Mihin piilottaa salasana?

Ylläolevan viestin kirjoittaja on ymmärtänyt asian hieman väärin. batman123 löytyy sekunnin murto-osassa sanakirjan ollessa levyllä, jos sanakirja mahtuu muistiin, alle mikrosekunnissa! Kirjoitin oikeaoppisen tavan alemmaksi. Niin, ja message digest on sama kuin "yksisuuntainen tiiviste" tai "one-way hash".

Piilotetuista merkkijonoista ei ole paljoakaan hyötyä, ja ei ollenkaan suolaa käytettäessä. Hyökkääjän on nimittäin helppoa laskea sanakirjan tiivisteet uusiksi piilotettuun merkkijonoon yhdistettynä...

MD5 ei ole välttämättä riittävä, koska on mahdollista tuottaa törmäyksiä, eli löytää kaksi eri merkkijonoa joista tulee sama MD5. Tätä on jo käytetty hyökkäyksissä hyväksi http://www.schneier.com/crypto-gram-0901.html#3 .

Tästä syystä yksisuuntaisissa tiivisteissä ollaan siirrytty lähinnä SHA1:teen ja SHA256:teen. Lähitulevaisuudessa on tosin tulossa uusi standardi, SHA3, jonka tarkoituksena on korjata mahdolliset SHA1:ssä olevat puutteet.

...Google. Myös salasana "batman123" olisi löytynyt heti MD5:n perusteella. Jokainen voi kokeilla itse:

$ echo -n batman123 | md5sum
b51a4ad33cbd2c22f8196ae4857337b2 -

$ lynx -dump http://www.google.com/search?q=b51a4ad33cbd2c22f8196ae4857337b2 | grep b51a4 | grep -v http
Results 1 - 3 of 3 for b51a4ad33cbd2c22f8196ae4857337b2. (0.06
b51a4ad33cbd2c22f8196ae4857337b2. notfound. 2007-01-17 23:05:39.
b51a4ad33cbd2c22f8196ae4857337b2, batman123, HexWork.

Itse käytin aikoinaan laskentaan palvelimelle tallenenttua satunnaista stringiä (sama kaikille) käyttäjätunnusta salasanaa. Nähdäkseni tuo ei eroa merkittävästi esittämästäsi mallista, jossa käytetään satunnaislukua - satunnaisluku siis korvataan käyttäjätunnuksella. Palvelimelta tuleva suola on mukana vain, jotta sekin pitäisi ensin selvittää - joko murtautumalla palvelimelle tai brutettamalla muutama salasana.

Mikään ratkaisu ei ole 100% turvallinen, mutta hyvin lähelle päästään yhdistelemällä tekniikoita sopivasti. Oma suosikkini on yhdistää k-tunnus, salasana ja biometrinen tunnistus ja tarkkailla sen jälkeen käyttäjän usage-patterneja. En vain ole tähän missään törmännyt... :)

The Rat kirjoitti:

Itse käytin aikoinaan laskentaan palvelimelle tallenenttua satunnaista stringiä (sama kaikille) käyttäjätunnusta salasanaa. Nähdäkseni tuo ei eroa merkittävästi esittämästäsi mallista, jossa käytetään satunnaislukua - satunnaisluku siis korvataan käyttäjätunnuksella. Palvelimelta tuleva suola on mukana vain, jotta sekin pitäisi ensin selvittää - joko murtautumalla palvelimelle tai brutettamalla muutama salasana.

Mikään ratkaisu ei ole 100% turvallinen, mutta hyvin lähelle päästään yhdistelemällä tekniikoita sopivasti. Oma suosikkini on yhdistää k-tunnus, salasana ja biometrinen tunnistus ja tarkkailla sen jälkeen käyttäjän usage-patterneja. En vain ole tähän missään törmännyt... :)

Lue lisää

"...ja tarkkailla sen jälkeen käyttäjän usage-patterneja."

Käyttäjistä voidaan tosiaan luoda tällaisia malleja ja vertailla käyttäjän toimintaa mallia vasten. Kyseessä on kuitenkin toissijainen tunnistaminen, eli varsinaiseen tunnistautumiseen sitä ei tietysti voi käyttää.

Metodia voidaan käyttää myös murtautumisyritysten metsästämiseen. Prosessin normaalista käytöksestä luodaan malli ja prosessia vertaillaan tähän jatkuvasti. Murtoyrityksessä syntyy yleensä poikkeavaa toimintaa, joka voidaan näin huomata.

Kovin yleistä tai hyvin toimivaa tuo ei vielä tänä päivänä ole, mutta keinot kehittyvät koko ajan.

The Rat kirjoitti:

Itse käytin aikoinaan laskentaan palvelimelle tallenenttua satunnaista stringiä (sama kaikille) käyttäjätunnusta salasanaa. Nähdäkseni tuo ei eroa merkittävästi esittämästäsi mallista, jossa käytetään satunnaislukua - satunnaisluku siis korvataan käyttäjätunnuksella. Palvelimelta tuleva suola on mukana vain, jotta sekin pitäisi ensin selvittää - joko murtautumalla palvelimelle tai brutettamalla muutama salasana.

Mikään ratkaisu ei ole 100% turvallinen, mutta hyvin lähelle päästään yhdistelemällä tekniikoita sopivasti. Oma suosikkini on yhdistää k-tunnus, salasana ja biometrinen tunnistus ja tarkkailla sen jälkeen käyttäjän usage-patterneja. En vain ole tähän missään törmännyt... :)

Lue lisää

Kun suola on vakiosalaisuus, ja tietokannassa on miljoona käyttäjää, teit juuri hyökkääjän työn miljoona kertaa helpommaksi... Vakiosuolalla sanakirjan tiivisteet kun tarvitsee laskea vain kerran kaikkia käyttäjiä kohti, eikä kuten arvotulla suolalla kerran per käyttäjä.

a.. kirjoitti:

"...ja tarkkailla sen jälkeen käyttäjän usage-patterneja."

Käyttäjistä voidaan tosiaan luoda tällaisia malleja ja vertailla käyttäjän toimintaa mallia vasten. Kyseessä on kuitenkin toissijainen tunnistaminen, eli varsinaiseen tunnistautumiseen sitä ei tietysti voi käyttää.

Metodia voidaan käyttää myös murtautumisyritysten metsästämiseen. Prosessin normaalista käytöksestä luodaan malli ja prosessia vertaillaan tähän jatkuvasti. Murtoyrityksessä syntyy yleensä poikkeavaa toimintaa, joka voidaan näin huomata.

Kovin yleistä tai hyvin toimivaa tuo ei vielä tänä päivänä ole, mutta keinot kehittyvät koko ajan.

Lue lisää

Hauskin sovellus tuosta (joskin itse asiassa biometrinen tunnistaminen tarkkaan ottaen), josta olen kuullut, oli ehdottomasti näppäimistön käytön kellottaminen, eli kirjaisinten näpyttelytiheyttä ja näppäinten painallusten kestoja, yms. vertaillen päästiin jo 90-luvun loppupuolella 60% _tunnistettavuuteen_ - tosi näppärää.

Yleistähän se ei edelleenkään ole, mutta kannattaa muistaa sitten, jos jossain joskus tarvitsee (toteuttaminen voi olla hankalaa, mutta idea on silti loistava).

per salasana kirjoitti:

Kun suola on vakiosalaisuus, ja tietokannassa on miljoona käyttäjää, teit juuri hyökkääjän työn miljoona kertaa helpommaksi... Vakiosuolalla sanakirjan tiivisteet kun tarvitsee laskea vain kerran kaikkia käyttäjiä kohti, eikä kuten arvotulla suolalla kerran per käyttäjä.

Lue lisää

Jokaisella käyttäjällä on edelleen oma suolansa. Se vakio jota käytetään kaikille käyttäjätunnus. Hyökkääjän pitäisi tuntea molemmat, jotta voisi laskea sanakirjan tiivisteet - ja silloinkin saisi vain yhdelle käyttäjälle.

Toisaalta, jos hän pystyy nappaamaan tuon vakiostringin, pystyisi hän todennäköisesti hakemaan myös käyttäjäkohtaisen arvotun suolan.

Ainut heikkous nähdäkseni on, että tuo vakiostringi voidaan päätellä brute force metodilla, jonka jälkeen yksittäisten käyttäjien salasanat on helpompi murtaa...

The Rat kirjoitti:

Hauskin sovellus tuosta (joskin itse asiassa biometrinen tunnistaminen tarkkaan ottaen), josta olen kuullut, oli ehdottomasti näppäimistön käytön kellottaminen, eli kirjaisinten näpyttelytiheyttä ja näppäinten painallusten kestoja, yms. vertaillen päästiin jo 90-luvun loppupuolella 60% _tunnistettavuuteen_ - tosi näppärää.

Yleistähän se ei edelleenkään ole, mutta kannattaa muistaa sitten, jos jossain joskus tarvitsee (toteuttaminen voi olla hankalaa, mutta idea on silti loistava).

Lue lisää

"..näppäimistön käytön kellottaminen, eli kirjaisinten näpyttelytiheyttä ja näppäinten painallusten kestoja.."

Onko sinulla viitettä tuohon? Aiemmin olen törmännyt shell:ssä komentojen syöttötiheyden, logiikan yms. tutkimiseen sekä hiiren liikkeiden ja nappien jäljittämiseen. En muista tunnistettavuusprosenttia, mutta kai se jotain 60-70% välillä on.

Huono prosentti selittyy pitkälti vielä kehittymättömillä algoritmeilla. Nykyisillä menetelmillä päästään jo aika varmasti päälle 90-95% tunnistettavuuteen sikäli kun asetetaan jotain suht luontevia oletuksia syötteelle. (itse asiassa minun oli tarkoitus tutkia tuota erään toisen tutkimuksen ohessa, mutta osoittautui ettei käytetyillä työasemilla voitu jäljittää hiiren liikkeitä ja aikataulu ei riittänyt omiin virityksiin)

Tuota samaa ideaa käytetään nykyään myös IDS-järjestelmissä, eli 'intrusion detection system'-mokkuloissa, jotka haistelevat verkkoliikennettä ja poimivat sieltä epäilyttäviä yhteyksiä. Samoin mm. luottokorttipetoksia kaivetaan hieman vastaavasti ja mm. joidenkin kauppapaikkojen käyttäjän profiilin laadinnassa (luotettavai/ei luotettava) on hieman vastaavia metodeja.

Itse asiassa alalla on saatu juuri äskettäin hyvin lupaavia tuloksia eräällä (yhdistelmä)algoritmilla. Tuloksia ei ole vielä julkistettu kuin kyseisen yliopiston omassa julkaisusarjassa, mutta jos näkemäni tiedot pitävät paikkansa on mallinnuksessa saavutettu hyvin mielenkiintoinen taso.

a.. kirjoitti:

"..näppäimistön käytön kellottaminen, eli kirjaisinten näpyttelytiheyttä ja näppäinten painallusten kestoja.."

Onko sinulla viitettä tuohon? Aiemmin olen törmännyt shell:ssä komentojen syöttötiheyden, logiikan yms. tutkimiseen sekä hiiren liikkeiden ja nappien jäljittämiseen. En muista tunnistettavuusprosenttia, mutta kai se jotain 60-70% välillä on.

Huono prosentti selittyy pitkälti vielä kehittymättömillä algoritmeilla. Nykyisillä menetelmillä päästään jo aika varmasti päälle 90-95% tunnistettavuuteen sikäli kun asetetaan jotain suht luontevia oletuksia syötteelle. (itse asiassa minun oli tarkoitus tutkia tuota erään toisen tutkimuksen ohessa, mutta osoittautui ettei käytetyillä työasemilla voitu jäljittää hiiren liikkeitä ja aikataulu ei riittänyt omiin virityksiin)

Tuota samaa ideaa käytetään nykyään myös IDS-järjestelmissä, eli 'intrusion detection system'-mokkuloissa, jotka haistelevat verkkoliikennettä ja poimivat sieltä epäilyttäviä yhteyksiä. Samoin mm. luottokorttipetoksia kaivetaan hieman vastaavasti ja mm. joidenkin kauppapaikkojen käyttäjän profiilin laadinnassa (luotettavai/ei luotettava) on hieman vastaavia metodeja.

Itse asiassa alalla on saatu juuri äskettäin hyvin lupaavia tuloksia eräällä (yhdistelmä)algoritmilla. Tuloksia ei ole vielä julkistettu kuin kyseisen yliopiston omassa julkaisusarjassa, mutta jos näkemäni tiedot pitävät paikkansa on mallinnuksessa saavutettu hyvin mielenkiintoinen taso.

Lue lisää

Joo. Löytyy Helsingin yliopistolta joku kandinpaperus, tms. joka tuli aiheesta raapustettua... :)
Ei harmaintakaan muistikuvaa. Valitan. Tuokin oli siinä aika sivuosassa, mutta olipahan kuitenkin.

Kuulostaa kivalta. Eiköhän tästä nähdä ihan kaupallisia sovelluksia viiden vuoden sisään. Ovat sitten aika hyviä kandeja isoveljen valvonta-arsenaaliin.

The Rat kirjoitti:

Jokaisella käyttäjällä on edelleen oma suolansa. Se vakio jota käytetään kaikille käyttäjätunnus. Hyökkääjän pitäisi tuntea molemmat, jotta voisi laskea sanakirjan tiivisteet - ja silloinkin saisi vain yhdelle käyttäjälle.

Toisaalta, jos hän pystyy nappaamaan tuon vakiostringin, pystyisi hän todennäköisesti hakemaan myös käyttäjäkohtaisen arvotun suolan.

Ainut heikkous nähdäkseni on, että tuo vakiostringi voidaan päätellä brute force metodilla, jonka jälkeen yksittäisten käyttäjien salasanat on helpompi murtaa...

Lue lisää

olevan kaiken. Miten tallentaa salasanat niin, ettei hyökkääjä voi kuitenkaan saada alkuperäistä selville. Ei ole mitään väliä, jos hän saa suolan, koska se on jokaiselle erilainen. Mutta yhdellä suolalla hän voi laskea uuden sanakirjan, siis tyyppiä sanakirjan sanat "salainen vakiostringi". Se sanakirja toimiikin sitten järjestelmän kaikkia tunnuksia vastaan kerralla! Ei tarvitse murtaa käyttäjiä yksitellen, kun saa samalla kertaa kaiken. Siksi vakiomerkkijono ei auta lähellekään niin paljoa, vaan suola pitää arpoa ja tallentaa kaikkien salasanojen seuraksi. Näin menetellessä, mikään tiiviste -> salasana -sanakirja ei voi toimia kuin yhtä käyttäjää vastaan kerrallaan, tehden hyökkäyksestä toimimattoman.

Siis vielä kerran, hyökkääjällä on sinun koodi 'salaisine merkkijonoineen' ja tietokanta. Jos olet arponut suolan jokaiselle käyttäjälle, hän ei voi murtaa kaikkia heikkoja salasanoja kerralla, vaan hänen täytyy tehdä suuri määrä laskentaa jo yhden käyttäjän salasanan saadakseen. Salasanakohtaisesta suolasta kun ei ole hyökkääjälle oikein mitään iloa.

että oletetaan hyökkääjällä kirjoitti:

olevan kaiken. Miten tallentaa salasanat niin, ettei hyökkääjä voi kuitenkaan saada alkuperäistä selville. Ei ole mitään väliä, jos hän saa suolan, koska se on jokaiselle erilainen. Mutta yhdellä suolalla hän voi laskea uuden sanakirjan, siis tyyppiä sanakirjan sanat "salainen vakiostringi". Se sanakirja toimiikin sitten järjestelmän kaikkia tunnuksia vastaan kerralla! Ei tarvitse murtaa käyttäjiä yksitellen, kun saa samalla kertaa kaiken. Siksi vakiomerkkijono ei auta lähellekään niin paljoa, vaan suola pitää arpoa ja tallentaa kaikkien salasanojen seuraksi. Näin menetellessä, mikään tiiviste -> salasana -sanakirja ei voi toimia kuin yhtä käyttäjää vastaan kerrallaan, tehden hyökkäyksestä toimimattoman.

Siis vielä kerran, hyökkääjällä on sinun koodi 'salaisine merkkijonoineen' ja tietokanta. Jos olet arponut suolan jokaiselle käyttäjälle, hän ei voi murtaa kaikkia heikkoja salasanoja kerralla, vaan hänen täytyy tehdä suuri määrä laskentaa jo yhden käyttäjän salasanan saadakseen. Salasanakohtaisesta suolasta kun ei ole hyökkääjälle oikein mitään iloa.

Lue lisää

Siinäpä se onkin, kun se suola ei ole sama kaikilla.

Laskenta ei ole muotoa: sanakirjan sanat "salainen vakiostringi"
Vaan: sanakirjan sanat "salainen vakiostringi" käyttäjätunnus

Pakko siis edelleen murtaa yksitellen.

Edelleen nähdäkseni ainut heikkous kertomaasi verrattuna, on se, että tuon "salaisen vakiostringin" voi päätellä muutenkin kuin murtautumalla koneelle, jolloin se on heikompi kuin käyttäjäkohtainen.

Mitä hyötyä tästä sitten olisi... Ei mitään. Juu, säästäähän siinä yhden koodirivin ja vähän tilaa tietokannasta. :)

The Rat kirjoitti:

Siinäpä se onkin, kun se suola ei ole sama kaikilla.

Laskenta ei ole muotoa: sanakirjan sanat "salainen vakiostringi"
Vaan: sanakirjan sanat "salainen vakiostringi" käyttäjätunnus

Pakko siis edelleen murtaa yksitellen.

Edelleen nähdäkseni ainut heikkous kertomaasi verrattuna, on se, että tuon "salaisen vakiostringin" voi päätellä muutenkin kuin murtautumalla koneelle, jolloin se on heikompi kuin käyttäjäkohtainen.

Mitä hyötyä tästä sitten olisi... Ei mitään. Juu, säästäähän siinä yhden koodirivin ja vähän tilaa tietokannasta. :)

Lue lisää

Jos kerran joka käyttäjällä o sama salainen vakiostrimgi, niin riittäähän tuossa se että kun
käy läpi eri käyttäjien tietoja, niin löytää yhden yhtenevän stringin, jolloin tuo muuttuu siten että voin yhdellä kertaa saada kenen tahansa saluksen murrettua, jos olen väärässä, mitä varmaan olen niin, voitko selventää kun jäi tuo vaivaamaan, kiitos!

en tiedä oonko oikeessa kirjoitti:

Jos kerran joka käyttäjällä o sama salainen vakiostrimgi, niin riittäähän tuossa se että kun
käy läpi eri käyttäjien tietoja, niin löytää yhden yhtenevän stringin, jolloin tuo muuttuu siten että voin yhdellä kertaa saada kenen tahansa saluksen murrettua, jos olen väärässä, mitä varmaan olen niin, voitko selventää kun jäi tuo vaivaamaan, kiitos!

Lue lisää

Oletetaan, että sanakirjan laskentaan menee aikaa x minuttia. Selvitettyäsi salaisen vakiostringin, voit laskea käyttäjätunnukselle sanakirjan x:ssä minuutissa. Siitä ei kuitenkaan ole hyötyä enää seuraavaa käyttäjää ajatellen, vaan laskenta on suoritettava uudestaan - käyttäjätunnushan on osa suolaa, josta tuo stringi muodostetaan.

Toisin sanoen, yksi sanakirja hash-arvoja ei avaa kuin yhden käyttäjän salasanan (olettaen että se on tarpeeksi heikko). Useamman käyttäjän salasanan murtaminen on siis aikaavievää.

Sanoinkin jo mielestäni jossain, että tavan selkeä heikkous on siinä, että tuo vakiostringi on pääteltävissä. Toisaalta, sen selvittäminen on varsin hankalaa, vaatien käytännössä palvelimelle murtautumisen...

Toisaalta, vaatiihan tuo sanakirjahyökkäys muutenkin sen, että hyökkääjällä on pääsy käyttäjien hash-arvoihin (jotain, mihin verrata sanakirjaa), joten luultavasti hänellä on silloin tuo käyttäjäkohtainen satunnaislukukin tiedossaan, mikä tekee murtamisesta yhtä helppoa kuin kuvaamassanikin ratkaisussa.

Saatan olla väärässä... Mutten usko. :)

The Rat kirjoitti:

Oletetaan, että sanakirjan laskentaan menee aikaa x minuttia. Selvitettyäsi salaisen vakiostringin, voit laskea käyttäjätunnukselle sanakirjan x:ssä minuutissa. Siitä ei kuitenkaan ole hyötyä enää seuraavaa käyttäjää ajatellen, vaan laskenta on suoritettava uudestaan - käyttäjätunnushan on osa suolaa, josta tuo stringi muodostetaan.

Toisin sanoen, yksi sanakirja hash-arvoja ei avaa kuin yhden käyttäjän salasanan (olettaen että se on tarpeeksi heikko). Useamman käyttäjän salasanan murtaminen on siis aikaavievää.

Sanoinkin jo mielestäni jossain, että tavan selkeä heikkous on siinä, että tuo vakiostringi on pääteltävissä. Toisaalta, sen selvittäminen on varsin hankalaa, vaatien käytännössä palvelimelle murtautumisen...

Toisaalta, vaatiihan tuo sanakirjahyökkäys muutenkin sen, että hyökkääjällä on pääsy käyttäjien hash-arvoihin (jotain, mihin verrata sanakirjaa), joten luultavasti hänellä on silloin tuo käyttäjäkohtainen satunnaislukukin tiedossaan, mikä tekee murtamisesta yhtä helppoa kuin kuvaamassanikin ratkaisussa.

Saatan olla väärässä... Mutten usko. :)

Lue lisää

menetelmä toimii, ainoa mikä sitä voi hieman heikentää on, jos sama järjestelmä asennetaan useampaan paikkaan tai sama käyttäjänimi voi olla useamman kerran. Mutta kyllä se hyökkääjän työtä lisää... ja vakiokäyttäjien salasanojen on oltava hyviä (esim. admin, root, yms. pääkäyttäjät).

Itse suosin yhä arvottua suolaa (per salasana digest(suola salasana)), mutta alan myös käyttämään Ratin menetelmää jos teen joskus järjestelmän joka asennetaan vain yhteen paikkaan.

Yksi mikä unohtui mainita on, aina voi esim. ottaa digestin vaikka 1000 kertaa peräkkäin, tyyliin edellinen digest salasana käyttäjä. Toistosta huolimatta kryptograafisen tiivisteen ei pitäisi konvergoitua mihinkään ja murtaja joutuu tekemään saman työn perässä. Tämä hidastaisi helppojen salasanojen läpikäyntiä juuri tuon 1000 kertaa hyökkääjältäkin. Tosin jos loggautumisia on paljon, on loggauspalvelimenkin kuorma suurta.

Kyllä The Ratin kirjoitti:

menetelmä toimii, ainoa mikä sitä voi hieman heikentää on, jos sama järjestelmä asennetaan useampaan paikkaan tai sama käyttäjänimi voi olla useamman kerran. Mutta kyllä se hyökkääjän työtä lisää... ja vakiokäyttäjien salasanojen on oltava hyviä (esim. admin, root, yms. pääkäyttäjät).

Itse suosin yhä arvottua suolaa (per salasana digest(suola salasana)), mutta alan myös käyttämään Ratin menetelmää jos teen joskus järjestelmän joka asennetaan vain yhteen paikkaan.

Yksi mikä unohtui mainita on, aina voi esim. ottaa digestin vaikka 1000 kertaa peräkkäin, tyyliin edellinen digest salasana käyttäjä. Toistosta huolimatta kryptograafisen tiivisteen ei pitäisi konvergoitua mihinkään ja murtaja joutuu tekemään saman työn perässä. Tämä hidastaisi helppojen salasanojen läpikäyntiä juuri tuon 1000 kertaa hyökkääjältäkin. Tosin jos loggautumisia on paljon, on loggauspalvelimenkin kuorma suurta.

Lue lisää

Lähinnä kuriositeetttina tätä systeemiäni selittelin. Harvoin tulee itse toteutettua näitä sisäänkirjautumisia, vaan alustalta nuo palvelut haettua... Mutta hyviä harjoituksia kyllä... :)

Ja jos tuota useampaan järjestelmään soveltaa, niin vaihtaa vain sitä vakiostrigiä.

salasanakirjasta umpimähkään kolmesti perä perään väärin arvottu salasana pistäisi kahvitunnin ajaksi kirjautumisdialogit kiinni, niin hakkeri tuskin tulisi kahvitunnin päätyttyä takaisin varsinkin, jos kolmen kahvituntikokeilun jäljestä se pitäisi ruokatunnin.

niin, että kirjoitti:

salasanakirjasta umpimähkään kolmesti perä perään väärin arvottu salasana pistäisi kahvitunnin ajaksi kirjautumisdialogit kiinni, niin hakkeri tuskin tulisi kahvitunnin päätyttyä takaisin varsinkin, jos kolmen kahvituntikokeilun jäljestä se pitäisi ruokatunnin.

Lue lisää

sisäänkirjautumisnopeuksiin: laitetaan siihen niin, että se tahallaan kuhnii, vaikka salasana olisi oikeinkin ja vasta sitten, kun sissänkirjautuja on todennettu pantaisiin täysi höyry päälle ja kaikki toimii kauhean liukkaasti. Tähän astihan on pnostettu täysin päinvastoin siihen, että sisäänkirjautuminen olisi mahdollisimman nopeaa ja sisäänkirjautumisen jälkeen tietojärjestelmä alkaa jopa tahallaan kuhnimaan.

Anteeksi virheet. Epäilen kuitenkin että siitä saa selvää.