Sähköpostiin yritetty tunkeutua?

[ratata]

Kiinasta ja muualta on yritetty lähiviikkoina useaan otteeseen sähköpostini IMAP synkronointia. Onko aihetta huoleen?

Täältä tarkastelin viimeaikaista aktiviteettia: Sign in to your Microsoft account

 

[swaggins]

Itseasiassa itsellenikin on viime aikoina tullut viestiä noista MS accountin epäillyttävästä toiminnasta. Jostain aasiasta yritetty loggaa tms. Onkohan jotain suurempaa testailua botnetillä?

 

[Obi-Lan]

Botnetit on jo parisen vuotta jauhanut tilejä Office 365:sta IMAPin kautta, siinä heikompi suojaus ja MFA voi potentiaalisesti ohittaa. Liekkö tarpeeksi moni laittanut IMAP pois päältä / MFA päälle niin pitää laajentaa.

2-Vaihe kirjautuminen päälle MS Accounttiin

 

[Freeze]

Olihan noita näemmä itselläkin 2 kpl kuukauden aikana, Indonesiasta ja Kiinasta. Indonesian yritys tuli kuulema jonkin yliopiston koneelta. 2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.

 

[Tigerou]

Joku siis todellakin käyttää Microsoftin tilejä johonkin? Mielenkiinnosta miksi ja/tai mihin?

 

[jefreitteri]

Microsoftin palveluiden käyttämiseen kenties?

 

[Freeze]

Tämä, ja päämailitilinä.

 

[ztec]

2FA ollut itselläkin päällä jo jonkin aikaa, onneksi.

Kyllä tuota jatkuvaa murtoyritysten tulvaa on tullut seurattua jo vuosia. Kiinta / Intia yleensä listalla.

Kun sanoit 2FA tarkoitit varmaan TOTP:ia?

Jotenkin kyllästyttää toi 2FA:n rajaton julistus. Kyllä siitä on hyötyä niissä tilanteissa, että hyökkääjä tietää salasanasi. Mutta salasanan arvaaminen on niin turhaa, ettei sitä kannata yrittää. Erilaisa yritetään arvata salasana hyökkäyksiä tulee aivan non-stop floodina kaikkiin palveluihin joissa on salasana-autentikointi käytössä. -> Kannattaa käyttää salasanoja joiden arvaaminen käytännössä täysin mahdotonta.

Toinen sasanoihin ja autentikointiin ikuisesti kyllästymiseen asti liittyvä jankutus on se, että entäs jos salasanat paljastuu? Tuota niin? Jos hyökkääjillä oli pääsy järjestelmään, josta ne sai kopioitua salasanat. Niillä oli todennäköisesti myös mahdollisuus kopioida data. -> Riippuen hykkäyksestä ja toteutuksesta, 2FA voi olla hyödyllinen tässä tilanteessa. - Mutta koska salasanat ovat pitkiä ja palvelukohtaisia, jos salasanat on edes hashatty (saltit, scryptit) ja muut unohtaen, on niiden murtaminen jälleen kerran lähes mahdotonta.

Itse käytän vähemmän tärkeisiin palveuihin ja salaukseen 20 merkkisiä sanasanoja, ja tärkeämpiin 42 merkkisiä salasanoja. Nuo on sopivat perustasot (~128 bittiä ja ~256 bittiä) on kuitenkin huomioitava, että riipuen salasanan sisällöstä, nuo bittimäärät eivät aivan ehkä täyty.

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tärkeintä on muistaa siis nuo kaksi periaatetta:
1) Vahva salasana
2) Ei koskaan salasanan uudelleenkäyttöä
3) MFA käytössä, jos suinkin mahdollista
4) Kirjaudu järjestelmiin vain oikeasti luotetuista järjestelmistä.

Nyt autentikointi itsessään ei ole enää heikoin lenkki, eikä mikään random skannailu tuota tulosta. Toisaalta, normaalilla käyttäjällä ei ole käytännössä minkäänlaista mahdollisuutta suojautua kohdennetulta hyökkäykseltä, jos sellaisen uhriksi jostain syystä joskus joutuu.

Monesti naurattaa se, että erilaiset account recovery passwordit / prosessit / ennakkoon annetut recovery keyt itsessään on paljon heikompia kuin salasana. Muistaakseni mm. Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Viimeisenä voisin myös mainita sen, että Outlook tukee myös Helloa ja WebAuthn / Passwordless kirjautumista. Joka on muuten erittäin näppärä tapa. Voi kirjautua sisään PIN-koodilla tai sormenjäljellä.

Tulipa horinaa, mut nyt oli sopiva fiilis tarinoida.

 

[Obi-Lan]

MS on poistamassa Basic Auth autentikointia palveluistaan, lakkaa ne sovellussalasanatkin toimimasta. Tosin samalla lakkaa toimimasta kaikki IMAP/POP softatkin mitkä käyttää Basic Authia. Käyttöön jää Modern Auth, mikä on enemmän tai vähemmän sama kuin OAuth standardi.

MS Authenticatorilla voi TOPT koodin lisäksi käyttää myös push notifikaatiota tai aktivoida salasanattoman kirjautumisen missä puhelimen ruudulta painetaan oikeaa numeroa ja pääsee sisään ilman salasanaa. Hello on myös hyvin pätevä, meinaa salasana jo unohtua kun pin koodilla ja notifikaatioilla vaan mennään

 

[root]

Eilen alkoi pommitus omaan Gmail osoitteeseen. En käytä kyseistä mailia, mutta siinä on vielä päällä viestin forwardointi omaan Microsoft tilin osoitteeseen. Koneella katsoin outlook.com sivulla muutaman viestin ja phishing tyylistä viestiä oli. Maileissa oli .ics kalenterifile liitteenä. En koskenut liitteisiin enkä linkkeihin. Raportoin ja dumppasin poistoon viestit.

Tänään sitten huomasin, että outlook.comissa jos yrittää avata kalenteria, tulee errori. Mielenkiintoista. Tilillä on MFA päällä, palautuskoodit printattuna. Puhelin ei ole kysellyt ylimääräisiä login varmistuksia eikä turvahistoriassa näy ylimääräisiä logineja.

Potkaisin uuden virtuaalikoneen ylös ja kävin katsomassa URL:eja mitä näkyi muutamassa viestissä. Yksi ohjasi MS:n kirjautumissivulle. Siitä selvisi, että oli luotu minulle tuntematon MS tili käyttäen meikäläisen gmail-osoitetta käyttäjänänimenä. En löydä mitään ilmoitusta MS:ltä minulle, että sähköpostiosoitetta on käytetty uuden tilin käyttäjänimenä. En ole kyllä varma, lähettääkö MS edes sellaista. "Unohdin salasanani" linkin kautta MS lähetti uuden passun Gmail-osoitteeseeni, joten pääsin katsastamaan luodun MS tilin. Totesin sen käytännössä tyhjäksi. Siihen tosin oli liitetty yksi tuntematon Gmail-osoite. Postin ylimääräisen osoitteen, vaihdoin salasanan ja lisäsin oman varmistusmetodin. Kävin Europolin sivuilla lisäämässä tämän sankarin sähköpostiosoitteen kaikille heidän infomaililistoilleen.

Omat tilit siis vaikuttavat olevan ok, ei kirjautumisyrityksiä ja MFA päällä kaikissa. Ainoa mikä tässä mietityttää on nyt tuo oman MS tilin kalenterin sekoilu. Täytyy vielä selvitellä lisää.

Edit: Eipä ne .ics filet sisällä mitään muuta kuin mailissa jo olevan linkin. Osa ei enää toimi, yhdestä Virustotal sanoi malware/phishing.

 

[Pakana]

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.

 

[root]

Tuo on kyllä hyvä esimerkki paskasta salasanasta.
Tietysti tuota salasanaa ei bruteforcella avata, mutta samalla ei sitä myöskään kukaan muista, vaan se pitää olla jossain tallessa tavalla tai toisella selväkielisenä luettavana.

Vastaavan pituinen rimpsu (tai edes lähes) satunnaisia suomenkielisiä sanoja on ihan yhtä vaikea pala bruteforcelle, mutta helppo muistaa.

Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.

Olen arvellut, että käytännössä tarkoitetaan sanayhdistelmän olevan *riittävän* hyvä suoja tavallisen ihmisen tarpeeseen. Kunhan sen valinnassa ei tee virheitä, ei käytä tunnettuja loruja/lauluja/tekstejä, ym.

 

[mikajh]

Itsellä on liki 500 merkintää salasanamanagerissa. En pidä realistisena, että muistaisin noista edes murto-osan siltä osin, mihin olen luonut salasanan ja minne en. Puhumattakaan siitä, että muistaisin 500 tosi turvallista riippumatonta salasanarimpsua.

lyhyt vaikeasti muistettava H@k37B on huonompi salasana kuin
pidempi passphrase redthordsmontushranti on huonompi salasana kuin
pitkä satunnainen merkkijono @o7cUO1TZl15YV3Zm@lH*7A7lOhj6kKb

Hyvässä salasanamanagerissa on tietysti pari-kolme huonoa puolta:
1) Joskus harvoin palveluntarjoajalla voi olla ongelma, etkä pysty sillä hetkellä (ehkä tunteihin) kirjautumaan uudella laitteella/browserilla sisään päästäksesi käsiksi salasanoihisi. Todennäköisyys, että nuo sattuu yhtä aikaa on tietysti pieni
2) Palveluun voidaan murtautua ja mahdollisesti päästä salaisuuksiisi kiinni
3) Monessa ympäristössä hyvin toimiva palvelu ei ole ilmainen

 

[Grez]

Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.

Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.

 

[tarmo2011]

Tuossa on kyse ihan vaan muistamisesta. Eli 60 merkkisen satunnaisista sanoista koostuva salasana on suunnilleen yhtä vaikea brute forcettaa kuin 20 merkkinen satunnaisia merkkejä sisältävä salasana, mutta ensimmäinen saattaa olla helpompi muistaa.

Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.

 

[A Lake Elk]

Ite oon käsittäny niin et "Brute Force -hyökkäys" tarkoittaa kaikkien kirjain- + merkki- jne. yhdistelmien läpikäytiä ja sanakirja-hyökkäys on sitten eri asia ja siinä käytetään just niitä eri sanoja, eri muodoissa, eri yhdistelmillä, tjms.

Eli meneekö tuossa keskustelussa nyt termit sekaisin brute force - vs. sanakirja hyökkäys?

[edit] Korjausta: Sanakirja hyökkäys (Dictionary attack) on Brute forcen eräs muoto: Dictionary attack - Wikipedia

 

[Pakana]

Jos halutaan selvittää koneella jokin salasana, niin tehokkaintahan on aloittaa yleisimpien salasanojen listalla, sitten käydään läpi sanakirja yhdellä sanalla, jonka jälkeen perinteisellä bruteforcella, koska käytännössä se salasana on todennäköisesti melko lyhyt.

Jos salasana on suomenkielinen sana, niin nuo toinen vaihe on käytännössä hyödytön, ellet sitten etukäteen tiedä sitä että murrettava salasana on suomea ja osaa valita suomalaista sanakirjaa. Kaikkien maailman kielien sanojen lisääminen on tietysti mahdollista, mutta ei se enää ole kovin nopeaa sekään.

Mihin kohtaan sen perinteisen bruteforcen sitten lopettaa ja alkaa tekemään tuota sanakirjan sanojen yhdistelyä?

Teoreettisella tasolla tuollainen mielettömän pitkä satunnainen salasana on tietysti se tehokkain, mutta käytännössä se on satunnaisista suomenkielisistä sanoista koostuva pitkä rimpsu. Joku 8 merkkinen salasana on aina huono, oli se sitten kuinka monimutkainen tahansa.

Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.

 

[root]

Tietysti jos yritetään päästä johonkin verkkopalveluun sisään, niin on kyllä harvinaisen paska palvelu jos se antaa jonkun yrittää mitään arvaamiseen perustuvaa salasanan urkintaa käyttää.

@Obi-Lan ketjussa mainitsi Microsoft tileihin kohdistuvaan hyökkäykseen. Jo vuosia on yritetty arvailla salasanoja IMAPin kautta. Tälläkin viikolla omalle tililleni näkyy kirjautumisyrityksiä eri maista Aasian suunnalta. Bottiverkolla hyökkääjät pystyvät kokeilemaan salasanoja eri IP-osoitteista, mutta varmasti MS silti rajoittaa yritysten määrää raskaasti.

Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.

 

[Grez]

Jos brutetaan, eikös käytetä yleisiä sanoja ja niiden komboja. En usko että millään brutelistalla/loogisessa muodostuksessa tulee missään järkevässä ajassa vastaan kombo jossa 60 merkkiä, ihan sama vaikka siinä lukisi 12 kertaa putkeen sana kuusi . Ei noin pitkää vainnole järkeä brutettaa koska mahdolliset kombinaatiot nousee niin suureksi määräksi.

Niin, ihan samoin kukaan ei lähde brutettamaan 20 merkkistä satunnaismerkkijonoa.

 

[pulatunnus]

Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ?

Mutta vähän takaisin asiaan, jos MS outlook.com email palvelussa luopuu perinteisistä kirjautumisista kokonaan, niin siitä tulee monelle ongelmia. Jos palvelu on käytössä ympäristössä jossa ei oikein vaihtoehtoja modernimpaa systeemiin.

 

[ztec]

Osaisiko joku avata tätä yleistä väitettä, jonka mukaan sanoja yhdistelemällä saisi bruteforcen kannalta yhtä hyvän tuloksen kuin satunnaisilla merkeillä. Mihin se perustuu? Jos minä yrittäisin brute forcettaa salasanaa, niin ihan kärjessä olisi tunnettujen yleisten salasanojen lista. Heti hyvänä kakkosena kaikkien sanojen yhdistelmät. Sen jälkeen sama kierros, mutta käyttäen erilaisia numeroita ja välimerkkejä sanojen muunteluun.

Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.

Toisaalta jos puhutaan nykyajasta, niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.

 

[ztec]

Noin avuttoman näköinen toiminta on kuitenkin taloudellisesti kannattavaa. Koska se jatkuu ja jatkuu. Tietenkin osasyy voi olla, että bottimasterit eivät vain ole hyviä keksimään tienaamistapoja armeijalleen. Ilmeisesti yhä on riittävästi ihmisiä, joilla on tilillä tallennettuna maksukortin tiedot, ei 2FA:ta käytössä ja salasana suoraan top-100 listalta.

Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.

 

[pulatunnus]

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran

DiceWare lähestyminen.

?

niin PKI pitäisi olla käytössä ja perinteiset shared secretit konaan pois.

?

Noista varmaan suurimmalle osalla enemmän tai vähemmän hyvä käsitys, mutta jos joku osaa kertoa suomenkielellä niin varmaa olisi laajemmin hyötyä maalikoille ja aupua olisi myös tietäville.

 

[root]

Ei kun on nimenomaisesti olemassa faktatietoa, että se on huono tapa ja em. tunnuksia murretaan. Kuten on näkynyt monissa tapauksissa.

Jos halutaan 128 tai 256 bit turvallisuutta, niin silloin pitää ihan oikeasti olla entropiaa sen verran. Tietysti sen entropian voi pukea sanoiksi jos haluaa, eli mm. DiceWare lähestyminen. Sillähän ei sinänsä ole mitään merkitystä mihin muotoon se entroplia laitetaan teknisesti. Erilaisilla salasanan vahvistusmenetelmillä voidaan pidentää murtoaikaa, mutta teknisesti se ei tee salasanasta yhtään sen vahvempaa.

Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.

Tässä nyt taisi unohtua se, että IMAP:n kanssa ei käytetä 2FA:ta, vaan kiinteitä salasanoja jotka muodostuu pelkästään pienistä merkeistä. Jos se on hyökkäämisen arvoista, sen täytyy toimia.

Totta, sekoitin pullat ja rusinat pahanpäiväisesti.

 

[pulatunnus]

Aivan. Netissä usein annetuissa vinkeissä selvästi sekoittuu kaksi täysin erilaista lähtökohtaa. Yhdellä käyttäjällä satunnainen salasana on paras käytettäessä hallintaohjelmaa. Toisella käyttäjällä taas vaatimus on muistaa salasana ulkoa, jolloin sanoihin perustuva metodi vie voiton ylivoimaisesti.

Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.

Voihan se salasana on lyhyt ja vaikka jopa pelkkiä numeroita jos sitä ei voi arvata ja koneellisesti "voimalla" murtaa.

ne 9x.xx% lopuista voi sitten olla sellaisia mitä keskiverto käyttäjä ei muista, joten ei tarvi olla mitään muistettavaa "heikkoutta", käytettävyys/käyttökelpoisuus siellä sitten tulee vastaan. Eli mitkä ovat kohteen ehdot ja pitää sen olla selalinenkin että on käytettävä vs riski. Eli jos menee liianvaikeaksi ja virheherkäksi syöttää niin ei sekään vastaa useinkaan tarkoitusta kaikissa vs ns turvallisempi.

Sähköposti , mistä kai juttu lähtenyt, ei ole mikään yksioikoinen juttu. Se voi olla se missä tarvitaan muistettava salasana ja ehkä myös riittävän helposti syötettävä. Jossain sitten ei tarvi sekunttiakaan muistaa, jossain sitten tarvitaan kehittyneemmät kirjautumiset.

Normi siviilikäyttäjälle kai tärkeää että on ainakin yksi sähköposti joka luetetulta tarjoajalta ja joka tarjoaa turvalliset menetelmät ja että myös käsittelee sitä mahdollisimman turvallisesti, vaikka vähän käytettävyyden kustannuksella.

 

[root]

Jos salasana on tarkoitus muistaa, niin tärkeintä on se että se on muistettavissa. Tyypillinen esimerkki on se salasanojen hallinan salasana, ja jos se myös suojaa sen taltion, niin sen oltava niin vahva ettei niiden hallittavian salasanojen elinaikana voi sitä koneellisesti tai muulla tavalla yrittämällä murtaa, vaikka käyttäisi jotain sanakirjoja ym konsteja karsia vaihtoehtoja. Niin ja tietenkin ei käytössä muualla.

Itsellä on hallintaohjelman salasana sellainen, että on vaikeus sitä muistaa jos annetaan kynä ja paperia. Tavallisella QWERTY-näppiksellä se tulee lihasmuistista.

Aiempaan palatakseni: "Onko tuollainen 16 merkin pienetkirjaimet salasana tuollaisessa käytössä heikko ? Heikentääkö se IMAP yhteyden turvallisuutta oleellisesti, vai miten se heikentää ? "
Minun (heikko) ymmärrys: Outlookin IMAP salasana on vain kirjautumiseen. Liikenne on SSL/TLS salattua. Eli toivottavasti ei ole nopeampaa tapaa hyökätä kuin tekemällä kirjautumisyrityksiä. Ja silloin 16 merkkiä riittänee.

 

[Obi-Lan]

IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa. Kyllä MS niitä jollain logiikalla rajoittaa ja jossain vaiheessa oli pistänyt duunitilin pahimmillaan kokonaan lukkoon aina määräajaksi kun jostain muaalta tuli niin paljon yrityksiä. Ja kyllä niitä tilejä kuulee korkattaneen, joskus joku yleislaatikko helpolla passulla yms, niistä spämmätään sitten heti phishing viestit laatikosta löydettyjen lähettäjien osoitteisiin joilla mahdollisestii saadaan korkattua pari tiliä lisää jne.

Modern Auth (MS versio OAuth2:sta) tarkistaa salasanan https sessiossa ja sen jälkeen käyttää 1-60pv voimassa olevaa tokenia kirjautumiseen. Tuo on käsittääkseni lisätty myös IMAPiinkin, mutta olen toistaiseksi nähny vaan jonkun helpparisoftan tukevan sitä.

 

[pulatunnus]

IMAP/Basic Auth heikkous on siinä kun se salasana lähetetään aina netin yli palvelimelle tarkistettavaksi (vaikkakin salattuna) ja siinä, että sitä voi yrittää aika monta kertaa.

Kiitos vastauksesta.
Eli salasana ei itsessään vaaranna yhteyden turvallisuutta, eli sen osalta ihan sama kuinka heikko on.

Tuo hyvä muistutus että se lähetetään tiheään, mutta siihen ei taasen auta se että salasana olisi erityisen pitkä, monimutkainen ja monipuolinnen jne. Jos sitä usein lähetystä pitää riskinä siinä mielessä että joku jollain ajalla saisi sen käytetyn salauksen purettua, niin siihen kai paremmi auttaa määräajoin salasananvaihto. (oletetaan että yhteys salattu).

Kyllä MS niitä jollain logiikalla rajoittaa

Tälläinen kuva jaanyt, ehkä jopa käyttöhaittaavan tiukka.

Mutta jos se 16 merkin oikeasti? satunnainen salasana ei ole tunnistamisen kannalta heikko lenkki, vaan jotenkin muuten ? Miten ? Korkkaa MSn palvelimet osittain ja sen myötä tuo sitten avaa lippaan ?


Vähän ärsyttää nämä vihjailut jostain ongelmista, mutta ei kuitenkaan kerrota enempää ja joutuu sitten tyhmänä kyseleen että mistä kyse, että voisi edes vähän arvella onko merkitystä itselle/läheisille.

Jää vähän sellainen susi tulee tarinan viilis, menee ihan hukkaan aikaa

 

[Obi-Lan]

IMAPin heikkous on myös siinä, että sen kautta pystyy nopeammin testaamaan eri salasana kombinaatioita.

Salasanan pituuden vaikutuksesta online palveluihin ei pysty antamaan mitään tarkkaa arviota mikä riittää ja mikä ei. Se voidaan laskea, kuinka nopeasti moderni tietokone purkaa salasanan salatusta muodosta. Mutta jos lähdetään siitä, että salasana pyritään arvaamaan kokeilemalla eri yhdistelmiä sivuston kirjautumiseen, tilanne muuttuu. Joku huonosti tehty sivusto voi antaa yrittää kirjautua 100 kertaa minuutissa regoimatta mitenkään. MS palvelussa on algoritmeja päättelemässä, että jos Suomesta on kirjauduttu onnistuneesti, käyttäjä ei voi olla parin tunnin päästä Pekingistä kirjautumassa = blokataan. Tällöin lyhempikin salasana riittää, Microsoft itse sanoo, että 8 merkkinen muuttumaton salasana riittää kunhan on MFA ja risk based kirjautuminen käytössä:

Password policy recommendations - Microsoft 365 admin

Make your organization more secure against password attacks, and ban common passwords and enable risk-based multifactor authentication.

docs.microsoft.com

Toi risk based on juurikin algorimetja, jos käyttäytyminen ei täsmää -> kirjautumiseen tulee ylimääräinen MFA haaste. Tuota voinee soveltaa muihinkin palveluihin, missä tulee joko aina MFA kysely tai sen voi ohittaa korkeintaan luotetulta koneelta.

Ja on toki mahdollista, että MS palvelin murrettaisiin, mutta siinä hyökkääjällä on kuitenkin vastassa todennäköisesti 24/7 tiimi ammattilaisia vahtimassa niitä palvelimia.

 

[ztec]

Noista varmaan suurimmalle osalla enemmän tai vähemmän hyvä käsitys, mutta jos joku osaa kertoa suomenkielellä niin varmaa olisi laajemmin hyötyä maalikoille ja aupua olisi myös tietäville.

Diceware, eli luodaan entropia vaikka noppia heittelemällä ja muutetaan ne sanoiksi. Ei sillä ole mitään väilä, mistä se salasanan entropia tulee, kunhan se on riittävä.

Näin syntyy turvallinen salasana – 11-vuotiaalla tytöllä huikea bisnes

Noppaware on vähän tunnettu, verrattain turvallinen salasanojen luontimenetelmä, jonka 11-vuotias amerikkalaistyttö toi julkisuuteen.

www.is.fi

PKI = Public Key Infrastructure

PKI – Wikipedia

fi.wikipedia.org

Ideana on kuitenkin se, että käytetään moderneja ECC algoritmejä käyttäjän tunnistamiseen. Lisäksi avain voidaan HSM säilöä, jolloin se on erittäin hyvässä turvassa. Eli käytetään erilistä turvasirua tietojen tallentamiseen, niin ettei niitä voida (ainakaan teoriassa) varastaa.

Näähän nyt on kyllä kaikki ihan perussettiä.

 

[Aaltoliike]

Itselläni ei ole 2FA käytössä hotmailissa, kun ei pysty Mailbirdillä kattelee sähköposteja jos se on päällä. En oo vielä keksinyt ratkaisua moiseen.

 

[mikajh]

Itselläni ei ole 2FA käytössä hotmailissa, kun ei pysty Mailbirdillä kattelee sähköposteja jos se on päällä. En oo vielä keksinyt ratkaisua moiseen.

Thunderbirdiin on ehkä lähiaikoina tulossa jotain tukea. Kokeilin myös java-pohjaista gatewayta DavMail POP/IMAP/SMTP/Caldav/Carddav/LDAP Exchange Gateway. Sillä personal MS Accountin 2FA mobiiliauth kyllä lopuksi toimi, mutta mailit ei kulje:
"AADSTS500201: We are unable to issue tokens from this API version for a Microsoft account. Please contact the application vendor as they need to use version 2.0 of the protocol to support this."

 

[Pakana]

Toisaalta noissa yksinkertaisen salasanan palveluissa yksi bruteforcea hemmetisti haittaava systeemi olisi jo luoda esim kahden sekunnin viive sen pyynnön käsittelyyn. Normaali käyttäjälle tuolla ei ole kummoistakaan merktiystä, mutta bruteforcetus menee reisille.

 

[Glengoyle]

Nykyään ei ole niin tarkkaa perus salasanan monimutkasuus vaan vahvempi tunnistautuminen muuten. Sama koskee kaikkia muitakin palveluja

 

[ztec]

"Just cracked an 18 character password. It was a two word combo that was in one of my dictionary files as a single entry followed by 9 numbers. The first letter was capitalized. Gotta love dictionary + rule attacks. "

Nykyjään murtajat murtaa kyllä yllättävän hankalia salasanoja. Ja mitä sanoin tuosta entropian määrästä, niin noista muodostuvista salasanoista tulee melkoisia monstereita jos haluaa, että entropia on riittävä. Ainoa varma tapa tehdä salasanasta turvallinen on se, että se on riittävän monimutkainen.

128 bittinen salasana:
finished impish footsore spotty entomb bountiful shakily size scant nastily

256 bittinen salasana:
state impeding scarily monsoon dairy overflow caress faculty canon tweet marbling styling symphonic statistic driveway hexagon ligament lankiness probing boaster

Ei nuokaan nyt niin käytännöllisiä enää ole. Imho, on helpompaa syöttää lyhyempi merkkijono, missä on iso entropia, kuin kirjoittaa tuollainen letka. Mutta tämähän onkin vain henkilökohtainen preferenssi.

 

[escalibur]

"Just cracked an 18 character password. It was a two word combo that was in one of my dictionary files as a single entry followed by 9 numbers. The first letter was capitalized. Gotta love dictionary + rule attacks. "

Nykyjään murtajat murtaa kyllä yllättävän hankalia salasanoja. Ja mitä sanoin tuosta entropian määrästä, niin noista muodostuvista salasanoista tulee melkoisia monstereita jos haluaa, että entropia on riittävä. Ainoa varma tapa tehdä salasanasta turvallinen on se, että se on riittävän monimutkainen.

128 bittinen salasana:
finished impish footsore spotty entomb bountiful shakily size scant nastily

256 bittinen salasana:
state impeding scarily monsoon dairy overflow caress faculty canon tweet marbling styling symphonic statistic driveway hexagon ligament lankiness probing boaster

Ei nuokaan nyt niin käytännöllisiä enää ole. Imho, on helpompaa syöttää lyhyempi merkkijono, missä on iso entropia, kuin kirjoittaa tuollainen letka. Mutta tämähän onkin vain henkilökohtainen preferenssi.

Tai sitten ottaa käyttöön 2FA:n ja jättää turhat stressailut väliin. Oikeastaan 2FA:lla salasana voisi olla vaikka puolet 18 merkkijonosta ja silti se riittäisi 99,99% kuluttajatapauksissa.

 

[ztec]

Tai sitten ottaa käyttöön 2FA:n ja jättää turhat stressailut väliin. Oikeastaan 2FA:lla salasana voisi olla vaikka puolet 18 merkkijonosta ja silti se riittäisi 99,99% kuluttajatapauksissa.

2FA / MFA optioita on useita, TOTP on pääsääntöisesti aika heikko 2FA, kuten myös erilaiset koodit tekstiviestinä. Parempi vaihtoehto on U2F / FIDO2 / WebAuthn, ja se onkin kyllä aivan löymättömän kätevä ja hyvä. On käytössä mulla ollut jo pitkään. Voin lämpimästi suositella. Olen sen myös itse pariin projektiin integroinut, ei ollut kovin haastavaa.

Edit, just tarkistin, että täällä ei näköjään ole tukea.

 

[iltanen]

Täällä ns. kakkospostiin tulee nyt päivittäin ilmoituksia "Epätavallista toimintaa havaittu". Luullakseni nuo johtuvat siitä, että olen tuon kakkospostiosoitteen synkronoinut päämailiin omaksi kansiokseen.

Olen nämä nyt hyväksynyt sillä verukkeella, että kun viimeksi estin kirjautumisen, ei kakkosposti pystynyt enää synkronoimaan päämailiin. Näitä kyselyitä tulee kuitenkin päivittäin eli ei tunnu millään helpottavan. Onko jollain kokemusta tämän ratkaisuun?

IP-osoite on aina 10.186.xxx.xxx tai 10.141.xxx.xxx

 

[root]

IP-osoite on aina 10.186.xxx.xxx tai 10.141.xxx.xxx

Minusta 10.x.x.x on private network osoite. Ovatko ykkös- ja kakkosmailitilisi samalta palveluntarjoajalta? Jos ovat, niin onhan se outoa että merkitsevät sen epätavalliseksi toiminnaksi.

 

[iltanen]

Minusta 10.x.x.x on private network osoite. Ovatko ykkös- ja kakkosmailitilisi samalta palveluntarjoajalta? Jos ovat, niin onhan se outoa että merkitsevät sen epätavalliseksi toiminnaksi.

Kyllä. Molemmat microsoftin tilejä eli mallia
abba@live.fi (ykköstili)
acdc@live.fi (kakkostili)

En siis tosiaan olisi antanut lupaa ilman tuota tietoa, että ovat 10.-alkuisia.

 

[Janishell]

Kyllä tuota jatkuvaa murtoyritysten tulvaa on tullut seurattua jo vuosia. Kiinta / Intia yleensä listalla.

Kun sanoit 2FA tarkoitit varmaan TOTP:ia?

Jotenkin kyllästyttää toi 2FA:n rajaton julistus. Kyllä siitä on hyötyä niissä tilanteissa, että hyökkääjä tietää salasanasi. Mutta salasanan arvaaminen on niin turhaa, ettei sitä kannata yrittää. Erilaisa yritetään arvata salasana hyökkäyksiä tulee aivan non-stop floodina kaikkiin palveluihin joissa on salasana-autentikointi käytössä. -> Kannattaa käyttää salasanoja joiden arvaaminen käytännössä täysin mahdotonta.

Toinen sasanoihin ja autentikointiin ikuisesti kyllästymiseen asti liittyvä jankutus on se, että entäs jos salasanat paljastuu? Tuota niin? Jos hyökkääjillä oli pääsy järjestelmään, josta ne sai kopioitua salasanat. Niillä oli todennäköisesti myös mahdollisuus kopioida data. -> Riippuen hykkäyksestä ja toteutuksesta, 2FA voi olla hyödyllinen tässä tilanteessa. - Mutta koska salasanat ovat pitkiä ja palvelukohtaisia, jos salasanat on edes hashatty (saltit, scryptit) ja muut unohtaen, on niiden murtaminen jälleen kerran lähes mahdotonta.

Itse käytän vähemmän tärkeisiin palveuihin ja salaukseen 20 merkkisiä sanasanoja, ja tärkeämpiin 42 merkkisiä salasanoja. Nuo on sopivat perustasot (~128 bittiä ja ~256 bittiä) on kuitenkin huomioitava, että riipuen salasanan sisällöstä, nuo bittimäärät eivät aivan ehkä täyty.

Esimerkki salasana: IwkvF2"FXu4qfNVv-GFPFjVGQHtxT7se.rmZGJqT2A

Tärkeintä on muistaa siis nuo kaksi periaatetta:
1) Vahva salasana
2) Ei koskaan salasanan uudelleenkäyttöä
3) MFA käytössä, jos suinkin mahdollista
4) Kirjaudu järjestelmiin vain oikeasti luotetuista järjestelmistä.

Nyt autentikointi itsessään ei ole enää heikoin lenkki, eikä mikään random skannailu tuota tulosta. Toisaalta, normaalilla käyttäjällä ei ole käytännössä minkäänlaista mahdollisuutta suojautua kohdennetulta hyökkäykseltä, jos sellaisen uhriksi jostain syystä joskus joutuu.

Monesti naurattaa se, että erilaiset account recovery passwordit / prosessit / ennakkoon annetut recovery keyt itsessään on paljon heikompia kuin salasana. Muistaakseni mm. Outlookin luomat "sovellussalasanat" joita muuten käytetään jos account 2FA on käytössä, mm. IMAP:n yhteydessä ovat todella paljon heikompia kuin tuo esimerkkisalasanani. Ne kun on vain 16 merkkiä ja lower casea. Tässä taas esimerkki siitä, miten palveluntarjoajat itsesään heiketävät tunnusten suojausta.

Viimeisenä voisin myös mainita sen, että Outlook tukee myös Helloa ja WebAuthn / Passwordless kirjautumista. Joka on muuten erittäin näppärä tapa. Voi kirjautua sisään PIN-koodilla tai sormenjäljellä.

Tulipa horinaa, mut nyt oli sopiva fiilis tarinoida.

Miten ihminen voi muistaa ulkoa jotain tuollaisia salasanoja?

 

[Desgorr]

Miten ihminen voi muistaa ulkoa jotain tuollaisia salasanoja?

Miksi pitäisi? Sitä varten on salasanojen hallintaohjelmat. Esim. Bitwarden

 

[Janishell]

Miksi pitäisi? Sitä varten on salasanojen hallintaohjelmat. Esim. Bitwarden

Pitäähän tuohon salasanojen hallinta ohjelmaankin muistaa salasana.

 

[Desgorr]

Pitäähän tuohon hallinta ohjelmaankin muistaa salasana.

Toki. Tosin tuon Bitwardenin saa avautumaan pin-koodilla tai puhelimen puolella sormenjäljellä. Itse master salasanan voi sitten vaikka tulostaa ja heittää varmaan talteen. Ei pääse sekään unohtumaan.

 

[Janishell]

Toki. Tosin tuon Bitwardenin saa avautumaan pin-koodilla tai puhelimen puolella sormenjäljellä. Itse master salasanan voi sitten vaikka tulostaa ja heittää varmaan talteen. Ei pääse sekään unohtumaan.

Siinä on sitten kiva näpytellä 40 kirjainta pitkää salasanaa esim pleikkariin tai nintendo switchiiin, kun haluaa kirjautua Bitwanderin avulla tai jollain vaikeella salasanalla.

 

[Desgorr]

Siinä on sitten kiva näpytellä 40 kirjainta pitkää salasanaa esim pleikkariin tai nintendo switchiiin, kun haluaa kirjautua Bitwanderin avulla tai jollain vaikeella salasanalla.

En nyt ihan täysin ymmärtänyt skenaariota. Eihän tuossa tarvitse kun avata Bitwarden puhelimella tai tietokoneella ja katsoa haluttu salasana. Sen sitten syöttää sinne pleikkaan. Eikä sen tarvitse 40 kirjainta olla jos ei sellaista halua pleikkaan laittaa.

Mielestäni mukavampi muistaa pin-koodi Bitwardeniin ja pitää yksi master password tallessa (Jota ei tarvitse kun Bitwardenia käyttöön ottaessa) kun muistaa jokainen salasana eri palveluun, mutta kaikki tyylillään

 

[Janishell]

En nyt ihan täysin ymmärtänyt skenaariota. Eihän tuossa tarvitse kun avata Bitwarden puhelimella tai tietokoneella ja katsoa haluttu salasana. Sen sitten syöttää sinne pleikkaan. Eikä sen tarvitse 40 kirjainta olla jos ei sellaista halua pleikkaan laittaa.

Mielestäni mukavampi muistaa pin-koodi Bitwardeniin ja pitää yksi master password tallessa (Jota ei tarvitse kun Bitwardenia käyttöön ottaessa) kun muistaa jokainen salasana eri palveluun, mutta kaikki tyylillään

Jos haluaa turvallisen salasanan niin täällä sanotaan että ne pitäisi olla reilu 40 merkkiä pitkiä, sellaisia salasanoja sitten on kiva näpytellä kun jokainen turhake laite/softa alkaa niitä kyselee.

 

[IsoLuumu]

Jos haluaa turvallisen salasanan niin täällä sanotaan että se pitäisi olla reilu 40 merkkiä pitkiä, sellaisia salasanoja sitten on kiva näpytellä kun jokainen turhake laite/softa alkaa niitä kyselee.

Salasanamanageri hoitaa sen näpyttelyn puolestani?

 

[Janishell]

Salasanamanageri hoitaa sen näpyttelyn puolestani?

Toimiiko se salasana manageri joka softassa tai laitteessa?

 

[IsoLuumu]

Toimiiko se salasana manageri joka softassa tai laitteessa?

En osaa sanoa, minulla ei ole joka laitetta eikä joka softaa.

edit. sitä varten voi käydä managerista sitten vaikka kopioi -> liitä hakemassa salasanan jos menee liian vaikeaksi.