Petteri Järvinen

Helistimessä ihan kohtuullisia salasanoja

Helistin.fi on tuorein tietomurron uhri. Nettiin vuodetut 73 158 salasanaa ja käyttäjätunnusta tarjoavat mahdollisuuden arvioida, miten oppi turvallisista salasanoista on mennyt perille.

Varsin hyvin. Ainakin kun ottaa huomioon, että helistin.fi on lähinnä äideille -- siis tavallisille kotikäyttäjille -- suunnattu palvelu.

Yleisin salasana on -- tadaa! -- jälleen kerran salasana. Sen on valinnut 197 käyttäjää eli 0,27 % rekisteröityneistä. Ei erityisen huono tulos, jos kyse on vain kirjoittelusta nettifoorumille. Mutta jos kyse on terveysasioinnista tai jos samaa "salasanaa" on käytetty muissakin palveluissa, riski on suuri.

Toiseksi yleisin salasana on aurinko (yllätys!), kolmanneksi yleisin johanna (naisten palsta, nääs) ja neljäs vauva (eipä ole vaikea arvata, kun ollaan vauva-aiheisella palstalla).

Kaikkien salasanojen äiti, kansainvälinen voittaja jo ties monettako kertaa eli 123456 on vasta sijalla 10 (77 henkilöä). Muita yleisiä sanoja ovat rakkaus, terveys, mustikka sekä naisten etunimet (todennäköisesti rekisteröityneiden henkilöiden tai vauvojen omat).

32 suosituimman salasanan joukkoon mahtuvat myös enkeli ja pikkumyy. Hakkerille se kertoo, että palvelun sisältö ohjaa salasanan valintaa. Ehkä autoharrastajien foorumissa kannattaisi kokeilla autojen merkkejä tai osia?

Kakkahuumoria, jota ruotsalaiset kuulemma suosivat, on hyvin vähän, vaikka esimerkiksi kakkapylly sopii hyvin aihepiiriin. Myöskään seksi ei ole kovin monella mielessä.

Kaikkien salasanojen keskipituus on 7,49 merkkiä, mikä ei aivan yllä turvallisena pidettyyn kahdeksaan merkkiin. Viestintäviraston suosittelemasta 15 merkistä jäädään todella kauas: vain 0,06 prosentilla salasana täyttää tämän (mielestäni kohtuuttoman ankaran) kriteerin. Toisaalta 32,1 prosentilla salasana on kuusi merkkiä tai lyhyempi.

Jostain syystä seitsemän merkin salasanoja on vähemmän kuin kuuden ja kahdeksan merkin salasanoja. Olen nähnyt saman ilmiön ennenkin, enkä osaa selittää syytä seitsemän merkin epäsuosioon.

Vielä yksi jännä havainto: salasanan 123456 valinneissa oli suhteettoman paljon miehiä. Joko he ovat huolimattomia tai olivat Helistimessä vain käymässä, eivätkä sen vuoksi vaivautuneet keksimään kunnollista salasanaa.

Oma päätelmäni näistä laskelmista on, että oppi salasanojen valinnasta on mennyt kohtuullisen hyvin perille. Vaikka helposti arvattava vauva on yleinen, senkin löytämiseksi pitäisi kokeilla keskimäärin 500 käyttäjätunnusta ennen kuin tärppäisi (ns. reverse hacking).

Käytetyt salasanat riittävät torjumaan satunnaiset kokeilut, mutta valtaosa niistä murtuu helposti mikäli hyökkääjä saa hash-tiivistein suojatun tietokannan. Ja jos ylläpito on suojannut kannan huonosti tai jättänyt sen kokonaan tekemättä, hyvälläkään salasanalla ei ole merkitystä. Turha siis stressata itseään asialla kohtuuttomasti.

Niin... entäpä ylläpidon omat tunnukset? Heidän salasanojensa keskipituus on 7,7 merkkiä eli sama kuin käyttäjillä. Joukossa on yksi huono, muutama kyseenalainen ja vain yksi vahva salasana. Monessa on käytetty yleistä kikkaa vaihtaa e-kirjaimet kolmosiksi, i-kirjaimet ykkösiksi ja o-kirjaimet nolliksi. On kyseenalaista, voiko tätä enää nykyoloissa pitää turvallisena menetelmänä ainakaan ylläpidon ollessa kyseessä.

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (8 kommenttia)

seppo kirnu

Osaatko sinä kertoa mikä hemmetti vaivaa näitä 'tietomurtajia' jotka ajavat toimillaan alas näinkin järjettömiä sivustoja?

Missä on tietomurto goldman sucksin maailman pääkonttorin viestiliikenteeseen? Noin esimerkkinä.

Seuraavaksi tulee varmaan tietomurto aku-ankan kotisivulle.

Ps. onko P3llE-69-/ssuti vahva salasana?

Käyttäjän PetteriJarvinen kuva
Petteri Järvinen

Haluavat osoittaa, miten tietoturvassa on puutteita. No, sehän tiedetään kyllä muutenkin. Ei oven huono lukko oikeuta varkauteen.

Jep, P3llE-69-/ssuti on vahva salasana. Kunhan se käytä sitä kaikissa palveluissa! (Etkä missään nyt, kun olet kertonut sen täällä).

seppo kirnu

No en tietenkään käytä salasanana pelle69perssutia missään, mutta siinä tyylissä olevia kyllä.

Harri Rautiainen

Siinä tapauksessa, voisinko minä saada sen?

seppo kirnu

Eikun vaan. Mikäs minä muutenkaan olen kieltämään mitään.

Toinen hyvä on P1Llu.mn/c:n-edessÄ , tai Pii.k./cc:n

Käyttäjän hautakangas kuva
Ville Hautakangas

Havainnollistava sarjakuva hyvistä salasanoista (jotka eivät silti kelpaisi moneenkaan nykyään käytössä olevaan järjestelmään):

https://www.xkcd.com/936/

Jaakko Tuononen

Hyvä ystävä Petteri Järvinen. Eikö sekin ole erikoista, että emme ole koskaan tavanneet, mutta täällä vietuaalitodellisuudessa voimme keskustella. Se on ihan kiva juttu.

En nyt halua ihan tähän sun asiaasi kommentoida. Mutta me kaikki tiedämme, että vain insinööritieteet voivat pelastaa Suomen ja maailman.

Nyt pitäisi satsata insinöörikoulutukseen ja ideointiin. Joku uusi tuote tai innovaatio on pakko keksiä ja heti. Uskon kyllä, että niin tapahtuu lähitulevaisuudessa. Se voisi liittyä joko uusiutuvaan energiaan. Fuusioreaktoreihin tai vaikkapa plutoniumin uudelleen hyödyntämiseen. Tätähän jenkit ja ryssät nyt yrittävät kehittää. Miksi Suomi ei ole siinä mukana? Hyötöreaktorit, miksi niitä ei kehitetä Suomessa?

Aleksi Laine

Ohimennen tuli mieleen kysyä, että ovatkohan maita, sanotaan vaikka Viroa kohdanneet hyökkäykset oikeasti vihamielisiä. Jos nimittäin olisin ystävämielinen taho, jolla on hampaankolossa vaikka Venäjää vastaan, järjestäisin nettihyökkäyksen. Saisi kolme kärpästä yhdellä iskulla: Venäjä menettäisi mainettaan, tietoisuus nettihyökkäyksen rikistä kasvaisi ja turvallisuus tulis testattua ja parannettua.

Toimituksen poiminnat