Salasanat, muistaminen ja tehokkuus.

[M.P.T]

Arvoisat gurut. Kysyisin seuraavia kysymyksiä salasanoista liittyen. Asiasta voi olla topic, mutta tahdon eriyttää tämän.

1. Password Generator ohjelman mukaan 8merkkinen salasana on vielä keltaisella. Esimerkkinä se antoi "x8A17QRX" Eli tuo ei ole tarpeeksi tehokas ja samaa ei esimerkiksi kannattaisi käyttää hompussa ja sähköpostissa tietoturvamiesten mukaan. Mitä mieltä olette tuosta esimerkki salasanasta?

2. Mitenkäs asiaan suhtaudutte, jos esimerkiksi tuota käyttäisi seuraavasti.
Hompussa : x8A17QRX (Salasana käytettynä kerran)
Sähköposti1 : x8A17QRXx8A17QRX (salasana 2krt)
sähköposti2 : x8A17QRX252563 (Salasana 1krt + oma puh nro, esimerkissä ei ole minun)
Palvelu1 : x8A17QRXx8A17QRXx8A17QRX (salasana 3krt)
Foorumi1 : tdkx8A17QRXtdk (kamun nimimerkki + salasana + kamun nimimerkki)
jne jne jne......

3. Ylemmässä esimerkissä muistaminen on helpompaa ja moni paikka antaa yrittää muutaman kerran väärin ja osa ei rajoita ollenkaan. Onko esimerkissä olevat salasanat kuinka päteviä? Onko iso tietoturvariski käyttää samaa pätkää, mutta ei kuitenkaan samaa salasanaa eripalveluihin?

[iPadi]

Käytä samaa salasanaa kaikkialla, niinkuin minä, niin pääset helpommalla

[gramdel]

Kannattaa miettiä, missä käyttää mitäkin. Minä käytän foorumeilla ja muissa vastaavissa suht yhdentekevissä mestoissa samaa/paria eri salasanaa. Jostain foorumitunnarin salasanan murtamisesta ei juurikaan kostu, joten niissä ei sinällään ole tarvetta mitään kauhean monimutkaista käyttää.

Sähköpostiin, paypaliin jne. sitten vahvat uniikit salasanat.

E: Selaimet jne. toki muistavat vaikeatkin salasanat, joten toki niitä voi foorumeillakin käyttää, ainakin jos käyttää vain omia/ei yleisiä laitteita. Itse käytän LastPass härveliä salasanamanagerina. Löytyy useimmille selaimille, ja ainakin androidille (jolloin tosin pitää maksaa 1e/kk). Lastpassista voi nettisivujen kautta käydä katsomassa salasanat, jos on julkisella koneella eikä niitä muista.

[Tauvo]

Olen yrittänyt päästä helpolla ja niissä paikoissa, joissa ei salasanan murtovarmuus ole niin kauhean iso asia, olen ottanut käyttöön oman kielen. Eli sotken paria kolmea kieltä salasanaan niin, ettei se ole mitään kieltä, mutta itselle kuitenkin helpohko muistaa. Toisiin sitten numeroita sekaan...

[M.P.T]

Koulussa kone hyväksy jopa 160 merkin salasanan. Miten muistin moisen? Tallensin sen tekstiviestiin ja näin aina tuli se puhelimesta kirjoitettua. Pgp salaus sähköpostiin. En enää muista millaista salausta käytin, mutta maksimi mitä ohjelma antoi. Opettaja väitti 128 luokan salauksen riittävän. Pgp salauksessa on omat ongelmansa, koska kaikki vastaanottajat sen tarvitsevat. Pakko kai hyväksyä se, että hakkerit tulevat murtamaan minunkin sähköpostin.

[kallekilponen]

Heti tuli tuosta mieleen tämä xkcd:

password_strength.png

[spiidi78]

Kuten Kallenkin kuvassa mainitaan, niin KatoMoroMitäJätkälleKuuluu on älyttömän paljon hankalampi murtaa, mitä k234kj234 ja älyttömän paljon helpompi muistaa.

[teesaa]

Mä käytän yhtä perussalasanaa, jonka sitten ikäänkuin yksilöin aina kulloisenkin websiten mukaan.

Esimerkki
Perussalasana: Purjevene43
Weppisaitti: http://www.macpornoa.fi

Salasana muodostetaan vaikkapa ottamalla websiten nimen 2. kirjain versaalilla ja lisäämällä sen jälkeen tietyn erikoismerkin. Tähän yhdistetään sitten perussalasana. Kyseisen websiten salasana olisi siten "A§Purjevene43".

Tämä ei sinänsä lisää salasanan pituutta raakaa voimaa vaativien kräkkäysten torjuntaan, mutta systeemi suojaa muut salasanakohteet yhden tultua jostain syystä arvatuksi.

[securapple]

Hei!

Salasanojen kimppuun voi yrittää käydä joko arvaamalla tai salasanatiivisteen murtamalla.

Arvauspuolella arvaus on niin hidasta (esim. itunes,gmail, jne...) että käytössä pitää olla hyvät tiedot käyttäjän käyttäjätunnuksesta.
Tätä tietoa saa esim. jos jonkin internet-palvelun käyttäjäkanta ja salasanatiivisteet saadaan ja murretaan, samoja tunnuksia ja salasanoja kokeillaan muihinkin internet-palveluihin jos samoilla käyttäjillä olisi samat salasanat muuallakin. Toinen tehokas tapa saada salasanoja on haittaohjelmat.

=> jos jokin käyttämäsi internet-palvelu murretaan niin vaihda kaikkien käyttämiesi internet-palveluiden salasanat joissa käyttäjätunnksesi on identtinen. Jos koneeltasi löydetään haittaohjelma, vaihda internetpalveluiden salasanat.

Sinänsä tuollainen satunnainen kahdeksanmerkkinen salasana on riittävä suoja satunnaisen arvailun jota sitäkin tapahtuu esim. sosiaalisesta mediasta saadun tiedon avulla (syntymäpäivä, lapsen nimi,lapsen syntymävuosi, lemmikin nimi, ...).

Salasanan murto edellyttää internet-palvelun tietomurtoa, tällöin salasanoista kiinni jäävät päivissä (murtomiehen cpu-arsenaalista riippuen) salasanat jotka ovat lyhyitä (n. alle 7 merkkiä) tai esim. suomen / englannin kielen sanoja tai niiden loogisia johdannaisia (i=1, o=0). Mikäli salasanakoodaus (hash) on huonosti suojattu ja murtomiehellä on kiintolevykapasiteettiä, saadaan sateenkaaritekniikaalla(rainbow tables) kaikki alle 8 -merkkiä pitkät salasanat murrettua muutamassa sekunnissa(yksi tietokanta select tai ldap search / salasanatiiviste).

=> Riittävä suoja saataisiin mielestäni n.11+ merkkisellä salasanalla joka on hieman muutettu sanaston sana kuten "Kemm0k0rtti", "Pe1häänmärk1" kuitenkin niin että vaikka tehtäisiin 1=i , 0=o muunnokset ei jäljelle äjäänyt sana olisi suomenkielen sanaston sana ("Kemmokortti", "Peihäänmärki").

Lopuksi suosittelen ns. "soft-token" -pohjaisia ratkaisuja kun niiden käyttö on mahdollista "Google Authenticator", "Symantec VIP", ...)

-Securapple

[tosikko]

Kokeilkaa vaikka tuota: http://www.keepassx.org/