Sähköpostiin yritetty tunkeutua?

Liittynyt
18.01.2017
Viestejä
529
Itseasiassa itsellenikin on viime aikoina tullut viestiä noista MS accountin epäillyttävästä toiminnasta. Jostain aasiasta yritetty loggaa tms. Onkohan jotain suurempaa testailua botnetillä?
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
Botnetit on jo parisen vuotta jauhanut tilejä Office 365:sta IMAPin kautta, siinä heikompi suojaus ja MFA voi potentiaalisesti ohittaa. Liekkö tarpeeksi moni laittanut IMAP pois päältä / MFA päälle niin pitää laajentaa.

2-Vaihe kirjautuminen päälle MS Accounttiin
 

Freeze

Elitisti
Team Folding @ Home
Liittynyt
17.10.2016
Viestejä
2 108
Olihan noita näemmä itselläkin 2 kpl kuukauden aikana, Indonesiasta ja Kiinasta. Indonesian yritys tuli kuulema jonkin yliopiston koneelta. 2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.
 
Liittynyt
18.10.2016
Viestejä
1 800
Joku siis todellakin käyttää Microsoftin tilejä johonkin? Mielenkiinnosta miksi ja/tai mihin?
 

Freeze

Elitisti
Team Folding @ Home
Liittynyt
17.10.2016
Viestejä
2 108
Tämä, ja päämailitilinä.
 
Liittynyt
07.07.2019
Viestejä
1 395
2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.
Kyllä tuota jatkuvaa murtoyritysten tulvaa on tullut seurattua jo vuosia. Kiinta / Intia yleensä listalla.

Kun sanoit 2FA tarkoitit varmaan TOTP:ia?

Jotenkin kyllästyttää toi 2FA:n rajaton julistus. Kyllä siitä on hyötyä niissä tilanteissa, että hyökkääjä tietää salasanasi. Mutta salasanan arvaaminen on niin turhaa, ettei sitä kannata yrittää. Erilaisa yritetään arvata salasana hyökkäyksiä tulee aivan non-stop floodina kaikkiin palveluihin joissa on salasana-autentikointi käytössä. -> Kannattaa käyttää salasanoja joiden arvaaminen käytännössä täysin mahdotonta.

Toinen sasanoihin ja autentikointiin ikuisesti kyllästymiseen asti liittyvä jankutus on se, että entäs jos salasanat paljastuu? Tuota niin? Jos hyökkääjillä oli pääsy järjestelmään, josta ne sai kopioitua salasanat. Niillä oli todennäköisesti myös mahdollisuus kopioida data. -> Riippuen hykkäyksestä ja toteutuksesta, 2FA voi olla hyödyllinen tässä tilanteessa. - Mutta koska salasanat ovat pitkiä ja palvelukohtaisia, jos salasanat on edes hashatty (saltit, scryptit) ja muut unohtaen, on niiden murtaminen jälleen kerran lähes mahdotonta.

Itse käytän vähemmän tärkeisiin palveuihin ja salaukseen 20 merkkisiä sanasanoja, ja tärkeämpiin 42 merkkisiä salasanoja. Nuo on sopivat perustasot (~128 bittiä ja ~256 bittiä) on kuitenkin huomioitava, että riipuen salasanan sisällöstä, nuo bittimäärät eivät aivan ehkä täyty.

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tärkeintä on muistaa siis nuo kaksi periaatetta:
1) Vahva salasana
2) Ei koskaan salasanan uudelleenkäyttöä
3) MFA käytössä, jos suinkin mahdollista
4) Kirjaudu järjestelmiin vain oikeasti luotetuista järjestelmistä.

Nyt autentikointi itsessään ei ole enää heikoin lenkki, eikä mikään random skannailu tuota tulosta. Toisaalta, normaalilla käyttäjällä ei ole käytännössä minkäänlaista mahdollisuutta suojautua kohdennetulta hyökkäykseltä, jos sellaisen uhriksi jostain syystä joskus joutuu.

Monesti naurattaa se, että erilaiset account recovery passwordit / prosessit / ennakkoon annetut recovery keyt itsessään on paljon heikompia kuin salasana. Muistaakseni mm. Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Viimeisenä voisin myös mainita sen, että Outlook tukee myös Helloa ja WebAuthn / Passwordless kirjautumista. Joka on muuten erittäin näppärä tapa. Voi kirjautua sisään PIN-koodilla tai sormenjäljellä.

Tulipa horinaa, mut nyt oli sopiva fiilis tarinoida.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
MS on poistamassa Basic Auth autentikointia palveluistaan, lakkaa ne sovellussalasanatkin toimimasta. Tosin samalla lakkaa toimimasta kaikki IMAP/POP softatkin mitkä käyttää Basic Authia. Käyttöön jää Modern Auth, mikä on enemmän tai vähemmän sama kuin OAuth standardi.

MS Authenticatorilla voi TOPT koodin lisäksi käyttää myös push notifikaatiota tai aktivoida salasanattoman kirjautumisen missä puhelimen ruudulta painetaan oikeaa numeroa ja pääsee sisään ilman salasanaa. Hello on myös hyvin pätevä, meinaa salasana jo unohtua kun pin koodilla ja notifikaatioilla vaan mennään
 
Liittynyt
17.10.2016
Viestejä
1 304
Eilen alkoi pommitus omaan Gmail osoitteeseen. En käytä kyseistä mailia, mutta siinä on vielä päällä viestin forwardointi omaan Microsoft tilin osoitteeseen. Koneella katsoin outlook.com sivulla muutaman viestin ja phishing tyylistä viestiä oli. Maileissa oli .ics kalenterifile liitteenä. En koskenut liitteisiin enkä linkkeihin. Raportoin ja dumppasin poistoon viestit.

Tänään sitten huomasin, että outlook.comissa jos yrittää avata kalenteria, tulee errori. Mielenkiintoista. Tilillä on MFA päällä, palautuskoodit printattuna. Puhelin ei ole kysellyt ylimääräisiä login varmistuksia eikä turvahistoriassa näy ylimääräisiä logineja.

Potkaisin uuden virtuaalikoneen ylös ja kävin katsomassa URL:eja mitä näkyi muutamassa viestissä. Yksi ohjasi MS:n kirjautumissivulle. Siitä selvisi, että oli luotu minulle tuntematon MS tili käyttäen meikäläisen gmail-osoitetta käyttäjänänimenä. En löydä mitään ilmoitusta MS:ltä minulle, että sähköpostiosoitetta on käytetty uuden tilin käyttäjänimenä. En ole kyllä varma, lähettääkö MS edes sellaista. "Unohdin salasanani" linkin kautta MS lähetti uuden passun Gmail-osoitteeseeni, joten pääsin katsastamaan luodun MS tilin. Totesin sen käytännössä tyhjäksi. Siihen tosin oli liitetty yksi tuntematon Gmail-osoite. Postin ylimääräisen osoitteen, vaihdoin salasanan ja lisäsin oman varmistusmetodin. Kävin Europolin sivuilla lisäämässä tämän sankarin sähköpostiosoitteen kaikille heidän infomaililistoilleen.

Omat tilit siis vaikuttavat olevan ok, ei kirjautumisyrityksiä ja MFA päällä kaikissa. Ainoa mikä tässä mietityttää on nyt tuo oman MS tilin kalenterin sekoilu. Täytyy vielä selvitellä lisää.

Edit: Eipä ne .ics filet sisällä mitään muuta kuin mailissa jo olevan linkin. Osa ei enää toimi, yhdestä Virustotal sanoi malware/phishing.
 
Viimeksi muokattu:
Liittynyt
22.10.2016
Viestejä
7 046
Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A
Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.
 
Liittynyt
17.10.2016
Viestejä
1 304
Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.

Olen arvellut, että käytännössä tarkoitetaan sanayhdistelmän olevan *riittävän* hyvä suoja tavallisen ihmisen tarpeeseen. Kunhan sen valinnassa ei tee virheitä, ei käytä tunnettuja loruja/lauluja/tekstejä, ym.
 
Liittynyt
27.12.2018
Viestejä
2 378
Itsellä on liki 500 merkintää salasanamanagerissa. En pidä realistisena, että muistaisin noista edes murto-osan siltä osin, mihin olen luonut salasanan ja minne en. Puhumattakaan siitä, että muistaisin 500 tosi turvallista riippumatonta salasanarimpsua.

lyhyt vaikeasti muistettava H@k37B on huonompi salasana kuin
pidempi passphrase redthordsmontushranti on huonompi salasana kuin
pitkä satunnainen merkkijono @o7cUO1TZl15YV3Zm@lH*7A7lOhj6kKb

Hyvässä salasanamanagerissa on tietysti pari-kolme huonoa puolta:
1) Joskus harvoin palveluntarjoajalla voi olla ongelma, etkä pysty sillä hetkellä (ehkä tunteihin) kirjautumaan uudella laitteella/browserilla sisään päästäksesi käsiksi salasanoihisi. Todennäköisyys, että nuo sattuu yhtä aikaa on tietysti pieni
2) Palveluun voidaan murtautua ja mahdollisesti päästä salaisuuksiisi kiinni
3) Monessa ympäristössä hyvin toimiva palvelu ei ole ilmainen
 
Liittynyt
21.05.2020
Viestejä
2 373
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.
Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.
 
Liittynyt
27.11.2016
Viestejä
911
Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.
Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.
 

A Lake Elk

BANNATTU
BANNED
Liittynyt
12.11.2019
Viestejä
1 443
Ite oon käsittäny niin et "Brute Force -hyökkäys" tarkoittaa kaikkien kirjain- + merkki- jne. yhdistelmien läpikäytiä ja sanakirja-hyökkäys on sitten eri asia ja siinä käytetään just niitä eri sanoja, eri muodoissa, eri yhdistelmillä, tjms.

Eli meneekö tuossa keskustelussa nyt termit sekaisin brute force - vs. sanakirja hyökkäys?

[edit] Korjausta: Sanakirja hyökkäys (Dictionary attack) on Brute forcen eräs muoto: Dictionary attack - Wikipedia
 
Liittynyt
22.10.2016
Viestejä
7 046
Jos halutaan selvittää koneella jokin salasana, niin tehokkaintahan on aloittaa yleisimpien salasanojen listalla, sitten käydään läpi sanakirja yhdellä sanalla, jonka jälkeen perinteisellä bruteforcella, koska käytännössä se salasana on todennäköisesti melko lyhyt.

Jos salasana on suomenkielinen sana, niin nuo toinen vaihe on käytännössä hyödytön, ellet sitten etukäteen tiedä sitä että murrettava salasana on suomea ja osaa valita suomalaista sanakirjaa. Kaikkien maailman kielien sanojen lisääminen on tietysti mahdollista, mutta ei se enää ole kovin nopeaa sekään.

Mihin kohtaan sen perinteisen bruteforcen sitten lopettaa ja alkaa tekemään tuota sanakirjan sanojen yhdistelyä?

Teoreettisella tasolla tuollainen mielettömän pitkä satunnainen salasana on tietysti se tehokkain, mutta käytännössä se on satunnaisista suomenkielisistä sanoista koostuva pitkä rimpsu. Joku 8 merkkinen salasana on aina huono, oli se sitten kuinka monimutkainen tahansa.

Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.
 
Liittynyt
17.10.2016
Viestejä
1 304
Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.
@Obi-Lan ketjussa mainitsi Microsoft tileihin kohdistuvaan hyökkäykseen. Jo vuosia on yritetty arvailla salasanoja IMAPin kautta. Tälläkin viikolla omalle tililleni näkyy kirjautumisyrityksiä eri maista Aasian suunnalta. Bottiverkolla hyökkääjät pystyvät kokeilemaan salasanoja eri IP-osoitteista, mutta varmasti MS silti rajoittaa yritysten määrää raskaasti.

Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.
 
Liittynyt
21.05.2020
Viestejä
2 373
Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.
Niin, ihan samoin kukaan ei lähde brutettamaan 20 merkkistä satunnaismerkkijonoa.
 
Liittynyt
10.01.2019
Viestejä
16 125
Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.
Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ?

Mutta vähän takaisin asiaan, jos MS outlook.com email palvelussa luopuu perinteisistä kirjautumisista kokonaan, niin siitä tulee monelle ongelmia. Jos palvelu on käytössä ympäristössä jossa ei oikein vaihtoehtoja modernimpaa systeemiin.
 
Liittynyt
07.07.2019
Viestejä
1 395
Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.
Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.

Toisaalta jos puhutaan nykyajasta, niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.
 
Liittynyt
07.07.2019
Viestejä
1 395
Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.
Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.
 
Liittynyt
10.01.2019
Viestejä
16 125
Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran
DiceWare lähestyminen.
?
niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.
?

Noista varmaan suurimmalle osalla enemmän tai vähemmän hyvä käsitys, mutta jos joku osaa kertoa suomenkielellä niin varmaa olisi laajemmin hyötyä maalikoille ja aupua olisi myös tietäville.
 
Liittynyt
17.10.2016
Viestejä
1 304
Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.
Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.

Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.
Totta, sekoitin pullat ja rusinat pahanpäiväisesti.
 
Liittynyt
10.01.2019
Viestejä
16 125
Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.
Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.

Voihan se salasana on lyhyt ja vaikka jopa pelkkiä numeroita jos sitä ei voi arvata ja koneellisesti "voimalla" murtaa.

ne 9x.xx% lopuista voi sitten olla sellaisia mitä keskiverto käyttäjä ei muista, joten ei tarvi olla mitään muistettavaa "heikkoutta", käytettävyys/käyttökelpoisuus siellä sitten tulee vastaan. Eli mitkä ovat kohteen ehdot ja pitää sen olla selalinenkin että on käytettävä vs riski. Eli jos menee liianvaikeaksi ja virheherkäksi syöttää niin ei sekään vastaa useinkaan tarkoitusta kaikissa vs ns turvallisempi.

Sähköposti , mistä kai juttu lähtenyt, ei ole mikään yksioikoinen juttu. Se voi olla se missä tarvitaan muistettava salasana ja ehkä myös riittävän helposti syötettävä. Jossain sitten ei tarvi sekunttiakaan muistaa, jossain sitten tarvitaan kehittyneemmät kirjautumiset.

Normi siviilikäyttäjälle kai tärkeää että on ainakin yksi sähköposti joka luetetulta tarjoajalta ja joka tarjoaa turvalliset menetelmät ja että myös käsittelee sitä mahdollisimman turvallisesti, vaikka vähän käytettävyyden kustannuksella.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
1 304
Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.
Itsellä on hallintaohjelman salasana sellainen, että on vaikeus sitä muistaa jos annetaan kynä ja paperia. Tavallisella QWERTY-näppiksellä se tulee lihasmuistista.

Aiempaan palatakseni: "Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ? "
Minun (heikko) ymmärrys: Outlookin IMAP salasana on vain kirjautumiseen. Liikenne on SSL/TLS salattua. Eli toivottavasti ei ole nopeampaa tapaa hyökätä kuin tekemällä kirjautumisyrityksiä. Ja silloin 16 merkkiä riittänee.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa. Kyllä MS niitä jollain logiikalla rajoittaa ja jossain vaiheessa oli pistänyt duunitilin pahimmillaan kokonaan lukkoon aina määräajaksi kun jostain muaalta tuli niin paljon yrityksiä. Ja kyllä niitä tilejä kuulee korkattaneen, joskus joku yleislaatikko helpolla passulla yms, niistä spämmätään sitten heti phishing viestit laatikosta löydettyjen lähettäjien osoitteisiin joilla mahdollisestii saadaan korkattua pari tiliä lisää jne.

Modern Auth (MS versio OAuth2:sta) tarkistaa salasanan https sessiossa ja sen jälkeen käyttää 1-60pv voimassa olevaa tokenia kirjautumiseen. Tuo on käsittääkseni lisätty myös IMAPiinkin, mutta olen toistaiseksi nähny vaan jonkun helpparisoftan tukevan sitä.
 
Liittynyt
10.01.2019
Viestejä
16 125
IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa.
Kiitos vastauksesta.
Eli salasana ei itsessään vaaranna yhteyden turvallisuutta, eli sen osalta ihan sama kuinka heikko on.

Tuo hyvä muistutus että se lähetetään tiheään, mutta siihen ei taasen auta se että salasana olisi erityisen pitkä, monimutkainen ja monipuolinnen jne. Jos sitä usein lähetystä pitää riskinä siinä mielessä että joku jollain ajalla saisi sen käytetyn salauksen purettua, niin siihen kai paremmi auttaa määräajoin salasananvaihto. (oletetaan että yhteys salattu).


Kyllä MS niitä jollain logiikalla rajoittaa
Tälläinen kuva jaanyt, ehkä jopa käyttöhaittaavan tiukka.

Mutta jos se 16 merkin oikeasti? satunnainen salasana ei ole tunnistamisen kannalta heikko lenkki, vaan jotenkin muuten ? Miten ? Korkkaa MSn palvelimet osittain ja sen myötä tuo sitten avaa lippaan ?


Vähän ärsyttää nämä vihjailut jostain ongelmista, mutta ei kuitenkaan kerrota enempää ja joutuu sitten tyhmänä kyseleen että mistä kyse, että voisi edes vähän arvella onko merkitystä itselle/läheisille.

Jää vähän sellainen susi tulee tarinan viilis, menee ihan hukkaan aikaa
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
IMAPin heikkous on myös siinä, että sen kautta pystyy nopeammin testaamaan eri salasana kombinaatioita.

Salasanan pituuden vaikutuksesta online palveluihin ei pysty antamaan mitään tarkkaa arviota mikä riittää ja mikä ei. Se voidaan laskea, kuinka nopeasti moderni tietokone purkaa salasanan salatusta muodosta. Mutta jos lähdetään siitä, että salasana pyritään arvaamaan kokeilemalla eri yhdistelmiä sivuston kirjautumiseen, tilanne muuttuu. Joku huonosti tehty sivusto voi antaa yrittää kirjautua 100 kertaa minuutissa regoimatta mitenkään. MS palvelussa on algoritmeja päättelemässä, että jos Suomesta on kirjauduttu onnistuneesti, käyttäjä ei voi olla parin tunnin päästä Pekingistä kirjautumassa = blokataan. Tällöin lyhempikin salasana riittää, Microsoft itse sanoo, että 8 merkkinen muuttumaton salasana riittää kunhan on MFA ja risk based kirjautuminen käytössä:

Toi risk based on juurikin algorimetja, jos käyttäytyminen ei täsmää -> kirjautumiseen tulee ylimääräinen MFA haaste. Tuota voinee soveltaa muihinkin palveluihin, missä tulee joko aina MFA kysely tai sen voi ohittaa korkeintaan luotetulta koneelta.

Ja on toki mahdollista, että MS palvelin murrettaisiin, mutta siinä hyökkääjällä on kuitenkin vastassa todennäköisesti 24/7 tiimi ammattilaisia vahtimassa niitä palvelimia.
 
Liittynyt
07.07.2019
Viestejä
1 395
Noista varmaan suurimmalle osalla enemmän tai vähemmän hyvä käsitys, mutta jos joku osaa kertoa suomenkielellä niin varmaa olisi laajemmin hyötyä maalikoille ja aupua olisi myös tietäville.
Diceware, eli luodaan entropia vaikka noppia heittelemällä ja muutetaan ne sanoiksi. Ei sillä ole mitään väilä, mistä se salasanan entropia tulee, kunhan se on riittävä.


PKI = Public Key Infrastructure


Ideana on kuitenkin se, että käytetään moderneja ECC algoritmejä käyttäjän tunnistamiseen. Lisäksi avain voidaan HSM säilöä, jolloin se on erittäin hyvässä turvassa. Eli käytetään erilistä turvasirua tietojen tallentamiseen, niin ettei niitä voida (ainakaan teoriassa) varastaa.

Näähän nyt on kyllä kaikki ihan perussettiä.
 

Aaltoliike

Alkuperäinen jäsen
Liittynyt
19.10.2016
Viestejä
1 249
Itselläni ei ole 2FA käytössä hotmailissa, kun ei pysty Mailbirdillä kattelee sähköposteja jos se on päällä. En oo vielä keksinyt ratkaisua moiseen.
 
Liittynyt
27.12.2018
Viestejä
2 378
Itselläni ei ole 2FA käytössä hotmailissa, kun ei pysty Mailbirdillä kattelee sähköposteja jos se on päällä. En oo vielä keksinyt ratkaisua moiseen.
Thunderbirdiin on ehkä lähiaikoina tulossa jotain tukea. Kokeilin myös java-pohjaista gatewayta DavMail POP/IMAP/SMTP/Caldav/Carddav/LDAP Exchange Gateway. Sillä personal MS Accountin 2FA mobiiliauth kyllä lopuksi toimi, mutta mailit ei kulje:
"AADSTS500201: We are unable to issue tokens from this API version for a Microsoft account. Please contact the application vendor as they need to use version 2.0 of the protocol to support this."
 
Liittynyt
22.10.2016
Viestejä
7 046
Toisaalta noissa yksinkertaisen salasanan palveluissa yksi bruteforcea hemmetisti haittaava systeemi olisi jo luoda esim kahden sekunnin viive sen pyynnön käsittelyyn. Normaali käyttäjälle tuolla ei ole kummoistakaan merktiystä, mutta bruteforcetus menee reisille.
 
Liittynyt
25.10.2016
Viestejä
224
Nykyään ei ole niin tarkkaa perus salasanan monimutkasuus vaan vahvempi tunnistautuminen muuten. Sama koskee kaikkia muitakin palveluja
 
Liittynyt
07.07.2019
Viestejä
1 395


"Just cracked an 18 character password. It was a two word combo that was in one of my dictionary files as a single entry followed by 9 numbers. The first letter was capitalized. Gotta love dictionary + rule attacks. "

Nykyjään murtajat murtaa kyllä yllättävän hankalia salasanoja. Ja mitä sanoin tuosta entropian määrästä, niin noista muodostuvista salasanoista tulee melkoisia monstereita jos haluaa, että entropia on riittävä. Ainoa varma tapa tehdä salasanasta turvallinen on se, että se on riittävän monimutkainen.

128 bittinen salasana:
finished impish footsore spotty entomb bountiful shakily size scant nastily

256 bittinen salasana:
state impeding scarily monsoon dairy overflow caress faculty canon tweet marbling styling symphonic statistic driveway hexagon ligament lankiness probing boaster

Ei nuokaan nyt niin käytännöllisiä enää ole. Imho, on helpompaa syöttää lyhyempi merkkijono, missä on iso entropia, kuin kirjoittaa tuollainen letka. Mutta tämähän onkin vain henkilökohtainen preferenssi.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072


"Just cracked an 18 character password. It was a two word combo that was in one of my dictionary files as a single entry followed by 9 numbers. The first letter was capitalized. Gotta love dictionary + rule attacks. "

Nykyjään murtajat murtaa kyllä yllättävän hankalia salasanoja. Ja mitä sanoin tuosta entropian määrästä, niin noista muodostuvista salasanoista tulee melkoisia monstereita jos haluaa, että entropia on riittävä. Ainoa varma tapa tehdä salasanasta turvallinen on se, että se on riittävän monimutkainen.

128 bittinen salasana:
finished impish footsore spotty entomb bountiful shakily size scant nastily

256 bittinen salasana:
state impeding scarily monsoon dairy overflow caress faculty canon tweet marbling styling symphonic statistic driveway hexagon ligament lankiness probing boaster

Ei nuokaan nyt niin käytännöllisiä enää ole. Imho, on helpompaa syöttää lyhyempi merkkijono, missä on iso entropia, kuin kirjoittaa tuollainen letka. Mutta tämähän onkin vain henkilökohtainen preferenssi.
Tai sitten ottaa käyttöön 2FA:n ja jättää turhat stressailut väliin. Oikeastaan 2FA:lla salasana voisi olla vaikka puolet 18 merkkijonosta ja silti se riittäisi 99,99% kuluttajatapauksissa.
 
Liittynyt
07.07.2019
Viestejä
1 395
Tai sitten ottaa käyttöön 2FA:n ja jättää turhat stressailut väliin. Oikeastaan 2FA:lla salasana voisi olla vaikka puolet 18 merkkijonosta ja silti se riittäisi 99,99% kuluttajatapauksissa.
2FA / MFA optioita on useita, TOTP on pääsääntöisesti aika heikko 2FA, kuten myös erilaiset koodit tekstiviestinä. Parempi vaihtoehto on U2F / FIDO2 / WebAuthn, ja se onkin kyllä aivan löymättömän kätevä ja hyvä. On käytössä mulla ollut jo pitkään. Voin lämpimästi suositella. Olen sen myös itse pariin projektiin integroinut, ei ollut kovin haastavaa.

Edit, just tarkistin, että täällä ei näköjään ole tukea.
 
Viimeksi muokattu:
Liittynyt
14.08.2017
Viestejä
2 343
Täällä ns. kakkospostiin tulee nyt päivittäin ilmoituksia "Epätavallista toimintaa havaittu". Luullakseni nuo johtuvat siitä, että olen tuon kakkospostiosoitteen synkronoinut päämailiin omaksi kansiokseen.

Olen nämä nyt hyväksynyt sillä verukkeella, että kun viimeksi estin kirjautumisen, ei kakkosposti pystynyt enää synkronoimaan päämailiin. Näitä kyselyitä tulee kuitenkin päivittäin eli ei tunnu millään helpottavan. Onko jollain kokemusta tämän ratkaisuun?

outlook imap.png


IP-osoite on aina 10.186.xxx.xxx tai 10.141.xxx.xxx
 
Liittynyt
17.10.2016
Viestejä
1 304
IP-osoite on aina 10.186.xxx.xxx tai 10.141.xxx.xxx
Minusta 10.x.x.x on private network osoite. Ovatko ykkös- ja kakkosmailitilisi samalta palveluntarjoajalta? Jos ovat, niin onhan se outoa että merkitsevät sen epätavalliseksi toiminnaksi.
 
Liittynyt
14.08.2017
Viestejä
2 343
Minusta 10.x.x.x on private network osoite. Ovatko ykkös- ja kakkosmailitilisi samalta palveluntarjoajalta? Jos ovat, niin onhan se outoa että merkitsevät sen epätavalliseksi toiminnaksi.
Kyllä. Molemmat microsoftin tilejä eli mallia
abba@live.fi (ykköstili)
acdc@live.fi (kakkostili)

En siis tosiaan olisi antanut lupaa ilman tuota tietoa, että ovat 10.-alkuisia.
 
Liittynyt
23.10.2016
Viestejä
2 361
Kyllä tuota jatkuvaa murtoyritysten tulvaa on tullut seurattua jo vuosia. Kiinta / Intia yleensä listalla.

Kun sanoit 2FA tarkoitit varmaan TOTP:ia?

Jotenkin kyllästyttää toi 2FA:n rajaton julistus. Kyllä siitä on hyötyä niissä tilanteissa, että hyökkääjä tietää salasanasi. Mutta salasanan arvaaminen on niin turhaa, ettei sitä kannata yrittää. Erilaisa yritetään arvata salasana hyökkäyksiä tulee aivan non-stop floodina kaikkiin palveluihin joissa on salasana-autentikointi käytössä. -> Kannattaa käyttää salasanoja joiden arvaaminen käytännössä täysin mahdotonta.

Toinen sasanoihin ja autentikointiin ikuisesti kyllästymiseen asti liittyvä jankutus on se, että entäs jos salasanat paljastuu? Tuota niin? Jos hyökkääjillä oli pääsy järjestelmään, josta ne sai kopioitua salasanat. Niillä oli todennäköisesti myös mahdollisuus kopioida data. -> Riippuen hykkäyksestä ja toteutuksesta, 2FA voi olla hyödyllinen tässä tilanteessa. - Mutta koska salasanat ovat pitkiä ja palvelukohtaisia, jos salasanat on edes hashatty (saltit, scryptit) ja muut unohtaen, on niiden murtaminen jälleen kerran lähes mahdotonta.

Itse käytän vähemmän tärkeisiin palveuihin ja salaukseen 20 merkkisiä sanasanoja, ja tärkeämpiin 42 merkkisiä salasanoja. Nuo on sopivat perustasot (~128 bittiä ja ~256 bittiä) on kuitenkin huomioitava, että riipuen salasanan sisällöstä, nuo bittimäärät eivät aivan ehkä täyty.

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tärkeintä on muistaa siis nuo kaksi periaatetta:
1) Vahva salasana
2) Ei koskaan salasanan uudelleenkäyttöä
3) MFA käytössä, jos suinkin mahdollista
4) Kirjaudu järjestelmiin vain oikeasti luotetuista järjestelmistä.

Nyt autentikointi itsessään ei ole enää heikoin lenkki, eikä mikään random skannailu tuota tulosta. Toisaalta, normaalilla käyttäjällä ei ole käytännössä minkäänlaista mahdollisuutta suojautua kohdennetulta hyökkäykseltä, jos sellaisen uhriksi jostain syystä joskus joutuu.

Monesti naurattaa se, että erilaiset account recovery passwordit / prosessit / ennakkoon annetut recovery keyt itsessään on paljon heikompia kuin salasana. Muistaakseni mm. Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Viimeisenä voisin myös mainita sen, että Outlook tukee myös Helloa ja WebAuthn / Passwordless kirjautumista. Joka on muuten erittäin näppärä tapa. Voi kirjautua sisään PIN-koodilla tai sormenjäljellä.

Tulipa horinaa, mut nyt oli sopiva fiilis tarinoida.
Miten ihminen voi muistaa ulkoa jotain tuollaisia salasanoja?
 
Liittynyt
19.10.2016
Viestejä
5 887
Pitäähän tuohon hallinta ohjelmaankin muistaa salasana.
Toki. Tosin tuon Bitwardenin saa avautumaan pin-koodilla tai puhelimen puolella sormenjäljellä. Itse master salasanan voi sitten vaikka tulostaa ja heittää varmaan talteen. Ei pääse sekään unohtumaan.
 
Liittynyt
23.10.2016
Viestejä
2 361
Toki. Tosin tuon Bitwardenin saa avautumaan pin-koodilla tai puhelimen puolella sormenjäljellä. Itse master salasanan voi sitten vaikka tulostaa ja heittää varmaan talteen. Ei pääse sekään unohtumaan.
Siinä on sitten kiva näpytellä 40 kirjainta pitkää salasanaa esim pleikkariin tai nintendo switchiiin, kun haluaa kirjautua Bitwanderin avulla tai jollain vaikeella salasanalla.
 
Liittynyt
19.10.2016
Viestejä
5 887
Siinä on sitten kiva näpytellä 40 kirjainta pitkää salasanaa esim pleikkariin tai nintendo switchiiin, kun haluaa kirjautua Bitwanderin avulla tai jollain vaikeella salasanalla.
En nyt ihan täysin ymmärtänyt skenaariota. Eihän tuossa tarvitse kun avata Bitwarden puhelimella tai tietokoneella ja katsoa haluttu salasana. Sen sitten syöttää sinne pleikkaan. Eikä sen tarvitse 40 kirjainta olla jos ei sellaista halua pleikkaan laittaa.

Mielestäni mukavampi muistaa pin-koodi Bitwardeniin ja pitää yksi master password tallessa (Jota ei tarvitse kun Bitwardenia käyttöön ottaessa) kun muistaa jokainen salasana eri palveluun, mutta kaikki tyylillään :thumbsup:
 
Liittynyt
23.10.2016
Viestejä
2 361
En nyt ihan täysin ymmärtänyt skenaariota. Eihän tuossa tarvitse kun avata Bitwarden puhelimella tai tietokoneella ja katsoa haluttu salasana. Sen sitten syöttää sinne pleikkaan. Eikä sen tarvitse 40 kirjainta olla jos ei sellaista halua pleikkaan laittaa.

Mielestäni mukavampi muistaa pin-koodi Bitwardeniin ja pitää yksi master password tallessa (Jota ei tarvitse kun Bitwardenia käyttöön ottaessa) kun muistaa jokainen salasana eri palveluun, mutta kaikki tyylillään :thumbsup:
Jos haluaa turvallisen salasanan niin täällä sanotaan että ne pitäisi olla reilu 40 merkkiä pitkiä, sellaisia salasanoja sitten on kiva näpytellä kun jokainen turhake laite/softa alkaa niitä kyselee.
 
Liittynyt
16.10.2016
Viestejä
2 047
Jos haluaa turvallisen salasanan niin täällä sanotaan että se pitäisi olla reilu 40 merkkiä pitkiä, sellaisia salasanoja sitten on kiva näpytellä kun jokainen turhake laite/softa alkaa niitä kyselee.
Salasanamanageri hoitaa sen näpyttelyn puolestani?
 
Liittynyt
16.10.2016
Viestejä
2 047
Toimiiko se salasana manageri joka softassa tai laitteessa?
En osaa sanoa, minulla ei ole joka laitetta eikä joka softaa.

edit. sitä varten voi käydä managerista sitten vaikka kopioi -> liitä hakemassa salasanan jos menee liian vaikeaksi.
 
Toggle Sidebar

Statistiikka

Viestiketjut
237 472
Viestejä
4 163 386
Jäsenet
70 414
Uusin jäsen
O&G

Hinta.fi

Ylös Bottom