Profiili

Oma valokuva

Helsinkiläistynyt ex-Jyväskyläläinen IT-alan yrittäjä, kirjanpitäjä, valkokaulusduunari, kauppatieteiden maisteri ja tietojärjestelmätieteen tohtoriopiskelija. Joskus saattaa lipsahtaa myös politiikan puolelle. Huhuista huolimatta en oikeasti ole kokoomusnuori, vaan lähinnä oikeistoliberaali.

Blogin kirjoittaminen on minulle ensisijaisesti keino omien ajatusten järjestelyyn aiheesta jos toisestakin. Erityisesti tekstit keskittyvät verotuksen, opiskelun, talouspolitiikan ja välillä yrittämisen tai sijoittamisenkin ympärille. Kirjanpitäjätaustani ja opintojeni vuoksi niistä aiheista voin kertoa tietävänikin jotakin.

Muita linkkejä
Yritykseni nettisivut löytyvät osoitteesta https://www.koskila.net. Mikäli asiat ja jutut joita päivittäin teen oikeasti kiinnostavat, niistäkin löytyy enemmän tietoa omilta nettisivuiltani.

5.12.2011

Laiskat, välinpitämättömät, yksinkertaiset ja tyhmät verkkokansalaiset


Blogin lukijakunta on varmaan, kuten minäkin, saanut jo tarpeekseen taloussuunnittelusta, verojutuista ja politiikasta, joten teen meille kaikille palveluksen ja kirjoitan vaihteeksi jostain oikeasti tärkeästä.

Käyttäjät ovat tyhmiä, ja valitsevat tyhmiä salasanoja, vaikka tietoturvagurut opastavat heitä norsunluutorneistaan parhaansa mukaan - eikun hetkinen, onko asia sittenkään näin?



Tarinamme alkaisi oikeasti kaukaa historiasta, mutta aloitan silti itse vasta vuodesta 2007. Windows Vistan julkaisu 30.1.2007 ei ollut vuoden ainut katastrofiuutinen, sillä marraskuussa vuodettiin Suomen senhetkisen internethistorian laajin salasanalista, jonka noin 79 000 käyttäjätunnuksen salasanoista noin 63 000 saatiin murrettua.

Suuren maailman hakkeroinnin saapuminen Suomeen aiheutti aikanaan melkoisen lintukodon rikkoutumisen ja mediamylläkän. Kansalaiset järkyttyivät - kenen tahansa meistä identiteetti voi olla viety, kuka tahansa voi kirjautua kenenä meistä tahansa mihin tahansa. Voi ei!

Varsinaisen palvelun, kuten vauva.fi -keskustelupalstan tai Älypää-pelisivuston käyttäjätunnusten karkaaminen maailmalle ei ehkä vaikuta suurelta ongelmalta - jos joku haluaa pelata minun tunnuksillani tietovisaa, pelatkoon - no big deal! Suurempi vaara syntyy kuitenkin saman salasanan käyttämisestä useammassa eri palvelussa - ja siihen syyllistyy valtaosa suomalaisista. Niinpä käyttäjän vauva.fi -tunnuksen murtanut hakkeri voi päästä kirjautumaan saman henkilön Facebook-tilille, josta voikin jo saada käsiinsä yksityisviestejä, luottokorttitietoja ja tarkat henkilötiedot. Ja vaikka sotkea käyttäjän farmvillen myymällä pois kaikki traktorit ja ostamalla tilalle tontin täyteen aitaa.

Pahimmassa tapauksessa myös työpaikan järjestelmät ovat vaarassa - mitä jos Nordean asiakkuuspäällikkö Mirjam Vesala käyttää firman järjestelmissä samaa salasanaa kuin vauva.fi -foorumeilla? Ka-blam! Hakkereilla on yhtäkkiä pääsy Nordean asiakkuustietoihin.

Riskit ovat siis todellisia.

Liioittelu ja massahysteria sikseen, asioista jotain ymmärtävät tahot järkyttyivät enemmän eri salasanojen yleisyydestä - peräti 300 kansalaista oli valinnut salasanakseen sen kaikista huonoimman vaihtoehdon, eli käyttäjätunnuksensa. Pertti Peruskansalainen, keskustelupalstoilla tunnettu nimimerkillä "pertsa", oli siis mitä todennäköisimmin valinnut salasanakseenkin pertsan. Myös nikkinsä takaperin salasanakseen valinneita oli parikymmentä.

Voi pojat...

Lista ei juuri tästä muutu kivemmaksi. Yksittäisiä salasanoja tarkastellessa yleisin oli "salasana". Siis ei perhana, aika kekseliästä! Loistavaa. Oikeesti mahtavaa.[1]

No, cert-fi ja media alkoivat tietenkin rummuttaa vaikeampien salasanojen puolesta. Mitä hankalampi ja vaikeammin muistettava ja potentiaalisesti myös täysin mahdoton kirjoittaa paperilapulle ylös, sitä parempi. Loistava salasana on esimerkiksi "yHJe49!kjÄ+oI", ja kelvoton "vaarinhousut". Kansaa valistettiin oikein kunnolla, olihan Suomen kaltaisen tietoyhteiskunnan jäsenten osattava huolehtia tietoturvastaan.

Joku yksittäinen poliitikko tai virkamies saattoi luullakin tehneensä ihan hyvää työtä tiedotuksen kanssa, mutta uusi pommi oli latautumassa...

Vuosien saatossa pienempiä vuotoja ja murtoja on tullut silloin tällöin (mm. Suomea vähemmän koskenut "Climategate", ja tuhansien hotmail-tilien tunnukset ja salasanat 2009), mutta seuraava suurempi paukku suomalaisille tuli vasta vuonna 2010: Älypää-palvelun käyttäjätiedot hakkeroitiin ja vuodettiin nettiin.


Case Älypää

Älypään tietokannassa käyttäjätunnukset olivat selkokielisinä, joten hakkerien oli helppo koostaa niistä lista ja laittaa jakoon. Tietoa oli tällä kertaa noin 127 000 käyttäjästä, mukana ihmisten työsähköposteja muun muassa domaineista kuten poliisi.fi ja eduskunta.fi. [2] Salasanalistan perusteella käyttäjät eivät varsinaisesti olleet oppineet mitään - poliisi.fi -päätteisistä sähköpostiosoitteista rekisteröityneet henkilöt käyttivät salasanoinaan mm. "0123" (eräs mikkeliläinen poliisi), "jess" (Porvoon poliisista päivää) ja pillu8 (terveisiä Rovaniemen poliisille, sekään ei ollut hirveän vaikea salasana)...[3]

Muut käyttäjät kuin poliisit eivät olleet ainakaan parempia.


Anonymous Finland

Vuonna 2011 paukkui lisää. Anonymous Finlandina esiintyvä ryhmä ilmoitti saaneensa haltuunsa useista eri lähteistä kootun, 500 000 käyttäjätunnus-salasana-sähköposti -tietuetta sisältävän listan. Hiukan tämän ilmoituksen jälkeen julkaistiin lista sähköpostiosoitteista, ja vielä hiukan myöhemmin alkoi tippua myös murrettuja salasanoja. Nyt aivan hiljan on myös ilmoitettu Napsu.fi ja Helistin.fi -sivustojen käyttäjätietokantojen vuotamisesta ulkopuoliseen käyttöön, ja iskujen takana epäillään olevan saman tahon, mikä ikinä se porukka sitten onkaan.

Henkilötietojen anastajankaan asema ei kuitenkaan ole helppo. Jos ylläpitäjä on hoitanut asiansa ja tallentaa tiedot salattuina, joutuu tiedot anastanut hakkeri murtamaan ainakin salasanat auki, ja tähän menee aikaa. Lyhyt salasana on kuitenkin helppo murtaa, sillä esimerkiksi MD5-tiivisteestä eli hashista (MD5 on hyvin tyypillinen salausalgoritmi salasanojen kryptauksessa) saadaan alkuperäinen sana auki helpostikin. Jos alunperin käytetty sana on yleinen, voi hash-sana -tietopari löytyä jo vaikka netissä olevista tietokannoista - tsekatkaa vaikkapa mitä löytyy hashilla "1ad99cbe9e425d4f19c53a29d4f12597" sivulta http://md5.my-addr.com/md5_decrypt-md5_cracker_online/md5_decoder_tool.php...

Tarkempaa mekanismia salasanojen murtamiseen auki salatusta muodosta en ala kuvailemaan, mutta lisätietoa löytyy esimerkiksi Wikipediasta.


Ja kuinka valistunut tietoyhteiskunnan kansalainen valitsee salasanansa?

Siis, mitä pidempi ja tavattomampi salasana, sitä turvallisempaa? Periaatteessa kyllä. Vaan mitä ovatkaan salasanat joita suomalaiset mieluiten käyttävät? Alla on lista vuosien 2007, 2010 ja 2011 suurimpien salasanavuotojen 10 yleisimmästä salasanasta...



Siis joka kerta, vuodesta toiseen, top kympissä ovat "salasana", "123456", "perkele" ja pari eläintä? Top 100 -listalle mahtuu jo sitten hurja määrä niin tyttöjen kuin poikienkin etunimiä kuten "oskari", "johanna", "emilia" ja "rasmus", sekä tietysti kestosuosikit "paska" ja "pillu". Kokeilemalla kymmentä yleisintä salasanaa saa jo pahimmillaan joka kymmenennen käyttäjätunnuksen auki - muistakaa tämä seuraavan kerran huomatessanne jonkun typerän trollailijan jollain nettifoorumilla...


Vaan kenen on syy?

Verkkokansalaista on helppo syyttää, mutta mietitäänpä hetki - kuka meistä ihan oikeasti noudattaa näitä ohjeita? Kuka meistä käyttää joka palvelussa eri salasanaa, jotka ovat kaikki täyttä nonsenseä kuten aiempi esimerkkini "yHJe49!kjÄ+oI"?

Ei kukaan. Ei oikeasti kukaan. En minäkään, sillä en todellakaan ala opettelemaan tuollaisia merkkijonoja ylös kaikkia palveluita varten joita käytän. Jos taas kirjoitan käyttäjätunnus-salasana -tietueet ylös vaikkapa jollekin muistilapulle tai kännykkääni, joudun kuljettamaan tietoa mukana ja mitä jos hukkaan sen? Joudun vaihtamaan kaikkien järjestelmien salasanat, sikäli kun edes pystyn siihen kun en muista salasanaani mihinkään. Aivan naurettavaa, eihän tämä näin voi pelata! Mikä siis neuvoksi?

Ratkaisu on itse asiassa helppo. Unohtakaa vaikeat salasanat. Unohtakaa satunnaiset numero- ja kirjainsarjat. Ei niissä ole mitään järkeä, ja ne ovat aivan toivottomia muistaa. Kukaan ei HALUA muistaa niitä. Sitä paitsi, järkevämpikin tapa muodostaa salasana eri palveluihin löytyy. Tapa, joka luo helposti muistettavia, monimutkaisia salasanoja joita on likimain mahdoton murtaa ja vaikea arvata.

Kuvitellaanpa keksivämme salasanaa Älypää-palvelua varten. Helposti muistettava salasana liittyy siis palveluun ja on SELKOKIELINEN, siis ei mitään nonsenseä. Useimmat salasanat vaativat isoja ja pieniä kirjaimia, ja ehkä numeroita. Avaintekijä salasanan vaikeudessa on sen pituus - tehdään siis salasanasta pitkä. Kootaan siis salasana useasta helposta sanasta ja laitetaan väliin numerot - vaikkapa synnyinvuoden numerot.

Miten ois: "Älypää1on9typerä8palvelu9"? Nerokasta, sanon minä!

Hyvä, tai ainakin välttävä palvelu salasanojen murrettavuuden testaamiseen on http://howsecureismypassword.net - kokeillaan siis sillä:

  • "yHJe49!kjÄ+oI"
    • Tulos: "It would take a desktop PC about 13 trillion years to hack your password"
    • Vuosimäärässä on siis 13, ja 8 nollaa. Aika hyvä.
  • "Älypää1on9typerä8palvelu9"
    • Tulos: "It would take a desktop PC about 8 undecillion years to hack your password"
    • Vuosia kuluu nyt jo 8, ja 36 nollaa. Aika perhanan paljon parempi!
Eli siinä missä sekava ja vaikea salasana on vielä purettavissa supertietokoneella, numeroilla höystetty lause on likimain mahdoton purkaa tai "bruteforcettaa". Lausemuotoinen salasana on altis hyville arvauksille ja esimerkiksi syntymäaikasi jo selville urkkineille henkilöille, mutta koska lausehan voi olla pitkäkin, esimerkiksi 8-sanainen, ja silti helpompi muistaa kuin "yHJe49!kjÄ+oI", saa arvaajakin olla aika hyvä. Erityisesti Suomen kielessä sanat ovat vielä aina taivutetussa muodossa, ja niinpä vaikka salasanaa arvaava henkilö tietäisi kaikki lauseen sanat ja numerot, kestäisi hänellä aikaa kokeilla kaikki kombinaatiot läpi.

Lauseita on lisäksi helppo tehdä joka sivustolle omansa, ja silti muistaa mistä oli kysymys. On helpompi muistaa salasanat "Älypää1on9typerä8palvelu9", "En8jaksa9Facebookia" ja "Vauva1piste3fi0on4elämäni8valo9", kuin "5porad!cFac!e5", "t*ugh3s3rPhy1*geny" ja "0yx1n2n$u1at0r".


Hylätkäämme siis vaikeasti muistettavat ja helposti murrettavat salasanat, ja alkakaamme käyttää lauseita joihin on helppo tehdä muistisääntöjä. Hakkereita risoo, tietoturvagurut norsunluutorneissaan hämmentyvät ja edes yhden kansan salasanat pysyvät murroista huolimatta salaisina - ja Pertti Peruskansalaisen Facebook-tili ja luottokorttitiedot ovat turvassa!


Lähteet

  1. http://wickedclown.net/misc/salasanalista-2007
  2. http://wickedclown.net/misc/salasanalista-2010
  3. Lista salasanoista ja käyttäjätunnuksista on ollut netissä jaossa, mutta siihen ei parane linkata ettei saa syytteitä. Ja just for the record, en ole kyseistä listaa itse katsonut...
  4. http://www.xkcd.com/936/ Alkuperäinen inspiraation lähde!

6 kommenttia:

  1. Noiden selkokielisten lauseiden murtamiseen kuluvaa aikaa pitää arvioida niin, että oletetaan hyökkääjän käyttävän sanakirjaa. Toi 36 nollaa ei siis luultavasti ole ihan realistinen tulos, mutta johtopäätöksesi ovat silti oikeita. Harmi, että jotkut palvelut rajoittavat salasanan pituutta, jolloin ainoa turvallinen vaihtoehto on tuollainen randommerkkisalasana.

    Lisäksi yksi hyvä neuvo, jotta uskaltaa käyttää eri salasanaa joka palvelussa ilman vaaraa, että unohtaa jonkun niistä, on pitää kotona jossain paperilla listaa salasanoista. Vielä jos sen säilyttää paikassa, joka ei kiinnostaisi murtovarasta, niin salasanat ovat kotona hyvässä turvassa.

    VastaaPoista
  2. Noi kaikki tähän mennessä murretut palvelut ovat olleet kaikenlaisia ei niin tärkeitä, joten nämä salasanatilastot eivät hirveästi kerro suomalaisten kyvyistä käyttää palveluita turvallisesti. Voihan olla, että vähänkin tärkeämpiin palveluihin valitaan kunnon salasanat, vaikka älypäihin laitettaisiinkin joku 12345. Itsellänikin on tapana käyttää joissain palveluissa surkeaa salasanaa, vaikka suurimmassa osassa on vahvat salasanat. Itsellä kyllä raja menee siinä, että onko palveluun tarvinnut rekisteröityä omalla nimellä.

    VastaaPoista
  3. jaska:

    Sanakirjahyökkäys (Dictionary attack) menee vaikeaksi kun sanoja on paljon, erityisesti jos sanojen väliin tunkee numeroita. Lisäksi ainakin täysin satunnaista hyökkääjää rajoittaa käytetty kieli - Englanninkielisen keskustelupalstan käyttäjien salasanojen md5-hasheja ei ensimmäisenä aleta murtaa Suomeksi... :)

    Murrettuja palveluita ei itse asiassa vielä edes tiedetä, suuri osa ainakin tuon 500 000 -tietoparia sisältäneen listan tietueiden lähteistä on vielä hämärän peitossa. Olet tosin oikeassa siinä, että pääosin kyseessä lienevät toissijaiset palvelut - pankkien järjestelmät kun tuppaavat olemaan paremmin suojattuja kuin keskustelupalstojen...

    Sen sijaan suomalaisten kyvyistä tietoturvan suhteen jo nyt tehdyt murrot kertovat paljonkin. Ainakin muroBBS-keskustelupalstan ja muutaman keskustelulaudan käyttäjät ovat testailleet noita keskustelulaudoilta saatuja salasanoja saman käyttäjän sähköpostiin, ja päässeet kirjautumaan esimerkiksi gmailiin tai hotmailiin - siis mahdollisesti tärkeimpään yksittäiseen järjestelmään nettipankin jälkeen. Sähköpostitilin avulla aika suuri osa muista tunnuksista, kuten verkkokauppojen kirjautumistiedoista, on sitten murrettavissa. Käyttäjät siis ovat käyttäneet samaa salasanaa sähköpostissa, jolla ovat rekisteröityneet vaikkapa vauva.fi-saitille, ja kyseisellä saitilla. Virhe!

    Idea kotona pidettävästä salasanalistasta on ihan ok, jos luottaa vieraisiinsa ja ei tosiaan pelkää murtovarkaita :)

    VastaaPoista
  4. Toki sanakirjahyökkäys satunnaista "lausetta" vastaan on toivoton yritys, niin kuin tarkoitus onkin, mutta se on kuitenkin se nopein tapa. Brute force -menetelmällä se olisi vielä hitaanpaa. Joten murtoon kuluva aika on se, joka menee sanakirjahyökkäystä tai kenties jotain yhdistelmää käyttäen. Toki vain huonoimmassa tapauksessa, jossa hyökkääjä keksii tällaista käyttää. Todennäköisemmin hyökkääjä eikä hänen perillisetkään kerkeä tätä kokeilemaan, koska brute force yritys on vielä kesken.

    Sanakirjahyökkäystä vastaan pitää kuitenkin suojautua. Siksi sanakirjasanoista muodostuvan salasanan vahvuuttakin pitäisi osata arvioida. Esimerkiksi sillikauppias ei ole kovin vahva salasana tai edes Si1!ikauppias, vaikka siinä on sama määrä merkkejä kuin sanassa yHJe49!kjÄ+oI. Brute force menetelmällä niiden murtamiseen saattaisi silti mennä sama aika.

    VastaaPoista
  5. http://neptunet.net/blogi/

    en ole neptun tai pluto,mutta tulipahan vastaan..

    VastaaPoista
  6. jaska:
    Totta, yksittäinen, sanakirjasta löytyvä sana on joka tapauksessa huonohko ratkaisu. Sanapari, siis ei yhdyssana vaan vaikkapa "Sillien0Myyjä" on jo aika toivoton.

    Anonyymi:
    Mielenkiintoinen blogi, kiitokset linkistä! Taidanpa lisätä kirjanmerkkeihin..

    VastaaPoista