Vahvan salasanan vaihto, mitä todellista hyötyä?

Anonyymi

Eri palvelun tarjoajat pakottavat aika ajoin vaihtamaan salasanan.

Mutta mitä todellista hyötyä on vaihtaa vahva salasana toiseen vastavaan, sillä se uusikinhan voisi tulla hakkeroiduksi pahimmillaan ja huonolla tuurilla vaikka jo samana tai seuraavana päivänä.

ps. Meinaa toisinana iskeä aikas paha digi-krapula jatkuvan ja loputtoman väännön kanssa.

68

1107

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Koska se vanha salasana on rainbow tablessa jo.

    • Eipä sitä oikeasti vahvaa salasanaa tarvitse alvariinsa vaihdella, kunhan huomaa käyttää samaa salasanaa vain yhdessä paikassa verkossa ja pitää itse parhaansa mukaan omat salasanansa turvassa ja suojattuina vierailta katseilta. Verkon toimijoiden lupauksiin ja vakuutteluihin ei tietenkään voi luottaa.

      Verkossa ei ole kuin kahdenlaisia organisaatioita: niitä joiden salasanasuojaus on murrettu ja ne joiden salasanasuojausta ei vielä olla murrettu.

      Muun muassa Firefox seuraa uutisia murretuista sivustoista ja antaa varoituksen käyttäjälle jos omassa Firefoxin säilytyksessä olevista salasanoista jokin kuuluu murretuksi tiedettyyn sivustoon. Silloin pikapikaa vaihtamaan salasana sinne, jos vielä ehtii ennen vahinkoa. Tämähän on se pääsyy, miksi ei samaa salasanaa tai edes muistuttavia saa käyttää monissa paikoissa.

      Itse olen toistaiseksi saanut vain yhden varoituksen murretusta sivustosta. Oli minulta niin harvoin vierailtu ja pieni sivusto, että ei taatusti olisi tullut huomattua itse esim. uutisia seuraamalla, joten hyvään saumaan varoitus tuli, eikä ehtinyt näköjään sattua mitään.

      • Muun muassa suomi24 on murrettu - tiedän tämän siitä että sain kerran perus huijauspostin (tietokoneesi on hakkeroitu ja sinusta on videota, maksa tai se julkaistaan) jossa oli mainittu salasana jota olen käyttänyt vain suomi24 palvelussa, tosin vuosia sitten.


      • Anonyymi

        "Muun muassa Firefox seuraa uutisia murretuista sivustoista ja antaa varoituksen käyttäjälle jos omassa Firefoxin säilytyksessä olevista salasanoista jokin kuuluu murretuksi tiedettyyn sivustoon. "

        Turvallisuussyistä en koskaan enkä missään tapauksessa tallenna salasanoja selaimeen.

        Mutta vahvan salasanan vaihdon hyödyistä en ole vielä vakuutunut ja useinhan eri tahot sitä vaadivat x-ajan tai x-määrää kirjautumisien jälkeen.

        Kerrankin muuan "rahataho" sitä rutiininomaisesti vaati. Vaihdoin päikseen pitkän salasanan kaksi ensimmäitä ja kaksi viimeistä merkkiä, mutta ei hyväksynyt, sillä muistutti liikaa olemassa olevaa. Sitten miettimään kokonana uusiksi, jotta keksiksi jonkin uuden jolla olisi jollakin tasolle itselle merkitystä niin, että sen voisi jopa muistaa.


      • Anonyymi

        Ota nyt huomioon se, että läheskään kaikki tietomurrot eivät ole paljastuneet vaan on ihan varmasti paljon sellaisia, jotka eivät ole muiden kuin tietomurron tehneen tiedossa. Ihan vastaavasti ohjelmistoissa on tietoturva-aukkoja, jotka ovat vain aukkoja jo hyödyntävien tiedossa. Ei siis kannata tuudittautua siihen uskoon, että jos esimerkiki jotain sivustoa ei ole raportoitu murretuksi, se tarkoittaisi että sitä ei ole voitu murtaa. Kyllä se on voitu mahdollisesti murtaa vaikka se ei ole tiedossa. Ja juuri tuon takia on ihan hyvä idea vaihtaa salasanoja aina välillä vaikka ei olisikaan tiedossa salasanan vaarantuneen jossain tietomurrossa.

        T. miksuh


      • Anonyymi kirjoitti:

        Ota nyt huomioon se, että läheskään kaikki tietomurrot eivät ole paljastuneet vaan on ihan varmasti paljon sellaisia, jotka eivät ole muiden kuin tietomurron tehneen tiedossa. Ihan vastaavasti ohjelmistoissa on tietoturva-aukkoja, jotka ovat vain aukkoja jo hyödyntävien tiedossa. Ei siis kannata tuudittautua siihen uskoon, että jos esimerkiki jotain sivustoa ei ole raportoitu murretuksi, se tarkoittaisi että sitä ei ole voitu murtaa. Kyllä se on voitu mahdollisesti murtaa vaikka se ei ole tiedossa. Ja juuri tuon takia on ihan hyvä idea vaihtaa salasanoja aina välillä vaikka ei olisikaan tiedossa salasanan vaarantuneen jossain tietomurrossa.

        T. miksuh

        Jos murron tekijä on ollut niin taitava tai sivuston turvallisuus niin löperö, että sivusto on ko. källin tehneelle täysin avoin ja pysyy avoimena, niin mitä hyötyä sellaisen sivuston salasanan vaihtamisesta olisi? Murtautujahan näkee uuden salasanan saman tein.


      • Anonyymi
        Anonyymi kirjoitti:

        "Muun muassa Firefox seuraa uutisia murretuista sivustoista ja antaa varoituksen käyttäjälle jos omassa Firefoxin säilytyksessä olevista salasanoista jokin kuuluu murretuksi tiedettyyn sivustoon. "

        Turvallisuussyistä en koskaan enkä missään tapauksessa tallenna salasanoja selaimeen.

        Mutta vahvan salasanan vaihdon hyödyistä en ole vielä vakuutunut ja useinhan eri tahot sitä vaadivat x-ajan tai x-määrää kirjautumisien jälkeen.

        Kerrankin muuan "rahataho" sitä rutiininomaisesti vaati. Vaihdoin päikseen pitkän salasanan kaksi ensimmäitä ja kaksi viimeistä merkkiä, mutta ei hyväksynyt, sillä muistutti liikaa olemassa olevaa. Sitten miettimään kokonana uusiksi, jotta keksiksi jonkin uuden jolla olisi jollakin tasolle itselle merkitystä niin, että sen voisi jopa muistaa.

        Tuo on tärkeää: älätallenna salasanaa esim. Firefoxiin!


    • Anonyymi

      Huvituin kovin näistä mainostetuista "salasanapalveluista".

      Kaikki sivustot salasanoineen ovat sen jälkeen sen yhden ja saman salasanan takana.

      Hyvä kultakaivos siis.

      Yhtä idioottimaisia ovat pankkien ehdottamat kännykkäsovellukset, joilla yritetään korvata pahvinen avainlukulista. Kaikki munat samaan koriin, vaikka pankin omatkin ehdot sen kieltävät.

      Mutta antaa vatipäiden vatipäistyä. Tyhmien kuuluukiin kärsiä.

      • Anonyymi

        Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

        T. miksuh


      • Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.


      • Anonyymi

        "Huvituin kovin näistä mainostetuista "salasanapalveluista".

        Hienoa, eli ihan itse keksit jostakin tuollaisen "salasanapalvelun" jollaisesta jostakin avauksessa ei ole edes vihjausta ja sitten huvittelet itse itseäsi, no mikäs siinä, mutta "hieman" off topic kuitenkin.


      • Anonyymi
        malaire kirjoitti:

        Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.

        "Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä."

        Tuo salasanasovellus on systeemisi heikko lenkki. Jossakin vaiheessa pahvilistoja ei enää ole lainkaan saatavissa yhdessäkään pankissa.

        Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

        ps. Kuitenkin, mielestäni EU-tasolla kaikkien pankkien tulisi olla pakotetut tarjomaan mobiiliratkaisun rinnalla myös *salasanalaite*, joka on mobiilista ja netistä riippumaton salalsanojen random-arpoja, kuten vaikkapa Nordean tunnuslukulaite.

        Mikäli puhelin katoaa, hajoaa tai varsatetaan ja vielä pahimmillaan vaikkapa jossakin pidemmällä ulkomaan matkalla, niin silloin syntyy tosi virtsainen tilanne kun ei pääse lainkaan pankkiin kirjautumaan, eikä voi uutta puhelintakaan sinne aktivoida.


      • Anonyymi kirjoitti:

        "Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä."

        Tuo salasanasovellus on systeemisi heikko lenkki. Jossakin vaiheessa pahvilistoja ei enää ole lainkaan saatavissa yhdessäkään pankissa.

        Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

        ps. Kuitenkin, mielestäni EU-tasolla kaikkien pankkien tulisi olla pakotetut tarjomaan mobiiliratkaisun rinnalla myös *salasanalaite*, joka on mobiilista ja netistä riippumaton salalsanojen random-arpoja, kuten vaikkapa Nordean tunnuslukulaite.

        Mikäli puhelin katoaa, hajoaa tai varsatetaan ja vielä pahimmillaan vaikkapa jossakin pidemmällä ulkomaan matkalla, niin silloin syntyy tosi virtsainen tilanne kun ei pääse lainkaan pankkiin kirjautumaan, eikä voi uutta puhelintakaan sinne aktivoida.

        > Tuo salasanasovellus on systeemisi heikko lenkki.

        Periaatteessa kyllä, mutta käytän Debian:ia ja asennan pääosin ohjelmat Debianin omasta varastosta joten on hyvin pieni mahdollisuus että tietokoneelle pääsisi joku virus/haittaohjelma joka voisi sitten lukea salasanasovelluksen tietoja.

        > Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

        Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma. Tietokoneen varastaminen sen sijaan ei ole minulle ongelma koska käytän koko levyn salausta.


      • Anonyymi
        malaire kirjoitti:

        Juuri näin. Minä käytän pahvista avainlukulistaa jota ei voi hakkeroida, ja salasanat ovat salasanasovelluksessa minun tietokoneella - ei todellakaan missään pilvessä tai netissä.

        Sinut voidaan helposti hakkeroida kuin noin teet:)


      • Anonyymi
        Anonyymi kirjoitti:

        Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

        T. miksuh

        Meinaan sitä mitä sanoin.

        Mietihän vielä uusiksi kannattaako ne munat laittaa samaan koriin.


      • Anonyymi
        Anonyymi kirjoitti:

        Mitähän nyt tolla oikein meinaat? Kyllä niillä pankkien älypuhelinsovvelluksilla tunnistautuminen on palon turvallisempaa kuin sillä pahvisella avainlukulistalla tapahtuva tunnistautuminen. Eli jokaisen kannattaisi siirtyä käyttämään niitä.

        T. miksuh

        Kerro miten se puhelinsovellus suojaa paremmin jos on eksynyt huijaussivulle?


      • Anonyymi
        malaire kirjoitti:

        > Tuo salasanasovellus on systeemisi heikko lenkki.

        Periaatteessa kyllä, mutta käytän Debian:ia ja asennan pääosin ohjelmat Debianin omasta varastosta joten on hyvin pieni mahdollisuus että tietokoneelle pääsisi joku virus/haittaohjelma joka voisi sitten lukea salasanasovelluksen tietoja.

        > Muuan tietoturvataho kertoi joitakin aikoja sitten pankin sovelluksen olevan kirjautumiseen turvallisempi kuin yhdistelmä tietokone ja selain tai puheli ja selain.

        Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma. Tietokoneen varastaminen sen sijaan ei ole minulle ongelma koska käytän koko levyn salausta.

        Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous. Moni kertoo Linux-jakeluiden turvallisuudesta, mutta taitaa unohtaa että myös sen päällä olevien softien tulee olla turvallisia.

        "Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma."

        Mainitsemani tietoturva-asiantuntija mainitsi selaimen olevan epäluotettavampi kuin pankin softa, joka nähdäkseni vielä pyörii hiekkalaatikossa olematta yhteydessä muihin ohjelmiin puhelimessa.

        Mikäli puhelin katoaa tai varastetaan, niin eihän sen löytäjä tee mitään pelkällä siihen asennetulla pankkiapplikaatiolla ilman random-tunnuksia.

        Puhelimeen asennettava 'tunnuslukurobotti' vastaa tunnuslukukorttia, mutta vaatii salaiset tunnukset käyttöön. Itselläni tosin ei vielä sellaista ole käytössä, mutta alkaa olla pankeista johtuen yhä vaikeampi tulla toimeen ilman.

        Mutta lähtökohtaisesti itse en lainkaan pidä pankkiasioiden hoitamisesta puhelimella tai tabletilla, mutta puhelimeen asenenttava tunnuslukuarpoja on vielä eri asia.

        Toistaiseksi olen edelleen mennyt tuolla vähemmän turvalliseksi luokitellulla yhdistelmällä, PC & selain ja nyt jo pidemmän aikaa Mint-koneella, joka on dedikoitu vain ja ainoastaan pankkiasoihin ja vastaaviin, muulloin se on levossa ja poissa netistä.


      • Anonyymi
        Anonyymi kirjoitti:

        Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous. Moni kertoo Linux-jakeluiden turvallisuudesta, mutta taitaa unohtaa että myös sen päällä olevien softien tulee olla turvallisia.

        "Millä perusteella? Itsekin toteat että puhelimen varastaminen on ongelma."

        Mainitsemani tietoturva-asiantuntija mainitsi selaimen olevan epäluotettavampi kuin pankin softa, joka nähdäkseni vielä pyörii hiekkalaatikossa olematta yhteydessä muihin ohjelmiin puhelimessa.

        Mikäli puhelin katoaa tai varastetaan, niin eihän sen löytäjä tee mitään pelkällä siihen asennetulla pankkiapplikaatiolla ilman random-tunnuksia.

        Puhelimeen asennettava 'tunnuslukurobotti' vastaa tunnuslukukorttia, mutta vaatii salaiset tunnukset käyttöön. Itselläni tosin ei vielä sellaista ole käytössä, mutta alkaa olla pankeista johtuen yhä vaikeampi tulla toimeen ilman.

        Mutta lähtökohtaisesti itse en lainkaan pidä pankkiasioiden hoitamisesta puhelimella tai tabletilla, mutta puhelimeen asenenttava tunnuslukuarpoja on vielä eri asia.

        Toistaiseksi olen edelleen mennyt tuolla vähemmän turvalliseksi luokitellulla yhdistelmällä, PC & selain ja nyt jo pidemmän aikaa Mint-koneella, joka on dedikoitu vain ja ainoastaan pankkiasoihin ja vastaaviin, muulloin se on levossa ja poissa netistä.

        "Mutta kun tuo Debian ei tuo turvaa jos salasanasoftassa on tietoturvaheikkous."

        Se salasanasovellus ei nyt tainnut olla mikään verkossa toimiva vaan paikallinen sovellus, jolloin pitäisi murtautua ensiksi koneelle. Sen salasanasovelluksen voisi myös laittaa eri käyttäjätilille jos siltä tuntuu jolloin pitäisi korkata koko kone että pääsisi sinne toiselle tilille käsiksi.

        Ja silloinkin jos salasanat on kryptattuna ja vaatii jonkun master salasanan mikä on vaikka pään sisällä niin ei ne silloinkaan vuoda.


    • Anonyymi

      Ideana on se, että et voi olla varma siitä onko nykyinen salasanasi o murrettu ja sen takia salasanaa kannattaa aikaajoin vaihtaa vaikka kyseessä olisikin vahva salasana.Vahvakin salasana voidaan murtaa vaikka se olisikin epätodennäkösempää ja vaikeampaa kuin heikomman salasanan vaihtaminen. Ei pidä tuudittautua siihen uskoon, että oma salasana olisi muka murtamaton. Tuon takia salasanaa kannattaa vaihtaa aina välillä riippumatta siitä kuinka vaikeasti murrettava salasana on. Valitettavan moni myös kuvittelee oman salasanansa olevan vahva vaikkei se todellisuudessa sitä ole.

      T. miksuh

      • Anonyymi

        Salasana on vaihtamisen jälkeenkin yhtä huono.

        Ihmisten pitää opetella kunnollinen salasana. Sen jälkeen voi käyttää samaa joka paikassa, tai sitä samaa hieman muunneltuna muissa paikoissa.


      • Minun salasanat ovat murtamattomia: 32 tai 64 satunnaista merkkiä.

        (Tosin jotkut sivustot eivät salli kunnon salasanoja vaan vaativat että pitää olla lyhyempi kuin 32 merkkiä.)


      • Anonyymi
        Anonyymi kirjoitti:

        Salasana on vaihtamisen jälkeenkin yhtä huono.

        Ihmisten pitää opetella kunnollinen salasana. Sen jälkeen voi käyttää samaa joka paikassa, tai sitä samaa hieman muunneltuna muissa paikoissa.

        Ei missään nimessä. Samaa salasanaa ei milloinkaan pidä käyttää useammassa kuin yhdessä paikassa. Jokaiseen palveluun on syytä luoda oma vahva salasana. Älkää ikinä käytäkö samaa salasanaa uudelleen useassa eri palvelussa, älkääkä edes salasanaa jota on hiukan muunneltu. Luokaa jokaiseen palveluun kokonan oma erillinen salasana.

        T. miksuh


      • Anonyymi

        "Ideana on se, että et voi olla varma siitä onko nykyinen salasanasi o murrettu ja sen takia salasanaa kannattaa aikaajoin vaihtaa vaikka kyseessä olisikin vahva salasana."

        Eiköhän murretusta salasanasta kohtuuajassa ilmene murheita ja vielä todennäköisemmin jos se vain liittyy fyrkan kavaltamisen mahdollisuuteen tai idnetiteettivarkauteen ja viimeksimainittu voidaan varastaa montaa kautta.

        Olen edelleen melko skeptinen noille rutiininomaisesti vaadituille s-sanan vaihdon pakoille.

        Se uusikin vahva s-sana voidaan pahimmillaan ja huonolla tuurilla korkata jo samana tai seuraavana päivänä.

        ps.

        Turhauttavinta on tilanteet joissa yks'kaks tulee eteen pakkovaihtoilmoitus ja tilanteessa jossa sille ei todellakaan olisi aikaa, sen sijaan että siitä edeltä ilmoitettaisiin vaikkapa tyyliin, vielä viisi / kymmenen kirjautumista ja sitten s-sana on vaihdettava.

        Tuo salasanojen rumba on melkoisen pe**eleellistä, kun niitä on kerrassaan niin paljon, vaikka kaikenkarvaisia kirjautuspakko tahoja koettaakin maksimiinsa karttaa ja kirjautua vain itselleen varsin tärkeisiin ja merkityksellisiin paikkoihin.

        Juuri tänään edellä manittu tilanne tuli vastaan taholta, joka ei koskaan, ei kertaakaan edellisen noin 15-vuoden aikana sitä ole edes vaatinut. Heräsi oitis heti myös ajatus / epäilys josko heidän systeeminsä olisi hakkeroitu ja konnat homman takana tietovarkaudessa, kun ko. taho ei tuollaisesta vaatimuksesta edeltä edes maininnut.


    • Ongelmana harvemmin on oman salasanan heikkous sinänsä, vaan sen suojaus. Yleisin tapa, millä salasana "murretaan" on se, että rikollinen murtautuu sivustolle, minkä käyttäjien salasanalistat ovat huonosti suojattuja tai jopa täysin suojaamattomia.

      Siellähän se omakin salasana on sitten selväkielisenä rikollisen luettavissa, vaikka olisi 128 merkkiä pitkä "ehdottoman turvallinen" salasana.

      • Ei tuossa salasanaa murreta vaan sivusto hakkeroidaan (kuten suomi 24). Ihan eri asia.


      • malaire kirjoitti:

        Ei tuossa salasanaa murreta vaan sivusto hakkeroidaan (kuten suomi 24). Ihan eri asia.

        Turvallisuudessa pitäisikin tarttua suurimpaan riskiin, ei paneutua niihin pienimpiin.

        Turvallisessa käyttöympäristössä on oman salasanan murtaminen hyvin pieni riski.


      • Anonyymi

        En ole samaa mieltä. Kyllä ihan liian usein ihmiset käyttää salasanoja kute n 1234567890, salasana jne. Samaten ihan liian moni kuvittelee olevansa ovela kun kirjottaa salasanan 1337 -tyylillä. Naurettavaa itsepetosta moinen. Toki myös salasanojen suojaus palvelussa on usein ongelma, mutta ei kyllä pidä vähätellä liian heikkojen salasanojen käytön yleisyyden muodostamaa ongelmaa.

        T. miksuh


      • Anonyymi

        Tuossa on juurkin yksi perusteltu syy siihen miksi samaa salasanaa ei tule käyttää useammassa eri paikassa ja puhumattakaan vielä virkatahoilla.

        Mutta todellinen heikko lenkki on myös selaimeen salasanojen tallentaminen tai salasana-applikaatioiden käyttö. Mikäli niissä on vuoto tai ne korkataan, niin kaikki on kuin tarjottimella ja helskutti merrassa.


      • Anonyymi
        Kollimaattori kirjoitti:

        Turvallisuudessa pitäisikin tarttua suurimpaan riskiin, ei paneutua niihin pienimpiin.

        Turvallisessa käyttöympäristössä on oman salasanan murtaminen hyvin pieni riski.

        En ole samaa mielä. Tietoturvasta pitää huolehtia jokaisella tasolla. Oletko joskus kuullut puhuttavan heikoimmasta lenkistä? Se pätee myös tietoturvaan. Sitäpaitsi on täysin mahdollista, että jossakin palvelussa on tietoturva-aukko, jota voi hyödyntää vasta kun on pääsyt kirjautumaan palveluun. Tuotahan tapahtuu jatkuvasti myöskin. Ja jos salasanat on liihan heikkoja niin hyökkääjä voi päästä sen takia kirjautumaan palveluun minkä jälkeen hän voi hyödyntää sitä tietoturva-aukkoa koko systeemin murtamiseen. Eli minusta on vastuutonta vähätellä liian heikkoen salasanojen muodostamaa riskiä.

        T. miksuh


    • Anonyymi

      Lisään aiempaan kommenttiini vielä sen, että yksi syy miki salasanoja kannattaa myös vaihttaa aina välillä on e, että salasanat, jotka olivat josku muinoin vahvoja ivät ole sitä enää. Esimerkiksi 8 merkin salasanaa ei voi mitenkään pitää enää riittävän vahvana., kaikkea muuta. Eli jos on tullut luotua jollekin palvelulle salasana jo aikoja sitten niin se salasana olisi syytä vaihtaa toiseen ihan jo tonkin takia vaikka salasana ei olisikaan missään vaiheessa vaarantunut.

      T. miksuh

      • Anonyymi

        Yep, tuo on kyllä ihan totta, joskin nyt avauksessa oli kyse vahvan s-sanan vaihtamispakosta toiseen vastaavaan.


    • Aloituksen otsikkona toki oli vahvan salasanan vaihtamisen tarpeellisuudesta.

      Itsekään en käytä esim. Firefoxin Sync -toimintoa, koska silloin omat salasanani menisivät verkkoon, salattuina tietysti, mutta riski on kiistattomasti suurempi kuin jos käyttäisi vain omalla koneella olevaa selaimen salasanasovellusta. Voihan Firefox Syncinkin murtaa siinä missä minkä tahansa sovelluksen suojauksen, aivan minkä tahansa.

      Salasanan unohtamisen tai hukkaamisen aiheuttamaa mahdollisesti suurtakin haittaa emme ole vielä käsitelleetkään. Salasanasovellus selaimella on ehdottomasti turvallisempi tapa kuin muistisäännöt tai lippulappuset, millä yritetään pitää hallinnassa yhä kasvavaa salasanojen laumaa.

      Mukana pidettävä Token eli mokkula olisi tietysti turvallinen, mutta onhan senkin suojaaminen varmuuskopioinnilla ja redundanttisuudella oma vaivansa. Tokenillakin olisi oltava kaksivaiheinen suojaus eli pelkkä tokenin varastaminen ei riittäisi.

      • Anonyymi

        Lastpass on kaikista turvallisin paikka säilöä jopa pankkitunnukset.


      • Anonyymi kirjoitti:

        Lastpass on kaikista turvallisin paikka säilöä jopa pankkitunnukset.

        LastPassillakin on sattunut ja tapahtunut:

        https://urly.fi/2DSV

        Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.


      • Kollimaattori kirjoitti:

        LastPassillakin on sattunut ja tapahtunut:

        https://urly.fi/2DSV

        Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.

        Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

        Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.


      • Anonyymi
        malaire kirjoitti:

        Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

        Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.

        Se vasta onkin turvaton..


      • Anonyymi
        Kollimaattori kirjoitti:

        LastPassillakin on sattunut ja tapahtunut:

        https://urly.fi/2DSV

        Ei kuitenkaan tarkoita, etteikö LastPass olisi paljon turvallisempi kuin "password" salasanana joka paikassa.

        Vaan eipä vakavia ole tapahtunut koskaan,,


      • Anonyymi
        malaire kirjoitti:

        Lähes kaikissa noissa LastPass ongelmissa kyseessä on nettiohjelmiston tai selaimen lisäosan bugi.

        Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen.

        "Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

        Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

        Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

        Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

        Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

        Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

        ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."


      • Anonyymi
        Anonyymi kirjoitti:

        "Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

        Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

        Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

        Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

        Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

        Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

        ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."

        Kannattaa luottaa Lastpassiin. On meinaan paras salasanapankki..


      • Anonyymi
        Anonyymi kirjoitti:

        Kannattaa luottaa Lastpassiin. On meinaan paras salasanapankki..

        En luota kaupallisten toimijoiden tekeleisiin. Kuka tahansa näkee nuo lastpassin tiedot tietämällä salasanan palveluun. Ei vakuuta.


      • Anonyymi kirjoitti:

        "Siksi minulla onkin erillinen salasanaohjelma joka ei käytä nettiä eikä ole missään yhteydessä selaimeen."

        Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ja eikös tuokin ohjelma pidä aina joskus päivittää? Softan tekijäänkin tulisi voida luottaa.

        Ilmeisesti lähinnä ainoa riski (?) tuossa olisi tilanne jos Debianisi onnistuttaisiin korkkaamaan, mutta riski lienee hyvin pieni.

        Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan? Mutta onkohna nuo kryptausohjelma "ikuisia", vakaita ja luotettavia.

        Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

        Itse olen toistaiseksi mennyt edelleen paperilistoilla, siilä läheskään kaikkia s-sanoja ei voi muistaa ja joita listoja on "varmoissa" piiloissa, mutta eiväthän se super-käytännöllistä eivätkä super-turvallisia nekään ole.

        ps. Itse en luota LastPass-ohjelmiin ja vastaaviin. Selaimeen en missään tapauksessa laittaisi yhtäkään salasanaa "turvaan."

        > Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ...

        Eihän tuo ole ongelma jos tietokoneella ei ole mitään haittaohjelmaa joka voisi kyseisiä reikiä käyttää.

        > Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan?

        Kiintolevy on salattu.

        > Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

        Minulla on itse tehty ohjelma varmuuskopiointiin mm. USB-tikulle, ja varmuuskopiot on tietenkin salattu.


      • Anonyymi
        Anonyymi kirjoitti:

        En luota kaupallisten toimijoiden tekeleisiin. Kuka tahansa näkee nuo lastpassin tiedot tietämällä salasanan palveluun. Ei vakuuta.

        Ei näe kuin tilin haltija itse..


      • Anonyymi
        Anonyymi kirjoitti:

        Ei näe kuin tilin haltija itse..

        Kuka tahansa pääsee lastpassiin, kun tietää käyttäjän emailin ja salasanan. Sen jälkeen kaikki sinne tallennetut tiedot ovat vapaata riistaa.

        Eli aivan sama on käyttää samaa salasanaa kaikkialla, koska yhden salasanan takana olevan palvelun salasanat ovat kuitenkin saatavilla.


      • Anonyymi
        Anonyymi kirjoitti:

        Kuka tahansa pääsee lastpassiin, kun tietää käyttäjän emailin ja salasanan. Sen jälkeen kaikki sinne tallennetut tiedot ovat vapaata riistaa.

        Eli aivan sama on käyttää samaa salasanaa kaikkialla, koska yhden salasanan takana olevan palvelun salasanat ovat kuitenkin saatavilla.

        Eipä pääse kuka tahansa:)


      • Anonyymi
        Anonyymi kirjoitti:

        Eipä pääse kuka tahansa:)

        Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

        Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.


      • Anonyymi
        Anonyymi kirjoitti:

        Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

        Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.

        Eivät riitä alkuunkaan:D


      • Anonyymi
        Anonyymi kirjoitti:

        Pääsee kaikki tahasa. Ei tarvitse tietää kuin yksi salasana ja email-osoite.

        Thunderbird on hyvä sähköpostiohjelma. Vapunen ei tosin osaa siihen laittaa sähköpostitilejä. Vapunen kun on sellainen tavallista yksinkertaisempi tapaus.

        Pako New Yorkista (Escape from New York) on John Carpenterin ohjaama tieteis- ja toimintaelokuva vuodelta 1981. Elokuvan pääosassa on Kurt Russell ja muissa keskeisissä rooleissa muun muassa Lee Van Cleef, Ernest Borgnine ja Donald Pleasence.


      • Anonyymi
        malaire kirjoitti:

        > Tuo kuulostaa jo paremmalta, mutta entä jos tuossa softassa ilmenisi reikiä ...

        Eihän tuo ole ongelma jos tietokoneella ei ole mitään haittaohjelmaa joka voisi kyseisiä reikiä käyttää.

        > Mutta entä jos tuo ohjelma olisi kryptatulla tikulla kiintolevyn sijaan?

        Kiintolevy on salattu.

        > Miten olet hoitanut s-sanojen turvakopiot, jotka tulisi olla jossakin toisaalla ja mieluummin vielä useammalla alustalla?

        Minulla on itse tehty ohjelma varmuuskopiointiin mm. USB-tikulle, ja varmuuskopiot on tietenkin salattu.

        Huomaan, että sinulla on lievästikin ilmaisten tavanomaista digin käyttäjää vahvemmat ja turvallisemmat metodit ;-)

        Noita kryptausjuttuja olen joskus ajatellut, mutta pienenä huolena oli se jos itse kryptaussofta vanhenee tai päivitetään bugiseksi tai jotakin vastaavaa ... en sitten tiedä onko tuo kovinkon kreettinen mahdollisuus ja aihe tekniikaltaan on itselleni edelleen 'hieman' sumussa.

        Pitäisikin tehdä kryptaushommista ihan oma avaus ... eli mitä huomioitavaa ettei tule sen kanssa murheita, homman plussat ja miinukset.

        ap


    • Anonyymi

      MFA käyttöön mikäli se on mahdollista.

    • Anonyymi

      Salasana kannattaa tallentaa selaimeen, mutta siihen sitten käsin lisätään jotain jatketta. Näin siten rosmo vain ihmettelee, kun ei selaimesta pöllitty salasana kelpaa ;-).

    • Anonyymi
      • Anonyymi

        Edes miljoona vuotta sitten unixissa ei tuolla tavalla saanut tietää sepon salasanaa vaan sepon salasanan suolatun md5 hashin.

        Salasanojen käytössä oleellista on se, että kun yhdessä palvelussa käytetty salasana paljastuu niin sillä samalla salasanalla ei saa haltuunsa henkilön sähköpostia ja kaikkia muitakin palveluita joita tämä käyttää.


    • Anonyymi

      Aikanaan kun käytin luukku-sähköpostia, niin kaikki luukun salasanat joltakin taholta tuli murrettua. Ei siis salasanan heikkous vaan itse postin ylläpitäjän heikkous. Siinä ei salasanan pituudella mitään tekemistä ja oliko se vaihdettu vai ei. Eli enemmänkin on syytä näissä salasanojen säilöjissä.

      No luukkuun alkoi sitten tulla kiristyskirjeitä, joissa vaadittiin maksamaan tietty rahasumma jotta salasana olisi taas salainen. No arvata saattaa että en maksanut. Niin ja kovasti väittettiin, että myöskään salasanan vaihtaminen ei enää auta. No jonkin ajan kuluttua noiden postien tulo loppui. Ja eihän tuo salasana ollut muualla käytössä. Eli tuo, että eri salasana eri paikkaan kannattaa pitää mielessä.

    • Anonyymi

      Ajattelisin lähinnä sellaista hyötyä olevan, että jos jostain palvelusta joku saa käyttäjien salasanat tai suuren määrän salasanoja haltuunsa, kuten kai yleensä tapahtuu, niin ei niitä kaikkia läheskään ihan heti aleta käyttämään. Mutta sitten kun murtautuja alkaa kokeilla sinun salasanan käyttöä, niin olisi hyvä että se ei olisikaan enää toimiva, koska se olisi ehditty jo vaihtaa.

    • Anonyymi

      Tottakai se pitää vaihtaa ! Kun sitä ei kukaan ole murtanut .

      • Anonyymi

        Tuskimpa kukaan hakkeri tavallisen käyttäjän salasanaa lähtee selvittämään. Salasanat tulee ilmi vasta isoimmissa tietomurroissa jotka kohdistuvat yhtiöihin tai yhteisöihin joilla on suuri salasanavarasto vastuullaan.


      • Anonyymi
        Anonyymi kirjoitti:

        Tuskimpa kukaan hakkeri tavallisen käyttäjän salasanaa lähtee selvittämään. Salasanat tulee ilmi vasta isoimmissa tietomurroissa jotka kohdistuvat yhtiöihin tai yhteisöihin joilla on suuri salasanavarasto vastuullaan.

        Se tavallisen käyttäjän salasana selviää just sllä tavalla kun murretaan vaikka joku verkkokauppa.


    • Anonyymi

      Salasanoista on ohjeita joka lähtöön. Omin päin ajateltuna paras salasana on mahdollisimman pitkä. Mitä pitempi, sitä enemmän aikaa robotilta menee sen murtamiseen.
      Varminta on vältellä rekisteröitymistä mihinkään. Tärkeät asiat hoituvat toistaiseksi peruspuhelimella ja perinteisinä lähipalveluina. Netti kelpaa huuhaaviihteeseen, mutta silloinkin on varottava joutumasta laskutuksen uhriksi.

    • Anonyymi

      Salasanan generointiin on olemassa ohjelmia. Yksi niistä on pwgen, joka tuottaa ruudullisen salasanoja yhdellä ajokerralla - jotta salasanaa ei voisi tässä kohtaa kaapata. Salasanat on oletuksena helposti muistettavaa muotoa, mutta -s parametrilla niistä saa turvallisempia. Ja kirjainmäärän voi myös valita.
      Seuraava askel turvallisuuden lisäämiseksi olisi sitten palveluntarjoajan toteuttaa jokin protokolla salasanan vaihtamista varten - jos salasanoissa halutaan pysyä. Toinen vaihtoehto olisi luoda jonkinklainen julkiseen avaimeen perustuva salausjärjestelmä, jolloin salasanaa ei enää itse tarvitsisi muistaa ja se voisi olla mielivaltaisen pitkä - tällaiset järjestelmät luottaa useimmiten siihen, että omassa kotihakemistossa olevat tiedostot saavat olla rauhassa ts. niihin ei pääse käsiksi millään tavalla esim. selaimella.
      Periaatteessa salasanan vaihtamisen hyöty pitkillä salasanoilla on melko vähäinen esim. jos hyökkääjä kokeilee kerran päivässä murtautumista palveluun - aikaa menee hurjasti. Salasanan vaihtaminen lähinnä poistaa muistamisen tarpeen kokeilluilta salasanoilta. Valmiita salasanalistoja sen sijaan on helppo käydä läpi jos ei ole väliä minkä käyttäjän tilin saa murrettua joten todellakaan ei pidä käyttää salasanaa, jota on käytetty jossakin muualla!

      • Anonyymi

        Unix-pohjaisilla ei tartte välttämättä mitään salasanan kehittelyohjelmaakaan. Esimerkiksi 32 satunnaista merkkiä, jotka kirjaimia tai numeroita:

        $ head /dev/urandom | tr -dc A-Za-z0-9 | head -c32
        WyVeNwDjMzQx3PnvxOJnCSAnNZh7ZkcV


      • Anonyymi

        Kuten tässä on todettu. Mitään hyötyä ei ole pitkästä ja monimutkaisesta salasanasta, kun se jonkin tietomurron yhteydessä samalla lailla paljastuu kuin se kuuluisa qwerty. Joten varsin turhana näen muodostaa älyttömän pitkää numeroita, isoja pieniä kirjaimia, erikoismerkkejä sisältävää salasaa. Mutta jokaiseen käyttämääsi palveluun eri salasanalla on suositukseni.


      • Anonyymi
        Anonyymi kirjoitti:

        Kuten tässä on todettu. Mitään hyötyä ei ole pitkästä ja monimutkaisesta salasanasta, kun se jonkin tietomurron yhteydessä samalla lailla paljastuu kuin se kuuluisa qwerty. Joten varsin turhana näen muodostaa älyttömän pitkää numeroita, isoja pieniä kirjaimia, erikoismerkkejä sisältävää salasaa. Mutta jokaiseen käyttämääsi palveluun eri salasanalla on suositukseni.

        Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

        https://en.wikipedia.org/wiki/List_of_the_most_common_passwords


      • Anonyymi
        Anonyymi kirjoitti:

        Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

        https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

        Ja ettei käytä samaa salasanaa muissa paikoissa..


      • Anonyymi
        Anonyymi kirjoitti:

        Pituus on tärkein tekijä hyvässä salasanassa. Silloin ne on vaikeampi murtaa raa'alla laskentateholla. Mitään yleisiä salasanoja ei tietenkään pidä käyttää, koska niillä pommitetaan ensimmäisenä.

        https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

        Yksityisen henkilön salasanalla ei juuri ole merkitystä. Olkoon pitkä tai lyhyt. Näin siis yksityisasioissa. Työasioissa voi olla toinen juttu. Kyllä hakkerit ovat suurien salasanatiedostojen perässä, missä sitten saattaa kerralla paljastua maailmanlaajuisesti miljoonat salasanat. Niillä on sitten hyvä kiristää ja käydä kauppaa.


      • Anonyymi
        Anonyymi kirjoitti:

        Yksityisen henkilön salasanalla ei juuri ole merkitystä. Olkoon pitkä tai lyhyt. Näin siis yksityisasioissa. Työasioissa voi olla toinen juttu. Kyllä hakkerit ovat suurien salasanatiedostojen perässä, missä sitten saattaa kerralla paljastua maailmanlaajuisesti miljoonat salasanat. Niillä on sitten hyvä kiristää ja käydä kauppaa.

        Eipä niillä salasanatiedostoilla mitään tee, koska salasanat niissä ovat tietenkin hashattuja.


      • Anonyymi
        Anonyymi kirjoitti:

        Eipä niillä salasanatiedostoilla mitään tee, koska salasanat niissä ovat tietenkin hashattuja.

        Esim. Facebook on säilyttänyt salasanoja selkokielisessä muodossa.
        Lähtökohtaisesti pitää olettaa, että salasanoja säilytetään selkokielisinä, vaikka kyseessä olisi miten iso ja luotettavana pidetty firma.


    • Anonyymi

      Kun sellainen ilmoitus tulee vaihda, koska palvelu olettaa että salasanoja on nyysitty!

    • Anonyymi

      Minulla on id salasanassa yli 20 merkkiä. Siinä on isoja, ja pieniä kirjaimia, numeroita ja erikoimerkkejä.
      Mitään sanaa ei ole. Silti se hakkeroidaan viikossa.
      Huomaan sen siitä kun sijaintipalveluun tulee Afrikka vaikka itse istun Espoossa.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Tyttäreni kuoli lihavuusleikkaukseen.

      Miettikää kuiten 2 kertaa, ennenkuin menette lihavuusleikkaukseen.
      Terveys
      184
      2591
    2. Pilasit mun

      Elämän. Sitäkö halusit?
      Ikävä
      120
      1983
    3. Viiimeinen viesti

      Sinulle neiti ristiriita vai mikä nimesi sitten ikinä onkaan. Mulle alkaa riittää tää sekoilu. Oot leikkiny mun tunteill
      Suhteet
      61
      1652
    4. Suomessa on valittava 2 lucia neitoa...

      Maahanmuuttajille oma lucia neito ja Suomalaisille oma SUOMALAINEN Lucia neito....sama juttu on tehtävä miss Suomi kisoi
      Maailman menoa
      179
      1522
    5. Mikä olisi sinun ja kaivattusi

      Tarinan kertovan elokuvan nimi?
      Ikävä
      163
      1440
    6. Analyysiä: Kiuru-keissi oli ja meni - demarit hävisi tässäkin

      Tapauksen tultua julki alkoi demarit ja muu vasemmisto selittään, että tämä oli poliittista väkivaltaa, siis ennen kuin
      Maailman menoa
      182
      1413
    7. Lasse Peltonen on kunnanjohtaja

      18/21 ääntä 1 Stoor ja 2 Vauhkonen
      Sysmä
      52
      1258
    8. Olet tärkeä

      mutta tunnen jotain enemmän ja syvempää. Jos voisinkin kertoa sinulle... Olen lähinnä epätoivoinen ja surullinen.
      Ikävä
      75
      1221
    9. Syntymäpäivä

      Milloin on kaipaamasi henkilön syntymäpäivä!? Hänellä miehellä on tammikuussa.
      Ikävä
      59
      1198
    10. Onko kaivattusi täysin vietävissä ja

      vedätettävissä?
      Ikävä
      119
      1101
    Aihe