@nova18 Vastaan tänne, ettei mene varsinainen ketju offtopiciksi.
Käyttäjähän on lähes aina minkä tahansa ihmisen luoman “systeemin” heikoin lenkki. Turvavyö ei auta kolarissa, jos se on auki tai ajetaan roimaa ylinopeutta. Sama logiikka pätee tietoturvaan. On totta, että yksilöllä on näissä paljon vastuuta, mutta tuo ei ole mielestäni liikaa vaadittu, etenkään kun nykyään ilmaiset salasanamanagerit hoitavat salasanojen luonnin, säilytyksen ja täyttämisen käyttäjänsä puolesta. Digi- ja tietoturvataidot ovat verrattavissa mielestäni 2000-luvulla uima- ja lukutaitoon. Jos ei viitsi opetella uimaan, ansaitsee hukkua. Fiksu ottaa veneeseen uimataidon lisäksi mukaan apuvälineitä eli pelastusliivit.
Tässä minun puolustukseni salasanoille. Mihin tahansa käyttämääni palveluun kirjautuminen käy automaattisesti ja alle sekunnissa. Mobiilivarmennus taas vaatii minulta 10 merkin syöttämistä, klikkiä, 4-8 numeroista koodia puhelimeen ja taas uutta klikkiä. Älykäs 2FA olisi kuitenkin oiva kompromissi. Se vaatii varmistuksen, kun joltain uudelta laitteelta yritetään kirjautua palveluun. Niin kauan, kuin samaa laitetta käytetään, se ei käyttäjäänsä häiritse.
Yksittäisen käyttäjän huonot valinnat eivät onneksi vaikuta “systeemin” turvallisuuteen, vaan vain hänen omaan tietoturvaansa. Esimerkiksi kerrostalossa asukkaan hukkaamat avaimet altistavat myös julkiset tilat varkauksille. Henkilö, joka antaa nettipankkitietonsa rikollisille, altistaa vain itsensä.
Ensimmäinen vastakysymyksesi oli hyvä, mutta korjaan hieman sinua ensin: Salasanalla kirjautuminen ei ole loppujen lopuksi kovinkaan yksinkertainen tapahtuma.
- Salasanat tallennetaan nykyään hyvien tapojen mukaan hashattyinä, eli se ajetaan matemaattisen algoritmin läpi, joka tuottaa satunnaiselta näyttävän merkkijonon. Näiden hienous on siinä, ettei merkkijonosta voi päätellä mitään alkuperäisestä salasanasta.
- Esim MD5 algoritmi tuottaa:
salasana = e7e941b1f09f266540c6780db51d5f58
Salasana = 6c73d4cef222487c4ef80f3148c672f1
Pienen kirjaimen muuttaminen isoksi muutti koko rimpsun.
- Kun kirjaudut palveluun ja syötät salasanakenttään “salasana” ohjelma hashaa sen ja vertaa tulosta tietokannassa olevaan merkkijonoon. Mikäli ne täsmäävät, sinut ohjataan palveluun.
-
Tietokoneiden laskentatehon kasvaessa ollaan kehitetty menetelmiä, joilla voidaan parantaa menetelmän turvallisuutta entisestään (mainitsemani salt & pepper)
-
Menetelmän hienous on siinä, että salasana pitää arvata täysin oikein, jotta se murtuisi. Sitä ei voi mitenkään päätellä. Nopein keino on verrata hashia aiemmin murrettujen salasanojen hasheihin. Siksi ei siis suositella käyttämään samoja salasanoja, sillä jo murrettuja testataan usein ensimmäiseksi. Tätä voidaan vielä tehostaa erilaisilla ja mutkikkaillakin säännöillä. Hyödynnetään ihmisten laiskuutta ja kokeillaan esimerkkiä “salasana” helpoilla muunnoksilla “salasana1”, “Salasana” ja “Salasana1”
-
Pitkät ja uniikit salasanat (jotka selviävät ylläolevasta metodista) taas pitää murtaa viimeiseksi brute force -tekniikalla eli kokeilemalla. Käytännössä ohjelma lähtee liikkeelle alusta ja kokeilee kaikki mahdolliset löytääkseen. Numeroesimerkki: ensin 0000, sitten 0001, 0002 jne aina 9999 asti. Tähän perustuu myös aiempi esimerkkini. 16 merkkiä pitkä salasana tulee vasta todella pitkän ajan kuluttua. Itseasiassa pelkistä numeroista koostuva arvattaisiin aikaisintaan 1 000 000 000 000 000 yrityksellä, eli miljoonalla miljardilla yrityksellä. Eli jos tietokone arvaa 30 miljoona kertaa sekunnissa, menisi aikaa jo vuosi. Mielestäni jo tämä tuntuu turvalliselta. 16 merkin sekalainen merkkijono antaa jo 80^16 = 2 814 749 767 106 560 000 000 000 000 000 vaihtoehtoa. Ja tämä sen jälkeen, kun jonkun on ensin täytynyt onnistua varastamaan ko. tiedot.
TLDR: Minä tunnen oloni turvalliseksi
Vastakysymys 2: Ensimmäiseksi kuvittelisin olevan hinta. Jos vahva tunnistus maksaa 5 senttiä kerta, nousevat kulut äkkiä esimerkiksi 100 000 päivittäisellä käyttäjällä. Toinen lienee jo aiemmin mainitsemani käyttökokemus. Kolmanneksi voisin kuvitella, ettei Nordnetista pysty oikein varastamaan mitään. Vastatilit on ilmoitettava etukäteen, ja niiden muutos vaatii 2 vaiheisen tunnistautumisen (puhelin). Toki kiusaa voisi aiheuttaa, mutta nykycrakkerit ovat enemmän ahneita, kuin pahantahtoisia. Nordean nettipankista voisi tyhjentää tilit ja nostaa lainat päälle, mutta Nordnetissa vain muuttaa salkun käteiseksi.
Yritän vielä selventää sinulle tuota Vastaamon keissiä:
- Käyttäjätiedot ilmeisesti varastettiin palvelimelta, joka (tai jonka tietokanta) oli suojattu oletustunnuksin. Tämä on vähän vastaava tilanne kuin, jos tiedot olisivat toimiston lukitussa pöytälaatikossa, mutta avaimet roikkuvat paikallaan.
Pankkien paperiset tunnuslukulaput olivat muuten metodina aivan yhtä luotettavia, kuin nykyiset sovellukset. Ihmiset vain aiheuttivat itse riskejä ottamalla niistä kopioita ja valokuvia ja hukkaamalla niitä. Sen takia kirjautuessa sovellus kysyy vahvistusta, jotta ihmisillä on vain yksi “luku” kerrallaan käytössä.