tiistai 5. marraskuuta 2013

Verotilin insinööriturva turhaa käyttäjän kiusaamista

Verottaja avasi muutama vuosi sitten palvelun, jossa yritykset voivat hallita veroluonteisia maksujaan. Rekisteröidyin käyttäjäksi ja valitsin 8-merkkisen salasanan, aivan kuten pyydettiin.

Tänä vuonna tuli ilmoitus, että tietoturvan parantamiseksi salasanojen vaatimuksia kiristetään. Niissä pitää jatkossa olla isoja ja pieniä kirjaimia sekä numeroita. Kun en tehnyt muutosta ajoissa, en tänään enää päässyt hallinnoimaan yritykseni maksuja. Jouduin käyttämään aikaani päästäkseni salasanojen hallintaan ja luomaan uuden, vaatimukset täyttävän salasanan.

Episodi on hyvä esimerkki siitä, miten insinöörien käsitys tietoturvasta on kaukana arjen todellisuudesta. Ja IT-osastot ovat täynnä insinöörejä (kuten minäkin). Ei ihme, että meillä riittää turvaongelmia. Tietoturvassa teoria ja käytäntö ovat usein kaksi eri asiaa.

Se, onko kahdeksan merkin salasanassa pelkkiä pieniä kirjaimia vai myös isoja ja numeroita, ei faktisesti vaikuta turvallisuuteen mitenkään. Voi käydä jopa niin, että kiristetyt vaatimukset pakottavat kirjoittamaan salasanan paperille tai helpottavat sen unohtamista, jolloin kokonaisvaikutus tietoturvaan on negatiivinen.

Salasanaohje on jo itsessään hieman koominen:

Salasanaohje viraston malliin.

"Vältä salasanojen kirjoittamista ylös. Jos kuitenkin teet niin..." Heh.

Jos salasanan minimipituus on kahdeksan merkkiä, sen arvaamisen kannalta on täysin yhdentekevää onko isoja kirjaimia ja numeroita vai ei. Vähintään kahdeksan merkin salasanan arvaaminen on täysin mahdotonta. Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia). Mahdollisia lottorivejä on vain 15 380 937 kappaletta. On siis noin 24 532 kertaa todennäköisempää voittaa lotossa kuin arvata pelkistä pienistä kirjaimista koostuva kahdeksanmerkkinen salasana (ok, salasana ei ole satunnainen, vaan yleensä jokin oikea sana, mutta silti veikkaisin mieluummin lottoa kuin salasanaa).

Ainoa tilanne, missä numeroiden ja isojen kirjainten vaatimisella on merkitystä liittyy brute-force-hyökkäykseen. En kokeillut asiaa mutta oletan, että tili menee lukkoon jo alle kymmenen väärän arvauksen jälkeen. Jos yrityksiä vielä jatketaan, ennen pitkää poliisi kolkuttaa ovelle. Brute-force ei toimi online-palveluissa.

Brute-force voi tulla kyseeseen vain, mikäli hyökkääjä murtautuu itse palveluun ja varastaa sen suojatun käyttäjätietokannan. Tietokone pystyy kokeilemaan miljoonia vaihtoehtoja sekunnissa ja silloin kahdeksan merkin mittaiset helpot salasanat voidaan murtaa.

Mutta jos niin käy, vika ei ole käyttäjässä eikä huonossa salasanassa, vaan ylläpidossa. Miksi käyttäjien pitää ottaa vastuuta, joka kuuluu järjestelmän rakentajille?

Ja kaiken huipuksi salasanan murtamisella ei verotilin kannalta ole edes merkitystä, koska todentamisen jälkeen sinne pääsy vaatii vielä kertakäyttösalasanan.

Salasanavaatimusten kiristäminen on ainakin tässä tapauksessa pelkkää insinööritiedettä -- käyttäjien kiusaamista, joka ei paranna turvallisuutta.

23 kommenttia:

Timo kirjoitti...

Monet palvelut ovat tosiaankin hirttäytyneet satunnaisten gemena-, versaali- ja numeromerkkien sekoittamisen vaatimukseen, mikä tuntuu tämän blogitekstin lukemisen jälkeen kummalta.

Sitä paitsi Mikko Hyppönen on suositellut salasanoja muistiinkirjaamista paperille. Tämä on loogista. Onhan se hyvin epätodennäköistä, että verkkohyökkääjät murtautuvat asuntoon, penkovat tavarat siinä toivossa, että löytäisivät juuri oikean paperilappusen, jotta saisivat lukea mahdollisesti jonninjoutavia sähköpostiviestejä!

Eivätkö edes suuret yritykset ole täysin selvillä verkkoasiakkaidensa tietoturvasta? Googlen kaksivaiheinen tunnistus tuntuu hyvin turvalliselta ja melko hankalasti murrettavalta, jos jätetään NSA:n siitä saama kopio huomiotta.

Anonyymi kirjoitti...

"Miksi käyttäjien pitää ottaa vastuuta, joka kuuluu järjestelmän rakentajille?"

Erinomainen asenne... not. Tietoturvaa ei voi ulkoistaa tai ostaa kuten maitoa marketin hyllyltä. Loppukäyttäjä joka ajattelee ettei käyttämiensä palveluiden tietoturva ole hänen ongelmansa on varsin suuri tietoturvariski.

Sellaista palvelua jossa ei ole haavoittuvuuksia lainkaan tuskin millään inhimillisillä tai kapitalistisilla ponnisteluilla aikaiseksi, ja on tekopyhää vaatia sellaista. Todennäköisemmin ulkoministeriöön päästiin ujuttautumaan pikemminkin siksi että Facebookkiin haluavan virkailijan mielestä vastuu kuuluu IT-osastolle eikä hänelle, "käyttäjälle".

ietoturvaa se on sekin että vaikka lannoiteaines olisi jo osunut tuulivoimalaan, murtautuja ei kädenkäänteessä murra haltuunsa saamia tietoja jne. Tai mistäs sen tietää ettei palvelun "10 kappaleen aikalukko" -ominaisuus ole kierrettävissä vähäisemmällä vaivalla kuin esim. hashattujen passujen haxorointi?

Toki numerovaatimus on sinänsään hölmö. Paljon parempi tietoturvaominaisuus olisi, että palvelu hyväksyy myös pitkät merkkijonot ("salalauseet"). (On niitä nykyään niinkin naurettavia systeemeitä jotka eivät hyväksy *yli* 8 merkin salasanoja.)

Salasanat tosin pitäisi uusia muutenkin säännöllisesti. Toki asia pitäisi hoitaa niin, ettei uusiminen pääse 'unohtumaan'.

Petteri Järvinen kirjoitti...

Olen samaa mieltä salasanojen kirjoittamisesta paperille. Tämä ohje on myös kirjoissani. Salasanoista annetut ohjeet ovat niin ristiriitaisia, ettei kukaan pysty noudattamaan niitä.

Erinomainen asenne... not. Tietoturvaa ei voi ulkoistaa tai ostaa kuten maitoa marketin hyllyltä. Loppukäyttäjä joka ajattelee ettei käyttämiensä palveluiden tietoturva ole hänen ongelmansa on varsin suuri tietoturvariski.

Se on hänen ongelmansa, mutta juridinen vastuu on palvelun tarjoajalla. Jos verotilille murtaudutaan turva-aukon kautta, käyttäjä ei joudu vastaamaan vahingoista.

Ensin pitää velvoittaa palvelujen tarjoajat huolehtimaan tietoturvasta, jotta salasanavarkauksia ei tapahdu. Vasta sen jälkeen voidaan asettaa huolellisuusvelvoitteita käyttäjille.

Tai mistäs sen tietää ettei palvelun "10 kappaleen aikalukko" -ominaisuus ole kierrettävissä vähäisemmällä vaivalla kuin esim. hashattujen passujen haxorointi?

Ei käyttäjä tiedäkään. Toivottavasti ylläpito tietää. Heidän tehtävänään on tietää.

Salasanat tosin pitäisi uusia muutenkin säännöllisesti.

Miksi?

samooja kirjoitti...

Anonyymi, juuri tuo salasanojen uusimisvimma ihmetyttää! Ei se uusiminen anna mitään lisäsuojaa esim. Bruteforce hyökkäystä vastaan!

Anonyymi kirjoitti...

Pankit (osa) edellyttävät ehdoissaan, että käyttäjätunnusta (8-merkkiä) ja salasanaa (4-6 merkkiä) ei saa kirjoittaa ylös paperille. Mikäli näin on kuitenkin tehnyt ja pankkitunnuksia väärinkäytetään, vastaa henkilö pankkitunnusten väärinkäytöstä, jos tunnukset varastettaisiin murton yhteydessä kotoa. Siinä on salasanoissa ja tunnuksissa mummolla muistelemista.

Ei siis kannata ohjeistaa, että kirjoittaa ylös.

Petteri Järvinen kirjoitti...

Pakko se on kirjoittaa, eihän noita pitkiä salasanoja kukaan muista. Mutta paperia ei kannata säilyttää lompakossa, vaan jossain turvallisessa paikassa, tai vaihtaa vaikka kaverien kesken päittäin.

Anonyymi kirjoitti...

"Loppukäyttäjä joka ajattelee ettei käyttämiensä palveluiden tietoturva ole hänen ongelmansa on varsin suuri tietoturvariski."

"Se on hänen ongelmansa, mutta juridinen vastuu on palvelun tarjoajalla. Jos verotilille murtaudutaan turva-aukon kautta, käyttäjä ei joudu vastaamaan vahingoista."

Jos murtaja pääsee käsiksi sähköpostitiliin, voi hän deletoida tärkeät mailit ja vaikka lähetellä hävyttömiä viestejä osoitekirjassa oleville.
Samoin voi kaapata ja tuhota niiden nettipalveluiden tilit joihin kirjaudutaan samalla sähköpostiosoitteella, kun vaan klikkaa niissä linkkiä "Unohditko salasanasi?"

Juridisesti sähköpostipalvelun amerikkalainen ylläpitäjä on ehkä syypää, mutta siinä tilanteessa se ei taida paljoa lohduttaa. ;)

Unknown kirjoitti...

Lisäksi, mitäs siellä verotilillä voi tehdä? Alv-ilmoituksen...
Sen voi tehdä myös paperilla. Silloin kukaan ei tarkista allekirjoitusta. Muuta en ole keksinyt, mitä tuolla voisi tehdä. Pitäisi riittää, että tilitoimisto tunnustautuu vahvasti, nyt sekä yrityksen, että sen tilitystietoja antavan firman pitää tunnistautua.

Petteri Järvinen kirjoitti...

Verotilin saldo pitää tarkistaa, ja tarvittaessa siirtää sinne rahaa.

Totta, ettei juridinen vastuu paljon lohduta, jos omat sähköpostit on tuhottu. Ulkomaisten ilmaispalvelujen tapauksessa vastuu jää kokonaan käyttäjälle, joten oma varovaisuus korostuu.

Tässä oli kyse kuitenkin kotimaisesta asiointipalvelusta, vieläpä viranomaisen järjestämästä, joten vastuukysymykset ovat helpompia.

Tietysti kirjoitukseni on kärjistys, mutta sen tarkoituksena on havahduttaa ihmiset ajattelemaan itse ja huomaamaan, etteivät vanhat ohjeet salasanoista aina pidäkään paikkaansa.

Oma kriittinen ajattelu ja maalaisjärjen käyttö ovat aina suositeltavia.

Anonyymi kirjoitti...

Mistä murtautumisyrittäjä tietää että juuri tämä käyttäjä X käyttää vain pieniä kirjaimia?

Jos käytän salasanaa Aavasaksa ja murtautuja osaa vain tsekkiä ja englantia niin onko salasanani hänelle eksoottinen ja vaikea?

Osmo kirjoitti...

Ei kai kukaan pidä tärkeitä sähköposteja vain palvelimella?

Salasanojen vaihtovaatimus on todellakin älytön, koska se panee ihmiset käyttämään helppoja salasanoja ja kiertämään vaatimusta vaikka laittamalla loppuun juoksevan numeron.

Eräs älyttömyys on sivut, jotka eivät salli salasanan tallettamista selaimen muistiin. Tälläkin haetaan turvallisuutta, mutta seuraus on päinvastainen. OPN aina helpompi kontrolloida yhtä konetta kuin yleistä pääsyä tilille miltä tahansa koneelta.


Keskipohjalainen kirjoitti...


Minä(kin) kirjoitan lukuisat salasanat ylös. Tosin en skriivaa niitä millekään paperilappusille, vaan olen leikellyt askartelukorteista luottokortin kokoisia "arkkeja", joihin sitten kirjoitan salasanat.

"Luottokorttiarkkeja" varten minulla on extralompakko, joka sitten on kotona vähintään lukkojen takana. Eniten käyttämäni salasanat osaan toki ulkoa.

Työpaikalla (terveyskeskus) tuo salasanojen vaihtovimma on äärimmäisen ärsyttävää ja siinä käy juuri niinkuin nimimerkki "Osmo" aiemmin kirjoittaa...

LyhjeHylje kirjoitti...

"Jos käytän salasanaa Aavasaksa ja murtautuja osaa vain tsekkiä ja englantia niin onko salasanani hänelle eksoottinen ja vaikea?"

Sillä ei ole väliä; suomen sanakirja löytyy netistä siinä missä navajonkin ja yhdellä copy-pastella se on mukana brute-force työkalun sanalistassa.

Jos käyttämäsi palvelun verkko-osoite vielä loppuu .fi niin krakkeri osaakin aloittaa arvausurakan oikeasta kohdasta.

Anonyymi kirjoitti...

Minulla olisi Petteri Järviselle kysymys liittyen tähän:

Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia).

Miten olet päätynyt lukuun 377 801 998 336? Aakkoset välillä a - z sisältävät 26 merkkiä. Suomalaiset aakkoset taas kolme lisää eli 29 merkkiä (å,ä,ö).

Jos halutaan käyttää 8 merkkiä pitkää salasanaa, niin tällöin a - z aakkosilla vaihtoehtoja on 26^8 = 208 827 064 576. Tuo sinun antamasi luku syntyy laskutoimituksella 28^8 = 377 801 998 336. Eli mielestäni olet käyttänyt tässä laskelmassa 28 merkkistä aakkostoa, jota ei ole suomen- tai englanninkielessä olemassa. Toki se jossain kielessä voi olla.

Sinänsä tämä on pikkudetalji, eikä muuta kirjoituksen sanomaa mitenkään. Ihmisten olisi ehkä kuitenkin hyvä tietää, miten laskelma on tehty.

Petteri Järvinen kirjoitti...

En koskaan lakkaa ihailemasta lukijoiden tarkkuutta. Sain kauan sitten kirjepostia lukijalta, joka oli tarkistanut PC-käyttäjän käsikirjan aina hakemistoviittausten sivunumeroita myöten...

Laskin määrän 28 aakkosella, koska å on niin harvinainen että tuskin kukaan suomenkielinen sitä käyttää.

Anonyymi kirjoitti...

Pakko kommentoida viimeistä kommenttia kirjaimesta å (ruotsalainen oo). Olen itse käyttänyt kirjainta å salasanoissa nimenomaan sen takia, että sillä saa salasanoihin helposti hankaluutta.

Mietitäänpä vaikkapa sanaa "ooppera" käännettynä salasanaksi ååppera.

Anonyymi kirjoitti...

Erittäin hyvä kirjoitus jälleen kerran P. Järviseltä. Verotili on taas yksi esimerkki tietoturvavouhotuksesta, joka ei johda mihinkään. Sitä en sitten sano, onko kyseessä insinöörien ongelma vai kenties ihan vain yleinen yhteiskunnan vauhkoilu. Päädytään vaatimaan mahdottimia, jotta oma perse ei olisi missään tilanteessa tulilinjalla.

Kyse on tässä minusta hieman samasta kuin vaikkapa ruuan turvallisuudesta. Ilmeisesti on niin, että Itämeren lohta voisi syödä kilokaupalla joka päivä ilman mitään riskejä. Mutta kun turvallisuusrajat on tehty jakamalla turvallinen kymmenellä, on saatu täysin älyttömät rajat.

Risto P. kirjoitti...

Olen täysin samaa mieltä että salasanojen merkkien kompleksisuudella ei varsinaisesti ole mitään tietosuojamerkitystä siinä vaiheessa kun puhutaan käyttäjän kirjautumisesta palveluun. Varsinkin jos palvelu on toteutettu niin, että tunnus menee lukkoon liian monen väärän yrityksen jälkeen. Tosin joissakin palveluissa tuo laskurikin saattaa nollautua itsekseen tietyn ajan jälkeen.

Uskoisin kuitenkin, että tässä tapauksessa tietoturvaa on parannettu vain siitä syystä, että saadaan käyttäjät käyttämään kompleksista salasanaa. Näin käyttäjä pakotetaan muuttamaan salasanan muotoa siitä vanhasta totutusta "helposta salasanasta", joka jossakin toisessa palvelussa käy suoraan salasanaksi.
Tuntematta tuota kyseistä järjestelmää sen enempää, veikkaisin kuitenkin, että tuollakin on käyttäjästä tietona ainakin sähköpostiosoite, jonka salasana saattaa joillakin olla se sama "helppo sana".

Suurin syy uudistukselle on varmastikin juuri tuo tilanne jossa kanta joutuu vääriin käsiin ja voidaan toteuttaa bruteforce kaivamista. Uudistuksella ehkä yritetään estää jatkovahingon aiheutuminen käyttäjille? Enkä siis puhu nyt yhdestä käyttäjästä, vaan kaikkien käyttäjien tunnuksista jotka tuossa kannassa on. Jos jokaisen tunnuksen salasana on tarpeeksi kompleksinen, niin tunnuksien avaamiseen menee enemmän aikaa.

Loppujen lopuksi jokainen on itse vastuussa omasta tietoturvasta eri järjestelmissä ja jokainen heikko järjestelmän salasana saattaa mahdollistaa tietomurron tapahtuessa pääsyn myös siihen seuraavaan järjestelmään, joka yleensä on käyttäjän oma sähköposti. käyttäjän sähköposti yleensä kun on se yhteinen tekijä kaikissa käyttäjän käyttämissä järjestelmissä.

Itse olen siis sitä mieltä, että jos et mitään muuta salasanaa koskaan halua vaihtaa, niin sähköpostin salasana kannattaisi vaihtaa ainakin silloin tällöin. Jos muistaminen tuottaa ongelmia, niin kenties helpoin ratkaisu on sijoittaa kaikki salasanat johonkin ohjelmaan, jossa ne ovat suojattuna jonkun todella kompleksisen yhden salasanan takana.

Tulipa tässä vielä mieleen, että yleensä palveluissa myös sen ylläpitäjän salanasat ovat tuossa samassa kannassa, eli tuo parannus saattaa pakottaa myös sen ylläpitäjän salasanan kompleksisuuden jatkossa.

Petteri Järvinen kirjoitti...

Loppujen lopuksi jokainen on itse vastuussa omasta tietoturvasta eri järjestelmissä

Niin meille opetetaan, mutta jos kyse on viranomaispalvelusta (tai siihen rinnastettavasta kotimaisesta) ei kai voida sallia, että ylläpito vetäytyy kokonaan vastuusta? Jos käyttäjätietokanta varastetaan, ylläpidon pitää vähintäänkin sulkea palvelu ja tiedottaa tapahtuneesta. Todentamispalvelussa vastuu ei voi jäädä käyttäjille itselleen.

tuo parannus saattaa pakottaa myös sen ylläpitäjän salasanan kompleksisuuden jatkossa.

Viittaan edelliseen: ylläpidolla on oltava vastuuta, erityisesti omista salasanoistaan.

Anonyymi kirjoitti...

Salasanojen määräaikaiseta vaihdosta ja bruteforcesta tuli mieleen se, kun ex-työkaveri oli unohtanut salasanansa johonkin online-palveluun. Tapauksesta on muutama vuosi aikaa ja muistaakseni palvelu ei mitenkään rajoittanut sitä, montako kertaa sai salasanan syöttää väärin.

Kun mikään "tutuista" salasanoista ei toiminut, työkaveri alkoi järjestelmällisesti käymään näppiksen aakkos-pystyrivejä läpi siten, että ensimmäinen salasanayritys oli "qazqaz", seuraava "wsxwsx", jne. Ihmetellen seurasin touhua ja kaveri alkoi selittää, että edellisessä työpaikassa piti passu vaihtaa säännöllisin väliajoin ja lopulta hän päätyi em. systeemiin.

Lopulta palveluun päästiin sisään ja salasana tosiaan oli jokin näppiksen aakkosten pystyrivi x2...

Tiia kirjoitti...

Pidän itseäni tietoteknisesti suhteellisen fiksuna ja yleensä opin uudet systeemit helposti. Verohallinnon palvelut ja Katso-tunnukset ovat kuitenkin jotain sellaista, mitä en vieläkään ole oppinut täysin hahmottamaan. Kun viime keväänä halusin ensimmäistä kertaa antaa puolisoni puolesta toiminimen vuosittaisen veroilmoituksen sähköisesti, minulta kesti kokonainen aamupäivä sen selvittämiseen, mitä minun ja puolisoni on tehtävä, jotta saisin valtuutukset moiseen. (Siinä vaiheessa minulla oli jo Katso-tunnukset ja olin tottunut antamaan toiminimen alv-ilmoituksen sähköisesti joka kuukausi, eli ja homma oli siis periaatteessa hallussa.)

En muuten käsitä, mihin moisia Katso-tunnuksia edes tarvitaan - miksei voisi kirjautua verkkopankkitunnuksilla. Virallinen selityshän on, että Katso-tunnus on jollain mystisellä tavalla turvallisempi kuin pankkitunnukset. Käytännössä ne kuitenkin toimivat tasan samalla tavalla: tunnus, salasana ja vaihtuva salasana. Lisäksi Katso-tunnusta luotaessa henkilöllisyys varmennetaan nimenomaan pankkitunnuksilla!

Minun on muutenkin ollut vaikea muistaa Katso-tunnustani ja salasanaani, koska käytän sitä vain kerran ja pari kuussa. Nyt, kun olen joutunut muuttamaan salasanaa, muistaminen ei ole ainakaan helpottunut. Jos pääsisin hoitamaan asioita Katso-tunnuksen sijasta pankkitunnuksillani, niin olisi edes yksi tunnus ja salasana vähemmän muistettana.

Jussi kirjoitti...

Mitä mieltä asiantuntijat ovat salasanalompakoista kuten KeePass? Eikö se ole hyvä tapa säilöä salasanat ja käyttää jokaisessa palvelussa eri salasanaa?

Anonyymi kirjoitti...

Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia). Mahdollisia lottorivejä on vain 15 380 937 kappaletta. On siis noin 24 532 kertaa todennäköisempää voittaa lotossa kuin arvata pelkistä pienistä kirjaimista koostuva kahdeksanmerkkinen salasana
Verrataanpa näitä kahta:
-Toisin kuin oikean lottorivin, salasanan arvaaminen on käytännössä ilmaista.
-Useassa tapauksessa arvaukset voi automatisoida sopivalla softalla. Arvauksia voi tehdä käytännössä jatkuvasti ilman rajoituksia.

En kokeillut asiaa mutta oletan, että tili menee lukkoon jo alle kymmenen väärän arvauksen jälkeen.
Kunhan "säännöt" tunnetaan, on automaattinen skripti helppo pistää odottamaan esim. muutama minuutti 10 arvauksen jälkeen. Useat sivut kertovat avuliaasti, montako kertaa voi yrittää ennen taukoa. Kts. myös seuraavan vastauksen loppu.

Jos yrityksiä vielä jatketaan, ennen pitkää poliisi kolkuttaa ovelle.
Jos vastassa on sen tason hakkeri, joka osaa käyttää automaattista skriptiä salasanan murtamiseen (mikä nyt sinänsä ei paljoa vaadi), on hankala uskoa, etteikö tämä myös tajuaisi tehdä hyökkäyksiä sopivan proxy-serverin kautta, jolloin hyökkäyksen tekijää on käytännössä mahdoton jäljittää.

Useinmiten bruteforce-hyökkäyksten tunnistukset perustuvat nimenomaan siihen, että katsotaan samasta IP-osoitteesta tulevia arvauksia - tämänkin rajoituksen saa kätevästi kierrettyä proxy-serverillä, jolloin odotusajat minimoituvat. Totta kai hyökkäystä voi tehdä usealla koneella / usealla proxy-serverillä samanaikaisesti.