e-mac kirjoitti: Sen sijaan salasana raparperipiirakassa on helppo muistaa mutta koneelle paljon hankalampi arvata: 2,53 sataa miljoonaa vuotta (eiks tää ole jo aika paha?).
Kunnes ohjelmalle on syötetty suomen sanakirja, sitten se vie sekunnin murtoosia.
Aika kovan työn tekevät jos kokeilevat jokaisen kielen jokaisen sanan jokaista sijamuotoa. Varsinkin jos salasanat on vielä suolattu. Silloin se on täyttä ajanhukkaa.
Aina kun mielestään keksii hyvän ja helpon tavan "sotkea" muuten liian helppoa salasanaa jotta se olisi "vaikeammin arvattavissa", tyyliin "vaihdanpa kaikki i-kirjaimet ykkösiksi!" tai "käytän kontinkieltä!", niin pitää muistaa että tällaiset säännöt on äärimmäisen helppoa toteuttaa myös ohjelmallisesti (jos ei olisi, niin kyseessähän ei olisi "sääntö").
Ei pidä olettaa etteikö tarpeeksi resurssoitu pahis jo käyttäisi vastaavia sääntöjä kun generoi testattavia salasanoja. (Niissä tilanteissa, joissa miljoonien salasanojen kokeilu oikeasti on se tapa jolla jotain suojausta pyritään murtamaan.) Jo ammoina aikoina ensimmäiset Unixin passwd-tiedostojen murtajat tekivät tällaisia temppuja (toki vain hyvin yksinkertaisia).
e-mac kirjoitti: Sen sijaan salasana raparperipiirakassa on helppo muistaa mutta koneelle paljon hankalampi arvata: 2,53 sataa miljoonaa vuotta (eiks tää ole jo aika paha?).
Kunnes ohjelmalle on syötetty suomen sanakirja, sitten se vie sekunnin murtoosia.
En viisastele, vaan kysyn oikeasti: ymmärtävätkö salasanan murto-ohjelmat myös sanojen suomen kielen sijamuotoja?
Miten ne käsittelevät yhdyssanoja? Entä jos yhdyssana on keksitty, esim. "raparperikenkä", ja siitä vielä taivutusmuoto?
Salasanojen murtamiseen tehtyjä ohjelmia on monia, ja tietysti toimivat eri tavalla. Yleisesti ne oppivat kuitenkin kohtuullisen helposti sanoja, ja niistä yleisesti tehtyjä muunnelmia salasanoiksi (esim. o-kirjain nollaksi, e-kirjain kolmoseksi, eteen / taakse numeroita jne). En osaa sanoa miten suhtautuvat sijamuotoihin, mutta lähtökohtaisesti varmaan niin, että mitään sijamuotojen taivutuksia ei tehdä "lennossa" vaan sanat vaan tallennetaan etukäteen kirjastoon josta voidaan käyttää murtamiseen.
e-mac kirjoitti: Sen sijaan salasana raparperipiirakassa on helppo muistaa mutta koneelle paljon hankalampi arvata: 2,53 sataa miljoonaa vuotta (eiks tää ole jo aika paha?).
Kunnes ohjelmalle on syötetty suomen sanakirja, sitten se vie sekunnin murtoosia.
Aika kovan työn tekevät jos kokeilevat jokaisen kielen jokaisen sanan jokaista sijamuotoa. Varsinkin jos salasanat on vielä suolattu. Silloin se on täyttä ajanhukkaa.
Helpommallakin saa salasanoja.
Salasanojen suolaus suojaa silloin kun palveluntarjoaja vuotaa salasanatietokannan ulos.
Salasanoja voi toki koittaa murtaa suoraan palveluunkin, silloin suolaus ei vaikuta mitenkään vaan ratkaisevaa on salasanan monimutkaisuus sekä palveluntarjoajan rajoitukset kirjautumisyrityksiin yms.
Tuli aihe taas vastaan, joten eksyin tänne aikojen jälkeen:
Verrataan esim. salasanoja "8#*8wj@" ja "jappikumalinnukki". Jälkimmäinen on 17 miljardia kertaa tehokkaampi kuin 8#*8wj@. Ja ennen kaikkea paljon helpompi syöttää kuin joku kökkö erikoismerkkisoppa.
Silti esim. Apple ei hyväksy jälkimmäistä salasanaa, kun siinä on pelkkiä pikkukirjaimia. Huoh...
Ei ole helppoja asioita, ei myöskään vaikeita. On olemassa vain asioita jotka sattuu osaamaan ja asioita joista ei satu tietämään mitään.
Niin se on monessa muussakin systeemissä, apple ei ole ainoa syypää tähän pöljyyteen. Japp1K#maLinnukki menee varmaan läpi ja on käytännössä yhtä helppo muistaa kuin jappikumalinnukki.
Tuo mitä sanoit ei ollut relevanttia sen kannalta, että on pöljää vaatia numeroita ja/tai erikoismerkkejä salasanalta.
Em. salasana ei ole käytössä, mutta jos olisi, niin ehdotkseesi pätisi:
1. Ehdottomasi muunnelma on VAIKEAMPI muistaa kuin alkuperäinen.
2. Ehdottamasi muunnelma on erityisesti kännykässä merkittävästi hitaampi syöttää kuin alkuperäinen.
Se että tämä typerä vaatimus liittyy Applen tuotteisiin, ei yhtään parane siitä, että samaa pöljyyttä esiintyy myös joissakin muissa yhteyksissä.
Ei ole helppoja asioita, ei myöskään vaikeita. On olemassa vain asioita jotka sattuu osaamaan ja asioita joista ei satu tietämään mitään.
Tulee mieleen aika joskus 20 vuotta sitten kun itse koodailin salasanojen murtotyökaluja.
Suurimmassa osassa tapauksia esitetyt luvut siitä, kuinka monta mahdollista salasanaa on arvattavaksi, on täyttä roskaa. sanakirjapohjaiset hyökkäykset ovat paljon tehokkaampia. Pitkäkin salasana aukeaa helposti, jos se sattuu olemaan jokin sana tai useammasta sanasta tehty.
Numeroiden lisääminen alkuun ja loppuun on vakiotemppu, samoin kaikki ne nerokkaat korvaukset, joita yllä on esitetty. Tietysti i:n korvaaminen ykkösellä lisää monimutkaisuutta vähän, mutta vain naurettavan vähän. Kaikki nämä on ohjelmoitu valmiiksi hyökkäykseen. Ne lisäävät monimutkaisuutta vähän, mutta eivät lähellekään niitä lukuja, joita aina esitetään.
Turvallisuuden kannalta paljon tärkämpää olisi se, että ylläpito pitäisi salasanat turvassa. Käytännössä tehokas hyökkäys vaatisi sen, että salasanatiedosto pidetään turvassa. Jos tunnus menee lukkoon kolmen tai vaikka viiden yrityksen jälkeen, voi salasana olla hyvinkin yksinkertainen. Paitsi että saamalla salasanatiedoston haltuun voi kaikessa rauhassa kokeilla niitä miljoonaa vaihtiehtoa. Tästä voitaisi päätellä, että ylläpito paikkaa omaa riskiään käyttäjien kustannuksella.
Historiaa: Plus, Se, Ci, PB160, Duo230, LC475, Mac mini 2007, MacBook mid-2009 ja pari ei-Apple-macciä, iPhonet 4, 4s, 5, 5s 6s, 7, SE, iPad 3 ja 4, AW0
Matkamies kirjoitti:Tulee mieleen aika joskus 20 vuotta sitten kun itse koodailin salasanojen murtotyökaluja.
Suurimmassa osassa tapauksia esitetyt luvut siitä, kuinka monta mahdollista salasanaa on arvattavaksi, on täyttä roskaa. sanakirjapohjaiset hyökkäykset ovat paljon tehokkaampia. Pitkäkin salasana aukeaa helposti, jos se sattuu olemaan jokin sana tai useammasta sanasta tehty.
Numeroiden lisääminen alkuun ja loppuun on vakiotemppu, samoin kaikki ne nerokkaat korvaukset, joita yllä on esitetty. Tietysti i:n korvaaminen ykkösellä lisää monimutkaisuutta vähän, mutta vain naurettavan vähän. Kaikki nämä on ohjelmoitu valmiiksi hyökkäykseen. Ne lisäävät monimutkaisuutta vähän, mutta eivät lähellekään niitä lukuja, joita aina esitetään.
Turvallisuuden kannalta paljon tärkämpää olisi se, että ylläpito pitäisi salasanat turvassa. Käytännössä tehokas hyökkäys vaatisi sen, että salasanatiedosto pidetään turvassa. Jos tunnus menee lukkoon kolmen tai vaikka viiden yrityksen jälkeen, voi salasana olla hyvinkin yksinkertainen. Paitsi että saamalla salasanatiedoston haltuun voi kaikessa rauhassa kokeilla niitä miljoonaa vaihtiehtoa. Tästä voitaisi päätellä, että ylläpito paikkaa omaa riskiään käyttäjien kustannuksella.
Hyvä ja mielenkiintoinen kommentti. Pitkissä salasanoissa ei tietenkään saa käyttää mitään oikeita sanoja, mutta tulipa mieleen, että esim. salasanassa "jappikumalinnukki" on oikeita suomen kielen tavuja. Ei hyvä. Jokuhan voi määritellä tavukirjaston ja peräkkäisten tavujen säännöt, joita suomenkieli noudattaa. Se heikentää oleellisesti em. salasanan vahvuutta.
Ei ole helppoja asioita, ei myöskään vaikeita. On olemassa vain asioita jotka sattuu osaamaan ja asioita joista ei satu tietämään mitään.