Salasanapolitiikat eivät toimi
Kun käyttäjää pyydetään keksimään salasana, jossa on isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä, lopputulos on:
- Yksi iso kirjain
- Sitten pieniä kirjaimia
- Sitten numero, pari numeroa tai vuosiluku
- Lopuksi erikoismerkki
Salasanasta "kissa" tulee siis "Kissa123!" tai "Kissa1998@", tai vastaava. Sen lisäksi tällainen politiikka estää sellaisten salasanojen käytön, jotka olisivat oikeasti turvallisia ja helppo muistaa (kuten "kissalampun tongitko vonkaleen latasi").
Älä vaadi salasanalta mitään muuta kuin ettei se ole liian lyhyt. NIST suosittelee että salasanat ovat vähintään 8 merkkiä pitkiä. Käyttäjiä on hyvä salasanan asettamisen yhteydessä muistuttaa, että on suositeltavaa käyttää salasananhallintaohjelmaa, tai sen puuttuessa keksiä salasanan sijasta satunnaisista sanoista (tai vielä parempi, epäsanoista kuten omena -> amena) koostuva salasanalause ("passphrase").
Turvallisuuden kannalta kriittisissä palveluissa voi olla perusteltua jopa pakottaa käyttämään salasananhallintaohjelmaa tai salasanalausetta, asettamalla vaikkapa salasanan minimipituus 16 merkkiseksi.
Voit myös tarkastaa, että onko käyttäjän syöttämä salasana mukana jossain niistä 12 miljardista vuotaneesta salasanasta jotka löytyvät HaveI Been Pwned -palvelusta. Rajapinnalle ei tarvitse lähettää kuin salasanan tiivisteen (SHA1) ensimmäiset viisi merkkiä, ja saat takaisin loppuosat jotka sopivat alkuosaan.
Harjoitus
(Tulossa)
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.