Uutiset:

Ilmoitustaulu mahdollisten ongelmien varalta (wikimedia.org / Etherpad)

Sähköpostia ylläpidolle: kantapaikanherra (at) gmail.com

Main Menu

Tietokoneketju

Aloittaja Lenny, tammikuu 03, 2019, 12:24:19

« edellinen - seuraava »

0 Jäsenet ja 1 Vieras katselee tätä aihetta.

Lenny

Lainsäädäntö ennen luontoa (Immanuel Kant)

Lenny

#1
Päivän vinkki: kun sähkökatkos yllättää, ja on ehdottoman välttämätöntä kirjoitella foorumille hämärässä huoneessa varavoimalla (läppärin patteri + kännykkä), kannattaa ottaa käyttöön laajennus Dark Reader, joka löytyy ainakin Firefoxille ja Chromelle.

Dark Reader tekee värimaailmalle taidokkaan inversion, eli muuttaa taustat tummiksi ja tekstit vaaleiksi. Ei satu enää päähän!

Lainsäädäntö ennen luontoa (Immanuel Kant)

Lenny

Onnistuin pelastamaan työpaikan roskalavalta ohjelmointiklassikon Structure and Interpretation of Computer Programs.

"The Wizard Book" on kiehtonut jo muutaman vuosikymmenen ajan opiskelijoita, tutkijoita ja alan harrastajia. Lainaan tähän voimallista avauskappaletta niin saatte ehkä käsityksen miksi:

We are about to study the idea computational process. Computational processes are abstract beings that inhabit computers. As they evolve, processes manipulate other abstract beings called data. The evolution of process is directed by a pattern of rules called a program. People create programs to direct processes. In effect, we conjure the spirits of the computer with our spells.

Niin että tietokoneetko tylsiä?

Lainsäädäntö ennen luontoa (Immanuel Kant)

a4

^ Upea kirja tuon perusteella. Luen sivun päivätahdilla sinänsä kevyttä luettavaa, vaikka nimi onkin pelottavan ankea INFORMAATIO.
Juuri nyt mennään kohdassa jossa Babbage ja eräs kotirouva joutuvat tyytymään lähinnä mielinuvituksessaan rakentamaan mekaanista universaalia tietokonetta ja ohjelmointia sekä siihen liittyvää käsitteistöä.
Veikkaan että kirjassa mainitaan myöhemmin myös tämäkin mainitsemasi informaation helmi.
https://www.prisma.fi/fi/prisma/informaatio-kovakantinen-kirja

MrKAT

#4
YLE: 140 miljoonaa salasanaa vuosi : https://yle.fi/uutiset/3-10600877
Tarkista oma sähköpostisi.. https://www.is.fi/digitoday/tietoturva/art-2000005968315.html
josta tarkitussivu:
  https://haveibeenpwned.com/

Valitettavasti minullakin:
  "Oh no — pwned!
  Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"


Mutta mitä se tarkalleen ottaen tarkoittaa?
-Email on julkinen?
-Salasana kryptona julkinen vai
               itse salasanakin julkinen?
-Vai että sisällystä luettu ilman salasanojakin?

Vaihdoin sen sa:ni.
Modernisoiden: "Laita paska AI asialle ja juokse itse perässä".

Lenny

Lainaus käyttäjältä: MrKAT - tammikuu 17, 2019, 23:58:47
YLE: 140 miljoonaa salasanaa vuosi : https://yle.fi/uutiset/3-10600877
Tarkista oma sähköpostisi.. https://www.is.fi/digitoday/tietoturva/art-2000005968315.html
josta tarkitussivu:
  https://haveibeenpwned.com/

Valitettavasti minullakin:
  "Oh no — pwned!
  Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"


Mutta mitä se tarkalleen ottaen tarkoittaa?
-Email on julkinen?
-Salasana kryptona julkinen vai
               itse salasanakin julkinen?
-Vai että sisällystä luettu ilman salasanojakin?

Vaihdoin sen sa:ni.

Palvelun mukaan osa salasanoista on heillä kryptattuna, osa suoraan sellaisenaan.  Tämä on täysin alustariippuvainen, eli miten se saitti jossa vuoto on tapahtunut tallentaa salasanat.

Esimerkiksi SMF tallentaa kryptattuna, mutta salasana menee sellaisenaan kirjautumisen yhteydessä. Kantapaikka käyttää SSL-suojausta pakotettuna, joten salasanan vuotaminen esim. julkisen wifi-verkon kautta ei ole ongelma mikäli käyttäjä pitää huolen siitä, että se lukonkuva osoitekentän vasemmalla puolella on vihreä ja foorumin käyttäminen tapahtuu muutenkin ilman mitään ylimääräisiä selaimen herjoja.

Palvelun kautta voi imuroida (11G suuruisen) paketin jossa on kaikki vuodetut salasanat sellaisessa muodossa, että siitä ei voi johtaa itse salasanaa (SHA-1 hash). Ilmeisesti sitten on niin, että mikään noista palveluista ei ota vastaan salasanaa SHA-1-muodossa. Siellä on myös lomake, jossa voi kokeilla omaa salasanaansa. En itse luottaisi siihen.

Otin itse käyttöön salasanamanagerin (tässä hyvä juttu aiheesta) joitakin vuosia sitten. Idea siinä on, että managerin avulla luodaan jokaiselle palvelulle oma, täysin satunnainen salasana, jota käyttäjän ei tarvitse edes tietää. Oikeastaan kyse ei siis ole edes "sanasta", vaan pitkästä ketjusta satunnaisia merkkejä. Käyttäjän tarvitsee vain siis tietää salasanamanagerin salasana, joka voi olla sellainen minkä muistaa ja jaksaa kirjoittaa. Sitten salasanamanagerista vain kopioidaan aina jokaisen palvelun salasana tarvittaessa. Niissä on yleensä helppo toiminto tätä varten.

Muistan kun kävin läpi kaikki käyttämäni palvelut ja vaihdoin salasanan. Taisi olla juuri tuo Dropboxin vuoto 2016 jonka jälkeen päätin, että ei enää tätä minulle. Ei se ollut loppujen lopuksi kovinkaan iso urakka. No ei minulla toisaalta ole kuin ehkä kymmenkunta aktiivisessa käytössä olevaa palvelua. Uusien palveluiden lisääminen salasanamanageriin on helppoa kun ei tarvitse miettiä että mitäköhän sitä laittaisi tällä kertaa, uskaltaako käyttää samaa salasanaa kuin muihinkin palveluihin jne. Suosittelen.

Jos ei halua tai osaa ottaa käyttöön salasanamanageria, jopa kotikutoinen manageri on parempi kuin jonkun yksittäisen, helposti muistettavan salasanan käyttäminen kaikkiin palveluihin. Kotikutoinen manageri voisi olla vaikkapa ihan tekstitiedosto notepadissa, johon jokaiselle palvelulle rämpytetään siansaksaa vaikkapa n. 30 merkkiä. Sitten vain aina copy-pastella tiedostosta salasana ja annetaan selaimen muistaa sen. Oikeastaan siis salasanamageri tekee juuri tuon, mutta paljon hienostuneemmin.
Lainsäädäntö ennen luontoa (Immanuel Kant)

Karikko

Tarkistaminen onnistuu helposti syöttämällä käyttämänsä käyttäjätunnuksen - esimerkiksi sähköpostiosoitteensa - Have I been pwned? -verkkosivulla olevaan tekstikenttään. Sivu antaa tuloksena, onko sähköpostiosoite ollut mukana tietovuodossa.

Jos käytät useampaa sähköpostiosoitetta, kannattaa kaikkia kokeilla yksitellen.

"Oh no - pwned!" -vastaus kertoo, että olet yksi jonkun murron uhreista. Lisäksi palvelu listaa murrot, joissa sähköpostiosoite tai käyttäjätunnus on ollut mukana.

Hunt ei kuitenkaan kerro käyttäjätunnuksien kanssa käytettyjä salasanoja, sillä tämä paljastaisi tiedon myös hakkereille.
Lue lisää: Keksitkö mielestäsi "loistavan" salasanan? Näin testaat, onko se jo vuotanut
Jos käyttäjätunnus on paljastunut, kannattaa vaihtaa salasana ainakin siinä palvelussa, josta se on vuotanut. Jos samaa käyttäjätunnusta ja salasanaa on käyttänyt muissakin palveluissa, kannattaa salasana vaihtaa myös niissä.

Ongelma on, että Collection #1 on tietokokoelma, johon on koottu tietoja useista aiemmista murroista. Sähköpostiosoitteen löytyminen siitä ei siis välttämättä paljasta, mistä tieto palvelusta on alunperin vuotanut.

Huolestuttavaa on myös, että kokoelmasta löytyi noin 140 miljoonaa täysin uutta käyttäjätunnusta, joiden alkuperästä ei ole vielä tietoa.



Jos noita tarkistelee, tarkoittaako se sitä, että silloin ainakin kertoo SP- olevan toimiva ja sitäkin voi joku käyttää hyväkseen.

Lenny

Lainaus käyttäjältä: Karikko - tammikuu 18, 2019, 11:51:43
Jos noita tarkistelee, tarkoittaako se sitä, että silloin ainakin kertoo SP- olevan toimiva ja sitäkin voi joku käyttää hyväkseen.

Hyvä kysymys. Täällä on lista niistä palveluista joista on vuodettu: https://haveibeenpwned.com/PwnedWebsites

Äkkiseltään katsoen siellä ei ole ainoataan suurta sähköpostipalvelua, kuten gmail.

Mutta jos on tapana käyttää samaa salasanaa joka paikassa, kannattaa varautua pahimpaan. Jos siis joku pahis saa käsiinsä palvelusta ZYX salasanan osoitteelle matti.meikalainen@gmail.com, en ihmettelisi jos se koittaisi voiko samalla salasanalla kirjautua gmailiin.
Lainsäädäntö ennen luontoa (Immanuel Kant)

Hayabusa

Lainaus käyttäjältä: Lenny - tammikuu 18, 2019, 03:46:24
Jos ei halua tai osaa ottaa käyttöön salasanamanageria, jopa kotikutoinen manageri on parempi kuin jonkun yksittäisen, helposti muistettavan salasanan käyttäminen kaikkiin palveluihin. Kotikutoinen manageri voisi olla vaikkapa ihan tekstitiedosto notepadissa, johon jokaiselle palvelulle rämpytetään siansaksaa vaikkapa n. 30 merkkiä. Sitten vain aina copy-pastella tiedostosta salasana ja annetaan selaimen muistaa sen. Oikeastaan siis salasanamageri tekee juuri tuon, mutta paljon hienostuneemmin.

Harvemmin käytettyjen palvelujen kohdalla tuollainen kotikutoinen tiedostojuttu on käytössä. Se on tallessa kryptatulla tikulla. Varakappalekin on, mutta se taasen on todella hyvässä jemmassa...

An nescis, mi fili, quantilla prudentia mundus regatur

Lenny

Lainaus käyttäjältä: Hayabusa - tammikuu 18, 2019, 13:00:48
Harvemmin käytettyjen palvelujen kohdalla tuollainen kotikutoinen tiedostojuttu on käytössä. Se on tallessa kryptatulla tikulla.

Tuohan on jo todella lähellä manageria, koska nehän pitää salasanat kryptattuna.
Lainsäädäntö ennen luontoa (Immanuel Kant)

MrKAT

Tuo saamani Oh no.. ilmoitus tuli - nimet takaperin lukien - 42imous-s-osoitteestani mutta valitettavasti myös siitä liamg:ssa olevastani (joka on henk koht. enkä julkisesti käytä).

Modernisoiden: "Laita paska AI asialle ja juokse itse perässä".

postman

Lainaus käyttäjältä: Lenny - tammikuu 18, 2019, 03:46:24
Lainaus käyttäjältä: MrKAT - tammikuu 17, 2019, 23:58:47
YLE: 140 miljoonaa salasanaa vuosi : https://yle.fi/uutiset/3-10600877
Tarkista oma sähköpostisi.. https://www.is.fi/digitoday/tietoturva/art-2000005968315.html
josta tarkitussivu:
  https://haveibeenpwned.com/

Valitettavasti minullakin:
  "Oh no — pwned!
  Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"


Mutta mitä se tarkalleen ottaen tarkoittaa?
-Email on julkinen?
-Salasana kryptona julkinen vai
               itse salasanakin julkinen?
-Vai että sisällystä luettu ilman salasanojakin?

Vaihdoin sen sa:ni.

Palvelun mukaan osa salasanoista on heillä kryptattuna, osa suoraan sellaisenaan.  Tämä on täysin alustariippuvainen, eli miten se saitti jossa vuoto on tapahtunut tallentaa salasanat.

Esimerkiksi SMF tallentaa kryptattuna, mutta salasana menee sellaisenaan kirjautumisen yhteydessä. Kantapaikka käyttää SSL-suojausta pakotettuna, joten salasanan vuotaminen esim. julkisen wifi-verkon kautta ei ole ongelma mikäli käyttäjä pitää huolen siitä, että se lukonkuva osoitekentän vasemmalla puolella on vihreä ja foorumin käyttäminen tapahtuu muutenkin ilman mitään ylimääräisiä selaimen herjoja.

Palvelun kautta voi imuroida (11G suuruisen) paketin jossa on kaikki vuodetut salasanat sellaisessa muodossa, että siitä ei voi johtaa itse salasanaa (SHA-1 hash). Ilmeisesti sitten on niin, että mikään noista palveluista ei ota vastaan salasanaa SHA-1-muodossa. Siellä on myös lomake, jossa voi kokeilla omaa salasanaansa. En itse luottaisi siihen.

Otin itse käyttöön salasanamanagerin (tässä hyvä juttu aiheesta) joitakin vuosia sitten. Idea siinä on, että managerin avulla luodaan jokaiselle palvelulle oma, täysin satunnainen salasana, jota käyttäjän ei tarvitse edes tietää. Oikeastaan kyse ei siis ole edes "sanasta", vaan pitkästä ketjusta satunnaisia merkkejä. Käyttäjän tarvitsee vain siis tietää salasanamanagerin salasana, joka voi olla sellainen minkä muistaa ja jaksaa kirjoittaa. Sitten salasanamanagerista vain kopioidaan aina jokaisen palvelun salasana tarvittaessa. Niissä on yleensä helppo toiminto tätä varten.

Muistan kun kävin läpi kaikki käyttämäni palvelut ja vaihdoin salasanan. Taisi olla juuri tuo Dropboxin vuoto 2016 jonka jälkeen päätin, että ei enää tätä minulle. Ei se ollut loppujen lopuksi kovinkaan iso urakka. No ei minulla toisaalta ole kuin ehkä kymmenkunta aktiivisessa käytössä olevaa palvelua. Uusien palveluiden lisääminen salasanamanageriin on helppoa kun ei tarvitse miettiä että mitäköhän sitä laittaisi tällä kertaa, uskaltaako käyttää samaa salasanaa kuin muihinkin palveluihin jne. Suosittelen.

Jos ei halua tai osaa ottaa käyttöön salasanamanageria, jopa kotikutoinen manageri on parempi kuin jonkun yksittäisen, helposti muistettavan salasanan käyttäminen kaikkiin palveluihin. Kotikutoinen manageri voisi olla vaikkapa ihan tekstitiedosto notepadissa, johon jokaiselle palvelulle rämpytetään siansaksaa vaikkapa n. 30 merkkiä. Sitten vain aina copy-pastella tiedostosta salasana ja annetaan selaimen muistaa sen. Oikeastaan siis salasanamageri tekee juuri tuon, mutta paljon hienostuneemmin.

Hienoa saada joskus salasanoista jotain julkistakin tietoa, sitä oikeaoppista ja täsmällistä..

Siansaksaista salasanaa en itse ottaisi mihinkään palveluun, vaikka maksettaisiin.

Joskus kyllä rimputtelen 15-25 merkkisiä salasanoja, joita minullakin on useita, niin rämpyttelen ja hoen niitä jopa unissani.

Osaan muuten vieläkin alokasaikana saamani kiväärin numeron ulkoa, vaikka heti heräisin aamukaffeelle.

Mutta jopas aliupseerikoulutuksessa saamani konepistoolin numero on hetkittäin muistissa. Toki se sotkeutuu aika  ajoin sotu-numeroni kanssa, koska siinä on samoja numeroryppäitä

Kadun numeromme on onneksi heleppo muistaa, se on vain puolitusinaa.

Lenny

Lainaus käyttäjältä: postman - tammikuu 18, 2019, 17:24:54
Joskus kyllä rimputtelen 15-25 merkkisiä salasanoja, joita minullakin on useita, niin rämpyttelen ja hoen niitä jopa unissani.

Toimiihan tuokin, jos vain muistaa, eipä siinä. Joskus olen itsekin käyttänyt sellaista tekniikkaa, että olen muodostanut salasanan tietyn kaavan mukaan, esim. 15 sanan ensimmäistä kirjainta kirjan X sivulta Y. Sitten olen vain painanut sen mieleen ja jos en muista, niin keltaisella lapulla on tämä metatieto jonka perusteella pystyin palauttamaan mieleen salasanan jos ja kun sen unohdan.

Mutta onhan kaikki tuollainen aika vaivalloista.

Kotitietokoneella joka on vain omassa käytössä voi tietysti laittaa ne salasanat vaikka lapulle pöydän kulmaan, ei ne sieltä interwebsiin pompi ;)

Sitten tietysti vähän ikävämpi jos vaimo ja lapset löytää ne salasanat...
Lainsäädäntö ennen luontoa (Immanuel Kant)

postman

Joo, mutta kun ei ole mitään salattavaa, niin miksi salasanat lähipiirissä ?

Lenny

Lainaus käyttäjältä: postman - tammikuu 18, 2019, 18:03:57
Joo, mutta kun ei ole mitään salattavaa, niin miksi salasanat lähipiirissä ?

No sittenhän asiat ovat hyvin! Aika monet haluavat pitää kuitenkin vaikka foorumi -tai facetunnukset vain omassa käytössä. Mutta onhan niitäkin jotka eivät koe tarvetta sellaiseen.
Lainsäädäntö ennen luontoa (Immanuel Kant)