AfterDawn: IT-alan uutiset

Uusi työkalu paljastaa Mega-salasanat vahvistusviestistä

Kirjoittaja Teemu Laitila @ 24.1.2013 16:19 Kommentteja (6)

Uusi työkalu paljastaa Mega-salasanat vahvistusviestistä Kim Dotcomin viime viikonloppuna avaama tiedostonjakopalvelu Mega on ollut alustaan lähtien tietoturvatutkijoiden suurennuslasin alla, sillä palvelua on mainostettu erityisesti yksityisyydensuojan ja turvallisuuden huipputekijänä.
Palvelun todellinen tietoturva on kuitenkin kyseenalaistettu useammalta taholta. Yksi kritisoitu ominaisuus on palvelun nojaaminen jo aika päiviä sitten epäluotettavaksi todistettuun SSL-salaukseen. Nyt Ars Technica uutisoi tietoturvatutkija Steve "Sc00bz" Thomasin kehittämästä Megacracker-työkalusta, joka kykenee purkamaan käyttäjän salasanan rekisteröitymisen yhteydessä lähetetyn vahvistusviestin URL-osoitteesta.

Ars Technican mukaan vahvistusviestissä annettu linkki sisältää pitkän merkkijonon, joka sisältää muun tiedon ohella AES-tiivisteen käyttäjän salasanasta. Sähköposti on helpohko kaapata matkalta, joten uhka tiivisteen joutumisesta vääriin käsiin on todellinen.

Thomasin kehittämä sovellus Megacracker etsii osoitteesta salasanan tiivisteen ja purkaa sen arvailemalla eli brute force -tekniikalla. Jos salasana on huonosti valittu, se murtuu nopeasti valmiiksi laskettujen sanalistojen avulla. Erityisen ongelmalliseksi käytännön tekee se, että palvelun tiedostojen salaukseen käytetty salasana on puolestaan salattu käyttäjän omalla salasanalla.

Samasta syystä palvelussa ei tällä hetkellä voi vaihtaa salasanaa. Koska käyttäjän sisäänkirjautumiseen käyttämä salasana on avain kaikkeen, Mega ei myöskään sisällä mahdollisuutta unohtuneen salasanan resetointiin. Jos salasana unohtuu, palveluun tallennettu data on käytännössä menetetty.

Megan tekniikkajohtaja Mathias Ortmanin mielestä vahvat salasanat ovat ainut tehokas tie tietoturvan parantamiseen. Ortmanin Ars Technicalle antamien kommenttien mukaan heikot salasanat ovat suurin ongelma.

- Tapauksissa, joissa salasana suojaa myös salatun datan avainta, monimutkaisuuteen perustuva tietoturva vahvan salasanan sijaan ei yksinkertaisesti ole ratkaisu, Ortman toteaa.

Ortman myös lupaa mahdollisuuden salasanan vaihtamiseen tulevaisuudessa. Siihen saakka alun perin heikon salasanan valinneet joutuvat sinnittelemään valitsemallaan tiellä.

Edellinen Seuraava  

6 kommenttia

124.1.2013 16:49

Uutinen loppuu kesken, mutta arvaan että joutuvat itkemään turhaan!?

224.1.2013 16:57

Lainaus, alkuperäisen viestin kirjoitti himpo:
Uutinen loppuu kesken, mutta arvaan että joutuvat itkemään turhaan!?
Näinpä teki, lisäsin lauseeseen lopun. Hyvin kuitenkin arvattu!

324.1.2013 16:59

Uutiseen voi jokainen keksiä itse lopun.

424.1.2013 17:18

Hienoa että tutkitaan.

524.1.2013 17:42

Kun menee megan etusivulle ja painaa laatikkoa niin voi lähettää n. 5-6GB tiedostoja palveluun rekisteröitymättä ja saa linkit ja kaikki, en näe syytä rekisteröityä jos tahtoo vain heittää jonkun 720p.mkv leffan kaverille, lähetys nopeus oli minulla 573kt/s joten en tiedä onko nopeampi jos rekisteröityy tai maksaa kun tuo 5M on minulle täysiä.

Eipähän pääse kukaan brutettamaan passuasi kun sitä ei ole!

626.1.2013 23:39
lihavatkuoppaan
Vahvistamaton

Jaksetaanpa vastenmielisen läskin marginaalitouhuiluista tehdä 'uutisia'.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Spotify muutti välimuistin tyhjentämistä – Ei pakota poistamaan ladattuja musiikkikappaleita Spotify muutti välimuistin tyhjentämistä – Ei pakota poistamaan ladattuja musiikkikappaleita (18.7.2018 06:48)
Spotify on tehnyt Android- ja iOS-sovelluksiinsa viimeisten viikkojen aikana pienen muutoksen, mutta se helpottaa monen kuuntelijan elämää ratkaisevasti. Ainakin arjessa on yksi ensimmäisen ....
Virtuaalilasit ottavat harppauksen eteenpäin – Vain yksi johto riittää Virtuaalilasit ottavat harppauksen eteenpäin – Vain yksi johto riittää (18.7.2018 06:30)
Seuraavien sukupolvien VR-lasien käyttömukavuus voi olla täysin toista luokkaa kuin nykyään, sillä VirtualLink-konsortio on esitellyt uuden USB-C-liitäntään pohjautuvan standardin, joka mahdollistaa ....
OnePlus 6:n kamera saa kehuja – Tarkennus on tarkka ja nopea OnePlus 6:n kamera saa kehuja – Tarkennus on tarkka ja nopea (17.7.2018 18:11)
Elisalla ja Telialla huippumyynteihin yltänyt OnePlus 6 saa suitsutusta valokuvaukseen erikoistuneelta DxO Labsilta. Puhelimen kamera saavutti DxOMark-testissä komeat 96 pistettä. OnePlussan ....
Samsung lupaa lisää suorituskykyä ja enemmän akkukestoa – Esitteli LPDDR5-muistin Samsung lupaa lisää suorituskykyä ja enemmän akkukestoa – Esitteli LPDDR5-muistin (17.7.2018 17:30)
Samsung on esitellyt ensimmäisen kahdeksan gigabitin LPDDR5-muistipiirin. Yhtiön mukaan entistä nopeampi mobiililaitteisiin tarkoitettu muistipiiri soveltuu erityisen hyvin tekoälyteknologian ....
Netflix järkytti sijoittajia – Tilaajamäärät jäivät pahasti ennusteista Netflix järkytti sijoittajia – Tilaajamäärät jäivät pahasti ennusteista (17.7.2018 06:56)
Netflix joutui aiheuttamaan pettymyksen sijoittajille julkaisemalla kasvuluvut, jotka jäivät kuitenkin odotuksista. Osavuosituloksen julkistuksen jälkeen Netflixin kurssi putosi jälkihuutokaupassa ....

Uutisarkisto