27.4.2013

Syökö nettirosvo salasanan?



Sanan sanotaan olevan miekkaa vahvempi, mutta salasanojen kohdalla se ei pidä paikkaansa. Helppo salasana ei pidä nettirosvoa loitolla. Pelkkä simppeli sana tai numeropötkö ei ole hyvä salasana.

Nettilehdissä kehotellaan aika usein päivittämään omat salasanat ja tekemään samalla niistä vahvempia. Lisäksi muistutellaan, ettei samoja salasanoja pitäisi käyttää eri verkkopalveluissa.


Intrigööri selaili tuossa reilun viikon takuista 19.4. Tekniikka & Talouden paperilehteä , missä on juttu nimeltä "Verkkorikos ja miten se tehdään". Kokonaista juttua ei löydy netistä kuin lehden tilaajille, joten lainailen sitä tässä vähän, koska jutun toimittajan ja haastateltavan (Stonesoftin edustaja) tekemä rautalankavääntö oli itselle tarpeen asian periaatteen oivaltamiseksi. Ehkä joku muukin nettitupelo on ihmetellyt tätä salasanasyndroomaa?

Nääs kun meikä oli nörttipojan ikäinen, oli saavutus jo oppia takomaan konekirjoituskonetta, vieläpä kymmensormisysteemillä (Sitä en ole sen koommin käyttänyt, enkä tarvinnut.) Jutun perusteella asiansa  tai  krakkeri selvittää löysät sanasalat heittämällä, mutta vahvempien salasanojen selvittäminen jää sikseen, jos siihen tuppaisi menemään tehokkaimmillakin värkeillä vuosikausia.

Surkea salasana on esimerkiksi luureista tuttu nelinumeroinen PIN-koodi, minkä arvuuttelu veisi aikaa, vauhdilla viisi arvausta sekunnissa, reilut puoli tuntia. Jos ja kun ammattikrakkeri käyttää nk. "kräkkäystä tiivistetystä muodosta" vauhti onkin jo miljoona arvausta sekunnissa ja PIN-koodi ratkeaa 1 millisekunnissa! Toki puhelimissa semmoinen peli ei onnistu, koska luuri itse katkaisee väärät yritykset kolmeen kertaan.

Tuttu ihminen oli jostain syystä vaihtanut luurinsa suojakoodin, sen viisinumeroisen vakion 12345 johonkin muuhun ja unohtanut uuden koodin melkein saman tien. Siksi se nätti punainen Noksu, kosketusnäytöllä ja numeronäppisellä, sekä 5 mökäpikselin kameralla jää ikiajoiksi hyllylle. Ehkä alan liikkeessä osattaisiin ohittaa suojakoodi, mutta olkoon, kun se varmaan maksaisi enemmän kuin tuon esineen arvon verran.

***
Mutta takaisin tietokoneisiin: T&T:n jutun mukaan jokin sanakirjaan pohjautuva salasana, viisi kirjainta ja yksi numero, ei ole PIN-koodia vahvempi, sillä tuommoinen salasana murtuisi vieläkin nopsemmin.

Kahden sanan ja yhden numeron 12-osainen yhdistelmä, esimerkissä: acetis7stuff murtuisi sekin,  arvausmenettely veisi aikaa jo 140 päivää, mutta se ihmehirmu kräkkerikone söisi tuonkin  salasanan noin minuutissa.

Pelkistä isoista ja pienistä kirjaimista koostuva kuusikirjaiminen salasana aukeaisi vastaavasti joko kahdessa vuodessa tai "turbolla" viidessä minuutissa.

Mutta sitten taulukossa mennäänkin vahvojen salasanojen puolelle: Jos vaivaudut sotkemaan 8-osaisessa salasanassasi viisi isoa ja pientä kirjainta, sekä kolme numeroa, sen arvaaminen veisi melkein 1,4 miljoonaa vuotta. Se nopea kräkkerikonekin arvuuttelisi bitit ja levyt paukkuen semmoista salasanaa peräti seitsemän vuotta. Tässä taitaa olla se käytännön raja, jolloin salasana on turvallinen? Esimerkkinä jutussa on 8-osainen salasana: 5hnJ7n9i.

***
Hakkereilta, krakkereilta ja muilta virtuaalijerkkujen käyttäjiltä saanee ikuisen? turvan sotkemalla 8-osaiseen salasanaan kaikkia ASCII-merkkejä. 

Isoja ja pieniä kirjaimia ja numeroita sotkemalla 12-osaiseen salasanaan saisi olla pöllötellä turvallisin mielin nykytekniikkaa vastaan toista sataa miljardia vuotta. (Tuo hirmuinen lukuhan lähenee jo yksittäisten pienten euromaiden velkasaldoa. Meneeköhän euroalueen ylivelkojen maksamiseenkin yhtä paljon vuosia?)

Näin se on, mutta nettirosvoilla on yhtä monta konstia kuin on meikäläisiä tupeloita netin käyttäjiäkin. Nettipalveluiden tunnuksia ja salasanoja, kuten luottokorttitietoja,  voi vakoilla ja selvittää monin tavoin. Ohjelmistoissa ja kai koneissakin on porsaan tai ainakin ötökän mentäviä reikiä. Tarkemmin niistä ja muusta tietoturvasta kirjoittaminen onkin sitten ammattilaisten hommeleita. 

Intrigööri luulee siis tästä puolin laittavansa salasanansa riittävän turvalliseen kuntoon käyttämällä vähintäin 8-osaista salasanaa, missä on isoja ja pieniä kirjaimia, sekä numeroita. (Jos viitsii, ei kai niitä ihan kaikkia tartte muuttaa?) Salasanaa ei pitäisi etsiä sanakirjoista, mieluummin keksiä ne mistä vain, vaikka vauvankielestä.


***
LISÄYS 4.6.13: Tietokoneen jutussa kerrotaan, kuinka hakkerit murtavat salasanoja helposti vaikka muiden puuhien ohessa: http://www.tietokone.fi/artikkeli/uutiset/salasanojen_turvallisuus_pettaa_hakkeri_murtaa_hetkessa

***
Intrigööri oli ennen jonkin sortin muistihirmu, jos ei tarvinnut tehdä kuin yksi haastattelu päivässä, ei tarvinnut plarata muistivihkoa tai kuunnella nauhaa. Puhelinnumeroitakin muistin melkoisesti, kuten monet muutkin. Se oli sitä aikaa, kun kännykkä ei ollut vielä tyhmistänyt. 

Nyt ei omaan muistiin enää kannata  luottaa. Siispä kirjoitan nettitunnukset ja salasanat muistiin ja tulostan listan paperille, päivitän sitä kynällä ja teen joskus uuden listan. Sen samaisen muistion tuorein päivitys taitaa nytkin olla koneella, mistä se pitäisi vissiin siirtää tikulle ja pöytälaatikkoon turvaan. 

Kone on taas pitkästä aikaa suojattu ihan maksullisella ohjelmalla, kun sen sai halavalla yhdelle koneelle operaattorilta. Täyttä turvaa tunkeutumisilta ei kai saa, pahimmilta haittaohjelmilta ei suojaisi mikään, mutta tuskin kotikoneille tullaan järeillä aseilla tyhjää pyytämään? Bottiverkkoon vissiin kelpaisi, miten lie? 

Jos joku murtautuisi kämppään, niin siinä menisivät  kai muistiot, muistitikut ja konekin. Toivottavasti jäisivät edes kirjastokortti ja radio, tellun voisivat viedä. Elämä on täynnä riskejä, mutta minun kohdallani pelko "omaisuuden" anastamisesta ei ole peloista suurin. Haittaa ja kiusaa konnat kyllä voisivat tehdä. 

On tämä nykymaalima menny mahottomaksi! Ennen oli vain pieni pelko siitä, että joku tuttu murtautuisi salaa jääkaappiin, joisi kaljat ja söisi ruokia, kuten saattoi tapahtua. Nyt kotoisa suomalainen kulttuurimme on rikastunut niin paljon, että kotimurtoja tehdään taas paljon tulevanakin kesänä, yöllä ja päivällä. Rikollisillakin on vapaa liikkuvuus.

Maailma oli ennen teknisesti ja muutenkin vähän yksinkertaisempi, mutta aika mukava. Maalla riitti poissaolon turvaksi, kun oli luudanvarsi ulko-ovea vasten, ei siitä niin kauan ole. Se tapa lienee  tallella vieläkin jossain syrjäkylillä. Naapurit olivat maalla ja kaupungissakin ihmisen paras turva ja auttaja, eivätkä pelon aiheita, kuten nykyisin joskus saattaa sattua.


***  

2 kommenttia:

Nils- Aslak Näkkäläjärvi kirjoitti...

Tuollaisia asioita en tiennytkään salasanoista. Puhelimen PIN- koodin unohdin kerran ja PIN- 2 koodia en löytänyt mistään. Kaivelin nettiä ja siellä kerrotiin operaattorin ratkaisevan ongelman. Ja näin tapahtui! Ei muistaakseni maksanutkaan mitään.

intrigööri kirjoitti...

Joo, ne puhelimien PIN-koodit saa ainakin laskutusliittymiin operaattorilta. Tää mainitsemani Noksu oli pari vuotta sitten ostettu Huutonetistä, eikä ostotietoja ole kuulema enää tallessa. Otin huvikseni selvää sen suojakoodin purkamisesta ja se on kai kotikonstein tekemätön paikka. Huoltoliikkeestä en ole kysynyt, koska se ei ole mikään kallis pulikka. Omalle tietokoneelle ei ole kertaakaan pöpöjä päässyt, muutaman kerran on turvaohjelma vinkaissut.