Salasana on sana tai joukko merkkejä käytetään keinona autentikointi todistaa henkilöllisyytensä, kun halutaan käyttää suojattua paikka, tietokone tilin , joka on tietokone , ohjelmisto tai palvelu, jonka pääsy on rajoitettu ja suojattu.
Salasana on pidettävä salassa, jotta luvaton kolmas osapuoli ei pääse käyttämään resurssia tai palvelua. Se on yksi tapa muun muassa varmistaa, että henkilö vastaa ilmoitettua henkilöllisyyttä. Tämä on osoitus siitä, että meillä on ja että kommunikoimme pääsyn valtuuttamisesta vastaavalle palvelulle.
Sadun Ali Baba ja neljäkymmentä Thieves päässä Tuhannen ja yhden yön ilmestyy yksi kuuluisimmista salasanat: ”Sesam aukene! "
Termi "salasana" on sotilaallista alkuperää. "Komentosanat" sisältävät "kutsusanan" (ts. Sovitun kysymyksen) ja "salasanan" (eli vastaavan vastauksen). Nämä ovat suullisia merkkejä, joiden avulla kaksi yksikköä tai kaksi sotilasta voi tunnistaa toisensa, esimerkiksi yön partioinnin aikana, ystävälliseen laitteeseen palaamisen herkällä hetkellä. Tällöin salasana jaetaan luotettujen ihmisten ryhmälle. Henkilökoodin osalta on parempi käyttää ilmaisua "luottamuksellinen koodi" koodin salaisuuden korostamiseksi ja sen haltijan asettamiseksi vastuulliseksi.
Kielen väärinkäytöksellä rinnastetaan ”heikko” todennus käyttäjänimellä ja salasanalla suoritettavaan todennukseen, koska historiallisesti Internetissä käyttäjänimet ja salasanat välitettiin selkeästi (salaamattomina) palvelimille . Salaisuuden puute johtui siitä, että tietoliikenneprotokollia ( HTTP , FTP jne.) Ja Internetiä kokonaisuutena ei ollut suunniteltu turvallisuutta ajatellen. Lisäksi tietojen salaamiseen tarvittava teho voisi tuolloin olla kohtuutonta.
Vuonna 2009, aktivointi SSL / TLS-protokollaa (yleensä symboloi riippulukko vuonna selaimet ) mahdollisti salata viestintää, ja erityisesti käyttäjätunnus ja salasana. Viestinnän kaappaaminen (joka sisältää käyttäjänimen ja salasanan) on aina mahdollista. Mutta tämä viestintä on teoriassa käsittämätön kolmannelle henkilölle.
SSL mahdollistaa palvelimen ja asiakkaan todennuksen . Mutta yleensä vain palvelin todentaa itsensä julkisella avaimella ja varmenteella. Käyttäjä tunnistaa itsensä käyttäjänimellään ja salasanallaan, mutta yleensä ei esitä varmentetta palvelimelle. Siksi puhumme aina heikosta todennuksesta.
Vahvempi todennus toteuttaisi asiakkaan puolella monimutkaisemmat mekanismit: avaimen käytön salasanan sijaan ja varmenteen sen julkisesta avaimesta. SSL ei siis vahvista asiakkaan todennusta, mutta varmistaa salauksen avulla tapahtuvan vaihdon luottamuksellisuuden.
Salasanalla on myös rooli tässä: asiakkaan avainta pidetään yleensä salatussa muodossa tietyllä fyysisellä välineellä. Salasanaa käytetään sitten avaimen salaamiseen / salauksen purkamiseen. Tämä varmistaa sen suojauksen, koska avaimen kompromissi tarkoittaa minkä tahansa tällä avaimella salatun viestinnän kompromissia. Siksi salaamme avaimen itse sen säilyttämiseksi.
Sekä Ranskassa että Sveitsissä on lakisääteinen salasanasuojaus: jos tuomioistuimet takavarikoivat salattuja tietoja , päivittäistä turvallisuutta koskeva laki vaatii käyttäjää antamaan salausmenetelmän ja avaimet tai sanat vanhentuneina.
Salasanojen käyttö on kompromissi turvallisuuden ja mukavuuden välillä. Kun yhä useammat tilanteet edellyttävät salasanaa, jokaisella meistä on kasvava määrä salasanoja. Vaikka on laillista käyttää samaa salasanaa kaikissa tilanteissa, joissa se ei ole kovin tärkeä, on silti monissa tapauksissa hyvä salasana . Tämä salasana ei voi olla sama kaikkialla, toisaalta estää sen kompromissi johtamasta valitettaviin tilanteisiin, toisaalta, koska jotkut sivustot ja ohjelmistot edellyttävät salasanan säännöllistä vaihtamista ja niiden uudelleenkäytön rajoittamista. Koska käyttäjän muisti ei riitä kaikkien näiden salasanojen muistamiseen, on suuri houkutus luetella ne. On välttämätöntä, että näin muodostettu salasanaluettelo on entistä paremmin suojattu. Tätä kutsutaan sitten "salasanasuojaukseksi".
Salasana on "selvässä", kun sitä ei ole muutettu hash-toiminnon avulla . On olemassa useita tilanteita, joissa salasana löytyy selvästä:
Jotkin ohjelmistot mahdollistavat lomakkeiden salasanojen näkyvyyden. Hahmot on piilotettu ympyröillä tai tähdillä, jotka estävät jotakuta takanasi lukemasta kirjoittamaasi. Ohjelmassa salasana on tällä hetkellä läsnä eikä sitä ole vielä salattu, joten sen tekeminen näkyväksi on vain näytön vaihtoehdon muuttaminen.
Siinä tapauksessa, että salattu salasana siepataan, sitä ei voida käyttää suoraan: pahantahtoisen henkilön (hyökkääjän) on löydettävä vastaava selvä salauksen salauksella, mikäli mahdollista, tai muulla tekniikalla. Hyökkääjän sanotaan rikkovan tai "murtaavan" salasanan. Päätapauksia on kaksi: salasana on osa tiedonsiirtoa tai vain salattu salasana siepataan.
Kaikki viestintä on salattuTässä tapauksessa sinun on löydettävä tapa purkaa kaikki viestintä salasanan löytämiseksi. Siksi meidän on löydettävä virhe salausalgoritmista tai jostakin sen toteutuksista. Jos salaus on rikki, salasanan koosta riippumatta se löytyy salaamattomasta tekstistä.
Vain salattu salasana siepataanYleensä se on siepatun salasanan tiivistelmä (tai hash ), toisin sanoen seuraamattoman algoritmin tulos. Tämä on hyvä käytäntö, jota käytetään monissa tapauksissa: verkkosivustot, käyttöjärjestelmän käyttäjätilit jne. Jos tämä algoritmi ei ole oikeastaan peruuttamaton (suunnittelu- tai toteutusvirheiden vuoksi), voi olla mahdollista löytää selvä vastaava hajautusarvo. Esimerkiksi salasanojen hallinnassa Office 97 Excel- ja Word-tiedostojen suojaamiseksi on virheitä, joiden avulla käytössä olevat salasanat on helppo löytää.
Mutta yleensä kondenssiveden rikkomiseksi käytetään muita tekniikoita. Tietäen hash-toiminnon voimme kuvitella erilaisia hyökkäyksiä:
Salasanan laatu ja pituus ovat kriittisiä tekijöitä turvallisuuden kannalta. Salasana, joka on liian lyhyt tai on peräisin sanakirjan voi hyökätä mukaan etsimällä taulukko sisältää luettelon salasanoja. Järjestelmällisemmin sanottuna raakavoimien hyökkäys kokeilee kaikkia mahdollisuuksia ja salasanan palauttaminen on teoreettisesti mahdollista riittävän ajoissa. Kompromissi on sateenkaaripöytä , parannus aika-muisti-kompromissin periaatteeseen .
Salasanan vahvuus riippuu useista kriteereistä:
Lisäksi salasana on valittava sen kriittisyyden mukaan (esimerkiksi salasanaa, joka sallii pääsyn sovelluksen tai laitteen hallintaliittymään, pidetään. Erittäin kriittisenä).
RockYou.com-sivuston 32 miljoonan salasanan tutkimus, joka saatiin vuonna 2009 sivustohyökkäyksen jälkeen, osoitti, että 30% näistä salasanoista oli korkeintaan kuusi merkkiä ja että yleisin (vajaat yksi sadasta) on "123456 ".
Suojausratkaisujen tarjoaja SplashData julkaisee myös vuosittain luettelon käytetyimmistä salasanoista, joihin viitataan "huonoin salasana, jota ei pidä käyttää" . Viisi eniten käytettyä salasanaa ympäri maailmaa vuonna 2015 ovat:
Jotkut valvontayritykset käyttävät kahta salasanaa: normaalin salasanan ja pakotetun salasanan. Jos hälytys laukeaa, tarkkailijayritys soittaa asiakkaalle ja pyytää salasanaa henkilöllisyytensä varmistamiseksi, jos asiakas antaa salasanan pakotettuna, valvontaagentti tietää, että niin sanova henkilö on uhattuna ja laukaisee toimenpiteen.
Vuonna 2021 Microsoft aikoo poistaa salasanan sormenjäljen hyväksi (pidetään yksinkertaisempana ja turvallisempana), koska salasanat vaarantavat yritysten, käyttäjien elämän ja aiheuttavat myös stressiä (liian vaikea ymmärtää, Unohditko salasanasi).