AfterDawn logo

Yli miljardi salasanaa varastettu – tietoturvayhtiö yritti heti rahastaa sillä

Manu Pitkänen Manu Pitkänen
21 kommenttia

The New York Timesin mukaan joukko venäläisiä krakkereita on onnistunut saamaan haltuunsa jopa 1,2 miljardia käyttäjätunnusta ja salasanaa eri verkkopalveluihin. Joukossa on myös noin 500 miljoonaa sähköpostiosoitetta.

Käyttäjätunnusten ja salasanojen massiivinen tietokonata on koostettu yhteensä noin 420 000 verkkopalvelusta, joihin hyökkääjät ovat päässeet käsiksi. Joukossa on niin maailman suurimpien yritysten ylläpitämiä palveluita kuin pieniäkin sivustoja. Tapauksen paljasti New York Timesille Hold Security -niminen tietoturvayhtiö, joka oli viime vuonna mukana paljastamassa Adobeen kohdistunutta suuren kokoluokan tietomurtoa.

Tietoturvakonsultointipalveluita yrityksille myyvä Hold Security on miettinyt tarkkaan tiedon julkistusajankohdan, sillä Las Vegasissa on käynnissä Black Hat -tietoturvakonferenssi. Hold Security kertoi heti uutisen julkaisun jälkeen uudesta palvelusta, jonka tilaamalla yritykset voivat pysyä selvillä onko heihin kohdistunut tietomurtoa. Palvelun hinnaksi kerrottiin 120 dollaria kuussa, mutta ilmoitus palvelusta otettiin pois sen jälkeen kun Wall Street Journalin toimittaja alkoi kysellä siitä.

21 KOMMENTTIA

xbkrypt0n1/21

Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.

E: Eli otsikoksi olisi voinut ihan hyvin laittaa "Tietoturvayhtiö väitti yli miljardin salasanan vuotaneen ja yritti rahastaa sillä". Toistaiseksi julkisuuteen ei ole tullut mitään todisteita siitä, että salasanoja on viety poislukien tuon "tietoturvafirman" väitteet.

beget2/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.

Tässä uutisoinnissa ei ollut niinkään kyse tietomurroista, vaan tuosta yhtiöstä joka yritti rahastaa sillä. Sen kannalta on täysin merkityksetöntä mihin palveluihin on murtauduttu.

jorgga3/21

Lainaus:

Hold Security -niminen tietoturtayhtiö

Mutta tosiaa. Ei se ole tyhmä joka pyytää. 120$ ei ole iso raha yrityksille. Tietojen paikkansapitävyys on sitten eri asia.

Ketola4/21

Myös F-Secure muisti mainoskirjeellä heti Viestintäviraston Tietoturva Nyt! -päivityksen jälkeen. F:n toimesta mainostettiin heidän F-Secure Key -salasananhallintaohjelmaa, joka vaikuttaa olevan LastPassin kaltainen softa.

G0lden_Kebab5/21

No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada

Ketola6/21

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:

No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada

Niinpä. Eipä tuolla Hold Securityn väitteellä ole mitään pohjaa jos ei niitä mikään ulkopuolinen taho pääse varmistamaan.

Datanen7/21

Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi

Muissakin palveluissa voi olla tämäntapainen ominaisuus.

pähkinä8/21

Lainaus, alkuperäisen viestin kirjoitti Datanen:

Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi

Muissakin palveluissa voi olla tämäntapainen ominaisuus.


Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.

Datanen9/21

Lainaus, alkuperäisen viestin kirjoitti pähkinä:

Lainaus, alkuperäisen viestin kirjoitti Datanen:

Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi

Muissakin palveluissa voi olla tämäntapainen ominaisuus.


Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.

Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.

xbkrypt0n10/21

Lainaus, alkuperäisen viestin kirjoitti Datanen:

Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.

Pituus on tärkeä, mutta tuo hankaluus ei niinkään. Se on murtosoftalle ihan sama onko se salasana teddykarhu11 vai apnizoqikl12, koska molemmat ovat ohjelmalle yhtä helppoja murtaa vaikka toinen noista onkin moninkertaisesti vaikeampi muistaa. Isojen ja pienien kirjaimien sekakäyttö ja jokin vähän erikoisempi merkki tekevät lyhyestäkin salasanasta vaikeasti murrettavan.

http://en.wikipedia.org/wiki/Rainbow_table

beget11/21

Tämä XKCD-sarjakuva kertoo hyvin paljon salasanoista ja varsinkin niiden helpommasta muistamisesta.

http://imgs.xkcd.com/comics/password_strength.png

user_org (vahvistamaton)12/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Se on murtosoftalle ihan sama onko se salasana teddykarhu11 vai apnizoqikl12, koska molemmat ovat ohjelmalle yhtä helppoja murtaa vaikka toinen noista onkin moninkertaisesti vaikeampi muistaa.


Ensimmäinen on silmämääräisesti helppo, mutta mikä jälkimmäisen tekee yhtä helpoksi murtaa?

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Pituus on tärkeä, mutta tuo hankaluus ei niinkään

Hankaluus, voi tarkoitaa muistamista tai murtamista.

Jos salasanaa voidaa etsiä kokeilemalla, niin sanakirja, nimilistoilta löytyvistä osista koostuvista on heikko vs aidosti satunnainen, ei auta vaikka kirjamia olisi korjattu numeroilla tyyliin 1=i.

Helppo muistettavuus on eriasia, satunnaiselta näyttävästä salanasta voi kehittää helpon muistisäännön, jos ei muista muuten satunnaisia merkkisarjoja.

Tavallisen ihmisen ei tarvitse kokonaan muistaa kuin murto-osa salasanoista/pääsy koodeista, loput voi hoitaa tarkoitukseen sopivilla ohjelmilla, kunhan muistaa että taltio joutuu vieraiden käsiin jossain vaiheessa.

Lainaus:

Pituus on tärkeä


Käytetyn järjestelmän suosituksia kannattaa noudattaa, jonkin systeemin lyhyt numerosarja voi olla vahvempi kuin toisen pitkä satunnainen unicodemerkkisarja.


Jos pysyvä salasana vuotaa, niin pituus ja vaikeus ei auta, ainoa ilo on että aidosti erilainen kuin muissa palveluissa.

xbkrypt0n13/21

Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos salasanaa voidaa etsiä kokeilemalla, niin sanakirja, nimilistoilta löytyvistä osista koostuvista on heikko vs aidosti satunnainen, ei auta vaikka kirjamia olisi korjattu numeroilla tyyliin 1=i.

Jahas, no koska väität näin ja se sotii kaikkea sitä vastaan mitä ammattilaiset väittävät maailmalla, niin todista väitteesi.

Tuossa on pelkästään MD5 hashattu sanoista koostuva salasana joka ei edes sisällä numeroita. Sisältää pelkästään isoja ja pieniä kirjaimia a-z (ei ääkkösiä). Pituus tuntematon.
0f1bca6bfac67ab14fda85274fc25739

Jos tämä oikeasti on niin heikko kuin väität, niin sen murtamisessa ei pitäisi olla minkäänlaista ongelmaa.

Lainaus, alkuperäisen viestin kirjoitti user_org:

jonkin systeemin lyhyt numerosarja voi olla vahvempi kuin toisen pitkä satunnainen unicodemerkkisarja.

Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään. Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.

user_org (vahvistamaton)14/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Jahas, no koska väität näin ja se sotii kaikkea sitä vastaan mitä ammattilaiset väittävät maailmalla, niin todista väitteesi.


Ihan perusohje on välttää sanakirja/nimi listoja salasanaa muodostaessa.

Mitä kauemmin menee yksittäiseen testaamiseen, sitä isompi merkitys on vähentää testattavia vaihtoehtoja. koska tunnettua että salasanoissa on usein sanoja niin...

esim se teddykarhu esimerkkisi.

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Jos tämä oikeasti on niin heikko kuin väität, niin sen murtamisessa ei pitäisi olla minkäänlaista ongelmaa.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään.


No joo, kemmentoin sitä että järjestelmä jossa lyhyt numero voi olla turvallisempi kuin järjestelmä jossa pitkä kryptinen salasana.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.


Ei jos ei luotettavasti kerrota.

Jos salasanan selvittäminen perustuu kokeiluun ja kyse järjestelmästä jossa voi salasanaa kokeilla määrättömästi, niin pituus ja minimutkaisuus auttaa.

Lainaus:

salasana joka ei edes sisällä numeroita. Sisältää pelkästään isoja ja pieniä kirjaimia a-z (ei ääkkösiä). Pituus tuntematon.


En kokeile, mutta jos yksittäisen salasanan testaaminen kestää riittävän pitkään, niin mitä pidempään kestää sitä isompi etu testa ensin sanakirja pohjalla, näin myös tunnetusti tehdään.

Jos halut testata niin kokeile sitä aijempaa teddykarhu esimerkkiä, jossa numeroita ja sanoja vs kirjamia ja nuemroita.

user_org (vahvistamaton)15/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Lainaus, alkuperäisen viestin kirjoitti user_org:

jonkin systeemin lyhyt numerosarja voi olla vahvempi kuin toisen pitkä satunnainen unicodemerkkisarja.

Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään. .

Numerot on monessa paikkaa käytössä, usein jopa diipadaapa nettisivuja tärkeämmissä.

Käytettävyys ja muistettavuus on myös terkeitä, ja vähänkään järkevä palvelu rajoittaa kokeilun määrää ja tai nopeutta.

Toki esim 10 yrityskertaa, kuudella numerolla on paperilla huonompi kuin kuusi satunnaista merkkiä 10 kokeilulla


Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.

Sivuston turvallisuuden osalta voi luottaa vain niiden sanaan, ja ehdottomasti kannattaa noudattaa heidän suosituksia. Jos suositellaan vahvaa salasanaan niin todennäköisesti sen on tärkeää.

Jos sivusto vuotaa salasanasi niin tärkeintä on ettei samankaltaista ole muualla.

Pitkää satunnaista salasanaa tarvitaan jos sivullinen voi sitä kokeilla määrättömästi nopeaan tahtiin, jolloin turva on lähinnä se että vaihtoehtoja on niin paljon että nopeudesta huolimatta kauemmin kuin tarvittava suoja aika,

esim pitkästä ja satunnaisesta voi olla etua jos sivusto vuotaa salassa salasanasta muodostetut tiivisteet.

xbkrypt0n16/21

Lainaus, alkuperäisen viestin kirjoitti user_org:

Numerot on monessa paikkaa käytössä, usein jopa diipadaapa nettisivuja tärkeämmissä.

Valitettavan totta kun noita vuotaneita salasanoja ja sivustoja on katsellut. Sivuston muut käyttäjät ovat suojanneet tilinsä ehkä hyvin, mutta pääkäyttäjän/järjestelmänvalvojan salasana on sitten tyyliin AAAAA tai 12345 ja sen avulla saadaan taas käyttäjien kaikki henkilökohtaiset tiedot ulos järjestelmästä tai käyttäjätietokanta, vaikka itse sivustosta ei löytyisikään haavoittuvuuksia. Näin ei siis pitäisi olla, mutta näin vaan on.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Käytettävyys ja muistettavuus on myös terkeitä, ja vähänkään järkevä palvelu rajoittaa kokeilun määrää ja tai nopeutta.

Tämä kertoo minulle taas, että sinulla ei ole pienintäkään havaintoa miten tuo salasanojen urkinta toimii. Krakkerit käyttävät hyväkseen jotain järjestelmän monesta tunnetusta tai sillä hetkellä tuntemattomasta haavoittuvuudesta ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Sivuston turvallisuuden osalta voi luottaa vain niiden sanaan

Väärin taas. Hehän voivat väittää ihan mitä haluavat. Sivustojen ylläpitäjillä ei ole mitään velvoitetta puhua täysin totta kaikesta ja vaikka he itse luulisivat puhuvansa totta, ei se välttämättä ole yhtä todellisuuden kanssa.

Tuossa vähän vielä rautalankaa.

user_org (vahvistamaton)17/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Krakkerit käyttävät hyväkseen jotain järjestelmän monesta tunnetusta tai sillä hetkellä tuntemattomasta haavoittuvuudesta ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.


Jos ne saavat salasanat niin mitä väliä onko salasana ollut hyvä, pitkä tai huono, väliä on sillä ettei se ole samankaltaisena muualla käytössä.


Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Lainaus, alkuperäisen viestin kirjoitti user_org:

Sivuston turvallisuuden osalta voi luottaa vain niiden sanaan

Väärin taas. Hehän voivat väittää ihan mitä haluavat.


Totta, että voivat väittää.

Jos luotettavia, niin miksi olla noudattamasta heidän ohjeita? Heidän pitäisi tietää mikä paras.


Jos eivät ole luotettavia, niin voivat väittää mitä tahansa, ja kerätä salasanat omiin pahoihin tarkoituksiin. Jolloin taasen ihan sama onko "2977" vai "12 teddykarhua sa1rastaa"

Eli tärkeintä ettei samankaltaista ole muualla.



Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.


Tämän tapauksen yhteydessä on uutisoitu että väitetyt salasanat ovat peräisen hyvin monenlaisista lähteistä, ei pelkästään palvelu päästä.

Käyttjänpääkin vuotaa, samoin keräilyä ja kalastelua jne. ja myös välistä napataan. Joskus sitä salsanaa ei edes napattu mistään.

Jos käyttäjänpäästä vuotanut , niin siina on saattanut mennä isokin nippu, eikä auta vaikka kaikki erilaisia. Tiehävaihtaminen, kertakäyttöisyys jne ehkä vähän.

xbkrypt0n18/21

Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos ne saavat salasanat niin mitä väliä onko salasana ollut hyvä, pitkä tai huono, väliä on sillä ettei se ole samankaltaisena muualla käytössä.

Yksikään sivusto ei tallenna enää käyttäjätietokantaa selväkielisenä/plaintextinä vaan salasanat ovat vähintään MD5 hashattuja. Sen takia salasanan tulee olla pitkä, koska pitkän salasanan murtamisessa menee vähintään se parisataa miljardia vuotta nykylaitteilla (katso rautalanka). Ehdit olla pitkään haudassa ennen kuin vuotanut salasanasi murretaan. Jos väität jotain toista, niin voit vapaasti murtaa tuon salasanan minkä heitin aiemmin.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos luotettavia, niin miksi olla noudattamasta heidän ohjeita? Heidän pitäisi tietää mikä paras.

Tuo pitkä salasana ohje on paikkansapitävä kaikkialla. Jonkin yksittäisen sivuston neuvo käyttää jotain merkkiä x salasanassa on vain heidän vaatimuksensa. Pitkä salasana on vahva sivustosta riippumatta.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Eli tärkeintä ettei samankaltaista ole muualla.

Vain sinä toit tämän esille. En ole missään vaiheessa suositellut käyttämään samaa salasanaa joka sivustolla.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Käyttjänpääkin vuotaa, samoin keräilyä ja kalastelua jne. ja myös välistä napataan. Joskus sitä salsanaa ei edes napattu mistään.

Joo ja keksimälläkin niitä saa muutaman. Uutisessa on kuitenkin yli miljardi salasanaa, joten ne ovat varmasti saatu juurikin tuolla kuvailemallani tavalla, eli on käytetty hyväksi jonkin sivuston jotain haavoittuvuutta ja ladattu sivuston koko käyttäjätietokanta.

user_org (vahvistamaton)19/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Ehdit olla pitkään haudassa ennen kuin vuotanut salasanasi murretaan.

Lähestyt mekaanisesti, lisäksi sillä että järjestäin nollasta merkistä eteenpäin, jollain nyky nopeudella.


Jos elän niin vanhaksi kun suomalaiset keskimäärin, niin lähden siitä että jossain vaiheessa se on nopeaa, vaikka ei välttämättä.

Tämä tärkeää sen takia että paljon salattua dataa vieraiden saatavilla ja hallussa joka nyt suojassa, mutta jonain päivänä suojaus ei enään turvaa sitä.


Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Pitkä salasana on vahva sivustosta riippumatta.


Ei, tuo on juuri se mihin ei pidä missään tapauksessa tuudittautua.



Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:

Uutisessa on kuitenkin yli miljardi salasanaa, joten ne ovat varmasti saatu juurikin tuolla kuvailemallani tavalla, eli on käytetty hyväksi jonkin sivuston jotain haavoittuvuutta ja ladattu sivuston koko käyttäjätietokanta.

Jos meinaat että yli miljardi tunnus - salasanaparia on saatu nimenomaan joltain sivustolta niin ajatteletko että ne ovat nimenomaan lyhyitä salasanoja ? vai voisiko sittenkin mukana olla myös "turvallisia" pitkiä.


On uutisoitu että ko määrä olisi sadoistatuhansista eri paikoista peräisin, kuten myös se että peräisin hyvin erilaisista lähteistä.

On myös epäilyjä uutisen paikkansapitävyydestä, lievimmillään mm sitä kelvollisten uniikkien parien määrää.

xbkrypt0n20/21

Lainaus, alkuperäisen viestin kirjoitti user_org:

Lähestyt mekaanisesti, lisäksi sillä että järjestäin nollasta merkistä eteenpäin, jollain nyky nopeudella.

Ilmeisesti sinun pääsi sisällä tämä ei ole se paras tapa. Voinet siis paljastaa mikä se oikea tapa on.

Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos elän niin vanhaksi kun suomalaiset keskimäärin, niin lähden siitä että jossain vaiheessa se on nopeaa, vaikka ei välttämättä.

Tämä tärkeää sen takia että paljon salattua dataa vieraiden saatavilla ja hallussa joka nyt suojassa, mutta jonain päivänä suojaus ei enään turvaa sitä.

Luukkanen-Kilde, is that you?

Lainaus, alkuperäisen viestin kirjoitti user_org:

Ei, tuo on juuri se mihin ei pidä missään tapauksessa tuudittautua.

Niitä todisteita edelleen haluaisin kovasti ja varmasti moni muukin, koska tuo on edelleenkin aivan päätön väite (kuten kaikki muukin horinasi tähän asti).

Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos meinaat että yli miljardi tunnus - salasanaparia on saatu nimenomaan joltain sivustolta niin ajatteletko että ne ovat nimenomaan lyhyitä salasanoja ? vai voisiko sittenkin mukana olla myös "turvallisia" pitkiä.

Totta kai siellä on joukossa molempia. Kuten jo aiemmin sanoin, salasanat eivät liiku siellä selkokielisenä vaan esimerkiksi tuossa MD5-muodossa (nyk. taitaa olla SHA-1 tai parempi). Helpot salasanat murretaan heti, vähän vaikeammat viiveellä ja vaikeimmat jäävät yksinkertaisesti murtamatta. Sivustot käyttävät yleensä hyvin samanlaisia tietoturvaratkaisuja ja jos yhdellä sivustolla on jokin haavoittuva osa, niin se sama palikka on käytössä lukemattomilla muilla sivustoilla (esim. heartbleed). Hyvällä tuurilla jopa täsmälleen samaa haavoittuvuutta käyttämällä on nuo kaikki käyttäjätiedot saatu latailtua.

Lainaus, alkuperäisen viestin kirjoitti user_org:

On uutisoitu että ko määrä olisi sadoistatuhansista eri paikoista peräisin, kuten myös se että peräisin hyvin erilaisista lähteistä.

Sherlockmaista päättelyä.

user_org (vahvistamaton)21/21

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Lainaus, alkuperäisen viestin kirjoitti user_org:

Ei, tuo on juuri se mihin ei pidä missään tapauksessa tuudittautua.

Niitä todisteita edelleen haluaisin kovasti ja varmasti moni muukin, koska tuo on edelleenkin aivan päätön väite (kuten kaikki muukin horinasi tähän asti).


Tunnus/salasanoja vuotaa ihan oikeasti muullakkin tavoin kuin purkamalla jotain puolivillaisesti tehtyhtyjä tiiviste tietokantoja.

No en epäile ettetkö sen varsin hyvin tiedosta.

Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:


Lainaus, alkuperäisen viestin kirjoitti user_org:

Jos meinaat että yli miljardi tunnus - salasanaparia on saatu nimenomaan joltain sivustolta niin ajatteletko että ne ovat nimenomaan lyhyitä salasanoja ? vai voisiko sittenkin mukana olla myös "turvallisia" pitkiä.

Totta kai siellä on joukossa molempia. Kuten jo aiemmin sanoin, salasanat eivät liiku siellä selkokielisenä vaan esimerkiksi tuossa MD5-muodossa (nyk. taitaa olla SHA-1 tai parempi). Helpot salasanat murretaan heti, vähän vaikeammat viiveellä ja vaikeimmat jäävät yksinkertaisesti murtamatta.


Väitätkö että että vain helppoja vähän vaikeampia.

Jos oikeasti miljardi aitoa tunnus salasana paria, niin uskon että mukana laidasta laitaan, en epäile etteikö ns helppoja paljon, koska niitä perinteisestikkin ollut paljon.

Lainaus:

Sivustot käyttävät yleensä hyvin samanlaisia tietoturvaratkaisuja ja jos yhdellä sivustolla on jokin haavoittuva osa, niin se sama palikka on käytössä lukemattomilla muilla sivustoilla (esim. heartbleed).


Se aivan totta että tiettyjä osia on käytössä laajasti, jos sellaisessa löydetään aukko, niin se voi mahdollistaa laajan toiminnan. Esimerkkisi hyvä siinä mielessä että se yksinään voi romuttaa koko systeemin tietoturvan. Eli esimerkki siitä että salasanan pituus ei pelasta.

Kuten tiedät niin lukuisilla netti palveluilla liikenne salaamatonta, jopa kirjautuminen, niin ei siinä pitkäsalasana auta. (emailin tunnusten selvittäminen avaa tien moneen muuhun)

Ja vaikka muuta väitit, niin palvelinpäässäkin tunnuksia ja salasanoja myös kerätään ja tallennetaan ihan selkokielisinä, se voi esim nettisuvujen osalta tapahtua ylläpidon osalta tarkoituksella/lapsellisuutta, tai jokin henkilökunnasta salaa, tai ulkopuolinen pahis jotain haavoittuvuutta käyttäen suoraan tai omaa koodia ujuttaen hommaan.

Mitä kuvittelet tekevän käyttäjien koneissa olevien vakoiluohjelmien. Niistäkin uutisoitu tätäkin uutista uskottavammin.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki