Password managerit ja salasanat

Tetra

Ylipäällikkö
Lahjoittaja
ELSO 2.0
Suosittelen password managerien eli salasananhallintaohjelmien tai salasanamanagerien käyttöä.

Idea näissä on yksinkertainen: opettelette ulkoa jonkin vahvan salasanan, jolla pääsette salasananhallintaohjelmaan, josta löytyy muut salasanat. Salasanamanageri on siis ikään kuin kassakaappi, josta löytyy muut salasanat. Kaikkia salasanoja ei toki ole mikään pakko tälläiseen "salasanaholviin" laittaa. Monelle se olisi kuitenkin tietoturvallisuutta parantava ratkaisu.

fEeq63<JXr5$[(nY2O{{Ul"US1:s}7=ple6@WimQHZu3<@"ovKBYz]"u^Lcn<r?Eih+6%rqbS{Yr8Y2oUH=XI9AWRw0$9Tv-jjW.?Gb6H[FeLj3&`?#%TH4WJ1}d]I!SM~*5,}M)ot-w3LF<P/-t@z<m{-f^F<d4'J{k^r}Qj|jXI7;g(\oIF#=J&v(xhJrj-)"Px1yS{Yr#6PTce=@<wOqH#oH8Dx?<#QBMAO6Xi]8GN!S5+3FV%{TpE/+Cl]k))lGyAs&elt"lc<"B@

Siinä olisi erinomainen salasana. Ei sisällä mitään identifioivia tietoja kuten osoitetta tai toista nimeä, eikä takuulla ole yleinen salasana. Pitkä ja sisältää erilaisia merkkejä. Jos joku haluaa raa'alla voimalla tuon murtaa, niin hän saakin sitten odotella muutaman hetken ennen kuin tuo on murrettu.

Harmi vaan, että tuollaisen muistaminen onkin astettava vaikeampi rasti. Ja lisäksi, kun jokaisella sivulla kannattaa käyttää omaa salasanaa, vastaavia salasanoja pitäisi muistaa useampi... Mahdoton homma.

Tässä kohti kehiin astuu salasananhallintaohjelma. Ei opetella useita tälläisiä rimpsuja. Opetellaan yksi vahva salasana, mitä käytetään vain salasananhallintaohjelmassa. Tämä salasana, master password, pitää sitten opetella kunnolla!

Tälläisen pääsalasanan voi luoda vaikka noppawarella. Heitetään noppia, kirjataan luvut ylös, ja katsotaan listasta mitä sanoja nämä numerot vastaa. Tällöin muodostuu satunnaisten sanojen rimpsu. Satunnaisuus on tärkeää! Sanojen käytössä on se hyvä puoli, että ne on helppo muistaa, mutta kun satunnaisesti valittuja sanoja on tarpeeksi, ne muodostavat silti vahvan salasanan. Esimerkiksi seitsemän satunnaisen sanan jono on vahva salasana. Seitsemän satunnaisesti valitun sanan rimpsun pitäisi olla murtamaton tiedossa olevalla nykyteknologialla. Jos sanat valitaan vaikka 7776 sanan luettelosta, on tuloksena salasanarimpsu, joka on valittu 7776^7 erilaisen vaihtoehdon joukosta. Se on jo aika iso joukko, nimittäin 1 719 070 799 748 422 591 028 658 176. Mikäli Edward Snowdeniin on luottamista, tälläisen murtaminen veisi NSA:ltakin miljoonia vuosia, joten peruskäyttäjälle tämä lienee riittävän turvallinen salasana.

Tietenkään tätä noppametodia ei tarvitse käyttää salasanan luomiseen, se on vain yksi hyvä tapa luoda hyvä salasana. Pääsalasanan päättää jokainen itse ihan miten haluaa.

Esimerkiksi Lastpass on suosittu ja ilmainen.

Omalla vastuulla sitten. Jokainen vastaa itse tietoturvastaan.

Comments?

 

YJT

Kapteeni
Itse olen käyttänyt jo jonkin vuoden salasanojen hallintaohjelmaa. Töissä on "joitakin" salasanoja erilaisiin rekistereihin joissa kaiken lisäksi voi olla erilaisia vaatimuksia salasanoille niin, että yksi salasana ei käy kaikkiin rekistereihin (eikä se olisi tietoturvan kannalta järkevääkään). Lisäksi tuonne voi tallentaa kaikenlaisia ei-tärkeitäkin juttuja kuten erilaisten foorumeiden salasanat.

Lisäksi olen laittanut tuonne talteen kaikkea muutakin, kuten puhelinten, fillareiden ym sarjanumerot, jotka olisi hyvä olla tallessa varkauden varalle. Ja toki sinne voi laittaa talteen myös kaikenlaista muuta muistettavaa kuten läheisten henkilötunnukset jne koska niitä ei välttämättä muista stressaavassa tilanteessa.

Oma ohjelmani on aWallet cloud password manager (Synpet). Siitä on ilmainen versio joka tallentaa vain mobiililaitteen muistiin, ja maksullinen joka tallentaa myös pilveen, mikä on kätevää jos se puhelin hukkuu johon tiedot on tallennettu. Maksullinen versio ei ollut kovin kallis, ja on mielestäni käytettävyydeltään hyvä: hyvät hakuominaisuudet, tiedot voi tallentaa eri kategorioihin joita voi luoda lisää, samoin tallennettavia tietoja voi muokata.
 

Tetra

Ylipäällikkö
Lahjoittaja
ELSO 2.0
Täältä löytyy Diceware salasanageneraattori, myös suomenkielisillä sanoilla. Mikään pakko generaattoria ei ole käyttää, itseasiassa mikäli on huolissaan turvallisuudestaan kannattaa heittää fyysistä noppaa. Kiinnostavin seikka sivulla on laskuri, joka laskee kuinka pitkään salasanan murtamiseen menee mikäli salasanoja arvataan biljoona sekuntissa (Edward Snowdenin kommentin perusteella jotkut epäilevät NSA:n kykenevän tälläiseen tahtiin - voi olla ali- tai yliarvioitu*) ja salasana löytyy puolesta välistä listaa. Esimerkiksi kahdeksasta satunnaisesta sanasta koostuvasta salasanasta sanotaan näin:

"There are 8 words in your password, resulting in ~103.40 bits of entropy (~12.92 bits/word, ~10 bits/letter, and ~5.16 bits/symbol). That many words equates to a total keyspace of ~13,367,494,538,843,734,000,000,000,000,000 possible phrases (7776^WordsInPhrase). An adversary might get lucky and guess your phrase on the first try, though the chances of that happening are very slim. On the other hand, the brute-force attacker might be forced to try all of the keys in the keyspace to finally find that the last guess was the correct one. On average, it takes trying 50% of all phrases in the keyspace to find your phrase. The time it takes to discover your passphrase is based on how many guesses per second your attacker can muster. At the lower end in 2016 a small cluster of GPU's have demonstrated the ability to crack ~350 billion hashes/second. A nation state actor like the NSA may be able to perform quadrillions/second. Conservatively assuming a professional adversary can guess passwords at the rate of a 1,000,000,000,000 keys/second (Edward Snowden suggests being prepared for a Trillion guesses per second), an exhaustive brute-force search on 50% of the total keyspace might take:

~211,940,235,585 years"

*NSA nyt tietysti on vain mielenkiintoinen kuriositeetti, palstalaisten uhkakuvat lienevät paljon pienemmän tason tekijät. :p
 

lihapakaste

Alikersantti
Täältä ääni Last Passille. Minulla on käytössä maksullinen versio, joka toimii myös mobiililaitteissa ja mahdollistaa kaksivaiheisen tunnistautumisen. Hintakaan ei ole paha 15€/vuosi tjsp. Yhden salasanan ja dongelin takana on kaikki käyttäjätilit, joihin kaikkiin on generoitu pitkät ja vahvat salasanat.
 

YJT

Kapteeni
Mun mielestä 15 euroa / vuosi on paha hinta; se voisi olla OK kertamaksuna, mutta vähän tyyriinpuoleinen joka vuosi maksettavaksi. Toki jos on selvästi muita parempi, niin voi olla perusteltu hinta.
 

ctg

Ylipäällikkö
Käytin pwmanagereita ekaa kertaa ysärillä. Silloin nuo oli admin työkaluja. Tavallinen kansalainen edes ajatellut moista. Tarkoitus on että käytät sitä, ja luotat sen suojaan kuin muistiisi taikka kykyysi tehdä vaikeita salasanoja. Mutta jos ei pysty taikka halua niin yksi password, mikä on pitkä ja käyttää hyväkseen erikoismerkkejä kuin sellainen mikä on paljas sana.

Kaikki voidaan murtaa, sille ei voi mitään mutta salasanan haltija voi tehdä siitä todella vaativan hyvin pienellä vaivan näöllä. Tiedän sysadminin että toisille sen hanskaaminen on vaativaa ja monimutkaista, siksi iso osa puolustuksesta on niiden konffauksien ja päivitysten vääntö taustalla.

Itse suosin LastPassia koska se on helppo käyttöinen, ja vaikka heillä on ollut ongelmia menneisyydessä niin he ovat hoitaneet hommansa ja tiedotuksen nopeasti. Kaikille pilvipalvelu ei kuitenkaan ole käytettävissä, joten siksi oma softa pwmanageri voi olla ainoa keino hanskata asioita.

Itse pitäisin sitä salatun kovalevy osion sisällä.
 

Sardaukar

Ylipäällikkö
Lahjoittaja
Yleensä käytän lauseita, joissa sanat on erotettu toisistaan numeroilla tai erikoismerkeillä.

Aikoinaan yksi oli, noin esimerkkinä: "Mennäänpäs%Tuon!Suon(Yli*Että@Heilahtaa67
 

PSS

Kenraali
Yleensä käytän lauseita, joissa sanat on erotettu toisistaan numeroilla tai erikoismerkeillä.

Aikoinaan yksi oli, noin esimerkkinä: "Mennäänpäs%Tuon!Suon(Yli*Että@Heilahtaa67
Äitini oli työpaikassa, jossa salasana oli mitaltaan kiinteä, ei vaatinut erikoismerkkejä, mutta piti vaihtaa kerran kuukaudessa. Hän otti lastenlorun alusta vaaditun määrän kirjaimia edestä tekstiä. Kuukauden päästä seuraavat jne.
 

ctg

Ylipäällikkö
Äitini oli työpaikassa, jossa salasana oli mitaltaan kiinteä, ei vaatinut erikoismerkkejä, mutta piti vaihtaa kerran kuukaudessa.
Hyi helvetti. Dictionary attack hakee juuri näitä sanoja sieltä koodien välistä. Paljaat sanat aukeaa todella nopeasti, varsinkin jos hyökkääjällä on halussaan kunnollinen rainbow kirjasto. En tykkää yhtään tuosta turvapolitiikasta, koska se ei ole turvallinen. Omien mittauksien kanssa paljas salasana alle 15 merkkinen aukeaa alle viiden minuutin. Rainbow kirjaston kanssa alle minuutin. Joten jos käytössä on vain kirjaimia niin salasanan tulisi olla vähintään 30 merkkiä. Meillä on helpotus kun voidaan käyttää ääkkösiä.
 

PSS

Kenraali
Hyi helvetti. Dictionary attack hakee juuri näitä sanoja sieltä koodien välistä. Paljaat sanat aukeaa todella nopeasti, varsinkin jos hyökkääjällä on halussaan kunnollinen rainbow kirjasto. En tykkää yhtään tuosta turvapolitiikasta, koska se ei ole turvallinen. Omien mittauksien kanssa paljas salasana alle 15 merkkinen aukeaa alle viiden minuutin. Rainbow kirjaston kanssa alle minuutin. Joten jos käytössä on vain kirjaimia niin salasanan tulisi olla vähintään 30 merkkiä. Meillä on helpotus kun voidaan käyttää ääkkösiä.
1) Tämä oli reilusti yli 20 vuotta sitten.
2) En sanonut, että hän olisi kirjoittanut sanoja "oikein".
...
:)
 
  • Tykkää
Reactions: ctg
Top