Ads 468x60px

perjantai 16. lokakuuta 2015

Unohdin salasanani ja kuinkas kävikään...

Ajattelin mennä kokeilemaan tänään uutta liikuntalajia. Ajatus on ollut mielessäni jo pidemmän aikaa, ja olin rekisteröityt käyttäjäksi jo keväällä. Tunnille ilmoittautuminen edellytti sisäänkirjautumista ja olin jo ehtinyt unohtaa salasanani. Syötin sähköpostiosoitteeni unohtuiko salasanasi -kenttään ja hetken kuluttua sainkin sähköpostia, jossa minulle ilmoitettiin salasanani. Siis salasana, jonka olin keväällä järjestelmään syöttänyt ja johon pitäisi olla vain minulla pääsy.

Salasanani on siis ollut talletettuna joko selkokielisenä tai salattuna. Kumpaankin liittyy heikkouksia. Selväkielisenä talletetun salasanan pystyy lukemaan kuka tahansa kenellä on pääsy tietokantaan. Salattu salasanakaan ei ole hyvä ratkaisu, sillä selkokielisen salasanan saa selville kuka tahansa kenellä on pääsy tietokantaan ja salausavaimeen. Ongelmana on se, että salasana on ollut talletettuna muotoon, josta se voidaan johtaa selkokieliseen muotoon. Suositeltu tapa tallettaa salasana on lisätä siihen käyttäjäkohtainen suola ja laskea siitä tiiviste käyttäen vahvaa tiivistealgoritmia, kuten SHA-256. Suolan ansiosta kahdelle samalle salasanalle tulee eri tiiviste, eikä helponkaan salasanan murtaminen onnistu järkevässä ajassa. Tarkoituksena on tallettaa salasanat siten, että salasanatiivisteet haltuunsa saanut hyökkääjä ei saa niistä selvitettyä selkokielisiä salasanoja.

Onneksi en ole käyttänyt liikuntakeskuksen järjestelmään talletettua salasanaa muissa palveluissa. Vaikka joku lukisi salasanani tietokannasta, ei hän pääse sillä autentikoitumaan minuna muihin palveluihin. Moni käyttäjä kuitenkin käyttää samoja salasanoja useissa palveluissa ja salasanojen vuotaminen voi aiheuttaa käyttäjän kannalta huomattavia vahinkoja.

Ei kommentteja:

Lähetä kommentti