Password managerit ja salasanat

Tetra

Respected Leader
BAN
Suosittelen password managerien eli salasananhallintaohjelmien tai salasanamanagerien käyttöä.

Idea näissä on yksinkertainen: opettelette ulkoa jonkin vahvan salasanan, jolla pääsette salasananhallintaohjelmaan, josta löytyy muut salasanat. Salasanamanageri on siis ikään kuin kassakaappi, josta löytyy muut salasanat. Kaikkia salasanoja ei toki ole mikään pakko tälläiseen "salasanaholviin" laittaa. Monelle se olisi kuitenkin tietoturvallisuutta parantava ratkaisu.

fEeq63<JXr5$[(nY2O{{Ul"US1:s}7=ple6@WimQHZu3<@"ovKBYz]"u^Lcn<r?Eih+6%rqbS{Yr8Y2oUH=XI9AWRw0$9Tv-jjW.?Gb6H[FeLj3&`?#%TH4WJ1}d]I!SM~*5,}M)ot-w3LF<P/-t@z<m{-f^F<d4'J{k^r}Qj|jXI7;g(\oIF#=J&v(xhJrj-)"Px1yS{Yr#6PTce=@<wOqH#oH8Dx?<#QBMAO6Xi]8GN!S5+3FV%{TpE/+Cl]k))lGyAs&elt"lc<"B@

Siinä olisi erinomainen salasana. Ei sisällä mitään identifioivia tietoja kuten osoitetta tai toista nimeä, eikä takuulla ole yleinen salasana. Pitkä ja sisältää erilaisia merkkejä. Jos joku haluaa raa'alla voimalla tuon murtaa, niin hän saakin sitten odotella muutaman hetken ennen kuin tuo on murrettu.

Harmi vaan, että tuollaisen muistaminen onkin astettava vaikeampi rasti. Ja lisäksi, kun jokaisella sivulla kannattaa käyttää omaa salasanaa, vastaavia salasanoja pitäisi muistaa useampi... Mahdoton homma.

Tässä kohti kehiin astuu salasananhallintaohjelma. Ei opetella useita tälläisiä rimpsuja. Opetellaan yksi vahva salasana, mitä käytetään vain salasananhallintaohjelmassa. Tämä salasana, master password, pitää sitten opetella kunnolla!

Tälläisen pääsalasanan voi luoda vaikka noppawarella. Heitetään noppia, kirjataan luvut ylös, ja katsotaan listasta mitä sanoja nämä numerot vastaa. Tällöin muodostuu satunnaisten sanojen rimpsu. Satunnaisuus on tärkeää! Sanojen käytössä on se hyvä puoli, että ne on helppo muistaa, mutta kun satunnaisesti valittuja sanoja on tarpeeksi, ne muodostavat silti vahvan salasanan. Esimerkiksi seitsemän satunnaisen sanan jono on vahva salasana. Seitsemän satunnaisesti valitun sanan rimpsun pitäisi olla murtamaton tiedossa olevalla nykyteknologialla. Jos sanat valitaan vaikka 7776 sanan luettelosta, on tuloksena salasanarimpsu, joka on valittu 7776^7 erilaisen vaihtoehdon joukosta. Se on jo aika iso joukko, nimittäin 1 719 070 799 748 422 591 028 658 176. Mikäli Edward Snowdeniin on luottamista, tälläisen murtaminen veisi NSA:ltakin miljoonia vuosia, joten peruskäyttäjälle tämä lienee riittävän turvallinen salasana.

Tietenkään tätä noppametodia ei tarvitse käyttää salasanan luomiseen, se on vain yksi hyvä tapa luoda hyvä salasana. Pääsalasanan päättää jokainen itse ihan miten haluaa.

Esimerkiksi Lastpass on suosittu ja ilmainen.

Omalla vastuulla sitten. Jokainen vastaa itse tietoturvastaan.

Comments?

password_strength.png
 
Itse olen käyttänyt jo jonkin vuoden salasanojen hallintaohjelmaa. Töissä on "joitakin" salasanoja erilaisiin rekistereihin joissa kaiken lisäksi voi olla erilaisia vaatimuksia salasanoille niin, että yksi salasana ei käy kaikkiin rekistereihin (eikä se olisi tietoturvan kannalta järkevääkään). Lisäksi tuonne voi tallentaa kaikenlaisia ei-tärkeitäkin juttuja kuten erilaisten foorumeiden salasanat.

Lisäksi olen laittanut tuonne talteen kaikkea muutakin, kuten puhelinten, fillareiden ym sarjanumerot, jotka olisi hyvä olla tallessa varkauden varalle. Ja toki sinne voi laittaa talteen myös kaikenlaista muuta muistettavaa kuten läheisten henkilötunnukset jne koska niitä ei välttämättä muista stressaavassa tilanteessa.

Oma ohjelmani on aWallet cloud password manager (Synpet). Siitä on ilmainen versio joka tallentaa vain mobiililaitteen muistiin, ja maksullinen joka tallentaa myös pilveen, mikä on kätevää jos se puhelin hukkuu johon tiedot on tallennettu. Maksullinen versio ei ollut kovin kallis, ja on mielestäni käytettävyydeltään hyvä: hyvät hakuominaisuudet, tiedot voi tallentaa eri kategorioihin joita voi luoda lisää, samoin tallennettavia tietoja voi muokata.
 
Täältä löytyy Diceware salasanageneraattori, myös suomenkielisillä sanoilla. Mikään pakko generaattoria ei ole käyttää, itseasiassa mikäli on huolissaan turvallisuudestaan kannattaa heittää fyysistä noppaa. Kiinnostavin seikka sivulla on laskuri, joka laskee kuinka pitkään salasanan murtamiseen menee mikäli salasanoja arvataan biljoona sekuntissa (Edward Snowdenin kommentin perusteella jotkut epäilevät NSA:n kykenevän tälläiseen tahtiin - voi olla ali- tai yliarvioitu*) ja salasana löytyy puolesta välistä listaa. Esimerkiksi kahdeksasta satunnaisesta sanasta koostuvasta salasanasta sanotaan näin:

"There are 8 words in your password, resulting in ~103.40 bits of entropy (~12.92 bits/word, ~10 bits/letter, and ~5.16 bits/symbol). That many words equates to a total keyspace of ~13,367,494,538,843,734,000,000,000,000,000 possible phrases (7776^WordsInPhrase). An adversary might get lucky and guess your phrase on the first try, though the chances of that happening are very slim. On the other hand, the brute-force attacker might be forced to try all of the keys in the keyspace to finally find that the last guess was the correct one. On average, it takes trying 50% of all phrases in the keyspace to find your phrase. The time it takes to discover your passphrase is based on how many guesses per second your attacker can muster. At the lower end in 2016 a small cluster of GPU's have demonstrated the ability to crack ~350 billion hashes/second. A nation state actor like the NSA may be able to perform quadrillions/second. Conservatively assuming a professional adversary can guess passwords at the rate of a 1,000,000,000,000 keys/second (Edward Snowden suggests being prepared for a Trillion guesses per second), an exhaustive brute-force search on 50% of the total keyspace might take:

~211,940,235,585 years"

*NSA nyt tietysti on vain mielenkiintoinen kuriositeetti, palstalaisten uhkakuvat lienevät paljon pienemmän tason tekijät. :p
 
Täältä ääni Last Passille. Minulla on käytössä maksullinen versio, joka toimii myös mobiililaitteissa ja mahdollistaa kaksivaiheisen tunnistautumisen. Hintakaan ei ole paha 15€/vuosi tjsp. Yhden salasanan ja dongelin takana on kaikki käyttäjätilit, joihin kaikkiin on generoitu pitkät ja vahvat salasanat.
 
Mun mielestä 15 euroa / vuosi on paha hinta; se voisi olla OK kertamaksuna, mutta vähän tyyriinpuoleinen joka vuosi maksettavaksi. Toki jos on selvästi muita parempi, niin voi olla perusteltu hinta.
 
Käytin pwmanagereita ekaa kertaa ysärillä. Silloin nuo oli admin työkaluja. Tavallinen kansalainen edes ajatellut moista. Tarkoitus on että käytät sitä, ja luotat sen suojaan kuin muistiisi taikka kykyysi tehdä vaikeita salasanoja. Mutta jos ei pysty taikka halua niin yksi password, mikä on pitkä ja käyttää hyväkseen erikoismerkkejä kuin sellainen mikä on paljas sana.

Kaikki voidaan murtaa, sille ei voi mitään mutta salasanan haltija voi tehdä siitä todella vaativan hyvin pienellä vaivan näöllä. Tiedän sysadminin että toisille sen hanskaaminen on vaativaa ja monimutkaista, siksi iso osa puolustuksesta on niiden konffauksien ja päivitysten vääntö taustalla.

Itse suosin LastPassia koska se on helppo käyttöinen, ja vaikka heillä on ollut ongelmia menneisyydessä niin he ovat hoitaneet hommansa ja tiedotuksen nopeasti. Kaikille pilvipalvelu ei kuitenkaan ole käytettävissä, joten siksi oma softa pwmanageri voi olla ainoa keino hanskata asioita.

Itse pitäisin sitä salatun kovalevy osion sisällä.
 
Yleensä käytän lauseita, joissa sanat on erotettu toisistaan numeroilla tai erikoismerkeillä.

Aikoinaan yksi oli, noin esimerkkinä: "Mennäänpäs%Tuon!Suon(Yli*Että@Heilahtaa67
 
Yleensä käytän lauseita, joissa sanat on erotettu toisistaan numeroilla tai erikoismerkeillä.

Aikoinaan yksi oli, noin esimerkkinä: "Mennäänpäs%Tuon!Suon(Yli*Että@Heilahtaa67
Äitini oli työpaikassa, jossa salasana oli mitaltaan kiinteä, ei vaatinut erikoismerkkejä, mutta piti vaihtaa kerran kuukaudessa. Hän otti lastenlorun alusta vaaditun määrän kirjaimia edestä tekstiä. Kuukauden päästä seuraavat jne.
 
Äitini oli työpaikassa, jossa salasana oli mitaltaan kiinteä, ei vaatinut erikoismerkkejä, mutta piti vaihtaa kerran kuukaudessa.

Hyi helvetti. Dictionary attack hakee juuri näitä sanoja sieltä koodien välistä. Paljaat sanat aukeaa todella nopeasti, varsinkin jos hyökkääjällä on halussaan kunnollinen rainbow kirjasto. En tykkää yhtään tuosta turvapolitiikasta, koska se ei ole turvallinen. Omien mittauksien kanssa paljas salasana alle 15 merkkinen aukeaa alle viiden minuutin. Rainbow kirjaston kanssa alle minuutin. Joten jos käytössä on vain kirjaimia niin salasanan tulisi olla vähintään 30 merkkiä. Meillä on helpotus kun voidaan käyttää ääkkösiä.
 
Hyi helvetti. Dictionary attack hakee juuri näitä sanoja sieltä koodien välistä. Paljaat sanat aukeaa todella nopeasti, varsinkin jos hyökkääjällä on halussaan kunnollinen rainbow kirjasto. En tykkää yhtään tuosta turvapolitiikasta, koska se ei ole turvallinen. Omien mittauksien kanssa paljas salasana alle 15 merkkinen aukeaa alle viiden minuutin. Rainbow kirjaston kanssa alle minuutin. Joten jos käytössä on vain kirjaimia niin salasanan tulisi olla vähintään 30 merkkiä. Meillä on helpotus kun voidaan käyttää ääkkösiä.
1) Tämä oli reilusti yli 20 vuotta sitten.
2) En sanonut, että hän olisi kirjoittanut sanoja "oikein".
...
:-)
 
  • Tykkää
Reactions: ctg
Sinänsä on hyvä, että tietoturva-asioita tuodaan esille, mutta kohtuus kaikessa. Kuka oikeasti luo joka palveluun eri salasanan? Vieläpä vaikeasti murrettavan sellaisen?

Keskivertokansalaisen verkkopalveluiden tileistä ei paljastu mitään todella kriittistä. Lisäksi kaikki vähänkin tärkeämmät palvelut on jo suojattu brute-force hyökäyksiä vastaan C(R)APTCHA:lla sekä muilla järjestelyillä. (Vuosi sitten Google-tililleni yritettiin kirjautua Moskovan alueelta olevasta ip-osoitteesta. Google oli estänyt toiminnan. Valtiollinen vaiko yksityinen, ken tietää, mutta paska yritys, kun ei oltu vaivauduttu käyttämään suomalaista VPN:ää.)

Salasananhallintaohjelmistojen hyöty sitä paitsi katoaa, jos hyökkääjä on päässyt käsiksi salasananhallintaohjelmiston sisältävään tietokoneeseen/kännykkään. Päättäväinen ja resursseja omaava hyökkääjä pyrkisi todennäköisesti nimenomaan tähän.

Keskivertokäyttäjälle suurin riski on ehkä, että jonkin verkkosivuston tietokanta vuotaa ja sama salasana käy myös sähköpostiin. Tätä kautta aukeaa sitten mahdollisuus monien muidenkin tilien kaappaamiseen. Suuri enemmistö hyökkääjistä on kuitenkin taloudellisen hyödyn motivoimia. Ei heitä kiinnosta sotkea mainetta nettifoorumeilla tai postata pomolle kuvia alastomista pikkupojista. He etsivät Paypal-tilien kirjautumistietoja, jotakin rahanarvoista.

Paljon suurempana turvallisuusriskinä näen esimerkiksi avainhallinnan. Se on edelleen luvattoman heikolla tasolla lukuisissa paikoissa. Etenkin yleisavaimet ovat merkittävä riski, mutta myös yhteistyökumppaneille annetut kulkuoikeudet. Vaikka yritys itse huolehtisi hyvin avaimistaan, niin kumppaneiden politiikka on arvaamatonta. Nimimerkillä koskaan ei kuitattu kulkulätkää saaduksi tai palautetuksi, ja työsuhteen päättyessä kävelin vahingossa suuren suomalaisen talousalan yrityksen lätkä taskussa ulos perjantaina eikä kukaan kysellyt perään, vaan itse palautin seuraavana päivänä huomattuani vahingon. Tuskin sillä nyt konesaleihin olisi päässyt, mutta vastaanottoa pidemmälle kuitenkin...
 
F-Secure Key tai Keepass 2.x

Ja kyllä teen nykyisin vahvan salasanan jokaiseen palveluun (20 merkkiä).

Jos käyttää useita laitteita ja haluaa synkronoidun salasanakukkaron, niin F-Secure Key on valinta. Keepassilla pitäisi olla tietokanta jossakin omassa jakopalvelussa, josta sen saa luettua usealla laitteella. Tällöin kannattaa suojata tiedosto jollakin avaintiedostolla, joka tallennetaan vain paikallisesti Keepass sovellusta käyttäville laitteille.

Lisäksi käytän Freedomea kaikilla laitteilla sekä laitekohtaisia palomuuripalveluita. Selaimessa käytän Private-moodia jos vähänkin epäilyä sivuston laadusta (myös jos etsin halpoja lentolippuja ja vertailen hintoja). Tiedon louhintaan käytän yhä enemmän Duck Duck Go palvelua. Kännykässä kaikki Facebook sovellukset poistettu ja pakotettu pois päältä ja Facebookia käytän vai selaimella. Yksityisyysasetukset pyritty viemään tiukiksi. Googlesta paikka ym. historiatiedot poistettu käytöstä ja kaksivaiheinen tunnistus käytössä lähes aina, kun se on mahdollista. Ja kännykässä päällä etätyhjennysmahdollisuus. Käytössä myös Signal puhelimessa.
 
Keeper on toiminut loistavasti. Suosittelen. Saa luotua jokaiseen palveluun oman salasanansa. Itse keeperiin luo vahvan salasanan.
 
Bitwardenia olen käytellyt. Se on ymmärtääkseni avoimen lähdekoodin sovellus, vaikka noista asioista en mitään ymmärräkään...
 
Back
Top