tiistai 18. huhtikuuta 2017

Älä vaihda turhaan - salasanat ovat psykologiaa, ei tekniikkaa

Jokaisessa tietoturvakoulutuksessa annetaan ohjeita salasanojen käyttöön. Yleensä ohjeet ovat peräisin 1980-luvulta eivätkä toimi tämän päivän maailmassa. Kun ainoa muistettava salasana oli yrityksen keskustietokoneelle, sitä ei saanut kirjoittaa muistiin eikä varsinkaan jemmata näppäimistön alle, ja sitä piti vaihtaa säännöllisesti.

Tänään salasanoja on kymmenittäin, joten vanhojen ohjeiden noudattaminen on mahdotonta. Monet järjestelmät vaativat käyttäjää keksimään uuden salasanan 30 tai 60 päivän välein, eivätkä hyväksy jo aiemmin käytössä ollutta salasanaa. On siinä käyttäjäparalla miettimistä: uusi, vahva salasana kuukauden välein, ja kaikki pitäisi muistaa ulkoa!

Tietoturvan keskeinen periaate mukavuus kertaa turvallisuus on vakio sanoo, ettei turvallisuutta voi parantaa pelkästään käyttömukavuudesta tinkimällä. Liian korkeat vaatimukset kääntyvät tarkoitustaan vastaan. Pidempi salasana ei välttämättä ole lyhyttä parempi eikä tiheämpi vaihtoväli ole pitkää parempi.

Salasanat eivät ole tekniikkaa vaan psykologiaa.

Salasanan vaihtopakolle on yksinkertainen perustelu: hakkeri voi saada salasanan selville ja olla sisällä järjestelmässä pitkään, ennen kuin asia paljastuu. Salasanan pakollinen vaihto heittää mahdollisen tunkeutujan ulos, joten tehdään se varmuuden vuoksi säännöllisin väliajoin.

Näin sanoo teoria. Käytäntö on vähän toinen. Jos salasanaa vaihdetaan 60 päivän välein, hakkerilla on keskimäärin 30 päivää aikaa. Siinä ajassa hän ehtii imuroida kaiken tarpeellisen. Itse asiassa jo muutama tunti riittää sillanpääaseman hankkimiseen kohdejärjestelmässä.

Jotta vaihtopakko olisi tehokas, salasanaa pitäisi vaihtaa päivittäin. Eikä sekään auta, sillä jo muutamassa tunnissa hakkeri ehtii urkkia sisäverkon liikennettä, kaapata muiden käyttäjien tunnuksia ja asentaa vaikka näppäimistökaapparin, joka tekee kaikki tulevat salasanavaihdot hyödyttömiksi.

Katso-tunnuksen salasana on vaihdettava puolen vuoden välein.
Erityisen turhaa on lähteä vaihtamaan säännöllisesti ja ennaltaehkäisevästi henkilökohtaisten nettipalvelujen salasanoja. Liian tiheä vaihtaminen vaikeuttaa salasanojen hallintaa ja houkuttelee valitsemaan huonoja salasanoja, jotka ovat paljon suurempi riski. Lisäksi jokaisen vaihdon myötä unohtamisen riski kasvaa. Pahimmassa tapauksessa on käytettävä turvakysymystä tai muuta hätäjärjestelyä, jos esimerkiksi aikoinaan annettu sähköpostiosoite ei enää toimi.

Henkilökohtaisia salasanoja kannattaa vaihtaa vain kun niiden tiedetään paljastuneen. Omista salasanoistani muutama on pysynyt samana yli 20 vuotta.

Yrityksen tietojärjestelmissä vaihtopakolle ei voi mitään, mutta tietohallinnon tulisi säätää vaihtovälit ja vaatimukset järkeviksi.

Kirjoitin aiheesta blogiin nähtyäni Kanta-järjestelmän ylläpitäjien salasanaohjeen: minimipituus kahdeksan merkkiä, pitää olla erikoismerkkejä, numeroita sekä isoja/pieniä kirjaimia, järjestelmä muistaa vähintään 12 aiempaa salasanaa eikä hyväksy niitä uudelleen, vaihtopakko 40 päivän välein, minimi-ikä yksi päivä. Viiden väärän yrityksen jälkeen tili menee lukkoon.

On siinä käyttäjillä muistamista ja päänvaivaa salasanojen keksimisessä!

Lisäys 11.8.2017: Aiheesta olikin pari päivää blogitekstin jälkeen uutinen, jossa todetaan sama pakotetun vaihtamisen haitallisuus. 

22 kommenttia:

Unknown kirjoitti...

Kertoo miltä vuosituhannelta kanta on.

Lisäksi tämmöinen tänään väitöstutkimuksesta.

Potilastietojärjestelmät aiheuttavat virheitä #potilastietojärjestelmä #lääkärilehti http://www.laakarilehti.fi/ajassa/ajankohtaista/potilastietojarjestelmat-aiheuttavat-virheita/?public=6edc5457ec9db9e366a3ac7e20e1e699

Anonyymi kirjoitti...

Salasanojen vaihtaminen on tosiaan turhaa.

Mutta kirjoittaako joku niitä salasanoja käsin? Selainhan muistaa salasanat. Ei muistaminen ole käytännössä mikään ongelma.

Näppäimistökaappari on Windows 10:ssä vakio, jolloin oletusasetuksilla käyttäjän kirjoittamat tekstit menevät Microsoftille. Mielestäni tähän voisi puuttua vaikka lainsäädännöllä. Samoin nykyään suuri osa ohjelmistoista sisältää vakoilutoimintoja, jotka täytyy aina erikseen osata ottaa pois päältä.

Zarr kirjoitti...

Muistutetaan jälleen https://xkcd.com/936/.

Parasta on että kirjoittamalla lause isolla alkukirjaimella ja lopettamalla pisteellä täytetään useimpien salasanavahvuustarkistimien sääntö että pitää olla erikoismerkki ja isoja ja pieniä kirjaimia.

Ainoa vain että monessa systeemissä on edelleen salasanoille *maksimipituus*, mikä on idioottimaista.

Anonyymi kirjoitti...

Kanta-järjestelmän tyyppiset vaatimukset, jotka on aika tyypilliset, johtaa käyttäjän helposti käyttämään geneeristä salasanajärjestelmää. Esim Kuukausi+päivä+! (Huhtikuu4!)

Petteri Järvinen kirjoitti...

Noinhan siinä sitten käy -- tai Salasana1, Salasana2, Salasana3... Saadaan kyllä tietoturvan vaatimukset täytettyä, mutta salasanat ovat tavallistakin heikompia ja kerran murrettu salasana paljastaa menetelmän.

Yksi Turkkulaanen kirjoitti...

Ainoa järkevä vinkki mitä olen nähnyt salasanojen generoimiseksi on täällä:
xkcd: Password Strength

Yksi Turkkulaanen kirjoitti...

Anonyymi#1: Jos olet vähääkään kiinnostunut tietoturvastasi, vaihdat pois Windows 10:stä.

Tietenkin, ainoan todellisen tietoturvan saa vasta sen jälkeen kun on kokonaan lakannut käyttämästä tietokoneita ja kirjoittaa kaiken käsin tai mekaanisella kirjoituskoneella ja toimittaa itse kirjoituksensa vastaanottajalle. Siis käyttämättä postia.

Anonyymi kirjoitti...

Viidestä väärästä yrityksestä salasana lukkoon. Mahtava toiminnallisuus. Omassa työpaikassani tuo tapahtuu kolmesta kerrasta. Sen jälkeen mieletön rumba uuden salasanan saamiseksi. Tunnukset ovat helposti arvattavia (etunimi.sukunimi@firma.com). Jos olisi uusi työpaikka mielessä, niin alkaisin lukitsemaan IT-päällikön salasanaa säännöllisesti generoimalla virheellisiä kirjautumisia hänen tunnukselle. Ehkä sitten päästäisiin eroon tuostä alyttömästä salasanan lukittumisesta.

SB kirjoitti...

Yksi Turkkulaanen sanoi...
Anonyymi#1: Jos olet vähääkään kiinnostunut tietoturvastasi, vaihdat pois Windows 10:stä.


Miten Windows 10 yksinään liittyy aiheeseen. Muut käyttikset "vakoilevat" ihan samalla tavalla.

Markus kirjoitti...

Itselläni on vain yksi sana mikä pitenee palvelun mukaisesti. Jos palvelu on höpöhöpöä (erilaisia foorumeita yms) sanasta on käytössä vain tyyliin 8 ensimmäistä merkkiä. Jos palvelu on hieman tärkeämpi (huuto.net, tori.fi) sanaan tulee 8 merkkiä lisää. Ja kaikkein tärkeimmissä palveluissa tulee vielä 8 merkkiä lisää. Kuten vaikka kännykkään sisäänpääsy tai apple-tili tjsp. Niin sana ei tietysti ole mikään selkokielinen vaan pelkkää moskaa isoa pientä kirjainta numeroa yms. Tämä sama sana on ollut käytössä jo 10+ vuotta. Muodostin sen aikoinaan kolmesta erillisestä työpaikan portaalien salasanoista jotka oli siis moskaa mutta ne muisti ulkoa - laitoin ne vain peräkanaa. Jos joku kuikkii olan yli. Vaikka sanan näkisikin, ei millään voi muistaa sitä... Tuommoisen hölynpölyn voi kirjoittaa kännykkään aivan huoletta (applella kun voi käyttää lukituksessa myös sanaa numeroiden sijaan). Niin ja sormenjälkilukija on tietty jo nykyisin kuitannut monta huonoa salasanaa...

Nykyisin noissa kaikkein tärkeimmissä palveluissa noin järeä salasana tietysti ei ole enää tärkeä kun on se vielä parempi vaihtoehto käytössä lähes kaikissa moisissa. Kaksivaiheinen tunnistaminen. Näin sana saakin olla vaikka "koira". Sillä ei suoranaisesti ole enää merkitystä kun se hakkeri kuitenkin tarvitsisi mun kännykän, että pääsisi sisään googleen, appleen, facebookiin, microsoftin, dropboxiin yms...

Eli kaikkein tärkein opetus on: Jos vain mahdollista, ottakaa kaksivaiheinen tunnistaminen käyttöön.

Myöskin nordeasta, s-pankista ja osuuspankista on tullut jo kertaluokkaa turvallisempia, kun eivät käytä enää pahviläpsyköitä tunnistautumiseen. Ei voi rikolliset pahviläpsykän tunnuksia myöskään kysellä. Todennäköisesti rikokseen tulee uusi henkilökohtaisempi ote. Soittavat "pankin nimissä" ja pyytävät käyttäjätunnusta ja kuittaamaan tapahtuma salasanalla "livenä". Muuta mahdollisuutta ei ole.

Yksi Turkkulaanen kirjoitti...

Sebastian Tankkeri sanoi...

Miten Windows 10 yksinään liittyy aiheeseen. Muut käyttikset "vakoilevat" ihan samalla tavalla.


Muut käyttikset? No joo, MAC OS varmaankin vakoilee aivan kuten Windowskin, mutta mitä mieltä olet Linux:ista?

Epäluuloinen kirjoitti...

Uskaltaako tuota turkulaisen salasanavinkkilinkkiä painaa?

Yksi Turkkulaanen kirjoitti...

Epäluuloinen sanoi...

Uskaltaako tuota turkulaisen salasanavinkkilinkkiä painaa?


Onnittelut, olet minua edistyneempi vainoharhaisuudessa. Yritän kehittää sitä itsessäni, mutta vielä on paljon tehtävää sen eteen.

Linkin sisältö (jos se yhtään helpottaa): https://www.xkcd.com/936/

Anonyymi kirjoitti...

Kannattaa muistaa, ettei ne salasanaohjeet ole välttämättä sen IT-pomon tai loppukäyttäjää kiusaavan tietoturvaosaston aikaansaannosta. Joissakin yrityksissä voi alaan liittyvät säädökset vaatia tietynlaista salasanapolitiikkaa (esim. terveydenhoitopuolella tai turvallisuuspuolella) ja vaikkakin ne säännökset ovat mielestäni aikansa eläneitä, niin näitä on joidenkin yritysten pakko noudattaa.

Mutta samaa mieltä Petterin kanssa siitä, että hyvät salasanat säilyvät pääsääntöisesti hyvinä vuosikaudet. Ei niitä turhaan kannata vaihtaa - ei tarvitsisi mitään muuta tehdäkään kun salasanoja voi olla satoja.

Toinen epäluuloinen kirjoitti...

Eipä turkulainen huomannut mistä epäluuloisen kysymyksessä oli kyse. Ei linkin sisältö eikä edes domain näy lyhyestä linkistä. Yhtä hyvin olisi turkulainen laittaa tiedot näkyviin ilman linkkejäkin.

Anonyymi kirjoitti...

@Sebastian Tankkeri

Miten Windows 10 yksinään liittyy aiheeseen. Muut käyttikset "vakoilevat" ihan samalla tavalla.

En ole sama jolle kommentoit, eikä Windows 10 liity olennaisesti tähän blogikirjoituksen aiheeseen, mutta kommentoin koska väittämä(si), että muut käyttikset "vakoilevat" ihan samalla tavalla on kyllä joko ymmärtämättömyyttäsi tekemä räikeä yleistys tai sitten sinulla on joku muu piilotettu agenda vähätellä Windows 10:n keräämän datan määrää ja yrittää hämmentää asiaa, että niinhän muutkin tekevät.

Katso itse seuraavalta sivulta mitä tietoja Windows 10:n kerää sitä käytettäessä.

Ainakaan useimmat muut käyttikset eivät todellakaan kerää yhtä laajasti kuin Windows 10:n kerää. Katso seuraavalta sivulta mitä kaikkea Windows 10 kerää ja anna esimerkki miten esim. yleiset Linux distribuutiot (Debian & Red Hat pohjaiset) keräävät. Lisäksi, miten mahtaa olla yleisten BSD pohjaisten käyttisten laita? FreeBSD, OpenBSD, NetBSD.

Niiden yleisyyttä ei pidä väheksyä, ne ovat todella yleisiä kaupallisten laitteiden sulautettujen käyttisten alustoja. Jos olet niitä koskaan konfiguroinut ja tietoturvamielessä tutkinut toimintaan (minä olen parinkymmenen vuoden ajan), niin tiedät että ei yleisten tunnettujen valmistajien laitteista lähetetä mitään valmistajalle ellet salli sitä. Jokunen valmistajan laite kyselee lisenssien voimassaoloa bootatessa tai muuten harvakseen, web-käyttöliittymästä helppiä klikatessa saattaa laitteen sarjanumero välittyä valmistajan sivulle linkissä. Viime vuosina on myös lisätty usein konfiuroitavissa call-home ominaisuus, jolla tukisopimuksen tehnyt asiakas voi saada automaattisesti avattua tiketin ja lähetettyä teknistä anonymisoitua diagnosoitua dataa valmistajan tukipalveluun. Mutta nämä ominaisuudet pitää itse konfiguroida päälle ja se tukisopimus pitää tehdä & maksaa siitä jotta data päätyisi valmistajalle. Tämä siis tilanne tietoliikenne, storage ym. laitteissa tänä päivänä. Yksikään valmistaja ei riskeeraa bisnestä sillä, että se lähettäisi tietoja kysymättä siitä asiakkailta ensin.

Debian jakelussa on mukana ns. Popularity Contest, ohjelma jonka käyttöönotosta asennusvaiheessa kysytään. Sen oletusvalinta on Ei oteta käyttöön, joten vain Enteriä tai OK graafista asennusta käyttävälle se ei asennu, tietoja ei kerätä eikä mitään tietoja lähetetä.

Edelleen, jos olet joskus käyttänyt Applen OS X/macOS tai iOS laitteita ja ymmärtänyt mitä siellä käyttöjärjestelmäliittymän pinnan alla tapahtuu, niin tuollaista väitettä kun esitit ei voi kukaan vakavalla naamalla esittää. Ensinnäkin, iOS laitteissa on nähtävissä mitä dataa laite lähettää Applelle ja sen voi kieltää, lisäksi tiedon keräämiseen kysytään lupa asennusvaiheessa -- oletusvalinta on toki sallia kerääminen, koska he haluavat että mahdollisimman moni luovuttaisi käytettävyydestä dataa. iOS:n ajoittain lähettämän datan näkee Settings/Privacy/Analytics/Analytics Data alta. Siellä on valinta lähetetäänkö dataa Applelle, näkee mitä tiedostoissa on ollut joita on lähetetty ja voi erikseen kytkeä päälle tai poistaa kolmannen osapuolen sovellusten tekijöille datan lähettämisen samoin kuin pilvipalvelun käyttämisen osalta.

OS X/macOS keräämä telemetriadata on varsin vähäistä, se liittyy lähinnä hakutoimintojen yhteydessä tehtäviin hakuihin myös pilvipalvelusta (iCloud) jos se on otettu käyttöön. Sen lisäksi ohjelmavirheiden yhteydessä kysytään, että haluatko lähettää diagnostiikkatietoja Applelle virhettä koskien. Ruudulla näkee aina mitä on lähettämässä ja sen mitä olen yli kymmenen vuoden aikana nähnyt näitä ruutuja niin niissä ei lähde mitään yksityisyyttä vaarantavaa tai loukkaavaa.

Androidista en tiedä kun en sitä itse käytä käytännössä mihinkään pieniä lyhyitä kokeiluja lukuunottamatta lainalaitteilla.

tl&dr; Kyllä Windows 10:n keräämä datan laajuus ja määrä on poikkeuksellista muihin verrattuna..

Petteri Järvinen kirjoitti...

Olisi kiinnostavaa tietää, mitä Microsoft kaikella datalla tekee - se kun ei edes myy mainospalvelua kuten Apple. Eiköhän se telemetria ole ihan käyttäjän oman edun mukaista.

Oma lukunsa ovat sitten ne, jotka uskovat ihan tosissaan "kaikki mitä näppäimistöllä kirjoitat välitetään Microsoftille". Just.

Hannu kirjoitti...

>>Olisi kiinnostavaa tietää, mitä Microsoft kaikella datalla tekee

Eiköhän se ole selvää, että eivät tiedä itsekään. Keräävät tietoja varmuuden vuoksi. Voi olla että muutaman vuoden kuluttua tiedot tai osa niistä osoittautuvat arvokkaaksi. Mutta tietojen kerääminen pitää tehdä nyt, ei niitä saa jälkikäteen kerättyä.

Petteri Järvinen kirjoitti...

Tiedoilla on puoliintumisaika, ne ovat parhaimmillaan tuoreina. Vanhoja tietoja vaikea hyödyntää tai edes yhdistää samaan ihmiseen. Ja mitä hyötyä Microsoftille on tietää, montako sovellusta meillä on asennettuna tai miten monta kertaa kone on buutattu... kyllä ne ovat pelkkiä telemetriatietoja.

Nettisurffailusta ja palvelujen käytöstä kerätyt tiedot ovat paljon arvokkaampia.

Hannu kirjoitti...

Riippuu tiedosta, ei noin voi yleistää. Ja esim. aikasarjoja ei voi tehdä jos ei käytä myös vanhempia tietoja, käytettiin mitä tahansa tietoja. Ja miksi pitäisi yhdistää 'samaan ihmiseen'. Mutta kuten kirjoitin, arvelen että ms kerää tietoja varmuuden vuoksi.

Anonyymi kirjoitti...

Password managerit ovat nykypäivän juttu.

Kun palvelu kysyy lemmikkieläintäsi, se on "flier-regimen-russet-chime" tai lapsuuden kotikaupunkia, se on "concert-alleyway-feebly-crypt".

Suurin ongelma ovat palvelut, joissa oletetaan että juuri se "8-12 merkkiä, joista yksi on erikoismerkki, yksi numero, ja vähintään yksi iso kirjain" on juuri se turvallisin.

Anonyymi kirjoitti...

Hoetaan että salasanaa/pin-koodia ei missään tapauksessa saisi kirjoittaa paperille jota pitää mukana, mutta sen voi tehdä kryptisesti. Kas näin:

salasana: kalja6 ? tUIteri ?
- lempinimi lapsuuskaverille jota käärme puri
- Japanin reissun vuosi (??)

Salasana voisi olla "kalja6JulletUIteri98". Osa siitä on siis sellaisenaan paperilla, mysteeriosia saa toki enemmänkin laittaa.

pin: ????
- Rekun kuolinvuosi miinus lapsuudenosoitteen nro (??)
- onnennumero
- pelinumero jääkiekossa miinus 11

Pin on tässä vaikka 7687 eli 2008-32=1976 -> 76, 8 ilman kommervenkkejä ja 18-11=7

Varsinkin numeromuistin ollessa huono vastaukset vihjeisiin voivat olla sanallisia (Pirjon mies?). Vastauksen alkukirjain (tai vaikka 3. kirjain jos vihje niin sanoo) muutetaan numeroksi 0-9 paperille laitetun selväkielisen taulukon avulla. Esim. S=0, K=1, A=2... Myös tarpeettomille numeroille pitää olla kirjain (suomen kielessä yleinen), jotta kaikki numeroyhdistelmät ovat mahdollisia.

Jos tähän tyyliin laadittu lunttilappu päätyy vääriin käsiin, ei tarpeeksi henkilökohtaisia, esim. lapsuuteen liittyviä vihjeitä ulkopuolinen pysty selvittämään juuri mitenkään. Pitää kuitenkin varoa, ettei mene liian pitkälle kryptisyydessä: vihjeiden pitää olla lastenleikkiä itselle ja selväkielinen salasana/pin jossain turvassa.