AfterDawn logo

Google visioi sormuksesta salasanan korvaajaa

Teemu Laitila Teemu Laitila
19 kommenttia

Laskentatehon kasvaessa salasanoista on tullut yhä huonompi keino henkillöyden todistamiseen. Turvallisen pitkä salasana on hankala muistaa ja lisäksi se voidaan varastaa esimerkiksi haittaohjelman avulla. Googlen pian julkaistavassa tutkimuksessa käsitellään mahdollisia korvaajia nykyisille järjestelmille.

Wired-lehden mukaan yhtiö visioi tulevaisuuden nettipalveluihin fyysisiin esineisiin perustuvaa tunnistautumista. Käytännössä järjestelmä kuulostaa jo monissa yrityksissä käytössä olevalta menetelmältä, jossa käyttäjä tunnistetaan avainlaitteen ja esimerkiksi PIN-koodin yhdistelmällä.

Google on kehittänyt vielä nimeämättömän protokollan, jonka avulla käyttäjä voisi tunnistautua nettipalveluun napauttamalla tietokonetta esimerkiksi sormesta löytyvällä sormuksella. Siihen vaadittaisiin langatonta tekniikkaa kuten NFC:tä, mutta Google on jo koekäyttänyt myös USB-porttiin kytkettäviin Yubikey-kortteihin perustuvaa tunnistautumismenetelmää. Myös puhelin olisi mahdollinen tunnistautumisväline, jos sisäänkirjautuminen onnistuisi myös, kun puhelimella ei ole verkkoyhteyttä.


Salasanat korvaava tekniikka ei voi ikinä olla täysin onnistunut ennen kuin se on laajassa käytössä. Googlen kehittämä tunnistautumista tarjoava protokolla on kaikille avoin, eikä se ole riippuvainen Googlen omista palveluista.

Laajamittaisempi siirtyminen uusiin menetelmiin on vielä vuosien päässä, mutta omasta turvallisuudestaan kannattaa huolehtia jo nyt. Omaa tietoturvaansa voi parantaa esimerkiksi ottamalla käyttöön kaksivaiheisen tunnistautumisen Googlen palveluissa ja käyttämällä tarpeeksi pitkiä sekä ennen kaikkea uniikkeja salasanoja eri palveluissa. Koska monien yli 20 merkistä koostuvien numerosarjojen muistaminen on käytännössä mahdotonta, kannattaa hyödyntää salasanojen hallintaohjelmaa (LastPass, KeePass, 1Password, mSecure, SplashID tai muut).

19 KOMMENTTIA

Curvy21/19

Hyvä idea ja soveltuisi ihan tavan käyttäjille. Sormenjälkien tai silmän iriksen lukeminen voisi olla joillekin hankalaa. Mikä tärkeintä päästäisiin tästä salasanarumbasta eroon. Aikoinaan armeijan hommissa käytettiin Nokian laitteilla 25 merkin sotkusalasanaa, joka vaihtui kerran vuorokaudessa. Nimenomaan ongelma oli siinä, että ne piti lukea koodikirjasta, ei niitä pirukaan olisi muistanut ja vastaanottavalla taholla piti olla prikulleen sama koodi.

jorgga2/19

One ring to rule them all.

Lumikki3/19

Lähes kaikki ohjelmistopohjaiset tietoturva-asiat voi kiertää jos saa samaan laitteeseen sen haittaohjelman. Siitähän haittaohjelmasta on kyse eli se menee sen tunnistuksen väliin ja "varastaa" sen avaimen. Sillä ei ole mitään merkitystä miten se tunnistusavain syötetään. Ehkä ainoa tapa estää tuo "varastaminen" on avaimen vanhentaminen jokaisen käyttökerran jälkeen.

Curvy24/19

@Lumikki. Tuota systeemiähän pankit käyttää. mikäli todella salaista kuten nuo armeijan jutuista, niin sen ajankin koneilla olivat laskeneet, että muutamassa vuorokaudessa sanoma on purettu, mutta jutun idea oli siinä, että tieto oli jo vanhentunutta.
Kunnon kryptaajille olisi kysyntää.
Minulla on joskus käynyt mielessä tämä vanha rusakoiden touhu.. Ellet tuo autoa vartioituun parkkiin , niin se särjetään. Itelle kävi kerran näin. Tarkoitan, että on mahdollista, että virustorjuntafirma tehtailee viruksia torjuttaviksi, ja rahastaa siten.

DeNiWar5/19

Toivottavasti eivät tee sellaista "tietoturvaratkaisua" että kaikkiin ihmisten tietoihin ja pankkitileille olisi pääsy sormuksella...

Sitten ovatkin riminaalit mafiatyyliin katkomassa sormia tai repimässä sormuksia yksinään liikkumaan uskaltautuvien ihmispolojen sormista.

Taeco6/19

Jos sinne sormukselle on tallennettu samaan tapaan kuin pankkien korteille monta salasanaa. Nettisivu tai muu, jonne tarvitaan salasana kysyy jotain numeroa ja sormus antaa sitä numeroa vastaavan salasanan. Kutakin salasanaa voi käyttää vain kerran. Sinne voisi laittaa vaikka kuinka monimutkaisen salasanan, kun käyttäjän ei tarvitse sitä itse muistaa tai kirjoittaa. Sormuksen kokoon saa nykyään gigatavuittain tilaa kohtuulliseen hintaan, joten sinne saisi melkoisen määrän salasanoja, vaikka pitkiä olisivatkin.

xxwavx1127/19

Tässä sitten odotellaan että tulee markkinoille.

Biometrisessä tunnistamisessa on se onglema että salasanaa ei voi vaihtaa jos joku pääsee siihen käsiksi.

wipe20008/19

Sormuksessahan voisi pyöriä samantapainen SIM-ohjelma kuin nyt puhelimen "SIM"-kortissa ja tunnistautumiseen voidaan vaatia vielä erillinen koodi (PIN), joka voisi vaikka olla eri palveluihin erilainen. Sormushan tosin mainittiin vain yhtenä vaihtoehtona, yhtä hyvin apuna voisi olla kaulassa roikkuva tagi tai puhelin.

Ja sama pätee biometriseenkin tunnistukseen, sormenjäljen lisäksi voidaan vielä vaatia koodi, jonka ei varmaankaan tarvitse olla salasanana läheskään yhtä vahva kuin jos koodi on ainoana tunnisteena.

Mutta entä jos haluaakin logata koneelle tuntemattomana? Vai onko idea juuri se, että jatkossa myös netin käyttäjän voi nykyistä helpommin tunnistaa ja jäljittää. Googlelle toki sopisi hyvin, että käyttäjä olisi aina koneella ollessaan loggautunut sisään koneelle/palveluun ja siis helposti tunnistettavissa.

xbkrypt0n9/19

Lainaus:

käyttämällä tarpeeksi pitkiä sekä ennen kaikkea uniikkeja salasanoja eri palveluissa

Täysin mahdotonta toteuttaa edelleen. Noin 0.0000001% sivustoista ilmoittaa mikä on annetun salasanan enimmäispituus sekä sallitut merkit. Joten kun käyttäjä sitten menee syöttämään tarpeeksi jännän, uniikin ja pitkän salasanan johonkin palveluun, ottaa palvelu salasanasta x määrän merkkejä pois kenellekään kertomatta tai korvaa joitain käyttäjän syöttämiä merkkejä omilla merkeillään kun ei osaa lukea käyttäjän syöttämää salasanaa. Esim. aD:n rekisteröinti ei ilmoita mitään sallituista merkeistä ja syötettäessä vain erikoismerkkejä ja näppäimistöltä löytymättömiä merkkejä, on salasanan vahvuus "Heikko".

Todellinen käytäntö, riippumatta siitä mitä eri x-pertit sanovat:
* Salasanan enimmäispituus 6-12 merkkiä (esim. suosittu huuto.net sivusto pätkii salasanasta ylimääräiset merkit pois jos menee yli max. pituuden)

* Sallitut merkit: kirjaimet a-z ja numerot 0-9 (tuntemattomat merkit joko korvataan muilla merkeillä jotka pahimmassa tapauksessa ovat eri merkkejä kuin salasanaa syötettäessä sisäänkirjauduttaessa tai rekisteröinti ei mene järjestelmään oikeasti läpi)

* Isoilla ja pienillä kirjaimilla ei välttämättä mitään merkitystä, koska osa sivustoista muuntaa salasanan edelleen ISOIKSI KIRJAIMIKSI


Kauheasti puhutaan tietoturvasta ja hehkutetaan käyttäjiä pistämään vaikeita ja pitkiä salasanoja, mutta ei sitten kuitenkaan tehdä tätä käyttäjille koskaan edes mahdolliseksi ja lopulta jossain vaiheessa taas syytetään käyttäjiä kun joku murtautuu sivustolle, varastaa salasanat/käyttäjätiedot ja tekee niillä jotain ikävää.

bfr10/19

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Lainaus:

käyttämällä tarpeeksi pitkiä sekä ennen kaikkea uniikkeja salasanoja eri palveluissa

Täysin mahdotonta toteuttaa edelleen. Noin 0.0000001% sivustoista ilmoittaa mikä on annetun salasanan enimmäispituus sekä sallitut merkit. Joten kun käyttäjä sitten menee syöttämään tarpeeksi jännän, uniikin ja pitkän salasanan johonkin palveluun, ottaa palvelu salasanasta x määrän merkkejä pois kenellekään kertomatta tai korvaa joitain käyttäjän syöttämiä merkkejä omilla merkeillään kun ei osaa lukea käyttäjän syöttämää salasanaa. E

Nykyään salasanoista tallennetaan yleensä vain hashit eikä itse salasanan pituudella on datan tallennuksen kannalta mitään merkitystä. Pituuksille asetetaan joskus keinotekoisia rajoja(yleensä salasanan vähimmäispituus), mutta ei niitä nyt sentään leikkelemään ruveta. Ellei järjestelmä ole jostain viime vuosituhannelta. Kaikkea sitä ihmiset keksivätkin.

xbkrypt0n11/19

Lainaus, alkuperäisen viestin kirjoitti bfr:

Kaikkea sitä ihmiset keksivätkin.

Väitätkö että minä tuon keksin vai joku sivuston laatija on tuollaisen "keksinyt" vai mitä tuolla oikein tarkoitit?

EDIT:

Lainaus, alkuperäisen viestin kirjoitti bfr:

Nykyään salasanoista tallennetaan yleensä vain hashit eikä itse salasanan pituudella on datan tallennuksen kannalta mitään merkitystä.

Sillä vaan on käytännössä rajoitteita riippuen täysin miten tuo MD5 tarkistussumman lasku on toteutettu. Lisäksi MD5 koodia "purettaessa" tuolla pituudella on suurikin merkitys. Mitä lyhyempi ja vähemmän erikoismerkkejä sisältävä jokin salasana on, sitä helpompi se on "murtaa".

http://en.wikipedia.org/wiki/Rainbow_table

bfr12/19

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Lainaus, alkuperäisen viestin kirjoitti bfr:

Kaikkea sitä ihmiset keksivätkin.

Väitätkö että minä tuon keksin vai joku sivuston laatija on tuollaisen "keksinyt" vai mitä tuolla oikein tarkoitit?


Väitän että sinä keksit. Voi olla että joku järjestelmä pilkkoo salasanoja mainitsemallasi tavalla, mutta kyse on kyllä pienestä marginaalista.

Lainaus:


EDIT:

Lainaus, alkuperäisen viestin kirjoitti bfr:

Nykyään salasanoista tallennetaan yleensä vain hashit eikä itse salasanan pituudella on datan tallennuksen kannalta mitään merkitystä.

Sillä vaan on käytännössä rajoitteita riippuen täysin miten tuo MD5 tarkistussumman lasku on toteutettu. Lisäksi MD5 koodia "purettaessa" tuolla pituudella on suurikin merkitys. Mitä lyhyempi ja vähemmän erikoismerkkejä sisältävä jokin salasana on, sitä helpompi se on "murtaa".

http://en.wikipedia.org/wiki/Rainbow_table

Pointtini oli se että tuollainen salasanojen pilkkominen ei todellakaan ole normaalia modernissa webissä. Hashien purkuun tämä ei liittynyt mitenkään.

xbkrypt0n13/19

Lainaus, alkuperäisen viestin kirjoitti bfr:

Väitän että sinä keksit. Voi olla että joku järjestelmä pilkkoo salasanoja mainitsemallasi tavalla, mutta kyse on kyllä pienestä marginaalista.

Asiaahan ei voi missään nimessä itse testata, varmistaa tai yleensä tehdä mitään omaa tutkimusta ja esittää järkevää vastaväitettä, kun on ihan pakko ensin päästä haukkumaan toisia käyttäjiä.


Esim. suositussa phpBB foorumisoftassa on salasanalle asetettu enimmäismerkkimäärä jota ei yleensä käyttäjälle mainita (~30 merkkiä). Kun sitten käyttäjä kirjoittaa salasanaksi esim.

Lainaus:

tassaontodellapitkasalasanajossaonainakin6kirjaintajamuutamanumeroilmanerikoismerkkejamuttakuitenkinilmanaakkosia

Tulee sähköpostiin vahvistusviesti jossa lukee (esim.):
Password: tassaontodellapitkasalasanajossa

Saa vapaasti testata, mutta tiedän ettet sitä vaivaudu tekemään :)

EDIT: Kuulun ilmeisesti itse siihen 0.0000001% joka oikeasti lukee näitä tietoturvauutisia ja tekee noille liian helpoille salasanoille jotain muutakin kun joskus sanoo itsekseen "ainiin, pitäs muuttaa salasanaa".

TosiSalainen (vahvistamaton)14/19

Täysi turhake tuo helposti katoava tai varastettava laite :P
Eipä löydy netistä hakemallakaan montaa palvelua, joihin 99% ihmisistä olisi tarvetta tunnistautua aidosti, ja niistäkin selviää luonnikkaimmin vaikka pankkitunnuksin.
Eihän kukaan terve ihminen oikeasti halua rekisteröityä mihinkään omalla nimellään tai kertoa palveluille mitään henkilökohtaisia tietojaan. Sähköpostista ja foorumeista alkaen kaikkeen kelpaa ihan hyvin tekaistut tiedot.

maugetus15/19

Lainaus, alkuperäisen viestin kirjoitti TosiSalainen:

Täysi turhake tuo helposti katoava tai varastettava laite :P
Eipä löydy netistä hakemallakaan montaa palvelua, joihin 99% ihmisistä olisi tarvetta tunnistautua aidosti, ja niistäkin selviää luonnikkaimmin vaikka pankkitunnuksin.
Eihän kukaan terve ihminen oikeasti halua rekisteröityä mihinkään omalla nimellään tai kertoa palveluille mitään henkilökohtaisia tietojaan. Sähköpostista ja foorumeista alkaen kaikkeen kelpaa ihan hyvin tekaistut tiedot.

näinpä, onhan noita sivuja vaikka kuinka joihin on tunnukset olemassa mutta facebook, pääsähköposti ja pankki ja pari verkkokauppaa ovat ainoat joissa käytän oikeita tietojani. 90% sivustoista en ole koskaan laittanut mitään rehellisiä tietoja itsestäni...

bfr16/19

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Esim. suositussa phpBB foorumisoftassa on salasanalle asetettu enimmäismerkkimäärä jota ei yleensä käyttäjälle mainita (~30 merkkiä). Kun sitten käyttäjä kirjoittaa salasanaksi esim.

Lainaus:

tassaontodellapitkasalasanajossaonainakin6kirjaintajamuutamanumeroilmanerikoismerkkejamuttakuitenkinilmanaakkosia

Tulee sähköpostiin vahvistusviesti jossa lukee (esim.):
Password: tassaontodellapitkasalasanajossa

Saa vapaasti testata, mutta tiedän ettet sitä vaivaudu tekemään :)

Itseasiassa vaivaudun. Kävin kokeilemassa phpbb:n demoa (http://www.try-phpbb.com/30x/ucp.php?mode=register),
rekisteröitymisessä sanotaan salasanavaatimuksen olevan 6-100 merkkiä, kokeilin laittaa 110 merkkisen ja sain virheviestin:

"The password you entered is too long.
The password confirmation you entered is too long."

Joten ainakaan tuon järjestelmän osalta väite ei pidä paikkaansa. Sinäänsä phpbb on surullisen kuuluisa reijistään, joten en ihmettele vaikka sen kanssa olisikin ongelmia ollut. Ylipäänsä jos joku järjestelmä lähettää salasanasi plaintextinä sähköpostiisi, kannattaa käyttäjätili poistaa saman tien, salasanasi on todennäköisesti myös tietokannassa plaintextinä.

Tuollaista koodia ei onneksi nykypäivänä näe oikeastaan kuin firmojen 100% omaa tuotantoa olevissa proprietary softissa(vs. että käytettäisiin valmista frameworkkia/cms:sää). Tee itse ja säästä.

xbkrypt0n17/19

Lainaus, alkuperäisen viestin kirjoitti bfr:

Tuollaista koodia ei onneksi nykypäivänä näe oikeastaan kuin firmojen 100% omaa tuotantoa olevissa proprietary softissa(vs. että käytettäisiin valmista frameworkkia/cms:sää). Tee itse ja säästä.

Väitätkö siis edelleen, että suurin osa sivustoista ilmoittaa salasanan enimmäispituuden, ilmoittaa sallitut merkit, EI katkaise salasanaa tai tee jotain muuta omituista kun salasanassa on tuntemattomia merkkejä?

bfr18/19

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Lainaus, alkuperäisen viestin kirjoitti bfr:

Tuollaista koodia ei onneksi nykypäivänä näe oikeastaan kuin firmojen 100% omaa tuotantoa olevissa proprietary softissa(vs. että käytettäisiin valmista frameworkkia/cms:sää). Tee itse ja säästä.

Väitätkö siis edelleen, että suurin osa sivustoista ilmoittaa salasanan enimmäispituuden, ilmoittaa sallitut merkit, EI katkaise salasanaa tai tee jotain muuta omituista kun salasanassa on tuntemattomia merkkejä?

Kyllä, väitän että 90% nykyaikaisista sovelluksista ilmoittaa viimeistään tallennusvaiheessa jos salasanassa oli jotain vikaa eikä vain pokkana muuta sitä joksikin muuksi. Tuo mainitsemasi phpbb vaikutti olevan malliesimerkki tällaisesta, pituus kerrottiin etukäteen ja säännön rikkomisesta tuli virheilmoitus.

xbkrypt0n19/19

Lainaus, alkuperäisen viestin kirjoitti bfr:

Kyllä, väitän että 90% nykyaikaisista sovelluksista ilmoittaa viimeistään tallennusvaiheessa jos salasanassa oli jotain vikaa eikä vain pokkana muuta sitä joksikin muuksi. Tuo mainitsemasi phpbb vaikutti olevan malliesimerkki tällaisesta, pituus kerrottiin etukäteen ja säännön rikkomisesta tuli virheilmoitus.

Sivuilla joita testasin oli käytössä todennäköisesti joku oma muunnelma phpBB:stä mikä on valitettavan yleistä. Silti kovin moni sivusto ei toimi kuten tuo phpBB testisivu.

Esim.
Yahoo ilmoittaa salasanan olevan liian lyhyt kun siinä on erikoismerkkejä. (Lyhyesti: Väärä virheilmoitus)

Apple ilmoittaa salasanan sisältävän kiellettyjä merkkejä, mutta ei erikseen kerro mitä merkkejä salasanassa saa yleensä edes olla eikä myöskään kerro salasanan enimmäispituuden olevan 32-merkkiä. (Lyhyesti: Epäselvä virheilmoitus, salasanan pituutta ei kerrota missään ja selaimien oletustoiminta on vain hylätä kentän pituuden ylittävät merkit -> voit syöttää vaikka 200 merkkiä pitkän salasanan, mutta järjestelmä tallentaa siitä vain 32 ensimmäistä merkkiä)

Microsoftin sähköpostipalvelun salasanan enimmäispituus kerrotaan vasta kun syöttää liian pitkän salasanan, eli se on 16 merkkiä. Lisäksi sama ongelma kuin Applella, eli ei-sallittuja merkkejä esiinnyttäessä ei kerrota mikä tai mitkä salasanan merkeistä tuon aiheuttaa. (Erittäin lyhyt salasana, epäselvä virheilmoitus)

Huuto.net taas toimii edelleen kuten sanoin, eli pätkii salasanasta ylimääräiset merkit pois kun salasanan pituus on liian pitkä.

Suomalaisista sähköpostipalveluista esim. Luukku.com ilmoittaa muutamasta erikoismerkistä ettei kelpaa, mutta hyväksyy silti salasanaksi joitain muita erikoismerkkejä. Salasanan tallennuksen jälkeen salasana ei yllättäen kelpaa, eli ilmeisesti korvaa jotain tuntemattomia merkkejä omilla merkeillään.


Myönnän toki että käyttämäni prosenttiluku oli erittäin kärjistetty, mutta sivustojen sekä niitä käyttävien käyttäjien määrä tämänkaltaisissa palveluissa ylittää kohtuullisen suurella todennäköisyydellä tuon heittämäsi 10%. Itse uskoisin että nuo luvut ovat juuri päinvastoin, eli se 10% tekee asiat oikein ja 90% vähän sinne päin. Eikä puhuta mistään firmojen sisäisistä verkoista, vaan ihan julkisista verkoista.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki