Tutkimus: salasanat usein helposti arvattavissa

Oliko tämä vitsi? Äänen generointi on erittäin helppoa nykytekniikalla. Lisäksi tuon tarvittavan äänen saa vielä erittäin helposti talteen... vielä uhrin siitä mitään tietämättä. Ja mitä tulee tuon luotettavuuteen ja käyttökelpoisuuteen? Äänen murrokset, flunssa jne. Kävin vähän testailemassa täällä: http://www.voice-security.com, mutta ei vakuuttanut ainakaan minua. En tiedä kuinka pätevä tuo on, mutta helposti pystyi nauhottamaan omaa ääntä (siis ihan monitoriin sisäänrakennetulla paskalla mikrofonilla) ja sen jälkeen tunnistautumaan.

Mistä puhut? Kyllä ihmiskontakti aina jonkun helvetin kännykkävastaajan voittaa.

Tuo quotaaminen oli muuten hieman koomista.

Itselläni on hieman kokemusta ranskalaisen ActivCardin HW-tokenista. Siinä käytetään ns. two-factor authenticationia.

Ominaisuuksia:

a. Käyttäjällä on oltava juuri tietty HW-token
b. Käyttäjän pitää tietää HW-tokenin PIN-koodi
c. Käyttäjän on tiedettävä oma käyttäjätunnuksensa (ja mahdollisesti salasana, siis eri kuin HW-tokenin generoima)
d. HW-token generoi kertakäyttösalasanan

Sisään palveluun voidaan kirjautua esim näin:

1. käyttäjä syöttää käyttäjätunnuksen
2. käyttäjä käynnistää hw-tokenin, syöttää pin koodin ja luo uuden kertakäyttösalasanan.
3. käyttäjä syöttää tämän kertakäyttösalasanan lomakkeeseen ja authentikoi itsensä.

tai

1. Käyttäjä syöttää käyttäjätunnuksen
2. Käyttäjä syöttää salasanan
3. Palvelin tarkistaa asian ja luo tunnistenumeron
4. Käyttäjä käynnistää hw-tokenin ja syöttää sille PIN koodin
5. Käyttäjä syöttää hw-tokenille palvelimen luoman PIN koodin (joka on käyttäjä ja token kohtainen).
6. Käyttäjä syöttää tämän hw-tokeniin ja saa vastaukseksi kertakäyttöisen varmenteen
7. Käyttäjä syöttää varmenteen.

Eri asia on, että voiko hw-tokeniakaan kovin moneen asiaan suositella. Lähinnä sellaisiin tilanteisiin, jossa suuria rahavirtoja vaihdetaan yritysten (esim. pankit) välillä. Ongelmia noiden kanssa tulee siinä tilanteessa, kun token hajoaa, tai kun siitä loppuu patterit jne. Siis lähinnä sellaisisa ongelmia, että rahaa ei liiku (parempi sekin kuin se, että rahaa liikkuu vääriin paikkoihin). Noihin järjestelmiin voidaan suunnitella sitten kaiken maailman aika katkoja, esim. käyttäjän on syötettävä vaihtuva hw-tokenin luoma koodi esim. 2 minuutin sisällä siitä, kun palvelin on lähettänyt varmisteen, käyttäjä tunnuksia voidaan lukita väärien yritysten seurauksena ja muutoinkin tuolla päästää aika luotettavaan tilanteeseen. Toki se saaattaa olla edelleen mahdollista, että käyttäjää kiristetään ase ohimolla syöttämään tietoa, mutta sekin voidaan rajata esim. siten, että noita siirtoja voidaan tehdä vain tietyssä paikassa, jossa on hyvä valvonta jo sielläkin. Edelleen on pieni kiristyksen mahdollisuus. Kuitenkin tässä tilanteessa käyttäjä ottaa joko poliisiin yhteyttä tai käy tekemässä tarvittavan siirron (jos uskoo, että niin on parempi... esim. oma perhe vaarassa). Luulisin, että käyttäjä olisi tämän jälkeen aika vahvoilla oikeudessa (jos sinne mentäisiin). Voidaan toki vaatia myös useampaa käyttäjää tunnistamaan joku tietty transaktio, jos niin halutaan.

Minulla on kokemusta tuosta SecurID-järjestelmästä. Järjestelmä on ranskalaisten ylläpitämä, joka lienee sen suurin ongelma - asiat kun ei tuppaa siellä päin olemaan niin tarkkaa. Jos oletettaisiin että ylläpito toimisi hyvin, eikä palvelimet olisi koko ajan nurin, niin järjestelmä on ihan käyttökelpoinen - tosin käyttäjälle hieman työläs. Avaimenperätokenit toimivat teknisesti huomattavasti luotettavammin kuin luottokortin kokoiset läpyskät - näissä avaimenperissä on toivoa että ihmiset jopa kuljettaisivat niitä mukana, nuo kortit kun lojuvat pöydällä koneen vieressä ja korttiin on printattu käyttäjätunnus ja käyttäjät itse ovat kiinnittäneet PIN-koodin tarralla korttiin, ettei vaan unohdu! Eli jos fyysinen turvallisuus brakaa, niin ei näistäkään ole paljoa lohtua, olettaen että murtautuja tuntee SecurID:n toimintaperiaatteen.

Ainoa järkevä (= ei työläs) tunnistautumisratkaisu olisi avainmenperätoken, jossa on sormenjälkitunnistin. Tällöin tunnistautuminen olisi turvallista - sormenjälki toimisi PIN-koodina, eikä käyttäjän tarvitsisi muistaa kuin pitää avaimenperä mukana. Ja sen verran kai kuitenkin voi vaatia.

Mahtaako tuollaisia mokkuloita olla vielä? Hiirissä ja koneissa sormenjälkitunnistimia on, mutta onko esim. USB-liitäntäisiä avainmenperämalleja sormenjälkitunnistuksella? Ilman sormenjälkeä kyllä löytyy.

--Sammy

Aivan. Voi vaikka miettiä jonkin helposti muistettavan (mutta vaikeasti arvattavan) lauseen tyyliin: Sektori on kiva ja hauska media.

Siitä poimii sitten vaikka pari ensimmäistä merkkiä pidemmistä sanoista ja lisää satunnaisen numeron perään/väliin: SeKiHaMe145

Sitten pitää vain muistaa tuo lause ja numero ja omatapa tehdä noita salasanoja. Siitä saa helposti pitkiäkin salasanoja, jotka eivät näytä järjelliseltä. (Pitää vain varoa lauseita, joista muodostuu tuolla algoritmilla oma nimi jne ;D)

Numeroita miettiessä kannattaa myös välttää sellaisia merkityksellisiä numeroita, joilla on merkitystä muista yhteyksistä (pätee myös esim. palvelimen/palomuurin portteja avattaessa)

Esim. "666", "42", "69", "007", omasta osoitteesta poimittu, syntymäaika jne, jotka voi ulkopuolinen arvata helposti, kannattaa välttää.

Yksi pahimmista ongelmista tietoturvan saralla on näennäinen tietoturva; jokin vaikuttaa turvalliselta, mutta ei sitä sitten kuitenkaan ole.

Esimerkiksi NT-verkon salasanoissa tuo mainitsemasi salasana ei ole loppujen lopuksi kauhean turvallinen - siitä kun puuttuvat erikoismerkit kokonaan. En ole NT-salasanoihin ja niiden aukilaskemiseen juuri jaksanut perehtyä, mutta ymmärsin että salasanat voi jakaa (purkamisen yhteydessä) tietyn pituisiin osiin, joita sitten voi jokaista koittaa laskea auki yksitellen. Varmin tapa, jos ei kokonaan välttää niin ainakin hidastaa aukilaskemista olisi siis käyttää merkkejä kaikista kategorioista; pienet ja isot kirjaimet, numerot ja erikoismerkit.

Nimim. tulipa ilmoitus ylläpidolta että salasanani oli saatu laskettua auki