Skip to main content
Telia.fi etusivulle Telia.fi etusivulle

Salasana vain 14 merkkiä? Onko salasanani teillä turvassa?

  • December 11, 2014
  • 4 kommenttia
  • 1 katselukerta
M
Savumerkittäjä
Tuota... yritin tallentaa uuden salasanan Omat Sivut -palveluunne, ja sain hämmentävän viestin: Salasana voi olla enintään 14 merkkiä pitkä.

Voisiko joku tietoturva-asiantuntijanne hieman perustella tätä ratkaisua. Miksi pituudelle on yhtään mitään tällaista rajoitusta (ellei lasketa jotain todella isoja pituuksia, toki)?

Tälainen outo rajoitus saattaa kieliä siitä että salasana tallennetaan teidän palvelussanne väärällä tavalla. Haluaisnkin myös erillisen varmistuksen ettette tallenna salasanaani puhtaana tekstinä, vaan ainoastaan hash-tiivisteenä (toivottavasti myös suolattuna), kuten aivan perustason tietoturvakäytännöt edellyttäisivät.

    4 kommenttia

    A
    • Anonymous
    • January 9, 2012
    Saunalahdella raja on kahdeksan merkkiä... sinuna olisin jo melko tyytyväinen.
    A
    • Anonymous
    • January 11, 2012
    hpguru kirjoitti:
    Saunalahdella raja on kahdeksan merkkiä... sinuna olisin jo melko tyytyväinen.


    Kyse ei niinkään ole salasanan pituudesta, johon 14 on kyllä nykyisin riittävä (se saunalahden 8 taas ei). Kyse on siitä mitä se kertoo että pituutta on yleensäkään rajoitettu. Tyypillisen tietoturvakäytännön mukaan kaikki salasanat ajetaan hash-algoritmin läpi, jonka jälkeen niistä tulee aina tasapituinen merkkijono.

    Esim. salasanani "kuukkeli42" muuttuu muotoon "e94dfafa240e7bfcdff89ebe0e9c7bdad5bedc6a9d09c935e08dbe4eeb6f0531" ja paljon pitempi "sala-sana...joka&&on===tosi&&pitkä...ja-erikoinen" muuttuu aiemman kanssa aivan yhtä pitkään muotoon "ba6c09f7fc8be5b8d4e952b22cf4a4aaaa85021e10d97aaa806cfc14da42e877"

    Tällä tavalla Soneran tiedossa on vain tuo muunnettu salasanani, jota ei voi palauttaa alkuperäiseen muotoonsa. Jos siis joku kaappaa Soneran järjestelmistä salasanani, ei siitä ole juuri mitään hyötyä.

    Tämä on siis aivan perustason tietoturvaa, ja useimmiten onnistuu muutaman rivin koodilla. Vaan jos Sonera toimii tämän käytännön mukaisesti, ei ole mitään syytä miksi salasanan pituutta olisi rajoitettu, koska kaikki salasanat ovat kuitenkin Soneran järjestelmässä noita muunnettuja, samanpituisia merkkijonoja.

    Koska pituutta kuitenkin on rajoitettu, se pistää epäilemään että näin ei toimita. Haluan Soneralta varmistuksen että tälle pituusrajalle on jokin muu syy.
    A
    • Anonymous
    • January 11, 2012
    Hei ikajaste!
    Salasanoja ei tallenneta tietojärjestelmään selväkielisinä. Salasanat ovat ns. suolattu ja kukin asiakas saa yksilöllisen tiivisteen eli samaa tiivistettä ei ole toisella asiakkaalla. Pidemmällä tähtäimellä tulemme luopumaan salasanan pituusrajoitteesta.
    A
    • Anonymous
    • January 11, 2012
    Hilda kirjoitti:
    Hei ikajaste!
    Salasanoja ei tallenneta tietojärjestelmään selväkielisinä. Salasanat ovat ns. suolattu ja kukin asiakas saa yksilöllisen tiivisteen eli samaa tiivistettä ei ole toisella asiakkaalla. Pidemmällä tähtäimellä tulemme luopumaan salasanan pituusrajoitteesta.

    Hyvä! Eli kyse on vain historian hassusta jäänteestä. Kiitos tiedoista, nehän tulivat varsin näppärästi!
    KäyttöehdotAccessibility statement
    Evästeasetukset