Pöhkö salasana on suuri riski
22.3.2010 13:20 Huolimattomasti valitut salasanat vaarantavat lukuisten suomalaisten yritysten ja organisaatioiden tärkeät tiedot. Kiusalliseksi asian tekee se, että moni tietää pöhkön salasanan olevan riski. Tietokoneen käyttäjä menee aina yli siitä, missä aita on matalin, sanoo asiantuntija.
Viikonloppuna kohuttiin taas nettihyökkäyksistä. Sdp:n puheenjohtajan Jutta Urpilaisen sekä puolueen eduskuntaryhmän puheenjohtajan Eero Heinäluoman verkkosivut sotkettiin asiattomuuksilla.
Mielenkiintoiseksi tapauksen tekee se, että hyökkääjien työtä helpotti ilmeisesti ainakin Urpilaisen tapauksessa heikko salasana.
Verkon keskustelupalstoilla liikkuneiden viestien ja kuvakaappausten mukaan hyökkääjät pääsivät hallinnoimaan Urpilaisen sivuja syöttämällä ylläpitotyökaluun lyhyen suomalaisen nimen, joka toimi sekä ylläpitäjän käyttäjätunnuksena että salasanana.
Sivut suunnitelleen viestintätoimisto St. Hurmoksen toimitusjohtaja Johannes Kuutsa ei halua kommentoida tarkemmin hyökkäystä, koska sen yksityiskohtien selvittely on vielä kesken.
– Olemme suunnitelleet sivut kolme vuotta sitten. Sen jälkeen sivusto on luovutettu asiakkaalle, joka on toiminut ylläpitäjänä, Kuutsa kertoo.
Vaikka heikko salasana olisikin helpottanut puoluejohtajan sivuille tunkeutumista, Urpilainen ei olisi ongelmansa kanssa yksin.
Leikiten arvattavat salasanat, kuten 123456 tai oma etunimi, ovat vaiva, johon ei tunnu löytyvän lääkettä. Ei vaikka, helppojen salasanojen kiroista on kirjoitettu maailman sivu.
Marraskuussa ohjelmistoyhtiö CA arvioi, että useat suomalaiset suuryhtiöt noudattavat huonoja käytäntöjä ylläpitäjäkäyttäjien salasanojen hallinnassaan.
Laiska käyttäjä
kaipaa piiskaa
Tietoturvayhtiö Nixun vanhempi tietoturva-asiantuntija Pekka Sillanpää tuntee heikkojen salasanojen ongelman.
Hänelle heikot salasanat eivät ole kuitenkaan yllätys. Sillanpään mukaan tietokoneen käyttäjä menee aina siitä, mistä aita on matalin.
Jos järjestelmä ei ohjaa käyttäjää valitsemaan monimutkaisempaa ja sitä myötä vaikeammin murrettavaa salasanaa, tämä valitsee todennäköisesti vaivattomamman salasanan.
– Järjestelmä ei saisi päästää läpi helppoja salasanoja, Sillanpää sanoo.
Tietoturvallisen järjestelmän tulisi muun muassa asettaa minimi- ja maksimirajat käyttäjän salasanalle.
Tämän lisäksi järjestelmän tulisi vaatia erilaisten merkkien, kuten isojen ja pienten kirjaimien, numeroiden ja erikoismerkkien käyttöä. Salasanaksi ei myöskään koskaan saisi hyväksyä käyttäjätunnusta. Salasanojen tulisi vanhentua automaattisesti, eikä saman salasanan kierrätystä tulisi sallia.
Sillanpään mukaan tietoturvallisen järjestelmän luoja joutuu tasapainottelemaan helppokäyttöisyyden kanssa. Jos järjestelmä on liian monimutkainen, käyttäjät hermostuvat.
Muistaminen
vaikeaa
Oman mausteensa salasanasoppaan tuo salasanojen lukumäärä. Tavallisella kansalaisella on nykyään aimo tukku salasanoja, jotka käyvät eri palveluihin.
Sillanpää kehottaa miettimään esimerkiksi verkkopalveluiden kohdalla, kuinka paljon niihin luottaa. Tuikituntemattomalle sivustolle rekisteröidyttäessä kannattaa käyttää mieluummin jotain muuta kuin oman työkoneen salasanaa.
Salasanojen muistamiseksi on kehitetty järjestelmiä ja muistisääntöjä. Salasana voi perustua esimerkiksi lempirunossa esiintyvien sanojen ensimmäisiin kirjaimiin. Yleispätevää neuvoa on vaikea antaa.
– Kaikki, mikä helpottaa muistamista, auttaa, Sillanpää sanoo.
Tärkeää kuitenkin on, että salasana näyttää satunnaiselta, eikä löydy suoraan sanakirjasta.
Viime vuoden lopussa tietoturvayhtiö F-Secure antoi oman vinkkinsä salasanojen muodostamiseen.
F-Secure suositteli käyttämään kahdesta osasta muodostuvia salasanoja. Yhtiön mallissa jokainen salasana sisältää ulkoa muistettavan pätkän.
Tämän lisäksi jokaisen järjestelmän salasanaan lisätään muutama siihen liittyvä satunnainen merkki. Koska salasanan tärkein osuus on omassa mielessä, satunnaiset merkit voi kirjoittaa muistiin esimerkiksi erilliselle paperille, yhtiö opasti.
Aleksi Moisio
aleksi.moisio@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:47 Facebook-kaverin poisto johti kaksoismurhaan
- 16:26 Googlen lompakko hakkeroitiin helposti
- 16:15 Google pystyttää kilpailijaa Dropboxille
- 14:05 Alcatel-Lucent lopettaa työpaikkoja
- 14:02 Pirate Bay uhmaa muistitikulla estoja
- 14:00 Comptel puolittaa osingon
- 13:41 Kodak keskittyy kuvien tulostamiseen
- 13:37 Yle: Piraattiradio häiriköi Turun seudulla
- 12:37 Windows XP:lle harvinaisen vähän korjauksia
- 10:03 Itsemurhatehtaan johtajalta vohkittiin salasana
- 09:48 Googlen ensimmäinen työntekijä lähtee
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 07:00 FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 09:22 Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Viisi vuotta sitten
Turvaekspertti keplotteli kyberpuolustusrahat itselleen
10.02.2007 Yhdysvaltain kansallisen turvallisuusviraston NSA:n (National Security Agency) entinen työntekijä on jäänyt kiinni valtion kyberpuolustukseen tarkoitettujen varojen ohjaamisesta laittomasti omalle yritykselleen.
Kolme vuotta sitten
Google varmuuskopioi puhelimen tiedot
10.02.2009 Google julkaisi beta-version Sync-palvelusta, joka pitää puhelimen ja Gmailin yhteystiedot ajan tasalla.
Taloussanomat
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- SK: Nokia ulkoisti lokakuussa – Accenture jakaa jo eropaketteja 20:59
- Suoraan Wall Streetiltä: "Olen nyt alfauros" 20:24
- Kreikan sopu järkkyi jo: Puoluepomo aikoo äänestää ei 16:22
- Raatoja tulee ravintola-alalla: "Dokaaminen meni muodista" 15:01
- Tämä sana joutui pannaan – Ollila haluaa sen takaisin 15:39
- Erimielisyyksiä osingoista – OP-Pohjola antoi potkut pankkiirilleen 10:07
- USA:ssa luottamus notkahti vielä pelättyäkin enemmän 17:32
- Merkel: Kreikka tarvitsee lisää apua 13:01
- Kreikan poliisi haluaa pidättää EU-virkailijat 17:12
- » Taloussanomat.fi
-
-295 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-216 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-108 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-87 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-76 e
Apple Mac Pro (Xeon 2.8 GHz, 8 GB, 2 TB, OS X), keskusyksikkö
Kommentit (17)
1) kiinteä aina vakiona pysyvä osa (7 merkkiä, yksi numero ja yksi erikoismerkki
2) Vaihtokuukausi kirjaimin (pituus vaihtelee, ensimmäinen merkki isolla kirjaimella)
3) Vuosiluku kahdella numerolla
Tällä hetkellä salasanan pituus on 14 merkki, ja seassa on siis erikoismerkkejä, numeroita ja isoja kirjaimia. Erittäin helppo muistaa, paitsi muutama päivä vaihtamisen jälkeen. Pidän salasanaani myös turvallisena.
Erilaisilla nettisaiteilla standardi on hiukan toinen, mutta se alkaa kohteen domain-nimellä, siis vaikkapa "hotmail" ja sitten se päättyy kaikilla saiteilla yhteen ja samaan kiinteään osaan, jossa on numeroita ja kirjaimia. Kiinteä osa on kymmenen merkkiä pitkä. Tuo on erittäin helppo muistaa ja salasanat ovat takuulla riittävän pitkiä ja monimutkaisia.
Homma ei ole ollenkaan niin vaikeaa kunhan sopii itsensä kanssa millaista salasanapolitiikkaa alkaa käyttämään ja vaihtaa kaikki (tai ainakin suurimman osan) vanhat salasanat uuden standardin mukaisiksi. Hommassa menee vartista muutamaan tuntiin, eikä enää tarvitse lappuja lueskella.
Suurimmassa osassa on käytössä kohtuu sama salasana, ikävä kyllä. En vain tiedä mitään keinoa hallita noita jos kaikki olisivat jotain eR5¤#"#Cif03Vd=?2} -tyyppisiä.
Mihinkää tietokoneohjelmaan en noita halua laittaa, vaan pitäisi varmaan vain ostaa joku kassakaappi >
Yksinkertainen esimerkki.
salasana:
abcd
Siirros yhdellä aakkosissa oikeaan, ja siirroksen jälkeen salasana on :
bcde
Muuten pärjää pelkällä "Apple".
Turha noista on vaikeita tehdä kun ei ole mitään tarvetta.