Millainen on turvallinen salasana?

Yleisesti hyväksytty turvallisen salasanan resepti on seuraava:

  • Helppo muistaa
  • Vaikea arvata
  • Vähintään x merkkiä pitkä
  • Sisältää eri kokoisia kirjaimia, numeroita ja erikoismerkkejä
  • Ei löydy sanakirjasta
  • Eri joka järjestelmässä

Salasanan pituus on hieman kyseenalainen asia. Esimerkiksi ennen on pidetty riittävänä, että 8 merkkiä on tarpeeksi. Nykyään esimerkiksi cert-fi suosittelee, että se olisi vähintään 15 merkkiä. Toisin sanoen, kohta voidaan puhua yleisesti jo salalauseesta!

Salanan on oltava helposti muistettava

Mikäli salasana on liian vaikea, tarvitsee se usein palauttaa mieleen. Ihminen on yleisesti ottaen kuitenkin niin laiska, että jossain vaiheessa hän kuitenkin kirjoittaa sen esim lapulle.

Salasana ei saa olla arvattavissa

Perheenjäsenten, sukulaisten, kaverien ja lemmikkien nimet ovat huonoja salasanoja, koska ne on helppo arvata. Jos jonkun salasanaa pitäisi arvuutella, niin todennäköisesti arvuuttelu alkaisi em listan perusteella. Myös harrastukset ja muut kiinnostuksen kohteet ovat huonoja salasanoja sellaisenaan.

Salasanan pituudella on merkitystä

Nykyaikaiset tietokoneet ovat sen verran tehokkaita laskukoneita, että liian lyhyet salasanat pystytään aukaisemaan kohtuullisen pienellä vaivalla. Ideana tässä on se, että tietokone käy jokaisen vaihtoehdon läpi kunnes löytää oikean. Esimerkkinä kone voisi etsiä 3 merkkisestä salasanasta sitä oikeaa testaamalla ensin aaa, sitten aab, aac, aad ja niin edelleen. Mitä pitempi salasana, sitä enemmän vaihtoehtoja on käytävä läpi!

Kirjaimet, numerot ja erikoismerkit

Edelliseen esimerkkiin viitaten, mikäli käytössä on vain pieniä kirjaimia, riittää että kone testaa merkit a-ö. Jos käytössä on myös numerot, kasvaa lista taas merkeillä 0-9. Jos tähän otetaan vielä erikoismerkkejä !#%& jne, niin lista kasvaa edelleen. Pidemmän listan läpikäyminen kuluttaa enemmän aikaa.

Löytyy vai ei löydy sanakirjasta?

Jos koittaisit arvata jonkun salasanaa, niin yrittäisit varmaan tiettyjä sanoja tietyssä järjestyksessä? Sinulla olisi lista tietyistä sanoista, joita aiot kokeilla. Kuten sanottu, nykyaikaiset koneet ovat niin tehokkaita, että ne tekevät saman operaation erittäin nopeasti. Ei tule siis yllätyksenä, että esimerkiksi tuhansia sanoja sisältävän listan läpikäyminen ei kestä kauaa. Kone käy listaa läpi niin kauan, että oikea sana löytyy. Paitsi tietty jos salasanasi ei ole kyseisellä listalla!

Eri salasana joka järjestelmässä

Mikäli käy niin huonosti, että salasanasi järjestelmään X paljastuu, niin ei hätää jos olet käyttänyt eri salasanaa järjestelmässä Y. Yhden tiedon paljastuminen ei siis vaaranna muita tietoja!

Esimerkki turvallisesta salasanasta

Muutama esimerkki perusteluineen:

  • PeKoOn@Norjassa! = Lyhennys lauseesta Pekan Koti On Norjassa!
  • !#_uusiRisu41ta_#! = helposti muistettavissa oleva kuvio tms

Henkilötiedot leviävät netissä, mitä tehdä?

Eri mediat uutisoivat paljolti 5.11.2011 julki tullutta tietomurtoa, jossa noin 16000 suomalaisen henkilötiedot oli julkaistu netissä.
Lista tiedoista sisälsi esimerkiksi henkilötunnuksen, nimen, kotiosoitteen, puhelinnumeron sekä sähköpostiosoitteen.

Moni listalla oleva varmasti miettii, mitä nyt pitäisi tehdä?

Mielestäni F-Securen tutkimusjohtaja Mikko Hyppönen sanoi hyvin (Nelosen?) uutisissa (6.11.2011), että tapausten uhrit eivät ole syyllisiä mihinkään. Jos olet yksi uhreista, niin yritä ymmärtää se, että tämä tietovuoto ei ole millään tavalla sinun vikasi.
Radio Suomen haastattelema Keskusrikospoliisin ylitarkastaja Sari Kajantie muistuttaa myös, että henkilötunnus ei ole salainen henkilötieto. Vertailuna voidaan esittää esimerkiksi potilastiedot, jotka ovat salaisia. Suomessa henkilötunnusta käytetään yksilöimään henkilö samana päivänä syntyneistä muista henkilöistä.

Henkilötunnus on terminä saanut kuitenkin sellaisen maineen, että se suomalaiset pitävät sitä erittäin tärkeänä ja salaisena asiana. Toisaalta tämä on ihan perusteltua, koska moniin sähköisiin palveluihin pääsee käsiksi tietämällä esimerkiksi henkilötunnuksen, nimen ja osoitetiedot. Henkilötunnusta pidetään tavallaan koodina omalle itselleen.

Nyt kun tiedot ovat jo nettiin päätyneet, ei niitä voi sieltä enää mitenkään saada pois. Aina tulee uusia tahoja, jotka mahdollistavat tietojen saatavuuden. Vuodetut tiedot mahdollistavat pahanteon ja kiusaamisen, mutta todennäköisyys tälle on kyseenalaista. Kannattaa olla jatkossa tarkkana, jos esimerkiksi sähköpostiin tai postiluukkuun tulee epäilyttäviä laskuja tai muita kirjeitä.

Nettiin on ilmestynyt myös palveluita, joissa voit tarkistaa oletko joutunut listalle. Osa palveluista on rakennettu siten, että sivusto kysyy sinulta esimerkiksi henkilötunnusta tarkistusvaiheessa. Siinä vaiheessa pitää hälytyskellojen soida, sinun ei tule antaa tietojasi kyseiseen ”hakulomakkeeseen”. Mistä tiedät, että tietojasi ei kerätä siinä vaiheessa jonnekkin muualle?

Pohdittavaa: seuraavan kerran kun netissä jokin palvelu kysyy henkilötietojasi, mieti mihin ne niitä oikeasti tarvitsevat. Onko heillä oikeasti tarvetta saada esim henkilötunnustasi? Tarkista myös löytyykö sivustolta lain vaatima rekisteriseloste.

Suomen (botti)armeija

Helsingin Sanomat uutisoi 12.10.2011, että Suomi valmistautuu kybersodankäyntiin. Tarkoituksena olisi vahvistaa tietoverkkopuolustusta ottamalla käyttöön myös hyökkäyksissä käytettäviä ”välineitä”, kuten viruksia ja muita haittaohjelmia.

Aihe on mielenkiintoinen ja ajankohtainen. Muut maat ovat myös uutisoineet ottavansa käyttöön vastaavanlaisia toimintoja, hyvänä esimerkkinä (TV:stä tuttu!) Yhdysvaltojen huvittavasti nimetty Cyber Command.

Kauankohan menee, että kaikki Suomen tietokoneet tullaan liittämään yhdeksi suureksi bottiverkoksi, jota voidaan sitten käyttää palvelunestohyökkäyksiin?

Vuoden tietoturvaopinnäytetyö 2011 palkinnot jaettu

Torstaina 22.9.2011 jaettiin ”Vuoden tietoturvaopinnäytetyö 2011” -kilpailun palkinnot. Kilpailussa oli erikseen yliopisto- sekä AMK-sarjat. Yliopistosarjan voitti Aalto-yliopiston Lauri Kiiski ja AMK-sarjan Turun AMK:n Matti Laakso. Lähde www.tietoturva.fi

Kiisken työ on otsikoitu mielenkiintoisesti: ”IP-based Penetration Testing Tools”. Kyseessä on siis selvitys erilaisista IP-pohjaisista haavoittuvuustestaukseen luoduista työkaluista. Varmasti mielenkiintoinen työ, pitänee tutustua heti kun mahdollista!

Oma työni liittyy tosiaan tietoturvasuunnitelman laatimiseen. Tarkoituksena oli tehdä työ, josta olisi hyötyä mahdollisimman monelle. Mukava nähdä että tehtyä työtä arvostetaan!

Virallinen lehdistötiedote on luettavissa tietoturva.fi -sivustolta.

Matti kiittää!

Voiko tietoturvan pettäminen tuhota koko yrityksen?

Viimeisen puolen vuoden aikana internetissä ja alan lehdissä on juteltu paljon ns. varmenneskandaalista. Ensin maaliskuussa 2011 rikollinen taho pääsi käsiksi tietoturvayritys Comodon tytäryhtiön SSL-varmennetietoihin[1] ja myöhemmin syksyllä sama tapahtui yritykselle nimeltä Diginotar[2].

Rikolliset onnistuivat luomaan väärennettyjä SSL-varmenteita, joita sitten esimerkiksi Google, Yahoo, Skype ja Mozilla saivat käyttöönsä[1]. Käytännössä tämä tarkoittaa sitä, että kyseisten palveluiden tietoturvallinen https-yhteys ei todellisuudessa olekaan ollut niin turvallinen.

1 CERT-FI: Vääriä SSL-varmenteita luotu käyttäen varastettuja käyttäjätietoja

2 CERT-FI: Väärennetty SSL-varmenne luotu Googlen osoitteille

 

Asiasta syntyi tapahtuketju, jonka seurauksena Diginotarin varmenteisiin ei enää luotettu ja kyseisen yrityksen varmenteet poistettiin myös eri käyttöjärjestelmistä ja nettiselaimista. Toisin sanoen, yrityksen luottamus on täysin kadonnut ja sitä voidaan pitää lähes kuolemantuomiona nykymaailmassa.

Kysymys: Mieti onko omassa yrityksessäsi jotain tietoa, jonka menettäminen johtaisi vastaavanlaiseen katastrofiin?

Kysymys: Miten olet suojannut liiketoiminnallesi tärkeät tiedot?

Kysymys: Onko yrityksessäsi mietitty, miten liiketoimintaa jatketaan vakavan tietomurron jälkeen?