Sinä olet pihalla, en minä. Sen lisäksi, että et ymmärtänyt viestiäni (tai ymmärsit sen tahallasi väärin), niin et ymmärrä, miten salasanojen arvaaminen brute forcella toimii.
Salasanat arvataan joko merkki kerrallaan (jota vastaan lyhyet salasanat ovat heikkoja riippumatta siitä, onko niissä erikoismerkkejä vai ei) tai sana kerrallaan (jota vastaan pitkä salasana on heikko vain, jos se koostuu pelkästään ehjistä ja muuntelemattomista suomen kielen sanoista.
Sen sijaan jos salasana koostuu esimerkiksi sanoista, joista ainakin osaa on muutettu juuri sen verran että niitä ei löydy mistään sanalistasta, niin sellaista salasanaa on varsin hankalaa arvata brute forcella.
Joskus ysärillä, kun brute forcettaminen oli vielä hidasta, se erikoismerkkien lisääminen muuten lyhyeen salasanaan riitti hyvin. Se ei kuitenkaan ole enää pitkiin aikoihin ollut toimiva keino lisätä salasanan turvallisuutta.
Ja tietenkään salasanassa ei kannata käyttää merkkejä, joita ei välttämättä kaikilta näppäimistöiltä löydy.
Sillä ei ole merkitystä, tapahtuuko se lääkevaunun ohjelmiston tekemä automaattinen kirjautuminen koulun muihin järjestelmiin käyttäjätunnus+salasana-yhdistelmällä, niiden hashilla vaiko vaikka jollain tokenilla. Ne ovat kuitenkin käytännön tasolla sama asia eikä se vaikuta itse kirjautumistapahtuman toimintaan mitenkään. Periaate kuitenkin on, että annetaan joku merkkijono (tai kaksi merkkijonoa käyttäjätunnus+salasana-yhdistelmän tapauksessa) ja kirjautuminen sitten joko hyväksytään tai ei hyväksytä. Joka tapauksessa se kirjautumiseen käytettävä tunnus ei voi olla "kryptattuna" siellä vaunun (massa)muistissa, koska se pitää jotenkin saada purettua sieltä ilman että se kryptauksen purkuavain syötetään siihen mistään ulkopuolelta.
Noissa koulun IT-systeemeissä on kyllä sen verran reilusti hyökkäyspinta-alaa, että ihmettelen, miten on päädytty lopputulokseen, että hakkeri olisi päässyt sisään juuri tuon älylääkevaunun kautta.
Jos muistellaan ketjun vanhoja keskusteluja, niin erotella vähän sitä mihin se salasana on, mikä merkitys sen vahvuudella. Jos kyse pääsyn hallinnasta, niin se on ihan sama kuinkapitkä se salasana on jos sen hyökkääjä saa helposti haltuun/selvitettyä. Vertaa esim SIM PIN koodi, joka voi olla hyökkääjälle hyvin vaikea saada haltuun, ja vaikka se yleensä on lyhyt ja tiedetään että se on vain numeroita, niin jos itse kortti ei vuoda, niin se on vaikea selvittää vaikka hyökkääjä saisi kortin haltuun.
Eli tässä johdattelin siihen että arvaamalla/kokeilemalla selvittämiseen vaikuttaa suuresti se kuinka montakertaa voi kokeilla, ja kuinkanopeasti yrittää uudelleen.
Eli vähentämällä aikaa ratkaista pääsysalasana, vähentämällä nopeutta ja vähentämällä kertoja voi vaikeuttaa murtamista, ja se heikkokin "salasana" voi olla riittävän yllättävän vahva. ja hyökkääjä kannattaa käyttää muita konsteja.
Salauksissa joissa itse salaus ei aseta aikarajaa, eikä kokeilurajaa, eikä aikarajaa seuraavaan kokeiluun, (voi jopa kokeilla rajattomasti rinnakain), niin sitten kai kyse siitä kuinka paljon resursseja vaatii yksikokeilu tänään, kuinka paljon tulevaisuudessa. kuinka paljon niitä yrityksiä tarvitaan.
Kuinkapitkään asia pitää pysyä salassa, on ihan eria jos riittää vuosi, vs se että pitäisi kestää 25 vuotta, siis olla vahva luotto että 20 päästä ei ole resursseja millä se murtuu helposti, tai kenelläkään ei ole laittaa resurssia millä sen murtaa.
Katoisoin postaamasi videota, ehkä referaatti ei ihan luonut samaa mielikuvaa mitä videosta tuli. Mutta epäilys oli että hyökkäys oli tehty tämän yhden käyttäjän tunnuksilla, se ei selvinnyt miten ne oli hyökkääjä saanut, mutta tunnusten haltiaa ei epäilty. Mutta on ihan sama miten vahva salasana on, jos hyökkääjällä on se hallussa.
Tunnukset siis siihen etätyöpöytä yhteyteen, missä se idea ettei käyttäjät omine laitteineen pääse suoraan verkkoon, mutta sen verran tukevaan yhteyteen että pääsii eteenpäin, ja seuraava heikkous oli se verkon laite jota ei oltu päivitetty, kaksi muuta oli. eli varsinainen aukko oli vanha ja tunnettu. Eli tässä hyökkääjä oli ilmeisesti täysin ulkopuolinen, mutta olisihan tuon päivitykset pitänyt olla kunnossa , sehän tarjosi hyökkäys mahdollisuutta ihan heillekkin joilla tunnukset itsellä. (siis opisekelin itsensä)
En katsonut videota kokonaann, niin kerrottiinko siellä mitä parannuksia tehty.
