Vahvan salasanan vaihto, mitä todellista hyötyä?

Muun muassa suomi24 on murrettu - tiedän tämän siitä että sain kerran perus huijauspostin (tietokoneesi on hakkeroitu ja sinusta on videota, maksa tai se julkaistaan) jossa oli mainittu salasana jota olen käyttänyt vain suomi24 palvelussa, tosin vuosia sitten.

"Muun muassa Firefox seuraa uutisia murretuista sivustoista ja antaa varoituksen käyttäjälle jos omassa Firefoxin säilytyksessä olevista salasanoista jokin kuuluu murretuksi tiedettyyn sivustoon. "

Turvallisuussyistä en koskaan enkä missään tapauksessa tallenna salasanoja selaimeen.

Mutta vahvan salasanan vaihdon hyödyistä en ole vielä vakuutunut ja useinhan eri tahot sitä vaadivat x-ajan tai x-määrää kirjautumisien jälkeen.

Kerrankin muuan "rahataho" sitä rutiininomaisesti vaati. Vaihdoin päikseen pitkän salasanan kaksi ensimmäitä ja kaksi viimeistä merkkiä, mutta ei hyväksynyt, sillä muistutti liikaa olemassa olevaa. Sitten miettimään kokonana uusiksi, jotta keksiksi jonkin uuden jolla olisi jollakin tasolle itselle merkitystä niin, että sen voisi jopa muistaa.

Ota nyt huomioon se, että läheskään kaikki tietomurrot eivät ole paljastuneet vaan on ihan varmasti paljon sellaisia, jotka eivät ole muiden kuin tietomurron tehneen tiedossa. Ihan vastaavasti ohjelmistoissa on tietoturva-aukkoja, jotka ovat vain aukkoja jo hyödyntävien tiedossa. Ei siis kannata tuudittautua siihen uskoon, että jos esimerkiki jotain sivustoa ei ole raportoitu murretuksi, se tarkoittaisi että sitä ei ole voitu murtaa. Kyllä se on voitu mahdollisesti murtaa vaikka se ei ole tiedossa. Ja juuri tuon takia on ihan hyvä idea vaihtaa salasanoja aina välillä vaikka ei olisikaan tiedossa salasanan vaarantuneen jossain tietomurrossa.

T. miksuh

Anonyymi kirjoitti:

Ota nyt huomioon se, että läheskään kaikki tietomurrot eivät ole paljastuneet vaan on ihan varmasti paljon sellaisia, jotka eivät ole muiden kuin tietomurron tehneen tiedossa. Ihan vastaavasti ohjelmistoissa on tietoturva-aukkoja, jotka ovat vain aukkoja jo hyödyntävien tiedossa. Ei siis kannata tuudittautua siihen uskoon, että jos esimerkiki jotain sivustoa ei ole raportoitu murretuksi, se tarkoittaisi että sitä ei ole voitu murtaa. Kyllä se on voitu mahdollisesti murtaa vaikka se ei ole tiedossa. Ja juuri tuon takia on ihan hyvä idea vaihtaa salasanoja aina välillä vaikka ei olisikaan tiedossa salasanan vaarantuneen jossain tietomurrossa.

T. miksuh

Lue lisää

Jos murron tekijä on ollut niin taitava tai sivuston turvallisuus niin löperö, että sivusto on ko. källin tehneelle täysin avoin ja pysyy avoimena, niin mitä hyötyä sellaisen sivuston salasanan vaihtamisesta olisi? Murtautujahan näkee uuden salasanan saman tein.

Anonyymi kirjoitti:

"Muun muassa Firefox seuraa uutisia murretuista sivustoista ja antaa varoituksen käyttäjälle jos omassa Firefoxin säilytyksessä olevista salasanoista jokin kuuluu murretuksi tiedettyyn sivustoon. "

Turvallisuussyistä en koskaan enkä missään tapauksessa tallenna salasanoja selaimeen.

Mutta vahvan salasanan vaihdon hyödyistä en ole vielä vakuutunut ja useinhan eri tahot sitä vaadivat x-ajan tai x-määrää kirjautumisien jälkeen.

Kerrankin muuan "rahataho" sitä rutiininomaisesti vaati. Vaihdoin päikseen pitkän salasanan kaksi ensimmäitä ja kaksi viimeistä merkkiä, mutta ei hyväksynyt, sillä muistutti liikaa olemassa olevaa. Sitten miettimään kokonana uusiksi, jotta keksiksi jonkin uuden jolla olisi jollakin tasolle itselle merkitystä niin, että sen voisi jopa muistaa.

Lue lisää

Tuo on tärkeää: älätallenna salasanaa esim. Firefoxiin!

Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

T. miksuh

Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.

"Huvituin kovin näistä mainostetuista "salasanapalveluista".

Hienoa, eli ihan itse keksit jostakin tuollaisen "salasanapalvelun" jollaisesta jostakin avauksessa ei ole edes vihjausta ja sitten huvittelet itse itseäsi, no mikäs siinä, mutta "hieman" off topic kuitenkin.

malaire kirjoitti:

Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.

Lue lisää

"Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä."

Tuo salasanasovellus on systeemisi heikko lenkki. Jossakin vaiheessa pahvilistoja ei enää ole lainkaan saatavissa yhdessäkään pankissa.

Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

ps. Kuitenkin, mielestäni EU-tasolla kaikkien pankkien tulisi olla pakotetut tarjomaan mobiiliratkaisun rinnalla myös *salasanalaite*, joka on mobiilista ja netistä riippumaton salalsanojen random-arpoja, kuten vaikkapa Nordean tunnuslukulaite.

Mikäli puhelin katoaa, hajoaa tai varsatetaan ja vielä pahimmillaan vaikkapa jossakin pidemmällä ulkomaan matkalla, niin silloin syntyy tosi virtsainen tilanne kun ei pääse lainkaan pankkiin kirjautumaan, eikä voi uutta puhelintakaan sinne aktivoida.

Anonyymi kirjoitti:

"Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä."

Tuo salasanasovellus on systeemisi heikko lenkki. Jossakin vaiheessa pahvilistoja ei enää ole lainkaan saatavissa yhdessäkään pankissa.

Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

ps. Kuitenkin, mielestäni EU-tasolla kaikkien pankkien tulisi olla pakotetut tarjomaan mobiiliratkaisun rinnalla myös *salasanalaite*, joka on mobiilista ja netistä riippumaton salalsanojen random-arpoja, kuten vaikkapa Nordean tunnuslukulaite.

Mikäli puhelin katoaa, hajoaa tai varsatetaan ja vielä pahimmillaan vaikkapa jossakin pidemmällä ulkomaan matkalla, niin silloin syntyy tosi virtsainen tilanne kun ei pääse lainkaan pankkiin kirjautumaan, eikä voi uutta puhelintakaan sinne aktivoida.

Lue lisää

> Tuo salasanasovellus on systeemisi heikko lenkki.

Periaatteessa kyllä, mutta käytän Debian:ia ja asennan pääosin ohjelmat Debianin omasta varastosta joten on hyvin pieni mahdollisuus että tietokoneelle pääsisi joku virus/haittaohjelma joka voisi sitten lukea salasanasovelluksen tietoja.

> Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma. Tietokoneen varastaminen sen sijaan ei ole minulle ongelma koska käytän koko levyn salausta.

malaire kirjoitti:

Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.

Lue lisää

Sinut voidaan helposti hakkeroida kuin noin teet:)

Anonyymi kirjoitti:

Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

T. miksuh

Lue lisää

Meinaan sitä mitä sanoin.

Mietihän vielä uusiksi kannattaako ne munat laittaa samaan koriin.

Anonyymi kirjoitti:

Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

T. miksuh

Lue lisää

Kerro miten se puhelinsovellus suojaa paremmin jos on eksynyt huijaussivulle?

malaire kirjoitti:

> Tuo salasanasovellus on systeemisi heikko lenkki.

Periaatteessa kyllä, mutta käytän Debian:ia ja asennan pääosin ohjelmat Debianin omasta varastosta joten on hyvin pieni mahdollisuus että tietokoneelle pääsisi joku virus/haittaohjelma joka voisi sitten lukea salasanasovelluksen tietoja.

> Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma. Tietokoneen varastaminen sen sijaan ei ole minulle ongelma koska käytän koko levyn salausta.

Lue lisää

Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous. Moni kertoo Linux-jakeluiden turvallisuudesta, mutta taitaa unohtaa että myös sen päällä olevien softien tulee olla turvallisia.

"Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma."

Mainitsemani tietoturva-asiantuntija mainitsi selaimen olevan epäluotettavampi kuin pankin softa, joka nähdäkseni vielä pyörii hiekkalaatikossa olematta yhteydessä muihin ohjelmiin puhelimessa.

Mikäli puhelin katoaa tai varastetaan, niin eihän sen löytäjä tee mitään pelkällä siihen asennetulla pankkiapplikaatiolla ilman random-tunnuksia.

Puhelimeen asennettava 'tunnuslukurobotti' vastaa tunnuslukukorttia, mutta vaatii salaiset tunnukset käyttöön. Itselläni tosin ei vielä sellaista ole käytössä, mutta alkaa olla pankeista johtuen yhä vaikeampi tulla toimeen ilman.

Mutta lähtökohtaisesti itse en lainkaan pidä pankkiasioiden hoitamisesta puhelimella tai tabletilla, mutta puhelimeen asenenttava tunnuslukuarpoja on vielä eri asia.

Toistaiseksi olen edelleen mennyt tuolla vähemmän turvalliseksi luokitellulla yhdistelmällä, PC & selain ja nyt jo pidemmän aikaa Mint-koneella, joka on dedikoitu vain ja ainoastaan pankkiasoihin ja vastaaviin, muulloin se on levossa ja poissa netistä.

Anonyymi kirjoitti:

Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous. Moni kertoo Linux-jakeluiden turvallisuudesta, mutta taitaa unohtaa että myös sen päällä olevien softien tulee olla turvallisia.

"Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma."

Mainitsemani tietoturva-asiantuntija mainitsi selaimen olevan epäluotettavampi kuin pankin softa, joka nähdäkseni vielä pyörii hiekkalaatikossa olematta yhteydessä muihin ohjelmiin puhelimessa.

Mikäli puhelin katoaa tai varastetaan, niin eihän sen löytäjä tee mitään pelkällä siihen asennetulla pankkiapplikaatiolla ilman random-tunnuksia.

Puhelimeen asennettava 'tunnuslukurobotti' vastaa tunnuslukukorttia, mutta vaatii salaiset tunnukset käyttöön. Itselläni tosin ei vielä sellaista ole käytössä, mutta alkaa olla pankeista johtuen yhä vaikeampi tulla toimeen ilman.

Mutta lähtökohtaisesti itse en lainkaan pidä pankkiasioiden hoitamisesta puhelimella tai tabletilla, mutta puhelimeen asenenttava tunnuslukuarpoja on vielä eri asia.

Toistaiseksi olen edelleen mennyt tuolla vähemmän turvalliseksi luokitellulla yhdistelmällä, PC & selain ja nyt jo pidemmän aikaa Mint-koneella, joka on dedikoitu vain ja ainoastaan pankkiasoihin ja vastaaviin, muulloin se on levossa ja poissa netistä.

Lue lisää

"Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous."

Se salasanasovellus ei nyt tainnut olla mikään verkossa toimiva vaan paikallinen sovellus, jolloin pitäisi murtautua ensiksi koneelle. Sen salasanasovelluksen voisi myös laittaa eri käyttäjätilille jos siltä tuntuu jolloin pitäisi korkata koko kone että pääsisi sinne toiselle tilille käsiksi.

Ja silloinkin jos salasanat on kryptattuna ja vaatii jonkun master salasanan mikä on vaikka pään sisällä niin ei ne silloinkaan vuoda.

Salasana on vaihtamisen jälkeenkin yhtä huono.

Ihmisten pitää opetella kunnollinen salasana. Sen jälkeen voi käyttää samaa joka paikassa, tai sitä samaa hieman muunneltuna muissa paikoissa.

Minun salasanat ovat murtamattomia: 32 tai 64 satunnaista merkkiä.

(Tosin jotkut sivustot eivät salli kunnon salasanoja vaan vaativat että pitää olla lyhyempi kuin 32 merkkiä.)

Anonyymi kirjoitti:

Salasana on vaihtamisen jälkeenkin yhtä huono.

Ihmisten pitää opetella kunnollinen salasana. Sen jälkeen voi käyttää samaa joka paikassa, tai sitä samaa hieman muunneltuna muissa paikoissa.

Lue lisää

Ei missään nimessä. Samaa salasanaa ei milloinkaan pidä käyttää useammassa kuin yhdessä paikassa. Jokaiseen palveluun on syytä luoda oma vahva salasana. Älkää ikinä käytäkö samaa salasanaa uudelleen useassa eri palvelussa, älkääkä edes salasanaa jota on hiukan muunneltu. Luokaa jokaiseen palveluun kokonan oma erillinen salasana.

T. miksuh

"Ideana on se, että et voi olla varma siitä onko nykyinen salasanasi o murrettu ja sen takia salasanaa kannattaa aikaajoin vaihtaa vaikka kyseessä olisikin vahva salasana."

Eiköhän murretusta salasanasta kohtuuajassa ilmene murheita ja vielä todennäköisemmin jos se vain liittyy fyrkan kavaltamisen mahdollisuuteen tai idnetiteettivarkauteen ja viimeksimainittu voidaan varastaa montaa kautta.

Olen edelleen melko skeptinen noille rutiininomaisesti vaadituille s-sanan vaihdon pakoille.

Se uusikin vahva s-sana voidaan pahimmillaan ja huonolla tuurilla korkata jo samana tai seuraavana päivänä.

ps.

Turhauttavinta on tilanteet joissa yks'kaks tulee eteen pakkovaihtoilmoitus ja tilanteessa jossa sille ei todellakaan olisi aikaa, sen sijaan että siitä edeltä ilmoitettaisiin vaikkapa tyyliin, vielä viisi / kymmenen kirjautumista ja sitten s-sana on vaihdettava.

Tuo salasanojen rumba on melkoisen pe**eleellistä, kun niitä on kerrassaan niin paljon, vaikka kaikenkarvaisia kirjautuspakko tahoja koettaakin maksimiinsa karttaa ja kirjautua vain itselleen varsin tärkeisiin ja merkityksellisiin paikkoihin.

Juuri tänään edellä manittu tilanne tuli vastaan taholta, joka ei koskaan, ei kertaakaan edellisen noin 15-vuoden aikana sitä ole edes vaatinut. Heräsi oitis heti myös ajatus / epäilys josko heidän systeeminsä olisi hakkeroitu ja konnat homman takana tietovarkaudessa, kun ko. taho ei tuollaisesta vaatimuksesta edeltä edes maininnut.

Ei tuossa salasanaa murreta vaan sivusto hakkeroidaan (kuten suomi 24). Ihan eri asia.

malaire kirjoitti:

Ei tuossa salasanaa murreta vaan sivusto hakkeroidaan (kuten suomi 24). Ihan eri asia.

Turvallisuudessa pitäisikin tarttua suurimpaan riskiin, ei paneutua niihin pienimpiin.

Turvallisessa käyttöympäristössä on oman salasanan murtaminen hyvin pieni riski.

En ole samaa mieltä. Kyllä ihan liian usein ihmiset käyttää salasanoja kute n 1234567890, salasana jne. Samaten ihan liian moni kuvittelee olevansa ovela kun kirjottaa salasanan 1337 -tyylillä. Naurettavaa itsepetosta moinen. Toki myös salasanojen suojaus palvelussa on usein ongelma, mutta ei kyllä pidä vähätellä liian heikkojen salasanojen käytön yleisyyden muodostamaa ongelmaa.

T. miksuh

Tuossa on juurkin yksi perusteltu syy siihen miksi samaa salasanaa ei tule käyttää useammassa eri paikassa ja puhumattakaan vielä virkatahoilla.

Mutta todellinen heikko lenkki on myös selaimeen salasanojen tallentaminen tai salasana-applikaatioiden käyttö. Mikäli niissä on vuoto tai ne korkataan, niin kaikki on kuin tarjottimella ja helskutti merrassa.

Kollimaattori kirjoitti:

Turvallisuudessa pitäisikin tarttua suurimpaan riskiin, ei paneutua niihin pienimpiin.

Turvallisessa käyttöympäristössä on oman salasanan murtaminen hyvin pieni riski.

Lue lisää

En ole samaa mielä. Tietoturvasta pitää huolehtia jokaisella tasolla. Oletko joskus kuullut puhuttavan heikoimmasta lenkistä? Se pätee myös tietoturvaan. Sitäpaitsi on täysin mahdollista, että jossakin palvelussa on tietoturva-aukko, jota voi hyödyntää vasta kun on pääsyt kirjautumaan palveluun. Tuotahan tapahtuu jatkuvasti myöskin. Ja jos salasanat on liihan heikkoja niin hyökkääjä voi päästä sen takia kirjautumaan palveluun minkä jälkeen hän voi hyödyntää sitä tietoturva-aukkoa koko systeemin murtamiseen. Eli minusta on vastuutonta vähätellä liian heikkoen salasanojen muodostamaa riskiä.

T. miksuh

Yep, tuo on kyllä ihan totta, joskin nyt avauksessa oli kyse vahvan s-sanan vaihtamispakosta toiseen vastaavaan.

Lastpass on kaikista turvallisin paikka säilöä jopa pankkitunnukset.

Anonyymi kirjoitti:

Lastpass on kaikista turvallisin paikka säilöä jopa pankkitunnukset.

LastPassillakin on sattunut ja tapahtunut:

https://urly.fi/2DSV

Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.

Kollimaattori kirjoitti:

LastPassillakin on sattunut ja tapahtunut:

https://urly.fi/2DSV

Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.

Lue lisää

Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.

malaire kirjoitti:

Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.

Lue lisää

Se vasta onkin turvaton..

Kollimaattori kirjoitti:

LastPassillakin on sattunut ja tapahtunut:

https://urly.fi/2DSV

Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.

Lue lisää

Vaan eipä vakavia ole tapahtunut koskaan,,

malaire kirjoitti:

Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.

Lue lisää

"Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."

Anonyymi kirjoitti:

"Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."

Lue lisää

Kannattaa luottaa Lastpassiin. On meinaan paras salasanapankki..

Anonyymi kirjoitti:

Kannattaa luottaa Lastpassiin. On meinaan paras salasanapankki..

En luota kaupallisten toimijoiden tekeleisiin. Kuka tahansa näkee nuo lastpassin tiedot tietämällä salasanan palveluun. Ei vakuuta.

Anonyymi kirjoitti:

"Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."

Lue lisää

> Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ...

Eihän tuo ole ongelma jos tietokoneella ei ole mitään haittaohjelmaa joka voisi kyseisiä reikiä käyttää.

> Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan?

Kiintolevy on salattu.

> Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

Minulla on itse tehty ohjelma varmuuskopiointiin mm. USB-tikulle, ja varmuuskopiot on tietenkin salattu.

Anonyymi kirjoitti:

En luota kaupallisten toimijoiden tekeleisiin. Kuka tahansa näkee nuo lastpassin tiedot tietämällä salasanan palveluun. Ei vakuuta.

Ei näe kuin tilin haltija itse..

Anonyymi kirjoitti:

Ei näe kuin tilin haltija itse..

Kuka tahansa pääsee lastpassiin, kun tietää käyttäjän emailin ja salasanan. Sen jälkeen kaikki sinne tallennetut tiedot ovat vapaata riistaa.

Eli aivan sama on käyttää samaa salasanaa kaikkialla, koska yhden salasanan takana olevan palvelun salasanat ovat kuitenkin saatavilla.

Anonyymi kirjoitti:

Kuka tahansa pääsee lastpassiin, kun tietää käyttäjän emailin ja salasanan. Sen jälkeen kaikki sinne tallennetut tiedot ovat vapaata riistaa.

Eli aivan sama on käyttää samaa salasanaa kaikkialla, koska yhden salasanan takana olevan palvelun salasanat ovat kuitenkin saatavilla.

Lue lisää

Eipä pääse kuka tahansa:)

Anonyymi kirjoitti:

Eipä pääse kuka tahansa:)

Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.

Anonyymi kirjoitti:

Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.

Lue lisää

Eivät riitä alkuunkaan:D

Anonyymi kirjoitti:

Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.

Lue lisää

Pako New Yorkista (Escape from New York) on John Carpenterin ohjaama tieteis- ja toimintaelokuva vuodelta 1981. Elokuvan pääosassa on Kurt Russell ja muissa keskeisissä rooleissa muun muassa Lee Van Cleef, Ernest Borgnine ja Donald Pleasence.

malaire kirjoitti:

> Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ...

Eihän tuo ole ongelma jos tietokoneella ei ole mitään haittaohjelmaa joka voisi kyseisiä reikiä käyttää.

> Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan?

Kiintolevy on salattu.

> Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

Minulla on itse tehty ohjelma varmuuskopiointiin mm. USB-tikulle, ja varmuuskopiot on tietenkin salattu.

Lue lisää

Huomaan, että sinulla on lievästikin ilmaisten tavanomaista digin käyttäjää vahvemmat ja turvallisemmat metodit ;-)

Noita kryptausjuttuja olen joskus ajatellut, mutta pienenä huolena oli se jos itse kryptaussofta vanhenee tai päivitetään bugiseksi tai jotakin vastaavaa ... en sitten tiedä onko tuo kovinkon kreettinen mahdollisuus ja aihe tekniikaltaan on itselleni edelleen 'hieman' sumussa.

Pitäisikin tehdä kryptaushommista ihan oma avaus ... eli mitä huomioitavaa ettei tule sen kanssa murheita, homman plussat ja miinukset.

ap

Edes miljoona vuotta sitten unixissa ei tuolla tavalla saanut tietää sepon salasanaa vaan sepon salasanan suolatun md5 hashin.

Salasanojen käytössä oleellista on se, että kun yhdessä palvelussa käytetty salasana paljastuu niin sillä samalla salasanalla ei saa haltuunsa henkilön sähköpostia ja kaikkia muitakin palveluita joita tämä käyttää.

Tuskimpa kukaan hakkeri tavallisen käyttäjän salasanaa lähtee selvittämään. Salasanat tulee ilmi vasta isoimmissa tietomurroissa jotka kohdistuvat yhtiöihin tai yhteisöihin joilla on suuri salasanavarasto vastuullaan.

Anonyymi kirjoitti:

Tuskimpa kukaan hakkeri tavallisen käyttäjän salasanaa lähtee selvittämään. Salasanat tulee ilmi vasta isoimmissa tietomurroissa jotka kohdistuvat yhtiöihin tai yhteisöihin joilla on suuri salasanavarasto vastuullaan.

Lue lisää

Se tavallisen käyttäjän salasana selviää just sllä tavalla kun murretaan vaikka joku verkkokauppa.

Unix-pohjaisilla ei tartte välttämättä mitään salasanan kehittelyohjelmaakaan. Esimerkiksi 32 satunnaista merkkiä, jotka kirjaimia tai numeroita:

$ head /dev/urandom | tr -dc A-Za-z0-9 | head -c32
WyVeNwDjMzQx3PnvxOJnCSAnNZh7ZkcV

Kuten tässä on todettu. Mitään hyötyä ei ole pitkästä ja monimutkaisesta salasanasta, kun se jonkin tietomurron yhteydessä samalla lailla paljastuu kuin se kuuluisa qwerty. Joten varsin turhana näen muodostaa älyttömän pitkää numeroita, isoja pieniä kirjaimia, erikoismerkkejä sisältävää salasaa. Mutta jokaiseen käyttämääsi palveluun eri salasanalla on suositukseni.

Anonyymi kirjoitti:

Kuten tässä on todettu. Mitään hyötyä ei ole pitkästä ja monimutkaisesta salasanasta, kun se jonkin tietomurron yhteydessä samalla lailla paljastuu kuin se kuuluisa qwerty. Joten varsin turhana näen muodostaa älyttömän pitkää numeroita, isoja pieniä kirjaimia, erikoismerkkejä sisältävää salasaa. Mutta jokaiseen käyttämääsi palveluun eri salasanalla on suositukseni.

Lue lisää

Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

Anonyymi kirjoitti:

Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

Lue lisää

Ja ettei käytä samaa salasanaa muissa paikoissa..

Anonyymi kirjoitti:

Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

Lue lisää

Yksityisen henkilön salasanalla ei juuri ole merkitystä. Olkoon pitkä tai lyhyt. Näin siis yksityisasioissa. Työasioissa voi olla toinen juttu. Kyllä hakkerit ovat suurien salasanatiedostojen perässä, missä sitten saattaa kerralla paljastua maailmanlaajuisesti miljoonat salasanat. Niillä on sitten hyvä kiristää ja käydä kauppaa.

Anonyymi kirjoitti:

Yksityisen henkilön salasanalla ei juuri ole merkitystä. Olkoon pitkä tai lyhyt. Näin siis yksityisasioissa. Työasioissa voi olla toinen juttu. Kyllä hakkerit ovat suurien salasanatiedostojen perässä, missä sitten saattaa kerralla paljastua maailmanlaajuisesti miljoonat salasanat. Niillä on sitten hyvä kiristää ja käydä kauppaa.

Lue lisää

Eipä niillä salasanatiedostoilla mitään tee, koska salasanat niissä ovat tietenkin hashattuja.

Anonyymi kirjoitti:

Eipä niillä salasanatiedostoilla mitään tee, koska salasanat niissä ovat tietenkin hashattuja.

Esim. Facebook on säilyttänyt salasanoja selkokielisessä muodossa.
Lähtökohtaisesti pitää olettaa, että salasanoja säilytetään selkokielisinä, vaikka kyseessä olisi miten iso ja luotettavana pidetty firma.