Suomalaisten käyttäjätunnuksia jaossa netissä

CERT-FI tiedottaa, että nettiin on livahtanut jakoon tiedosto, joka sisältää 80 000 suomalaisten verkkopalvelujen käyttäjätunnusta ja salasanaa. Tiedostossa on ”lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä”. Mukana on myös joitakin satoja selväkielisiä salasanoja.

En yhtään ihmettelisi, jos lähteenä on jokin tietty keskustelualuesofta ja salasanat on kerätty käyttäen hyväksi sen tietoturva-aukkoa. Vain harvat keskustelualueiden ylläpitäjät säännöllisesti päivittävät asentamiaan softia, mikä jättää ne alttiiksi tällaisille hyökkäyksille.

Tiedotteessa mainittu MD5-kryptaus on melko turvallinen, sillä se toimii vain yhteen suuntaan. Ideana on se, että järjestelmässä salasana on tallennettuna ainoastaan kryptattuna. Tätä kryptattua versiota eli tarkistesummaa ei saa muutettua takaisin selkokieliseksi, mutta sisäänkirjautuessa käyttäjän syöttämä salasana voidaan kryptata uudestaan ja kahta kryptattua salasanaa verrata toisiinsa.

Murtaminen on kuitenkin teoriassa mahdollista, jos saadaan käsiin tallennettu MD5-tarkistesumma. Silloin hyökkääjä voi käydä läpi satunnaisia merkkijonoja, kunnes löytyy se nimenomainen merkkijono, joka tuottaa saman tarkistesumman. Murtamisen helpottamiseksi on luotu verkkopalveluja, jotka sisältävät tietokantoja merkkijono–tarkistesumma-pareista.

SHA-1 on samanlainen yksisuuntainen kryptausmenetelmä, mutta toisin kuin MD5, se on jo onnistuttu murtamaan vuonna 2005.

Päivitys: Muropakettilaisilla on linkki kyseiseen listaan.

Päivitys 2: Kuten kommenteissa mainitaan, MD5 on kuin onkin murrettu ja SHA-1:tä voidaan pitää sitä turvallisempana.

2 thoughts on “Suomalaisten käyttäjätunnuksia jaossa netissä

  1. SHA-1 on MD5:n seuraaja. MD5 on murrettu huomattavasti SHA-1:a aikaisemmin ja sen murtamiseen on käytännössä hyödynnettäviä algoritmeja. Englanninkielisen Wikipedian mukaan MD5:n murtamiseen on algoritmi, joka löytää törmäyksen (tekstin, joka tuottaa saman hashin) alle minuutissa kannettavalla tietokoneella.

    MD5:tä ei tämän vuoksi voi sanoa turvalliseksi, eikä sen käyttö kryptografisiin tarkoituksiin ole ollut järkevää 2000-luvun puolella.

  2. Pieni viilaus – on hieman harhaanjohtavaa käyttää termiä kryptaaminen MD5 tarkisteen luomisesta koska kryptaamisella ensisijaisesti viitataan kaksisuuntaisten algoritmien käyttämiseen. MD5 on muuten myös ”murrettu” eli hashia vastaavan tarkisteen luominen on olennaisesti nopeampaa kuin alun perin algoritmiä luodessa luultiin. Kryptografit ovatkin jo vuodesta 1996 suositelleet välttämään MD5:ttä.

    MD5 murtopalvelut on käytännössä hyödyttömiä jos tarkiste on luotu oikein. Salasanojen ollessa kyseessä salasanan sekaan pitää laittaa suolaa (http://en.wikipedia.org/wiki/Salt_%28cryptography%29) jolloin on äärimmäisen epätodennäköistä että sanakirjassa on toimiva tarkiste. Ikävää vain että valtaosa ohjelmoijista jotka tuottaa tietoturvaan littyvää koodia ei tiedä kryptografiasta tuon taivaallista ja näinpä MD5 sanakirjoistakin on hyötyä turhan monta järjestelmää murtaessa. Jos kryptografia kiinnostaa, kannattaa lukea Bruce Schneierin Practical Cryptography josta löytää helppoa käytännön tietoa krypton oikeasta käytöstä järjestelmien implementoinnissa.

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s