Salasanat ja vaihtamisen tuska

Ruutukaappaus 1Passwordista: Logins: 179“Vaihda salasanasi säännöllisesti”, sanotaan. Miten ihmeessä kukaan voi kuvitella, että salasanan vaihtaminen säännöllisesti vajaaseen kahteen sataan palveluun olisi käytännössä mitenkään mahdollista säännöllisesti?

Onneksi minulla ei ole mitään erityistä pakkoa vaihtaa salasanojani, onhan jokainen salasanani sivustokohtaisesti uniikki ja turvallinen 16 merkin mittainen. Silti, haluaisin noudattaa kaikkia hyviä salasanakäytäntöjä ja salasanan säännöllinen vaihtaminen on niistä yksi.

(Vai onko SuperGenPass turvallinen sittenkään?)

Vai onko se relevantti toimenpide? En pikagooglauksella löytänyt kunnollisia perusteita.

Joo, jos salasanan tiiviste (hash) päätyy krakkerien käsiin ja sen murtaminen salasanaksi kestää 7 kuukautta, vaihtamalla salasanan puolen vuoden välein olen turvassa. Mutta en omista yksiäkään tunnuksia joiden murtamiseen kukaan käyttäisi muutamaa minuuttia pidempään prosessoriaikaa.

Pankkitunnukseni salasanan haluaisin valita “hiukan” turvallisemmaksi nykyistä nelinumeroisesta. Toki avainlukulista estää tehokkaasti tilisiirrot ja muutkin väärinkäytökset, mutta en silti halua, että tilisaldojani ja lainasummiani pääsee ihan vahingossa katselmaan. Näin nimittäin oikeasti käy jatkuvasti Suomessa.

Langattomat verkot ja tietoturva

Jollain naapurillamme on täysin suojaamaton langaton verkko. Päädyin surffaamaan väärällä yhteydellä ihan vahingossa, kun valitsin verkkolistalta väärän verkon ja DHCP jakeli minulle kyselemättä IP-osoitteen. Sen verran viivyin verkossa, että ehdin selvittää ulkoisen ip-osoitteen. Mitähän tällaisessa tapauksessa pitäisi tehdä? Yrittää ilmoittaa operaattorin kautta asianomaiselle vai vaieta tietomurtosyytteiden pelossa?

Rikoksen rajat

Tämän päivän Hesarissa Petteri Järvinen kirjoittaa Vieraskynä-palstalla otsikolla Tietomurron yrityskin on rikos. (Linkki Petteri Järvisen kirjoitukseen Helsingin Sanomissa 27.4.2003 poistettu 9.7.2009, koska sitä ei ollut enää vapaasti luettavissa.) Juttu kritisoi ennakkotapausta (linkki KKO:n ennakkoratkaisuun poistettu 9.7.2009, koska se ei enää toiminut), jonka mukaan pelkkä porttiskannaus on jo rikos, josta voidaan tuomita mittaviin korvaksiin.

Kirjoituksessa Järvinen vertaa porttiskannausta autovarkauden yrittämiseen, josta tuskin ketää rangaistaan. Hän myös kysyy aiheellisesti, eikö pankin olisi joka tapauksessa varauduttava tietomurtoihin, mistä väistämättä aiheutuu kustannuksia.

Yhden porttiskannauksen, joita tulee varsinkin ulkomailta päivittäin muutenkin, ei luulisi voivan – ainakaan kun puhutaan pankin turvajärjestelyistä – johtaa rutiinitöitä laajempiin toimiin. Jos pankin turvajärjestelyt ovat todella sillä tasolla, että porttiskannaus antaa aihetta palkata konsultteja ja uusia järjestelmiä, on pankin asiakkaiden syytä todella huolestua.

Päätös on tietysti vielä harmillisempi ennakkotapauksena. Määritelmä tietomurron yrityksestä on nyt asetettu todella tiukaksi. Nykyisin, kun ohjelmistopohjaisia työasemakohtaisia palomuureja on käytössä kaikilla peruskäyttäjistä alkaen, tavallista verkkoliikennettä tulkitaan murtoyrityksiksi kovin heppoisin perustein, usein aivan nollatiedoilla. Vaikka väärin perustein ei ketään tuomittaisikaan, on silti ikävää joutua käymään oikeutta syyttömänä, turhista kustannuksista yhteiskunnalle puhumattakaan.

Porttiskannaus on mielestäni osittain verrattavissa tilanteeseen, jossa käyttäjä etsii tietoa www-sivuilta arvaillen polkua osoiteriviä muokkaamalla. Kovin monen www-palvelun tietoturva on sillä tasolla, että oikean rivin veikkaamalla kolahtaa kohdalle jättipotti – sivujen täysin suojaamaton www-pohjainen ylläpito. Vastuullinen kansalainen ilmoittaa löydöstään tietenkin verkkosivuston ylläpidolle. Vai ilmoittaako sittenkään? Voiko vahingossa tapahtunutta tietomurtoa pitää rikoksena? Miten osoittaa löydön tapahtuneen vahingossa? Miten manuaalinen osoitteiden kokeilu ja tehokkaampi ohjelmallinen skannaus eroavat käytännössä toisistaan?