Suomalaisten käyttäjätunnuksia ja salasanoja vuotanut jakoon

[Tero Kankaanperä]

CERT-FI, Viestintäviraston verkon tietoturvauhkien seurantayksikkö, julkaisi myöhään lauantai-iltana varoituksen, että kymmenien tuhansien suomalaisten käyttäjätunnukset ja salasanat joihinkin verkkopalveluihin ovat jaossa netissä. Erityisesti yhteisöpalveluiden kuten IRC-gallerian käyttäjiä kehotetaan vaihtaamaan salasanansa. Yleisohjeena muistutetaan, että samaa salasanaa ei tule käyttää useammassa palvelussa ja että salasanan tulisi olla riittävän pitkä (yleensä vähintään 8 merkkiä) ja kyllin monimutkainen (kirjaimia, numeroita, väli- ja erikoismerkkejä). Salasanan ei myöskään tulisi olla mikään yksittäinen nimi tai sanakirjasta löytyvä sana, koska nämä on myös helppo teknisesti murtaa.

Alkuperäinen CERT-FI varoitus: http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html

[Vieras]

miten helkkarissa tällänen on edes mahdollista!!!!

[Tero Kankaanperä]

Varsin helposti ja monestakin syystä. Tässä tapauksessa on kysymys ilmeisesti esimerkiksi tätäkin foorumia pyörittävän avoimen lähdekoodin phpBB-foorumin haavoittuvuuksista. EN NYT TARKOITA ETTÄ SETA FOORUMISSA OLISI VUOTOJA! Tarkoitan sitä, että tämäkin foorumi pyörii todennäköisesti maailman suosituimmalla ilmaisella yhteisön kehittämällä foorumisoftalla. Näin suositun softan turva-aukkoja etsitään ja hyödynnetään aktiivisesti ja ne tunnetaankin paremmin. Näin mittavaksi paisuneen projektin kehittäminen taas vastavuoroisesti hidastuu eri syistä ja esim. phpBB:n kolmosversiota on kehitetty kaksi vuotta eikä sitä (ihan) vielä ole julkaistu. TÄMÄ ON VAIN YLEINEN ESIMERKKI.

Asiaa voi kammata vastakarvaankin: jokaisella meistä on käytössään netissä yhdestä kymmeniin jos ei satoihin käyttäjätunnus-salasanaparia. Verkkopankkiin ja kännykkäoperaattorille jokainen on motivoitunut keksimään hyvän salasanan, koska siinä on paljon kiinni. Mutta entä Suomi24, IRC-galleria, Facebook ja muut hömpäksi koetut palvelut? On mahdotonta keksiä turvallista salasanaa jokaiselle palvelulle erikseen kun niitä on näin paljon. Olisi pakko käyttää jotain generaattoria, joka tuottaa ihan silkkaa puppua olevia salasanoja (tyyliin: prF48-XaS). Kukaan ei tällaiseen ryhdy vaikka pitäisi ja siksi tunnuksia on itseasiassa naurettavan helppo murtaa. Sanakirjahyökkäykset, käyttäjän henkilötietojen selvittäminen ja esim. toisen nimen, syntymäaja tai -vuoden tai lemmikin nimen kokeileminen tuottavat usein tuloksia.

[Bluemist]

On mahdotonta keksiä turvallista salasanaa jokaiselle palvelulle erikseen kun niitä on näin paljon.

Mulla on toistaiseksi salasanat riittäneet, vaikka s-posteja on useampi, olen rekisteröityneenä monelle foorumille, ja töissä pitää salasanaa vaihtaa parin kuukauden välein. Tähän on helppo ja toimiva resepti ilman mitään generaattoria. Tämän on varman moni muukin keksinyt, mutta kuvailenpa tässä nyt kun on aihetta:

Valitse kaksi tai kolme sanaa, joilla on sinulle itsellesi joku merkitys - joko listana tai yksinkertaisena lauseena. Ota kaikista sanoista kolme tai neljä ensimmäistä kirjainta. Kirjoita osa kirjaimista isoilla alkukirjaimilla, korvaa muutama kirjain erikoismerkeillä (tai "epäsuomalaisilla" aakkosilla) ja lisää loppuun tai keskelle vaikkapa 2-4 numeroa, jotka eivät ole "123". Jos on "pakko" käyttää vuosiluka, sen voi kirjoittaa vaikka lopusta alkuun.

Esimerkki 1:
"Mummo rakastaa kissoja." (kuvitellaan että kyseisellä mummolla on vaikka viisi kissaa.)
MummRakCis5005

Esimerkki 2:
"Helmikuussa 2005 oli auringonpimennys." (valitaan kirjaimia ja numeroita lauseen lopusta alkuun päin.)
AurPi5002HelmiQ

Koska foorumeita sun muita tosiaan on niin paljon, olen kirjoitellut tunnuksia ja salasanoja paperille. Tiedän että niin ei saisi tehdä, mutta kyseinen paperi on kotona hyvässä tallessa, eikä ulkopuolinen pääse siihen käsiksi murtautumatta kotiini. Ja siinäkään ei lue turhan selvästi mikä salasana tai tunnus on mihinkin tarkoitettu...

Eivät nämä varmaan mitään idioottivarmoja ole, mutta ainakin parempia kuin lemmikkieläinten nimet tai omat syntymäpäivät. Eikä kukaan voi tietää mitä lausetta olet ajatellut, mihin järjestykseen sanat laittanut ja mitä erikoismerkkejä käyttänyt, joten ainakin ihmisaivoilla nuo ovat aika vaikeasti murrettavissa. Omia tunnuksiani/salasanojani ei löytynyt listasta, joten aion jatka samaa käytäntöä. Kritisoida saa mielellään, jos jollakin on vinkki miten saisi keksittyä hankalampia salasanoja jotka kuitenkin olisivat helpommin muistettavissa kuin joku "hdawoG490HISjkliH#.

[Tero Kankaanperä]

Tilannetiedotteiden mukaan näyttää siltä että phpBB:n haavoittuvuudet ovat olleet yksi keskeinen reitti levitettyjen tietojen hankkimiseen siispä lienee paikallaan kehottaa Seta fooruminkin käyttäjiä vaihtamaan salasanansa kaiken varalta.

[LittleKerttu]

Tilannetiedotteiden mukaan näyttää siltä että phpBB:n haavoittuvuudet ovat olleet yksi keskeinen reitti levitettyjen tietojen hankkimiseen siispä lienee paikallaan kehottaa Seta fooruminkin käyttäjiä vaihtamaan salasanansa kaiken varalta.

Ja seta voisi fiksuna organisaationa laittaa forumsofta HTTPS protokollan taakse sekä päivittää reikäinen 2.0.18 viimein tuoreempaan painokseen. Vastuu näissä on kuitenkin palveluntarjoajalla eikä yksittäisellä käyttäjällä.