Resiina  |  Resiinan nettisivusto  |  Aihe: Älypää-sivuston tietomurto  |  << edellinen seuraava >>
Sivuja: [1] | Siirry alas Tulostusversio
Olli Keski-Rahkonen
Ylläpito
Käyttäjä
Poissa

Viestejä: 264


« : Maaliskuu 23, 2010, 17:20:09 »

Uutislinkki
Tietoturvaviranomaisen varoitus
Uutislinkki 2

Älypää-pelisivustolta pääsi eilen vuotamaan yli 100000 suomalaista sähköposti- ja salasanayhdistelmää kenen tahansa luettavaksi selväkielisessä muodossa.

Jos olet rekisteröitynyt Älypää.comiin ja käytät samaa salasanaa muilla sivustoilla (kuten Vaunut.orgissa), vaihda salasana kiireesti!

Alypaa.comissa salasanat oli tallennettu palvelimelle selkokielisenä puhtaaseen tekstimuotoon. Jokaisella tietoturvasta huolehtivalla sivustolla Vaunut.org mukaanlukien salasanat on tallennettu salattuna palvelimelle, jolloin vuotaneenkin tiedon hyödyntäminen muissa verkkopalveluissa hankaloituu merkittävästi.

Oman sähköpostiosoitteen mukanaolon vuotaneella listalla voi tarkistaa esimerkiksi tästä turvallisesti.
tallennettu
Iiro Laiho
Käyttäjä
Poissa

Viestejä: 72


« Vastaus #1 : Maaliskuu 23, 2010, 18:17:15 »

Kummallista, että vieläkin käytetään plaintext-salasanoja missään palvelinsovelluksessa
tallennettu
Juhani Pirttilahti
Käyttäjä
Poissa

Viestejä: 2348


« Vastaus #2 : Maaliskuu 23, 2010, 20:11:21 »

Kummallista, että vieläkin käytetään plaintext-salasanoja missään palvelinsovelluksessa

Verkossa on niin monta eri tapaa tehdä kuin tekijääkin.

Kaikki eivät ymmärrä saati ehdi ajatella asioita niin monelta kantilta tehdessään. Hymyilee
tallennettu
Tuukka Ryyppö
Käyttäjä
Poissa

Viestejä: 3078


« Vastaus #3 : Maaliskuu 24, 2010, 00:22:33 »

Uutislinkki
Tietoturvaviranomaisen varoitus
Uutislinkki 2

Älypää-pelisivustolta pääsi eilen vuotamaan yli 100000 suomalaista sähköposti- ja salasanayhdistelmää kenen tahansa luettavaksi selväkielisessä muodossa.

Jos olet rekisteröitynyt Älypää.comiin ja käytät samaa salasanaa muilla sivustoilla (kuten Vaunut.orgissa), vaihda salasana kiireesti!

Alypaa.comissa salasanat oli tallennettu palvelimelle selkokielisenä puhtaaseen tekstimuotoon. Jokaisella tietoturvasta huolehtivalla sivustolla Vaunut.org mukaanlukien salasanat on tallennettu salattuna palvelimelle, jolloin vuotaneenkin tiedon hyödyntäminen muissa verkkopalveluissa hankaloituu merkittävästi.

Oman sähköpostiosoitteen mukanaolon vuotaneella listalla voi tarkistaa esimerkiksi tästä turvallisesti.

Tuotatuota.. Eikös tuo Md5, johon linkkasit sanan "salattuna", ole murrettu jo ajat sitten? Eli varsinaisesti ne eivät kovin salattuja ole vorkissakaan. Tukeeko tämä foorumisofta edes mitään parempaa salausta? PHPbb:hän ainakaan ei tue, mihin on todella outo syy: Kaikki PHP-versiot eivät tue muita kuin Md5-salausta. (ja siksi mahdollisuutta toimivaan salaukseen ei anneta niillekään, joiden PHP:t sitä tukisivat..)
tallennettu

Matkustaminen on kallista. Paitsi jos päättää olla maksamatta majoituksesta. Jee!
Teemu Peltonen
Ylläpito
Käyttäjä
Poissa

Viestejä: 267


« Vastaus #4 : Maaliskuu 24, 2010, 07:57:44 »

Tuotatuota.. Eikös tuo Md5, johon linkkasit sanan "salattuna", ole murrettu jo ajat sitten? Eli varsinaisesti ne eivät kovin salattuja ole vorkissakaan. Tukeeko tämä foorumisofta edes mitään parempaa salausta? PHPbb:hän ainakaan ei tue, mihin on todella outo syy: Kaikki PHP-versiot eivät tue muita kuin Md5-salausta. (ja siksi mahdollisuutta toimivaan salaukseen ei anneta niillekään, joiden PHP:t sitä tukisivat..)
"salaus" ja "murrettu" ovat hiukan suhteellisia käsitteitä yksisuuntaisen tiivistyksen yhteydessä. Joka tapauksessa salasanoihin lisätään hiukan suolaa ennen niiden tiivistämistä, joten hiukan suoraa salasanan tiivistämistä turvallisemmilla vesillä ollaan. Lisäksi käytetään sha1-tiivistettä md5-tiivisteen sijaan.

Tietysti auttaa vielä suuresti jos käyttäjällä on turvallinen salasana, huono salasana on huono salasana vaikka järjestelmä tekisi mitä taikoja.

tallennettu
Jouni Hytönen
Käyttäjä
Poissa

Viestejä: 1795


« Vastaus #5 : Maaliskuu 24, 2010, 09:06:49 »

Tietysti auttaa vielä suuresti jos käyttäjällä on turvallinen salasana, huono salasana on huono salasana vaikka järjestelmä tekisi mitä taikoja.
Tähän tietomurtoon liittyen on jo verkossa tietoa, että kaapatuista salasanoista yleisin oli niinkin kekseliäs kuin "salasana". Virnistää

http://plaza.fi/muropaketti/ovatko-suomalaiset-todella-nain-tyhmia-muroaktiivit-listasivat-eilisen-vuodon-20-suosituinta-salasanaa
« Viimeksi muokattu: Maaliskuu 24, 2010, 10:25:01 kirjoittanut Jouni Hytönen » tallennettu
Tuukka Ryyppö
Käyttäjä
Poissa

Viestejä: 3078


« Vastaus #6 : Maaliskuu 24, 2010, 11:20:20 »

Tietysti auttaa vielä suuresti jos käyttäjällä on turvallinen salasana, huono salasana on huono salasana vaikka järjestelmä tekisi mitä taikoja.
Tähän tietomurtoon liittyen on jo verkossa tietoa, että kaapatuista salasanoista yleisin oli niinkin kekseliäs kuin "salasana". Virnistää

http://plaza.fi/muropaketti/ovatko-suomalaiset-todella-nain-tyhmia-muroaktiivit-listasivat-eilisen-vuodon-20-suosituinta-salasanaa

Jos olisin rekisteröitynyt Älypää-sivulle, omakin salasanani saattaisi olla "salasana", koska en kokisi sivua mitenkään tärkeäksi. Silloin kun salasanan häviämisellä ei menetä mitään, käytän mieluiten sellaista salasanaa, joka 1) ei ole käytössä missään tärkeässä paikassa, 2) on helppo muistaa. "salasana" on tähän tarkoitukseen sopiva.
tallennettu

Matkustaminen on kallista. Paitsi jos päättää olla maksamatta majoituksesta. Jee!
[Tunnus poistettu]
Vieras
« Vastaus #7 : Maaliskuu 24, 2010, 20:22:51 »

Tuotatuota.. Eikös tuo Md5, johon linkkasit sanan "salattuna", ole murrettu jo ajat sitten?
Tuotatuota... eihän md5 ole salaus vaan yksisuuntainen hash. Ei md5:sta ole mitenkään palautettavissa sitä merkkiyhdistelmää, jonka hash se on.
tallennettu
Juhani Pirttilahti
Käyttäjä
Poissa

Viestejä: 2348


« Vastaus #8 : Maaliskuu 24, 2010, 23:15:36 »

Tuotatuota... eihän md5 ole salaus vaan yksisuuntainen hash. Ei md5:sta ole mitenkään palautettavissa sitä merkkiyhdistelmää, jonka hash se on.

Paitsi kokeilemalla kaikki vaihtoehdot läpi, kunnes tärppää.

Niitä vaihtoehtoja toisaalta on _paljon_ ja toisaalta mitä pidemmästä sanasta tehty, sen kauemmin siinä menee...

Toisaalta md5-summa voi olla sama useammallekin eri merkkiyhdistelmälle...
tallennettu
Olli Keski-Rahkonen
Ylläpito
Käyttäjä
Poissa

Viestejä: 264


« Vastaus #9 : Maaliskuu 24, 2010, 23:39:08 »

Tuotatuota.. Eikös tuo Md5, johon linkkasit sanan "salattuna", ole murrettu jo ajat sitten? Eli varsinaisesti ne eivät kovin salattuja ole vorkissakaan. Tukeeko tämä foorumisofta edes mitään parempaa salausta? PHPbb:hän ainakaan ei tue, mihin on todella outo syy: Kaikki PHP-versiot eivät tue muita kuin Md5-salausta. (ja siksi mahdollisuutta toimivaan salaukseen ei anneta niillekään, joiden PHP:t sitä tukisivat..)

Enhän toki sanonut, ettei salausta olisi murrettu tai että se olisi vedenpitävä. Salausalgoritmit ovat ihmisten tekemiä, ja myöskin SHA-1 on jo kyetty murtamaan. Eri asia onkin, miten kannattavaa on ruveta murtamaan vorgin käyttäjien salasanoja, vaikka pieni osa löytyisikin valmiiksi erilaisista tietokannoista.
tallennettu
Juha Paulavuo
Käyttäjä
Poissa

Viestejä: 551


« Vastaus #10 : Maaliskuu 25, 2010, 08:15:17 »

Lainaus

Eikös Älypää ole Suomen Mensan kehittämä ja kai jotenkin ylläpitämä ja/tai valvoma? Vai kenelle tästä hienosta uutisesta pitäisi antaa kunnia?

Älypää kuuluu Sanoman sähköisen viestinnän liiketoimintaryhmän Sanoma Entertainmentin Gaming & Online -yksikköön.
tallennettu
[Tunnus poistettu]
Vieras
« Vastaus #11 : Maaliskuu 26, 2010, 16:44:35 »

Paitsi kokeilemalla kaikki vaihtoehdot läpi, kunnes tärppää.

Niitä vaihtoehtoja toisaalta on _paljon_ ja toisaalta mitä pidemmästä sanasta tehty, sen kauemmin siinä menee...
Käytän md5-hashia epävarman verkon yli siirrettävän datan eheyden testaamiseen. Haluaisinpa nähdä sen laitteen, joka selvittää esimerkiksi 30 kilotavun zipin alkuperäisen sisällön pelkän md5-hashin perusteella... No joo, salasanoistahan tässä oli kysymys. Haluaako joku kokeilla? Voin julkaista yhden silloin tällöin käyttämäni salasanan md5-summan täällä. Jos joku onnistuu siitä generoimaan oikean salasanan, sanokaamme elokuun loppuun mennessä, tarjoan hyvän päivällisen juomineen jossain pääkaupunkiseutulaisessa ravitsemusliikkeessä. Ottaako joku haasteen vastaan?

Lainaus
Toisaalta md5-summa voi olla sama useammallekin eri merkkiyhdistelmälle...
Kyllä, ja tämähän tietysti lisää mahdollisuuksia saada aikaan salasanaan sopiva hash. On se mahdollisuus silti melko pieni.
tallennettu
Jukka-Pekka Manninen
Käyttäjä
Poissa

Viestejä: 144


« Vastaus #12 : Huhtikuu 01, 2010, 08:53:04 »

Haluaako joku kokeilla? Voin julkaista yhden silloin tällöin käyttämäni salasanan md5-summan täällä.

En suosittele julkaisemaan ellet ensin vaihda sitä toiseen joka paikassa. Vakavissaan olevilla kräkkereillä kun on valmiiksi laskettuna isot listat eri salasanojen hajautuksia, joilla salasanasi murtuu pahimmillaan sekunnin murto-osassa.

Lainaus käyttäjältä: Juhani Pirttilahti
Toisaalta md5-summa voi olla sama useammallekin eri merkkiyhdistelmälle...
Kyllä, ja tämähän tietysti lisää mahdollisuuksia saada aikaan salasanaan sopiva hash. On se mahdollisuus silti melko pieni.

Verkkopalveluissa suurin riski onkin kun useampi käyttäjä käyttää samaa salasanaa. Tällöin suorasta summasta näkee heti, keillä kaikilla on sama salasana, jos hyökkääjä pääsee käsiksi käyttäjätietokantaan.

Tätä torjutaan lisäämällä salasanaan ns. suola, satunnainen merkkijono, ennen hajautussumman laskemista. Suola pitää tietenkin tallentaa salaamattomana, jotta salasanan tarkistaminen kirjautuessa olisi mahdollista, mutta koska se on joka käyttäjälle eri, joka käyttäjän summakin on eri vaikka salasana olisikin sama. Tämä torjuu samalla myös yllä mainitsemaani hash-tauluhyökkäystä vastaan, sillä taulujen tallentaminen murto-osallekaan kaikista mahdollisista suola+salasanayhdistelmistä vaatisi aivan järkyttävän tallennustilan.

Toki tallennuskapasiteetin saatavuus kasvaa eksponentiaalisesti. Siksi tietoturvallisuus onkin (muun ohella) jatkuvaa kilpajuoksua aina vain kehittyneempien suojaus- ja murtomenetelmien välillä.
tallennettu
[Tunnus poistettu]
Vieras
« Vastaus #13 : Huhtikuu 01, 2010, 20:52:50 »

En suosittele julkaisemaan ellet ensin vaihda sitä toiseen joka paikassa. Vakavissaan olevilla kräkkereillä kun on valmiiksi laskettuna isot listat eri salasanojen hajautuksia, joilla salasanasi murtuu pahimmillaan sekunnin murto-osassa.
Ja höpsis! Epäilemättä "vakavissaan oleva kräkkeri" voi onnistua löytämään jonkun kirjainyhdistelmän, johon md5-has mätsää. Sillä kräkkerillä ei kuienkaan voi olla aavistustakaan onko se kirjainyhdistelmä oikea. Toki jos kyseessä olisi sanakirjasta löytyvä sana (tai ehkä jopa siitä parilla numerolla muunnettu) tuo saattaisi onnistuakin. Mutta minäpä en kerro onko kyseessä sanakirjasta löytyvä sana, en myöskään sitä, onko po. salasanassa 3 vain 1500 merkkiä vaiko ehkä jotain siltä väliltä.

Lainaus
Verkkopalveluissa suurin riski onkin kun useampi käyttäjä käyttää samaa salasanaa. Tällöin suorasta summasta näkee heti, keillä kaikilla on sama salasana, jos hyökkääjä pääsee käsiksi käyttäjätietokantaan.

Toki. Verkkopalveluissa yleensä neuvotaa kuinka hyvä salasana muodostetaan ja verkkopalvelun käyttäjät yleensä jättävät ohjeen lukematta. Seurauksena voi olla it-maailman Darwin Award.

Lainaus
Tätä torjutaan lisäämällä salasanaan ns. suola, satunnainen merkkijono, ennen hajautussumman laskemista. Suola pitää tietenkin tallentaa salaamattomana, jotta salasanan tarkistaminen kirjautuessa olisi mahdollista, mutta koska se on joka käyttäjälle eri, joka käyttäjän summakin on eri vaikka salasana olisikin sama. Tämä torjuu samalla myös yllä mainitsemaani hash-tauluhyökkäystä vastaan, sillä taulujen tallentaminen murto-osallekaan kaikista mahdollisista suola+salasanayhdistelmistä vaatisi aivan järkyttävän tallennustilan.

Tokihan voitaisiin käyttää myös challence-response autentikaatiota.
tallennettu
Jukka-Pekka Manninen
Käyttäjä
Poissa

Viestejä: 144


« Vastaus #14 : Huhtikuu 08, 2010, 13:39:38 »

Ja höpsis! Epäilemättä "vakavissaan oleva kräkkeri" voi onnistua löytämään jonkun kirjainyhdistelmän, johon md5-has mätsää. Sillä kräkkerillä ei kuienkaan voi olla aavistustakaan onko se kirjainyhdistelmä oikea. Toki jos kyseessä olisi sanakirjasta löytyvä sana (tai ehkä jopa siitä parilla numerolla muunnettu) tuo saattaisi onnistuakin. Mutta minäpä en kerro onko kyseessä sanakirjasta löytyvä sana, en myöskään sitä, onko po. salasanassa 3 vain 1500 merkkiä vaiko ehkä jotain siltä väliltä.

Entäs sitten? Sivustohan vertaa nimenomaan antamastasi salasanasta saamaansa md5-summaa rekisteröityessäsi(/salasanaa vaihtaessasi) tallennettuun summaan. Ei sillä ole mitään väliä, onko ne salasanat oikeasti samat, kunhan niistä tulee sama summa. Tuohonkin sitä suolaa sitten tarvitaan: jos kahteen eri salasanaan, joista sattuu tulemaan sama summa, lisätään sama suola, lopputuloksena saaduista merkkijonoista tuleekin eri summa! Paitsi jos summafunktio ei ole pätevä, mutta sellaisia ei tulekaan käyttää.

Toki. Verkkopalveluissa yleensä neuvotaa kuinka hyvä salasana muodostetaan ja verkkopalvelun käyttäjät yleensä jättävät ohjeen lukematta. Seurauksena voi olla it-maailman Darwin Award.

Siltikin, tai etenkin siksi tietojen tallentaminen ilman edes perussuojausmenetelmiä on henkilörekisterilain vastaista.

Tokihan voitaisiin käyttää myös challence-response autentikaatiota.

Kävisikö challenge: "anna käyttäjätunnus ja salasana", response: "pheikkin", "sala sana"?  Näyttää kieltä

Taisit kuitenkin tarkoittaa enemmän jotain molemminpuolisen tunnistautumisen haaste-vastaus-menetelmien kaltaista? Niihinkin tarvitaan se yhteinen salaisuus, eli salasana tai sen md5-summa, joka on sitten pidettävä turvassa serverillä.
tallennettu
[Tunnus poistettu]
Vieras
« Vastaus #15 : Huhtikuu 13, 2010, 10:55:51 »

Lainaus käyttäjältä: Jukka-Pekka Manninen link=topic=1767.msg11020#msg11020
Entäs sitten? Sivustohan vertaa nimenomaan antamastasi salasanasta saamaansa md5-summaa rekisteröityessäsi(/salasanaa vaihtaessasi) tallennettuun summaan.
Totta. Siis kenen hyvänsä salasana on murrettavissa yksinkertaisesti hakkaamalla läpi kaikki mahdolliset md5-hashit palvelinta vastaan.

Lainaus
Kävisikö challenge: "anna käyttäjätunnus ja salasana", response: "pheikkin", "sala sana"?  Näyttää kieltä
No ei käy.

Lainaus
Taisit kuitenkin tarkoittaa enemmän jotain molemminpuolisen tunnistautumisen haaste-vastaus-menetelmien kaltaista?
Sujuuko englanti?

Lainaus
Niihinkin tarvitaan se yhteinen salaisuus, eli salasana tai sen md5-summa, joka on sitten pidettävä turvassa serverillä.
Niinkö?
tallennettu
Jukka-Pekka Manninen
Käyttäjä
Poissa

Viestejä: 144


« Vastaus #16 : Huhtikuu 13, 2010, 13:09:19 »

Lainaus käyttäjältä: Jukka-Pekka Manninen link=topic=1767.msg11020#msg11020
Entäs sitten? Sivustohan vertaa nimenomaan antamastasi salasanasta saamaansa md5-summaa rekisteröityessäsi(/salasanaa vaihtaessasi) tallennettuun summaan.
Totta. Siis kenen hyvänsä salasana on murrettavissa yksinkertaisesti hakkaamalla läpi kaikki mahdolliset md5-hashit palvelinta vastaan.

Joita on reilut 3.4 * 1038 kappaletta. Tuo lukumäärä 8-merkkisiä (melko tyypillinen mitta) salasanaehdokkaita vaatisi noin 2.75 * 1027 teratavua tallennustilaa. MD5-summat sitten tuplat sen, jos haluaa tehdä hakuja summasta salasanaan. Vertailun vuoksi kovalevyjen tallennuskapasiteetti pyörii tällä hetkellä satojen teratavujen luokassa.

Toisaalta noiden laskeminen lennossakin vaatisi melko paljon aikaa. Jos 4GHz prosessori laskisi yhden summan kellojaksossa (erittäin optimistinen lukema) kaikkien mahdollisten läpikäymiseen kuluisi n. 8.5 * 1028 sekuntia, eli vajaat 2.7 * 1021 vuotta. Maailman tehokkain tietokone (Cray XT5 'Jaguar', marraskuussa 2009) tarvitsisi samaan (jos se laskisi yhden summan yhdellä liukulukuoperaatiolla, edelleen ylioptimistista) "vain" n. 1.9 * 1023 sekuntia eli n. 6.1 * 1015 vuotta.

MD5 on kuitenkin tässä suhteessa "murrettu" eli on löydetty useampia merkkijonoja joista saadaan sama summa. Siksi nykyään kannattaakin mieluummin käyttää SHA-algoritmia jonka summakin on pidempi, ja siksi ym. luvutkin ovat neljä miljardia kertaa isompia.

Sujuuko englanti?

Kyllä. Tämä on suomenkielinen foorumi.

Lainaus
Niihinkin tarvitaan se yhteinen salaisuus, eli salasana tai sen md5-summa, joka on sitten pidettävä turvassa serverillä.
Niinkö?

No onnistuuhan tuo julkisen avaimen salauksillakin ilman yhteistä salaisuutta. Sitten vain pitäisi pakottaa käyttäjät luottamaan vielä yhteen kolmannen osapuolen ohjelmaan, kun yleisimmissä selaimissa ei tuollaista ominaisuutta ole, tai laskemaan päässään/paperilla kertolaskuja kuusisataanumeroisilla luvuilla. Hiukan raskaita ratkaisuja 99% sivustoista.
tallennettu
[Tunnus poistettu]
Vieras
« Vastaus #17 : Huhtikuu 16, 2010, 18:34:21 »

Siksi nykyään kannattaakin mieluummin käyttää SHA-algoritmia jonka summakin on pidempi, ja siksi ym. luvutkin ovat neljä miljardia kertaa isompia.
Toki, ilman muuta - nyt vain puhuttiin nimenomaan md5:sta.

Lainaus
No onnistuuhan tuo julkisen avaimen salauksillakin ilman yhteistä salaisuutta.
Niinpä... Siis onnistuu.

Lainaus
Sitten vain pitäisi pakottaa käyttäjät luottamaan vielä yhteen kolmannen osapuolen ohjelmaan, kun yleisimmissä selaimissa ei tuollaista ominaisuutta ole

Yllättävänkin moni osaa käyttää mm. gpg:ta (tai pgp:ta) ja luottaa siihen. En ole (missään vaiheessa ollut) vakuuttunut siitä, että seitin tekniikka olisi mitenkään järkevää tunnistautumista vaativiin palveluihin. Ne nyt vain ovat ryöstäytyneet käsistä kaikemaailman turhanaikaisten foorumeiden (vaunut.org?) myötä. Osa kunniasta menee Microsoftille, muttei toki kaikki. Julkisia keskustelua varten nntp on hemmetin paljon kätevämpi ja järkevämpi teknologia, noin esimerkiksi.

Mutta nyt mennään jo niin kauas ohi vorgin aihepiiristä, että minä lopetan ennenkuin ylläpito lopettaa minut.
tallennettu
Sivuja: [1] | Siirry ylös Tulostusversio 
Resiina  |  Resiinan nettisivusto  |  Aihe: Älypää-sivuston tietomurto  |  << edellinen seuraava >>
Siirry:  
Powered by SMF | SMF © 2006-2008, Simple Machines | © 2024 Resiina