Ads 468x60px

torstai 7. kesäkuuta 2012

Salasanojen turvallisempi hallinta

Jälleen kerran on suuri määrä salasanoja vuotanut verkkoon - tällä kertaa LinkedIn-palvelusta. Vuoto on poikkeuksellisen suuri, vuodetussa tiedostossa on yhteensä yli 6,4 miljoonaa tiivistettä. Vuotaja ei ole kuitenkaan julkaissut käyttäjätunnuksia eli käytännössä uhrien sähköpostiosoitteita. Ei liene kuitenkaan kovin villi arvaus, että myös tunnukset ovat alkuperäisen hyökkääjän käsissä.

KPMG:n kansainvälisten kontaktien mukaan erilaisia kalastelusähköposteja on myös lähetetty. Käytännössä niissä yritetään ohjata käyttäjä väärälle salasananvaihtosivulle. LinkedIn on kertonut lähettävänsä sähköpostia uhreille. Näissä aidoissa posteissa ei kuitenkaan ole linkkejä; ainoastaan ohjeet kuinka salasana vaihdetaan turvallisesti.

Näistä vuodoista olisi syytä oppia muutama tärkeä seikka. Ensimmäisenä peruskäyttäjille muutama vinkki:

  1. Käytä eri palveluihin eri salasanaa. Erityisesti kriittisiin paikkoihin ei saa käyttää samaa salasanaa. Näitä ovat esimerkiksi työsalasanasi ja oman sähköpostin salasana.
  2. Käytä laadukkaita salasanoja. Laadukas salasana voi olla joko riittävän pitkä merkkijono, jossa on pieniä ja isoja kirjaimia sekä numeroita tai erikoismerkkejä. Toinen vaihtoehto on tunnuslauseen käyttö.
  3. Mikäli käytät jotakin keskitettyä salasanojen hallintaratkaisua, huolehdi pääsalasanan turvallisuudesta erityisellä tarkkuudella.

Palvelun ylläpitäjän on luonnollisesti pidettävä huolta siitä, että palvelu on turvallinen eikä salasanatiivisteet vuoda. Vuodon varalta
  1. Käytä hyvää, tarkoitukseen sopivaa, tiivistealgoritmia. Tällaisia ovat esimerkiksi bcrypt ja PBKDF2. Älä käytä md5:sta tai SHA-1:stä, sillä niitä vastaan voi hyökätä helposti esilasketuilla tiivisteillä.
  2. Käytä aina suolausta salasanojen yhteydessä.
  3. Huolehdi palvelun tietoturvasta, jotteivat tiivisteet joudu vääriin käsiin :)

Vaihtoehtoja salasanojen tallentamiseen

Jos sinulla on vaikeuksia muistaa salasanoja niihin lukemattomiin palveluihin mihin olet kirjautunut. Ulkoista ongelmasi ja käytä ohjelmistoa salasanojen hallinnointiin.

Yksinkertaisin esimerkki tästä on salattua tekstitiedosto jossa on listattuna kaikki palvelusi, niiden tunnukset ja salasanat. Sinun tarvitsee muistaa vain tekstitiedoston salausavain. Tämä ei kuitenkaan ole kovin käytännöllistä ja usein ongelmaksi muodostuu, että salattu tekstitiedosto on jatkuvasti avoinna koneella. Tällöin esimerkiksi haittaohjelmat pääsevät siihen käsiksi.

Jos olet helppokäyttöisyyden ja turvallisuuden kannattaja, on suositeltavaa käyttää monipuolisempia työkaluja.
Esimerkkinä Lastpass-ohjelmisto joka integroituu selaimeesi ja kirjautuessasi palveluun sisään sinulle lähetetään salasanasi salattuna. Sinun salasanallasi puretaan salaus ja tämän jälkeen vieraillessasi esimerkiksi LinkedIn-sivustolla Lastpass täyttää tunnistautumiskentät puolestasi.

Viimeisenä bonuksena Lastpassiin on sisään rakennettu salasana-generaattori jolla voit tehdä helposti laadukkaita salasanoja.

Useimmat ohjelmistot ovat myös synkronoitavissa monelle koneelle ja alustalle. Näin voit käyttää samaa ratkaisua usealla työasemalla ja esimerkiksi älypuhelimessasi. Lastpass toteuttaa tämän pilvipalveluna. Mikäli Internet-yhteyttä ei ole saatavilla, on siinä myös paikallinen välimuisti.

Vastaavia vaihtoehtoja on monia, tässä muutama esimerkki:
1password
KeePass

Salasanojen tallentamisesta:
http://throwingfire.com/storing-passwords-securely/

-AnttiA & Tommi




3 kommenttia:

Tuomo kirjoitti...

Hashin iterointi on myös hyvä kikka. OWASP suosittelee 64000 iteraatiota.

https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

Mika Laaksonen kirjoitti...

Ongelmahan noissa palveluissa, kuten Lastpass, on se, että jos ne murretaan, niin sitten menee kaikki. Toisaalta se on ihan sama tilanne, kuin jos joka palvelussa on sama salasana ja yksi niistä palveluista murretaan.

Kaipa se joskus on hyvä olla kaikki munat samassa korissa...

Antti Alestalo kirjoitti...

Vielä ovelampi kikka on muuttaa iteraation määrää joka kirjautumisella. Esimerkiksi tiliä luodessa käytetään (kovakoodattua, salaista) perusmäärää. Tämän jälkeen pidetään kirjaa käyttäjän kirjautumiskerroista ja lisätään se perusmäärään.

Ei tämäkään tietenkään estä tiivisteiden murtamista, mutta ainakin vaikeuttaa sitä huomattavasti.

Lähetä kommentti