tiistai 4. kesäkuuta 2013

Vahvat salasanat edelleen turvallisia

MBnet ja Tietokone julkaisivat tänään raflaavan uutisen Hakkeri murtaa salasanat hetkessä. Koska MBnetiin tai Tietokoneeseen voivat kommentoida vain tilaajat (kuka ihme tilaa moisia kamera-/iPad-/tulostintesti -lehtiä?), niin kommentoin täällä.

MBnetin ja Tietokoneen jutussa annettiin esimerkkeinä vahvoista mutta murtuneista salasanoista mm. qeadzcwrsfxv1331 tai Oscar+emmy2. Kieltämättä esimerkit voivat näyttää siltä että ne voisivat olla ns. turvallisia (okei, jälkimmäinen esimerkki ei edes vaikuta turvalliselta). Tarkempi katseltu paljastaa että esimerkkisalasanat ovat nimenomaan heikkoja!

Ensiksikin kaikki ihmisten tekemät kaavat vaikuttavat. qeadzcwrsfxv1331 esimerkissä on selvä heikkous siinä miten esimerkin satunnaisesti valitut merkit valittu. Vaikka salasana täyttää merkkien määrän minimin (16 merkkiä) merkit eivät ole oikeasti satunnaisesti valittuja. Katsopa salasanaa kaksi merkkiä kerrallaan ja vertaa näppäimistöön. Niinpä! Aika kaukana satunnaisesta eikö totta? Toinen salasana Oscar+emmy2 taas on heikko koska siinä on selväkielisiä sanoja ja se on yksinkertaisesti lyhyt.


Millainen on turvallinen salasana?

Tiivistetään vahvan salasanan perusteet tällä kertaa näin:
  1. Salasanassa ei saa olla selväkielisiä sanoja, ns. sanakirjasanoja.
  2. Salasana ei saa sisältää jotain ihmisten helposti noudattamia kaavamaisuuksia, esim. qwerty tai vaikkapa qscwdv sillä molemmat ovat vain eri tavoin peräkkäin näppäimistöltä valittuja merkkejä, ei satunnaisia alkuunkaan. Vältä kaikenlaista muka satunnaista.
  3. Ja tärkein: pituus pitää olla vähintään 16 merkkiä, mielellään 32 tai enemmän!. Ja siis täysin satunnaisesti valittuja merkkejä tyyliin 5lzu­YZQvw­4ls5r­UJI*ddq#­I3&uEa­Sx^W^*J.


Salasanojen hallintaohjelma avuksi

Olen ennenkin kirjoittanut että tällaisia salasanoja ei voi itse millään muistaa, varsinkin kun joka sivustolle tulisi olla erilainen salasana. Eikä näin ole tarkoituskaan, vaan tarvitaan salasanojen hallintaan tarkoitettu ohjelmisto. LastPass on ihanteellinen ratkaisu: se tallentaa tietosi verkkoon, joten tietosi on käytettävissä siellä missä niitä ikinä tarvitsekin, sekä työpöytä-selaimilla että mobiilisti. Verkkoon tallentaminen saattaa kuulostaa pelottavalta, mutta tietosi ovat jo omalla paikallisella koneellasi vahvasti salatussa muodossa (256-bittinen AES), ja tässä muodossa ne tallennetaan myös verkkoon. Pääsalasanaasi eikä mitään muutakaan salaamatonta tietoa ei välitetä missään vaiheessa verkkoon, vaan kaikki tapahtuu paikallisella koneellasi. Edes LastPassin ylläpito ei pääse tietoihisi käsiksi. Tämä on hyvä muistaa sitä ajatellen, että pidät hyvää huolta etkä hävitä LastPassin pääsalasanaa, tai et pääse itse omiin tietoihisi käsiksi.


Moniosatodennus tulevaisuuden pelastaja

Mikä pelastaisi monesti myös huonon salasanan kanssa, olisi moniosatodennus/kaksivaiheinen kirjautuminen. Tällöin sisäänkirjautumiseen vaaditaan myös jatkuvasti muuttuva tieto jonka vain sinä voit tietää. Valitettavasti moniosatodennus on vielä perin harvinaista, esim. Google-tiliin sellaisen voi ottaa käyttöön kuten myös mainioon LastPassiin.


Loppusanat ja haaste

MBnetin uutinen on siis väärässä, jos käytetään oikeasti vahvoja salasanoja. Tietenkin jotain merkitystä on myös sillä, että sivuston ylläpito pitää salasanat turvallisesti tallessa esim. "suolaten" salasanojen tiivisteet. Juttu valitettavasti on myös oikeassa, sillä moni käyttää luvattoman heikkoja salasanoja. Jos salasana näyttää vaikealta, se ei vielä tee sitä oikeasti vahvaa.

Todistukseksi pitkän ja satunnaisia merkkejä sisältävän salasanan voimasta laitan tähän suolaamattoman MD5-tiivisteen pitkästä salasanasta: b01b8c61a267a8394b57073213381225. Nyt vain purkamaan sitä. Voin vakuuttaa, ettei löydy Rainbow-taulukoista, joten raakaa laskentatehoa peliin vain. Kannattaa valjastaa useampi näytönohjain. Jos saat tämän perusteella purettua salasanan vaikka seuraavan 5 vuoden aikana, ilmoita ihmeessä minulle, saat mainetta ja kunniaa sekä myönnän olleeni väärässä.


Linkkejä

Ei kommentteja: