Yli miljardi salasanaa varastettu – tietoturvayhtiö yritti heti rahastaa sillä
The New York Timesin mukaan joukko venäläisiä krakkereita on onnistunut saamaan haltuunsa jopa 1,2 miljardia käyttäjätunnusta ja salasanaa eri verkkopalveluihin. Joukossa on myös noin 500 miljoonaa sähköpostiosoitetta.
Käyttäjätunnusten ja salasanojen massiivinen tietokonata on koostettu yhteensä noin 420 000 verkkopalvelusta, joihin hyökkääjät ovat päässeet käsiksi. Joukossa on niin maailman suurimpien yritysten ylläpitämiä palveluita kuin pieniäkin sivustoja. Tapauksen paljasti New York Timesille Hold Security -niminen tietoturvayhtiö, joka oli viime vuonna mukana paljastamassa Adobeen kohdistunutta suuren kokoluokan tietomurtoa.
Tietoturvakonsultointipalveluita yrityksille myyvä Hold Security on miettinyt tarkkaan tiedon julkistusajankohdan, sillä Las Vegasissa on käynnissä Black Hat -tietoturvakonferenssi. Hold Security kertoi heti uutisen julkaisun jälkeen uudesta palvelusta, jonka tilaamalla yritykset voivat pysyä selvillä onko heihin kohdistunut tietomurtoa. Palvelun hinnaksi kerrottiin 120 dollaria kuussa, mutta ilmoitus palvelusta otettiin pois sen jälkeen kun Wall Street Journalin toimittaja alkoi kysellä siitä.
15 KOMMENTTIA
xbkrypt0n1/15
Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.
E: Eli otsikoksi olisi voinut ihan hyvin laittaa "Tietoturvayhtiö väitti yli miljardin salasanan vuotaneen ja yritti rahastaa sillä". Toistaiseksi julkisuuteen ei ole tullut mitään todisteita siitä, että salasanoja on viety poislukien tuon "tietoturvafirman" väitteet.
beget2/15
Tässä uutisoinnissa ei ollut niinkään kyse tietomurroista, vaan tuosta yhtiöstä joka yritti rahastaa sillä. Sen kannalta on täysin merkityksetöntä mihin palveluihin on murtauduttu.
jorgga3/15
Mutta tosiaa. Ei se ole tyhmä joka pyytää. 120$ ei ole iso raha yrityksille. Tietojen paikkansapitävyys on sitten eri asia.
Ketola4/15
Myös F-Secure muisti mainoskirjeellä heti Viestintäviraston Tietoturva Nyt! -päivityksen jälkeen. F:n toimesta mainostettiin heidän F-Secure Key -salasananhallintaohjelmaa, joka vaikuttaa olevan LastPassin kaltainen softa.
G0lden_Kebab5/15
No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada
Ketola6/15
Niinpä. Eipä tuolla Hold Securityn väitteellä ole mitään pohjaa jos ei niitä mikään ulkopuolinen taho pääse varmistamaan.
Datanen7/15
Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi
Muissakin palveluissa voi olla tämäntapainen ominaisuus.
pähkinä8/15
Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.
Datanen9/15
Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.
xbkrypt0n10/15
Pituus on tärkeä, mutta tuo hankaluus ei niinkään. Se on murtosoftalle ihan sama onko se salasana teddykarhu11 vai apnizoqikl12, koska molemmat ovat ohjelmalle yhtä helppoja murtaa vaikka toinen noista onkin moninkertaisesti vaikeampi muistaa. Isojen ja pienien kirjaimien sekakäyttö ja jokin vähän erikoisempi merkki tekevät lyhyestäkin salasanasta vaikeasti murrettavan.
http://en.wikipedia.org/wiki/Rainbow_table
beget11/15
Tämä XKCD-sarjakuva kertoo hyvin paljon salasanoista ja varsinkin niiden helpommasta muistamisesta.
http://imgs.xkcd.com/comics/password_strength.png
xbkrypt0n12/15
Jahas, no koska väität näin ja se sotii kaikkea sitä vastaan mitä ammattilaiset väittävät maailmalla, niin todista väitteesi.
Tuossa on pelkästään MD5 hashattu sanoista koostuva salasana joka ei edes sisällä numeroita. Sisältää pelkästään isoja ja pieniä kirjaimia a-z (ei ääkkösiä). Pituus tuntematon.
0f1bca6bfac67ab14fda85274fc25739
Jos tämä oikeasti on niin heikko kuin väität, niin sen murtamisessa ei pitäisi olla minkäänlaista ongelmaa.
Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään. Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.
xbkrypt0n13/15
Valitettavan totta kun noita vuotaneita salasanoja ja sivustoja on katsellut. Sivuston muut käyttäjät ovat suojanneet tilinsä ehkä hyvin, mutta pääkäyttäjän/järjestelmänvalvojan salasana on sitten tyyliin AAAAA tai 12345 ja sen avulla saadaan taas käyttäjien kaikki henkilökohtaiset tiedot ulos järjestelmästä tai käyttäjätietokanta, vaikka itse sivustosta ei löytyisikään haavoittuvuuksia. Näin ei siis pitäisi olla, mutta näin vaan on.
Tämä kertoo minulle taas, että sinulla ei ole pienintäkään havaintoa miten tuo salasanojen urkinta toimii. Krakkerit käyttävät hyväkseen jotain järjestelmän monesta tunnetusta tai sillä hetkellä tuntemattomasta haavoittuvuudesta ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.
Väärin taas. Hehän voivat väittää ihan mitä haluavat. Sivustojen ylläpitäjillä ei ole mitään velvoitetta puhua täysin totta kaikesta ja vaikka he itse luulisivat puhuvansa totta, ei se välttämättä ole yhtä todellisuuden kanssa.
Tuossa vähän vielä rautalankaa.
xbkrypt0n14/15
Yksikään sivusto ei tallenna enää käyttäjätietokantaa selväkielisenä/plaintextinä vaan salasanat ovat vähintään MD5 hashattuja. Sen takia salasanan tulee olla pitkä, koska pitkän salasanan murtamisessa menee vähintään se parisataa miljardia vuotta nykylaitteilla (katso rautalanka). Ehdit olla pitkään haudassa ennen kuin vuotanut salasanasi murretaan. Jos väität jotain toista, niin voit vapaasti murtaa tuon salasanan minkä heitin aiemmin.
Tuo pitkä salasana ohje on paikkansapitävä kaikkialla. Jonkin yksittäisen sivuston neuvo käyttää jotain merkkiä x salasanassa on vain heidän vaatimuksensa. Pitkä salasana on vahva sivustosta riippumatta.
Vain sinä toit tämän esille. En ole missään vaiheessa suositellut käyttämään samaa salasanaa joka sivustolla.
Joo ja keksimälläkin niitä saa muutaman. Uutisessa on kuitenkin yli miljardi salasanaa, joten ne ovat varmasti saatu juurikin tuolla kuvailemallani tavalla, eli on käytetty hyväksi jonkin sivuston jotain haavoittuvuutta ja ladattu sivuston koko käyttäjätietokanta.
xbkrypt0n15/15
Ilmeisesti sinun pääsi sisällä tämä ei ole se paras tapa. Voinet siis paljastaa mikä se oikea tapa on.
Luukkanen-Kilde, is that you?
Niitä todisteita edelleen haluaisin kovasti ja varmasti moni muukin, koska tuo on edelleenkin aivan päätön väite (kuten kaikki muukin horinasi tähän asti).
Totta kai siellä on joukossa molempia. Kuten jo aiemmin sanoin, salasanat eivät liiku siellä selkokielisenä vaan esimerkiksi tuossa MD5-muodossa (nyk. taitaa olla SHA-1 tai parempi). Helpot salasanat murretaan heti, vähän vaikeammat viiveellä ja vaikeimmat jäävät yksinkertaisesti murtamatta. Sivustot käyttävät yleensä hyvin samanlaisia tietoturvaratkaisuja ja jos yhdellä sivustolla on jokin haavoittuva osa, niin se sama palikka on käytössä lukemattomilla muilla sivustoilla (esim. heartbleed). Hyvällä tuurilla jopa täsmälleen samaa haavoittuvuutta käyttämällä on nuo kaikki käyttäjätiedot saatu latailtua.
Sherlockmaista päättelyä.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT