Uutiset:

Ilmoitustaulu mahdollisten ongelmien varalta (wikimedia.org / Etherpad)

Sähköpostia ylläpidolle: kantapaikanherra (at) gmail.com

Main Menu

Tietokoneketju

Aloittaja Lenny, tammikuu 03, 2019, 12:24:19

« edellinen - seuraava »

0 Jäsenet ja 2 Vieraat katselee tätä aihetta.

Lenny

Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 12:55:30
Miksi siinä tapauksessa uutisoida ylipäätään salasanojen paljastumisesta jos toimittajalla ainut fakta on se, että hakkerit ovat kaivaneet julkisen sähköpostiosoitteeni jostain?

Yleensä kyllä osoitteet ja salasanat paljastuvat, mutta se taho joka toteuttaa tarkistuspalvelun ei yleensä jakele enää vahinkoa eteenpäin. Uutisoinnitkin voivat olla mitä sattuu. Tietysti tarkistuspalvelu voitaisiin toteuttaa jotenkin niin, että myös salasanan voisi tarkistaa, mutta se asettaisi palvelulle melkoiset vaatimukset, ja harva sellaista riskiä viitsii ottaa. Useimmille kun riittää aivan hyvin se tieto, että tunnukset ovat vuotaneet joskus.
Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

Lainaus käyttäjältä: Lenny - helmikuu 14, 2021, 13:02:31
Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 12:55:30
Miksi siinä tapauksessa uutisoida ylipäätään salasanojen paljastumisesta jos toimittajalla ainut fakta on se, että hakkerit ovat kaivaneet julkisen sähköpostiosoitteeni jostain?

Yleensä kyllä osoitteet ja salasanat paljastuvat, mutta se taho joka toteuttaa tarkistuspalvelun ei yleensä jakele enää vahinkoa eteenpäin. Uutisoinnitkin voivat olla mitä sattuu. Tietysti tarkistuspalvelu voitaisiin toteuttaa jotenkin niin, että myös salasanan voisi tarkistaa, mutta se asettaisi palvelulle melkoiset vaatimukset, ja harva sellaista riskiä viitsii ottaa. Useimmille kun riittää aivan hyvin se tieto, että tunnukset ovat vuotaneet joskus.

Mikä on se vahinko joka tuossa toistettaisiin? Miksi vuotaneen salasanan tarkistaminen on vahingon edelleenjakelua, mutta ei ole sitä yksityisen sähköpostiosoitteeni kohdalla?
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

Hippi

Eikä salasanan löytymisestä vuotolistoilta ole oikeastaan mitään hyötyä, kun sehän voi olla jonkun toisen salasana, jos ei käytä todella pitkää ja idioottiturvallista, jossa on vähän kaikenlaisia merkkejä :D

Jos salasana on tyyppiä salasana123 niin varmasti löytyy listalta.
If you see your glass as half empty, pour it in a smaller glass and stop complaining. ❤️

Lenny

Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 13:12:15
Mikä on se vahinko joka tuossa toistettaisiin? Miksi vuotaneen salasanan tarkistaminen on vahingon edelleenjakelua, mutta ei ole sitä yksityisen sähköpostiosoitteeni kohdalla?

Poikkeuksetta vuodetut tunnukset ovat tunnus-salasana -pareja. Jos minun nyt pitäisi toteuttaa tarkistuspalvelu, en todellakaan palauttaisi yhtäkään salasanaa, vaan pelkästään tunnuksen (nykyään useimmiten sähköposti) tarkistuksen. Ei että miksi? Salasanan käsittelyn pitäisi olla ainakin sen verran turvallinen, että se minun palvelu ei vuotaisi sitä edelleen jollakin tavalla. Todennäköisesti pitäisin omalla palvelimellani siis ainoastaan listaa tunnuksista. Pelkillä tunnuksilla kun ei tee oikein mitään, mikäli joku hakkeroisi sen minun tarkistuspalvelun.
Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

^^
Ajatus kai on, että hakkerit voivat kokeilla kaikkia paljastuneita salasanoja yrittäessään päästä jonkun henkilön tietohin käsiksi olettaen tietenkin, että brute force -hyökkäys on mahdollinen. Eli jos oma salasana on paljastuneiden joukossa, olisi syytä vaihtaa se ja miellään sellaiseksi, jota ei ole jo joskus hakkeroitu.
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

-:)lauri

Lainaus käyttäjältä: Lenny - helmikuu 14, 2021, 13:18:21
Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 13:12:15
Mikä on se vahinko joka tuossa toistettaisiin? Miksi vuotaneen salasanan tarkistaminen on vahingon edelleenjakelua, mutta ei ole sitä yksityisen sähköpostiosoitteeni kohdalla?

Poikkeuksetta vuodetut tunnukset ovat tunnus-salasana -pareja. Jos minun nyt pitäisi toteuttaa tarkistuspalvelu, en todellakaan palauttaisi yhtäkään salasanaa, vaan pelkästään tunnuksen (nykyään useimmiten sähköposti) tarkistuksen. Ei että miksi? Salasanan käsittelyn pitäisi olla ainakin sen verran turvallinen, että se minun palvelu ei vuotaisi sitä edelleen jollakin tavalla. Todennäköisesti pitäisin omalla palvelimellani siis ainoastaan listaa tunnuksista. Pelkillä tunnuksilla kun ei tee oikein mitään, mikäli joku hakkeroisi sen minun tarkistuspalvelun.

En ymmärrä. Meillä olisi tuossa sinun tapauksessasi ilmeisesti joku tällainen tietue:

{
    "user": "eka.kayttaja@apple.com",
    "pass": "123456"
},
{
    "user": "toka.kayttaja@google.com",
    "pass": "abcdef"
},
...


Kuinka salasanan tarkastaminen paljastaisi automaattisesti sähköpostiosoitteeni mutta sähköpostiosoitteeni tarkastaminen ei paljastaisi automaattisesti salasanaani?
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

Lenny

Ei noin. Salasanat poistettaisiin koko tiedostosta ja sitten saisit vain tarkistella sitä onko tunnuksesi vuotanut vai ei. Noin se yleensä menee.
Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

^
Miten tämä muuttuu tietoturvaongelmaksi jos salasanojen sijaan poistettaisiin tiedostosta kaikki sähköpostiosoitteet?
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

Lenny

#743
Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 13:35:57
^
Miten tämä muuttuu tietoturvaongelmaksi jos salasanojen sijaan poistettaisiin tiedostosta kaikki sähköpostiosoitteet?

Ihanko nyt tosissasi kyselet? No vastaan nyt kuitenkin tosissani. En ole täysin varma mistä nyt jankutat, mutta itse otin kantaa siihen miten nämä tarkistuspalvelut yleensä toteutetaan ja miksi. Kai tuollaisen "onko minun salasanani vuotanut"-palvelunkin voisi sitten tehdä, mutta se ei välttämättä pysty vastaamaan kysymykseen onko salasana juuri minun vai jonkun muunkin (aivan kuten Hippi tuossa yllä selitti). Tunnus sen sijaan on uniikki.

Lisäksi voisi myös ajatella, että tunnukset voi arvata helpommin. Jos koko salasanalista päätyisi vääriin käsiin, se olisi isompi ongelma kuin se, että vain käyttäjälista vuotaisi tarkistuspalvelusta.
Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

Lainaus käyttäjältä: Lenny - helmikuu 14, 2021, 13:40:44
Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 13:35:57
^
Miten tämä muuttuu tietoturvaongelmaksi jos salasanojen sijaan poistettaisiin tiedostosta kaikki sähköpostiosoitteet?

Ihanko nyt tosissasi kyselet? No vastaan nyt kuitenkin tosissani. En ole täysin varma mistä nyt jankutat, mutta itse otin kantaa siihen miten nämä tarkistuspalvelut yleensä toteutetaan ja miksi. Kai tuollaisen "onko minun salasanani vuotanut"-palvelunkin voisi sitten tehdä, mutta se ei välttämättä pysty vastaamaan kysymykseen onko salasana juuri minun vai jonkun muunkin (aivan kuten Hippi tuossa yllä selitti). Tunnus sen sijaan on uniikki.

Ihan totta kyselen, sillä sillä on minulle paljonkin väliä, ovatko kirjautumistietoni kuinka alttiita brute force -hyökkäyksille. Jos salasanani löytyy olemassaolevien listalta, se arvataan mahdollisesti jo heti ensimmäisten joukossa.
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

Lenny

Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 14:08:08
Ihan totta kyselen, sillä sillä on minulle paljonkin väliä, ovatko kirjautumistietoni kuinka alttiita brute force -hyökkäyksille.

Ehkä voisit arvioida salasanan ns. entropian? Joku 50-60 pidetään kai riittävänä.
Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

Lainaus käyttäjältä: Lenny - helmikuu 14, 2021, 14:12:01
Lainaus käyttäjältä: Viihde- ja hömppäpöhinä - helmikuu 14, 2021, 14:08:08
Ihan totta kyselen, sillä sillä on minulle paljonkin väliä, ovatko kirjautumistietoni kuinka alttiita brute force -hyökkäyksille.

Ehkä voisit arvioida salasanan ns. entropian? Joku 50-60 pidetään kai riittävänä.

niin?

Edit. En tietysti tiedä, kuinka hakkeroidaan brute forcella nykyään, mutta aiemmin ekojen joukossa ajettiin tunnetut kirjastot läpi ja vasta sen jälkeen lähdettiin etsimään eksoottisempia salasanoja.
Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

Lenny

Lainsäädäntö ennen luontoa (Immanuel Kant)

-:)lauri

Selvin merkki psykoosista on se, että kuvittelee ajattelevansa vain kylmän rationaalisesti ja loogisesti.

a4

#749
 Lennyn mainitsemaa salasanan entropiaa googlaamalla löysin mielenkiintoisen johdannon salasanojen maailmaan. Sieltä löytyi jopa nistejä ja suolausta. Sekä lista parhaista yleisistä hakkeriystävällisistä salasanoista:
https://www.mikrobitti.fi/uutiset/s4l4s4n4s1-0n-h31kk0/215625e9-4b20-3f87-af84-973cb9f7e908

Tässäkin asiassa koolla on väliä. Ja Amazonilta saa hulppeaa pilvilaskentaa mutta kotikoneidenkin modernit näytönohjaimet ovat tykkejä.