Yli miljardi salasanaa varastettu – tietoturvayhtiö yritti heti rahastaa sillä
The New York Timesin mukaan joukko venäläisiä krakkereita on onnistunut saamaan haltuunsa jopa 1,2 miljardia käyttäjätunnusta ja salasanaa eri verkkopalveluihin. Joukossa on myös noin 500 miljoonaa sähköpostiosoitetta.
Käyttäjätunnusten ja salasanojen massiivinen tietokonata on koostettu yhteensä noin 420 000 verkkopalvelusta, joihin hyökkääjät ovat päässeet käsiksi. Joukossa on niin maailman suurimpien yritysten ylläpitämiä palveluita kuin pieniäkin sivustoja. Tapauksen paljasti New York Timesille Hold Security -niminen tietoturvayhtiö, joka oli viime vuonna mukana paljastamassa Adobeen kohdistunutta suuren kokoluokan tietomurtoa.
Tietoturvakonsultointipalveluita yrityksille myyvä Hold Security on miettinyt tarkkaan tiedon julkistusajankohdan, sillä Las Vegasissa on käynnissä Black Hat -tietoturvakonferenssi. Hold Security kertoi heti uutisen julkaisun jälkeen uudesta palvelusta, jonka tilaamalla yritykset voivat pysyä selvillä onko heihin kohdistunut tietomurtoa. Palvelun hinnaksi kerrottiin 120 dollaria kuussa, mutta ilmoitus palvelusta otettiin pois sen jälkeen kun Wall Street Journalin toimittaja alkoi kysellä siitä.
21 KOMMENTTIA
xbkrypt0n1/21
Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.
E: Eli otsikoksi olisi voinut ihan hyvin laittaa "Tietoturvayhtiö väitti yli miljardin salasanan vuotaneen ja yritti rahastaa sillä". Toistaiseksi julkisuuteen ei ole tullut mitään todisteita siitä, että salasanoja on viety poislukien tuon "tietoturvafirman" väitteet.
beget2/21
Tässä uutisoinnissa ei ollut niinkään kyse tietomurroista, vaan tuosta yhtiöstä joka yritti rahastaa sillä. Sen kannalta on täysin merkityksetöntä mihin palveluihin on murtauduttu.
jorgga3/21
Mutta tosiaa. Ei se ole tyhmä joka pyytää. 120$ ei ole iso raha yrityksille. Tietojen paikkansapitävyys on sitten eri asia.
Ketola4/21
Myös F-Secure muisti mainoskirjeellä heti Viestintäviraston Tietoturva Nyt! -päivityksen jälkeen. F:n toimesta mainostettiin heidän F-Secure Key -salasananhallintaohjelmaa, joka vaikuttaa olevan LastPassin kaltainen softa.
G0lden_Kebab5/21
No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada
Ketola6/21
Niinpä. Eipä tuolla Hold Securityn väitteellä ole mitään pohjaa jos ei niitä mikään ulkopuolinen taho pääse varmistamaan.
Datanen7/21
Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi
Muissakin palveluissa voi olla tämäntapainen ominaisuus.
pähkinä8/21
Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.
Datanen9/21
Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.
xbkrypt0n10/21
Pituus on tärkeä, mutta tuo hankaluus ei niinkään. Se on murtosoftalle ihan sama onko se salasana teddykarhu11 vai apnizoqikl12, koska molemmat ovat ohjelmalle yhtä helppoja murtaa vaikka toinen noista onkin moninkertaisesti vaikeampi muistaa. Isojen ja pienien kirjaimien sekakäyttö ja jokin vähän erikoisempi merkki tekevät lyhyestäkin salasanasta vaikeasti murrettavan.
http://en.wikipedia.org/wiki/Rainbow_table
beget11/21
Tämä XKCD-sarjakuva kertoo hyvin paljon salasanoista ja varsinkin niiden helpommasta muistamisesta.
http://imgs.xkcd.com/comics/password_strength.png
user_org (vahvistamaton)12/21
Ensimmäinen on silmämääräisesti helppo, mutta mikä jälkimmäisen tekee yhtä helpoksi murtaa?
Hankaluus, voi tarkoitaa muistamista tai murtamista.
Jos salasanaa voidaa etsiä kokeilemalla, niin sanakirja, nimilistoilta löytyvistä osista koostuvista on heikko vs aidosti satunnainen, ei auta vaikka kirjamia olisi korjattu numeroilla tyyliin 1=i.
Helppo muistettavuus on eriasia, satunnaiselta näyttävästä salanasta voi kehittää helpon muistisäännön, jos ei muista muuten satunnaisia merkkisarjoja.
Tavallisen ihmisen ei tarvitse kokonaan muistaa kuin murto-osa salasanoista/pääsy koodeista, loput voi hoitaa tarkoitukseen sopivilla ohjelmilla, kunhan muistaa että taltio joutuu vieraiden käsiin jossain vaiheessa.
Käytetyn järjestelmän suosituksia kannattaa noudattaa, jonkin systeemin lyhyt numerosarja voi olla vahvempi kuin toisen pitkä satunnainen unicodemerkkisarja.
Jos pysyvä salasana vuotaa, niin pituus ja vaikeus ei auta, ainoa ilo on että aidosti erilainen kuin muissa palveluissa.
xbkrypt0n13/21
Jahas, no koska väität näin ja se sotii kaikkea sitä vastaan mitä ammattilaiset väittävät maailmalla, niin todista väitteesi.
Tuossa on pelkästään MD5 hashattu sanoista koostuva salasana joka ei edes sisällä numeroita. Sisältää pelkästään isoja ja pieniä kirjaimia a-z (ei ääkkösiä). Pituus tuntematon.
0f1bca6bfac67ab14fda85274fc25739
Jos tämä oikeasti on niin heikko kuin väität, niin sen murtamisessa ei pitäisi olla minkäänlaista ongelmaa.
Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään. Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.
user_org (vahvistamaton)14/21
Ihan perusohje on välttää sanakirja/nimi listoja salasanaa muodostaessa.
Mitä kauemmin menee yksittäiseen testaamiseen, sitä isompi merkitys on vähentää testattavia vaihtoehtoja. koska tunnettua että salasanoissa on usein sanoja niin...
esim se teddykarhu esimerkkisi.
user_org (vahvistamaton)15/21
Numerot on monessa paikkaa käytössä, usein jopa diipadaapa nettisivuja tärkeämmissä.
Käytettävyys ja muistettavuus on myös terkeitä, ja vähänkään järkevä palvelu rajoittaa kokeilun määrää ja tai nopeutta.
Toki esim 10 yrityskertaa, kuudella numerolla on paperilla huonompi kuin kuusi satunnaista merkkiä 10 kokeilulla
Sivuston turvallisuuden osalta voi luottaa vain niiden sanaan, ja ehdottomasti kannattaa noudattaa heidän suosituksia. Jos suositellaan vahvaa salasanaan niin todennäköisesti sen on tärkeää.
Jos sivusto vuotaa salasanasi niin tärkeintä on ettei samankaltaista ole muualla.
Pitkää satunnaista salasanaa tarvitaan jos sivullinen voi sitä kokeilla määrättömästi nopeaan tahtiin, jolloin turva on lähinnä se että vaihtoehtoja on niin paljon että nopeudesta huolimatta kauemmin kuin tarvittava suoja aika,
esim pitkästä ja satunnaisesta voi olla etua jos sivusto vuotaa salassa salasanasta muodostetut tiivisteet.
xbkrypt0n16/21
Valitettavan totta kun noita vuotaneita salasanoja ja sivustoja on katsellut. Sivuston muut käyttäjät ovat suojanneet tilinsä ehkä hyvin, mutta pääkäyttäjän/järjestelmänvalvojan salasana on sitten tyyliin AAAAA tai 12345 ja sen avulla saadaan taas käyttäjien kaikki henkilökohtaiset tiedot ulos järjestelmästä tai käyttäjätietokanta, vaikka itse sivustosta ei löytyisikään haavoittuvuuksia. Näin ei siis pitäisi olla, mutta näin vaan on.
Tämä kertoo minulle taas, että sinulla ei ole pienintäkään havaintoa miten tuo salasanojen urkinta toimii. Krakkerit käyttävät hyväkseen jotain järjestelmän monesta tunnetusta tai sillä hetkellä tuntemattomasta haavoittuvuudesta ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.
Väärin taas. Hehän voivat väittää ihan mitä haluavat. Sivustojen ylläpitäjillä ei ole mitään velvoitetta puhua täysin totta kaikesta ja vaikka he itse luulisivat puhuvansa totta, ei se välttämättä ole yhtä todellisuuden kanssa.
Tuossa vähän vielä rautalankaa.
user_org (vahvistamaton)17/21
Jos ne saavat salasanat niin mitä väliä onko salasana ollut hyvä, pitkä tai huono, väliä on sillä ettei se ole samankaltaisena muualla käytössä.
Totta, että voivat väittää.
Jos luotettavia, niin miksi olla noudattamasta heidän ohjeita? Heidän pitäisi tietää mikä paras.
Jos eivät ole luotettavia, niin voivat väittää mitä tahansa, ja kerätä salasanat omiin pahoihin tarkoituksiin. Jolloin taasen ihan sama onko "2977" vai "12 teddykarhua sa1rastaa"
Eli tärkeintä ettei samankaltaista ole muualla.
Tämän tapauksen yhteydessä on uutisoitu että väitetyt salasanat ovat peräisen hyvin monenlaisista lähteistä, ei pelkästään palvelu päästä.
Käyttjänpääkin vuotaa, samoin keräilyä ja kalastelua jne. ja myös välistä napataan. Joskus sitä salsanaa ei edes napattu mistään.
Jos käyttäjänpäästä vuotanut , niin siina on saattanut mennä isokin nippu, eikä auta vaikka kaikki erilaisia. Tiehävaihtaminen, kertakäyttöisyys jne ehkä vähän.
xbkrypt0n18/21
Yksikään sivusto ei tallenna enää käyttäjätietokantaa selväkielisenä/plaintextinä vaan salasanat ovat vähintään MD5 hashattuja. Sen takia salasanan tulee olla pitkä, koska pitkän salasanan murtamisessa menee vähintään se parisataa miljardia vuotta nykylaitteilla (katso rautalanka). Ehdit olla pitkään haudassa ennen kuin vuotanut salasanasi murretaan. Jos väität jotain toista, niin voit vapaasti murtaa tuon salasanan minkä heitin aiemmin.
Tuo pitkä salasana ohje on paikkansapitävä kaikkialla. Jonkin yksittäisen sivuston neuvo käyttää jotain merkkiä x salasanassa on vain heidän vaatimuksensa. Pitkä salasana on vahva sivustosta riippumatta.
Vain sinä toit tämän esille. En ole missään vaiheessa suositellut käyttämään samaa salasanaa joka sivustolla.
Joo ja keksimälläkin niitä saa muutaman. Uutisessa on kuitenkin yli miljardi salasanaa, joten ne ovat varmasti saatu juurikin tuolla kuvailemallani tavalla, eli on käytetty hyväksi jonkin sivuston jotain haavoittuvuutta ja ladattu sivuston koko käyttäjätietokanta.
user_org (vahvistamaton)19/21
Lähestyt mekaanisesti, lisäksi sillä että järjestäin nollasta merkistä eteenpäin, jollain nyky nopeudella.
Jos elän niin vanhaksi kun suomalaiset keskimäärin, niin lähden siitä että jossain vaiheessa se on nopeaa, vaikka ei välttämättä.
Tämä tärkeää sen takia että paljon salattua dataa vieraiden saatavilla ja hallussa joka nyt suojassa, mutta jonain päivänä suojaus ei enään turvaa sitä.
Ei, tuo on juuri se mihin ei pidä missään tapauksessa tuudittautua.
Jos meinaat että yli miljardi tunnus - salasanaparia on saatu nimenomaan joltain sivustolta niin ajatteletko että ne ovat nimenomaan lyhyitä salasanoja ? vai voisiko sittenkin mukana olla myös "turvallisia" pitkiä.
On uutisoitu että ko määrä olisi sadoistatuhansista eri paikoista peräisin, kuten myös se että peräisin hyvin erilaisista lähteistä.
On myös epäilyjä uutisen paikkansapitävyydestä, lievimmillään mm sitä kelvollisten uniikkien parien määrää.
xbkrypt0n20/21
Ilmeisesti sinun pääsi sisällä tämä ei ole se paras tapa. Voinet siis paljastaa mikä se oikea tapa on.
Luukkanen-Kilde, is that you?
Niitä todisteita edelleen haluaisin kovasti ja varmasti moni muukin, koska tuo on edelleenkin aivan päätön väite (kuten kaikki muukin horinasi tähän asti).
Totta kai siellä on joukossa molempia. Kuten jo aiemmin sanoin, salasanat eivät liiku siellä selkokielisenä vaan esimerkiksi tuossa MD5-muodossa (nyk. taitaa olla SHA-1 tai parempi). Helpot salasanat murretaan heti, vähän vaikeammat viiveellä ja vaikeimmat jäävät yksinkertaisesti murtamatta. Sivustot käyttävät yleensä hyvin samanlaisia tietoturvaratkaisuja ja jos yhdellä sivustolla on jokin haavoittuva osa, niin se sama palikka on käytössä lukemattomilla muilla sivustoilla (esim. heartbleed). Hyvällä tuurilla jopa täsmälleen samaa haavoittuvuutta käyttämällä on nuo kaikki käyttäjätiedot saatu latailtua.
Sherlockmaista päättelyä.
user_org (vahvistamaton)21/21
Tunnus/salasanoja vuotaa ihan oikeasti muullakkin tavoin kuin purkamalla jotain puolivillaisesti tehtyhtyjä tiiviste tietokantoja.
No en epäile ettetkö sen varsin hyvin tiedosta.
Väitätkö että että vain helppoja vähän vaikeampia.
Jos oikeasti miljardi aitoa tunnus salasana paria, niin uskon että mukana laidasta laitaan, en epäile etteikö ns helppoja paljon, koska niitä perinteisestikkin ollut paljon.
Se aivan totta että tiettyjä osia on käytössä laajasti, jos sellaisessa löydetään aukko, niin se voi mahdollistaa laajan toiminnan. Esimerkkisi hyvä siinä mielessä että se yksinään voi romuttaa koko systeemin tietoturvan. Eli esimerkki siitä että salasanan pituus ei pelasta.
Kuten tiedät niin lukuisilla netti palveluilla liikenne salaamatonta, jopa kirjautuminen, niin ei siinä pitkäsalasana auta. (emailin tunnusten selvittäminen avaa tien moneen muuhun)
Ja vaikka muuta väitit, niin palvelinpäässäkin tunnuksia ja salasanoja myös kerätään ja tallennetaan ihan selkokielisinä, se voi esim nettisuvujen osalta tapahtua ylläpidon osalta tarkoituksella/lapsellisuutta, tai jokin henkilökunnasta salaa, tai ulkopuolinen pahis jotain haavoittuvuutta käyttäen suoraan tai omaa koodia ujuttaen hommaan.
Mitä kuvittelet tekevän käyttäjien koneissa olevien vakoiluohjelmien. Niistäkin uutisoitu tätäkin uutista uskottavammin.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT