Ketä salasanavuodosta voi syyttää?
18.10.2007 08:10 Viime viikonlopun salasanasotkusta on turha tyytyä syyllistämään vain niitä, joiden salasanat ovat verkkoon vuotaneet, vaikka käyttäjienkin on katsottava peiliin.
Tuhansien suomalaisten yhteisösivustojen käyttäjien tunnuksia ja salasanoja vuoti viikonloppuna verkkoon.
Salasanoihin pitää suhtautua vakavuudella ja niitä pitää vaihdella usein, se on selvä. Jos käyttää yhtä ja samaa salasanaa kaikkiin mahdollisiin palveluihin, ottaa riskin. Mikäli salasana joutuu vääriin käsiin, samalla menee pääsy useaan palveluun ja tunnusten väärinkäytön mahdollisuudet kasvavat.
Harvalla riittää motivaatio aina vain uusien salasanojen opettelemiseen ja mieleen painamiseen, vaikka pitäisi. On olemassa raja sille, miten pitkiä merkkijonoja ihminen pystyy mieleensä painamaan; paljon sitä ennen tulee kuitenkin vastaan raja sille, miten paljon ihminen viitsii edes yrittää muistaa.
Onneksi salasanojen mieleen painamiseen ja hallintaan on muistisääntöjä ja muita keinoja. Alkuun pääsee vaikkapa Wikihow’n ja Noppawaren avulla.
Varsinaisia syyllisiä salasanasotkuun ovat tietysti ne, jotka ovat hankkineet listat ja julkaisseet ne verkossa. Heitä etsii keskusrikospoliisi. Tietoturva-asiantuntijoiden konsensus tuntuu olevan, että salasanalistan haaliminen ei vaatinut suurta osaamista.
Vastuussa ovat myös ne, jotka ovat ylläpitäneet turvattomia verkkopalveluja. Voi kysyä, miksi esimerkiksi CERT-FI:n sivuilla mainitut Bat.org, Battlefield.fi, Kiekkoliiga.net, Mesenet-galleria.com, Rakkausrunot.fi ja Voitta.net eivät huolehtineet paremmin palvelujensa tietoturvasta ja omista käyttäjistään.
CERT-FI sanoi alkuviikosta, että haavoittuvilla phpBB-, Wordpress- ja SMF (Simple Machines Forum) -ohjelmistoversioilla toteutettuja yhteisöverkkopalveluita on Suomessa käytössä vielä ”huomattava määrä”. Toivottavasti ne, jotka tästä huomattavasta määrästä vastaavat, ovat ottaneet onkeensa.
Yhteisösivustojen käyttäjät päivittävät toivottavasti nyt salasanakäytäntönsä ja harkitsevat varmaankin, mihin palveluihin vastaisuudessa luottavat. Vaikka minkälaisen salasanahirviön itselleen kehittäisi, sillä ei ole merkitystä, jos palvelun tietoturva pettää.
Valitettavasti vain juuri niin taitaa yhä useammin käydä; verkkopalvelujen haavoittuvuuksien hyväksikäyttö ei ole ainakaan vähenemään päin.
Antti Kirves toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:47 Facebook-kaverin poisto johti kaksoismurhaan
- 16:26 Googlen lompakko hakkeroitiin helposti
- 16:15 Google pystyttää kilpailijaa Dropboxille
- 14:05 Alcatel-Lucent lopettaa työpaikkoja
- 14:02 Pirate Bay uhmaa muistitikulla estoja
- 14:00 Comptel puolittaa osingon
- 13:41 Kodak keskittyy kuvien tulostamiseen
- 13:37 Yle: Piraattiradio häiriköi Turun seudulla
- 12:37 Windows XP:lle harvinaisen vähän korjauksia
- 10:03 Itsemurhatehtaan johtajalta vohkittiin salasana
- 09:48 Googlen ensimmäinen työntekijä lähtee
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Twiittaileva Murdoch sättii Obamaa ja Googlea 10:55
- Homovastainen kirkko protestoi Jobsin hautajaisissa 09:41
- Skype ostaa GroupMe-ryhmäviestiyhtiön 08:48
- Applea vastaan aktivismipäivä Suomessa 14:02
- Kiina kielsi ihmisoikeus-sanan tekstiviesteissä 15:23
- Asbestikalsarit liekeissä 15:42
- Lasten paikannusranneke pelottaa ja houkuttaa 11:03
- EU epäilee älykorttien sirunvalmistajia hintakartellista 13:22
- Lisää
Digiyesterday
Viisi vuotta sitten
Alcatel-Lucent irtisanoo tuhansia
10.02.2007 Telelaitevalmistaja Alcatel-Lucent irtisanoo 3 500 työntekijää. Ranskalais - amerikkalaisen yhtiön toiminnallinen tulos romahti viime vuoden viimeisellä neljänneksellä 21 miljoonaan euroon, ja irtisanomiset ovat yhtiön mukaan tarpeen suunnan muuttamiseksi.
Kolme vuotta sitten
Talouskriisi ajoi verkkoliikenteen yli 25 Gbps:n päivälukeman
10.02.2009 Suomen ip-yhdysliikennepisteen Ficix ry:n kautta välitetty liikenne kasvoi vuonna 2008 noin neljänneksen eli 25 prosenttia. Helmikuun ensimmäisellä viikolla rikottiin 25 Gbps:n rajapyykki päivittäisenä huippuarvona.
Taloussanomat
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- SK: Nokia ulkoisti lokakuussa – Accenture jakaa jo eropaketteja 20:59
- Pankkiireilla on uusi suosikkiaine: Testosteroni 20:24
- Kreikan sopu järkkyi jo: Puoluepomo aikoo äänestää ei 16:22
- Raatoja tulee ravintola-alalla: "Dokaaminen meni muodista" 15:01
- Tämä sana joutui pannaan – Ollila haluaa sen takaisin 15:39
- Erimielisyyksiä osingoista – OP-Pohjola antoi potkut pankkiirilleen 10:07
- USA:ssa luottamus notkahti vielä pelättyäkin enemmän 17:32
- Merkel: Kreikka tarvitsee lisää apua 13:01
- Kreikan poliisi haluaa pidättää EU-virkailijat 17:12
- » Taloussanomat.fi
Kommentit (16)
P.S: Mielenkiinnolla odottelen tuleeko tällekin kommentille -50 pistettä...
Muistan kerran lähettäneeni eräälle nettifoorumin ylläpitäjälle viestin että heidän käyttämänsä ohjelmistoversio on vanha ja sisältää tietoturvahaavoittuvuuden.
Kuten voi arvata, mitään ei tapahtunut, eikä foorumin versiota päivitetty. Tietääkseni kukaan ei voi (laillisesti) pakottaa heitä päivittämään.
Nyt muutama rikollinen sai monet sivustot laittamaan tietoturvansa ainakin hetkeksi parempaan kuntoon. Olen surullinen siitä että heidän keinonsa oli varmaankin ainoa keino millä parannuksia saadaan aikaan. Jos joku tietää paremman laillisen keinon mitä tehdä silloin kun ylläpitäjät eivät halua päivittää, niin kertokaa ihmeessä.
Ja miten käyttäjät edes voivat edes saada tiedon siitä että käytössä on haavoittunut versio ilman murtautumisyrityksiä, jos sivuston ohjelmisto ei ole julkinen ja ilmaise versionumeroaan?
Ja kun serveri useinkaan ei ole omissa käsissä, vaan jonkun yrityksen ajama virtuaaliserveri, joka jaetaan usean asikkaan kesken ei asia ole ihan helppo.
Niin kauan kuin ylläpitäjien tiedot ovat täällä tasolla. Ei tapahdu mitään parannusta.
Ylläpitäjän vika varmaan että omaan palveluun murtauduttiin, mutta vastuu esim. mahdollisista vaihngoista joita käyttäjien salasanojen avulla tehdystä toiminnasta aiheutuu ei varmasti kuulu ylläpitäjille vaan käyttäjille jotka ovat käyttäneet samoja salasanoja muuallakin.
Noin muuten aiheesta, ei ihan joka paikkaan tarvitse välttämättä eri salasanoja, vaan vain paikkoihin joissa salasanan vääriin käsiin joutumisesta voisi olla oikeast haittaa. Esim. siitä että joku saa haltuunsa salasanan jota käytän useillakin random yhteisöforumeilla ei juuri voisi olla haittaa. Pahin tilanne mitä siitä voisi aiheutua että joku postaisi tunnuksillani tai poistaisi ne tms. pieni haitta siis.
Mutta tärkeimpiä salasanoja, kuten sähköpostin jne. en käyttäisi missään muualla. Eli ei eri salasanoja kymmeniä tarvita ja silti voidaan välttyä suuremmilta haitoilta.
Niin kauan kuin ylläpitäjien tiedot ovat täällä tasolla. Ei tapahdu mitään parannusta.
----
Kyllä, olen aivan samaa mieltä.
Luulisi, että Huuto.net olisi jo kokonsa ja historiansa takia kehityksen / tietoisuuden kärkijoukossa Suomen mittakaavassa katsottuna.
Saa nähdä milloin kuulemme ikäviä uutisia ko. suunnalta, nimittäin luulisi Huuto.netin kiinnostavan näitä tietomurtojen tekijöitä. Varsinkin jos tuo "gray hat" nimimerkin kommentti ko. tekijöiden tarkoitusperistä on totta.