perjantai 9. elokuuta 2013

Selain vaarantaa salasanasi

On mukavaa, kun selain tallentaa nettipalveluiden salasanat, eikä niitä tarvitse aina kirjoittaa itse.

Mukavaa, mutta vaarallista -- mukavuus kertaa turvallisuus on vakio, kuten aina ennenkin. Jos kone jää auki ja sille pääsee joku ulkopuolinen (kotona puoliso, töissä utelias työkaveri), hän pystyy kirjautumaan kaikkiin verkkopalveluihin käyttäjän puolesta eikä pitkistä salasanoista ole mitään apua.

Periaatteessa tallennus ei ole mikään ongelma, sillä ohjeiden mukaan kone pitäisi aina suojata salasanaa kysyvällä näytönsäästäjällä. Sitä ei aina tule tehtyä tai aikaviive säädetään liian pitkäksi. Varastettua konetta suojaavat teoriassa vahva käynnistyssalasana ja levyn salaus, mutta niitä ei tule aina käytettyä ja käynnistyssalasana on helppo ohittaa.

Sekä Chrome että Firefox sisältävät toiminnon, joka näyttää selväkielisinä kaikki tallennetut salasanat ja käyttäjätunnukset. Tämä "paljastus" sai viikolla paljon huomiota ja myös Iltalehti varoitti lukijoita aiheesta.

Asia on niin vanha, ettei sen pitäisi tulla kenellekään yllätyksenä saati uutisena. Olen itse varoittanut samasta kuvien kanssa kirjassani Yksityisyys (2010, s. 124) sekä uudelleen Arjen tietoturva (2012, s. 132). Tämä kuva on 3,5 vuoden takaisesta kirjasta:

Firefox näyttää tallentamansa salasanat ja käyttäjätunnukset.
Chrome näyttää salasanat yhdellä hiiren napsautuksella. Firefox tekee samoin, mutta salasanat voi suojata erillisellä master passwordillä. Sitä tuskin kukaan käyttää -- miksi suojata salasanat uudella salasanalla? Oikeaoppisesti koneen pitäisi olla niin lukittu, ettei ulkopuolinen pääse edes selaimeen.

Internet Explorer on toinen juttu, siinä ei ole salasanojen näyttötoimintoa lainkaan. Toisaalta netistä voi ladata ohjelman, joka kuitenkin kaivaa salasanat näkyviin. Niin kauan kuin koneen oikea käyttäjä on kirjautunut sisään ja selain on auki, ei ole mitään teknistä tapaa suojata salasanoja käyttäjältä itseltään. Tietokone erottelee käyttäjät vain salasanan ja käyttäjätunnuksen perusteella.

Vanha tallennustoiminto on nyt noussut uuteen valoon, sillä Firefox, Chrome ja IE tallentavat asetukset, salasanat, historian yms. pilveen ja synkronoivat ne vieläpä koneesta toiseen. Tuloksena on ihan uusi tilanne, missä pöytäkoneella käytettävän yrityspalvelun salasanat löytyvät myös kotiläppärin muistista, vaikkei näillä koskaan ole edes käyty ko. palveluissa.

Kone, joka on unohtunut auki jossain paikassa, paljastaa siis kaikki salasanat toisessa paikassa. Uutena on vielä tullut mobiililaitteiden riski. Keväästä lähtien Chrome on synkronoinut pc:n salasanat myös mobiililaitteisiin. Älypuhelimen suojaukset eivät koskaan ole pc-koneen tasoa.

Applen käyttäjille vielä erityinen varoitus: Safarin tallentamat salasanat päätyvät import-komennolla Chromeen, missä niiden suojaus on selvästi heikompi.

Tärkeät salasanat voivat päätyä varkaalle, mutta asiassa on toinenkin riski: voimmeko luottaa pilveen, minkä kautta salasanat synkronoituvat? Vai onko niin, että NSA saa halutessaan kaikkien käyttämiemme palveluiden salasanat -- myös talon sisäisten intranetien ja niiden kotimaisten palvelujen, joiden urkinta ei muuten olisi mahdollista?

Google, Apple, Microsoft ym. rauhoittelevat, ettei syytä huoleen ole -- salasanat ovat pilvessä salattuina, eivätkä ulkopuoliset pysty urkkimaan niitä. Salaus perustuu kuitenkin yrityksen omiin tai käyttäjän itsensä valitsemaan salasanaan, joka on yrityksen tiedossa (tai ainakin sen tiiviste). Suojaus voi toimia hakkereita vastaan, mutta viranomaisilta tai yrityksen omalta henkilökunnalta se ei suojaa.

Mitä siis voi tehdä? Ainoa varma keino on kieltää selainta tallentamasta salasanoja ja kirjoittaa ne joka kerta itse uudelleen. Kannattaa myös tutustua selaimen turvaominaisuuksiin, esimerkiksi Chromessa on mahdollista määritellä erillinen salasana synkronoitavien tietojen salaukseen -- ja sitä ei lähetetä Googlelle. Salasanojen suojaaminen uusilla salasanoilla on silti kyseenalainen ratkaisu.

Tekstiä täydennetty 10.8.2013

10 kommenttia:

  1. Aiheellinen varoitus. Chrome taitaa automaattisesti kerätä salasanat pilveen.

    Itse olen päätynyt käyttämään erillistä salasanaohjelmaa. Aiemmin olen käyttänyt ilmaista Lastpassia, mutta mobiililaitteisiin pitää ostaa maksullinen lisäosa.

    SplashID käytin pitkään tärkeimmille salasanoille. Kaiki omassa koneessa ja näin turvallisempi, mutta ominaisuudet muuten rajallisia.

    Nyt olen päätynyt 1Passwordiin. Käytän Dropboxia tallenuspaikkana ja kaikki laitteet ja selaimet minulla käyttävät sitä tallennuspakkana, joten synkronoituu. Ohjelman salasana ei ainakaan minun tietojen mukaan mene Dropboxiin, vaan siellä on pelkkä tiedosto Ohjelma osaa myös kirjautua eri selaimesta sisälle erilaisiin palveluihin yms. Ainoa huono puoli on se että ohjelma maksaa jkv.

    Onko muilla kokemuksia tai näkemyksiä näistä tai muista järkevistä vaihtoehdoista?

    Kun nettiä ja koneita on käyttänyt vuosikymmeniä ei muisti riitä pitämään mielessä joka paikkaan kunnollisia salasanoja. Sitä jotkut vähän käyttäneet ehdottavat ihan tosissaan.

    VastaaPoista
  2. Kaverini tilasi uuden kannettavan ja tuli käymään sen kanssa luonani. Kone yhdisti välittömästi langattomaan verkkooni. Salasana ilmeisesti keikkui jossain Microsoftin pilvessä ja kun yksi laite osasi verkkooni kirjautua - kaikki osasivat. Tässä siis MS:llä on nyt jo meikän wlanin salasananakin, jonka olen periaatteessa luovuttanut vain kaverilleni. En Microsoftille. Isoveli valvoo...

    VastaaPoista
  3. LastPass käyttöön ja salasanat itse selaimista pois. Käyttökokemus on yhtä hyvä kuin jos salasanat olisi selaimeen tallennettu, mutta tiedot eivät ole selväkielisenä tallennettu vaan vahvasti salattuna. Tiedot tallennetaan verkkoon, mutta sinne siirtyy vain jo käyttäjän koneella salattu tieto, mitään selväkielisenä ei liiku verkossa.

    VastaaPoista
  4. Jokin Password -manageri ohjelma, joka tallentaa tunnukset omalle kovalevylle master salasanalla on mielestäni ainoa käyttökelpoinen ja riittävän turvallinen tapa suojata salasanat. Kryptatun salasanatiedoston voi sitten huoletta synkronoida muiden koneiden kanssa. Salasanoja ei tarvitse kirjoittaa vaan ne voi kopioida ja liittää suoraan managerista salasanakenttään.

    VastaaPoista
    Vastaukset
    1. LastPass on tuollainen. Kaikki salataan käyttäjän koneella ennen verkkoon lähettämistä. Verkon kautta taas tiedot jakautuvat sinne missä niitä tarvitset. Auki saadaksesi tarvitset tietenkin pääsalasanan, sen viimeisen jota tarvitset :)

      Ja jos pelottaa että joku saa salasanasi tietoonsa, niin voit ottaa lisäsuojaksi jonkun moniosatodennuksista, esim. Google Authenticatorin jolloin pelkkä salasanan tietäminen ei riitä LastPassiin kirjautumiseen. Lisää turvaa nostavia säätöjä on vaikka kuinka.

      Käyttö ei ole tehty kuitenkaan vaikeaksi. Kotikoneissa ja muissa luotetuissa koneissa voi salasanat ja moniosatodennukset ohittaa. Itse käyttökin on helppoa, LastPass täyttää halutessasi kentät automaattisesti, ikään kuin selain. Sama toimii jopa mobiilisti (esim. Androidilla Delphin selain + LastPass-laajennus). Sinun ei tarvitse siis kopioida ja liittää tunnuksia leikepöydän kautta kuten on laita monen muun salasanaohjelman kanssa.

      Jos vaihdat salasanaa johonkin palveluun LastPass huomaa sen ja tarjoaa jopa apua uuden salasanan luontiin ja lopuksi tallentaa muuttuneen tiedon jolloin se on päivitetty, olitpa missä tahansa ja käytit mitä selainta tahansa.

      Jos LastPassin palvelimet olisivat joskus alhaalla, pääset silti käyttämään LastPassia, koska tiedot ovat tallessa paikallisessakin. Salattuna tietenkin.

      Poista
    2. Tietääkö oikeasti jonkun heikon kohdan LasPassissa?

      Jos ei niin se on tavalliselle käyttäälle minusta paras, koska kuten äskeisessä viestissä sanotaan valvoo ja auttaa toimimaan turvallisesti.

      Poista
    3. LastPass on varmasti yksi helppokäyttöisimpiä ratkaisuja salasanojen hallintaan. Uskon että salasanojen tallennus heidän palvelimelleen on toteutettu turvallisesti. Itseäni LastPass ohjelmassa eniten huolestuttaa automaattinen lomakekenttien täydentäminen. Kuinka hyvin ohjelma kykenee erottamaan kalastelusivut aidoista? Vainoharhaiselle ihmiselle sopii mielestäni paremmin työläämpi ratkaisu jossa salasana tiedosto on talletettu vain paikallisesti, käyttäjä itse huolehtii ja vastaa sen jakamisesta ja synkronoinnista muille laitteille sekä lomaketietojen kopioinnista ohjelmasta.

      Poista
    4. Automaattista täyttöä ei ole pakko käyttää. Toisaalta salasana on osoitteeseen sidottu joten ongelma on jossain muualla jos kalastelijat saavat jonkun oikean domainin alaisuuteen lisättyä omaa koodiaan. En usko, kokemusta ei ole, että esim. Iframessa (esim. mainokset) olevalle kalastelulla saataisiin tunnuksia huijattua. Ja lopuksi, tuo olisi vain yksi sivusto, muillehan on käytössä yksilölliset salasanansa, ainakin pitäisi olla :)

      Poista
  5. Keepass kannattaa huomioida myös. Http://keepass.info

    VastaaPoista
  6. Kerronpa eiliseltä tosi tarinan, jossa salasanaohjelma taisi pelastaa melkoisilta ongelmilta.

    Eilen yritin ostaa lippu.fi sivuilta lippua teatteriin. Kun yritin katsoa istumapaikkaa Mac blokkasi ja sanoi ettei päästä tällä Java versiolla käyttämään. Kuinka vanha Java oli käytössä.
    No siinä ihmettelin ja ajattelin että olkoon, kun kerran vaimo niin tahtoo. Ostetaan silti.
    Jatkoin eteenpäin ja tuli maksun aika. Klikkasin maksun Soloon.
    Salasanaohjelma ei antanutkaan salasanaa. Kun katsoin osoiteriviä, niin eihän siellä ollut pankin osoitetta. Olisin mennyt lankaan ilman ohjelmaa.

    Laitoin tietysti asiakaspalveluun valituksen sekä teatteriin että Lipuun. Mitään ei edelleenkään kuulu.
    Kävin sitten paikallisessa Stockassa hakemassa liput. Siellä aloitti mutinalla, että saankohan katsottua istumapaikkoja. Kertoi myös että asiakkaat ovat kertoneet ongelmista.

    Eli salasanaohjelma pelasti ilmeisen pankkiyhteyden kaappauksen.

    Lippu.fi sivuissa on paljon vikaa. Onkohan naapurin nörtti ne joskus tehnyt. Asiakaspalvelu ei ota yhteyttä, joka kertoo sen ettei ymmärretä turvallisuudesta eikä siitä niin piitatakaan.
    Enkä yllättynyt, että Googlaamalla löysin äkkiä tämmöisen opinnäytteen jossa ei kehuja juuri irronnut. http://www.soberit.hut.fi/T-121/shared/thesis/kandityot/kandi_Markus_Vaananen.pdf

    Pitäisiköhän jonkun vähän tarkistaa mitä nuo sivut ovat syöneet. Mitä kaikea muuta häikkää on. Ovatko salasanatkaan turvassa?

    VastaaPoista