Hämmästyttävän moni ihminen valitsee salasanakseen jotain itselleen merkityksellistä, kuten lasten tai lemmikkien nimiä, syntymäaikoja, merkkipäiviä, lempi jääkiekkojoukkueita, jne. Hyökkääjälle, joka voi arvailla salasanoja yllättävän monta kertaa sekuntissa, ja joka näkee kohteen somesta valtavasti tietoja, joita salasanassa on saatettu käyttää, arvaaminen ei monestikaan ole kovin vaikeaa.

Yksi keino taistella arvattavuutta vastaan on salasanapolitiikat. "Salasanasi pitää sisältää yksi iso kirjain, yksi pieni kirjain, yksi numero ja yksi erikoismerkki". Politiikat ovat tehottomia, koska ihmiset toimivat tällaisissa tilanteissa yleensä hyvin ennalta-arvattavalla tavalla. Iso kirjain. Sitten pieniä kirjaimia. Sitten numero tai numeroita. Sitten se erikoismerkki.

Näin salasanasta "kissa" tulee "Kissa123!". Tai "Kissa1985?". Ja hyökkääjät tietävät sen.

Yksi tapa hidastaa arvailua on captchat. Käyttäjää pyydetään klikkaamaan kaikki kuvat, joissa näkyy bussi, tai ottamaan selkoa epäselvistä kirjaimista. Tämäkin lähestymistapa on tehoton. Ensinnäkin Kiinasta saa tilattua yllättävän halvalla palvelun jossa syötät tehtävän rajapinnan kautta ja joku ratkoo sen puolestasi. Toisekseen tekoäly on nykyään niin kehittynyttä että on hankalaa tehdä tehtäviä, jotka ihminen pystyy ratkomaan mutta tietokone ei.

Entäs jos liian monen väärän arvauksen jälkeen hyökkääjän IP-osoite estetään? Ei auta. IP-osoitetta on liian helppo vaihtaa, Internet on täynnä ilmaisia ja halpoja välityspalvelimia ja työkaluja kuten tor-verkko, joista saa uuden IP:n hetkessä. Hyökkääjillä on yleensä käytössään myös bottiverkkoja, joista saa heti monta hyvää IP-osoitetta käytettäväksi. Sitäpaitsi blokkaamalla IP-osoitteita saatat vahingossa blokata oikeita käyttäjiä jotka sattuvat käyttämään esimerkiksi samaa VPN:ää hyökkääjän kanssa.

Hyökkääjä voi arvata yhtä salasanaa kerrallaan

...ja kokeilla sitä vaikka miljoonaan eri käyttäjätunnukseen. Tällaista nk. "Password spraying" hyökkäystä ei oikein voi estää lukittamalla tilejä, koska samaan tiliin kohdistuu vain yksi arvaus silloin tällön.

Tilin lukkiutuminen on palvelunestohaavoittuvuus

Jos tilin lukitsee vaikka viiden epäonnistuneen kirjautumisyrityksen jälkeen, mikä estää hyökkääjää tekemästä palvelunestohyökkäystä, joka yrittää lukittaa mahdollisimman monta tiliä, tai tekemästä kiusaa yksittäiselle tilille?

Jos taas ei lukitse, mikään ei estä hyökkääjää arvailemasta käyttäjän salasanaa loputtomiin, mistä tulee toinen haavoittuvuus.

Salasanojen kanssa ei oikein voi voittaa.

Jokainen, jolla ei ole salasananhallintaohjelmaa, ja valitettavasti heitä on nykyäänkin vielä valtava määrä, uudelleenkäyttää salasanoja. Se on vain fakta, käyttäjätilejä kertyy vuosien varrella satoja, ja ihmisen (ainakaan useimpien meistä) ei ole mahdollista muistaa satoja, uniikkeja, turvallisia salasanoja.

Melkein kaikki koskaan vuotaneet tiedot löytyy jostain päin Internettiä, ja on helppo löytää kokoelmia jossa on valtava määrä käyttäjätunnus- ja salasanapareja. Kun henkilön salasana vuotaa yhdestä palvelusta, hyökkääjä ottaa salasanan ja sähköpostiosoitteen ja kokeilee niitä jokaiseen palveluun mitä Internetistä löytyy.

Jos erehdyt kirjoittamaan salasanasi palveluun valvontakameran läheisyydessä, tai tietämättä että joku kuvaa kännykällä ikkunan takana näppäimistöäsi, tai jos joku on asentanut näppäimistöösi näppäinpainalluksia nauhoittavan työkalun, salasanasi vuotaa hyökkääjälle.

Ja sitten ne pitää palauttaa. Tapa jolla salasana palautetaan aiheuttaa aina riskin. Jos pääsee käsiksi henkilön sähköposteihin, saa käytännössä palautettua salasanan jokaiseen palveluun. Ja jos salasanan voi palauttaa myös vaikkapa asiakaspalvelu, syntyy myös ihmisiin kohdistuva nk. social engineering -hyökkäysvektori.

Kun klikkasit sähköpostiisi tullutta linkkiä, joka sitten pyytää sinua kirjautumaan, tuliko viesti varmasti oikeasta osoitteesta, ja onko sivusto varmasti oikea sivu? Ei ole realistista odottaa että ihmiset eivät lankeaisi tällaiseen kalasteluhyökkäykseen. Salasanoja tällaiselta hyökkäykseltä ei kuitenkaan voi suojata.

Minulla on salasanoja. Sinullakin on. Toistaiseksi niiltä ei kukaan tässä maailmassa välty. Voit kuitenkin rajata omat salasanasi minimiin, ja huolehtia omasta turvallisuudestasi parilla vinkillä!

Suosi "Kirjaudu Googlella", jne. vaihtoehtoja aina kun niitä on tarjolla.

Käytä salasananhallintaohjelmaa kuten vaikkapa 

Käytä monivaiheista tunnistusta kaikissa palveluissa jotka tukevat sitä. Varmista että sinulla on aina yhtenä vaihtoehtona SMS-koodi tai tunnistus-sovellus joka antaa sinun varmuuskopioida ja palauttaa koodit puhelinnumerolla, kuten 

. Et halua lukkiutua ulos koko digitaalisesta identiteetistäsi jos hukkaat laitteesi. Puhelinnumerosi saat aina takaisin, joten palautuksen kannattaa perustua puhelinnumeroon sekä salasanaan jonka muistat.

Suojautuaksesi kalasteluhyökkäyksiltä, osta 

 ja käytä sitä (U2F avainta) pääasiallisena MFA-faktorina kaikissa palveluissa jotka tukevat avaimen käyttöä. Muista kuitenkin aina lisätä MFA-faktoriksi jotain jonka pystyt palauttamaan puhelinnumerolla ja/tai salasanalla.

Suojaa itsesi!

...ja luovu salasanoista. Hakatemiaan esimerkiksi ei pysty kirjautumaan salasanalla.

Suojaa palvelusi!

Tietoturvatestauksen ja eettisen hakkeroinnin näkökulmasta pureudumme erilaisiin salasanoihin kohdistuviin hyökkäyksiin tämän kurssin moduuleissa.

## Salasanat ovat arvattavia

Hämmästyttävän moni ihminen valitsee salasanakseen jotain itselleen merkityksellistä, kuten lasten tai lemmikkien nimiä, syntymäaikoja, merkkipäiviä, lempi jääkiekkojoukkueita, jne. Hyökkääjälle, joka voi arvailla salasanoja yllättävän monta kertaa sekuntissa, ja joka näkee kohteen somesta valtavasti tietoja, joita salasanassa on saatettu käyttää, arvaaminen ei monestikaan ole kovin vaikeaa.

---

## Salasanapolitiikat ovat tehottomia

Yksi keino taistella arvattavuutta vastaan on salasanapolitiikat. "Salasanasi pitää sisältää yksi iso kirjain, yksi pieni kirjain, yksi numero ja yksi erikoismerkki". Politiikat ovat tehottomia, koska ihmiset toimivat tällaisissa tilanteissa yleensä hyvin ennalta-arvattavalla tavalla. Iso kirjain. Sitten pieniä kirjaimia. Sitten numero tai numeroita. Sitten se erikoismerkki.

Näin salasanasta "kissa" tulee "Kissa123!". Tai "Kissa1985?". Ja hyökkääjät tietävät sen.

---

## Captchat ovat tehottomia

Yksi tapa hidastaa arvailua on captchat. Käyttäjää pyydetään klikkaamaan kaikki kuvat, joissa näkyy bussi, tai ottamaan selkoa epäselvistä kirjaimista. Tämäkin lähestymistapa on tehoton. Ensinnäkin Kiinasta saa tilattua yllättävän halvalla palvelun jossa syötät tehtävän rajapinnan kautta ja joku ratkoo sen puolestasi. Toisekseen tekoäly on nykyään niin kehittynyttä että on hankalaa tehdä tehtäviä, jotka ihminen pystyy ratkomaan mutta tietokone ei.

---

## IP-bannaaminen on tehotonta

Entäs jos liian monen väärän arvauksen jälkeen hyökkääjän IP-osoite estetään? Ei auta. IP-osoitetta on liian helppo vaihtaa, Internet on täynnä ilmaisia ja halpoja välityspalvelimia ja työkaluja kuten tor-verkko, joista saa uuden IP:n hetkessä. Hyökkääjillä on yleensä käytössään myös bottiverkkoja, joista saa heti monta hyvää IP-osoitetta käytettäväksi. Sitäpaitsi blokkaamalla IP-osoitteita saatat vahingossa blokata oikeita käyttäjiä jotka sattuvat käyttämään esimerkiksi samaa VPN:ää hyökkääjän kanssa.

---

## Hyökkääjä voi arvata yhtä salasanaa kerrallaan

...ja kokeilla sitä vaikka miljoonaan eri käyttäjätunnukseen. Tällaista nk. "Password spraying" hyökkäystä ei oikein voi estää lukittamalla tilejä, koska samaan tiliin kohdistuu vain yksi arvaus silloin tällön.

---

## Tilin lukkiutuminen on palvelunestohaavoittuvuus

Jos tilin lukitsee vaikka viiden epäonnistuneen kirjautumisyrityksen jälkeen, mikä estää hyökkääjää tekemästä palvelunestohyökkäystä, joka yrittää lukittaa mahdollisimman monta tiliä, tai tekemästä kiusaa yksittäiselle tilille?

Jos taas ei lukitse, mikään ei estä hyökkääjää arvailemasta käyttäjän salasanaa loputtomiin, mistä tulee toinen haavoittuvuus.

Salasanojen kanssa ei oikein voi voittaa.

---

## Salasanoja uudelleenkäytetään

Jokainen, jolla ei ole salasananhallintaohjelmaa, ja valitettavasti heitä on nykyäänkin vielä valtava määrä, uudelleenkäyttää salasanoja. Se on vain fakta, käyttäjätilejä kertyy vuosien varrella satoja, ja ihmisen (ainakaan useimpien meistä) ei ole mahdollista muistaa satoja, uniikkeja, turvallisia salasanoja.

---

## Salasanoja vuodetaan

Melkein kaikki koskaan vuotaneet tiedot löytyy jostain päin Internettiä, ja on helppo löytää kokoelmia jossa on valtava määrä käyttäjätunnus- ja salasanapareja. Kun henkilön salasana vuotaa yhdestä palvelusta, hyökkääjä ottaa salasanan ja sähköpostiosoitteen ja kokeilee niitä jokaiseen palveluun mitä Internetistä löytyy.

---

## Salasanat tallentuvat kameraan

Jos erehdyt kirjoittamaan salasanasi palveluun valvontakameran läheisyydessä, tai tietämättä että joku kuvaa kännykällä ikkunan takana näppäimistöäsi, tai jos joku on asentanut näppäimistöösi näppäinpainalluksia nauhoittavan työkalun, salasanasi vuotaa hyökkääjälle.

---

## Salasanat unohtuvat

Ja sitten ne pitää palauttaa. Tapa jolla salasana palautetaan aiheuttaa aina riskin. Jos pääsee käsiksi henkilön sähköposteihin, saa käytännössä palautettua salasanan jokaiseen palveluun. Ja jos salasanan voi palauttaa myös vaikkapa asiakaspalvelu, syntyy myös ihmisiin kohdistuva nk. social engineering -hyökkäysvektori.

---

## Salasanoja on helppo kalastella

Kun klikkasit sähköpostiisi tullutta linkkiä, joka sitten pyytää sinua kirjautumaan, tuliko viesti varmasti oikeasta osoitteesta, ja onko sivusto varmasti oikea sivu? Ei ole realistista odottaa että ihmiset eivät lankeaisi tällaiseen kalasteluhyökkäykseen. Salasanoja tällaiselta hyökkäykseltä ei kuitenkaan voi suojata.

---

## Salasanat ovat välttämättömiä

Minulla on salasanoja. Sinullakin on. Toistaiseksi niiltä ei kukaan tässä maailmassa välty. Voit kuitenkin rajata omat salasanasi minimiin, ja huolehtia omasta turvallisuudestasi parilla vinkillä!

@embed 287164901891

@embed 40f76f41da56

Tietoturvatestauksen ja eettisen hakkeroinnin näkökulmasta pureudumme erilaisiin salasanoihin kohdistuviin hyökkäyksiin tämän kurssin moduuleissa.

Salasanojen on kuoltava.


- Suosi "Kirjaudu Googlella", jne. vaihtoehtoja aina kun niitä on tarjolla.
- Käytä salasananhallintaohjelmaa kuten vaikkapa [BitWarden](https://bitwarden.com/) tai [1Password](https://1password.com/).
- Käytä monivaiheista tunnistusta kaikissa palveluissa jotka tukevat sitä. Varmista että sinulla on aina yhtenä vaihtoehtona SMS-koodi tai tunnistus-sovellus joka antaa sinun varmuuskopioida ja palauttaa koodit puhelinnumerolla, kuten [Authy](https://authy.com/). Et halua lukkiutua ulos koko digitaalisesta identiteetistäsi jos hukkaat laitteesi. Puhelinnumerosi saat aina takaisin, joten palautuksen kannattaa perustua puhelinnumeroon sekä salasanaan jonka muistat.
- Suojautuaksesi kalasteluhyökkäyksiltä, osta [YubiKey](https://www.yubico.com/) ja käytä sitä (U2F avainta) pääasiallisena MFA-faktorina kaikissa palveluissa jotka tukevat avaimen käyttöä. Muista kuitenkin aina lisätä MFA-faktoriksi jotain jonka pystyt palauttamaan puhelinnumerolla ja/tai salasanalla.

Salasanojen on kuoltava

Salasanat ovat hirvittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Salasanat ovat hivittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Salasanojen on kuoltava

Salasanat ovat arvattavia

Hakkeroinnin oppiminen alkaa tästä