Salasanavaatimukset ja tilin luonti


Sanalla sanoen luokatonta amätööripelleilyä.

 

Ensinnäkin käykää lukemassa OWASP:n suositukset salasanoista. Älkää pelleilkö liian lyhyiden ja turhaan estettyjen erikoismerkkirajoitusten kanssa.

 

Toisekseen toteuttakaa tilin luonti niin että se on edes jotenkin mahdollista.

 

1. Automaattisesti generoitu vahva salasana jota ei käsin kenttään ole kirjoittanut aiheuttaa vain "vääränlainen salasana" -herjan.

2. Kyseisestä "ohjeesta" ei ilmene mitään että mikä voisi olla vikana.

3. Paitsi että ääkköset on estetty. Miksi ihmeessä? Ei ole mitään järjellistä syytä estää ääkkösiä. Tallennetaanko tai käsitelläänkö salasanoja plain-text muodossa? -> Katso jälleen se ohje.

4. Kun kentästä pääsee läpi niin se leikkaa salasanan ilmoittamatta 30 merkkiin. Miksi ihmeessä? -> Katso jälleen se ohje.

 


18 kommenttia

Käyttäjätaso 7
Kunniamerkki +22
Kysymyksesi on Sonera Viihde ja kaapeli-TV -osiossa, kerrotko tarkemmin mitä tilin luontia tarkoitat? Omille Sivuille vai tänne Klaaniin vai? 🙂
Käyttäjätaso 4
Kunniamerkki +16

Näyttäisi ainakin liittyvän tähän klaanien tunnusten tekoon... 

 

Sinulla hyvä pointteja toki mutta...

 

3. Ääkköset estetty... Samaa mieltä, ei saisi olla estetty... Mutta taitaa olla niin että koodari ei ymmärrä mikä on ääkkönen. 

 

Plain-text muodossa jos joku palveluntarjoaja tallentaa salasanani on tietoturvan tappaja... Kukaan ei nykyajassa voi tallentaa salasanoja plain-text muodossa!!! 

 

4. 30 merkin rajoitukset... Samaa mieltä... Edes ilmoittaa siitä... 


@TeroRe kirjoitti:
Kysymyksesi on Sonera Viihde ja kaapeli-TV -osiossa, kerrotko tarkemmin mitä tilin luontia tarkoitat? Omille Sivuille vai tänne Klaaniin vai? :)

Klaaniin. Tuonne Omille Sivuille ynnä muualle kun jo on tilit joilla ei tänne voi kirjautua :smileyfrustrated:…

Käyttäjätaso 4
Kunniamerkki +16

Sonera tunnuksella voi kirjautua Klaaniin, niin kuin Omille sivuille...


@olkitu kirjoitti:

 

3. Ääkköset estetty... Samaa mieltä, ei saisi olla estetty... Mutta taitaa olla niin että koodari ei ymmärrä mikä on ääkkönen.

 

Juu unohtui tosiaan sanoa että ei siinä edes niitä äkkösiä tarvitse olla. Ne on vissiin ainoa asia joka tekijällä oli mielessä kun herjan tekstia mietti.

Käyttäjätaso 7
Kunniamerkki +22
Just niinkuin olkitu kirjoitti niin Sonera Tunnuksella tänne voi rekisteröityä ja silloin ei tarvitse kuin valita oma nimimerkki joka näkyy kun täällä kirjoittelee.

Kysymyksesi olivat hyviä ja hyvä kun tarkensit asiaa. En osaa niihin ihan näin suoriltaan vastata, kyselen ja palaan asiaan tässä ketjussa 🙂

 

Kyllähän salasanat jonkinmoinen riesa on kun noita tunnuksia salasanoineen pakkaa ihmisellä olemaan kymmeniä ja joka palveluntarjoajalla omat sääntönsä niin ettei minkään sortin systematiikkaa  salasanoihinsa saa ja kirjoitettuja salasanaluetteloita on pakko käyttää vaikka jonkun ohjelman tukemina. Tuskin sellaista auktoriteettia löytyy johon voisi vedota millaiset ominaisuudet salasanalta on vähintäin ja korkeintaan vaadittava. Neuvoja tietty on pilvin pimein.

 

Kun Soneran sähköpostin yhteydessä myöskin oli ääkköskielto, niin siitä tuli oitis mieleen että ascii-merkistö on Windowsinkin eri merkkikoodauksiin yhtäläisenä sisältyvä merkistö ja äät ja ööt ovat merkkejä joita esitetään eri koodauksissa eri bittiyhdelmillä. Kukapa ei edelleen olisi ruudullaan ääkköskummajaisia vaikka webbisivuissa nähnyt. Vaikka varmaan suunnilleen tällä vuosituhannella tehdyissä käyttöjärjestelmissä sisäisesti nojaudutaan unicodekoodaukseen.

Noinpa ilman "Sonera Tunnusta" klaanin tunnusta tehdessä salasanan säännöt kerrotaan:

  "Salasanan tulee olla vähintään 8 merkin pituinen. Vähintään yhden merkeistä tulee olla muu kuin kirjain. Salasanassa ei saa olla ääkkösiä (åäö)"

Selvä on että

- annettua salasanaa ei saa muuttaa toiseksi (varsinkaan ilmoittamatta)

  muuttamista ei ole jos syöttökenttä ottaa vastaan vain tietyn määrän merkkejä

- salasanan säännöt pitää olla kerrottuna - säännöt täyttävän salasana pitää kelvata

- kun salasanaa ei hyväksytä, hylkäämissyy on kerrottava

 

Muistanpa että jo toistakymmentä vuotta sitten Soneran sähköpostiosoitteella ja kotisivuosoitteella oli jotain kertomattomia rajoituksia. Toki napisin jo silloin. Ei uutta auringon alla.

 

Kun isoja salasanavuotoja on paljastunut vuosittain, niin selväkielisinä salasanoja ei kannattaisi tallettaa. Ääkkösrajoitus tuskin on tekemisessä selväkielisenätallettamisen kanssa vaan pikemmin salasanan syöttämisen. Tavallisimpiin ohjelmistoihin ja laitteistoihin ääkkösrajoitusten tarpeen ei odottaisi enää liittyvän.  Mutta ehkä kuulemme.

 

Salasanan vahvuudella tarkoitetaan, ettei se ole helposti murrettavissa kokeilemalla tavallisimpia salasanoja kuten sanakirjan sanoja ja päivämääriä ja niiden yksinkertaisia muunnelmia. Vahvat salasanat ovat kohtalaisen pitkiä ja merkkiä voi yhtä hyvin seurata mikä tahansa merkki eli niissä on sekaisin isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Oikein huonoja salasanoja ovat esimerkiksi qwerty, *******e, password, 76543210, tunnus sellaisenaan tai takaperin.

 

Tavallinen tapa on, että talletettuna on yksisuuntaisella muunnoksella ("salakirjoituksella") salasanasta muodostettu ns. hajaute ja salasana annettaessa sille lasketaan  tuo hajaute jota verrataan talletettuun. Hajautteesta ei pysty päättelemään millä salasanalla se saadaan ja kokeilemalla etsiminen odotettavasti maksaa liian paljon aikaa ja kustannuksia.

 

Klaanin sensuroima sana yllä on helposti arvattava kirosana

Käyttäjätaso 7
Kunniamerkki +22

Tiedoksi ketjuun että emme käsittele salasanoja selväkielisenä, eikä meillä ole keinoa niitä myöskään selvittää. Tarkennamme ohjeistusta liittyen rekisteröitymiseen ja siellä siis salasanan määrittelyn suhteen. Kiitos kun toitte tämän epäkohdan esille :)

Ääkkösongelma salasanassa on mieltäni vuosien mittaan askarruttanut. Siis ei mitenkään Soneraan rajoittuen. Soneralla arvaan että samaa tekniikkaa on järkevä käyttää eri sovelluksissa ja silloin tarvitaan ratkaisu, joka ei ole rajoittunut webbikäyttöön. Klaanille kai sopisi kunhan pelaa web-käytössä, mutta sama ei sovi  sähköpostin salasanoille, joita käsitellään myös sekalaisilla sähköpostiohjelmilla.

 

Sama rajoitus koskenee monia muitakin merkkejä eikä tarvitse mennä matematiikan integraalimerkkeihin ja kreikkalaisiin aakkosiinkaan saakka. Ääkkösistä puhuttaessa ajateltaneen tavallisella suomalaisella näppäimistöllä näkyviä merkkejä. Epäilenpä, että jotkut näppäimistön erikoismerkitkin saattavat olla merkistökoodaussidonnaisia - siis ASCII-merkkien (American Standard Code for Information Interchange) ulkopuolella. Taisi takavuosien mahtitekijällä IBM:llä olla yleisessä käytössä jo ennen standardeja merkistökoodaus, joka poikkesi ASCII-merkkienkin osalta. Erityisesti ongelmamerkkien annossa voisi olla vaikeutta jos samaa salasanaa on annettava eri laitteilla ja ohjelmilla - erilaiset matkapuhelimet nyt täällä ensimmäisenä mieleen pälähtää.

 

Siis jostakin olisi pystyttävä tarvittaessa kaivamaan, mitä merkkejä tietyn järjestelmän salasanassa saa olla.

 


@olkitu kirjoitti:

Sonera tunnuksella voi kirjautua Klaaniin, niin kuin Omille sivuille...



@TeroRe kirjoitti:
Just niinkuin olkitu kirjoitti niin Sonera Tunnuksella tänne voi rekisteröityä ja silloin ei tarvitse kuin valita oma nimimerkki joka näkyy kun täällä kirjoittelee.


Niinhän sitä luulisi. Yritin kyllä ja ei kelvannut. Liittyisikö sitten jostain syystä siihen että se tunnukseni on kiinni yritysliittymässä. Yhtä huonosti se olemassa oleva Omat Sivut / Sonera Tunnus kelpasi esim. Sonera Viihteeseen. En kokenut tarpeelliseksi lähteä kikkailemaan neljännen tunnuksen kanssa.

 

Ei liity edellisiin, enkä ole varma liittyykö Soneraankaan lainkaan. Kovin usein olen törmännyt tilanteeseen että uuden salasanan on myös poikettavava "riittävästi" aikaisemmista salasanoista, ei ainoastaan edellisestä salasanasta. Ei esimerkiksi voi vaihdella salasanassa kuluvan vuoden vuosilukua. Ihan muutama päivä sittenkin ihan eri yrityksen kanssa uusi salasana selittämättä useaan kertaan hylättiin enkä keksinyt muuta kuin että olin sitä joskus vuosia aiemmin varmaan siinä palvelussa käyttänyt. Itselläni palvelut ovat tärkeysluokissa ja vain tärkeimmissä käytän vahvoja salasanoja. Tämä oli aika heikko, vain numeroita ja isoja pieniä kirjaimia ascii-merkistöstä. Vastaava toinen kelpasi.

 

Tässä yksi helppo salasananmuodostustapa (ei vahva), jolla on mieleenpalautussääntö.

Otetaan jonkun tutun laulun alku, vaikka "Ol' yksi talo varakas tuolla Keski-Suomessa"

Poimitaan siitä sanojen ensimmäiset kirjaimet OytvtK-S. Voi tehdä vielä muunnoksia, esim lisätään loppuun palvelun lyhenne KLA ja tunnuksen ensimmäinen merkki, vaihdetaan kaikki aat numeroksi 4 ja oot numeroksi 0.

 

 

                                                                                                

 

  • Nyt muuten viestinkirjoitusikkunan välilehdet toimivat minulle tässä klaanissa niin että kun kirjoitin vaikka järjestemättömän listan johon muutaman rivin, niin [Esikatsele] välilehti miettii muutaman sekunnin, väläyttää html-koodin ja tekee saman viestinkirjoitusvälilehden tekstin viesti-ikkunaan, mutta poistaa järjestämättömän listan sisältöineen tai osan siitä. Eikä poistettu palaa välilehteä takaisin vaihtaen.
  • Ainakin osa havainnoista sopisi sellaiseen, että välilehteä vaihtaessa toiseen välilehteen tulee aikaisempi automaattisesti talletettu tilanne, josta uusimmat kirjoitukset menetettiin. Ja jopa niin, että esikatselusta tekstinkirjoitukseen palatessa otettiin käyttöön vielä vanhempi talletettu tilanne.

@TeroRe kirjoitti:

Tarkennamme ohjeistusta liittyen rekisteröitymiseen ja siellä siis salasanan määrittelyn suhteen.


Joko on harkittu koska ryhdytään tarkentamaan ohjeistusta? Klaanitunnuksen rekisteröimissivulla nököttää vanha sääliä herättävä vihje salasanan sallitusta muodosta. Siitä ei käy ilmi esimerkiksi, kuinka pitkä salasana saa olla ja mitä merkkejä siinä saa esiintyä. Salasanan sallitun muodon ei sovi olla salainen, kun käyttäjän on niitä tehtävä. Hylkäämissyyn raportointia en kokeillut kun minulla on jo tunnus.

Käyttäjätaso 7
Kunniamerkki +22

Päivitykset piti olla jo aikoja sitten tehtynä, hyvä kun toit esille. Kiitos :)

Eteneekö salasanan vaatimusten julkistaminen? Lisäpostilaatikon salasanan vaihtoon "Omilla Sivuilla" saadaan edelleen ohjeeksi

"Salasanan tulee olla vähintään 8 merkin pituinen.Vähintään yhden merkeistä tulee olla muu kuin kirjain.Salasanassa ei saa olla ääkkösiä (ä, ö, å)."

 

Viestintävirasto edellyttää vähintäin 15-merkkisen salasanan sallimisen?

Saako olla välilyöntejä?  Mitä ascii-merkistön ulkopuolisia merkkejä saa ja ei saa käyttää?

Pitääkö poiketa aikaisemmista ja yleistä salasanoista?

 

Ongelmana kai on ollut, että silloinkaan kun salasana ei kelvannut, ei ole kerrottu, miten sitä on muutettava.

 

±¥“‰¾ℝ↗️⇶√⎉⑩Ⓑ☃️⚜️❄️⦝æŸƂǂᴙᴥʬↈ ᛗᛤ ᠓ щ Ѥ αβξ ༗༃

Käyttäjätaso 7
Kunniamerkki +22

Etenee kyllä mutta menee kesäkauden takia elokuun puolelle, pahoittelut viivästyksestä.


 


Sitä ennen tässä nykyinen teksti:


 


Salasanan tulee olla vähintään 8 merkin pituinen. Vähintään yhden merkeistä tulee olla muu kuin kirjain. Salasanassa ei saa olla ääkkösiä (å, ä, ö). Salasana ei myöskään saa olla sama kuin aiempi salasanasi.


 


Ja tuon lisäksi vastauksia siihen mitä tässä keskustelussa on kysytty:


 


- Salasana voi olla pidempikin kuin 15 merkkiä (tarkempi tieto sitten kun ohje on päivitetty)


- Välilyöntiä saa käyttää ja erikoismerkeistä kaikki muut käy paitsi nämä ” ’ ~ / [ ] { } < > | § ¤ : 


 


EDIT: ja tässä siis Omien Sivujen sekä Klaanin salasanan säännöt. Muistaakseni muista ei tässä keskustelussa olla aikaisemmin keskusteltu?


@TeroRe kirjoitti:

- Välilyöntiä saa käyttää ja erikoismerkeistä kaikki muut käy paitsi nämä ” ’ ~ / [ ] { } < > | § ¤ : 

 


Kielleytyiksi kerrotut vihjaavat regexp-rutiinin taitamattomaan käyttöön (ajalta ennen unicode-merkistökoodausta?). Silloin on ehkä ajateltu mahdollisina merkkeinä latin-1 merkistön merkkejä:

https://fi.wikipedia.org/wiki/ISO_8859-1#ISO_8859-1_-merkit

Skandikirjainten kielto saattaa viitata siihen että ainakin vanhoissa windowseissa eri näppäimistömäärityksillä skandikirjainten binääriesitykset saattoivat poiketa. Nykyisellään olisi tultava toimeen myös erialustaisten mobiililaitteiden kanssa.

 

Elokuun puolelle on menty, jopa ylikin.

 

Tässä vertailun vuoksi DNA:n sähköpostin salasanan ymmärrettävät säännöt:

 

  • Salasanan pituus on  8 - 32 merkkiä
  • Salasanassa on oltava merkkejä seuraavista kolmesta ryhmästä:
  • Isot kirjaimet (A-Z)
  • Pienet kirjaimet (a-z)
  • Numerot (0-9) ja erikoismerkit (!"#$%&/()-_@£{[]}+?*,.;:<>´).

Millaiset salasanasäännöt on Soneralla? Joko salasanaa hylättäessä annetaan tieto mikä oli väärin? Jos eivät eri palveluihin samat säännöt, niin myös siitä tieto!

 

ʺ$@¥®️¢£¼¿჻᠅‡…‱₪₹℅℃№⅌↘️∀∏∜∫≁≲⌘⑳☂️☯️

 

Vastaa