Kategoria: Tekniikka

Et tarvitse monimutkaista salasanaa

Jokainen tuntee tyypillisen salasanaohjeistuksen: eri joka palvelussa, vähintään x-merkkiä pitkä, isoja ja pieniä kirjaimia, numeroita, erikoismerkkejä, kissoja, koiria, marsuja jne.

Lopputuloksena on monimutkaisia KRyp7is!ä tekstinpätkiä tallennettuna erinäisiin paikkoihin (KeePass, Post-it). Nämä pyramidien seinistä löydetyt muinaisjäänteet ovat kuitenkin melko turhia.

Mitä oikeasti hyödyt monimutkaisesta salasanasta?

Monimutkaisuus-vaatimus perustellaan aina sillä, että salasana on:

  • vaikea arvata
  • hankala(mpi) murtaa

Jos salasanasi ei ole tyyliin äitisi nimi tai suosikki koripallojoukkueesi, niin millä todennäköisyydellä joku oikeasti arvaa salasanasi?

Salasanojen murtamisella viittaan jompaan kumpaan seuraavista:

  • Hyökätään suoraa palvelun kirjautumistoimintoon.
  • Murretaan jo kaapattua salasanatietokantaa.

Mikäli palvelu on toteutettu järkevästi, niin se ei anna yrittää kirjautumista väärällä salasanalla esimerkiksi viittä kertaa enempää. Tämän jälkeen tunnus lukitaan tai kirjautuminen estetään esim. 10 minuutin ajaksi. Vain nelinumeroisen pin-koodin arvailussakin kestäisi näillä ehdoilla reilu 13vrk!

Mikäli salasanatietokanta on päätynyt hyökkääjille, niin vahinko on jo tapahtunut. Hyökkääjät pyrkivät purkamaan tietokannassa olevat salasanat esimerkiksi sanakirjahyökkäyksillä tai väkisin yrittämällä (ns. brute force taktiikka).

Jos aikaa on, niin jokainen salasana murtuu. Olivat ne sitten monimutkaisia tai eivät. Näin ollen aihetta kannattaakin lähestyä siten, että tekee murtamisen muille hankalaksi, mutta salasanojen muistamisen itselle helpoksi.

Suuri salasanataistelu: ihminen vastaan kone
Ihmisen mielestä monimutkainen 8-merkkinen salasana on: S0l4!#@%
Tietokone näkee asian kuitenkin toisin. Siinä on vain 8 merkkiä, jotka pitää selvittää.

Ihmisen mielestä yksinkertainen ja muistettava (mutta pitkähkö) salasana on YksinkertainenMuttaPitkähköSalasana
Tietokoneen näkökulmasta asia on hankalampi: siinä on jopa 35 merkkiä, jotka pitäisi selvittää.

Käytä yksinkertaisempia, mutta pitkiä salasanoja, niin säästät hermojasi ja parannat tietoturvaasi!

Kolme syytä painaa Win + L

Aina, kun poistut työpisteeltäsi, muista painaa tietokoneesi näppäimistöltä Win + L

Tähän on kolme erityisen hyvää syytä:

  1. Käyttöjärjestelmä menee lukkoon. Muut eivät pääse koneellesi ollessasi muualla.
  2. Toimit esimerkkinä muille ja hehkut oikeaa asennetta ympäristöösi.
  3. Opit muistamaan monimutkaisen salasanasi paremmin…

…kun rustaat sitä kahdeksan kertaa useammin kirjautumisikkunaan yhden päivän aikana.

 

Mikä ihmeen Win-näppäin? Se on Windows-logolla varustettu erikoispainike, joka sijaitsee useimmiten näppäimistön vasemmassa alareunassa.

Oletko sokkoklikkaaja?

Aina, kun olet avaamassa linkkiä sähköpostiviestistä tai nettisivulta, pidä mielessä seuraavat asiat: Linkkiteksti ei kerro, mitä sivua ollaan oikeasti aukaisemassa. Lyhennettyjen linkkien avaaminen on venäläistä rulettia.

Miten linkkejä sitten pitäisi avata?

Kun olet avaamassa linkkiä, niin vie hiiri ensin linkin päälle. Nettiselain näyttää, mihin linkki todellisuudessa vie. Esimerkiksi Mozilla Firefoxissa todellinen osoite näkyy selainikkunan vasemmassa alareunassa.

Vertaa näitä kahta linkkiä:
http://www.google.fi – Oikeasti Googlen nettisivu
http://www.google.fi – Ei vie Googlen nettisivulle
Molemmissa on sama linkkiteksti, mutta varsinaiset linkit vie eri sivuille. Älä luota sokeasti linkkitekstiin!

Ylimääräistä vaivaa aiheuttavat lyhennetyt linkit. Niitä käytetään erityisesti sosiaalisessa mediassa lyhentämään viestejä. Tässä on esimerkiksi eräs lyhennetty linkki tietojesiturvaksi.fi sivustolle: http://goo.gl/oTOD6b

Ennen klikkausta, kysy itseltäsi:
Mihin lyhennetty linkki oikeasti vie?

Tähän ei saa vastausta ilman apuvälineitä. Netissä on useita palveluita, jotka palauttavat lyhennettyä linkkiä vastaavat normaalit osoitteet. Tällaisia ovat esimerkiksi http://wheredoesthislinkgo.com/ ja http://unshort.me/ Lyhennetyn linkin todellinen sisältö kannattaa selvittää, sillä linkki voi sisältää ihan mitä vaan.

Ethän ole venäläistä rulettia harrastava sokkoklikkaaja?

Tietoturvabingon lisäarvonta

Pelasin tässä taannoin tietoturvabingoa erään järjestelmän sekä sen asiakasohjelmiston kanssa. Ohjelmiston idea on näyttää koneelle kirjautuneelle käyttäjälle häneen itseensä liittyviä tietoja, jotka haetaan etäpalvelimelta. Halusin selvittää liikkuuko käyttäjän salasana selkokielisenä ohjelmistosta palvelimelle.

Voitto ei tällä kertaa osunut kohdalle, mutta pääsin sentään mukaan lisäarvontaan. Asiakasohjelmiston kansiosta löytyi nimittäin asetustiedosto, jonka sisältö hieman ihmetytti. Yhdellä rivillä luki näin:
”Tässä määritellään se käyttäjä, jonka tunnuksilla asiakasohjelmistoa ajetaan.”

Testimielessä vaihdoin kyseiselle asetusriville toisen käyttätunnuksen ja käynnistin ohjelmiston uudelleen. Harmikseni saatoin todeta näkeväni toisen käyttäjän tiedot ruudullani. Siis sellaiset tiedot, joiden kuuluisi näkyä vain käyttäjälle itselleen sekä järjestelmän pääkäyttäjälle. Taas ihmetytti..

Otin yhteyttä järjestelmän jälleenmyyjään.

Myyjän asiantuntija vastasi, ettei hän ollut tietoinen kyseisestä asetuksesta. Pyysi ottamaan yhteyttä järjestelmän tekijöihin. Asiantuntija ei siis tuntenut tarjoamansa ratkaisun asetustiedostoa? Edelleen ihmetytti.

Tästä hämmentyneenä lähetin sähköpostia tekijöille. Kyseessä on kuulemma järjestelmässä alusta asti mukana ollut kätevä ominaisuus, jonka avulla käyttäjä saa näkyville tietonsa, vaikka ei olisikaan omalla koneellaan. Voitto!

Seuraavaksi kun järjestelmät vuotaa ja tietoja leviää ulkopuolisille, niin minua ei enää ihmetytä.

Tietosuojan huomioiminen verkkopalveluiden kävijäseurantaohjelmistoissa

Jokainen www-palvelun ylläpitäjä haluaa varmasti tietää paljonko sivustolla on ollut vierailijoita viime aikoina. Yrityksiä kiinnostaa usein myös vierailijan käyttäytyminen www-palvelussa sekä esimerkiksi mainonnan tehon mittaaminen jne.

Tätä varten otetaan usein käyttöön erillinen tilastointiohjelma tai -palvelu, kuten Google Analytics. Hintalapun lisäksi (Google Analytics: nolla euroa) helppo käyttöönotto sekä ohjelmiston kautta saatavat lisähyödyt tekevät palvelusta houkuttelevan.

Uskallan kuitenkin väittää, että monessa organisaatiossa ei varmastikaan ajatella asiaa palvelun käyttäjän näkökulmasta.
Ongelmat ovat nimittäin samat, kuin sosiaalisen median Tykkää/Jaa -nappien tapauksessa.

Samalla kun www-palvelun ylläpitäjä saa haluamansa kävijätilastot, niin vierailijan tietoja saattaa siirtyä myös ulkopuolisille (ja ulkomaisille) palveluntarjoajille. Useimmiten niin, että käyttäjä ei voi tähän mitenkään vaikuttaa.

Törkeimpiä ovat ne sivustot joiden tietosuojaselosteessa valheellisesti väitetään, että käyttäjän tietoja ei luovuteta ulkopuolisille tahoille. Ennen kuin vierailija on ehtinyt edes selosteita lukemaan, tiedot ovat jo päätyneet muualle.

Miten osapuolten tulisi suhtautua asiaan?

 

Käyttäjän vaikutusmahdollisuudet

Aseta selaimen Älä seuraa / Do not track -toiminto päälle.
Tämä kertoo www-palvelulle, että käyttäjä ei halua tulla seuratuksi. Huom! Tämä ei silti estä www-palvelua seuraamasta sinua.

Asenna selaimeen seurannan estäviä lisäosia.
Yleisimmät seurantaohjelmat ja -tekniikat voidaan estää, mutta 100% estoa on hankala toteuttaa.

Pyri liikkumaan verkossa anonyymisti.
Aiheen laajuudesta johtuen kehotan tässä vain tutustumaan esimerkiksi ns. Tor-verkkoon.

 

Verkkopalvelun ylläpitäjän vaikutusmahdollisuudet

Kunnioita käyttäjän tahtoa.
Jos vierailijan selain kertoo, että käyttäjä ei halua tulla seuratuksi, niin kunnioita sitä! Tämä on samalla moraalinen kysymys. Keräänkö käyttäjästä tietoa esim. liiketoiminnan kehittämisen nimissä vai kunnioitanko hänen tahtoaan pysyä piilossa.

Kartoita ohjelmistovaihtoehdot.
Markkinoilla on myös palveluita joissa kerätyt tiedot säilyvät Suomessa. Voit myös itse ylläpitää tilastointiohjelmistoa jolloin kerätty data ei päädy muille!

Rajoita kerättävän tiedon määrää.
Jos keräät tietoa, niin mieti mitä kaikkea tarvitset. Onko sinun esimerkiksi aivan pakko tallentaa käyttäjän IP-osoite kokonaisuudessaan?

Kerro avoimesti toiminnastasi.
Kun keräät tietoa käyttäjän toiminnasta sivustollasi, niin kerro se käyttäjälle selkeästi. Tällöin vierailija voi itse päättää miten asiaan suhtautuu.

Anna käyttäjälle mahdollisuus valita.
Verkkopalvelu voidaan toteuttaa myös siten, että käyttäjä voi itse vaikuttaa hänestä kerättävien tietojen määrään.

 

Laittakaapa jotain kommenttia aiheesta www-palvelun ylläpitäjän tai vierailijan näkökulmasta!