Lotossa on tänään 10,3 miljoonan euron jättipotti. Päätin siis kokeilla lottorivin ostamista veikkaus.fi -palvelussa. Kaikki meni loistavasti. Hienosti toteutettu palvelu. Paitsi kun salasanaani ei hyväksyttykään. Ainahan vähintään 20 merkkinen salasana menee läpi! Paitsi täällä.
Veikkaus sallii vain 4-8 merkkiä pitkät salasanat. Mitähän tietoturvaosaston päässä liikkuu?
 |
| Veikkaus vaarantaa asiakkaidensa tietoturvan estämällä vahvojen salasanojen käytön. Ficoran mukaan 8 on aivan liian vähän! |
Minimivaatimuksena 4 merkkiä on aivan naurettava. Maksimipituutena 8 on niinikään naurettava. Käytän itse vähintään 20 merkkisiä salasanoja. Skandinaavisten merkkien kiellon ymmärtää jenkeiltä, muttei suomalaisilta.
Tässä kohtaan onkin hyvä perehtyä mitä mieltä Viestintävirasto, eli Ficora on asiasta on: "8 merkkiä on aivan liian vähän, 15 merkkiä on sopiva lähtökohta".
Vaikka Veikkaus.fi:n salasanarajoitus on tällä hetkellä maksimissaan 8 merkkiä, on tilit suojattu muilla menetelmillä. Tilit on suojattu brute force -menetelmien käyttöä vastaan, minkä lisäksi kriittisissä paikoissa vaaditaan vahvaa Tupas-tunnistautumista.
VastaaPoistaVeikkaus
Kiitos Veikkaukselle vastauksesta! Hienoa, että teillä on tutka päällä. Erinomaista!
VastaaPoistaValitettavasti 4-8 merkkiä on silti aivan liian lyhyt, vaikka salasana olisi miten tahansa suojattu tai vaikka tili menisi lukkoon muutaman väärän yrityksen jälkeen.
Ihmiset käyttävät salasanoissaan sanoja. 4-8 merkkiin ei montaa sanaa mahdu, eikä montaa numeroa tai erikoismerkkiä varioimaan sitä lemmikin nimeä. Niinpä siinä sitten on usein se koiran nimi sellaisenaan. Eipä ole kovin vaikea uteliaan naapurin arvata.
Verkkopalvelun salasanavaatimuksia ja rajoituksia mietittäessä on syytä huomioida muu maailma. Ihmisillä on tunnareita kymmeniin, jopa satoihin verkkopalveluihin. Jos poikkeat omissa vaatimuksissa ja rajoituksissa muiden verkkopalveluiden tavasta toimia, rikot käyttäjien "salasanajärjestelmän" ja luot samaan aikaan sekä asiakaspalveluhaasteen, käyttöhaasteen että turvallisuusuhan.
Jollain tuo "salasanajärjestelmä" on lauseenparsi. Joku varioi tiettyä vakiosalasanaa verkkopalvelun nimestä johdetuilla tekijöillä. Kolmas käyttää ohjelmaa, joka luo satunnaissalasanan joka palveluun. Veikkauksen palveluun ei sovi noista mikään, ei ainakaan ilman muutoksia.
Tässä tapauksessa on vaikea keksiä rationaalista syytä 8 merkin salasanarajoitteelle. Paitsi tietenkin tekniset syyt, eli antiikkinen taustajärjestelmä. Se taas tarkoittaisi, että myös muut suojamekanismit olisivat antiikkisia. Näin ainakin mielikuvien tasolla.
Kriittisten toimenpiteiden suojaus TUPAS:illa estää voittojen viennin, hyvä niin. Lehdistön näkökulmasta tietomurto on kuitenkin aina tietomurto. Vähäisestäkin saa aina raflaavan jutun. Erityisesti jos kohde on koko kansan käyttämä palvelu.