Salasanoja ei pidä lähetellä sähköpostitse

10 vuotta sitten
11. joulukuuta 2014
6 kommenttia
33 katselukertaa

migration
Savumerkittäjä

Hei,

Kun rekisteröidyin tälle foorumille sain vahvistuksen mukana käyttäjätunnuksen ja salasani sähköpostiin. Tämä on erittäinen huonoa tietoturvaa! Miksi ihmeessä lähettelette salasanaani ympäri verkkoa selväkielisenä? Toisekseen kysymys herää onko foorumin salasanat tallennettu selväkielisenä tietokantaan.

Miksi salasanaa ei pidä tallentaa selväkielisenä? No siksi, että ihmiset usein käyttävät kielloista huolimatta samaa salasanaa useimmissa palveluissa ja Soneralle on valtava PR-tappio mikäli, epätodennäköisessä, mutta mahdollisessa tapauksessa käyttäjätunnus- ja salasanatietokanta vuotaisi sivullisille. Ette voi väittää edes ettei kenellekkään olisi käynyt näin ennen. Muistissa pitäisi olla Älypää-tapaus: http://www.hs.fi/kotimaa/artikkeli/%C3% ... 5254904425

Mihin toimenpiteisiin ryhdytte selväkielisten salasanojen lähettämisen ja mahdollisen selväkielisenä tallentamisen poistamiseksi järjestelmistänne? Onko Arttu Lehmuskallio vielä Soneran tietoturvapäällikkö ja miksi hän hoitaa hommansa kehnosti, eikä saa alaisiaan tekemään tietoturvallisia järjestelmiä?

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

Mites se pitäisi lähettää? Eiköhän sen pyytämällä saa myös kirjattuna kirjeenä postiin, johonkin suhteelliseen edulliseen palvelu + luonnontuhoamismaksuun... joku 20e varmaan ihan ok sinullekin?

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

vimake kirjoitti:
Mites se pitäisi lähettää? Eiköhän sen pyytämällä saa myös kirjattuna kirjeenä postiin, johonkin suhteelliseen edulliseen palvelu + luonnontuhoamismaksuun... joku 20e varmaan ihan ok sinullekin?

vimake kirjoitti:
Mites se pitäisi lähettää? Eiköhän sen pyytämällä saa myös kirjattuna kirjeenä postiin, johonkin suhteelliseen edulliseen palvelu + luonnontuhoamismaksuun... joku 20e varmaan ihan ok sinullekin?

Varmaan muistat salasanan, jonka annoit juuri rekisteröitymisen yhteydessä. Jos kuitenkin muisti pettää, salasanan vaihtamista voi pyytää samalla tavalla kuin alkuperinkin tunnus vahvistettiin eli sähköpostiin lähetetään linkki, jota kautta salasanan voi kerran vaihtaa toiseksi. Missään vaiheessa salasanaa, joka on siis salaista informaatiota, ei tarvitse lähettää selväkielisenä sähköpostiin. Salasana voidaan tallentaa järjestelmään tiivisteenä, josta ei voi päätellä alkuperäistä salasanaa. Salasana tarkistetaan laskemalla tiiviste uudelleen annetusta salasanasta ja vertaamalla sitä tietokannassa olevaan tiivisteeseen, jos ne täsmää, on salasana oikein.

Nämä asiat ovat kyllä ihan tietojärjestelmäkehityksen alkeisoppimäärään kuuluvia asioita, eikä mitenkään ammattilaisille vieraita.

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

Hei,

Nostit esille erittäin hyviä ja tärkeitä asioita. Teimme näiden pohjalta muutamia muutoksia järjestelmään ja salasanoja ei enään lähetetä sähköpostilla käyttäjälle rekisteröinnin yhteydessä, koska siihen ei ole syytä. Käytämme avoimeen ohjelmistoon perustuvaa ohjelmistoa, johon on tehty vain muutamia muutoksia, jotta päivittäminen on mahdollisimman yksinkertaista. Järjestelmän käyttöönoton yhteydessä on käytetty ohjelmiston alkuperäisiä template -tiedostoja ja niitä on nyt muutettu. Järjestelmä tallentaa kaikki salasanat tiivisteillä, joten ne eivät ole tietokannassa selväkielisinä.

Terveisin,

Mika
Sonera verkkoasiakaspalvelu
Palveluvastaava

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

Hei,

Sonera-asiantuntija kirjoitti:
Teimme näiden pohjalta muutamia muutoksia järjestelmään ja salasanoja ei enään lähetetä sähköpostilla käyttäjälle rekisteröinnin yhteydessä, koska siihen ei ole syytä.

Sonera-asiantuntija kirjoitti:
Teimme näiden pohjalta muutamia muutoksia järjestelmään ja salasanoja ei enään lähetetä sähköpostilla käyttäjälle rekisteröinnin yhteydessä, koska siihen ei ole syytä.

Suurella yllätyksellä luin kuinka nopeasti ja asiantuntevasti Sonera korjasi ongelman ja vastasi epäilyksiini, että salasana tallennetaan selväkielisenä.

Valitettavasti en enää vaan jaksa uskoa mukaviin vastauksiin ja kokeilin luoda toisen tunnuksen. Mikään ei ollut muuttunut. Samalla tavalla sieltä tuli sanasana sähköpostiin. Ehkä tuossa vastauksessa on vain typo ja siinä pitäisi lukea "Tulemme tekemään...", nykyhetkeä vastaus ei nimittäin kuvaa.

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

Hei,

Allekirjoittanut teki klassisen virheen ko. järjestelmän kanssa ja siitä pahoittelut. Muutokset olivat tehtynä, mutta järjestelmä pääsi hakemaan tiedot cachesta, joten ne piti myös tyhjentää. Nyt ei enään lähettänyt salasanaa rekisteröinnin yhteydessä.

Mukavaa viikonloppua,

Mika
Sonera verkkoasiakaspalvelu
Palveluvastaava

Anonymous
0 kommenttia
13 vuotta sitten
27. toukokuuta 2011

Nyt toimii oikein. Kiitos. =)

Vastaa

Rich Text Editor, editor1

Vastaa

Muuta aiheeseen liittyvää luettavaa

Puhelimen tietoturva kuntoon: älä koskaan tee näitä virheitä

Seniori-info: Miten surffailet turvallisesti netissä ja ohjeita ongelmatilanteisiin

Huijausviestejä Telian nimissä liikkeellä

Usein kysytyt kysymykset: Huijausviestit ja tietoturva

Telia Dotin hinnoittelu

Etkö löytänyt etsimääsi?

Rekisteröidy

Kirjaudu tai luo tunnukset Yhteisöön. Paina Jatka.

Kirjaudu tai luo tunnukset Yhteisöön. Paina Jatka.

Skannataan tiedostoa virusten varalta

Tätä tiedostoa ei voida ladata

Kirjaudu tai luo tunnukset Yhteisöön.
Paina Jatka.

Kirjaudu tai luo tunnukset Yhteisöön.
Paina Jatka.