Suomalaisten käyttäjätunnuksia jaossa netissä
CERT-FI tiedottaa, että nettiin on livahtanut jakoon tiedosto, joka sisältää 80 000 suomalaisten verkkopalvelujen käyttäjätunnusta ja salasanaa. Tiedostossa on “lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä”. Mukana on myös joitakin satoja selväkielisiä salasanoja.
En yhtään ihmettelisi, jos lähteenä on jokin tietty keskustelualuesofta ja salasanat on kerätty käyttäen hyväksi sen tietoturva-aukkoa. Vain harvat keskustelualueiden ylläpitäjät säännöllisesti päivittävät asentamiaan softia, mikä jättää ne alttiiksi tällaisille hyökkäyksille.
Tiedotteessa mainittu MD5-kryptaus on melko turvallinen, sillä se toimii vain yhteen suuntaan. Ideana on se, että järjestelmässä salasana on tallennettuna ainoastaan kryptattuna. Tätä kryptattua versiota eli tarkistesummaa ei saa muutettua takaisin selkokieliseksi, mutta sisäänkirjautuessa käyttäjän syöttämä salasana voidaan kryptata uudestaan ja kahta kryptattua salasanaa verrata toisiinsa.
Murtaminen on kuitenkin teoriassa mahdollista, jos saadaan käsiin tallennettu MD5-tarkistesumma. Silloin hyökkääjä voi käydä läpi satunnaisia merkkijonoja, kunnes löytyy se nimenomainen merkkijono, joka tuottaa saman tarkistesumman. Murtamisen helpottamiseksi on luotu verkkopalveluja, jotka sisältävät tietokantoja merkkijono–tarkistesumma-pareista.
SHA-1 on samanlainen yksisuuntainen kryptausmenetelmä, mutta toisin kuin MD5, se on jo onnistuttu murtamaan vuonna 2005.
Päivitys: Muropakettilaisilla on linkki kyseiseen listaan.
Päivitys 2: Kuten kommenteissa mainitaan, MD5 on kuin onkin murrettu ja SHA-1:tä voidaan pitää sitä turvallisempana.