Microsoft: ihmiset eivät huolehdi tietoturvasta

salasanaMicrosoft on julkaissut vuosittaisen Microsoft Computing Safety Index -tutkimuksen tulokset, jotka ovat monilta osilta karua luettavaa tietoturvan näkökulmasta. Vaikka monet yritykset tarjoavat nykyään kehittyneitä teknologioita käyttäjien tietojen turvaamiseen, vain harvat hyödyntävät mahdollisuuksia.

Lehdistötiedotteesta selviää Microsoftin tutkimuksessa olleen 10 000 tietokonetta, älypuhelinta ja taulutietokonetta 20 maassa. 55 prosentilla tutkimukseen osallistuneista havaittiin vähintään kaksi tietoturvariskiä ja ainoastaan 16 prosenttia vastanneista kertoi käyttävänsä useampaa menetelmää tietojensa turvaamiseen.

45 prosenttia oli huolissaan identiteettivarkaudesta, mutta ainoastaan 34 prosentilla oli puhelimessaan käytössä PIN-koodi. Puolestaan 48 prosenttia oli huolissaan viruksista, mutta vain 53 prosentilla oli asennettuna virustorjuntaohjelma ja 44 prosenttia käytti palomuuria.

Microsoft antaa useita ohjenuoria tietoturvan kohentamiseen – käytä vahvoja salasanoja, lukitse puhelimesi PIN-koodilla ja älä maksa laskuja tai internetostoksia julkisella tietokoneella tai avoimen WLAN-yhteyden kautta.

Microsoft, Lehdistötiedote

Ville Suvanto

Kommentit

2.

Kukaan ei laita salasanoja ylös esim. tavalliselle paperille, vaan koittavat tehdä jonkun simppelin salasanan minkä muistavat. Jopa niinkin aralla sivustolla kun Facebookissa saattaa olla käytössä oman nimen ja syntymävuoden yhdistelmä tai jotain muuta tällaista. Joku suora "viiva" näppämistöllä kuten zxcvbnm.

Hauskaa kun juttelee joidenkin vähemmän tietokoneista ymmärtävän kanssa, niin ei osata pelätä jotakin "voitit iPadin, klikkaa tästä" -mainosta, mutta uskalletaan laittaa salasanaksi oma nimi isolla alkukirjaimella. Ihmisiä pitäisi valistaa näistä asioista tulevaisuutta varten vaikkapa kouluissa. Miksei peruskoulussa jo? Kyllähän tulevaisuudessa tulee kuitenkin olemaan varmaan jonkin sortin oppitunteja, joilla opetellaan netin käyttöä vaikkapa syöttämällä googleen järkeviä hakusanoja. Meillä opeteltiin tätä jo ammattikoulussa pari vuotta sitten.

Todelliset tietoturvariskit ja virukset ovat kypsyneet ajan kanssa ja ne ovat naamioituneena oveliin sähköposteihin ja sivustoihin, jotka vaikuttavat asiallisen luotettavilta. Maalaisjärkeä ei ole kuitenkaan vaikea käyttää, eikä haastavaa salasanaa ole vaikeaa keksiä. Tässä hyvä esimerkki 10 merkkisestä vaikeasti ratkaistavasta salasanasta huolestuneille. (HUOM! Älä käytä tätä salasanaa itse): K9emgLD21a

Vastaa tähän
3.

Mulla itselläni on käytössä salasana mikä on about tällaisessa muodossa (ei tosin sama) "words27361r" eli kirjaimien ja numeroiden yhdistelmä kuten BOT itsekin on todennyt hyväksi. En tosin jaksa panostaa ja kirjoittaa tiettyjä kirjaimia isolla koska ei kaikkea voi muistaa. Käytössäni on lähestulkoon 10 salasanaa mitkä on edellämainitussa muodossa mitä muutan tarpeen vaatiessa.

Vastaa tähän
4.

Vaihtoehtoja on oikeastaan kaksi:
1) Joko käyttää heikkoja salasananoja tai samoja useammassa paikassa
2) Käyttää jotain ulkopuolista apua salasanojen hallintaan (muistilappu, Keepass, Lastpass, tekstitiedosto..)

En pidä esimerkiksi näitä ideoita joissa yhtä vahvaa salasanaa varioidaan eri palveluita varten kovin hyvänä. Jos näitä vuotaa yksi tai kaksi niin todennäköisesti se sääntö on aika triviaalia päätellä.

Vastaa tähän
5.

Kuulostaa uskomattomalta, että puolella ihmisistä ei olisi virustutkaa, eikä edes Windowsin firewallia päällä. Ei nyt ole enää vuosi 1998. Itselläni ilmainen Avast! kaikilla shieldeillä sekä Peerblock. Salasanat zip-paketissa salasanan takana, ärsyttää kyllä käydä tonkimassa niitä sieltä, mutta parempi näin. Salasanoina rimpsuja tyyliin kcncnj4d883jjjffg553SS.

Vastaa tähän
6.

Onnea kaikille, jotka ovat opetelleet helvetin vaikean salasanan muistaa, mutta jotka kone generoi yhtä helposti kuin minkä tahansa muunkin. Järjetön, suomenkielinen (vielä parempi olisi suomi + joku muu kieli) yhdyssana, jota höystetään parilla numerolla ja/tai merkillä on paras.

Vastaa tähän
7.

Itselläni on joka palvelussa eri salasana. Rakennan salasanani pohjautuen erilaisiin elementteihin kuten esimerkiksi domain-nimi ja -pääte, domainin pituus, vokaalien määrä, konsonanttien määrä, numerot, käyttäjätunnus jne. joiden avulla varioin yhtä vaikeata salasanaa. Lopputuloksena on yleensä 10-15 merkkinen salasana joka on helppo palauttaa mieleen kun muistaa ne muutamat säännöt, joiden perusteella salasanaa varioidaan. Ja eivät muistuta pätkääkään toisiaan.

Pidän tallessa ainoastaan listaa nettisivuista sekä käyttäjätunnuksista ja pystyn puolessa minuutissa palauttamaan minkä tahansa salasanan mieleen edellä mainitun kaltaisilla metodeilla. Eipä noita usein tarvitse ajatella, kun ovat selaimen muistissa tallennettuna.

Ei paras tapa, mutta eipä ole vuosiin unohtunut yksikään salasana :) Saa käyttää mut ei oo pakko :smoke:

Vastaa tähän
8.

Tää virusturva ja palomuuri pitäisi kyllä olla käyttöjärjestelmän natiiveja toimintoja ehdootomasti eli käyttiksen pitäisi olla siten rakennettu ettei näitä erillisiä käyttäjän viitseliäisyydestä riippuvia toimintoja tarvittaisi.

Vastaa tähän
9.
BOT

Kukaan ei laita salasanoja ylös esim. tavalliselle paperille, vaan koittavat tehdä jonkun simppelin salasanan minkä muistavat. Jopa niinkin aralla sivustolla kun Facebookissa saattaa olla käytössä oman nimen ja syntymävuoden yhdistelmä tai jotain muuta tällaista. Joku suora "viiva" näppämistöllä kuten zxcvbnm.

Hauskaa kun juttelee joidenkin vähemmän tietokoneista ymmärtävän kanssa, niin ei osata pelätä jotakin "voitit iPadin, klikkaa tästä" -mainosta, mutta uskalletaan laittaa salasanaksi oma nimi isolla alkukirjaimella. Ihmisiä pitäisi valistaa näistä asioista tulevaisuutta varten vaikkapa kouluissa. Miksei peruskoulussa jo? Kyllähän tulevaisuudessa tulee kuitenkin olemaan varmaan jonkin sortin oppitunteja, joilla opetellaan netin käyttöä vaikkapa syöttämällä googleen järkeviä hakusanoja. Meillä opeteltiin tätä jo ammattikoulussa pari vuotta sitten.

Todelliset tietoturvariskit ja virukset ovat kypsyneet ajan kanssa ja ne ovat naamioituneena oveliin sähköposteihin ja sivustoihin, jotka vaikuttavat asiallisen luotettavilta. Maalaisjärkeä ei ole kuitenkaan vaikea käyttää, eikä haastavaa salasanaa ole vaikeaa keksiä. Tässä hyvä esimerkki 10 merkkisestä vaikeasti ratkaistavasta salasanasta huolestuneille. (HUOM! Älä käytä tätä salasanaa itse): K9emgLD21a

Mielestäni on tyhmää käyttää tuollaisia random merkeistä koostuvia salasanoja. Itse käytän muunnelta sanaa, kuten vaikka H4u/ki0nka!4. Tämä on käytännössä mahdotonta arvata, se on yhtä random bruteforcelle kuin mikä tahansa muukin erilaisista merkeistä koostuva sana ja ennen kaikke suhteellisen helppo muistaa.

Vastaa tähän
10.

Typerää osotella sormella käyttäjiä kun firmalla olisi mahdollisuus ratkaista asia. Mielestäni salasanat on epäonnistunut konsepti, toimi joskus silloin kun tarvitsit sen yhden salasanan, mutta tämä muuttui jo 90-luvulla.

Mitä MS:n pitäisi ja mitä se voisi tehdä on softa johon olisi salakala+sirukortti/rf-siru ja tämä pakolliseksi joka koneeseen niin että portti/rf löytyy kaikkialta. Jos tuon toteuttaisi yhdessä alan muiden toimijoiden kanssa homma olisi hetkessä valmis.

Toinen on ettei Windows tarkista käynnistyksessä softan md5summia ja ainakin ilmoita käyttäjälle jos jotain muuttunut.

Vastaa tähän
11.
Wemps

Mielestäni on tyhmää käyttää tuollaisia random merkeistä koostuvia salasanoja. Itse käytän muunnelta sanaa, kuten vaikka H4u/ki0nka!4. Tämä on käytännössä mahdotonta arvata, se on yhtä random bruteforcelle kuin mikä tahansa muukin erilaisista merkeistä koostuva sana ja ennen kaikke suhteellisen helppo muistaa.

ei välttämättä. en tiedä miten tuo kauttaviiva vaikuttaa, mutta jos lähdetään bruteforceemaan järkevästi (lue: algoritmien avulla) voidaan luoda algoritmi, joka lähtee hakemaan sanoja, joista korvaa erinäisiä kirjaimia numeroilla jne.

Vastaa tähän
12.

Eipä sitä tule pidettyä itse mitään monimutkaisia salasanoja. Murossakin oli salasanana päälle 7 vuotta ihan normi kuusikirjaiminen salasana ilman isoja kirjaimia tai numeroita.

Kunhan ei laita mitään "salasana", "qwerty, "123456" tai vastaavaa, niin tuskin sitä ainakaan kukaan randomtyyppi alkaa arvailemaan.

Vastaa tähän
13.
9700 Pro

Kunhan ei laita mitään "salasana", "qwerty, "123456" tai vastaavaa, niin tuskin sitä ainakaan kukaan randomtyyppi alkaa arvailemaan.

Homma etenee niin että
1) Jossain käyttämälläsi saitilla ei ole päivitykset kunnoss tai on muuten bugeja koodisa
2) Haxorit nappaavat saitilta käyttäjien (mahdollisesti kaikkien) salasanat. Toivottavasti saaden haltuunsa vain hashatut.
3) Salasanatiedosto pistetään mahdollisesti jakoon tai jätetään omiin tarkoituksiin
4) Jos on hashit, lähdetään murtamaan niitä. Huonot salasanat murtuvat helposti
5) Lopputuloksena on tiedosto jossa on käyttäjätunnus, salasana ja luultavasti email ja nimi.
6) Näitä yhdistelmiä voi hyödyntää sitten mihin hyödyntää

Vastaa tähän
14.

Itse laitan aina tietyn kaavan mukaan salasanan niin, että kaikilla sivustoilla yms. on uniikit salasanat ja en itse unohda niitä. Toki jos joku tietää noista yhden salasanan niin kekseliäänä pystyy arvaamaan myös muihin paikkoihin salasanat.

Vastaa tähän
15.

https://xkcd.com/936/

Tuo on niin hyvä ohjenuora mitä salasanoihin tulee. Muutama helposti muistettava sana vaan peräkkäin että pituutta tulee riittävästi.

Vastaa tähän
16.
Techi

https://xkcd.com/936/

Tuo on niin hyvä ohjenuora mitä salasanoihin tulee. Muutama helposti muistettava sana vaan peräkkäin että pituutta tulee riittävästi.

tuossakin on se sama vika, jonka toin esille aiemmassa postauksessa. algoritmilla voidaan kaivaa kokonaisia sanoja vs kaikkien merkkien eri yhdistelmät

Vastaa tähän
17.
Techi

https://xkcd.com/936/

Tuo on niin hyvä ohjenuora mitä salasanoihin tulee. Muutama helposti muistettava sana vaan peräkkäin että pituutta tulee riittävästi.

Ei missään nimessä näin. Kuka tahansa tyhmäkin hakkeri käyttää algoritmeja jotka käy läpi kaikki sanat jostain valitusta kielestä, esim. englannista ennekuin aloittaa murtamaan muilla keinoilla. Noita eri kielien sanastoja saa todella helposta implementoitua, eli hakkerin ei tarvitse niitä itse kirjoittaa.

Salasanojen sijasta salalauseet ovat kyllä se oikea vaihtoehto, mutta sinne pitäis saada tarpeeksi erikoismerkkejä sekaan, ilman että muistettavuus vaikenisi liikaa.

Pitkien, vaikeasti muistattavien salasanojen pitäminen yhdessä paikassa (esim. keepass, lastpass tai lapulle kirjoitettuna) sensijaan on huono vaihtoehto, sillä kun joku pääsee siihen käsiksi, on kaikki mennyttä. "Don't put all your eggs in one basket"

Niin ja kun joskus salasana unohtuu, ja uusi salasana lähetetään sulle emailiin, niin tämä email pitäisi olla pelkästään siihen varten luotu, ja jota ei käytetä mihinkään muuhun.

Vastaa tähän
18.

Muistikuvani mukaan hyvä salasana sisältää neljä sanaa, jotka eivät liity toisiinsa mitenkään. Saa pitkiä salasanoja ja paljon helpompi muistaa.

Vastaa tähän
19.

Sanakirjahyökkäystä vastaan ns. "salalause" on aivan yhtä kusessa kun se muutamamerkkinen salasana perinteistä bruteforcea vastaan, olettaen että sanat löytvät käytetystä sanastosta. Temppu onkin heittää sekaan erikoisempia sanoja, vaikka jokin suomalainen yhdyssanahirvitys.

Vastaa tähän
20.
Nut

Kuulostaa uskomattomalta, että puolella ihmisistä ei olisi virustutkaa, eikä edes Windowsin firewallia päällä. Ei nyt ole enää vuosi 1998. Itselläni ilmainen Avast! kaikilla shieldeillä sekä Peerblock. Salasanat zip-paketissa salasanan takana, ärsyttää kyllä käydä tonkimassa niitä sieltä, mutta parempi näin. Salasanoina rimpsuja tyyliin kcncnj4d883jjjffg553SS.

Miksi pitäisin kahta palomuuria(mokkulassa ensimmäinen)?
Avast!, spywareblaster ja Malwarebytes hoitaa, minkä pystyy.

Vastaa tähän
Näytä kaikki kommentit

Osallistu keskusteluun MuroBBS:ssäKommenttikupla