Murtovarman Unix-salasanan luomisesta

Nyt pääsiäisen välipäivänä lauantaina voisi kirjoittaa taas artikkelin pitkästä aikaa tänne Tietokone-blogiin. Aiheena on “turvallinen salasana” Linux/UNIX-ympäristössä järjestelmänvalvojan näkökulmasta.

 
On olemassa kolme tunnettua murtomenetelmää, murtometodia, jota salasana-crakkerit käyttävät, kun salasanat on vuotaneet vääriin käsiin.

 
1. Dictionary-Attack
2. Rainbow-table Attack
3. Brute-Force

 
Tuossa ne melkein nopeusjärjestyksessä onkin alkaen nopeimmasta hitaimpaan metodiin. Todellisuudessa on mahdollista, että crackeri miksaa noiden yhdistelmien jotain varianttia selvittääkseen salasanaa. Brute-Force on hitain, mutta lopulta varmin, jos salasana ei sisällä minkään kielen yleiskielistä sanaa, tai salasanojen ylläpitäjä on käyttänyt suolaus-menetelmää, joka estää kakkosvaihtoehdon.

 
Jotkin verkkopalvelut ovat investoineet resursseja ja rahaa Brute-Force -esto-ohjelmiin, esim Google, Facebookista en ole varma. Ihmettelisin, jos näin ei olisi Facebookin osalta.
Linux-järjestelmässä salasanat encrptataan MD5 -hashauksella, joka ei ole kovinkaan turvallinen vuonna 2020. SHA-256 ja SHA – 512 ovat parempia, joista 512 -bittinen SHA-hashaus on turvallisempi johtuen siitä, että se on uudempi ja vie enemmän aikaa murtaa.

 
Lisäksi UNIX/Linux -järjestelmässä on mahdollista määritellä salasanan vaihtamisen yhteyteen käytettävän cryptauksen lisäksi kierroslukumäärä passwd -terminaalikomennon parametrina.
Esim, jos vaihdan salasanan komennolla
chpasswd -c SHA512 -s 0

joka on purettuna seuraava:
– chpasswd -juurikomento
– c -kytkin SHA 512 lisäparametrilla kertoo, että käyttäjä haluaa käyttää SHA512 -cryptausta salasanassaan. Muita vaihtoehtoja on DES (oletus), MD5, SHA256 (256 -bittinen), ja SHA-512 (512 -bittinen, turvallisin vuonna 2020 saatavilla olevista)
– s -kytkin tarkoittaa SHA-kierrosten lukumäärää tarkoittaen sitä, että crackerin täytyy murtaa joka kierroksella uusi SHA512-HASH. Tuossa esimerkissäni arvona on 0, joka tarkoittaa oletusarvoa, joka on määritelty 5000 kierrokseen. Sallittu maksimi on yksi vaille miljardi, eli 999,999,999. Sallittu minimiarvo on 1000.

 
openssl passwd -1 -salt yoursalt
tuo “passwd” -1 -parametri tarkoittaa sitä, että salasana ei näy prosessiluettelossa, ja -salt yksinkertaisesti kytkimenä sitä, että kerrotaan passwd -komennole, että halutaan lisätä suola, ja “yoursalt” -suolamerkkijono, mikä tosin voidaan ohjelmoida siten, että satunnainen merkkijono valitaan suolaksi.

 
Olen nähnyt verkkomaailmassa ja verkkoturvallisuus-maailmassa paljon kaikenlaista hyvässä ja pahassa tässä reilun 20 vuoden ajan kuluessa, jota olen aktiivisesti roikkunut verkossa , ja jos joku pimeän puolen tietokone-orientoitunut pahaa-tarkoittava ihminen tai kone/automaatti saa haltuunsa UNIX-salasanatiedoston, joka kryptattu SHA512-menetelmällä, joka vaatii noin miljardi deCryptaus-kierrosta, ja salasana ei sisällä minkään kielen yleiskielisiä sanoja, vaan on “siansaksaa” ja tarpeeksi pitkä, ja jos se on vielä suolattu satunnaisella suola-merkkijonolla, en ole tavannut vielä netissä, enkä oikeassa elämässä, mitä olen tietokone-ihmisiä tuttavapiirissäkin niitä on tavannut, sellaista murtomiestä tavannut, joka tuon kotikonstein purkaisi? Saa olla eri mieltä, kommentoikaa, jos olette, että saadaan keskustelua aikaan. Jakaa mielipiteitä, onko vielä pippurin lisääminen suolan lisäksi tehokasta, joidekin ammattilaisten mielestä joihinkin tilanteisiin sopii riippuen siitä, mihin järjestelmää käyttää.

 
Kirja-lähde
Web Application Security, A Beginner’s Guide (Sullivan Bryan & Vincent Liu)
Järjestelmä-Lähteet (Löytyy myös Internetistä tottakai)
Linux Man chpasswd -manual page
Linux Man passwd -manual page

(hakutermit “man chpasswd” ja “man passwd”)

About Jere Sumell

Graduated in February 2017 at the degree program of Bachleor of Business and Administration in Information Technology at Turku Univerity of Applied Sciences. At the end of the last semester I started to be a sole trader for my private projects and I'm officially taking public action in Politics through the Left Alliance in Finland. I'm the member of the Left Alliance Educational Division. I did the takedown my current business activities at the 31.5.2018 (Mostly responsive web developement orders based on CMS-solutions was the works some enterpeurers ordered from me.) I'm article writer in my Computer -related blog @ Wordpress. My first appearance at Wordpress blogs was our IT-student team blog called "The Gr8 Tigers".
This entry was posted in Aktivismi, Blogi, Demokratia, Facebook, Internet, IoT, Koulutus, Linkkivinkki, Linux, Matematiikka, Naisnörtit, nettivinkki, Ohjelmointi, Pilvilaskenta, Politiikka, Talous, Tasa-arvon toteutuminen, Tietokannat, Tulevaisuus, Turvallisuus, Yritys. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s