Ero sivun ”Salasana” versioiden välillä

Siirry navigaatioon Siirry hakuun

Salasana (muokkaa)

Versio 20. marraskuuta 2008 kello 19.26

249 merkkiä lisätty ,  20. marraskuuta 2008
p
linkitystä ym
(salasanan merkitys, hyvä salasana, vaihtoehdot, taustaa, merkinnät salasanakentässä)
 
p (linkitystä ym)
Rivi 1: Rivi 1:
Tavallisesti Unix/Linux-koneelle kirjaudutaan antamalla käyttäjätunnus ja salasana. Näin [[käyttäjä]] saa käyttöön omat asetuksensa ja tiedostonsa ja varmistetaan, että tiedostoja ei pääse katsomaan muut, kuin ne joille on annettu siihen [[tiedoston oikeudet|lupa]]. Jos koneella on palvelimia, joita saatetaan päästä käyttämään verkon kautta, hyvän salasanan valinta on ehdottoman tärkeätä, ellei käyttöä ole rajattu muilla tavoin. Esimerkiksi [[SSH]]-palvelimen kautta yritetään säännöllisesti päästä koneelle kokeilemalla yksinkertaisia salasanoja.
Tavallisesti [[Unix]]/Linux-koneelle kirjaudutaan antamalla käyttäjätunnus ja salasana. Näin [[käyttäjä]] saa käyttöön omat asetuksensa ja [[tiedosto]]nsa ja varmistetaan, että tiedostoja eivät pääse katsomaan muut kuin ne joille on annettu siihen [[tiedoston oikeudet|lupa]].  


Vaikka konetta ei ole tarkoitus käyttää verkon yli [[jakelu]] saattaa oletuksena käynnistää jonkin verkkoa kuuntelevan palvelimen, tai sellainen saattaa käynnistyä asennettaessa tiettyjä ohjelmia. Palomuuri voi toki toimia osittaisena suojana.
Jos koneella on [[palvelin]]ohjelmistoja joita saatetaan päästä käyttämään verkon kautta, on hyvän salasanan valinta ehdottoman tärkeää, jollei käyttöä ole rajattu muilla tavoin. On tavallista, että esimerkiksi [[SSH]]-palvelun kautta yritetään päästä koneelle kokeilemalla yksinkertaisia salasanoja.
 
Vaikka konetta ei olisikaan tarkoitettu ajamaan palvelinohjelmistoja, saatetaan [[jakelu]]ssa oletuksena käynnistää jokin verkkoa kuunteleva palvelin, tai sellainen saattaa käynnistyä asennettaessa tiettyjä ohjelmia. [[Palomuuri]] voi toki toimia osittaisena suojana.


Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan.
Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan.
Rivi 7: Rivi 9:
==Hyvä salasana==
==Hyvä salasana==


Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä, joka pääsee rajoituksetta kokeilemaan eri salasanoja pystyy kokeilemaan usean kielen kaikkia sanoja monella muunnelmalla ynnä muita "todennäköisiä" salasanoja.  
Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä joka pääsee rajoituksetta kokeilemaan eri salasanoja pystyy kokeilemaan usean kielen kaikkia sanoja monella muunnelmalla ynnä muita "todennäköisiä" salasanoja.  


Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse keskitty: "Enpä jaksa tällä hetkellä keksiä rumaa salasanaa" -> pkltk*l
Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse keskitty: "Enpä jaksa tällä hetkellä keksiä rumaa salasanaa" -> pkltk*l


Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan pääkäyttäjän ([[Ubuntu]]issa ensimmäisen käyttäjän) salasanoissa.
Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan [[pääkäyttäjä]]n (tai [[sudo]]-oikeudet omaavan käyttäjän) salasanoissa.


Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono.
Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono.


Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config: AllowUsers, AllowGroup ja vastaava muille palvelimille) sekä ajaa jokin salasanojen murto-ohjelma, kuten [[crack]].
Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config-[[asetustiedosto]]ssa: <tt>AllowUsers</tt>, <tt>AllowGroup</tt> ja vastaava muille palvelimille) sekä ajaa jokin salasanojen murto-ohjelma, kuten [[crack]].


==Vaihtoehdot==
==Vaihtoehdot==
Kotikoneella ei välttämättä haluta käyttää salasanoja. Tällöin salasanalla kirjautumisen voi estää "*"-merkillä [[passwd|salasanakentässä]] ja [[työpöytäympäristö]]n [[graafinen kirjautumisohjelma|kirjautumisohjelman]] asettaa hyväksymään salasanattomat kirjautumiset tietyille käyttäjätunnuksille, mahdollisesti niin että tunnuksen voi valita ohjelman esittämästä listasta.


Kotikoneella ei välttämättä halua käyttää salasanoja. Tällöin salasanalla kirjautumisen voi estää "*"-merkillä salasanakentässä ja [[työpöytäympäristö]]n [[graafinen kirjautumisohjelma|kirjautumisohjelman]] asettaa hyväksymään salasanattomat kirjautumiset tietyille käyttäjätunnuksille, mahdollisesti niin että tunnuksen voi valita ohjelman esittämästä listasta.
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin <tt>~/.ssh/id_rsa</tt> ja <tt>id_rsa.pub</tt>. Edellinen kopioidaan (luotetuille) koneille, joista haluaa ottaa yhteyttä, jälkimmäinen tiedostoon <tt>~/.ssh/[[authorized_keys]]</tt> koneella, johon haluaa ottaa yhteyttä.
 
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin ~/.ssh/id_rsa ja id_rsa.pub. Edellinen kopioidaan (luotetuille) koneille, joista haluaa ottaa yhteyttä, jälkimmäinen tiedostoon ~/.ssh/[[authorized_keys]] koneella, johon haluaa ottaa yhteyttä.


[[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen.
[[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen.
Rivi 47: Rivi 48:
Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista.
Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista.


Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto
Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto.


Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea.
Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea.


==Katso myös==
==Katso myös==
*Tunnuksen lukitseminen
*[[Käyttäjien hallinta]]
*Rajoitettu käyttäjä
*[[Käyttäjä]]
(Mistä löytyy tietoa?)
*[[Ryhmä]]
*[[Kotihakemisto]]


==Aiheesta muualla==
==Aiheesta muualla==
*[[wikipedia:fi:Salasana]]
*[[wikipedia:fi:Salasana|Salasana-artikkeli Wikipediassa]]
*[[wikipedia:en:Crypt (Unix)#Library Function]]
*[[wikipedia:en:Crypt (Unix)#Library Function|Unix-salasanatiivisteet englanninkielisessä Wikipediassa]]


[[Luokka:Järjestelmä]]
[[Luokka:Käsitteet]]
[[Luokka:Käsitteet]]
Pb
4 316

muokkausta

Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/24070

Navigointivalikko