WhitestoneWhitestone

Seuraavaksi tärkeää asiaa salasanoista. Salasanat koskettavat varmasti jokaista internetin käyttäjää. Osalla on yksi, suurimmalla osalla useampi. Jotkut salasanoista sisältävät yhdistelmän isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Näitä käytetään joko käyttäjän toimesta tai palvelun salasanavaatimuksien takia. Osa salasanoista voi olla esimerkiksi muutama toisiinsa liittymätön sana tai runo. Blogikirjoituksessa pureudutaan hieman siihen, mikä on salasanan reitti rekisteröitymislomakkeesta palvelimelle, mikä on hyvä salasana ja miksi ja miten tämä kaikki koskee loppukäyttäjää.

Tietojen matka palvelimelle ja salasanan tiivistäminen

Kun täytät rekisteröitymissivulle käyttäjätunnuksen ja salasanan ja painat OK-nappia, lähtevät tietosi, salasana mukaan lukien, palvelun ylläpitäjän palvelimelle. Ilman salausta, kuka tahansa tiedonsiirron väliin änkeytynyt voi kaapata tietosi huomaamatta. Tietokoneen tai puhelimen ja kohdepalvelimen välissä on monta askelta. Yksi niistä on reititin, eli se pieni laite, joka jakaa WiFi:ä kotisi nurkassa. Kuka tahansa jolla on pääsy reitittimeen, voi tarkastella tietokoneesi ja internetin välistä liikennettä. Yleistä WiFiä käyttäessä tarkkailija voi esimerkiksi olla hotellin tai ravintolan teknisestä infrastruktuurista vastuussa oleva henkilö. Käyttäessäsi julkista WiFiä, ei voikaan koskaan tietää onko joku välissä tarkkailemassa. Teoriassa myös naapuri voi olla tunkeutunut kotireitittimeesi.

Tämän takia on tärkeää, että tiedot kulkevat tietokoneelta kohdepalvelimelle, aivan alusta loppuun, salattuna. Iso osa nettisivustoista käyttääkin jo SSL-salausta, jonka tunnistaa https-alusta selaimen osoitepalkissa ja osoitepalkin vasemmassa reunassa olevasta vihreästä lukosta. Tämä ei estä korruptoitunutta hotellin IT-tukea tarkkailemasta millä sivustoilla käyt, mutta se estää tietokoneen ja palvelimen välillä kulkevien tietojen, mukaan lukien salasanasi, lukemisen. SSL-salauksen käyttö on palvelun omistajan vastuulla ja sen käyttöönotto vaatii SSL-sertifikaatin hankkimisen ja asennuksen.

Kun tiedot ovat siirtyneet internetin välityksellä palvelimelle salattuna tai salaamattomana, siirtyvät ohjat verkkosivuston tai verkkokaupan palvelimella pyörivälle ohjelmistolle. Ennen kuin henkilötietosi tallennetaan tietokantaan, ohjelmiston koodari on (toivottavasti!) suunnitellut ohjelmiston siten, ettei salasana ole kenellekään tietokantaan pääsevälle luettavissa. Ei koodarille itselleen, eikä edes verkkokaupan pitäjälle.

Ennakointi on ainut tapa estää tietovuodot

Jo ohjelmistoa suunnitellessa tulisi varautua pahimpaan mahdolliseen skenaarioon. Monelle kuuluisalle sivustolle, liikevaihtoon katsomatta, on käynyt niin, että tietokanta on vuotanut villiin internetiin kaikkien luettavaksi. Vaikka tämän tapahtuminen pyritään aina estämään lukuisin keinoin, on turha ottaa ylimääräisiä riskejä säästämällä tietoturvassa. Potentiaalisen tietokannan vuotamisen aiheuttaman uhan takia salasanat tiivistetään (hash) yksisuuntaisesti. Mahdollisimman simppelisti sanoen: salasana annetaan kryptografiselle tiivistefunktiolle, joka palauttaa takaisin sekalaisen kasan merkkejä. Tämä merkkijono tallennetaan salasanasi sijaan tietokantaan. Jujuna tässä on se, että salasanasta saa aina tämän merkkijonon, mutta merkkijonosta ei saa enää koskaan salasanaa. Vaikka tietokanta vuotaisi vääriin käsiin, on salasanoista tallella ainoastaan tiiviste.

Tiivistealgoritmejakin vastaan esiintyy usein hyökkäyksiä. Siksi on tärkeää olla ajan hermolla. Vaikka tiiviste olisi yksisuuntainen, on mahdollista kokeilla yksi kerrallaan kaikkia mahdollisia kirjainyhdistelmiä tiivistefunktion läpi. Ajan saatossa tietokoneet ovat nopeutuneet huomattavasti, jonka myötä kirjainyhdistelmiä on mahdollista kokeilla nopeammin tiivistefunktioiden läpi, kunnes saadaan lopputulokseksi kohdetiiviste - joko törmäyksen tai oikean yhdistelmän myötä. Törmäys tarkoittaa sitä, että joku toinen kirjainyhdistelmä toteuttaa saman tiivisteen lopputulokseksi. Tämä ongelma koskee pääasiassa vanhempia tiivistealgoritmeja. Uudemmat ja paremmat algoritmit ottavat törmäykset paremmin huomioon ja ovat hitaampia, joka hidastaa salasanojen murtamista.

Hyvä salasana

Hyvän salasanan resepti piilee pitkälti entropiassa. Siksi vaatimukseksi ei riitä se, että salasanassa on vähintään yksi kirjain ja erikoismerkki, tai että se on 12 merkkiä pitkä. Se ei myöskään luonnollisesti saisi olla helposti arvattavissa. Arvaaminen ei koske ainoastaan ihmisiä. Salasanojen murtamisessa käytetään sanalistoja, jotka sisältävät tuhansia yleisiä sanoja. Pitkä salasana sisältää rikkaan määrän eri merkkejä ja täten yleensä täyttää vahvan salasanan vaatimukset.

Esimerkiksi T3h0sek0it!n saattaa olla hyvinkin riittävä salasana, mutta se on hankala muistaa. Mikä kirjain korvattiinkaan numerolla? Missä se huutomerkki olikaan? Sen sijaan esimerkiksi Tehosekoitin on iltaisin päällä! tai vastaava keksitty lause, on helppo muistaa muutaman toiston jälkeen, sillä se on riittävän absurdi ja näin ollen myös erittäin vahva salasana.

Ihmiset ovat rajatulla aivokapasiteetillaan huonoja muistamaan kaikkia salasanojaan. Salasanan tulisi aina olla uniikki, sillä et tiedä miten sitä käyttämässäsi palvelussa käytetään ja käsitellään. Salasanan vaativia palveluja saattaa olla aktiivisella tietokoneen käyttäjällä satoja. Kaikissa niistä vahvojen uniikkien salasanojen käyttö kuulostaa mahdottomalta. Onneksi tähän voi lainata tietokoneelta apua. Aiheeseen tarkemmin perehtyneet ovat kehittäneet ohjelmia ja palveluita jotka vähentävät muistettavien salasanojen määrän yhteen. Näitä ovat esimerkiksi KeePassXC ja LastPass. Ensimmäinen tallentaa salasanat suojattuun tiedostoon, jota voi liikutella laitteiden välillä esimerkiksi käyttämällä Dropboxia tai vastaavia palveluita. Jälkimmäinen taas toimii netissä, joka tekee käytöstä simppelimpää, mutta vaatii luottoa palveluun. Kummatkin esimerkit suojaavat eri palveluiden uniikit salasanat käyttämällä yhtä pääsalasanaa, jonka avulla vain salasanan tietävä voi purkaa suojauksen.

comments powered by Disqus

Lue myös

Siirry ylös
Haluatko kuulla lisää?

Jätä yhteystietosi niin kerromme lisää.