tiistaina, maaliskuuta 23, 2010

Pari opetusta salasanoista

Älypää-visailupalvelu murrettiin eilen ja hakija sai sieltä saaliiksi yli 120 000 käyttäjätunnusta, sähköpostiosoitetta ja salasanaa. Joukossa esimerkiksi eduskunta.fi- ja poliisi.fi-osoitteita. Tapahtumien yksityiskohdista saattaa saada käsityksen MuroBBS:n palstalta.

Palvelua pyörittävä Sanoma Entertainment on HS:n mukaan tekemässä asiasta rikosilmoitusta.

Tietysti on niin, että tällainen krakkerointi on tuomittavaa ja aiheuttaa ihmisille harmia ja mahdollista haittaa, jos samoilla salasanoilla pääsee myös johonkin muutun palveluun.

Sen lisäksi, että ylläpitäjillä on opittavaa siitä, miten tunkeutuja on päässyt järjestelmään, on ylläpidolla myös toinen opeteltava perusasia. Miten on mahdollista, että tällaisessa palvelussa salasanat ylipäätänsä ovat selkokielisessä muodossa? Alkeellinen virhe Sanoma Entertainmentilta.

Toisen opiskeltavan asian saavat sitten palvelun käyttäjät. Yleisimmät salasanat, jotka tietomurron jäljiltä paljastuivat ovat "salasana", "123456", "älypää", "kissa", "johanna", "54321", "perkele", "hevonen", "nallepuh" ja "aurinko". Kaikki täysin kelvottomia salasanoja yhtään mihinkään. Tässä tosin ei ole mitään uutta, sillä vastaava hölmöily on palveluiden käyttäjien keskuudessa vallinnut ennenkin.

Vaikka tämä Älypää onkin viihdepalvelu ja siellä voi käyttää jotain ilmaissähköpostia, jonka mahdollisesti voi rekisteröidä anonyyminä, tulee salasanojen vaihtorumbasta turhaa ajanhukkaa. Toisaalta tilanne ei edes ole näin ruusuinen, vaan tuolta Älypää-palvelusta hankituilla on MuroBBS:stä pääteltävien tietojen perusteella pystytty kirjautumaan sisään esimerkiksi verkkosivustojen ylläpitojärjestelmiin.

Pääsääntö on se, että eri järjestelmissä käytetään eri salasanoja.

Näköjään on myös niin, että myös uskottavan tuntuisten palveluiden tuottajien ollessa kyseessä, käyttäjien pitäisi pystyä varomaan sitä, että palveluissa ei tallenneta salasanoja selkokielisessä muodossa. Mistä sen sitten saa selville? Koska palveluntuottajat eivät asiaa tietenkään kerro, sen saattaa saada selville siten, että tilaa itselleen uuden salasanan palvelun "unohtuiko salasana"-linkistä.

Jos saat vanhan salasanasi selkokielisenä, se on myös palvelun tietokannassa selkokielisenä. Silloin käyttäjän täytyy käyttää tällaisessa palvelussa salasanaa, jota ei käytä missään muualla. Tai jättää koko palvelu väliin.

Kirjoittanut Vaiheinen klo 19:50

Asiasanat: , ,

Ei kommentteja:

Lähetä kommentti

Tilaa: Lähetä kommentteja (Atom)