tag:blogger.com,1999:blog-9088195457424254397.post8568075183944629132..comments2024-03-21T09:57:59.857+02:00Comments on Markus Janssonin Blogi: Miten hakkeroida Facebook tai moni muukin juttu?Unknownnoreply@blogger.comBlogger9125tag:blogger.com,1999:blog-9088195457424254397.post-61643421059553801902015-12-17T21:05:15.115+02:002015-12-17T21:05:15.115+02:00:p No muutettu termi "2-puoleinen tunnistautu...:p No muutettu termi "2-puoleinen tunnistautuminen" muotoon "kaksivaiheinen tunnistautuminen" :p<br /><br />Salasanojen hallintaohjelmistot antavat suojaa keyloggereita vastaan, mutta tietenkin ne, kuten mikä tahansa, on haavoittuvainen nimenomaisesti juuri niitä vastaan tehtyä ohjelmaa kohtaan. Mutta, koska tarjoavat turvaa keyloggereita vastaan, ovat joka tapauksessa PAREMPI RATKAISU ja PAREMPI SUOJA kuin se, että niitä ei käyttäisi.Markus Janssonhttps://www.blogger.com/profile/09685329373478640578noreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-71347892926341665972015-12-17T20:13:10.509+02:002015-12-17T20:13:10.509+02:00Kieltämättä se "kaksivaiheinen tunnistautumin...Kieltämättä se "kaksivaiheinen tunnistautuminen" on vähän kökkö termi. Englanniksi "two-factor authentication" on paljon kuvaavampi.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-50157114987614214552015-12-17T19:45:21.026+02:002015-12-17T19:45:21.026+02:00Ks. Wikipediasta kaksivaiheinen tunnistautuminen. ...Ks. Wikipediasta kaksivaiheinen tunnistautuminen. Jos googletat kaksipuoleista tunnistautumista, niin et löydä mitään.<br />https://fi.wikipedia.org/wiki/Kaksivaiheinen_tunnistautuminen<br /><br />Salasananhallintaohjelmistojen osalta keylogger on sen takia vaarallisempi, että samantien menee kaikki salasanat. Esimerkiksi KeePassiä vastaan on jo hyökätty ja käyttäjien salasanat kaapattu. <br />http://www.zdnet.com/article/citadel-malware-attacking-open-source-password-managers/<br /><br />Yubikey tosin lisää turvallisuutta huomattavastiAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-89044624596557645262015-12-17T14:26:44.275+02:002015-12-17T14:26:44.275+02:00> Tämä on paljon turvallisempi kuin salasananha...> Tämä on paljon turvallisempi kuin salasananhallintaohjelmistot, joita vastaan<br />> on jo hyökätty keyloggereilla. Mikään tietoturvaohjelma ei pysty täysin <br />> estämään kaikkien keyloggereiden yms. käyttöä.<br /><br />Jos keyloggeria käytetään, salasanat päätyvät joka tapauksessa hyökkääjän haltuun, oli tommosia kikkoja tai ei.<br /><br />PAITSI, jos käytetään salasananhallintaohjelmistoja, ne kun käyttävät erikoiskikkoja salasanojen hallintaan ja käsittelyyn, eivätkä esimerkiksi kuljeta niitä selkokielisenä leikepöydälle tai syötä "kuin näppämististöstä" salasanakenttiin. Keyloggeri EI PYSTY kaappaamaan esimerkiksi LastPassin sisältämiä salasanoja lainkaan, eikä edes kirjautumistietoja LastPassiin, jos käytetään 2-puoleista tunnistautumista (Yubikey tms.).Markus Janssonhttps://www.blogger.com/profile/09685329373478640578noreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-82360959283028619142015-12-17T14:24:34.939+02:002015-12-17T14:24:34.939+02:00> 2-puoleinen tunnistautuminen on muuten oikeas...> 2-puoleinen tunnistautuminen on muuten oikeasta kaksivaiheinen tunnistautuminen<br /><br />Ei ole. 2-puoleinen tunnistautuminen tarkoittaa, että on sen lisäksi, mitä TIETÄÄ, jotain, mitä OMISTAA; eli esim. puhelin/Yubikey, vastaava. Näin ollen pelkästään kaappaamalla sen, mitä toinen TIETÄÄ, ei voi päästä sisään vaan tarvitaan myös se toinen juttu, eli se, mitä toinen OMISTAA.Markus Janssonhttps://www.blogger.com/profile/09685329373478640578noreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-61142880832945813152015-12-16T21:06:35.995+02:002015-12-16T21:06:35.995+02:00"Salasananhallintaohjelmistoja pitäisi käyttä..."Salasananhallintaohjelmistoja pitäisi käyttää aivan kaikkialla. Ei kukaan ihminen kykene muistamaan kymmeniä eri salasanoja mitenkään."<br /><br />Helppo ja turvallinen tapa muodostaa salasana on käyttää jokaisessa salasanassa jotain riittävän pitkää ja vaikeasti arvattavissa olevaa vakio-osaa ja muodostaa salasanan yksilöllinen osa käytettävän palvelun nimestä jollakin tapaa (esim. nimen kolme ensimmäistä kirjainta käänteisessä järjestyksessä ja siirtyä aakkosissa yksi kirjain eteen tai taaksepäin. Tämän vakio-osan ja palveluosan voi vielä laittaa jollakin tapaa sisäkkäin. Jos on muodostanut salasanan hyvin, niin ei ole vaaraa siitä, että joku keksisi tämän logiikan, koska salasana näyttää täysin satunnaiselta, eikä siitä tunnista palveluosaa. Tämä on paljon turvallisempi kuin salasananhallintaohjelmistot, joita vastaan on jo hyökätty keyloggereilla. Mikään tietoturvaohjelma ei pysty täysin estämään kaikkien keyloggereiden yms. käyttöä.<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-77573924393382641852015-12-16T18:59:45.173+02:002015-12-16T18:59:45.173+02:002-puoleinen tunnistautuminen on muuten oikeasta ka...2-puoleinen tunnistautuminen on muuten oikeasta kaksivaiheinen tunnistautuminenAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-25855700273113502862015-12-16T18:58:11.537+02:002015-12-16T18:58:11.537+02:00"Sähköpostiviesti voidaan esimerkiksi kaapata..."Sähköpostiviesti voidaan esimerkiksi kaapata kohtuullisen helposti, koska se EI normaalisti kulje salattuna palvelinten välillä."<br /><br />Ai meinaat, että on helppo kaapata esimerkiksi Facebookin ja Gmailin väliltä sähköposti? Varmaan NSA:lle on helppoa, mutta tässä oli ilmeisesti kyse nyt "kaverin" tunnusten murtamisestaAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-9088195457424254397.post-11503096686486771782015-12-16T16:55:32.386+02:002015-12-16T16:55:32.386+02:00"Facebookin salasanan voi resetoida arvaamall..."Facebookin salasanan voi resetoida arvaamalla 6-numeroisen koodin, jos ja kun ko. käyttäjä on liittänyt puhelinnumeronsa Facebookin palveluun. Tämä on se numerosarja, jonka Facebook lähettää puhelimeen ajatuksena tietenkin, että käyttäjä pystyy helposti kirjautumaan palveluun takaisin unohdettuaan salasanansa. Hyökkääjän ei tarvitse arvuutella pitkää käyttäjän itse keksimää ja käyttämää salasanaa, vaan riittää, kun hän arvuuttelee 6-numeroisen koodin"<br /><br />Tuon arvaaminen on todella vaikeaa, koska se vaihtuu muutaman arvausyrityksen jälkeen. Yhtä todennäköistä on murtaa salasana ihan suoraan. Tosin sen murtamista on myös hieman rajoitettuAnonymousnoreply@blogger.com