top of page
This site was designed with the
.com
website builder. Create your website today.Start Now

Author: Nat Queen

 

Original Source: http://www.queen.clara.net/pgp/pass.html

​

Hyvän salasanan valitseminen

[Huom. Tämä on hieman muokattu versio artikkelista, joka ilmestyi alun perin Archive-lehden helmikuun 2005 numerossa.]

 

Jokainen salausohjelma vaatii salasanan salattujen tietojen suojaamiseksi. Koska yleisesti käytetyt nykyaikaiset salakirjoitukset ovat erittäin turvallisia ja kestävät kaikki tunnetut salausanalyysimenetelmät, salasana on yleensä salausmenettelyn haavoittuvin osa. Siksi on tärkeää valita "vahvat" salasanat.

 

Miksi puhumme salasanasta "salasanalauseen" sijasta?

Kun monia ihmisiä pyydetään valitsemaan salasana, he valitsevat jonkin yleisen sanan tai nimen. Tämä voidaan murtaa helposti sanakirjahyökkäyksellä eli tietokoneohjelmalla, joka käyttää sanakirjaa kokeillakseen kaikkia vaihtoehtoja. Tällaisia ohjelmia on monia. Niitä käyttävät joskus ihmiset, jotka ovat unohtaneet oman salasanansa. Tällä tavoin palautettava salasana on kuitenkin heikko. Kuka tahansa muu voi palauttaa sen yhtä helposti ja päästä käsiksi käyttäjän salattuihin tietoihin, verkkopankkitietoihin jne.

 

Hieman vahvempi "salasana" on sellainen, joka ei ole oikea sana ja jossa on ehkä jopa numeroita tai muita erikoismerkkejä, jos käyttämäsi ohjelmisto tai verkkosivusto sallii ne. Vaikka tällainen salasana on suojattu klassiselta sanakirjahyökkäykseltä, se voidaan murtaa "brute-force-hyökkäyksellä" eli ohjelmalla, joka yksinkertaisesti kokeilee kaikkia mahdollisia merkkijoukkoja, kunnes se löytää oikean yhdistelmän. Mitä pidempi salasana on, sitä vaikeammaksi tällainen hyökkäys tietysti käy. Oletetaan esimerkiksi, että salasanassa sallitaan 50 eri merkkiä. Jos sitten lisäät yhden ylimääräisen merkin olemassa olevaan salasanaan, oikean salasanan etsiminen raa'alla voimalla kestää 50 kertaa kauemmin.

 

Esimerkiksi jotkin Unix-järjestelmät hyväksyvät kirjautumissalasanoja, joissa on enintään kahdeksan merkkiä. Joidenkin Internet-palveluntarjoajien kirjautumissalasanat ovat samanlaisia. Valitettavasti tällaiset salasanat ovat melko heikkoja ja niihin hyökätään helposti. Kannattaa ehdottomasti käyttää pidempiä salasanoja, jos järjestelmä sallii sen.

 

Joidenkin salausohjelmistojen, kuten PGP:n ja GnuPG:n, asiakirjoissa puhutaan aina salasanojen sijasta salasanoista, jotta voidaan korostaa, että ne voivat olla kuinka pitkiä tahansa ja koostua useista sanoista tai merkkiryhmistä, jotka on erotettu (mahdollisesti) välilyönneillä.

​

Kuinka vahva salasanan tulee olla?

Tunnuslause on monien salausjärjestelmien ylivoimaisesti heikoin osa, ainakin monille käyttäjille, jotka käyttävät heikkoa salasanaa käytännössä. Jos hyökkääjä haluaa päästä käsiksi tyypillisen käyttäjän salattuihin tietoihin, olisi paljon tehokkaampaa yrittää murtaa salalause kuin yrittää todellista kryptausanalyysiä. Tästä syystä on erittäin tärkeää valita hyvä tunnuslause.

 

Jopa tehokkaille organisaatioille, kuten valtion virastoille, joilla on valtavat laskentaresurssit, olisi kustannustehokkainta yrittää murtaa salalause. Usein sanotaan, että yksinkertaisin tekniikka salatun tiedon saamiseksi on "kumiletkuhyökkäys" (uhrin hakkaaminen tai muiden kidutusmenetelmien käyttö, kunnes salalause paljastetaan). Toinen tällainen tekniikka on istuttaa elektroninen bugi tai piilotettu ohjelma käyttäjän tietokoneeseen kaikkien näppäinpainallusten kaappaamiseksi. Vaihtoehtoisesti, jopa ilman fyysistä pääsyä tietokoneeseen tai sen käyttäjään, vakava hyökkääjä voi tarkkailla etäältä tietokoneen elektronisia päästöjä ja siten tallentaa salasanan. Tämä tunnetaan "myrskyhyökkäyksenä". Ei ole helppoa suojautua näiltä mahdollisilta hyökkäyksiltä. Mutta sinun ei luultavasti tarvitse huolehtia niistä,

 

On järkevää valita salasana, joka on yhtä vahva kuin käytettävä salausjärjestelmä, koska jokainen tällainen järjestelmä on vain niin vahva kuin sen heikoin lenkki. Tämä artikkeli selittää joitain yksinkertaisia ​​temppuja, jotka voivat auttaa saavuttamaan tämän tavoitteen.

 

Vahvan tunnuslauseen valinta

Yleisesti ottaen tavoitteena tulisi olla sellaisen tunnuslauseen luominen, joka on helppo muistaa ja kirjoittaa tarvittaessa, mutta joka on hyvin vaikea arvata kenenkään muun, jopa sinut hyvin tuntevan henkilön. Sen tulee myös olla riittävän pitkä, jotta sanakirjahyökkäys tai raa'an voiman hyökkäys olisi epäkäytännöllistä.

 

Eräs hyvin tunnettu menetelmä on valita jollain satunnaisella prosessilla joukko sanoja sanakirjasta. Tätä tekniikkaa kutsutaan joskus 'diceware'ksi. Tämän menetelmän toteuttaa Tony Hopstakenin RISC OS -ohjelma !RNDpass, joka on saatavana tältä verkkosivustolta.

 

Jos sanakirja on niin suuri kuin !RNDpassissa oleva, salalause, joka koostuu vähintään 8 satunnaisesta sanasta, kestää todennäköisesti minkä tahansa ajateltavissa olevan hyökkäyksen mahdollisten yhdistelmien valtavan määrän vuoksi, varsinkin jos salalausetta muutetaan jollain arvaamattomalla tavalla. estää pelkkä sanakirjahyökkäys.

 

Alla on joitain yksinkertaisia ​​vinkkejä tunnuslauseen "vääristymiseen". Jos niitä käytetään pienellä kekseliäisyydellä, ne toimivat hyvin, vaikka käyttäjä aloittaa "normaalilla" salalauseella englannin kielellä (satunnaisten sanojen sijaan, kuten !RNDpass antaa) ja vääristää sitä niin, että siitä tulee melkoinen. arvaamaton.

 

Muutamia erikoismenetelmiä tämän tekemiseen voidaan automatisoida !RNDpassissa valinnaisesti. Tavallisista sanoista koostuvan tunnuslauseen "satunnaiset" (tietokoneella luodut) vääristymät ovat epäilemättä turvallisempia kuin käsin intuitiivisesti lisätyt vääristymät, mutta niiden muistaminen voi vaatia enemmän vaivaa.

 

Verkkosivustojen salasanat

Kyllä, puhun tässä "salasanoista", en "salasanoista". Monet sivustot, jotka edellyttävät käyttäjän rekisteröitymistä johonkin palveluun, pyytävät "salasanaa", ja joissain tapauksissa ne asettavat melko tiukat rajoitukset sen pituudelle. Tällaisissa tapauksissa tähän mennessä käsiteltyjen ideoiden pohjalta muodostetut salasanat olisivat varsin heikkoja ja tarvitaan erilaista lähestymistapaa.

 

Tehokas ratkaisu tässä tapauksessa on rakentaa salasana, joka koostuu täysin satunnaisista merkeistä. Yksi tapa tehdä tämä olisi käyttää Paul Vigayn RISC OS -ohjelmaa ! PassWd.

 

Oletuskokoonpanossaan !PassWd antaa käyttäjän luoda satunnaisia ​​8-merkkisiä salasanoja, jotka koostuvat aakkosmerkeistä, jotka voivat esiintyä joko isoilla tai pienillä kirjaimilla, sekä numeroilla 0-9. Tyypillinen tämän tyyppinen salasana on 'w4JBM6mb '.

 

Ohjelman avulla käyttäjä voi kuitenkin määrittää monia eri vaihtoehtoja, kuten salasanan pituuden, onko muita erikoismerkkejä, kuten '$' tai '!' ovat sallittuja, käytetäänkö sekä isoja että pieniä kirjaimia ja niin edelleen. Tällä tavalla käyttäjä voi luoda vahvoja salasanoja tietyn verkkosivuston sallimalla suurimmalla suojauksella.

 

Palataan nyt monista "sanoista" koostuviin tunnuslauseisiin, jotka sopivat paremmin useimpiin salausohjelmiin.

 

"Yksinkertaisen" tunnuslauseen vääristäminen sen vahvistamiseksi

  • Ensinnäkin voit aloittaa joko joukolla satunnaisia ​​sanoja, kuten !RNDpassin luomia sanoja (turvallisempi, mutta vaikeampi muistaa) tai merkityksellisestä sanasarjasta (vähemmän turvallinen, mutta helpompi muistaa). Jos valitset jälkimmäisen lähestymistavan, älä käytä kuuluisia lainauksia, sananlaskuja tai sanontoja. Kaikki nämä ovat olemassa sanakirjoissa, myös sähköisessä muodossa, joita voidaan käyttää krakkaukseen. Yksi mahdollisuus olisi valita lause kirjasta satunnaisesti, mieluiten välttäen kokonaista lausetta. Yritä välttää lauseita, joilla on tavanomainen, ennustettava kieliopillinen rakenne. Korvaa tarvittaessa jotkut sanat typerillä, odottamattomilla sanoilla.

 

  • Kun 'vääristet' yksinkertaista tunnuslausetta, on parasta välttää pelkkien sanakirjan sanojen käyttöä mahdollisen sanakirjahyökkäyksen estämiseksi.

 

  • Useimmat salausohjelmat mahdollistavat muiden kuin aakkosmerkkien, kuten numeroiden tai muiden näppäimistön symbolien, käytön. Nämä voidaan lisätä odottamattomiin paikkoihin. Voit esimerkiksi muuttaa sanan "tietokone" muotoon "c0tietokone", "98%tietokone" tai "tietokone#". Lisämerkkien käyttö voi lisätä mahdollisten tunnuslauseiden määrää valtavasti ilman, että niiden muistaminen on paljon vaikeampaa. On parasta sijoittaa ne odottamattomiin paikkoihin. Hyökkääjä voi esimerkiksi arvata, että olet korvannut "o":n "0":lla, mikä on yleinen temppu.

 

  • Salalauseet monissa salausohjelmissa, mukaan lukien PGP ja GnuPG, ovat kirjainkoolla herkkiä. Tämä tarkoittaa, että on hyvä idea sekoittaa isoja ja pieniä kirjaimia. Esimerkiksi 'tietokone', TIETOKONE ja TIETOKONE olisivat kaikki erillisinä.

 

  • Jos tiedät sanoja vieraista kielistä, voit sisällyttää niitä tunnuslauseeseesi.

 

  • Voit keksiä omia turhia sanojasi, kuten Lewis Carrollin keksimän kuuluisan sanan "jabberwocky".

 

  • Voit luoda täysin merkityksettömiä "sanoja", jotka koostuvat näennäisesti "satunnaisista" merkeistä, mutta jotka on helppo muistaa. Esimerkiksi "ilro" voi tarkoittaa "I love RISC OS".

 

  • Muista, että voit käyttää mitä tahansa tulostettavia ASCII-merkkejä, ei vain näppäimistössä näkyviä merkkejä. Esimerkiksi tekijänoikeussymboli © saadaan RISC OS -tietokoneissa pitämällä ALT-näppäintä painettuna, kirjoittamalla 169 numeronäppäimistöllä ja vapauttamalla sitten ALT-näppäin. Yksityiskohtaiset tiedot kaikkien tällaisten merkkien hankkimisesta löytyy tietokoneesi käyttöoppaasta.

 

  • Voit naamioida sanakirjan sanoja käyttämällä outoja ja odottamattomia kirjoitusasuja. Esimerkiksi sana "tietokone" voidaan muuttaa sanaksi "komputta".

 

  • Sanakirjan sanat voidaan myös piilottaa käyttämällä ylimääräisiä välilyöntejä tai jättämällä pois välilyöntejä, kuten 'tietokone' tai 'Acorncomputer'.

 

  • Yllä ehdotetut tekniikat tulevat vielä tehokkaammiksi, kun niitä käytetään yhdessä. Esimerkki voisi olla sana "MY2c0mputas@home".

 

Kuinka muistaa salasanasi?

Useimmat tietoturva-asiantuntijat ovat yhtä mieltä siitä, että ei ole hyvä idea käyttää samaa tunnuslausetta kaikkiin tarkoituksiin. Jos jokin niistä on jotenkin vaarantunut, joku voi päästä kaikkiin suojattuihin tileihisi tai ohjelmiisi. Voi olla vaarallista laittaa kaikki munat yhteen koriin!

 

Tämä herättää kysymyksen siitä, kuinka muistaa kaikki salasanasi tai tunnuslauseesi. Sinulla voi olla niitä kymmeniä tai jopa satoja, varsinkin jos sinulla on tilejä useilla verkkosivustoilla.

 

Yksi ratkaisu on säilyttää kaikki tunnuslauseesi yhdessä tiedostossa, joka itsessään pidetään salattuna yhdellä vahvalla pääsalalauseella. Tältä verkkosivustolta on saatavilla useita hyviä salausohjelmia, ja mitä tahansa näistä voidaan käyttää salalauseluettelosi salaamiseen.

 

Viimeinen neuvo: mitä tahansa teetkin, älä koskaan kirjoita salasanojasi muistiin tai tallenna niitä mihinkään pelkkää tekstitiedostoon. Jos teet niin, se vaatii vaivaa. Tunnuslauseesi tulisi olla vain päässäsi tai vain salatussa muodossa!

bottom of page