Salasanapolitiikkojen murtaminen

Helppo15MIN

Salasanapolitiikat eivät toimi

Kun käyttäjää pyydetään keksimään salasana, jossa on isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä, lopputulos on:

Yksi iso kirjain
Sitten pieniä kirjaimia
Sitten numero, pari numeroa tai vuosiluku
Lopuksi erikoismerkki

Salasanasta "kissa" tulee siis "Kissa123!" tai "Kissa1998@", tai vastaava. Sen lisäksi tällainen politiikka estää sellaisten salasanojen käytön, jotka olisivat oikeasti turvallisia ja helppo muistaa (kuten "kissalampun tongitko vonkaleen latasi").

Palvelun suojaus

Älä vaadi salasanalta mitään muuta kuin ettei se ole liian lyhyt. NIST suosittelee että salasanat ovat vähintään 8 merkkiä pitkiä. Käyttäjiä on hyvä salasanan asettamisen yhteydessä muistuttaa, että on suositeltavaa käyttää salasananhallintaohjelmaa, tai sen puuttuessa keksiä salasanan sijasta satunnaisista sanoista (tai vielä parempi, epäsanoista kuten omena -> amena) koostuva salasanalause ("passphrase").

Turvallisuuden kannalta kriittisissä palveluissa voi olla perusteltua jopa pakottaa käyttämään salasananhallintaohjelmaa tai salasanalausetta, asettamalla vaikkapa salasanan minimipituus 16 merkkiseksi.

Voit myös tarkastaa, että onko käyttäjän syöttämä salasana mukana jossain niistä 12 miljardista vuotaneesta salasanasta jotka löytyvät HaveI Been Pwned -palvelusta. Rajapinnalle ei tarvitse lähettää kuin salasanan tiivisteen (SHA1) ensimmäiset viisi merkkiä, ja saat takaisin loppuosat jotka sopivat alkuosaan.

1 / 2

Edellinen: Tietomurroissa Vuotaneiden Tunnusten Hyväksikäyttö (Credential Stuffing) -hyökkäyksetEdellinen Seuraava: Password Spraying -hyökkäyksetSeuraava

Hakatemia Pro

Hakkeroinnin oppiminen alkaa tästä

Sadat interaktiiviset kurssit, virtuaalilabrat ja CTF-haasteet selaimessasi. Aloita ilmainen kokeilu ilman korttitietoja.