Voit luoda tilin myös sosiaalisen median tunnuksillasi. Klikkaa alta. :)

Kuva

Tietoturva

Pannu aina kuumana ja pöydissä tilaa. Keskustelua kamppailulajien ulkopuolelta.

Valvoja: Valvoja

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 353
Lauteille: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Karate
Sivulajit: Potkunyrkkeily
Takalajit: KU
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#46

Viesti jsv » kesä 29, 2017, 20.04

Tuo XKCD:n sarjakuva alkaa olla tietysti jo hieman vanhentunut sen suhteen, että nykyään noita salasanoja saa murrettua tehokkailla grafiikkakorteilla paljon nopeammin, kuin mitä vielä vähän aikaa sitten.

Mutta itse noudatan salasanoissa seuraavia periaatteita.

1. Kaikki palvelut käyttää eri salasanoja, ja näitä hallitaan salasanamanagerin avulla. Palveluiden Forget password -sähköpostit menee Gmailiin, jossa on kaksivaiheinen autentikointi päällä (tämä salasana on vain minun päässäni). Eri salasanat siksi, että jos yksi palvelu vuotaa salasanoja, minun ei tarvitse kymmeniin paikkoihin vaihtaa salasanaa.

2. Salasanamanagerissa on yksi master-salasana, joka on pituudeltaan ~20 merkkiä, ja vain minun päässäni. Tällä saa sitten kaikki palvelukohtaiset salasanat esille. Ja tämäkin on kaksivaiheisen autentikoinnin takana.

3. Salasanamanageri luo nuo salasanat tarvittaessa, jolloin itse ei tarvitse keksiä mitään. Jos pituus on tarpeeksi pitkä, niin ei tarvitse änkeä niitä vaikeasti kirjoitettavia erikoismerkkejä edes mukaan, paitsi jos palvelu välttämättä vaatii. Käytännössä turvallinen minimi taitaa olla kymmenen merkin tienoilla nykyään, mutta mielellään 12-15 merkkiä niin voi nukkua turvallisemmin.

4. Työsalasanoja en laita pilveen, paitsi jotain low-priority juttuja. Tosin näitä ei ole montaa, ja voisi olla viisaampaa nämäkin sinne laittaa.

Vainoharhaisuuden mukaan voi valita sopivan salasanamanagerin, itse käytän Lastpassia. Se integroituu kivasti selaimiin ja mobiiliin, niin ei tarvitse palvelukohtaisia salasanoja kirjoitella juuri ikinä, korkeintaan copypasteilla. Vastapainona salasanat on pilvessä salattuina, mutta joku foliohattuihminen näkee tässä tietysti ongelmia. Mutta tässä on kyseessä kompromissi käytettävyyden ja tietoturvan välillä. HC-ratkaisu on pitää nuo salasanat vain omalla koneella ja backupit jonnekin muualle kuin pilveen.

Noihin kaksivaiheisiin autentikointeihin kannattaa konffata myös ne recovery-jutut valmiiksi. Itse jouduin Amazonin asiakaspalveluun soittelemaan yhden kerran, kun puhelin hajosi ja siinä meni autentikaattorikin samalla (kun en ollut valinnut sms-pohjaista tuotetta :)).
Jussi Vesala


Kuvake
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89033
Lauteille: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 708 kertaa
Tykätty: 245 kertaa
Viesti:

Tietoturva

#47

Viesti Mika » kesä 29, 2017, 22.05

jsv, kiitos tästä. :kiitos:
ไม่เป็นไร
Zen, I haz it.

Potki etuja!

Kuvake
AlexMachine
etupotkija
Viestit tässä aiheessa: 1
Viestit: 5441
Lauteille: Elokuu 2006
Paikkakunta: Vaasa
Etulaji: Nyrkkeily
Sivulajit: Sra, IDPA
Takalajit: Mil Fight, Pekiti Tirsia, Escrima
Tykännyt: 98 kertaa
Tykätty: 166 kertaa

Tietoturva

#48

Viesti AlexMachine » kesä 30, 2017, 07.26

Itse käytän salasanana "incorrect", eli kun unohtaa salasanan niin softa muistuttaa... your password is incorrect ;)

No oikeasti en käytä password manageria tms mutta ehkä pitäisi. Alkaa olla sen verran monta muistettavana.

Jaan itse käytettävät salasanat kolmeen eri luokkaan.
1. Low priority, Erilaiset nettipalstat ym joissa tietomurron haitta on aika minimaalinen.
Näissä käytän 3-4 erilaista salasanaa jotka ovat noin 10-12 merkkiä pitkiä ja sisältävät kirjaimia ja numeroita ja ovat ns selkokielisiä.

2. Ja 3. Luokka sitten ovat ne palvelut joissa oikeita henkilötietoja, luottokortin numeroa ym ja työsoftat.
Osassa käytössä kaksivaiheinen kirjautuminen ja näiden salasanat sisältävät erikoismerkkejä, numeroita ja ovat pitkiä.
T@@lt@ostAnk1rjAn1 voisi olla esim Amazon.com salasanani (juuei ole mutta 2. Tason joissa haitta ei ole liian suuri saatan käyttää tuon tyyppisiä muistisääntöjä numeroilla ja erikoismerkeillä korvattua suomea)
People are what they do, not what they say, not what they think, not what they pretend to be.

Kuvake
luupää
päähänpotkija
Viestit tässä aiheessa: 1
Viestit: 6134
Lauteille: Marraskuu 2006
Tykännyt: 15 kertaa
Tykätty: 105 kertaa

Tietoturva

#49

Viesti luupää » kesä 30, 2017, 08.53

Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä. Tämä on sikäli teoreettinen uhka että hyvin hyvin harva ansaitsee henkilönä tai työn kautta moista huomiota. Samaan kategoriaan menee myös omat ja läheisten nimet, merkkipäivät, osoitteet ja niiden yhdistelmät jne.

Mutta vainoharhaisuus on kiva harrastus...varsinkin jos sitä voi sparrata korvienvälistä löytyvän rottamoodin kanssa.

:smt003

Edit: Itsellä on sen verran hyvä muisti etten tarvitse manageria vaikka kaikki salasanat ovat enemmän tai vähemmän abstrakteja, en käytä samaa missään ja vaihdan niitä aika ajoin. Tarvi edes muistisääntöjä mutta joskus saatan hupsuilla omaksi iloksi käyttämällä marginaalisen äidinkieleni läntisen murteen slangia ja kirjoitan sen vieraalla kielellä.

Käytännössä lopputuote on jo täyttä siansaksaa.

Muuten aikalailla samoilla linjoilla jsv: ja alexmasinan kanssa...

Kuvake
Totte
etupotkija
Viestit tässä aiheessa: 1
Viestit: 4384
Lauteille: Toukokuu 2008
Paikkakunta: Helsinki
Tykännyt: 14 kertaa
Tykätty: 70 kertaa

Tietoturva

#50

Viesti Totte » kesä 30, 2017, 10.41

luupää kirjoitti:Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä.
Toisaalta, jos noita sanoja edes hiukan muuntelee käyttämällä isoje kirjaimia, sitä sun mainitsemaa slangia ja vaihtaa jonkun tietyn kirjaimen numeroksi, niin ei mene enää tavallisella sanakirjahyökkäyksellä. Noita muunnelmia muistaa jos ne tekee aina saman kaavan mukaan, esim. sanan toinen kirjain aina isolla ja lauseen vika vokaali vaihdetaan aina numeroksi tai erikoismerkiksi. Se, että itse tekee sen aina saman kaavan mukaan ei tee siitä helpommin arvattavan, kunhan se kaava on tarpeeksi randomi alunperinkin.
"Jos minulla olisi kaikki valta, etenisin tältä pohjalta, mutta harmi kyllä, minulla ei ole lainkaan valtaa."
- Osmo Soininvaara

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 353
Lauteille: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Karate
Sivulajit: Potkunyrkkeily
Takalajit: KU
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#51

Viesti jsv » heinä 3, 2017, 19.47

Onhan noiden salasanojen luominen ja hallinnointi päänsisäisillä kaavoilla ihan mahdollista, kunhan muistaa vaan tuon totuuden pituudesta. Hyväkin kaava muuttuu helposti murrettavaksi, jos lopputuote ei ole tarpeeksi pitkä.

Oman pääni täyttää muut äänet, joten salasanat saa tietokone luoda...
Jussi Vesala

Kuvake
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 100
Lauteille: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#52

Viesti Uchujin » heinä 4, 2017, 08.30

Salasanojen säilytykseen paras ilmainen vaihtoehto on selkeästi https://keepassxc.org/. Salatun tietokannan voi synkata usean koneen kesken vaikka Dropboxin tai Google Driven kautta. Joten lämpimät suositukset tälle.

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 353
Lauteille: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Karate
Sivulajit: Potkunyrkkeily
Takalajit: KU
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#53

Viesti jsv » heinä 4, 2017, 21.29

Joo, tuo on hyvä vaihtoehto. Tietoturvamielessä tuossa on enemmän vapausasteita siinä mielessä, että tietokannan paikan voi itse päättää. Jos pelkää Dropboxia, Googlea ja/tai NSA:ta, niin tuon tietokannan voi laittaa muistitikulle. Mutta sitten tietysti muistitikkua ei kannata hävittää, tai ainakin siitä kannattaa ottaa useampi kopio. Jotka ovat sitten epäsynkassa :). Plussaa myös siitä, että lähdekoodi on avointa.

Itse otin Lastpassin sen takia, että joku muu pitää tuosta salasanatietokannasta huolta. Oletettavasti marginaalisesti turvattomampi, mutta helpompi. Jos Lastpass ei itse tuhoa bugisella softalla tuota tietokantaa.... Pitäisikin oikeastaan ottaa backupit noista salasanoista vaikka paperiteknologialle....
Jussi Vesala

Kuvake
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 100
Lauteille: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#54

Viesti Uchujin » heinä 4, 2017, 22.28

LastPassilla on ollut aika usein ongelmia selainlaajennuksen kanssa, joten sen kanssa voi harjoittaa pientä varovaisuutta :)

jsv
takapotkija
Viestit tässä aiheessa: 4
Viestit: 353
Lauteille: Helmikuu 2005
Paikkakunta: Iso Omena
Etulaji: Karate
Sivulajit: Potkunyrkkeily
Takalajit: KU
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#55

Viesti jsv » heinä 4, 2017, 23.04

Joo, tietoinen riski helppokäyttöisyyden takia :D. Ja osittain siksi, ei työsalasanoja tuonne, tai GMailin mastersalasanaa.
Jussi Vesala

Kuvake
Uchujin
polveenpotkija
Viestit tässä aiheessa: 3
Viestit: 100
Lauteille: Syyskuu 2010
Paikkakunta: Oulu
Etulaji: Bujinkan Budō Taijutsu
Tykännyt: 3 kertaa
Tykätty: 6 kertaa

Tietoturva

#56

Viesti Uchujin » heinä 4, 2017, 23.12

jsv kirjoitti:Joo, tietoinen riski helppokäyttöisyyden takia :D. Ja osittain siksi, ei työsalasanoja tuonne, tai GMailin mastersalasanaa.
Juuri näin :) Suosittelen henkilökohtaisempaan tarkoitukseen seuraavaa: https://protonmail.com/

Kuvake
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89033
Lauteille: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 708 kertaa
Tykätty: 245 kertaa
Viesti:

Tietoturva

#57

Viesti Mika » tammi 4, 2018, 10.04

Eilen kuului aikamoinen uutinen Intelin prosessoreiden tietoturvasta, ja pian uutinen tarkentui koskemaan kutakuinkin kaikkia vuoden 1995 jälkeen julkaistuja prosessoreita. Se koskee lähes jokaista tätä lukevaa.

Huge Flaws Affect Nearly Every Modern Device; Patch Could Hit CPU Performance
ไม่เป็นไร
Zen, I haz it.

Potki etuja!

Kuvake
Mika
etupotkija
Viestit tässä aiheessa: 22
Viestit: 89033
Lauteille: Joulukuu 2004
Paikkakunta: Tampere
Etulaji: Pilates, HIIT
Sivulajit: Girya, Yin-jooga
Takalajit: Tanglang
Tykännyt: 708 kertaa
Tykätty: 245 kertaa
Viesti:

Tietoturva

#58

Viesti Mika » tammi 5, 2018, 07.48

jsv löysi tätä koskevan Twitter-viestin:



Yhdessä toisessa Twitter-viestissä neuvotaan, miten Spectreltä voi yrittää suojautua:

ไม่เป็นไร
Zen, I haz it.

Potki etuja!


Vastaa

Lauteilla

Potkulaisia lukemassa tätä aluetta: Ei rekisteröityneitä käyttäjiä ja 7 kurkkijaa