tag salasana

2 artikkelia

Tee turvallinen salasana

Tietoturva

Olisiko aika unohtaa vanhat s4l4s4n40hjeet? – ”Näin teet turvallisen ja käytännöllisen salasanan”

Asiantuntijoiden antamalla vinkillä on helppo luoda hankalasti murrettava salasana, joka monimutkaisuudestaan huolimatta pysyy mielessä.

Artikkeliin liittyvä kuva
Artikkeliin liittyvä kuva

Ison-Britannian kyberturvallisuuskeskus (NCSC) on antanut varsin näppärän salasanasuosituksen. Sen avulla kuka tahansa voi tehdä monimutkaisen salasanan, joka on myös käytännöllinen, The Guardian kirjoittaa.

Kaiken lisäksi menetelmällä luotu salasana voi olla jopa parempi kuin perinteisesti monimutkaisena pidetty vaihtoehto.

NCSC suosittelee yksinkertaisesti käyttämään kolmen satunnaisen sanan yhdistelmää. Näin salasana muodostuu sitä murtamaan valjastetun algoritmin perspektiivistä epätavanomaisista kirjainyhdistelmästä. Sen sijaan perinteisesti hyvinä pidetyt salasanat saattavat olla verkkorikollisten perspektiivistä huomattavasti helpommin murrettavissa.

Salasanaa pyritään usein monimutkaistamaan loogisilla keinoilla, jotka pysyvät myös salasanan luojan itsensä mielessä. Asiantuntijoiden mukaan esimerkiksi o-kirjaimen korvaaminen nollalla tai numero 1:n korvaaminen huutomerkillä ovatkin käytännössä merkityksettömiä salauskeinoja, sillä tällaiset strategiat ovat hyökkääjien tiedossa.

Kolmen sanan salasanan vahvuutena on myös sen pituus.

Luonnollisesti tämäkään ratkaisu ei ole 100 prosenttisesti turvallinen, varsinkaan jos käytetyt sanat liittyvät toisiinsa. Kyseessä on kuitenkin oikein käytettynä sekä turvallinen että hyvin käyttökelpoinen menetelmä salasanojen luomiseen.

Sinänsä mukavalta kuulostavassa ohjeessa on kuitenkin se heikkous, ettei neuvotun kaltainen salasana aina kelpaa. Esimerkiksi joissakin palveluissa salasanan kerta kaikkiaan edellytetään sisältävän sekä isoja että pieniä kirjaimia, numeroita ja erikoismerkkejä.

LÄHDE: TIVI/Samuli Leppälä 10.08.2021

Turvallisesta pin-koodista

Tietoturva

Luulitko, että 6 numeroa on turvallisempi kuin 4? Eipä ole, kun ihmiset valitsevat pin-koodinsa niin tyhmästi

Satunnaisesti arvottu 6 numeron pin-koodi olisi sata kertaa parempi kuin 4-numeroinen. Käytännössä niillä ei ole mitään eroa, sillä ihmiset valitsevat koodinsa aivan liian laiskasti.

Artikkeliin liittyvä kuva

Puhelinten oletusarvoiset pin-koodit ovat tunnetusti neljän numeron mittaisia. Koodin vaihtaminen kuusinumeroiseksi tekisi siitä sata kertaa turvallisemman, sillä kuudesta numerosta saa muodostettua miljoona yhdistelmää ja neljästä numerosta vain 10 000.

Näin teoriassa – olettaen, että numerot arvotaan täysin satunnaisesti.

Käytäntö sen sijaan on toinen, sillä ihmiset eivät valitse pin-koodejaan riittävän hyvin, vaan aivan liian usein sortuvat käyttämään helposti arvattavia koodeja kuten 1234, 2580 (eli puhelimen näppäimistön pystyrivi), 123456 tai 112233. Tämän seurauksena kuusinumeroiset koodit eivät ole oikeastaan lainkaan turvallisempia kuin nelinumeroiset, paljastaa tuore saksalais-amerikkalainen tutkimus (lehdistötiedote).

Joissakin tapauksissa 6 numeron koodit voivat olla jopa vähemmän turvallisia, koska nelinumeroisten koodien tapauksessa ihmisten mielikuvitus vaikuttaa olevan parempi.

Täsmennettäköön tässä kohtaa, että tutkimuksen keskeinen anti ei ollut 1234-koodin suosion arvaaminen. Tämä seikka ei ole uutta tietoa eikä muutenkaan varsinaisesti rakettitiedettä. Sen sijaan 4 ja 6 numeron eroja käytännön tietoturvassa ei ollut vertailu ennen.

Professori Markus Dürmuthin johtamien tutkijoiden oletuksena oli niin sanottu rajoitettu (engl. throttled) hyökkäys, jossa luvallisten arvausten määrälle on annettu katoksi esimerkiksi 3 tai 10 kertaa kaikkiaan, tai tietty määrä koodeja tunnissa. Tämä vastaa tosimaailmaa ja on välttämätöntä, sillä ilman rajoituksia haittaohjelmat murtaisivat niin 4 kuin 6 numeron koodit silmänräpäyksessä.

Toiseksi oletukseksi valittiin, ettei hyökkääjällä ole mitään henkilökohtaista tietoa kohteestaan. Niinpä tutkijat käskivät oman ”haittaohjelmansa” aloittamaan pin-koodeista, jotka ovat ennestään tunnettujen tietokantojen mukaan kaikkein yleisimmät, ja jatkamaan listaa pitkin järjestyksessä alaspäin.

3 arvauksella murtuu jopa 13 % koodeista

Jos ohjelman käytössä oli kolme arvausta, se arvasi koehenkilöiden asettamat nelinumeroiset koodit parhaita pin-tietokantoja käyttäen noin 9 prosentissa tapauksista. Kymmenellä arvauksella menestys nousi 19 prosenttiin ja 30 arvauksella jopa 33 prosenttiin.

6 numeron koodeilla vastaavat luvut olivat 13, 17 ja 22 prosenttia. Toisin sanoen kolmen arvauksen tapauksessa kuuden numeron koodit olivat jopa huonompia kuin nelinumeroiset. Kun arvauskertoja annetaan lisää, 6 numeron suhteellinen turvallisuus kuitenkin paranee.

Edelliset lukutiedot kertoo tutkijoiden tieteellinen raportti, jonka he ovat julkistaneet ArXiv-palvelussa. Tutkimukseen osallistui 1220 koehenkilöä.

Tämä uutinen ei koske satunnaisesti generoituja pin-koodeja, kuten pankkikorttien ja henkilökorttien oletuskoodeja. Sellaisten tapauksissa 6 numeroa on, kuten alussa todettiin, oleellisesti parempi.

Jos satunnaisia numerosarjoja pystyy muistamaan, on niiden käyttö myös puhelimessa suositeltavaa.

LÄHDE: TIVI/Tuomas Kangasniemi 12.03.2020