14. lokakuuta 2007

80000 suomalaisen salasanatiedot paljastuneet

Cert.fi uutisoi, että 80000 suomalaisen käyttäjätunnukset, sähköpostiosoitteet ja salasanan tiivisteet (hash) ovat vuotaneet julki. Ilmeisesti tiedot on kaivettu palvelimilta käyttäen php-haavoittuvuuksia ja tiedot ovat olleet krakkereiden käytössä pitempäänkin. Nyt lista on vuotanut sitten julki ja kaikkien käytettäväksi.

Käytännössä tämä tarkoittaa, että pienellä vaivalla huomattavan osan näistä saa purettua sillä tapaa, että selviää:
  1. Henkilön oikea nimi
  2. Henkilön oikea sähköpostiosoite
  3. Henkilön käyttämä käyttäjätunnus nettipalveluun (esim. keskustelupalstat, irc-galleria, sähköposti)
  4. Henkilön käyttämä salasana nettipalveluun
  5. Mitä palvelua kukakin ihminen käyttää ja mitä hän on sinne kirjoittanut, vaikka on luulut tekevänsä sen anonyymisti
Tyyliin:"Jaahas, meidän uusi työntekijämme / naapurimme / kaverimme / julkkis X surffaileekin ja kirjoittelee Sihteeriopiston sivuille ja lähettelee tälläisiä ja tälläisiä sähköposteja näille ja näille ihmisille. Eipäs olisi uskonut tuosta tyypistä. No, pistämpä pari sähköpostia ja kommenttia menemään sen nimissä ja vaihdan tyypin salasanat niin eipä pääse enää palveluihinsa mitenkään sisälle."

Salasanan tiivisteitä käytetään nettipalveluissa ja muuallakin siten, että itse salasanaa ei sinällään talleteta tietokantaan lainkaan, vaan siitä luodaan tiiviste, joka talletetaan. Sitten, joka kerta kun käyttäjä on kirjautumassa sisään, hänen antamasta salasanasta luodaan tiiviste ja katsotaan täsmääkö se tietokannassa olevan tiivisteen kanssa. Jos täsmää, salasanan on pakko olla oikea ja käyttäjä päästetään sisään. Tiivisteestä ei voida (jos tiiviste on hyvä) mitenkään palauttaa salasanaa, mutta aina on tietysti mahdollista tehdä tiivisteitä kaikista mahdollisista kirjain/numero yhdistelmistä ja katsoa mikä niistä täsmää tiivisteen X kanssa...tällöin ollaan saatu selville mikä salasana on se, josta kyseinen tiiviste on luotu.

Itse tässä jutussa mainittu tiedosto/lista on ladattavissa täältä ja tällä sivulla on MD5 tiivisteiden tietokanta. Toisinsanoen, listasta voi napsia MD5 tiivisteitä ja syöttää ne tuonne sivulle ja mikäli salasana on heikko, sivu paljastaa sen samantien. SHA-1 tiivisteitä ei ko. sivu osaa "purkaa", mutta esimerkiksi Cain & Abel ohjelma voi niitäkin yrittää murtaa esimerkiksi sanakirja- ja raa'an voiman hyökkäysmenetelmillä. Mikäli salasana on lyhyt tai yksinkertainen, se murtuu kyllä.

Jutun opetus? Käytä vahvoja salasanoja, mieluiten yli 14 merkkiä pitkiä, sisältäen isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä...äläkä ikinä käytä samaa salasanaa useammassa paikassa! Jos et pysty muistamaan kaikkia salasanojasi tai osaa keksiä riittävän hyvin, käytä esimerkiksi KeePass ohjelmaa salasanojen turvalliseen luomiseen ja tallentamiseen.

4 kommenttia:

  1. Tuolta saa rainbow-listat, joilla alfanumeerisista pienaakkosista koostuva 1-8 merkin md5-kryptattu salasana selviää 35 minuutissa.

    http://tinyurl.com/fv25v

    Sivuilla on myös saatavilla lista, jonka avulla mikä tahansa 1-14 merkkinen Windows-salasana murtuu muutamassa minuutissa. En tiedä sitten päteekö enää Windows Vistaan

    VastaaPoista
  2. On väärin yleistää, että kyseessä olisi PHP-haavoittuvuus. Kyse on PHP-ohjelmointikielellä ohjelmoidun itsenäisen ohjelman haavoittuvuudesta. Kuka tahansa voi ohjelmoida haavoittuvan PHP-ohjelmointikielellä ohjelmoidun ohjelman.

    VastaaPoista
  3. KeePass-ohjelma on vähän huono ratkaisu, jos haluaa käyttää tietokonetta muuallakin kuin kotona

    VastaaPoista
  4. > KeePass-ohjelma on vähän huono
    > ratkaisu, jos haluaa käyttää
    > tietokonetta muuallakin kuin kotona

    Täh? Ohjelma ja tietokanta vaikka USB-tikulle ja menoksi vaan.

    VastaaPoista