Muokataan sivua Salasana
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
| Nykyinen versio | Oma tekstisi | ||
| Rivi 1: | Rivi 1: | ||
Tavallisesti | Tavallisesti Unix/Linux-koneelle kirjaudutaan antamalla käyttäjätunnus ja salasana. Näin [[käyttäjä]] saa käyttöön omat asetuksensa ja tiedostonsa ja varmistetaan, että tiedostoja ei pääse katsomaan muut, kuin ne joille on annettu siihen [[tiedoston oikeudet|lupa]]. Jos koneella on palvelimia, joita saatetaan päästä käyttämään verkon kautta, hyvän salasanan valinta on ehdottoman tärkeätä, ellei käyttöä ole rajattu muilla tavoin. Esimerkiksi [[SSH]]-palvelimen kautta yritetään säännöllisesti päästä koneelle kokeilemalla yksinkertaisia salasanoja. | ||
Vaikka konetta ei ole tarkoitus käyttää verkon yli [[jakelu]] saattaa oletuksena käynnistää jonkin verkkoa kuuntelevan palvelimen, tai sellainen saattaa käynnistyä asennettaessa tiettyjä ohjelmia. Palomuuri voi toki toimia osittaisena suojana. | |||
Vaikka konetta ei | |||
Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan. | Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan. | ||
| Rivi 9: | Rivi 7: | ||
==Hyvä salasana== | ==Hyvä salasana== | ||
Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä joka pääsee rajoituksetta kokeilemaan eri salasanoja pystyy kokeilemaan usean kielen kaikkia sanoja monella muunnelmalla ynnä muita "todennäköisiä" salasanoja. | Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä, joka pääsee rajoituksetta kokeilemaan eri salasanoja pystyy kokeilemaan usean kielen kaikkia sanoja monella muunnelmalla ynnä muita "todennäköisiä" salasanoja. | ||
Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse | Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse keskitty: "Enpä jaksa tällä hetkellä keksiä rumaa salasanaa" -> pkltk*l | ||
Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan | Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan pääkäyttäjän ([[Ubuntu]]issa ensimmäisen käyttäjän) salasanoissa. | ||
Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono. | Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono. | ||
Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config | Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config: AllowUsers, AllowGroup ja vastaava muille palvelimille) sekä ajaa jokin salasanojen murto-ohjelma, kuten [[crack]]. | ||
==Vaihtoehdot== | ==Vaihtoehdot== | ||
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin | Kotikoneella ei välttämättä halua käyttää salasanoja. Tällöin salasanalla kirjautumisen voi estää "*"-merkillä salasanakentässä ja [[työpöytäympäristö]]n [[graafinen kirjautumisohjelma|kirjautumisohjelman]] asettaa hyväksymään salasanattomat kirjautumiset tietyille käyttäjätunnuksille, mahdollisesti niin että tunnuksen voi valita ohjelman esittämästä listasta. | ||
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin ~/.ssh/id_rsa ja id_rsa.pub. Edellinen kopioidaan (luotetuille) koneille, joista haluaa ottaa yhteyttä, jälkimmäinen tiedostoon ~/.ssh/[[authorized_keys]] koneella, johon haluaa ottaa yhteyttä. | |||
[[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen. | [[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen. | ||
| Rivi 48: | Rivi 47: | ||
Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista. | Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista. | ||
Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto | Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto | ||
Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea. | Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea. | ||
==Katso myös== | ==Katso myös== | ||
* | *Tunnuksen lukitseminen | ||
* | *Rajoitettu käyttäjä | ||
(Mistä löytyy tietoa?) | |||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
*[[wikipedia:fi:Salasana | *[[wikipedia:fi:Salasana]] | ||
*[[wikipedia:en:Crypt (Unix)#Library Function | *[[wikipedia:en:Crypt (Unix)#Library Function]] | ||
[[Luokka:Käsitteet]] | [[Luokka:Käsitteet]] | ||