16. joulukuuta 2015

Miten hakkeroida Facebook tai moni muukin juttu?

Tätä on kysytty monta kertaa ja lokieni mukaan tällä haulla on blogiini päädytty monta kertaa. Ja monia se kovasti askarruttaa, eikä kyse nyt mistään salatieteestä ole, joten, mikä ettei, vastataanpa sitten suoraan ja rehellisesti itse asiaan, jotta ihmiset ja palvelujen tarjoajat oppisivat suojautumaan näiltä uhilta paremmin!

Todettakoot disclaimeriksi, että tietomurto ja identiteettivarkaus ovat rikoksia, enkä suosittele tekemään niitä, kuin ehkä korkeintaan omia tilejänne kohtaan opiskelumielessä. En halua kehoittaa ketään tässä yhteydessä em. rikoksiin, vaikka esitänkin nämä ohjeet käytännön syistä sellaisessa muodossa ("Tee näin ja näin"), että se voisi siltä vaikuttaa. En oikeasti jaksaa ryhtyä joka helvetin kohdassa kirjoittamaan erikseen "Hakkeri X:n kannattaisi varmaankin, jos aikoisi tehdä rikoksen, toimia esimerkiksi tällä ja tällä tapaa" tms. pitkää ja naurettavaa pölötystä, vaan pyrin esittämään asian lyhyesti ja ytimekkäästi ("Tee näin ja näin"). Minä haluan kehoittaa ihmisiä vain sananvapausrikoksien tekoon, sekä rikoksiin yksilönvapautta törkeästi rikkovia julmureita kohtaan (heidän titteleistä, virka-asemista ja juridisesta statuksesta riippumatta), en tietoturvarikkomuksiin.


Muutama fakta heti alkujaan:
  1. Suurinosa ihmisistä ja palveluista ei tajua, eikä välitä paskaakaan tietoturvasta.
  2. Tietoturva-asetuksiin pitäisi kohdasta 1 johtuen perehtyä ja säätää niitä kohdalleen, jotta edes tyydyttävä tietoturvan taso voitaisiin saavuttaa.
  3. Suurinosa ihmisistä käyttää helppoja salasanoja ja yleensä vielä pahimmillaan samoja salasanoja useissa eri palveluissa.
  4. Suurinosa ihmisistä ei tajua käyttää kaksivaiheista tunnistautumista palveluihinsa.
  5. Suurinosa ihmisistä ei osaa nähdä todellisia uhkia, eikä suhtautua realistisesti uhkakuviin.

Yksinkertaisin keino: Käytä "olen unohtanut salasanani" vaihtoehtoa uhrisi tiliin. 
  • Klikkaa "Olen unohtanut salasanani" kirjautumisruudusta sille tilille, johon haluat murtautua. Esimerkiksi Facebookin salasanan voi resetoida arvaamalla 6-numeroisen koodin, jos ja kun ko. käyttäjä on liittänyt puhelinnumeronsa Facebookin palveluun. Tämä on se numerosarja, jonka Facebook lähettää puhelimeen ajatuksena tietenkin, että käyttäjä pystyy helposti kirjautumaan palveluun takaisin unohdettuaan salasanansa. Hyökkääjän ei tarvitse arvuutella pitkää käyttäjän itse keksimää ja käyttämää salasanaa, vaan riittää, kun hän arvuuttelee 6-numeroisen koodin. Vaihtoehtoisesti hyökkääjä yksinkertaisesti varastaa uhrinsa puhelimen hetkeksi, voidakseen lukea sieltä tuon 6-numeroisen koodin tms.
  • Yleensä palautus vaatii kuitenkin pääsyä uhrin sähköpostiin, koska salasanan resetoiva linkki lähetetään useimmiten sinne. Sähköpostiviesti voidaan esimerkiksi kaapata kohtuullisen helposti, koska se EI normaalisti kulje salattuna palvelinten välillä. Helpompi ja tehokkaampi on iskeä tuplajättipottiin ja hakkeroida ensiksi uhrin sähköpostitili - jos ja kun sen saa hallintaan, on triviaalia hakkeroida kaikki ko. henkilön muut tilit pitkin nettiä käyttämällä "olen unohtanut salasanani, lähettäkää sähköpostiini resetointilinkki" -keinoa!
  • Monet palvelut käyttävät erilaisia hölmöjä turvakysymyksiä tilin palauttamiseen. Näihin vastaukset löytää yleensä henkilön historiaa penkomalla ja arvaamalla. Esimerkiksi Google kysyy, milloin ko. Googlen tili on perustettu ja koska siihen on viimeksi kirjauduttu - tietoja, jotka on lapsellisen helppo selvittää netistä ko. tilinomistajan touhuja kaivamalla.
  • Surkuhupaisinta tässä "olen unohtanut salasanani"-hyökkäyksessä on, että yleensä sillä pystyy kiertämään kaikki mahdolliset lisätietoturvajutut, joita ko. tiliin/palveluun on sen omistajan toimesta liitetty tiliä suojaamaan hakkerointeja vastaan!!! Aivan kaikki pitkistä ja monimutkaisista salasanoista kaksivaiheeseen tunnistautumiseen asti! Näin ei tietenkään pitäisi olla, mutta kun on niin on.

Hieman hankampi keino: Ujuta haitake tai muu jippo uhrin puhelimeen tai tietokoneelle.
  • Jos pääset hetkeksi tietokoneelle, jossa uhrisi on kirjautunut sisälle johonkin palveluun TAI jos varastat uhrin älypuhelimen (vain hetkeksikin), voit lisätä sovelluskohtaisen salasanan ko. palveluun johon uhri on kirjautunut sillä hetkellä sisälle ja pitää sen sovelluskohtaisen salasanan tallessa itselläsi. Uhri tuskin tajuaa koskaan lähteä edes katsomaan esimerkiksi Facebookin asetuksista, onko moisia salasanoja luotu ja käytössä.
  • Takaporttiohjelmat ja keyloggerit antavat luonnollisesti salasanat näppärästi haltuusi, tosin jotkin virustentorjuntaohjelmat osaavat kyllä löytää ne...laita ensin virustentorjunta pois päältä tai mieluiten lisää takaporttiohjelma/keyloggeri "ohitettavien" tiedostojen luetteloon ko. virustentorjuntaohjelmassa, niin tämä uhka on helposti kierretty. Uhrisi tuskin tajuaa ikinä katsoa, mitä siellä "ohitettujen" luettelossa virustentorjuntaohjelmassa edes on.
  • Rautapohjainen keyloggeri on kaikkein tehokkain tietokoneen salasanojen poimimiseen talteen, eikä mikään virustentorjuntaohjelma löydä sitä. Läppäreihin sellainen ei välttämättä mahdu helposti sisälle ja älypuhelimeen tuskin lainkaan.
  • Edellä mainittujen puutteessa voit yksinkertaisesti parittaa älypuhelimen bluetoothilla omasi kanssa täysin oikeuksin etäkäyttöön jne. tai luoda/jättää auki etätyöpöytäyhteyden tietokoneelle. Nämä eivät ole "tietoturva-aukkoja" vaan niitä kutsutaan "ominaisuuksiksi", joten virustentorjuntaohjelmat eivät niitä löydä, eivätkä käyttäjät usein tajua niitä edes tarkistaa.
  • Tietoturva-aukkojen hyväksikäyttö on hankalaa, etenkin nykyään, kun yleensä systeemit päivittyvät automaattisesti. Näppärä henkilö löytää silti keinoja hyödyntää niitä, edes sinä lyhyenä aikana kun ne ovat "villeinä" käytössä, eli paikkauksia ei vielä ole saatavilla. Esimerkiksi Android-puhelimet ovat käytännössä täysin tietoturvattomia tältä osin, koska suurimpaan osaan niistä ei ole saatavilla minkäänlaisia päivityksiä nyt eikä jatkossakaan.

Kultakaivos: Älypuhelin.
  • Nämä vekottimet ovat tietoturvapainajaisia, etenkin, kun niitä ei yleensä ole tajuttu suojata mitenkään järkevästi. Kaikki ihmisen tiedot, tilit, salasanat, tunnistautumissovellukset (2-puoleinen tunnistautuminen) ja niin, myös se itse puhelinliittymä tekstiviesteineen ovat kaikki käytettävissäsi, jos saat uhrin älypuhelimen haltuusi!
  • Usein älypuhelimet on suojattu näppäinlukolla, joka on joko kuvio tai pin-koodi. Kuviot ja PIN-koodit voi arvuutella katsomalla älypuhelimen näyttöä valon heijastusta vasten: Rasvaiset sormenjäljet tietyissä täsmällisissä paikoissa ruudulla kielivät heti siitä, mitä numeroita tai mitä kuviota älypuhelimen aukaisuun tarvitaan ja tämä este on ohitettu hyvinkin nopsasti.
  • PIN-koodi meni lukkoon? Ällös huoli, soitto operaattorille ja vakuuttava esiintyminen puhelimessa (esim. uhrin sotu pitää tietää, jne.) niin operaattorisi kertoo sinulle aukaisuun sopivan PUK-koodin suoraan puhelimitse! Tämä on sen tasoista idioottimaisuutta, että sitä ei pitäisi tietenkään tapahtua, mutta kun se on enemmänkin sääntö kuin poikkeus!
  • Yleensä älypuhelimensa menettänyt ei tajua menetystään, eikä sen arvoa pitkään, pitkään aikaan. Niin ikään hänellä ei ole aavistustakaan siitä, mitä kaikkea hänen pitäisi tehdä saadakseen kaikki siellä olleet tietonsa ja kirjautumisjuttunsa "nollattua". Perjantai-iltana baarista varastettua älypuhelinta harva tajuaa edes alkaa todella kaipaamaan tai tekemään asialle mitään ennen maanantaita.
  • Älypuhelimen sisältöä ei yleensä ole kryptattu. Vaikka et saisikaan luuria auki suoraan lennosta ruutua tutkimalla, voit kuitenkin avata luurin fyysisen sisällön asianmukaisella ohjelmistolla ja/tai laitteistolla ja saada sitä kautta sieltä kaikki mahdolliset tiedot esille. Vähintäänkin älyluurin muistikortit ovat yleensä aina kryptaamattomia ja täynnä tietoa, eivätkä vaadi kuin muistikortin irroittamisen ja kytkemisen tietokoneesi muistikortinlukijaan.

Salasanat: Eivät niin tärkeät, kuin voisit luulla, mutta hyödylliset toki.
  • Jos sinun pitää lähteä arvuuttelemaan uhrisi salasanaa, mahdollisuutesi ovat jo todella heikot. Voit silti onnistua, mitä enemmän tietoa sinulla on ihmisestä, hänen historiastaan, puhetavastaan, läheisistä ihmisistä ja heidän syntymäajoista, jne. Harvat ihmiset käyttävät oikeasti pitkiä ja monimutkaisia - tai edes pelkästään pitkiä - salasanoja yhtään missään!
  • Kun keksit yhden salasanan, jota uhrisi käyttää, se luultavasti toimii monessa muussakin palvelussa. Tai jokin sen pieni variaatio. Ihmiset eivät tajua käyttää esimerkiksi salasananhallintaohjelmistoja voidakseen pitää kaikissa palveluissa täysin erilaisia, satunnaisia ja laadukkaita salasanoja.
  • Ihmiset pitävät yhä salasanoja kirjoitettuna paperilapuille, joita säilyttävät tietokoneensa vierellä, lompakossaan tai laatikossa. Vilkuile ympärillesi, voit hyvinkin helposti löytää jonkun salasanan jostain ihan paperille kirjoitettuna.
  • Voit urkkia salasanoja myös nauhoittamalla ääntä, joka syntyy, kun näppäimiä painetaan. Eri painikkeista tulee erilainen ääni ja rytmi ja määrä kertoo tietenkin sekin paljon siitä, mikä salasana todellisuudessa on. Ääntä nauhoittava nauhuri tilassa, jossa kirjoitetaan näppäimistöllä on miltei yhtä hyvä nauhoittamaan kirjoitettu teksti kuin videokamera, joka kuvaa tietokoneen ruutua.
  • Suurinosa kaikista salasanoista ja niiden käytöstä on hyödytöntä ja ne voidaan kiertää tai ohittaa helpoilla tavoilla. Oikeastaan ainoa salasana, jota ei voida ohittaa jollain tavalla, on salausavaimen luontiin tai purkuun selkokieliseen muotoon käytettävä salasana. Ilman sitä näet eteenpäin ei kerta kaikkiaan voi päästä. Sen sijaan esimerkiksi käyttöjärjestelmään kirjautumissalasana voidaan ohittaa käynnistämällä tietokone vaikka rompulta ja palveluiden salasanat tässä kirjoituksessani kerrotuilla tavoilla ohittaa.

Kehittyneemmät suojat: Kaksipuoleinen tunnistus ja muut
  • Jos kaksivaiheinen tunnistus on puhelimessa oleva sovellus, kuten vaikkapa Nordean hieno turvasovellus, tai puhelimeen tuleva tekstiviesti kuten Googlella on, niin "munat ovatkin kaikki valmiiksi samassa korissa", eli senkun varastat ko. puhelimen ja tämäkin ongelma on kierretty samantien: Pääset hyvällä lykyllä sekä kirjautumaan, että käyttämään turvasovellusta "suoralta kädeltä". (Jokainen selkopäinen tajuaa, että tämmöinen "turvallisuus" ei ole mitään muuta kuin pelkkää vittuilua ja silmänlumetta, mutta hyvin se tuntuu asiakkaille kelpaavan.)
  • Yubico ja vastaavat kilkkeet ovatkin sitten isompi ongelma siinä mielessä, että ne pitää joko kytkeä pois päältä kunkin palvelun asetuksista tai sitten varastaa ko. kilkkeet uhrilta. Todellakin, niiden käyttö on mahdollista kytkeä toisinaan pois palveluista (riippuu palvelusta), taas käyttäen em. kuvattua "Olen unohtanut salasanani" -painikkeita klikkailemalla tai sitten sen variaatiota "No kun olen hukannut Yubiconi byääh" - painikkeita klikkailemalla.
  • Älykortteihin pätee sama mitä tässä muutenkin mainittuna tuli, mutta se kannattaa muistaa, useimmat säilyttävät älykortteja lompakossaan, eivätkä tajua perua/nollata niitä, jos lompakko varastetaan! Ihmiset eivät ymmärrä, että nämä kortit ovat kuin kotiavaimet, jotka pitäisi heti "tehdä virattomiksi" jos ne päätyvät vääriin käsiin.
  • Sosiaalinen insinööröinti: Ole röyhkeä, soita uhrille, esittäydy jonakin, tekaise tarina, kävele suoraan paikanpäälle ja tee temput ja suksi kuuseen. Mitä luonnollisemman oloinen selitys ja mitä luonnollisimmin itse toimit, sitä varmemmin saat täyden toimintavapauden, eikä kukaan epäile yhtään mitään. Mm. Kevin Mitnick avasi näillä tempuilla kaikkein vahvimminkin suojattuja kohteita itselleen.

Murron jälkeen: Siivous ja varmistus.
  • Jos käytit uhrin älypuhelinta murtoon, palauta se hänelle tavalla tai toisella, jotta hän ei edes tajua epäillä mitään olevan pielessä. Jos käytit keyloggeria, poista se heti, kun olet saanut tarvitsemasi tiedot, jotta se ei paljastu. jne.
  • Salaa saamasi tiedot vahvalla salauksella ja pyyhi selkokieliset kappaleet ja merkinnät niistä pois. Hävitä paperit polttamalla heti kun et tarvitse niitä enää. Parempi olisi, että alunperinkin loisit ne tiedot vain salattuna (esim. Veracrypt-osioon). Näin tehden, et jätä todisteita tempuistasi löydettäväksi ja sinua vastaan käytettäväksi missään olosuhteissa.
  • Yrittäessäsi käyttää hyväksesi saamiasi tietoja netissä, älä ikinä surffaa kotoasi, äläkä mieluusti edes ilman esimerkiksi Tor-selainta tms. tällöin väärinkäytökseen syyllistynyttä IP-osoitetta ei voida liittää sinuun millään tavalla. Julkiset, avoimet WLAN-verkot ovat parhaimpia tähän tarkoitukseen, mutta varo, ettet tallennu johonkin kameraan niitä käyttäessäsi ja muista hyvänen aika vaihtaa langattoman verkkokorttisi MAC joksikin muuksi tai jätät itsestäsi /tietokoneestasi tunnistettavan sormenjäljen ko. verkkoon!
  • Kun olet päässyt jonkun tiliin sisälle, sinulla on oikeastaan kaksi vaihtoehtoa: Jatkaa hissunkissun tarkkailua huomaamatta tai kaapata koko tili pysyvästi itsellesi. Jos olet resetoinut salasanan, vain jälkimmäinen vaihtoehto on mahdollinen enää, mutta jos olet muuten saanut tilille pääsyn, voit myös harkita ensimmäistä vaihtoehtoa. Jos päätät kaapata tilin, niin luonnollisesti vaihda sen salasanat (jos et ole jo vaihtanut), vaihda se palautussähköpostiosoitteet, palautuspuhelinnumerot, turvakysymykset, jne. kaikki olennaiset, joilla alkuperäinen omistaja voisi tilinsä saada vielä käyttöönsä.


Mitä sitten pitäisi tehdä, jotta hakkerointi ei olisi näin simppeliä? Mitä ihminen voi itse tehdä? Mitä palveluja tarjoavian tahojen pitäisi tehdä? Miten systeemiä pitäisi muuttaa? Jotain ehdotuksia pohdittavaksi sen lisäksi, mitä varmasti itse kukin on jo edeltä itse päätellyt.
  1. Systeemien pitäisi olla oletuksena turvalliset. Oletuksena. Tietoturva ei saisi olla säätämisen takana oleva vaihtoehto, vaan nimenomaan sen pitäisi olla oletus. Tietoturvattomuuden pitäisi olla vaihtoehto niille, jotka sitä nimenomaisesti haluavat osakseen saada. Harva haluaisi oikeasti.
  2. Joka ikiseen palveluun ja systeemiin pitäisi aina olla kaksi eri salasanaa: Käyttäjäsalasana ja ylläpitosalasana. Ensimmäistä käytettäisiin normaaliin käyttöön ja jälkimmäistä salasanan resetoimiseen, palautustietojen muuttamiseen ja vastaaviin. Tällöin käyttösalasanan kaappaamalla ei saisi ko. palvelua haltuunsa uhrilta ja vahingot olisi helppo korjata nopeasti.
  3. Salasananhallintaohjelmistoja pitäisi käyttää aivan kaikkialla. Ei kukaan ihminen kykene muistamaan kymmeniä eri salasanoja mitenkään. Salasanat olisi pistettävä vahvan tunnistautumisen taakse yhteen tietokantaan. Turvallisuus KASVAISI huimasti, ei suinkaan laskisi. Jos joku pystyy näet yhden tämmöisen turvallisuusmuurin murtamaan, hän pystyisi joka tapauksessa murtamaan ne eri salasanatkin ja muut systeemitkin.
  4. Salasanan / tilin / palvelun palauttaminen pitäisi voida kokonaan kieltää tai ainakin tehdä huomattavasti hankalammaksi. Minusta koko ajatus salasanan / tilin palauttamisesta on mielipuolinen: Jos tälle linjalle lähdetään, voi koko salasanan merkityksen unohtaa kokonaan. On lähdettävä siitä, että salasanat säilytetään jollain tapaa varmistettuna siten, että ne eivät kerta kaikkiaan voi ikinä unohtua mitenkään (ainakaan pysyvästi)!
  5. Kaksivaiheinen tunnistautuminen tulisi ottaa käyttöön palveluissa. "Käyttäjätunnuksena" toimisi käyttäjän oma salasana ja "salasanana" toimisi esim. juuri Yubicon OTP tai sen kehittyneemmät versiot, jotka lähettävät ko. tiedot päästä-päähän-salattuina oikeaan osoitteeseenkin. Tällöin keyloggereistakaan ei olisi apua ja "käyttäjätunnuksena" toimiva oma salasana voisi olla sitä paitsi kohtuullisen lyhytkin.
  6. Älypuhelimien pitäisi tajuta olevan älypuhelimia, eikä leluja. Tietoturvan tulisi olla sitä luokkaa. Vähintääkin älypuhelinten sisällön tulisi olla kryptattuja ja niiden näppäinlukon PIN-koodi kirjoittaa "alati muuttuvalle näppäimistölle", eli sellaiselle, jossa jokainen numero sijaitsee sattumanvaraisessa paikassa ja kaikkien numeroiden sijainti vaihtuu jokaisen PIN-numeron painamisen jälkeen (näin rasvaisia sormenjälkiä ruudulta hakemalla ei voisi mitenkään selvittää PIN-koodia). Niin ja ne päivitykset pitäisi oikeasti saada toimimaan.
  7. Älä jätä tietokonetta, älypuhelintasi tms. lukitsematta ja mihinkään. Väärinkäyttö ei vaadi kuin pienen hetken aikaa, jos fyysinen turvallisuus on murtunut ja ko. laitteeseen pääsee käsiksi.
  8. Sosiaalista insinööreintiä vastaan pitäisi oikeasti varautua. Mitään PUK-koodeja tai muutakaan ei pitäisi ikinä, milloinkaan antaa kenellekään, jota ei voida oikeasti luotettavasti todentaa. Eikö asiakas voisi kirjoittaa turvasanaa tms. jonka kryptografinen tiiviste tallennettaisiin ko. operaattorin tietokantaan ja sitten käyttää ko. turvasanaa asioidakseen siellä palvelussa? Tällöin edes ko. operaattorin henkilökunta ei voisi mistään nähdä ko. turvasanaa, vaan ainoastaan operaattorin palveluksessa olevan henkilökunnan tietokone osaisi kertoa, onko annettu turvasana paikkaansa pitävä - ts. onko luurin toisessa päässä oikea henkilö vaiko huijari.
  9. Älä luota kehenkään äläkä mihinkään: Se muistitikku, jonka löysit kadulta - anna sen olla, älä laita sitä kiinni tietokoneeseesi sillä sieltä voi tarttua haittaohjelma koneellesi. Se uusi näppäimistö, jonka sait lahjaksi - anna sen olla, älä käytä sitä, siinä voi olla keyloggeri. Se tyyppi jonka kanssa keskustelet tai jonka päästät sisään - voitko luottaa häneen, tiedätkö oikeasti mitä hän aikoo tehdä ja miksi?
  10. Kaikki pitäisi kryptata, aina, kaikkialla, oletuksena. Vain vahva krypto antaa oikeasti suojaa, olettaen, että se on oikeasti vahvaa, eikä salauksessa tai salausavaimen hallinnassa ole mokattu.
  11. Älä pidä langatonta, avointa verkkoa. Kaikilla on jo nykyään 3G/4G systeemit. Älä kerjää hankaluuksia itsellesi tarjoamalla väärinkäyttöpotentiaalia muille.


PS. Muistakaa lukea aikaisempi blogikirjoitukseni:"Suojautuminen viranomaisilta(kin)" ja miksei toki yli viiden vuoden takainen "Facebookin hakkerointi - näin se käy".


9 kommenttia:

Anonyymi kirjoitti...

"Facebookin salasanan voi resetoida arvaamalla 6-numeroisen koodin, jos ja kun ko. käyttäjä on liittänyt puhelinnumeronsa Facebookin palveluun. Tämä on se numerosarja, jonka Facebook lähettää puhelimeen ajatuksena tietenkin, että käyttäjä pystyy helposti kirjautumaan palveluun takaisin unohdettuaan salasanansa. Hyökkääjän ei tarvitse arvuutella pitkää käyttäjän itse keksimää ja käyttämää salasanaa, vaan riittää, kun hän arvuuttelee 6-numeroisen koodin"

Tuon arvaaminen on todella vaikeaa, koska se vaihtuu muutaman arvausyrityksen jälkeen. Yhtä todennäköistä on murtaa salasana ihan suoraan. Tosin sen murtamista on myös hieman rajoitettu

Anonyymi kirjoitti...

"Sähköpostiviesti voidaan esimerkiksi kaapata kohtuullisen helposti, koska se EI normaalisti kulje salattuna palvelinten välillä."

Ai meinaat, että on helppo kaapata esimerkiksi Facebookin ja Gmailin väliltä sähköposti? Varmaan NSA:lle on helppoa, mutta tässä oli ilmeisesti kyse nyt "kaverin" tunnusten murtamisesta

Anonyymi kirjoitti...

2-puoleinen tunnistautuminen on muuten oikeasta kaksivaiheinen tunnistautuminen

Anonyymi kirjoitti...

"Salasananhallintaohjelmistoja pitäisi käyttää aivan kaikkialla. Ei kukaan ihminen kykene muistamaan kymmeniä eri salasanoja mitenkään."

Helppo ja turvallinen tapa muodostaa salasana on käyttää jokaisessa salasanassa jotain riittävän pitkää ja vaikeasti arvattavissa olevaa vakio-osaa ja muodostaa salasanan yksilöllinen osa käytettävän palvelun nimestä jollakin tapaa (esim. nimen kolme ensimmäistä kirjainta käänteisessä järjestyksessä ja siirtyä aakkosissa yksi kirjain eteen tai taaksepäin. Tämän vakio-osan ja palveluosan voi vielä laittaa jollakin tapaa sisäkkäin. Jos on muodostanut salasanan hyvin, niin ei ole vaaraa siitä, että joku keksisi tämän logiikan, koska salasana näyttää täysin satunnaiselta, eikä siitä tunnista palveluosaa. Tämä on paljon turvallisempi kuin salasananhallintaohjelmistot, joita vastaan on jo hyökätty keyloggereilla. Mikään tietoturvaohjelma ei pysty täysin estämään kaikkien keyloggereiden yms. käyttöä.

Markus Jansson kirjoitti...

> 2-puoleinen tunnistautuminen on muuten oikeasta kaksivaiheinen tunnistautuminen

Ei ole. 2-puoleinen tunnistautuminen tarkoittaa, että on sen lisäksi, mitä TIETÄÄ, jotain, mitä OMISTAA; eli esim. puhelin/Yubikey, vastaava. Näin ollen pelkästään kaappaamalla sen, mitä toinen TIETÄÄ, ei voi päästä sisään vaan tarvitaan myös se toinen juttu, eli se, mitä toinen OMISTAA.

Markus Jansson kirjoitti...

> Tämä on paljon turvallisempi kuin salasananhallintaohjelmistot, joita vastaan
> on jo hyökätty keyloggereilla. Mikään tietoturvaohjelma ei pysty täysin
> estämään kaikkien keyloggereiden yms. käyttöä.

Jos keyloggeria käytetään, salasanat päätyvät joka tapauksessa hyökkääjän haltuun, oli tommosia kikkoja tai ei.

PAITSI, jos käytetään salasananhallintaohjelmistoja, ne kun käyttävät erikoiskikkoja salasanojen hallintaan ja käsittelyyn, eivätkä esimerkiksi kuljeta niitä selkokielisenä leikepöydälle tai syötä "kuin näppämististöstä" salasanakenttiin. Keyloggeri EI PYSTY kaappaamaan esimerkiksi LastPassin sisältämiä salasanoja lainkaan, eikä edes kirjautumistietoja LastPassiin, jos käytetään 2-puoleista tunnistautumista (Yubikey tms.).

Anonyymi kirjoitti...

Ks. Wikipediasta kaksivaiheinen tunnistautuminen. Jos googletat kaksipuoleista tunnistautumista, niin et löydä mitään.
https://fi.wikipedia.org/wiki/Kaksivaiheinen_tunnistautuminen

Salasananhallintaohjelmistojen osalta keylogger on sen takia vaarallisempi, että samantien menee kaikki salasanat. Esimerkiksi KeePassiä vastaan on jo hyökätty ja käyttäjien salasanat kaapattu.
http://www.zdnet.com/article/citadel-malware-attacking-open-source-password-managers/

Yubikey tosin lisää turvallisuutta huomattavasti

Anonyymi kirjoitti...

Kieltämättä se "kaksivaiheinen tunnistautuminen" on vähän kökkö termi. Englanniksi "two-factor authentication" on paljon kuvaavampi.

Markus Jansson kirjoitti...

:p No muutettu termi "2-puoleinen tunnistautuminen" muotoon "kaksivaiheinen tunnistautuminen" :p

Salasanojen hallintaohjelmistot antavat suojaa keyloggereita vastaan, mutta tietenkin ne, kuten mikä tahansa, on haavoittuvainen nimenomaisesti juuri niitä vastaan tehtyä ohjelmaa kohtaan. Mutta, koska tarjoavat turvaa keyloggereita vastaan, ovat joka tapauksessa PAREMPI RATKAISU ja PAREMPI SUOJA kuin se, että niitä ei käyttäisi.