Tietoturva nyt!

24.3.2010

Unohtuneen salasanan palautus verkkopalveluissa

Palvelusta riippuen unohtuneen salasanan voi palauttaa monella eri tavalla.

CERT-FI:ltä kysytään aika ajoin miten eräiden verkkopalveluiden unohdetut salasanat voisi palauttaa tai "nollata". Useat palveluntarjoajat käyttävät yksinkertaista ja pitkälle automatisoitua palautusprosessia. Yleensä aloitetaan siitä, että palvelussa käytetty käyttäjätunnus syötetään salasanan palautusta varten tarjolla olevaan lomakkeeseen, joka löytyy kirjautumissivulla olevan linkin takaa. Jos ei muista edes käyttäjätunnustaan, voi usein käyttää myös palveluun rekisteröityessään antamaansa sähköpostiosoitetta.

Lomakkeen täyttämisen jälkeen palvelu lähettää lomakkeelle syötettyyn (tai rekisteröityessä annettuun) sähköpostiosoitteeseen uuden tilapäisen salasanan. Viestissä voi olla myös erillinen palautuskoodi tai www-linkki sivuille, jolla salasanan voi vaihtaa. Jos sähköpostiviesti tuntuu viipyvän, kannattaa tarkistaa myös roskapostikansio.

Salasanojen palauttamiseen liittyvät sähköpostiviestit liikkuvat yleensä salaamattomina. Niinpä kaikki sähköpostitse toimitetut tilapäiset salasanat tulee vaihtaa heti ensimmäisen kirjautumisen yhteydessä. Kannattaa huomioida myös huijauksen mahdollisuus. Jos ei itse ole ollut käynnistämässä salasanan palauttavaa prosessia, ei tällaiseen prosessiin liittyviin sähköposteihin pidä vastata!

Jos palveluun ei ole rekisteröity sähköpostiosoitetta, voi prosessi olla monimutkaisempi. Käyttäjältä voidaan kysyä monenlaisia kysymyksiä, kuten palveluun annettu nimi, asuinpaikkakunta ja syntymäaika. Jotkut palvelut tarjoavat myös mahdollisuuden luoda käyttäjätilin yhteyteen oman tietoturvakysymyksen. Tämän kysymyksen avulla palvelu vahvistaa käyttäjän henkilöllisyyden salasanan unohduttua.

On huomattava, että tarkistuskysymys ja siihen liittyvä vastaus tavallaan vastaavat käyttäjätilin salasanaa. Kysymyksen ja vastauksen pitää olla vähintään yhtä vahva ja vaikeasti arvattavissa kuin palvelussa käytetty salasana - eikä vastauksen välttämättä tarvitse pitää paikkaansa! Äskettäin julkaistussa tutkimuksessa (englanniksi) on käynyt ilmi, että juuri helposti arvattavissa olevat tietoturvakysymykset ovat monessa tapauksessa järjestelmän heikoin lenkki.

Tässä yhteenvetona muutaman yleisen verkkopalvelun tarjoamia palautusmenetelmiä:

Facebook

• palautuskoodin sekä palautukseen tarvittavan www-linkin tilaaminen omaan sähköpostiin
• nimen, syntymäajan ja oman profiilin www-osoitteen avulla tehtävä palautusprosessi

Windows Live (esim. Hotmail)

• palautukseen tarvittavan www-linkin tilaaminen palveluun rekisteröityyn vaihtoehtoiseen sähköpostiosoitteeseen
• palautusprosessi sisältäen tietoturvakysymyksen sekä kysymyksen liittyen asuinpaikkaan
  

Gmail

• salasanan palautus käyttäjätunnuksen, palveluun rekisteröidyn vaihtoehtoisen sähköpostiosoitteen tai mahdollisen Gmail-kutsun yhteydessä tulleen www-linkin avulla
• palautusprosessi sisältäen pitkän listan kysymyksiä, kuten käyttäjätunnuksen yhteydessä käytetyt lisäpalvelut, päivämäärä jolloin tunnus on luotu ja koska sitä viimeksi on käytetty sekä arvaus viimeisimmästä palvelussa käytetystä salasanasta; kysymysten lisäksi palautusprosessissa ilmeisesti verrataan käyttäjän sen hetkistä IP-osoitetta aikaisemmin käytettyihin osoitteisiin
  

Yahoo!

• salasanan palautus käyttäjätunnuksen avulla
• vaihtoehtoinen palautusprosessi palveluun rekisteröidyn vaihtoehtoisen sähköpostiosoitteen, asuinpaikkakunnan sekä syntymäajan avulla

IRC-Galleria

• salasanan palautus käyttäjätunnuksen avulla

Lisätietoa

• http://www.cl.cam.ac.uk/%7Ejcb82/doc/fc2010_name_guessing.pdf
• http://www.facebook.com/reset.php
• https://help.live.com/help.aspx&project=liveidv1&format=b2&querytype=keyword&query=qaf#faq14
• http://mail.google.com/support/bin/answer.py?answer=46346
• https://edit.europe.yahoo.com/forgotroot
• http://irc-galleria.net/login_newpass.php
  

Sivua päivitetty 24.03.2010

Tulostusversio