Moi! Luo tili ja ota osaa iloiseen keskusteluun. 🙂

Tietoturva

Pannu aina kuumana ja pöydissä tilaa. Keskustelua kamppailulajien ulkopuolelta huumoria unohtamatta. :)

Valvoja: Valvoja

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 356
Liittynyt: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Parisuhde
Sivulajit: Potkunyrkkeily, Karate
Takalajit: KU
Tykännyt: 0
Tykätty: 0

Tietoturva

#46

Viesti jsv »

Tuo XKCD:n sarjakuva alkaa olla tietysti jo hieman vanhentunut sen suhteen, että nykyään noita salasanoja saa murrettua tehokkailla grafiikkakorteilla paljon nopeammin, kuin mitä vielä vähän aikaa sitten.

Mutta itse noudatan salasanoissa seuraavia periaatteita.

1. Kaikki palvelut käyttää eri salasanoja, ja näitä hallitaan salasanamanagerin avulla. Palveluiden Forget password -sähköpostit menee Gmailiin, jossa on kaksivaiheinen autentikointi päällä (tämä salasana on vain minun päässäni). Eri salasanat siksi, että jos yksi palvelu vuotaa salasanoja, minun ei tarvitse kymmeniin paikkoihin vaihtaa salasanaa.

2. Salasanamanagerissa on yksi master-salasana, joka on pituudeltaan ~20 merkkiä, ja vain minun päässäni. Tällä saa sitten kaikki palvelukohtaiset salasanat esille. Ja tämäkin on kaksivaiheisen autentikoinnin takana.

3. Salasanamanageri luo nuo salasanat tarvittaessa, jolloin itse ei tarvitse keksiä mitään. Jos pituus on tarpeeksi pitkä, niin ei tarvitse änkeä niitä vaikeasti kirjoitettavia erikoismerkkejä edes mukaan, paitsi jos palvelu välttämättä vaatii. Käytännössä turvallinen minimi taitaa olla kymmenen merkin tienoilla nykyään, mutta mielellään 12-15 merkkiä niin voi nukkua turvallisemmin.

4. Työsalasanoja en laita pilveen, paitsi jotain low-priority juttuja. Tosin näitä ei ole montaa, ja voisi olla viisaampaa nämäkin sinne laittaa.

Vainoharhaisuuden mukaan voi valita sopivan salasanamanagerin, itse käytän Lastpassia. Se integroituu kivasti selaimiin ja mobiiliin, niin ei tarvitse palvelukohtaisia salasanoja kirjoitella juuri ikinä, korkeintaan copypasteilla. Vastapainona salasanat on pilvessä salattuina, mutta joku foliohattuihminen näkee tässä tietysti ongelmia. Mutta tässä on kyseessä kompromissi käytettävyyden ja tietoturvan välillä. HC-ratkaisu on pitää nuo salasanat vain omalla koneella ja backupit jonnekin muualle kuin pilveen.

Noihin kaksivaiheisiin autentikointeihin kannattaa konffata myös ne recovery-jutut valmiiksi. Itse jouduin Amazonin asiakaspalveluun soittelemaan yhden kerran, kun puhelin hajosi ja siinä meni autentikaattorikin samalla (kun en ollut valinnut sms-pohjaista tuotetta :)).
Jussi Vesala

Avatar
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89617
Liittynyt: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 2 kertaa
Tykätty: 2 kertaa
Viesti:

Tietoturva

#47

Viesti Mika »

jsv, kiitos tästä. :kiitos:
ไม่เป็นไร
Zen, I haz it.

Potki etuja!

Avatar
AlexMachine
etupotkija
Viestit tässä aiheessa: 1
Viestit: 5614
Liittynyt: Elokuu 2006
Paikkakunta: Vaasa
Etulaji: Nyrkkeily
Sivulajit: Sra, IDPA
Takalajit: Mil Fight, Pekiti Tirsia, Escrima
Tykännyt: 0
Tykätty: 0

Tietoturva

#48

Viesti AlexMachine »

Itse käytän salasanana "incorrect", eli kun unohtaa salasanan niin softa muistuttaa... your password is incorrect ;)

No oikeasti en käytä password manageria tms mutta ehkä pitäisi. Alkaa olla sen verran monta muistettavana.

Jaan itse käytettävät salasanat kolmeen eri luokkaan.
1. Low priority, Erilaiset nettipalstat ym joissa tietomurron haitta on aika minimaalinen.
Näissä käytän 3-4 erilaista salasanaa jotka ovat noin 10-12 merkkiä pitkiä ja sisältävät kirjaimia ja numeroita ja ovat ns selkokielisiä.

2. Ja 3. Luokka sitten ovat ne palvelut joissa oikeita henkilötietoja, luottokortin numeroa ym ja työsoftat.
Osassa käytössä kaksivaiheinen kirjautuminen ja näiden salasanat sisältävät erikoismerkkejä, numeroita ja ovat pitkiä.
T@@lt@ostAnk1rjAn1 voisi olla esim Amazon.com salasanani (juuei ole mutta 2. Tason joissa haitta ei ole liian suuri saatan käyttää tuon tyyppisiä muistisääntöjä numeroilla ja erikoismerkeillä korvattua suomea)
People are what they do, not what they say, not what they think, not what they pretend to be.

Avatar
luupää
päähänpotkija
Viestit tässä aiheessa: 1
Viestit: 6356
Liittynyt: Marraskuu 2006
Tykännyt: 0
Tykätty: 0

Tietoturva

#49

Viesti luupää »

Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä. Tämä on sikäli teoreettinen uhka että hyvin hyvin harva ansaitsee henkilönä tai työn kautta moista huomiota. Samaan kategoriaan menee myös omat ja läheisten nimet, merkkipäivät, osoitteet ja niiden yhdistelmät jne.

Mutta vainoharhaisuus on kiva harrastus...varsinkin jos sitä voi sparrata korvienvälistä löytyvän rottamoodin kanssa.

:smt003

Edit: Itsellä on sen verran hyvä muisti etten tarvitse manageria vaikka kaikki salasanat ovat enemmän tai vähemmän abstrakteja, en käytä samaa missään ja vaihdan niitä aika ajoin. Tarvi edes muistisääntöjä mutta joskus saatan hupsuilla omaksi iloksi käyttämällä marginaalisen äidinkieleni läntisen murteen slangia ja kirjoitan sen vieraalla kielellä.

Käytännössä lopputuote on jo täyttä siansaksaa.

Muuten aikalailla samoilla linjoilla jsv: ja alexmasinan kanssa...

Avatar
Totte
etupotkija
Viestit tässä aiheessa: 1
Viestit: 4384
Liittynyt: Toukokuu 2008
Paikkakunta: Helsinki
Tykännyt: 0
Tykätty: 0

Tietoturva

#50

Viesti Totte »

luupää kirjoitti:Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä.
Toisaalta, jos noita sanoja edes hiukan muuntelee käyttämällä isoje kirjaimia, sitä sun mainitsemaa slangia ja vaihtaa jonkun tietyn kirjaimen numeroksi, niin ei mene enää tavallisella sanakirjahyökkäyksellä. Noita muunnelmia muistaa jos ne tekee aina saman kaavan mukaan, esim. sanan toinen kirjain aina isolla ja lauseen vika vokaali vaihdetaan aina numeroksi tai erikoismerkiksi. Se, että itse tekee sen aina saman kaavan mukaan ei tee siitä helpommin arvattavan, kunhan se kaava on tarpeeksi randomi alunperinkin.
"Jos minulla olisi kaikki valta, etenisin tältä pohjalta, mutta harmi kyllä, minulla ei ole lainkaan valtaa."
- Osmo Soininvaara

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 356
Liittynyt: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Parisuhde
Sivulajit: Potkunyrkkeily, Karate
Takalajit: KU
Tykännyt: 0
Tykätty: 0

Tietoturva

#51

Viesti jsv »

Onhan noiden salasanojen luominen ja hallinnointi päänsisäisillä kaavoilla ihan mahdollista, kunhan muistaa vaan tuon totuuden pituudesta. Hyväkin kaava muuttuu helposti murrettavaksi, jos lopputuote ei ole tarpeeksi pitkä.

Oman pääni täyttää muut äänet, joten salasanat saa tietokone luoda...
Jussi Vesala

Avatar
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 104
Liittynyt: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 0
Tykätty: 0

Tietoturva

#52

Viesti Uchujin »

Salasanojen säilytykseen paras ilmainen vaihtoehto on selkeästi https://keepassxc.org/. Salatun tietokannan voi synkata usean koneen kesken vaikka Dropboxin tai Google Driven kautta. Joten lämpimät suositukset tälle.

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 356
Liittynyt: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Parisuhde
Sivulajit: Potkunyrkkeily, Karate
Takalajit: KU
Tykännyt: 0
Tykätty: 0

Tietoturva

#53

Viesti jsv »

Joo, tuo on hyvä vaihtoehto. Tietoturvamielessä tuossa on enemmän vapausasteita siinä mielessä, että tietokannan paikan voi itse päättää. Jos pelkää Dropboxia, Googlea ja/tai NSA:ta, niin tuon tietokannan voi laittaa muistitikulle. Mutta sitten tietysti muistitikkua ei kannata hävittää, tai ainakin siitä kannattaa ottaa useampi kopio. Jotka ovat sitten epäsynkassa :). Plussaa myös siitä, että lähdekoodi on avointa.

Itse otin Lastpassin sen takia, että joku muu pitää tuosta salasanatietokannasta huolta. Oletettavasti marginaalisesti turvattomampi, mutta helpompi. Jos Lastpass ei itse tuhoa bugisella softalla tuota tietokantaa.... Pitäisikin oikeastaan ottaa backupit noista salasanoista vaikka paperiteknologialle....
Jussi Vesala

Avatar
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 104
Liittynyt: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 0
Tykätty: 0

Tietoturva

#54

Viesti Uchujin »

LastPassilla on ollut aika usein ongelmia selainlaajennuksen kanssa, joten sen kanssa voi harjoittaa pientä varovaisuutta :)

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 356
Liittynyt: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Parisuhde
Sivulajit: Potkunyrkkeily, Karate
Takalajit: KU
Tykännyt: 0
Tykätty: 0

Tietoturva

#55

Viesti jsv »

Joo, tietoinen riski helppokäyttöisyyden takia :D. Ja osittain siksi, ei työsalasanoja tuonne, tai GMailin mastersalasanaa.
Jussi Vesala

Avatar
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 104
Liittynyt: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 0
Tykätty: 0

Tietoturva

#56

Viesti Uchujin »

jsv kirjoitti:Joo, tietoinen riski helppokäyttöisyyden takia :D. Ja osittain siksi, ei työsalasanoja tuonne, tai GMailin mastersalasanaa.
Juuri näin :) Suosittelen henkilökohtaisempaan tarkoitukseen seuraavaa: https://protonmail.com/

Avatar
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89617
Liittynyt: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 2 kertaa
Tykätty: 2 kertaa
Viesti:

Tietoturva

#57

Viesti Mika »

Eilen kuului aikamoinen uutinen Intelin prosessoreiden tietoturvasta, ja pian uutinen tarkentui koskemaan kutakuinkin kaikkia vuoden 1995 jälkeen julkaistuja prosessoreita. Se koskee lähes jokaista tätä lukevaa.

Huge Flaws Affect Nearly Every Modern Device; Patch Could Hit CPU Performance
ไม่เป็นไร
Zen, I haz it.

Potki etuja!

Avatar
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89617
Liittynyt: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 2 kertaa
Tykätty: 2 kertaa
Viesti:

Tietoturva

#58

Viesti Mika »

jsv löysi tätä koskevan Twitter-viestin:



Yhdessä toisessa Twitter-viestissä neuvotaan, miten Spectreltä voi yrittää suojautua:

ไม่เป็นไร
Zen, I haz it.

Potki etuja!

Vastaa Viestiin

Paikallaolijat

Käyttäjiä lukemassa tätä aluetta: Ei potkulaisia ja 2 kurkkijaa