukemaan asiakastilin tietoja. Heillä on kaikkeen root-oikeudet (pääkäyttäjän valtuudet). Vain tietojen salaus auttaa (kryptaus), jos esimerkiksi säilyttää henkilökohtaisia tiedostoja jonkun toisen tietokoneella (palvelimella).

Anonyymi kirjoitti...

Anonyymi kirjoitti: "Miten turvallisena pidätte sitä tapaa, että antaa selaimen tallettaa käyttäjätunnukset ja salasanat?"

Käytä selaimessa pääsalasanaa ja kirjaudu käyttöjärjestelmään salasanalla, lukitse koneesi kun et ole paikalla. Luotamme tahtomattammekin selaimiin, koska syötämme salasanan niiden avaamiin kirjautumissivuihin joka tapauksessa. Tapahtuuko tämä käsin vai salasanamuistista, on yhdentekevää. Jos pääsy tietokoneesi ääreen on fyysisesti suojattu ulkopuolisilta tai massamuisti kryptattu, voi koneella turvallisesti säilyttää salasanoja. Yleensä peli on menetetty, jos pahantahtoinen toimija saa koneen haltuunsa eikä kiintolevyn tietoja ole salattu (esimerkiksi BitLocker).

Anonyymi kirjoitti...

@Petteri

NIST suosittelee myös, että salasanakenttä ei näyttäisi tähtiä vaan merkit, kun niitä kirjoitetaan. Olen pitkään ihmetellyt, miksi iPhone ei noudata suositusta. Tuottaa vain lisää ongelmia.

Kyllä, se voisi ehkä olla valinnainen tai ainakin säätää sitä aikaa minkä salasanakenttään kirjoitetut kirjaimet näkyvät. Se olisi minusta käyttäjäystävällisin ratkaisu ja useimmille riittävän turvallisuuden takaava myös. Ei siis niin, että siihen voisi jättää jonkun salasanan näkyviin pitkäksi aikaa, se olisi huono idea ja tapa toimia.

Käytännössä kuitenkin enemmän olen toivonut sitä, että salasanan saisi syötettyä vaaka-asennossa kun kysely pakotetaan ja kirjaimet on niin pieniä, että niihin on vaikea osua eteenkin jos on vähän liikettä johon ei voi itse vaikuttaa juuri sillä hetkellä.

Mutta takaisin salasanan peittämiseen tähdillä.

Sen perustelu on perinteisesti ollut estää olan yli näkyminen (shoulder surfing) salasanaa kirjoitettaessa.

Se tietysti voi olla vaarana, jos ja kun on ihmisiä ympärillä kuten joukkoliikenteessä seisoskellessa tai sitten muussa paikassa, missä ei oivalla että joku toinen katselee.

Kovin moni ei ole oivaltanut sitä, että silmälaseista heijastuu usein asioita läheltä jota ei soisi näkyvän. Tämä ei ole mikään aivan uusi asia ja sitä on tiedustelu organisaatiot käyttäneet pitkään. Mitäpä ei käytettäisi mikä toimii.

Mutta aina vain parempien videoneuvotteluun käytettävien kameroiden käyttö palavereissa on muuttanut jo ja muuttamassa lisää jatkossa (4K, 8K, 16K, ...) tilannetta niin, että tämä asia olisi syytä ihmisten tiedostaa paremmin.

Asiasta on jonkin verran tutkimusta, Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing ja mm. Register kirjoitti asiasta vasta.

Järjestelmäkameroiden optiikat ja erottelukyky on ollut jo pitkään niin hyvä, että avaimia ei ole pitkään aikaan suositeltu jätettävän näkyvälle paikalle, jossa joku voisi ne kuvata.

Siitä ei ole pitkä matka, että aurinkolaseista, erityisesti peililaseista, ja silmälaseista sopivassa valaistuksessa voi nähdä mitä kuvattava itse katselee ja tässä lienee vastaus kysymykseesi ja perimmäinen syy, että Apple ei noudata NIST:n suositusta.

Markus kirjoitti...

Yhden vaaran kyllä vielä kerron, joka tuli konkreettiseksi tässä about kuukausi sitten itselleni.

Minä vaihdoin iPhoneni vanhasta 12 Prosta uuteen 14 Prohon.

Kaikki vaihdoksessa meni muuten hyvin, mutta jostain syystä autentikaattori-appsi ei vain suostunut hakemaan asioita varmuuskopiosta. Vaikka mitä kikkailuja yritin. Muistaakseni, koskaan aikaisemmin ei moista ongelmaa ole ollut. Mutta nyt appsi pysyi tyhjänä.

Tuolla hetkellä asia ei tietysti ollut ongelma. Työtä tuli paljon, mutta pystyin kuitenkin kirjautumaan vanhan puhelimen avulla jokaiseen paikkaan erikseen ja manuaalisesti tehdä uusi autentikointi per paikka, uuteen puhelimeen. Eli napsia ensin kaksivaiheinen tunnistautuminen joka paikasta pois päältä ja sitten uudelleen päälle.

Kuitenkin. Entä jos vanhaa puhelinta ei olisi ollut käytettävissä? Se olisi vaikka kadonnut/varastettu/hajonnut?

Siinä olisi ollut päänsärkyä. Mietin oikeasti siinä vaiheessa, voiko autentikointi appsiinkaan enää luottaa vai pitäisikö vain pysytellä niissä tekstari-autentikoinneissa. Riskeistä huolimatta.

Mitään selitystä asialle ei ole. Katselin useitakin englanninkielisiä kikkoja, miten asian voisi palauttaa. Mitään logiikkaa siinä ei ollut ja aikaisemmin ei myöskään vastaavaa ongelmaa ole ollut. Siksi arveluttaakin, että mahtaisiko seuraavalla kerralla taas toimia varmuuskopio vai eikö.

Nämä voi vaikuttaa kaikki hyvin yksinkertaisilta tai jotkut voi ajatella vaikkapa turvallisuutta parantavina. Mutta, se ei ole ilmeisesti ihan niin yksinkertaista siltikään.

Anonyymi kirjoitti...

@Markus

En tiedä mikä "autentikaattori-apsi" sinulla on tai oli käytössä, mutta varsin monissa mitä minä käytän tai olen edes kokeillut työn puolesta liitos tehdään QR-koodin avulla tai sitten leikkaa liimaa merkkijono jonka ne generoivat TOTP -sovellukseen. Merkkijono on yleensä siellä sen QR-koodin alla vaikka QR-koodi olisikin tarjolla liitoksen helpottamiseksi.

Sen merkkijonon voi tallettaa erilliseen vahvasti salavaan salasana ohjelmaan, joka josta voit sitten liittää sen toisessa sovelluksissa tunnuksen yhteyteen vastaavalla tavalla tai sitten samaan sovellukseen toisessa laitteessa. Näin et ole yhden laitteen ja sen rikkoutumisen varassa jatkossa. Samassa sovellukseen voi tallentaa myös ne backup-avaimet joita monesti generoidaan ja kehotetaan säilyttämään turvallisessa paikassa. Itse salasana-sovelluksen pää-salasana kannattaa vaikkapa hieman muutettuna tai palasteltuna kirjoittaa muistiin paperille tms. siinä muodossa että sitä ei muut ymmärrä yhdistää sen todelliseen käyttötarkoitukseen.

Ja valitsemalla myös paikallisesti (desktop, läppäri) toimivan salasana-ohjelman, niin tiedostoista on helppo tehdä varmuuskopioita.

Paikallisesti toimivassa ohjelmistoissa on ainakin mitä minä olen käyttänyt voinut myös synkronoida salaisuuksia useilla eri tavoilla, tietysti paikalliselle levylle, mutta myös pilvipalveluiden ja samassa WiFi:ssä olevien laitteiden kesken.

Microsoft Authenticator, Google Authenticator, Cisco DUO jne. ovat teknisesti perustaltaan TOTP -toteutuksia aivan kuten oli jo -80 luvulta joillekin tuttu RSA SecurID pulikka avaimenperässä ja samoin on NordeaID ja se pientä laskinta muistuttava erillinen Nordean tunnistus laite ja myös Applen iCloud tunnistus joka kysyy 6-numeroa pitkää TOTP haastetta toiselta jo liitetyltä laitteelta uutta laitetta liitettäessä jne.

Monessa näistä on nykyisin lisätty brändäyksen lisäksi PUSH-toiminto käyttömukavuuden lisäämiseksi ja sovellus pyörii taustalla koko ajan. Sitten kun pitää vahvistaa jokin tapahtuma niin painetaan vain nappia eikä tarvitse naputella sitä 6-numeroista numeroa.

Lisätty käyttömukavuus toki osaltaan kuitenkin hieman vähentää turvallisuuta, koska jos ei malta lukea autentikointiviestiä niin voi vahingossa nappia painamalla tulla sallineeksi jonkun kerran väärälle taholle pääsyn.

Anonyymi kirjoitti...

... jatko
Mutta se, että tekniikka on taustalla sama tarkoittaa pitkälle sitä, että ihan jokaisen firman tyrkyttämää autentikointi softaa ei ole tarvetta asentaa vaan voit käyttää usein niiden sijasta yleiskäyttöistä sovellusta kuten FreeOTP, Google Authenticaattorin tai Microsoft Authenticaattorin sijasta, silloin kun tunnistuslaitetta liitettäessä sinulle näytetään QR-koodi tai se merkkijono.

Olen itse käyttänyt pitkään Zetetic'in tekemää Codebook, nimistä sovellusta mäkissä, iPhonessa ja iPadissa. Ohjelmiston nimi oli aikanaan Strip ja käytin sitä jo Palm V:n kanssa vuosituhannen vaihteessa, josta siirsin saman nimiseen ohjelmaan mäkissä ja sitten ohjelma joskus 10v sitten vaihtoi nimensä Codebook nimiseksi. Ohjelmisto on varsin hyvä, toki kehittämisen varaa omia tarpeita varten olisi jos vain saisi tekijät ne tekemään.

Toki FreeOTP:lla tai perus KeepAss tai vaikka sen web-versiolla KeeWeb:llä pärjää moni myös vasrsin hyvin. Codebook on minulla käytössä pitkälti historiallisesta syystä. En salli sen käyttää selain integraatiota ja synkkaan salattua tietokantaa vain paikallisesti luotetussa verkossa.

Olet oikeassa siinä, että aivan liian helposti vielä näiden kanssa moni joka ei ymmärrä hyvin mitä on tekemässä ja miten nämä värkit toimivat joutua ongelmiin vaikka toki nämä huolellisesti ja oikein käytettynä tuovat huomattavasti lisää turvaa pelkkiin salasanoihin.

ps. Microsoftin pilvipalvelussa voi aktivoida 2FA:n muulla kuin Microsoft Authentikaattorilla siten, että ensivaiheessa lisää SMS:n, sitten kolmannen osapuolen TOTP:n ja sen jälkeen voi poistaa SMS:n käytöstä.

Anonyymi kirjoitti...

Ainakin Google Authenticatorin palautuskoodin voi kirjoittaa varmuuskopiona paperille kun sitä ottaa käyttöön uudella sivustolla. Tilit voi kopioida myös suoraan puhelimelta toiselle toiminnolla "vie tilejä".

"Miten turvallisena pidätte sitä tapaa, että antaa selaimen tallettaa käyttäjätunnukset ja salasanat?"

Tämä estää sen, että menee vahingossa tai harhautettuna huijaussivustolle. Kun selain täyttää automaattisesti salasanan, tietää että kyseessä on oikea sivu.

Salasanoista voi tehdä varmuuskopion esim. USB-tikulle. Firefox-selaimessa saa muutaman tiedoston kopioimalla profiilin ja salasanat siirrettyä USB-tikulle tai uudelle koneelle.

Markus kirjoitti...

Viestini tuossa oli lähinnä tosiaan se, että näissä kaikissa ratkaisuissa pitää ymmärtää, että on täysin mahdollista jäädä itse oven taakse.

Ratkaisut on helppo ottaa käyttöön. Salasanageneraattoreita, appseja, autentikaattoreita.

Mutta jos jotain menee pieleen, ihan yksinkertaistakin, saattaa olla niin, että tämä turvaominaisuus estää sinun mahdollisuutesi käyttää palvelua enää, sillä käyttäjätilillä nyt ainakaan. Monilla voi olla pilvipalvelussa ihan kaikki.

Tietysti useissa palveluissa on toiminteita, joilla asioita voi ohittaa ja päästä silti sisään. Mutta se ei ole sanottua, jos asiaa ei ole etukäteen ajatellut, eikä ole rakentanut näitä "takaovia". Kun itse on "oven ulkopuolella", on liian myöhäistä asiaa enää miettiä.

Asia näinkin päin on siis tietoturva asia. Ei pelkästään ulkopuolisten pääsyn esto asiaan vaan myös oman pääsyn takaaminen asiaan, myös vikatilanteissa. Eräänlainen balanssi siis. Yleensä se balanssin hakeminen hieman heikentää turvallisuutta. Mutta se voi olla pakko. Kuitenkin, se asia pitää etukäteen miettiä ja suunnitella.

KohtoKohto kirjoitti...

Ottaisin pariin asiaan kantaa:

Tietojärjestelmien ylläpitäjät pääsevät tarvittaessa lukemaan asiakastilin tietoja. Heillä on kaikkeen root-oikeudet (pääkäyttäjän valtuudet). Vain tietojen salaus auttaa (kryptaus), jos esimerkiksi säilyttää henkilökohtaisia tiedostoja jonkun toisen tietokoneella (palvelimella).

Juuri näin! Pääkäyttäjien pitää aina päästä käsiksi asiakastileihin ja tästä syystä äärimmäisen arkaluontoiset tiedostot pitää aina kryptata tai vaihtoehtoisesti pitää vain omalla lokaalilla levyllä. Tietenkin on aika epätodennäiköistä, että jonkun ison pilvipalvelun ylläpitäjä ryhtyisi satunnaisen käyttäjän tiedostoja tarkastelemaan.

Mutta jos jotain menee pieleen, ihan yksinkertaistakin, saattaa olla niin, että tämä turvaominaisuus estää sinun mahdollisuutesi käyttää palvelua enää, sillä käyttäjätilillä nyt ainakaan. Monilla voi olla pilvipalvelussa ihan kaikki.

Näin on. Juuri tästä syystä suosittelisin esimerkiksi jo aiemmin mainitun KeePass ohjelmiston käyttöä salasanojen ja muiden tunnistusvälineiden tallentamiseen. Keepassin tekemä salasanatiedosto pitää vielä jonnekin pilvipalveluun tallettaa turvaan ja pääsalasana pitää joko itse muistaa tai pitää paperilla turvallisessa paikassa.



Anonyymi kirjoitti...

Millonkohan palveluntarjoajat alkavat kieltämään rasististen tai vihapuhetta sisältävien salasanojen käytön?
Jos tapahtuisi tietomurto jonka seurauksena vaikkapa antirasistin salasanaksi paljastuisi pitkä ja erikoismerkeillä varustettu mutta rasistinen salasana niin voisiko sitä pitää erinomaisena salasanana?