[Teema] Ylläpitäjä: Tiivistä ja suolaa salasanat

Ylläpidon on syytä kiinnittää huomiota käyttäjien salasanojen turvalliseen suojaamiseen. Myös lisäsuojan tarjoaminen parantaa palvelun luotettavuutta.

Salasanoja käyttävissä palveluissa ja järjestelmissä on syytä kiinnittää huomiota myös käyttäjien salasanojen turvalliseen suojaamiseen. Salasanat eivät saisi löytyä palvelusta selväkielisinä, vaan ne pitäisi tallentaa oikeaoppisesti tiivisteiden ja "suolauksen" avulla. Myös lisäsuojan tarjoaminen käyttäjille parantaa palvelun luotettavuutta.

1. Säilö salasanat tiivisteinä

Hyvin toteutetussa palvelussa salasanoja ei varastoida järjestelmään, vaan niistä lasketaan ns. tiiviste yksisuuntaisen tiivistefunktion avulla. Palvelujen ylläpidossa salasanoja suositellaan suojattavaksi tiivisteiden ja seuraavaksi kuvatun suolaamisen avulla, jolloin riskit palvelun salasanojen väärinkäytöksille vähenevät tietomurtojen yhteydessä. Salasanojen murtaminen edellyttää yleensä sen, että murtaja saa haltuunsa tiivisteen, minkä jälkeen oikeaa salasanaa voi yrittää arvailla muualla kuin itse palvelussa, sitä varten kehitetyillä ohjelmistoilla.

Salasanatiivisteiden luomiseen on käytettävissä useita vaihtoehtoisia salasanatiivistealgoritmeja. Esimerkiksi algoritmit PBKDF2, bcrypt ja scrypt soveltuvat tiivisteen luomiseen hyvin. Osa salasanatiivistealgoritmeistä hyödyntää tiivisteen muodostamisessa jotain standardoitua kryptografista tiivistefunktioita, kuten SHA-2:ta. Ei ole kuitenkaan suositeltavaa luoda salasanatiivisteitä yksinään tällaisella tiivistefunktiolla, vaan käyttää yhtä edellä mainituista algoritmeistä.

2. Suolaus parantaa säilöntää

Merkittävä tekijä salasanatiivistealgoritmien turvallisuudessa on niin sanotun suolan käyttö. Suola on satunnaisesti muodostettu uniikki käyttäjäkohtainen merkkijono, jota käytetään yhtenä algoritmin parametrina salasanan lisäksi. Näin ollen suolan muuttaminen muuttaa myös salasanatiivistettä, vaikka itse salasana pysyisi samana. Tämä vaikeuttaa merkittävästi salasanojen selvittämistä tiivisteiden perusteella, eikä muutaman salasanan murtaminen helpota kaikkien salasanojen murtamista.

Toinen tärkeä tekijä turvallisuudessa on algoritmien hitaus: salasanatiivistealgoritmit ovat huomattavasti hitaampia kuin yleiskäyttöiset kryptografiset tiivistefunktiot, mikä hankaloittaa salasanojen murtamista väsytysmenetelmällä.

Kuitenkin myös salasanatiivisteet ja suolatut salasanatiivisteet on mahdollista murtaa, mikäli hyökkääjä tietää käytetyn suolauksen sekä tiivistefunktion. Tiivistefunktiosta ja erikoismerkkien käytöstä riippuen myös pidemmät salasanat on mahdollista murtaa.

3. Tarjoa lisäsuojaa

Palvelun tietoturvaa voi parantaa merkittävästi ottamalla käyttöön menetelmiä, jotka vaikeuttavat huijaamalla saatujen salasanojen käyttöä. Näitä ovat mm. kaksivaiheinen tunnistaminen ja ilmoitukset poikkeavista kirjautumisista palvelujen tileille. Vahvan tunnistamisen käyttöönottamista suositellaan yleisesti harkittavaksi palvelujen turvallisuuden tehostamisessa.

Päivityshistoria

Asiasanat: Internet , Tietoturva , Kyberturvallisuus , NCSC-FI , Salasana , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248