TigerTeam - suomalainen tietoturvablogi

2 merkintää avainsanalla ”salasanat”:

Sähköpostiosoitteen yksilöinti

Kirjoitti Pekka Viitasalo 15. marraskuuta 2011 3 kommenttia

Sähköpostiosoitteen nykyinen muoto on määritelty jo vuonna 1982 dokumentissa RFC 822. Sen mukaan sähköpostiosoitteessa voi käyttää plus-merkkiä (+).

Useat postinvälitysohjelmat tulkitsevat plus-merkin sähköpostiosoitteessa siten, että plus-merkin ja @-merkin välinen osuus jätetään kokonaan huomiotta. Myös tuo osa välittyy kuitenkin vastaanottajan sähköpostipalvelimelle eteenpäin.

Jos käyttämäsi palveluntarjoajan postinvälitysohjelma toimii yllä esitetyn mukaisesti, voit yksilöidä sähköpostiosoitteesi, kun annat sen vaikkapa rekisteröityessäsi palveluun. Itselläni on käytössä mm. seuraavanlaisia osoitteita:

  • pekka.viitasalo+amazon@example.com
  • pekka.viitasalo+verkkokauppa@example.com
  • pekka.viitasalo+bridge@example.com
  • pekka.viitasalo+taloyhtio@example.com

Näihin osoitteisiin lähetetty sähköposti päätyy samaan postilaatikkoon, joka on pekka.viitasalo@example.com, mutta niissä näkyy viestin To-kentässä (Vastaanottaja) koko plus-merkillä varustettu osoite.

Auttaa myös vuodon jäljittämisessä

Sähköpostiosoitteen yksilöinnin perusteella voidaan lajitella sähköposteja nopeasti. Yksilöidystä sähköpostiosoitteesta voi myös päätellä mahdollisessa tietovuototilanteessa mistä palvelusta sähköpostiosoite on vuodettu.

Helppo tapa testata tukeeko palveluntarjoajasi sähköpostiohjelmisto plus-merkkiä on kokeilu. Lähetä omasta sähköpostiohjelmastasi itsellesi sähköpostia omaan yksilöityyn osoitteeseesi (joka on muotoa oma.nimi+testi@example.com) Jos viesti tulee perille, voit jatkossa käyttää plus-merkkiä sähköpostiosoitteesi yksilöintiin.

Esimerkki Facebookissa

Yksilöidyn sähköpostiosoitteen käyttö onnistuu kunnolla toteutetuissa palveluissa. Valitettavasti kuitenkin useat sähköpostiosoitteen tarkastusohjelmat ovat väärin toteutettuja, eivätkä hyväksy plus-merkkiä.

Tagit: käyttäjähallinta, salasanat Delicious Kommentoi (3 kommenttia)

Valitsenpa kuusimerkkisen salasanan kun palvelu kerran sen hyväksyy

Kirjoitti Juha-Matti Laurio 7. lokakuuta 2009 Kommentoi

Tällä viikolla tapahtuneista salasanajulkistuksista ensimmäinen todisti jälleen konkreettisesti sen, kuinka yleisiä helpot – ja samalla helposti murrettavat salasanat ovat.

Listaa tutkiessa näkee heti etunimien, syntymäaikojen ja 123456-tyyppisten numerosarjojen yleisyyden ilmaissähköpostin salasanana.

Acunetix-yhtiön teknologiajohtaja Bogdan Calin on tehnyt tarkempaa analyysia tuosta yli 10 000 Hotmail-käyttäjän salasanasta koostuvasta listasta.

Analyysin mukaan nimenomaan 123456 on listan yleisin salasana 64 osumalla. Myös sijoilla 2. ja 4. on numerosarja eli 123456789 ja 111111. Kahdeksatta sijaa pitää peräkkäisistä numeroista muodostuva 12345678.

Yleisin pituus kuusi merkkiä

Eurooppalaiskäyttäjiltä phishingin avulla saatu lista kertoo yleisimmäksi salasanan pituudeksi kuusi merkkiä. Kuusi merkkiä on muuten juuri lyhyin salasana, jonka Windows Live Hotmail hyväksyy.

Calin on laskenut, että ainoastaan 6 % käyttäjistä on valinnut salasanaansa sekä isoja että pieniä kirjaimia ja erikoismerkkejä tyyliin Sala_5aNANI§368.

On hyvin ymmärrettävää, että järjestelmän kertoessa salasanan minimipituudeksi kuusi merkkiä valitsee käyttäjä juuri tuon pituisen salasanan. Salasanat vaikeutuvat heti, kun järjestelmä pakottaa riittävän pitkään ja vahvaan salasanaan.

Tagit: salasanat, salasanaturvallisuus Delicious Kommentoi