Suosittuun salasanahallintapalveluun tunkeuduttiin

Lainaus, alkuperäisen viestin kirjoitti Manu Pitkänen:

---

"käyttäjäkohtaisiin suolauksiin"

---

On siis syytä olettaa että LastPassin käyttäjät on nyt suolattu?

---

Eipä ole tullut sähköpostia asiaan liittyen ja toisaalta kukaan ei olisi tehnyt mitään mun salasanoilla tai salasanamuistutuksilla, koska vain itse kykenen purkamaan niiden salauksen.

---

Lainaus:

---

On siis syytä olettaa että LastPassin käyttäjät on nyt suolattu?

---

Vaikea sanoa kun molemmissa tilanteissa julkinen ilmoitus olisi ollut sama, päästiin niihin käsiksi tai ei. Koska yritys ei voi ilmoittaa julkisesti asiaa joka kaataisi koko sen yritystoiminnan perustan. Joten jos käyttäjä haluaa vetää varman päälle niin pitää olettaa että yritys valehtee vakavuudesta. Toisaalta ihminen joka käyttää tätä palvelua ei ole kovinkaan tietoturva tietoinen.

Lainaus, alkuperäisen viestin kirjoitti RekookeR:

---

Eipä ole tullut sähköpostia asiaan liittyen...

---

Itselleni tipahti tänään kuuden aikaan aamulla viesti otsikolla "LastPass Security Notice".

Ymmärsinkö oikein, eli käytännössä kaikki vietiin.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Toisaalta ihminen joka käyttää tätä palvelua ei ole kovinkaan tietoturva tietoinen.

---

Eli taitaa moni jopa ylittää keskiverron.

Eli tuota taitaa käyttää ne jotka ovat kyllä tietoturva tietoisia, mutta luottavaisia. (en tiedä kuinka riskaapeli ko palvelu on systeemiltään)

No vaikka pitäisi omassa pilvessä niin lähtökohta että sitä pidetään kuin itse tiedostot/kanta olisi kaikkien saatavissa. Eli salaus sen mukaan.

Sisältö taasen sen mukaan ettei haitaa jos tämänpäiväinen vuotaa julkiseksi myöhemmin.

Lainaus:

---

Ymmärsinkö oikein, eli käytännössä kaikki vietiin.

---

Ei, ne sanoo että kaikkea ei viety, mutta ongelma on että jos kaikki vietäisiin niin sanoisiko ne edes sen julkisuuteen. Koska se tarkoittaisi että koko palvelun idea olisi tavallaan pilalla. Turvaamme asian mutta se ei ole oikeasti turvassa. Ymmärrät varmaan yskän.

Lainaus:

---

Eli tuota taitaa käyttää ne jotka ovat kyllä tietoturva tietoisia, mutta luottavaisia.

---

Miten tämän sanoisi, ihminen voi tietää mitä tietoturva on mutta hän ei välttämättä ole sisäistänyt asiaa jotta hän osaisi noudattaa tietoturvaa. Koska jos hän olisi sisäistänyt mitä tietoturva oikeasti on niin hän myös noudattaisi tietoturvaa. Ihminen joka siirtää salasanansa kolmannen osapuolen haltuun (pilveen) oli ne salattuna tai ei, ei noudata tietoturvaa.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Lainaus:

---

Ymmärsinkö oikein, eli käytännössä kaikki vietiin.

---

Ei, ne sanoo että kaikkea ei viety, mutta ongelma on että jos kaikki vietäisiin niin sanoisiko ne edes sen julkisuuteen.

---

Niin no ei sanota että viety, vaan sanotaan että on mahdollista että viety (oli mahdollisuus päästä käsiksi), jos siis uutiseen luottamista.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

mutta ongelma on että jos kaikki vietäisiin niin sanoisiko ne edes sen julkisuuteen. Koska se tarkoittaisi että koko palvelun idea olisi tavallaan pilalla.

---

Tietoinen salaaminen romuttaisi uskottavuuden. se ei tarkoita etteikä yksittäisillä henkilöillä voisi olla salaamisen tietyissä tilanteissa yhtiön ja sen asiakkaiden etua painavampia syitä.

Kannattaa henkisesti varautua myös sellaisiin tilanteisiin että yhtiö ei tiedä kaikkea mitä yhkia asiakkaisiin ja heidän tietoihin kohdistunut. se uhka ja riski ehkä rankempi.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Lainaus:

---

Eli tuota taitaa käyttää ne jotka ovat kyllä tietoturva tietoisia, mutta luottavaisia.

---

Miten tämän sanoisi, ihminen voi tietää mitä tietoturva on mutta hän ei välttämättä ole sisäistänyt asiaa jotta hän osaisi noudattaa tietoturvaa.

---

Joukkoon mahtuu varmaan heitäkin jotka eivät ole sisäistäneet. Mutta jotain on kuitenkin tarttunut jos esim uutisen palvelun on ottanut käyttöön.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Koska jos hän olisi sisäistänyt mitä tietoturva oikeasti on niin hän myös noudattaisi tietoturvaa. Ihminen joka siirtää salasanansa kolmannen osapuolen haltuun (pilveen) oli ne salattuna tai ei, ei noudata tietoturvaa.

---

Uutisen tyyppisten palveluiden käyttö on usein iso harpapus ns taviksen tietoturvassa.
Tietenkin sillä oletuksella ettei sinne tunge sellaisia asioita joiden tieturvakäytännöt kieltää.

Pilvi pelottaa, se ihan hyvä, pitää hereillä, vs paikallinen, äärrettömän vahavlla luottamuksella mutta se käytönnöss pilvenreunalla olemattomalla amatööriylläpidolla.

Keskiverto taitaa olle kuitenkin vielä surkeampi, eli se systeemi missä salasana on kymmennissä tuntemattomissa paikoissa. (samat salasanat useissa eri paikoissa)

Lainaus:

---

Uutisen tyyppisten palveluiden käyttö on usein iso harpapus ns taviksen tietoturvassa.

---

Kyse on useasta asiasta eli koko tietoturvassa on kyse pääsystä johonkin johon ei saisi päästä. Fyysinen pääsy vaatimus on täysin eri kuin digitaalinen pääsy. Internet on maailman turvattomin asia salaisuuksille, koska siellä internetissä ei ole oikeaa yksityisyyttä olemassakaan.

Sellaiset ihmiset jotka ei tajua tietoturvan päälle yhtään mitään niin heidän tietoturvansa ei parannu siitä että mennään ojasta allikkoon. Valheellinen turvallisuus ei ole turvallisuutta.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Kyse on useasta asiasta eli koko tietoturvassa on kyse pääsystä johonkin johon ei saisi päästä. Fyysinen pääsy vaatimus on täysin eri kuin digitaalinen pääsy.

---

??, harva tuonne fyysisiä asioita pistää. Ei sillä etteikö "fyysisen" asian tallentaminen tuonne voisi olla turvallisempaa, kuin pitää fyysisenä.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Internet on maailman turvattomin asia salaisuuksille, koska siellä internetissä ei ole oikeaa yksityisyyttä olemassakaan.

---

Hyvä lähtökohta. En tarkoita etteikö internetissä olisi yksityisyyttä, eri asia sitten millä tasolla. Eikä se yksityisyys tässä "todellisessakaan" mailmassa ole mikään itsestään selvyys. saati 99,9%

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Sellaiset ihmiset jotka ei tajua tietoturvan päälle yhtään mitään niin heidän tietoturvansa ei parannu siitä että mennään ojasta allikkoon. Valheellinen turvallisuus ei ole turvallisuutta.

---

En tiedä mitä yrität asiaan liittyän havainnollistaa.

Mutta ns holvipalveluiden käyttö on monesti isoharppaus tietoturvassa ja yleistäen varsin suositeltavaa. Tietenkin kannattaa miettiä mitä sinne pistää ja miten sitä käyttää.

En tiedä mihin moista kuvittelet yleisesti käytettävän ja unohdatko kokonaan että ne käyttäjien (netti) koneet on siellä internetissä myös, sillä erolla että niiden yllpito on täysin amatoorien käsissä.

Yleensä noita palveluita käytetään netissä käytettävien tietojen säilömiseen, esim jos tämän sivuston tunnukset on siellä, niin lähtökohtaisesti se on pienin riski. Jos siellä pidät kassakaappisi numeroyhdistelmää ja vertaat riskiä siihen että pitäisit sitä fyysisesti kassakaapin lähettyvillä. jälkimmäiseen riittää pääsy kassakaapin lähettyville, pilvipalvelu tapauksessa tarvitaan murto ja salauksen purku + se fyysinen pääsy kassakaapin luokse.

Nettiin ei kannata taltioida mitään sellaista jonka paljastuminen vuosienkin päästä olisi erittäin haitallista.Ei tiedossa salausta jonka luotettavuus voidaan 100% taata pitkällä aikavälillä. Mutta se ei niinkään moisten salasana holvien käyttöä tee sen vähempää suositelluksi, päinvastoin.


En tiedätkö suositteletkon moisen palvelun sijaan sovelluksia joilla tekee saman itse, omaan pilveen, niissäkään käyttäjä ei voi 99,9% luottaa sovellukseen ja ympäristöön jossa sitä ajaa. Pientä lisäturvaa voi hakea sillä että "holviin" tallennetut suuremmat salaisuuden hajauttaa ja suolaa omassa muistissa olevalla tavalla.

Ja muistaa "varmuuskopiointi", siis niin että muistitapaturman iskiessä ei katokäy. Ja jos kuolema iskee niin perikuntakin pääsee tarpeelliseen kiinni.

Jos mietit kokonaisuutta, niin yksi kaiken hoitava pilvi alkaa tuntumaan entistä paremmalta. (työasioissa sitte oman työnantajan oihjeiden mukaan)

Lainaus:

---

Yleensä noita palveluita käytetään netissä käytettävien tietojen säilömiseen, esim jos tämän sivuston tunnukset on siellä, niin lähtökohtaisesti se on pienin riski. Jos siellä pidät kassakaappisi numeroyhdistelmää ja vertaat riskiä siihen että pitäisit sitä fyysisesti kassakaapin lähettyvillä. jälkimmäiseen riittää pääsy kassakaapin lähettyville, pilvipalvelu tapauksessa tarvitaan murto ja salauksen purku + se fyysinen pääsy kassakaapin luokse.

---

Kuinka monella ihmisellä on maailmassa internet yhteys ja näin pääsy siihen palveluun, sekä kuinka moni heistä osaisi murtaa sen julkisessa internetissä olevan palvelun.

Kuinka monella ihmisellä on mahdollisuus löytää sinut fyysessä maailmassa ja taloudelliset edellytykset päästä sinun luoksesi, sekä vielä omata kyky murtaa se kassakaappi.

Vertaa noita kahta asiaa.

Lainaus:

---

En tiedä mihin moista kuvittelet yleisesti käytettävän ja unohdatko kokonaan että ne käyttäjien (netti) koneet on siellä internetissä myös, sillä erolla että niiden yllpito on täysin amatoorien käsissä.

---

Aika typerä kommentti eli verrata työasemaa ja palvelinta. Jopa ammattilaisella on vaikeuksia taata palvelimen tietoturvallisuus internetissä, mutta vähänkin tietoturvasta tietävä amatööri pystyy hyvään työasema (netti) tietoturvaan, jos haluaa noudatta tietoturvaa. Tähän asiaan on olemassa syys mutta sinä et taida edes tietää sitä.

Lainaus:

---

Jopa ammattilaisella on vaikeuksia taata palvelimen tietoturvallisuus internetissä

---

Enneminkin mahdotonta, kuin vaikeata, eiköhän kasperskyn verkkoon murtautuminen ja sen valvominen todistanut sen.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Kuinka monella ihmisellä on maailmassa internet yhteys ja näin pääsy siihen palveluun, sekä kuinka moni heistä osaisi murtaa sen julkisessa internetissä olevan palvelun.

---

En tiedä.

Palveluun murto on eriasia kuin salaisten tietojen saanti.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Kuinka monella ihmisellä on mahdollisuus löytää sinut fyysessä maailmassa ja taloudelliset edellytykset päästä sinun luoksesi, sekä vielä omata kyky murtaa se kassakaappi.

---

En tiedä tuotakaan.

miksi pistit jäkimmäiseen enemmän rajoittavia ehtoja ?

Mutta pyysit vertaa, jos jollain pääsy sinne kassakaapin luokse ja avain (koodin) on fyysisesti sen lähettyvillä, niin helppo nakki aukaista kassakaappi.

Jos koodi on digitaalisesti pilviholvissa, niin vaikea nakki.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Lainaus:

---

En tiedä mihin moista kuvittelet yleisesti käytettävän ja unohdatko kokonaan että ne käyttäjien (netti) koneet on siellä internetissä myös, sillä erolla että niiden yllpito on täysin amatoorien käsissä.

---

Aika typerä kommentti eli verrata työasemaa ja palvelinta. Jopa ammattilaisella on vaikeuksia taata palvelimen tietoturvallisuus internetissä, mutta vähänkin tietoturvasta tietävä amatööri pystyy hyvään työasema (netti) tietoturvaan, jos haluaa noudatta tietoturvaa.

---

Vähän tietävä amatoori kuvittelee. ns hyvää amatooritasoa voi toki saada aikaan. mutta asteikko on toki aivan eri kuin amattilaisten hyvässä.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Tähän asiaan on olemassa syys mutta sinä et taida edes tietää sitä.

---

En tiedä mitä tarkoitat.

Lainaus, alkuperäisen viestin kirjoitti JoniS:

---

Lainaus:

---

Jopa ammattilaisella on vaikeuksia taata palvelimen tietoturvallisuus internetissä

---

Enneminkin mahdotonta, kuin vaikeata, eiköhän kasperskyn verkkoon murtautuminen ja sen valvominen todistanut sen.

---

Aivan totta, 100% on mahdotonta, varsinkin pitkälläaikavälillä.

Ei tarvi edes kuvitella vähän tietävän yksittäisen amatöörin mahdollisuuksia.

Lainaus:

---

miksi pistit jäkimmäiseen enemmän rajoittavia ehtoja ?

---

Ei siinä ole yhtään enempää, vaan internetistä yksinkertaisesti puuttuu fyysinen matkustamien, joka tarvitaan fyysisessä maailmassa pisteen A ja B välillä. Kyse on internetin luonteesta ja se jo itsessään heikentää tietoturvaa.

Lainaus:

---

En tiedä mitä tarkoitat.

Ei tarvi edes kuvitella vähän tietävän yksittäisen amatöörin mahdollisuuksia.

---

Aivan, et tiedä koska et tunne tekniikkaa ja tietoturvaa riittävän hyvin, mutta silti haluat väitellä asiasta. Tässä vielä vinkki asiaan 172.16.0.0 mutta tuskin sittenkään tiedät mistä asia johtuu. Sen sijaan vähänkin tietoturvasta tietävä tajuaa asian heti. Miksi testaan sinua? Koska jos et ymmärrä edes tuota niin sinulla ei ole tietototurva väittelylle perustaa, koska luulet että internettiin kytketty työasema ja palvelin on tietoturvallisesti samalla tasolla.

Jotta voit sanoa että jokin on turvallisempi kuin toinen niin sinun pitää ymmärtää asia muutenkin kuin yleisellä tasolla. Eli ymmärtää eri vaihtoehtojen tietoturvallisuudet toisiinsa verrattuna eli muutkin vaihtoehdot kuin se mistä mentäisiin mihin. Ojasta allikkoon.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Aivan, et tiedä koska et tunne tekniikkaa ja tietoturvaa riittävän hyvin, mutta silti haluat väitellä asiasta.

---

Jep, en myöskään kuvittele että vähän tietävä amatööri tuntisi, saati pystyisi huolehtiin tieturvasta ammattilais mittareilla hyvin.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Tässä vielä vinkki asiaan 172.16.0.0 mutta tuskin sittenkään tiedät mistä asia johtuu.

---

En varma mitä yrität tuolla viestiä, mutta tuo lähinnä mieleen kuvtelman turvallisuudesta.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

koska luulet että internettiin kytketty työasema ja palvelin on tietoturvallisesti samalla tasolla.

---

Jos tyäasemalla tarkoitat kaikkia nettiin yhteydessä olevia amatoriilaitteita ja palvelimilla ammattilaisten ylläpitämää ammattialiskamaa. niin en todellakaan luule että ovat samalla tasolla.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Jotta voit sanoa että jokin on turvallisempi kuin toinen niin sinun pitää ymmärtää asia muutenkin kuin yleisellä tasolla. Eli ymmärtää eri vaihtoehtojen tietoturvallisuudet toisiinsa verrattuna eli muutkin vaihtoehdot kuin se mistä mentäisiin mihin. Ojasta allikkoon.

---

Häh.


Mutta siis holvipilvipalvelut nään entistä suosteltavampana, keskiverto, ja jopa vähän tietäväien amatoorien käyttöön. Kannattaa kuitenkin ensin tutustua ohjeistuksiin ja pitää mielessä että salaisuus voi niissäkin paljastua.

Lainaus:

---

Jep, en myöskään kuvittele että vähän tietävä amatööri tuntisi, saati pystyisi huolehtiin tieturvasta ammattilais mittareilla hyvin.

---

Silti vaikka sinä, joka olet täysi tumpelo näissä asioissa neuvoo muille tumpeloille että joku vaihtoehto tuntuu hyvältä. Eikö sinulle edes hetkeksi ole tullut mieleen kysyä asiaa sellaiselta joka oikeasti tietää jotain.

Lainaus:

---

Mutta siis holvipilvipalvelut nään entistä suosteltavampana, keskiverto, ja jopa vähän tietäväien amatoorien käyttöön.

---

Sanoo henkilö joka ei ymmärrä asiaa oikeasti. Sinä oletat että joku asia on parempi ilman että edes ymmärrät asioita.

Lainaus:

---

Kannattaa kuitenkin ensin tutustua ohjeistuksiin ja pitää mielessä että salaisuus voi niissäkin paljastua.

---

Ihan hyvä neuvo kun tämä kyseinen uutinen on juuri sitä että tälläinen palvelu osittain murrettiin. Kannattaa myös pitää mielessä että mitä keskitymmin suuren massan salaisuudet ovat jossain palvelussa sitä houkuttelevammaksi sen murtaminen tulee ja Internet on huonoin mahdollinen paikka salaisuuksien säilyttämiseen.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Lainaus:

---

Internet on maailman turvattomin asia salaisuuksille, koska siellä internetissä ei ole oikeaa yksityisyyttä olemassakaan.

---

Jos on tällä tasolla huolissaan turvallisuudestaan kannattaa suosiolla pysyä poissa täältä pahasta Internetistä eikä tulla esittämään asiantuntijaa ja nimittelemään muita tumpeloiksi.

Normaaleille ihmisille salasanamanagerit tuovat merkittävää lisäturvaa jos niiden avulla käyttäjä pystyy käyttämään monimutkaisempia, pidempiä ja palvelukohtaisia salasanoja. Lastpass on yksi parhaista salasanamanagereista ellei jopa paras (disclaimer: minulla ei ole kyseisen palvelun kanssa mitään tekemistä, en edes itse käytä sitä).

Ja tässä asiasa ei todellakaan kannata uskoa meitä anonyymejä nettikommentoijia vaan lukaista mitä esimerkiksi sellaiset tietoturva-asiantuntijat kuin Bruce Schneier, , Brian Krebs tai Steve Gibson asiasta sanovat.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Lainaus:

---

Jep, en myöskään kuvittele että vähän tietävä amatööri tuntisi, saati pystyisi huolehtiin tieturvasta ammattilais mittareilla hyvin.

---

Silti vaikka sinä, joka olet täysi tumpelo näissä asioissa neuvoo muille tumpeloille että joku vaihtoehto tuntuu hyvältä. Eikö sinulle edes hetkeksi ole tullut mieleen kysyä asiaa sellaiselta joka oikeasti tietää jotain.

---

Ammattilaiset kyllä suosittelee amatooreille kuvailtuja palveluita, samoin monet jotain tietävät amatöörit, osa heistä jopa itse käyttää.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Sanoo henkilö joka ei ymmärrä asiaa oikeasti. Sinä oletat että joku asia on parempi ilman että edes ymmärrät asioita.

---

Jos asioista ei ymmärrä niin kananttaa kääntyä ammattilaisten puoleen.
Josa ymmärtää niin ammattilaisten kimppaan.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

---

Kannattaa myös pitää mielessä että mitä keskitymmin suuren massan salaisuudet ovat jossain palvelussa sitä houkuttelevammaksi sen murtaminen tulee

---

Kyllä, nimenomaan.
Se on sekä hyvä juttu, että huono. Suosittu, tunnettu salausta monesti pidetään parempana kuin vähemmän suosittu huonosti tunnettu.

Eli suositussaon hyvää se että se kerää sitä koettelevia, eli sellaiset ovat ovat jatkuvassa syynissä ja ovat sitä olleet pitkään.

Jos jotain paljastuu, niin tieto leviää nopeasti, huono on sitten se että koskettaa laajoja joukkoja.



Mitä on vaihtoehtoja, itse tehty salaus, juu jos siitä on saa myöhemmin Nobelin. Eli ei ehkä yleisohje vähän tietäväille amatööreille.


Eräs nimemirkki antoi kuningas vihjeen, privaatti alueen IP.

Siinä taitaa olla kuvailtu IP mailman suurin tietoturvaharha.