Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

773 miljoonan käyttäjätunnuksen vuoto korostaa salasanojen kierrätyksen vaarallisuutta

Tietoturva Nyt!

Tietoturva-asiantuntija Troy Hunt kertoi 17.1.2019 julkisuuteen valtavasta kokoelmasta käyttäjätunnuksia ja selväkielisiä salasanoja, jota on jaettu eräällä hakkerifoorumilla. Samanlaisia suuria varastettujen käyttäjätunnusten ja salasanojen kokoelmia on paljastunut tammi- ja helmikuun aikana lisää. Kokoelmat sisältävät pääosin jo aiemmin tunnetuissa tietovuodoissa paljastuneita käyttäjätunnus-salasanapareja, mutta mukana on myös uusia paljastuksia. Paljastukset korostavat jälleen kerran sen tärkeyttä, että käyttäjä käyttää joka palvelussa eri salasanaa ja että salasanat ovat pitkiä. Omien käyttäjätunnusten tilanne kannattaa tarkastaa Have I Been Pwned -sivustolta.

Valtava kokoelma

Ensimmäisenä julki tullut kokoelma on nimeltään "Collection #1". Se vie kiintolevyltä tilaa noin 87 gigatavua, joten jo pelkästään sen lataaminen verkosta omalle tietokoneelle analysoitavaksi on urakka sinällään. Kyberturvallisuuskeskus on analysoinut kokoelmaa ja ilmoittanut niille suomalaisille verkkopalveluille, joista kokoelmaan päätyneitä tietoja näytetään viedyn.

Troy Huntin tekemän analyysin perusteella datassa on yli miljardi erilaista sähköpostiosoitteen ja salasanan paria. Nykyisin yleinen tapa on käyttää sähköpostiosoitetta käyttäjätunnuksena. Erilaisia salasanoja kokoelmassa on "vain" reilut 21 miljoonaa, eli eri käyttäjät käyttävät hyvin usein samoja salasanoja kuin muutkin. Erilaisia sähköpostiosoitteita kokoelmassa on noin 773 miljoonaa kappaletta. Huntin karkean arvion mukaan noin 140 miljoonaa käyttäjätunnus-salasanaparia paljastui nyt ensimmäistä kertaa. Tietoturvablogi KrebsOnSecurityn tietojen mukaan Collection #1:ssä olevat tiedot ovat peräisin 2 vuotta sitten tapahtuneista tai vanhemmista tietomurroista.

Viikonlopun 2.-3.2.2019 aikana internetiin ilmestyi lisää Collection #1:n kaltaisia koosteita varastetuista käyttäjätunnuksista ja salasanoista. Koosteiden nimet ovat Collection #2 - Collection #5. Niihin on kerätty useammasta eri tietovuodosta ja -murrosta yksilöiviä tunnisteita kuten sähköpostiosoitteita, salasanoja ja muuta materiaalia. Kokonaisuudessaan materiaali pitää sisällään noin 3,5 miljardia käyttäjäkohtaista riviä, kuten sähköpostiosoite ja salasana -yhdistelmiä. Tiedoista valtaosa on vanhoista tietomurroista peräisin, mutta joukossa on myös uusiakin lähteitä.

Vuoto koskee myös suomalaisia

Troy Huntin julkaiseman tiedostolistauksen perusteella kokoelmassa on tietoa kahdesta suomalaisessa verkkotunnuksessa (.fi-tunnus) olleesta palvelusta vietyjä käyttäjätietoja. Kyberturvallisuuskeskuksella ei vielä ole tietoa kyseisten tietojen sisällöstä.

Kokoelmaan sisältyvissä tietueissa on todennäköisesti myös suomalaisten käyttäjien tietoja: yksi yleisimmistä kokoelmassa esiintyvistä sähköpostipalvelun tarjoajista on Googlen Gmail, joka on suosittu myös suomalaisten keskuudessa. Tämä ei tarkoita, että Gmail olisi murrettu, vaan että moni käyttäjä on ilmoittanut eri verkkopalveluihin sähköpostiosoitteekseen Gmail-osoitteen.

Hyviä tietoturvakäytäntöjä verkkopalveluiden käyttäjille

  • Käytä eri salasanaa jokaisessa palvelussa.
  • Säilytä salasanoja turvallisesti.
  • Vaihda salasanasi, jos epäilet tai tiedät sen joutuneen vääriin käsiin.
  • Käytä monivaiheista tunnistamista, jos käyttämissäsi palveluissa sellainen on mahdollista.

Tammi- ja helmikuussa 2019 paljastuneissa kokoelmissa olevista tiedoista suurin osa on peräisin vähintään muutamia kuukausia vanhoista tietomurroista. Lähtökohtaisesti vahinko on jo ehtinyt tapahtua tätä kirjoitettaessa, joten suojaustoimenpiteet kannattaa tehdä rauhassa ja harkiten. Tärkeintä on uusia nyt salasanoja turvallisiksi, jos omat tiedot ovat jotain kautta vuotaneet pahansuoville tahoille.

Käytä joka palvelussa eri salasanaa ja hyödynnä salasanasäilöä

Rikolliset luottavat ihmisten vaikeuteen muistaa useita eri salasanoja ja kokeilevat paljastuneita käyttäjätunnus-salasanapareja kaikkiin kiinnostaviin verkkopalveluihin. Jos käyttäjätunnuksesi ja salasanasi on paljastunut yhdestä palvelusta ja käytät samaa yhdistelmää toisessa palvelussa, rikolliset murtautuvat käyttäjätilillesi siihen toiseenkin palveluun. Viestintäviraston keväällä 2017 tekemän kuluttajatutkimuksen mukaan 9 % suomalaisista käyttää samaa salasanaa kaikissa käyttämissään verkkopalveluissa ja 41 % käyttää useita salasanoja, mutta joitakin niistä useammassa palvelussa.

Salasanasäilöt

Erilaisten salasanojen muistaminen kymmeniin eri käyttäjätileihin on vaikeaa. Avuksi kannattaa ottaa salasanasäilö eli sovellus, jonne salasanansa voi tallentaa vahvasti salattuina yhden vahvan salasanan taakse.

Oleellinen vaatimus salasanojen hallintasovellukselle on sen kryptografinen vahvuus. Salasanasäilön salaamien salasanojen avaamisen arvaamalla salausavain pitäisi olla käytännössä mahdotonta. Kannattaa siis valita sovellus, joka käyttää yleisesti hyväksyttyjä salausalgoritmeja ja pitkiä avaimia, kuten AES-256.

Salasanojen hallintasovellusten ilmeisin heikkous on salasanasäilön pääsalalause. Jos käyttäjä unohtaa sen, hyvän salasanasäilön tietoja ei voi enää mitenkään avata. Jos taas salalause paljastuu sivulliselle ja tämä saa lisäksi salasanasäilön käsiinsä, kaikki säilössä olevat salasanat paljastuvat. Myös salasanasäilön saatavuus on kriittinen tietoturvatekijä: jos menetät salasanasäilön esimerkiksi laiterikon vuoksi, et saa salasanoja avattua. Salasanasäilön varmuuskopioinnista kannattaa siis huolehtia.

Salasanojen hallintasovelluksia on saatavilla sekä käyttäjän laitteelle salasanat säilöviä versioita että verkkopalveluun ("pilveen") säilöviä versioita. Esimerkkejä salasananhallintatuotteista ovat KeePass, KeePassX, Dashlane, 1Password, LastPass, Apple Keychain, F-Secure Key ja PasswordSafe. Kyberturvallisuuskeskus ei ole tarkastanut edellä mainittuja ohjelmistoja eikä siksi ota kantaa siihen, toimivatko ne luvatusti.

Käytä pitkiä ja monimutkaisia salasanoja

Käyttäjätunnus-salasana-pari on altis niin sanotuille väsytyshyökkäykselle (brute force attack). Hyökkääjä pyrkii arvaamaan oikean salasanan tai yrittää mahdollisimman monta eri salasanaa. Motivoituneelle hyökkääjälle väsytyshyökkäys voi tarjota kohtalaisen yksinkertaisen reitin kohdeorganisaation verkkoon - yksikin heikko salasana riittää.

Tietojärjestelmien ja verkkopalveluiden toteutuksissa paras käytäntö on tallentaa paljaiden salasanojen sijaan niiden suolatut tiivistearvot. Jos hyökkääjä saa kopioitua tietojärjestelmän salasanatietokannan, hän ei pysty suoraan näkemään käyttäjien salasanoja. Yhden salasanan löytääkseen hänen on arvattava niitä ja laskettava niiden suolattuja tiivisteitä niin kauan, kunnes hän löytää tiivistearvon, joka on sama kuin jokin salasanatietokannassa oleva tiivistearvo. Arvaaminen on sitä helpompaa, mitä lyhyempiä salasanat ovat ja mitä enemmän niissä on säännönmukaisuuksia.

Pitkien ja monimutkaisten salasanojen muistaminen on ihmisille vaikeaa. Siksi kannattaa käyttää hyvää salasanojen hallintasovellusta niiden säilömiseen ja muistaa ulkoa vain yksi erityisen vahva salasana.

Salasanan ei pitäisi koostua pelkästään sanoista, joita löytyy sanakirjoista. Kokonainen lause on toki parempi salasana (salalause) kuin yksittäinen sana, mutta jos käytät salalauseessasi sanoja, käytä siinä myös erikoismerkkejä, numeroita ja isoja kirjaimia. Salasanan voi vaikka aloittaa numerolla ja päättää isoon kirjaimeen sekä erikoismerkkiin.

Vaihda salasana aina, jos epäilet sen paljastuneen

Tietomurrot suosittuihin verkkopalveluihin sekä käyttäjätunnusten ja salasanojen kalastelu ovat pysyvä ilmiö internetissä. Tietojärjestelmien ja palveluiden ylläpitäjillä on toki osansa tehtävänä niiden ehkäisemisessä, mutta myös jokainen käyttäjä voi puolustautua. Yksi helppo tapa suojautua on vaihtaa salasana heti, kun epäilee sen paljastuneen sivulliselle.

Niin kuin nytkin paljastunut tapaus osoittaa, rikolliset yrittävät käyttää kerran paljastuneita salasanoja pitkään. Jos käyttämääsi palveluun tehty tietomurto ei paljastu heti, säännöllinen salasanan vaihto suojaa silti. Tärkeämpää on kuitenkin huolehtia, että salasanat ovat erilaisia ja monimutkaisia.

Monivaiheinen tunnistaminen ja turvakysymykset

Monivaiheinen käyttäjän tunnistaminen suojaa käyttäjätiliä väärinkäytöltä silloin, kun käyttäjän salasana on paljastunut sivullisille. Jos verkkopalvelu tarjoaa monivaiheisen tunnistamisen mahdollisuutta, käyttäjän kannattaa ottaa se käyttöön heti hyvän sään aikana.

Monivaiheinen tai vahva tunnistautuminen perustuu kahteen tai useampaan todentamistapaan. Perinteisen käyttäjätunnus-salasana-parin lisäksi toisena elementtinä on esimerkiksi:

  • toimikortti
  • token-pohjaiset ratkaisut (esim. RSA SecurID ja Google Authenticator)
  • asiakasvarmenne (esim. client certificate)
  • mobiilivarmenne
  • muu, esimerkiksi tekstiviestitse saapuva kertakäyttösalasana.

Usein monivaiheinen tunnistaminen on toteutettu siten, että verkkopalvelu lähettää sinne tallentamaasi kännykkänumeroon kertakäyttöisen salasanan aina, kun joku (esimerkiksi sinä) yrittää kirjautua palveluun käyttäjätunnuksellasi. Kirjautujan pitää syöttää sekä varsinainen salasana että kertakäyttöinen salasana päästäkseen sisään.

Joissakin verkkopalveluissa on niin sanottuja turvakysymyksiä sen varalle, että unohdat varsinaisen salasanasi. Turvakysymykset saattavat koskea esimerkiksi ensimmäistä puhelinnumeroasi tai äitisi tyttönimeä. Älä vastaa turvakysymyksiin totuudenmukaisesti, sillä rikolliset voivat selvittää oikeat tiedot vaikkapa sosiaalisessa mediassa julkaisemiesi tai läheistesi julkaisemien tietojen avulla. Turvakysymyksiin voit syöttää vaikka uuden salasanan. Myös turvakysymysten vastaukset kannattaa tallentaa salasanasäilöön.

Lisäsimme KrebsOnSecurityn julkaisemia tietoja.

Korjasimme tiedon Collection #1:n koosta. Lisäsimme tiedon paljastuneista Collection #2 - Collection #5:sta. Lisäsimme linkin Identity Leak Checker -palveluun.