Sähköpostiin yritetty tunkeutua?

Liittynyt
18.01.2017
Viestejä
254
Itseasiassa itsellenikin on viime aikoina tullut viestiä noista MS accountin epäillyttävästä toiminnasta. Jostain aasiasta yritetty loggaa tms. Onkohan jotain suurempaa testailua botnetillä?
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
894
Botnetit on jo parisen vuotta jauhanut tilejä Office 365:sta IMAPin kautta, siinä heikompi suojaus ja MFA voi potentiaalisesti ohittaa. Liekkö tarpeeksi moni laittanut IMAP pois päältä / MFA päälle niin pitää laajentaa.

2-Vaihe kirjautuminen päälle MS Accounttiin
 

Freeze

Elitisti
Team Ryzen
Team NVIDIA
Team Folding @ Home
Liittynyt
17.10.2016
Viestejä
1 338
Olihan noita näemmä itselläkin 2 kpl kuukauden aikana, Indonesiasta ja Kiinasta. Indonesian yritys tuli kuulema jonkin yliopiston koneelta. 2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.
 
Liittynyt
18.10.2016
Viestejä
478
Joku siis todellakin käyttää Microsoftin tilejä johonkin? Mielenkiinnosta miksi ja/tai mihin?
 

Freeze

Elitisti
Team Ryzen
Team NVIDIA
Team Folding @ Home
Liittynyt
17.10.2016
Viestejä
1 338
Tämä, ja päämailitilinä.
 
Liittynyt
07.07.2019
Viestejä
429
2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.
Kyllä tuota jatkuvaa murtoyritysten tulvaa on tullut seurattua jo vuosia. Kiinta / Intia yleensä listalla.

Kun sanoit 2FA tarkoitit varmaan TOTP:ia?

Jotenkin kyllästyttää toi 2FA:n rajaton julistus. Kyllä siitä on hyötyä niissä tilanteissa, että hyökkääjä tietää salasanasi. Mutta salasanan arvaaminen on niin turhaa, ettei sitä kannata yrittää. Erilaisa yritetään arvata salasana hyökkäyksiä tulee aivan non-stop floodina kaikkiin palveluihin joissa on salasana-autentikointi käytössä. -> Kannattaa käyttää salasanoja joiden arvaaminen käytännössä täysin mahdotonta.

Toinen sasanoihin ja autentikointiin ikuisesti kyllästymiseen asti liittyvä jankutus on se, että entäs jos salasanat paljastuu? Tuota niin? Jos hyökkääjillä oli pääsy järjestelmään, josta ne sai kopioitua salasanat. Niillä oli todennäköisesti myös mahdollisuus kopioida data. -> Riippuen hykkäyksestä ja toteutuksesta, 2FA voi olla hyödyllinen tässä tilanteessa. - Mutta koska salasanat ovat pitkiä ja palvelukohtaisia, jos salasanat on edes hashatty (saltit, scryptit) ja muut unohtaen, on niiden murtaminen jälleen kerran lähes mahdotonta.

Itse käytän vähemmän tärkeisiin palveuihin ja salaukseen 20 merkkisiä sanasanoja, ja tärkeämpiin 42 merkkisiä salasanoja. Nuo on sopivat perustasot (~128 bittiä ja ~256 bittiä) on kuitenkin huomioitava, että riipuen salasanan sisällöstä, nuo bittimäärät eivät aivan ehkä täyty.

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tärkeintä on muistaa siis nuo kaksi periaatetta:
1) Vahva salasana
2) Ei koskaan salasanan uudelleenkäyttöä
3) MFA käytössä, jos suinkin mahdollista
4) Kirjaudu järjestelmiin vain oikeasti luotetuista järjestelmistä.

Nyt autentikointi itsessään ei ole enää heikoin lenkki, eikä mikään random skannailu tuota tulosta. Toisaalta, normaalilla käyttäjällä ei ole käytännössä minkäänlaista mahdollisuutta suojautua kohdennetulta hyökkäykseltä, jos sellaisen uhriksi jostain syystä joskus joutuu.

Monesti naurattaa se, että erilaiset account recovery passwordit / prosessit / ennakkoon annetut recovery keyt itsessään on paljon heikompia kuin salasana. Muistaakseni mm. Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Viimeisenä voisin myös mainita sen, että Outlook tukee myös Helloa ja WebAuthn / Passwordless kirjautumista. Joka on muuten erittäin näppärä tapa. Voi kirjautua sisään PIN-koodilla tai sormenjäljellä.

Tulipa horinaa, mut nyt oli sopiva fiilis tarinoida.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
894
MS on poistamassa Basic Auth autentikointia palveluistaan, lakkaa ne sovellussalasanatkin toimimasta. Tosin samalla lakkaa toimimasta kaikki IMAP/POP softatkin mitkä käyttää Basic Authia. Käyttöön jää Modern Auth, mikä on enemmän tai vähemmän sama kuin OAuth standardi.

MS Authenticatorilla voi TOPT koodin lisäksi käyttää myös push notifikaatiota tai aktivoida salasanattoman kirjautumisen missä puhelimen ruudulta painetaan oikeaa numeroa ja pääsee sisään ilman salasanaa. Hello on myös hyvin pätevä, meinaa salasana jo unohtua kun pin koodilla ja notifikaatioilla vaan mennään
 

root

Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
364
Eilen alkoi pommitus omaan Gmail osoitteeseen. En käytä kyseistä mailia, mutta siinä on vielä päällä viestin forwardointi omaan Microsoft tilin osoitteeseen. Koneella katsoin outlook.com sivulla muutaman viestin ja phishing tyylistä viestiä oli. Maileissa oli .ics kalenterifile liitteenä. En koskenut liitteisiin enkä linkkeihin. Raportoin ja dumppasin poistoon viestit.

Tänään sitten huomasin, että outlook.comissa jos yrittää avata kalenteria, tulee errori. Mielenkiintoista. Tilillä on MFA päällä, palautuskoodit printattuna. Puhelin ei ole kysellyt ylimääräisiä login varmistuksia eikä turvahistoriassa näy ylimääräisiä logineja.

Potkaisin uuden virtuaalikoneen ylös ja kävin katsomassa URL:eja mitä näkyi muutamassa viestissä. Yksi ohjasi MS:n kirjautumissivulle. Siitä selvisi, että oli luotu minulle tuntematon MS tili käyttäen meikäläisen gmail-osoitetta käyttäjänänimenä. En löydä mitään ilmoitusta MS:ltä minulle, että sähköpostiosoitetta on käytetty uuden tilin käyttäjänimenä. En ole kyllä varma, lähettääkö MS edes sellaista. "Unohdin salasanani" linkin kautta MS lähetti uuden passun Gmail-osoitteeseeni, joten pääsin katsastamaan luodun MS tilin. Totesin sen käytännössä tyhjäksi. Siihen tosin oli liitetty yksi tuntematon Gmail-osoite. Postin ylimääräisen osoitteen, vaihdoin salasanan ja lisäsin oman varmistusmetodin. Kävin Europolin sivuilla lisäämässä tämän sankarin sähköpostiosoitteen kaikille heidän infomaililistoilleen.

Omat tilit siis vaikuttavat olevan ok, ei kirjautumisyrityksiä ja MFA päällä kaikissa. Ainoa mikä tässä mietityttää on nyt tuo oman MS tilin kalenterin sekoilu. Täytyy vielä selvitellä lisää.

Edit: Eipä ne .ics filet sisällä mitään muuta kuin mailissa jo olevan linkin. Osa ei enää toimi, yhdestä Virustotal sanoi malware/phishing.
 
Viimeksi muokattu:
Liittynyt
22.10.2016
Viestejä
2 001
Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A
Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.
 

root

Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
364
Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.

Olen arvellut, että käytännössä tarkoitetaan sanayhdistelmän olevan *riittävän* hyvä suoja tavallisen ihmisen tarpeeseen. Kunhan sen valinnassa ei tee virheitä, ei käytä tunnettuja loruja/lauluja/tekstejä, ym.
 
Liittynyt
27.12.2018
Viestejä
552
Itsellä on liki 500 merkintää salasanamanagerissa. En pidä realistisena, että muistaisin noista edes murto-osan siltä osin, mihin olen luonut salasanan ja minne en. Puhumattakaan siitä, että muistaisin 500 tosi turvallista riippumatonta salasanarimpsua.

lyhyt vaikeasti muistettava H@k37B on huonompi salasana kuin
pidempi passphrase redthordsmontushranti on huonompi salasana kuin
pitkä satunnainen merkkijono @o7cUO1TZl15YV3Zm@lH*7A7lOhj6kKb

Hyvässä salasanamanagerissa on tietysti pari-kolme huonoa puolta:
1) Joskus harvoin palveluntarjoajalla voi olla ongelma, etkä pysty sillä hetkellä (ehkä tunteihin) kirjautumaan uudella laitteella/browserilla sisään päästäksesi käsiksi salasanoihisi. Todennäköisyys, että nuo sattuu yhtä aikaa on tietysti pieni
2) Palveluun voidaan murtautua ja mahdollisesti päästä salaisuuksiisi kiinni
3) Monessa ympäristössä hyvin toimiva palvelu ei ole ilmainen
 
Liittynyt
21.05.2020
Viestejä
28
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.
Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.
 
Liittynyt
27.11.2016
Viestejä
718
Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.
Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.
 
Liittynyt
12.11.2019
Viestejä
380
Ite oon käsittäny niin et "Brute Force -hyökkäys" tarkoittaa kaikkien kirjain- + merkki- jne. yhdistelmien läpikäytiä ja sanakirja-hyökkäys on sitten eri asia ja siinä käytetään just niitä eri sanoja, eri muodoissa, eri yhdistelmillä, tjms.

Eli meneekö tuossa keskustelussa nyt termit sekaisin brute force - vs. sanakirja hyökkäys?

[edit] Korjausta: Sanakirja hyökkäys (Dictionary attack) on Brute forcen eräs muoto: Dictionary attack - Wikipedia
 
Liittynyt
22.10.2016
Viestejä
2 001
Jos halutaan selvittää koneella jokin salasana, niin tehokkaintahan on aloittaa yleisimpien salasanojen listalla, sitten käydään läpi sanakirja yhdellä sanalla, jonka jälkeen perinteisellä bruteforcella, koska käytännössä se salasana on todennäköisesti melko lyhyt.

Jos salasana on suomenkielinen sana, niin nuo toinen vaihe on käytännössä hyödytön, ellet sitten etukäteen tiedä sitä että murrettava salasana on suomea ja osaa valita suomalaista sanakirjaa. Kaikkien maailman kielien sanojen lisääminen on tietysti mahdollista, mutta ei se enää ole kovin nopeaa sekään.

Mihin kohtaan sen perinteisen bruteforcen sitten lopettaa ja alkaa tekemään tuota sanakirjan sanojen yhdistelyä?

Teoreettisella tasolla tuollainen mielettömän pitkä satunnainen salasana on tietysti se tehokkain, mutta käytännössä se on satunnaisista suomenkielisistä sanoista koostuva pitkä rimpsu. Joku 8 merkkinen salasana on aina huono, oli se sitten kuinka monimutkainen tahansa.

Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.
 

root

Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
364
Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.
@Obi-Lan ketjussa mainitsi Microsoft tileihin kohdistuvaan hyökkäykseen. Jo vuosia on yritetty arvailla salasanoja IMAPin kautta. Tälläkin viikolla omalle tililleni näkyy kirjautumisyrityksiä eri maista Aasian suunnalta. Bottiverkolla hyökkääjät pystyvät kokeilemaan salasanoja eri IP-osoitteista, mutta varmasti MS silti rajoittaa yritysten määrää raskaasti.

Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.
 
Liittynyt
21.05.2020
Viestejä
28
Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.
Niin, ihan samoin kukaan ei lähde brutettamaan 20 merkkistä satunnaismerkkijonoa.
 
Liittynyt
10.01.2019
Viestejä
541
Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.
Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ?

Mutta vähän takaisin asiaan, jos MS outlook.com email palvelussa luopuu perinteisistä kirjautumisista kokonaan, niin siitä tulee monelle ongelmia. Jos palvelu on käytössä ympäristössä jossa ei oikein vaihtoehtoja modernimpaa systeemiin.
 
Liittynyt
07.07.2019
Viestejä
429
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.
Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.

Toisaalta jos puhutaan nykyajasta, niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.
 
Liittynyt
07.07.2019
Viestejä
429
Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.
Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.
 
Liittynyt
10.01.2019
Viestejä
541
Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran
DiceWare lähestyminen.
?
niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.
?

Noista varmaan suurimmalle osalla enemmän tai vähemmän hyvä käsitys, mutta jos joku osaa kertoa suomenkielellä niin varmaa olisi laajemmin hyötyä maalikoille ja aupua olisi myös tietäville.
 

root

Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
364
Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.
Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.

Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.
Totta, sekoitin pullat ja rusinat pahanpäiväisesti.
 
Liittynyt
10.01.2019
Viestejä
541
Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.
Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.

Voihan se salasana on lyhyt ja vaikka jopa pelkkiä numeroita jos sitä ei voi arvata ja koneellisesti "voimalla" murtaa.

ne 9x.xx% lopuista voi sitten olla sellaisia mitä keskiverto käyttäjä ei muista, joten ei tarvi olla mitään muistettavaa "heikkoutta", käytettävyys/käyttökelpoisuus siellä sitten tulee vastaan. Eli mitkä ovat kohteen ehdot ja pitää sen olla selalinenkin että on käytettävä vs riski. Eli jos menee liianvaikeaksi ja virheherkäksi syöttää niin ei sekään vastaa useinkaan tarkoitusta kaikissa vs ns turvallisempi.

Sähköposti , mistä kai juttu lähtenyt, ei ole mikään yksioikoinen juttu. Se voi olla se missä tarvitaan muistettava salasana ja ehkä myös riittävän helposti syötettävä. Jossain sitten ei tarvi sekunttiakaan muistaa, jossain sitten tarvitaan kehittyneemmät kirjautumiset.

Normi siviilikäyttäjälle kai tärkeää että on ainakin yksi sähköposti joka luetetulta tarjoajalta ja joka tarjoaa turvalliset menetelmät ja että myös käsittelee sitä mahdollisimman turvallisesti, vaikka vähän käytettävyyden kustannuksella.
 
Viimeksi muokattu:

root

Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
364
Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.
Itsellä on hallintaohjelman salasana sellainen, että on vaikeus sitä muistaa jos annetaan kynä ja paperia. Tavallisella QWERTY-näppiksellä se tulee lihasmuistista.

Aiempaan palatakseni: "Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ? "
Minun (heikko) ymmärrys: Outlookin IMAP salasana on vain kirjautumiseen. Liikenne on SSL/TLS salattua. Eli toivottavasti ei ole nopeampaa tapaa hyökätä kuin tekemällä kirjautumisyrityksiä. Ja silloin 16 merkkiä riittänee.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
894
IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa. Kyllä MS niitä jollain logiikalla rajoittaa ja jossain vaiheessa oli pistänyt duunitilin pahimmillaan kokonaan lukkoon aina määräajaksi kun jostain muaalta tuli niin paljon yrityksiä. Ja kyllä niitä tilejä kuulee korkattaneen, joskus joku yleislaatikko helpolla passulla yms, niistä spämmätään sitten heti phishing viestit laatikosta löydettyjen lähettäjien osoitteisiin joilla mahdollisestii saadaan korkattua pari tiliä lisää jne.

Modern Auth (MS versio OAuth2:sta) tarkistaa salasanan https sessiossa ja sen jälkeen käyttää 1-60pv voimassa olevaa tokenia kirjautumiseen. Tuo on käsittääkseni lisätty myös IMAPiinkin, mutta olen toistaiseksi nähny vaan jonkun helpparisoftan tukevan sitä.
 
Liittynyt
10.01.2019
Viestejä
541
IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa.
Kiitos vastauksesta.
Eli salasana ei itsessään vaaranna yhteyden turvallisuutta, eli sen osalta ihan sama kuinka heikko on.

Tuo hyvä muistutus että se lähetetään tiheään, mutta siihen ei taasen auta se että salasana olisi erityisen pitkä, monimutkainen ja monipuolinnen jne. Jos sitä usein lähetystä pitää riskinä siinä mielessä että joku jollain ajalla saisi sen käytetyn salauksen purettua, niin siihen kai paremmi auttaa määräajoin salasananvaihto. (oletetaan että yhteys salattu).


Kyllä MS niitä jollain logiikalla rajoittaa
Tälläinen kuva jaanyt, ehkä jopa käyttöhaittaavan tiukka.

Mutta jos se 16 merkin oikeasti? satunnainen salasana ei ole tunnistamisen kannalta heikko lenkki, vaan jotenkin muuten ? Miten ? Korkkaa MSn palvelimet osittain ja sen myötä tuo sitten avaa lippaan ?


Vähän ärsyttää nämä vihjailut jostain ongelmista, mutta ei kuitenkaan kerrota enempää ja joutuu sitten tyhmänä kyseleen että mistä kyse, että voisi edes vähän arvella onko merkitystä itselle/läheisille.

Jää vähän sellainen susi tulee tarinan viilis, menee ihan hukkaan aikaa
 
Toggle Sidebar

Statistiikka

Viestiketjut
92 740
Viestejä
1 899 107
Jäsenet
39 808
Uusin jäsen
YlitaloH

Hinta.fi

Ylös Bottom