|
Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 18 huhtikuuta, 2014
Kyberturvallisuuskeskus on lupaustensa mukaisesti avannut listan, jossa se kertoo Hearbleed-haavoittuvuudesta kärsineiden suomalaisten palveluntarjoajien nimet. Salasana on suositeltavaa vaihtaa, mikäli käytät listalla olevan palveluntarjoajan tuotteita.
Haavoittuvuudesta ovat kärsineet myös isot ulkomaalaiset palvelut, joten isoon salasananvaihtoruljanssiin on aihetta. Muiden muassa ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
|
takkihukassa
Newbie
|
18. huhtikuuta 2014 @ 10:54 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:
Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.
Kyllä salasana kannattaa vaihtaa heti ja varautua vaihtamaan se uudelleen, jos palvelun nimi tulee vaihtamisen jälkeen listoille. Palvelun käyttäjä ja salasanatiedot saattavat olla jo rikollisilla "varastossa".
Salasanat eivät ole sukupuuttoon kuolemassa joten niitä riittää.
|
Senior Member
7 tuotearviota
|
18. huhtikuuta 2014 @ 11:05 |
Linkki tähän viestiin
|
|
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
|
Senior Member
5 tuotearviota
|
18. huhtikuuta 2014 @ 11:29 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Michelola:
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?
"History books will be written about events this month. The story they will tell is up to us"
|
Staff Member
1 tuotearvio
|
18. huhtikuuta 2014 @ 11:32 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:
Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.
Kyberturvallisuuskeskus ilmoittaa niiden palvelujen nimet, jotka ovat kertoneet korjanneensa haavoittuvuuden.
|
Junior Member
2 tuotearviota
|
18. huhtikuuta 2014 @ 12:07 |
Linkki tähän viestiin
|
|
En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä
|
|
Eugent
Junior Member
|
18. huhtikuuta 2014 @ 12:09 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti syrtek66:
Lainaus, alkuperäisen viestin kirjoitti Michelola:
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?
Uskoisin että Michelola tarkoittaa tässä tapauksessa Codenomiconia.
|
|
Insomniu
Member
1 tuotearvio
|
18. huhtikuuta 2014 @ 12:09 |
Linkki tähän viestiin
|
|
Oletetaan, että muutoin salaus on tehty asiallisesti palveluiden puolesta.
Riittää, että käyttäjä muuttaa/lisää yhden merkin salasanaan.
KissaKoira2014 => Kissakoira2014
Salasana on kuin uusi, tässä tapauksessa.
|
|
Sefriol
Member
|
18. huhtikuuta 2014 @ 12:58 |
Linkki tähän viestiin
|
|
Kannattaa myös salasanaa tekiessä muistaa, että ei kannata tehdä itselle kauhean vaikeasti muistettavaa salasanaa. Yleensä nämä on tietokoneen paljon helpomi arvata. Myös sanakirjaa käyttäviä dekryptereitä on turha pelätä, jos salasana on tarpeeksi pitkä. Toisaalta, jossain palveluissa on salasanan pituus rajoitettu, joten se hieman rajoittaa asiaa.
Esimerkki: 10 sanan lauseet, jossa lauseen ensimmäisen ja viimeisen sana alkavat isolla kirjaimella.
EikiinnostatamapaskasittenYhtaanEiedesHuomenna
Numeroita halutessaan. Suurempi todennäköisyys on, että salasanasi paljastuu huolimattomuuteesi kuin se että botti sen selvittäisi. Ääkköset olisivat muuten hyviä, mutta jossain palveluissa niitä ei tueta. Itselleni on käynyt muutamaan kertaan, että salasana hyväksytään aluksi, mutta uudelleenkirjoittaessa valittaa, että ei ole oikea.
|
Admin
9 tuotearviota
|
18. huhtikuuta 2014 @ 14:38 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Automic:
En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä
Tässä tapauksessa kyseessä on sikäli erilainen tapaus kuin aikaisemmat tietovuodot, että salasanoja ja muuta tietoa on voinut vuotaa ilman, että mitään jälkiä on jäänyt. Lisäksi vuodot kohdistuvat palveluihin, joita oletusarvoisesti (https-yhteys) on voinut pitää turvallisena.
Ongelma on tullut esiin muutama viikko sitten, mutta itse bugi on ollut OpenSSL-kirjastossa jo kahden vuoden ajan. Kuka tahansa on voinut tänä aikana vian bongata lähdekoodista ja käyttää sitä hyväksi ilman, että kukaan on huomannut mitään.
Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.
Lainaus, alkuperäisen viestin kirjoitti armagedoun:
Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...
Ei nyt ihan näinkään. Satunnaisella pommittamisella ei saa kuin yksittäisiä, merkityksettömiä pätkiä, mutta pitkällä aikavälillä voi vuodon kautta kerätä mm. salausavaimia ja salasanoja melko hyvällä todennäköisyydellä. Tästä on raportoinut mm. Cloudflare, jonka testipalvelimen avaimet kaivettiin esiin alle vuorokaudessa.
|
Staff Member
32 tuotearviota
|
18. huhtikuuta 2014 @ 15:50 |
Linkki tähän viestiin
|
Lainaus:
Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.
Oikeiden sähköpostipalveluiden kanssa kannattaa käyttää Two-step verification -järjestelmää, jolloin yhden salasanan vuotaminen ei aiheuta ongelmia
http://en.wikipedia.org/wiki/Two-step_v...ication_service
|
Senior Member
1 tuotearvio
|
18. huhtikuuta 2014 @ 16:47 |
Linkki tähän viestiin
|
|
Aikas moni julkishallinnon organasaatio tuota VETUMAakin käyttää...
mm. Väestöreskiterikeskus, valtionkonttori, kela, verohallinto...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 18. huhtikuuta 2014 @ 16:58
|
Member
|
18. huhtikuuta 2014 @ 21:43 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti armagedoun:
Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...
Eihän noita hullukaan manuaalisesti haravoi, mutta ei mene montaa tuntia kun alan mies kirjoittelee ohjelman joka pyörittää tätä rumbaa automaagisesti ja kerää pelkästään olennaisia tietoja sopivan algoritmin avulla.
|
|
Mainos
|
|
|
Senior Member
5 tuotearviota
|
22. huhtikuuta 2014 @ 20:19 |
Linkki tähän viestiin
|
|
openssl on forkatttu openbsd:n toimesta ja näyttävät tekevät valtavaa reworkkia esim muistinvarauksen liityen.
"History books will be written about events this month. The story they will tell is up to us"
|
