Sähköpostiin yritetty tunkeutua?

[Janishell]

En osaa sanoa, minulla ei ole joka laitetta eikä joka softaa.

Pleikassa tai nintendossa ei tuollainen manageri ohjelma toimi.

 

[IsoLuumu]

Pleikassa tai nintendossa ei tuollainen manageri ohjelma toimi.

Niihin varmaan saa 2FA:n päälle niin salasana voi olla lyhyempikin?

 

[Desgorr]

Jos haluaa turvallisen salasanan niin täällä sanotaan että ne pitäisi olla reilu 40 merkkiä pitkiä, sellaisia salasanoja sitten on kiva näpytellä kun jokainen turhake laite/softa alkaa niitä kyselee.

Toki jos haluaa varmasti turvallisen salasanan. Pleikassa ja Switchissä saa kuitenkin varmaan 2FA:n käyttöön, niin ei tarvitse nyt ihan noin pitkä salasana olla. Kunhan on muuten monimutkainen, niin eiköhän joku 10-15 merkkiä ole ihan ok.

 

[Janishell]

Niihin varmaan saa 2FA:n päälle niin salasana voi olla lyhyempikin?

kyllä, 2FA itsellänin on aina käytössä jos se on vaan järkevästi toteutettu.

Noissa 2FA järjestelmissäkin on paljon eroja, että millä tavalla se toinen varmistus on toteutettu.

 

[iltanen]

Kyllä. Molemmat microsoftin tilejä eli mallia
abba@live.fi (ykköstili)
acdc@live.fi (kakkostili)

En siis tosiaan olisi antanut lupaa ilman tuota tietoa, että ovat 10.-alkuisia.

Itselleni vastaten:
Microsoft.com - Unusual sign-in activity on my account from IMAP with internal IP addresses

Tämä saattaa johtua jostain omasta sähköpostiohjelmasta (joku mainitsi Thunderbirdin, mikä ei ole itsellä käytössä). Pitänee kirjautua kannettavilta, pöytäkoneilta, tableteilta ja puhelimilta ulos ja toivoa että poistaa ongelman.

 

[pulatunnus]

Miten ihminen voi muistaa ulkoa jotain tuollaisia salasanoja?

Salasanan hallintaohjelmia kehutaan, mutta koska ollaan maili ketjussa, niin osa sähköpostitileistä kuuluu siihen sarjaan jotka sillä tavalla tärkeitä että niiden salasana kuuluu ns muistettaviin, että pääsy ilman jotain appia/laitetta onnistuttava.

Mutta muistettava myös se tärkeyden luenne, eli myös se turvallisuus.

Myöhemmin toit myös hyvin esille että salasanan on oltava joissain tilanteissa myös käsin kirjoitettavissa oikein. Jos musitaminen perustuu muistilappuihin (ohjelmiin) niin vältettävä merkkejä jotka voi mennä sekaisin.

Pitkä salasana voi olla kohtuudella muistettava, ja pitkä salasana on tärkeä jos järjestelmän suoja perustuu salasanan pituuteeen, eli yleensä liittyy kohteisiin joissa pituus on osa salauksen vahvuutta tai kohteisiin joissa pahiksellä on rajattomasti kokeilu mahdollisuuksia. Eli toisen viisinumeorinen PIN voi olla vahva vs toisen järjestelmän 20 merkkiä.

Osa suosii ei mustettavissa pitkiä ihan vain sen takia ettei tarvi miettiä.

 

[Janishell]

Salasanan hallintaohjelmia kehutaan, mutta koska ollaan maili ketjussa, niin osa sähköpostitileistä kuuluu siihen sarjaan jotka sillä tavalla tärkeitä että niiden salasana kuuluu ns muistettaviin, että pääsy ilman jotain appia/laitetta onnistuttava.

Mutta muistettava myös se tärkeyden luenne, eli myös se turvallisuus.

Myöhemmin toit myös hyvin esille että salasanan on oltava joissain tilanteissa myös käsin kirjoitettavissa oikein. Jos musitaminen perustuu muistilappuihin (ohjelmiin) niin vältettävä merkkejä jotka voi mennä sekaisin.

Pitkä salasana voi olla kohtuudella muistettava, ja pitkä salasana on tärkeä jos järjestelmän suoja perustuu salasanan pituuteeen, eli yleensä liittyy kohteisiin joissa pituus on osa salauksen vahvuutta tai kohteisiin joissa pahiksellä on rajattomasti kokeilu mahdollisuuksia. Eli toisen viisinumeorinen PIN voi olla vahva vs toisen järjestelmän 20 merkkiä.

Osa suosii ei mustettavissa pitkiä ihan vain sen takia ettei tarvi miettiä.

Minkäs takia noita järjestelmiä ei päivitetä siihen kuntoon, että 5 merkilläkin pärjäisi?

 

[pulatunnus]

Minkäs takia noita järjestelmiä ei päivitetä siihen kuntoon, että 5 merkilläkin pärjäisi?

Se onnistuu järjestelmistä missä pääsyn esto oikeallakkin salasanalla voidaan estää ilman haittaa. (*
Jos kyse palvelussa joka julkisessa netissä mitä voi käyttää mistä osoitteesta vain, niin esto tarkoittaisi palvelua johon helppo toteuttaa palvelun esto.

Jos palvelua ei voi käyttää mistä vain millä vain, vaan lähinnä yksittäisellä päätteellä, niin tilanne toinen. Mutta se ei riitä, vain osa palveluista on tai voi kohtuudella olla sellaisia että itse systeemi sen mahdollistaisi vahvasti turvallisesti.

Salasana on usein osa sitä käyttäjän palvelun sisällön suojausta, eli jos hyökkääjän tuleekin keittiön oven kautta.

Spoileri: (*

Sähköpostin palvelu, johon pitää päästä netistä, mistä vain, ja palvelu ei voi erottaa oikeaa sisään pyrkijää pahiksesta, niin ei voida käyttää menetelmää jossa kolmesta väärästä tili suljetaan. se johtaisi siihen että kaikki palvelun tilit olisi suljettu seuraavalla minuutilla käyttöönotosta.
Järjestelmä missä vihamielinen kokeilu voidaan rajoittaa tehokkaasti, eli salasanan pituudella ei suojata kokeiluja vastaan, eikä laskentaa vastaa.
Kaksivaiheiset on yksi konsti julkisen netin palveluissa rajoittaa rakaan kokeiluun perustuvia konsteja.

 

[Kautium]

Siinä on sitten kiva näpytellä 40 kirjainta pitkää salasanaa esim pleikkariin tai nintendo switchiiin, kun haluaa kirjautua Bitwanderin avulla tai jollain vaikeella salasanalla.

Kannattaa käyttää salalausetta, eikä täysin randomia salasanaa kryptisillä merkeillä. Sellainen on paljon helpompi kirjoittaa ja ihan yhtä turvallinen. Bitwarden tekee sellaisia automaattisesti halutuilla asetuksilla.

Alla esimerkki Bitwardenista, jossa on valittu väliviivalla erotettavan kolmiosaisen salasanan luonti passphrase-tyyppisenä, isoilla alkukirjaimilla ja jossakin välissä olevalla numerolla. On vahva ja helppo kirjoittaa myös sinne pleikkariin, jos se joskus on tarpeen.

Minkäs takia noita järjestelmiä ei päivitetä siihen kuntoon, että 5 merkilläkin pärjäisi?

Ei se ole järjestelmän päivittämisestä kiinni. Laskuteho on noussut ja eri salausalgoritmeissa on puutteita, joita voi laskuteholla ratkoa. Mitä lyhyempi ja yksinkertaisempi salasana, sitä helpompi se on ratkaista.

Tunnus/salasana on yleisesti ottaen vanhanaikainen ja turvaton menetelmä, josta pyritään koko ajan pääsemään eroon joko lisäämällä 2FA, eli ettei pelkkä tunnus/salasana riitä ja myöhemmin sitten ehkä kirjautuminen tehdään kokonaan ilman salasanaa niin että tunnistetaan käyttäjä ja/tai laite muilla tavoin.

Salasanahallintasovellukset kuten Bitwarden auttavat nyt kun niiden tunnus/salasanaparien kanssa kuitenkin joudutaan elämään vielä pitkän aikaa.

 

[ztec]

Minkäs takia noita järjestelmiä ei päivitetä siihen kuntoon, että 5 merkilläkin pärjäisi?

Onnistuuhan se, mm. FIDO2 / WebAuthn Passwordless ilman biometriikkaa toimii just noin. Voi laittaa lyhyen PIN koodin. Biometriset avaimet taas toimii sormenjäljellä.

mm. Outlook, Azure, Office 365, Microsoft Login tukee juuri tätä tekniikkaa.

 

[root]

Kannattaa käyttää salalausetta, eikä täysin randomia salasanaa kryptisillä merkeillä. Sellainen on paljon helpompi kirjoittaa ja ihan yhtä turvallinen. Bitwarden tekee sellaisia automaattisesti halutuilla asetuksilla.

Alla esimerkki Bitwardenista, jossa on valittu väliviivalla erotettavan kolmiosaisen salasanan luonti passphrase-tyyppisenä, isoilla alkukirjaimilla ja jossakin välissä olevalla numerolla. On vahva ja helppo kirjoittaa myös sinne pleikkariin, jos se joskus on tarpeen.

Ihan yhtä turvallinen? Mitä jos joku arvaa, että on käytetty tämäntapaista salasanamanagerin vaihtoehtoa ja vielä perusmuotoisia englanninkielisiä sanoja?

$ grep -iE "shrewdly|finicky|freehand" /usr/share/dict/words
finicky
freehand
shrewdly
$ wc /usr/share/dict/words
103494 103494 977195 /usr/share/dict/words

Sanat löytyy Ubuntun ~100000 sanan listalta. Jos arpoo 2-5 sanaa satunnaiseen järjestykseen. Siihen isot/pienet alkukirjaimet, erilaiset merkit sanojen välissä, numerosarja perään --> ei vielä turhan montaa vaihtoehtoa tule koneen laskettavaksi. Vai olenko ymmärtänyt jotain väärin?

Edit: tietty tuo esimerkki on täysin riittävä jossain pelikonsolissa. "Jallukola1" ja "IlvesJyraa" murtuu paljon ennen.

 

[ztec]

Sanat löytyy Ubuntun ~100000 sanan listalta. Jos arpoo 2-5 sanaa satunnaiseen järjestykseen. Siihen isot/pienet alkukirjaimet, erilaiset merkit sanojen välissä, numerosarja perään --> ei vielä turhan montaa vaihtoehtoa tule koneen laskettavaksi. Vai olenko ymmärtänyt jotain väärin?

Salasanoja mitataan bitteinä, jotka voi tietysti suoraan vaihtaa testattaviksi vaihtoehdoiksi. Kun katsoo että salasana on vahva, niin sit se on. Mutta ainakin mun laskelmien mukaan vahvat sanoista muodostuvat salasanat on infernaalisia, ne on siis pahempia vielä kuin lyhyet satunnaiset merkkijonot. Voi helpottaa muistamista, mutta ei ainakaan helpota syöttämistä. Erittäinvahva salasana voi olla myös yllättävän lyhyt, esim. 8 merkkiä. Kun muistaa että Unicodessa on paljon code pointteja käytettävänä.

 

[Kautium]

Ihan yhtä turvallinen? Mitä jos joku arvaa, että on käytetty tämäntapaista salasanamanagerin vaihtoehtoa ja vielä perusmuotoisia englanninkielisiä sanoja?

$ grep -iE "shrewdly|finicky|freehand" /usr/share/dict/words
finicky
freehand
shrewdly
$ wc /usr/share/dict/words
103494 103494 977195 /usr/share/dict/words

Sanat löytyy Ubuntun ~100000 sanan listalta. Jos arpoo 2-5 sanaa satunnaiseen järjestykseen. Siihen isot/pienet alkukirjaimet, erilaiset merkit sanojen välissä, numerosarja perään --> ei vielä turhan montaa vaihtoehtoa tule koneen laskettavaksi. Vai olenko ymmärtänyt jotain väärin?

Edit: tietty tuo esimerkki on täysin riittävä jossain pelikonsolissa. "Jallukola1" ja "IlvesJyraa" murtuu paljon ennen.

Pilkkua viilaten näin, mutta sanat eivät kuitenkaan liity toisiinsa, eli ne eivät muodosta mitään järkevää lausetta. Sanojen ei myöskään tarvitse tarkoittaa mitään. Sanojen väleissä voi olla yksi tai useampia erikoismerkkejä ja/tai numeroita jne, eikä sitä kohtaa voi tietää etukäteen.

Salalause voi olla usein myös pidempi (enemmän entropiaa) kuin lyhyt kryptinen salasana ja siten helpompi kirjoittaa sinne minne se tarvitsee kirjoittaa. Jos on tiedossa ettei sitä tarvitse koskaan kirjoittaa mihinkään, niin sitten siitä voi tietenkin tehdä niin kryptisen kuin ikinä haluaa. Tämä oli vain apukeino siihen kirjoittamiseen.

Password vs. Passphrase: Differences & Which Is Better? | Okta

A common debate in cybersecurity surrounds passphrases vs. passwords. Join Okta in exploring what a passphrase is and why you should use one over a password.

www.okta.com

 

[root]

Pilkkua viilaten näin, mutta sanat eivät kuitenkaan liity toisiinsa, eli ne eivät muodosta mitään järkevää lausetta. Sanojen ei myöskään tarvitse tarkoittaa mitään. Sanojen väleissä voi olla yksi tai useampia erikoismerkkejä ja/tai numeroita jne, eikä sitä kohtaa voi tietää etukäteen.

Totta. Ja jos haluaa sanoille jotain merkitystä, mielestäni suomen kieli on kätevä eri taivutuksineen. Kuten "leijjuillen automaattisellakaan".

Kaikkiin netin testeihin ei kannattane luottaa. Esim Bitwardenin testisivu:

 

[ztec]

Riippuen käyttötapauksesta kun sitä salasanaa ei edes tarvitse selvittää. Riittää että löytyy törmäys tai sitten hyökätään suoraan salausavainta vastaan, sen sijaan, että hyökättäisiin salasanaa vastaan. Vahvasalasana on suurempi hidaste asianmukaisesti esiprosessoituna, kuin esim. AES128 salauksen purkaminen suoraan.

mm. BIP39 standardi soveltuu ihan hyvin salasanoille sekin:

devote together prepare load relax solar avoid identify rule devote foam march merge lesson learn

Salasana (joukko) generaattori löytyy täältä:

BIP39 - Mnemonic Code

Mnemonic code for generating deterministic keys

bip39.net