Kuopassa.net

Lisää kirjoituksia netistä.

Etsi blogista

Coinbase, salasanat ja käyttäjän todentaminen

Kirjoitettiin
Päivitettiin 1. elokuuta 2019 kello 11.30

Niin sanottujen kryptovaluuttojen, eli virtuaalivaluuttojen kuten Bitcoinin, osto-, myynti- ja lompakkopalvelu Coinbase lähetti meikäläiselle sähköpostiviestiviestin. Siinä listataan parhaita konsteja kuinka käyttäjä voi omilla valinnoillaan estää hakkereiden pääsemisen omalle tilille. Konstit ovat varmaan useimmille tämän Kuopassa.net-blogin lukijoille peruskauraa, sillä arvelen lukijoiden olevan matti- tai maijameikäläistä selvemmin teknologiaorientoituneita. :-) Ehkä se on vaarallinen olettama, joten listaan tähän mitä Coinbase suosittelee:

  1. Coinbasen käyttäjätilissä on syytä hyödyntää SMS-varmennuksen sijaan esimerkiksi kännykkään asennettavaa ”autentikaattoriappia”, kuten Google Authenticatoria. Se on ilmainen. Jos käyttäjän todentaminen tapahtuu kaksisuuntaisella tavalla tekstiviestiä käyttäen, voi jokin rahan-/pahantahtoinen välikäsi päästä… no, väliin. Kirjoitan siitä lisää otsikon Käyttäjän kaksisuuntainen todentaminen alla.
  2. Coinbase suosittelee lisäksi käyttäjiään pitämään oman tietokone- ja kännykkäohjelmistonsa päivitettynä viimeisimpään kehitysversioon. Ohjelmistopäivitykset eivät tuo vain parannuksia esimerkiksi käyttöliittymään, tai esittele uusia toiminnallisuuksia, sillä ne myös tapaavat sisältää parannuksia ohjelmiston tietoturvaan.
  3. Kolmanneksi Coinbase kehottaa olemaan käyttämättä samoja salasanoja eri palveluissa. Salasanojen on syytä olla uniikkeja kussakin palvelussa. Esimerkiksi Coinbasen ja nettikasinon — niitä listataan osoitteessa suominetticasino.info — käyttäjätilillä ei missään nimessä kannata pitää identtistä salasanaa. Coinbase suosittelee muodostamaan salasanan sekoittamalla siihen numeroita, kirjaimia, symboleita ja ISOJA ja pieniä kirjaimia.

Millainen on hyvä salasana?

Muistan lukeneeni aikaisemmin kesällä Hacker Newsista kuinka (jossakin) ehdotetaan, että nykyisin salasanojen muodostamisessa paras käytäntö on kirjoittaa muutama eri sana ja erottaa ne välilyönnillä. Sillä tavalla käyttäjän on helpompi muistaa — ja kirjoittaa — salasana ja siten jopa välttyä kokonaan käyttämästä jotakin muistilappua tai varsinaista salasanojen hallintaohjelmaa, kuten KeePassia.

Salasana on siten huono termi, sillä yksittäinen palvelussa näkyvä salasanakenttä täytetään useilla salaisilla sanoilla. Moderni salasana voisi siis olla vaikkapa: ”parvekeremontti korsoraattori kierre kohtelu”. Tuo voi olla lainausmerkkien kanssa tai ilman, ja siihen voi tietysti sulloa välimerkkejä tai erikoismerkkejä, kuten huutomerkin, puolipisteen jne.

Käyttäjän kaksisuuntainen todentaminen

Myös tämä asia liippaa Coinbasea. Asiasta uutisoitiin laajahkosti syyskuussa 2017. Forbes-lehti uutisoi siitä ensimmäisenä. Positive Technologies -niminen yritys, joka on erikoistunut tietoturva-aukkojen paikallistamiseen, julkisti pari vuotta takaperin esittelyvideon. Siinä näytettiin miten Coinbasessa sijaitseva 2-suuntainen tekstiviestitse tapahtuva käyttäjän todentaminen mahdollisti käyttäjätilin hallinnoimisen. Demonstraatiossa kaapattiin hetken aikaa kaikki tekstiviestit, jotka lähetettiin kyseiseen Coinbase-tiliin liitettyyn puhelinnumeroon. Hyökkäyksessä hyödynnettiin joitakin kännykkäverkon haavoittuvuuksia. Lyhyesti sanottuna Positive Technologies näytti miten helposti Coinbasen käyttäjätili voidaan kaapata — jos käyttäjän kaksisuuntaisessa todentamisessa käytetään tekstiviestejä.

Tietoa kirjoittajasta

"Coinbase, salasanat ja käyttäjän todentaminen" on saanut pisteet 8 yhteensä 10 pisteestä. Julkaisu on pisteytetty 1 kerran. Tämä juttu mukaan laskettuna blogissa on julkaistu yhteensä 1286 kirjoitusta. Tämän sivun niin sanottu kestolinkki on tässä siltä varalta jos haluat linkittää siihen esimerkiksi blogista tai joltain foorumilta. Tagi tai tagit: .

Tsekkaa myös minkälaisia valokuvia teen: www.pjti.fi