Huomasin, että Waltin salasana on rajoitettu 6–12 merkkiin, https://nettilataukset.waltti.fi/ ja käyttäjän ohje. Kuinka turvallista on käyttää tätä sivua kortin lataamiseen? Information securityn mukaan tuo on tietoturvaongelma.
Kannattaa lukea tuo linkkaamasi sivu. Siellä oli muitakin vastauksia kuin että 6-12 merkkiin rajattu salasana olisi suoraan merkittävä tietoturvaongelma. Riippuu järjestelmän toteutuksesta kuinka vakavaa se on.
Typeräähän salasanan pituusrajoitus on. Mielestäni tuollainen rajoitus asettaa yleisestikin kyseenalaiseksi ko. järjestelmän kehittäjien ymmärryksen tietoturvasta ja näin välillisesti voi tarkoittaa sitä että järjestelmän käyttäminen (mihinkään) ei ole turvallista. Jos pituusrajoitus johtuu salasana tallentamisesta tietokantaan selväkielisenä, niin sitten tietenkin on varmaa että järjestelmän on tehneet täydet amatöörit ja tunarit ja siitä kannattaa pysyä mahdollisimman kaukana.
Sinänsä jos järjestelmä on muilta osin järkeävsti tehty niin 12 merkkiä pitkä salasana on aivan riittävän turvallinen. Järkevästi tehty järjestelmä rajoittaa yrikset esim. 5 kertaan vuorokaudessa ja käyttämällä esim. 100 merkin merkistöä, vaatisi sisäänpääsy arvaamalla keskimäärin 500 000 000 000 000 000 000 000 yritystä, eli 5 vuorokaudessa tahdilla 274 tsiljoonaa vuotta. Ja järkevä käyttäjä ei käytä samaa salasanaa monessa järjestelmässä, joten järjestelmän tietokannan paljastuminen mahdollistaisi vain ko. järjestelmän salasanan bruteforcettamisen. Tästä olisi aika marginaalinen lisähaitta kun tietokannan paljastuessa kaikki järjestelmän tiedot olisi joka tapauksessa päässeet karkuun.
Rajoittaminen 12 merkkiin on hypoteettisesta turvallisuudesta huolimatta äärimmäisen vaarallista, koska se rajoittaa liikaa ihmisten valinnanvaraa. Jokaisella on omat muistisääntönsä ja niiden soveltaminen voi olla vaikeaa, jos salasana pitää rajoittaa aivan turvallisuuden alarajalle. On täysin hullu olettama, että kaikki käyttäjät ottaisivat 12-merkkisen salasanan; monet tulevat valitsemaan lyhyemmän.
Ja kun parin vuoden päästä se 8- tai 10- tai 12-merkkinen salasana voidaan murtaa vaikka yo-kirjoituksiin kelpaavalla taskulaskimella, niin on aivan yhtä hullua odottaa, että käyttäjät saataisiin jotenkin vaihtamaan salasanansa pidempään... Mikäli järjestelmää on tuossa vaiheessa edes mahdollista muuttaa tukemaan pidempiä salasanoja ilman miljoonaluokan laskua. (En yllättyisi, jos tällaisten salasanavaatimusten takana olisi jokin dos-aikainen alijärjestelmä.)
Salasanan vähimmäispituuden asettaminen kuuteen merkkiin kielii vieläkin vahvemmin siitä, etteivät tekijät ymmärrä mistään mitään.
MTV uudisti Katsomon vaatimaan kirjautumista, ja salasanassa saa olla vain Ascii-merkkejä a–z ja 0–9. Huoh!
HTML5 kirjoitti:
MTV uudisti Katsomon vaatimaan kirjautumista, ja salasanassa saa olla vain Ascii-merkkejä a–z ja 0–9. Huoh!
Webipalvelu sanoo "Vain merkit A-z ja 0-9". On tuolla siis myös isotkin kirjaimet mukana.
Enemmän huolestuisin siitä, miten verkkopankeissa salasanaksi vaaditaan usein 4–8 numeroa. Neljää numeroa heikompia salasanoja ovat lähinnä kolme numeroa tai oma nimi.
Voin käsittää, että jossain palvelussa haluttaisiin rajoittaa merkistö ASCII-merkkeihin 0x20–0x7e esimerkiksi siksi, että ne on melko helppo tuottaa kaikilla näppäimistöillä eli ei tule tukipyyntöjä ääkkösistä ulkomailla matkatessa. Jos tällaista perustelua ei ole, olisi syytä sallia kaikki merkit.
Pituusrajoitus on myös äärimmäisen tyhmä rajoitus.
12 merkkiin ei mahdu kovin monimutkaista salasanaa. Tyypillinen 12-merkkinen salasana on tasoa "kissa2poni3!" eli varsin naiivi tuottaa sanalistan perusteella ohjelmallisesti. Tietenkin täysin satunnaisia salasanoja on monia, mutta ne pitää tallentaa johonkin, koska ei niitä varmasti opi ulkoa. Jos valitaan täysin satunnaisesti 12-merkkinen salasana ASCII-merkeistä 0x20–0x7e, vaihtoehtoja on noin 10^23 ja tulos on esimerkiksi tällainen: "#OV(~ky{P6&*".
Suomen kielen 6–10-merkkisiä sanoja on noin 40000, joten vastaava 10^23 erilaista vaihtoehtoa saadaan valitsemalla viisi satunnaista sanaa. Esimerkiksi "henkikulta toiletti hippodromi koksautua sähköjohde". Fraasiin voi huoletta lisätä taivutusmuotoja ja apusanoja, kunhan arvotut sanat säilyvät. (Järjestyksen muuttaminen vähentää satunnaisuutta hieman. Sanojen vaihtaminen omiin vähentää satunnaisuutta paljon.)
Kumpi on helpompi muistaa: "#OV(~ky{P6&*" vai "henkikulta toiletissa hippodromilla koksautuu kuin sähköjohde"?
Usein tällaisen vahvan mutta helposti muistettavan salasanan käyttö jää haaveeksi: (1) salasana on liian pitkä, (2) puuttuu iso kirjain, (3) puuttuu numero, (4) puuttuu erikoismerkki, (5) välilyönti ei ehkä ole sallittu?!
Juuri näiden rajoitusten takia salasanani siellä, missä sen laatua yritetään valvoa – esimerkiksi työpaikkojen järjestelmissä – on itse asiassa huonompi kuin juuri missään käyttämässäni nettipalvelussa. Sen sijaan vaikkapa "Qwer1234!" on monen tarkastuksen mielestä aivan erinomainen salasana.
Tällaisia ajatuksia tänään...
Grez kirjoitti:
12 merkkiä – – 100 merkin merkistöä – – keskimäärin 500 000 000 000 yritystä
Tässä lienee jokin ajatusvirhe. 500 000 000 000 yritystä tarkoittaisi vasta kuuden merkin salasanaa (yrityksiä 100^6 / 2).
Pankeista luulisin, että "salasanaksi" halutaan mahdollisimman yksinkertainen tunniste, jotta käyttäjä aina muistaa sen, ja tämän vuoksi on sitten avainkorttihärdelli, jotta saadaan käyttäjän heikon salasanan tuoma tietoturvattomuus korjattua.
Estetään käyttäjää näin ollen "tietämättään" luomasta turvatonta kirjautumista, kun pankki on määritellyt sen "oikean salasanan" aka tunnuslukukortin.
Nettipankkien salasanoista valittaminen on hieman ignoranttia, sillä pääasiallinen autentikointimenetelmä on kertakäyttöiset avainluvut. Lisäksi käyttäjätunnuksia voi jossain määrin pitää osana salasanaa, sillä ne ovat anonymisoituja. (Siltä osin kuin tunnen eri pankkien järjestelmiä.)
Nordea vaatii avainluvun heti kirjautuessa. Maksujen vahvistamiseen vaaditaan erillinen tunnusluku, joka valitaan satunnaisesti muutaman vakion tunnusluvun joukosta.
Osuuspankilla on erillinen muuttumaton 4-merkkinen salainsana, mutta nettipankista ei pääse käpistelemään mitään henkilökohtaisia tietoja ennen avainluvun syöttämistä. Maksu vahvistetaan uudella tunnusluvulla samalta listalta.
Pankki- ja luottokorttien salasana on 4 merkkiä pitkä ja pelkkiä numeroita. Niillä saa ihan käteistä rahaa salasanaa vastaan, joten niissä luulisi olevan tietoturva todella paljon suuremmalla prioriteetilla kuin esim. Waltissa. Toki niissä turvallisuus perustuu pitkälti fyysiseen korttiin, mutta kyllähän ihmiset niitä hukkaa. Toki pankki- / luottokortilla on vain 3 yritystä arvata se salasana mutta tähän suhteutettuna 12 merkkinenkin salasana on todella hyvä, jos yritysten määrä on rajoitettu.
Tavallisissa www-palveluissa salasana ei suojatakaan webbikäliin kirjautumisen ehkäisemiseksi vaan tietomurtoja ajatellen. Muutenhan passun voisi tallentaa vaikka käsittelemättömänä tietokantaan sen sijaan että kehiteltäisiin toinen toistaan monimutkaisempia tiivistealgoritmeja.
Koska samaa salasanaa ei ole järkevää käyttää useassa palvelussa, en näe tuosta salasanan selvittämisestä murtautumisen yhteydessä muuta hyöytä, kuin webbikäliin kirjautuminen.
Toki ymmärrän että niitä suojataan sen takia, että ihmiset todellisuudessa käyttää samaa salasanaa eri palveluissa. Mutta jos on huolissaan palvelun salasanan rajoittuneisuudesta, niin ehkä ainakin siihen palveluun kannattaisi laittaa salasana mitä ei käytä muualla.
Aihe on jo aika vanha, joten et voi enää vastata siihen.