AfterDawn logo

Tarkista täältä oletko yksi Adobe-murron uhreista

Jari Ketola Jari Ketola
16 kommenttia

Kuukausi sitten Adobe varoitti asiakkaitaan järjestelmiinsä kohdistuneesta tietomurrosta. Viime päivien aikana tietomurron kautta hankittuja tietoja on kiertänyt julkisuudessa ja tietoturvatutkijoiden analysoitavana. Tietojen joukossa on ollut myös users.tar.gz-niminen tiedosto, joka sisältää tiedot yli 150 miljoonasta Adoben käyttäjästä. Tiedot sisältävät mm. käyttäjän sähköpostiosoitteen ja salasanan DES-salattuna. Myös käyttäjän syöttämä salasanavihje on tallennettuna tietoihin - selkokielisenä.

Esimerkiksi NSA:n sähköpostilla rekisteröityneen käyttäjän salasanavihje paljastaa kaiken:

159782460-|--|-xxxxxxxx@nsa.gov-|-EQ7fIpT7i/Q=-|-1 to 6|--
"1 to 6" eli "yhdestä kuuteen".

Adobe on käyttänyt samaa salausavainta kaikkiin salasanoihin, joten vihjeen perusteella on helppo arvata, että "EQ7fIpT7i/Q=" vastaa salasanaa "123456".


Kaikki vuodetut salasanat on lisätty tietokantaan, jota vastaan jokainen voi tarkistaa onko omat tiedot olleet vuodettujen tietojen joukossa. Hakukone löytyy osoitteesta http://adobe.cynic.al/.

Adobe on jo lukinnut kaikki tunnukset, joiden tiedot olivat vuodettujen joukossa, ja pakottanut käyttäjät vaihtamaan salasanansa. Jos kuitenkin olet käyttänyt samaa salasanaa useassa palvelussa, ja hakupalvelu kertoo tietojesi löytyvän listalta, on suositeltavaa vaihtaa salasana kaikista palveluista joissa sama salasana on ollut käytössä.

Siirry hakukoneeseen

Vinkkejä tietoturvan parantamiseen AfterDawnin tietoturvaosiossa - siirry käyttämään keskitettyä salasanahallintaa jo tänään!

Hakukoneen tuottaa AfterDawnista riippumaton taho, eikä AfterDawn vastaa palvelun toteutuksesta millään tavalla.

16 KOMMENTTIA

late123411/16

adobe

6630nokia2/16

Vanha sähköpostiosoitteeni löytyy listalta, mutta en muista mitä salasanaa olen Adobeen rekisteröityessä käyttänyt. Tuskin mitään yleisesti käytössä olevaa, ei ainakaan tuohon sähköpostiosoitteeseen yhdistettävää.

jortti ala vertti (vahvistamaton)3/16

Miksi salasana pitää vaihtaa? Miksi sen pitää olla salainen? Mitä salasanalla voi tehdä?

Turhaa vouhotusta taas.

G0lden_Kebab4/16

@3
kannattaa harkita sivuston vaihtoa...

Mutta asiaan:

Kyllähän se oma s-posti tuolta löytyi eikä ihmekään kun noin monta paljastunut.

Sinänsä adobe oli hoitanut kohtuu hyvin ns. jälkitoimenpiteet ja tiedottamisen.

Huono homma kuitenkin, että adobenkin tietoturva oli tuota luokkaa.

paittola5/16

Ettei tääkin olis joku phishing-hakukone...

WereCatf6/16

Ihan vaan siltä varalta, että joku ottaisi opikseen: suosittelen käyttämään Keepass2 - nimistä ohjelmaa salasanojen hallintaan. Keepass2 voi luoda jokaiselle saitille oman salasanan, juuri niin pitkän ja vahvan, kuin vain haluatkin, niin, ettei tarvitse käyttää useammassa paikassa samaa salasanaa ja asettaa näin itseään riskille alttiiksi. Kaikki salasanat tallennetaan todella vahvasti kryptattuun tietokantaan, ja sinun tarvitsee muistaa vain sen tietokannan master key.

Itse ainakin olen tätä nykyä vannoutunut Keepassin käyttäjä, minulla on varmaan viitisenkymmentä eri tunnusta ympäri nettiä, enkä mitenkään voisi muistaa kaikkien salasanoja ja tunnuksia ulkoa.

Sove927/16

Lainaus:

Tiedot sisältävät mm. käyttäjän sähköpostiosoitteen ja salasanan DES-salattuna.

DES? Adobe, are you fucking kidding me?

eipjaksa (vahvistamaton)8/16

Lainaus, alkuperäisen viestin kirjoitti WereCatf:

Ihan vaan siltä varalta, että joku ottaisi opikseen: suosittelen käyttämään Keepass2 - nimistä ohjelmaa salasanojen hallintaan. Keepass2 voi luoda jokaiselle saitille oman salasanan, juuri niin pitkän ja vahvan, kuin vain haluatkin, niin, ettei tarvitse käyttää useammassa paikassa samaa salasanaa ja asettaa näin itseään riskille alttiiksi. Kaikki salasanat tallennetaan todella vahvasti kryptattuun tietokantaan, ja sinun tarvitsee muistaa vain sen tietokannan master key.

Itse ainakin olen tätä nykyä vannoutunut Keepassin käyttäjä, minulla on varmaan viitisenkymmentä eri tunnusta ympäri nettiä, enkä mitenkään voisi muistaa kaikkien salasanoja ja tunnuksia ulkoa.

Sama täällä, pari vuotta jo käyttäny, täytyy vaa muistaa pitää varmuuskopiot tietokannasta ja avaimesta, muuten voi käydä hassusti

kata139/16

Miten Keepass2 käytännössä toimii. Käytän pöytäkonettani, mökin läppäriä, matkoilla miniläppäriä, iPadia ja Samsung Galaxiani. Saanko sen passin salasanoineen kaikille alustoilleni? Ja kun ilmeisesti ne salasanat on mahdottomia muistaa, joutunee joka kerran avaamaan keepassin. Vielä tyhmä kysymys: jos antaa koneensa muistaa salasanan, vaikuttaako se tietoturvaan?

paittola10/16

Lainaus, alkuperäisen viestin kirjoitti WereCatf:

Ihan vaan siltä varalta, että joku ottaisi opikseen: suosittelen käyttämään Keepass2 - nimistä ohjelmaa salasanojen hallintaan. Keepass2 voi luoda jokaiselle saitille oman salasanan, juuri niin pitkän ja vahvan, kuin vain haluatkin, niin, ettei tarvitse käyttää useammassa paikassa samaa salasanaa ja asettaa näin itseään riskille alttiiksi. Kaikki salasanat tallennetaan todella vahvasti kryptattuun tietokantaan, ja sinun tarvitsee muistaa vain sen tietokannan master key.

Itse ainakin olen tätä nykyä vannoutunut Keepassin käyttäjä, minulla on varmaan viitisenkymmentä eri tunnusta ympäri nettiä, enkä mitenkään voisi muistaa kaikkien salasanoja ja tunnuksia ulkoa.

Mites toimii, jos toimit useista laitteista?

Ketola11/16

Lainaus, alkuperäisen viestin kirjoitti kata13:

Miten Keepass2 käytännössä toimii. Käytän pöytäkonettani, mökin läppäriä, matkoilla miniläppäriä, iPadia ja Samsung Galaxiani. Saanko sen passin salasanoineen kaikille alustoilleni?

Itselläni on kokemusta lähinnä LastPassista, mutta olen ymmärtänyt että KeePass toimii samalla periaatteella. Vastaan kuitenkin nyt LastPassin (maksullisen version) näkökulmasta.

LastPass tallentaa salasanat tietokantaan, joka salataan valitsemallasi salasanalla. LastPassin palvelimille siirretään tietokanta tällä salasanalla salattuna, joten vaikka salasanat tallennetaankin verkkoon, ei niihin pääse käsiksi muut tahot.

Sama "salasana-arkisto" on käytössä kaikilla alustoilla - itselläni Windows (Chrome, Firefox, Opera, IE), ChromeOS, Android ja Windows Phone 7.8. Mobiililaitteilla LastPass sisältää oman selaimen, jonka avulla kirjautuminen onnistuu helposti. Lisäksi Androidilla sivun voi lähettää LastPassiin kirjautumista varten.

Lainaus, alkuperäisen viestin kirjoitti kata13:

Ja kun ilmeisesti ne salasanat on mahdottomia muistaa, joutunee joka kerran avaamaan keepassin.

Selaimiin LastPass asentuu lisäosana, joka hoitaa kirjautumislomakkeiden täyttämisen automaattisesti, kunhan vain LastPassiin on kirjauduttu sisään. Lisäksi sivustoille (esim. verkkopankille) voi pakottaa pääsalasanan syöttämisen ennen kuin lomake täytetään automaattisesti.

Lainaus, alkuperäisen viestin kirjoitti kata13:

Vielä tyhmä kysymys: jos antaa koneensa muistaa salasanan, vaikuttaako se tietoturvaan?

Jos annat selaimen tallentaa salasanat (ilman KeePassin tai LastPassin kaltaista lisäosaa) tallentuvat salasanat koneelle selkokielisenä. Tällöin kuka tahansa, joka pääsee koneen tietoihin käsiksi, saa myös kaikki salasanasi. Kun asennat LastPassin siirtyvät selaimiin tallennetut salasanat automaattisesti LastPassin alle, ja voit tyhjentää tallennetut salasanat selaimista. Tämäkin onnistuu automaattisesti. Eli jos käytät useaa eri selainta eri alustoilla, kuten minä, siirtyvät kaikkien selainten tiedot yhteen, yhteiseen salasana-arkistoon, ja voit helposti käyttää mitä tahansa sivustoa ilman jatkuvaa salasanojen muistelua tai syöttämistä.

Etenkin mobiililaitteilla LastPass on ollut loistava. Monimutkaisen kirjaimia, numeroita ja erikoismerkkejä sisältävän salasanan syöttäminen osaa olla todella turhauttavaa kosketusnäytön näppäimistöllä.

Kannattaa tsekata AfterDawnin tietoturvaosiota, josta löytyy linkkkejä mm. näihin salasananhallintaohjelmiin.

Lumikki12/16

En itse oikein ymmärrä tuota salasanaohjelman käyttöä. Kyse on kolmannen osapuolen ohjelmistolla tehty arkisto. Luottamus on siis ohjelman tekijässä.

Paras mahdollinen tallennuspaikka salasanoille on oma muisti. Se kulkee aina mukana ja siihen on vain henkilöllä itsellä pääsy.

Tallennuspaikka tulisi olla sellainen että siihen on rajattu pääsy. Ei siis sellainen jossa luotetaan johonkin toiseen ihmiseen/ohjelmaan/paikkaan tai hänen/sen tekemisiin.

Tietoturva alkaa ihmisestä itsestään. Eli ensimmäisenä asia on että ei rekistöröidy jokaiseen paikkaan turhaan ja levitä sitä henkilökohtaista tietoa. Salasanan tallennuspaikkana henkinen on paras, sitten tulee fyysinen ja viimeisenä huonoimpana ratkaisuna digitaalinen.

Digitaalisen ongelma on se että vaikka sen asian kryptaa niin usein siihen pääsee käsiksi muutkin kuin sinä itse jos se tallennuspaikka on jossain vaiheessa yhdistetty internettiin. Eli pääsyn rajoittaminen on kryptausta tärkeämpi. Ihan samalla tavalla kuin fyysisessä maailmassa paperilappu on paremmassa turvassa kassakaapissa. Internet tarkoittaa samaa kuin että koko maailmalla on pääsy asiaan ilman että pitää olla fyysisesti läsnä.

Ketola13/16

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

En itse oikein ymmärrä tuota salasanaohjelman käyttöä. Kyse on kolmannen osapuolen ohjelmistolla tehty arkisto. Luottamus on siis ohjelman tekijässä.

Periaatteessa näin. Toisaalta samanlaista luottamusta joutuu IT-asioissa käyttämään päivittäin. Esimerkiksi LastPass on kuitenkin mm. tietoturvatutkija Steve Gibsonin testaama ja toteutukseltaan hyväksi toteama. Samalla tavalla myös muita ohjelmia testataan ongelmien tai haavoittuvuuksien varalta.

Itselläni on sen verran huono muisti, että pidän LastPassin kaltaista ratkaisua parempana kuin muita vaihtoehtoja. Olen myös käyttänyt esim. SuperGenPassia, joka muodostaa salasanan oman avaimen ja sivuston osoitteen perusteella, jolloin yhden salasanan "taakse" saa useita sivuja, vaikka sivustoille eri salasana tuleekin.

dRD14/16

Lainaus, alkuperäisen viestin kirjoitti Ketola:

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

En itse oikein ymmärrä tuota salasanaohjelman käyttöä. Kyse on kolmannen osapuolen ohjelmistolla tehty arkisto. Luottamus on siis ohjelman tekijässä.

Periaatteessa näin. Toisaalta samanlaista luottamusta joutuu IT-asioissa käyttämään päivittäin.

Ja jos paranoidiksi haluaa, Keepass on avointa lähdekoodia, joten koodin voi halutessaan lueskella läpi ja kääntää sourcesta oman mielenrauhan saavuttamiseksi :-)

pkaksp15/16

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

En itse oikein ymmärrä tuota salasanaohjelman käyttöä. Kyse on kolmannen osapuolen ohjelmistolla tehty arkisto. Luottamus on siis ohjelman tekijässä.

Paras mahdollinen tallennuspaikka salasanoille on oma muisti. Se kulkee aina mukana ja siihen on vain henkilöllä itsellä pääsy.

Esimerkki KeePass ohjelman generoimasta salasanasta:

bC;"Sd&N:I,5fpGBUbo*

Kokeileppa muistaa tuo ja kun otetaan huomioon se, että jokaisessa verkkopalvelussa tulisi käyttää eri tunnuksia ja passuja, niin menee kyllä hippasen vaikeaksi ihan näin normaali ihmisen muistin kanssa.

Tietysti voit asettaa salasanaksi vaikka "äiti". Helppo muistaa ja kulkee aina omassa tiedossasi. MUTTA arvaas miten helppo tuo on purkaa....

KarZan16/16

Minulla on ollut KeePass käytössä jo muutaman vuoden. Sopii ainakin minulle. Sen lisäksi olen asentanut Dropboxin ja tallentanut KeePassin tietokannan Dropbox kansioon. Näin se on sitten aina saatavilla. Ja iPhonessa minulla on käytössä MiniKeepass jolla saan salasanatietokannan auki myös puhelimella, kun puhelimessakin on Dropbox. Ja kun käytän useita tietokoneita, niin olen kaikkiin asentanut Dropboxin sekä sen lisäksi ohjelman jolla saa tuon salasanakannan auki. OS X ympäristössä käytän KeePassX ohjelmaa ja Windowsissa tietenkin KeePass ohjelmaa. Ubuntussakin oli joku, mutta nyt en muista mikä se oli :) Näin ollen ei tarvitse kaikille selaimille asentaa jotain lisäosaa. Tietenkin puhelimella käyttö on hankalampaa kuin läppärillä tai pöytäkoneella kun pitää kopioida salasana manuaalisesti. Koneella se on helppoa kun Keepassa syöttää tunnukset ja salasanat yhdellä napin painalluksella :) Ei ole enää tarvinnut muistella salasanoja :D

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki