Ero sivun ”Salasana” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
linkitystä ym
LP (keskustelu | muokkaukset) (salasanan merkitys, hyvä salasana, vaihtoehdot, taustaa, merkinnät salasanakentässä) |
Pb (keskustelu | muokkaukset) p (linkitystä ym) |
||
Rivi 1: | Rivi 1: | ||
Tavallisesti Unix/Linux-koneelle kirjaudutaan antamalla käyttäjätunnus ja salasana. Näin [[käyttäjä]] saa käyttöön omat asetuksensa ja | Tavallisesti [[Unix]]/Linux-koneelle kirjaudutaan antamalla käyttäjätunnus ja salasana. Näin [[käyttäjä]] saa käyttöön omat asetuksensa ja [[tiedosto]]nsa ja varmistetaan, että tiedostoja eivät pääse katsomaan muut kuin ne joille on annettu siihen [[tiedoston oikeudet|lupa]]. | ||
Vaikka konetta ei | Jos koneella on [[palvelin]]ohjelmistoja joita saatetaan päästä käyttämään verkon kautta, on hyvän salasanan valinta ehdottoman tärkeää, jollei käyttöä ole rajattu muilla tavoin. On tavallista, että esimerkiksi [[SSH]]-palvelun kautta yritetään päästä koneelle kokeilemalla yksinkertaisia salasanoja. | ||
Vaikka konetta ei olisikaan tarkoitettu ajamaan palvelinohjelmistoja, saatetaan [[jakelu]]ssa oletuksena käynnistää jokin verkkoa kuunteleva palvelin, tai sellainen saattaa käynnistyä asennettaessa tiettyjä ohjelmia. [[Palomuuri]] voi toki toimia osittaisena suojana. | |||
Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan. | Jos kirjautuminen koneella tapahtuu vain joko paikallisesti ilman salasanaa (kotikone, jolla muille ei ole pääsyä) tai ssh-''avaimilla'', salasanalla kirjautuminen voidaan estää kokonaan. | ||
Rivi 7: | Rivi 9: | ||
==Hyvä salasana== | ==Hyvä salasana== | ||
Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä | Nykyisillä konetehoilla miljoonien eri salasanavaihtoehtojen kokeilu on helppoa. Näin ollen hyökkääjä joka pääsee rajoituksetta kokeilemaan eri salasanoja pystyy kokeilemaan usean kielen kaikkia sanoja monella muunnelmalla ynnä muita "todennäköisiä" salasanoja. | ||
Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse keskitty: "Enpä jaksa tällä hetkellä keksiä rumaa salasanaa" -> pkltk*l | Salasana on siis valittava niin, ettei se ole helposti johdettavissa mistään sanasta, nimestä tai käyttäjästä johdettavasta muusta tiedosta (puolison syntymäaika tms.). Eräs usein ehdotettu tapa on pitää mielessä sopiva lause tai loru, jonka joka sanasta käyttää esimerkiksi kolmannen kirjaimen. Tämä lause tai loru ei saa olla yleinen tai käyttäjään helposti yhdistettävä, vaan mielellään itse keskitty: "Enpä jaksa tällä hetkellä keksiä rumaa salasanaa" -> pkltk*l | ||
Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan | Salasanaan on hyvä sekoittaa isoja ja pieniä kirjaimia, numeroita sekä mahdollisesti erikoismerkkejä (pkLtk3*l). Ääkkösistä usein poistetaan kahdeksas bitti, joten ne eivät auta mutta saattavat toimia epäluotettavasti. Erikoismerkeistä kannattaa huomata, että ne ovat eri paikoissa US-näppäimistössä, jota saattaa joutua käyttämään erikoistilanteissa. Niitä ei siis välttämättä kannata käyttää ainakaan [[pääkäyttäjä]]n (tai [[sudo]]-oikeudet omaavan käyttäjän) salasanoissa. | ||
Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono. | Perinteisesti Unix-salasanasta on käytetty korkeintaan 8 merkkiä, mikä nykyään alkaa olla vähän. Pidempiä salasanoja käytettäessä pitää muistaa, että pituus auttaa melko vähän, jos salasana on muuten huono: tavallisessa lauseessa on vain noin kolme bitiä "satunnaisuutta" merkkiä kohden, joten 16 merkin huono salasana on merkittävästi huonompi kuin 8 merkin hyvä salasana. Alle 6 merkin salasana on aina huono. | ||
Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config: AllowUsers, AllowGroup ja vastaava muille palvelimille) sekä ajaa jokin salasanojen murto-ohjelma, kuten [[crack]]. | Monen käyttäjän järjestelmissä on yleensä aina joukossa huonoja salasanoja. Jos koneella on useampia käyttäjiä kannattaa sallia kirjautuminen verkosta vain niille, jotka sitä ominaisuutta tarvitsevat (/etc/sshd_config-[[asetustiedosto]]ssa: <tt>AllowUsers</tt>, <tt>AllowGroup</tt> ja vastaava muille palvelimille) sekä ajaa jokin salasanojen murto-ohjelma, kuten [[crack]]. | ||
==Vaihtoehdot== | ==Vaihtoehdot== | ||
Kotikoneella ei välttämättä haluta käyttää salasanoja. Tällöin salasanalla kirjautumisen voi estää "*"-merkillä [[passwd|salasanakentässä]] ja [[työpöytäympäristö]]n [[graafinen kirjautumisohjelma|kirjautumisohjelman]] asettaa hyväksymään salasanattomat kirjautumiset tietyille käyttäjätunnuksille, mahdollisesti niin että tunnuksen voi valita ohjelman esittämästä listasta. | |||
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin <tt>~/.ssh/id_rsa</tt> ja <tt>id_rsa.pub</tt>. Edellinen kopioidaan (luotetuille) koneille, joista haluaa ottaa yhteyttä, jälkimmäinen tiedostoon <tt>~/.ssh/[[authorized_keys]]</tt> koneella, johon haluaa ottaa yhteyttä. | |||
Etäkirjautumiset [[SSH]]:n kautta voi hoitaa avainpareilla: [[ssh-keygen]] luo avainparin tiedostoihin ~/.ssh/id_rsa ja id_rsa.pub. Edellinen kopioidaan (luotetuille) koneille, joista haluaa ottaa yhteyttä, jälkimmäinen tiedostoon ~/.ssh/[[authorized_keys]] koneella, johon haluaa ottaa yhteyttä. | |||
[[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen. | [[PAM]] mahdollistaa myös muita vaihtoehtoja, kuten älykortin käyttämisen. | ||
Rivi 47: | Rivi 48: | ||
Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista. | Tyhjä salasanakenttä tarkoittaa, että käyttäjältä ei kysytä salasanaa. Yleensä tällainen järjestely kannattaa hoitaa muulla tavalla, esimerkiksi [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] ([[gdm]], [[kdm]], [[xdm]] tms.) asetuksilla. [[PAM]] voidaan asettaa olemaan hyväksymättä salasanatonta kirjautumista. | ||
Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto | Tyhjä ''salasana'' käsitellään eri tavalla kuin tyhjä salasanakenttää. Sekään on harvoin hyvä vaihtoehto. | ||
Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea. | Lukitun tunnuksen merkintä vaihtelee. Linuxeissa käytetään usein "!"-merkkiä salasanan edessä, jolloin tunnus voidaan ottaa käyttöön samalla salasanalla poistamalla tämä merkki. Yleensä toimenpide kannattaa hoitaa [[usermod]]- tai [[passwd]]-ohjelmalla, jolloin merkintätapa on varmasti oikea. | ||
==Katso myös== | ==Katso myös== | ||
* | *[[Käyttäjien hallinta]] | ||
* | *[[Käyttäjä]] | ||
*[[Ryhmä]] | |||
*[[Kotihakemisto]] | |||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
*[[wikipedia:fi:Salasana]] | *[[wikipedia:fi:Salasana|Salasana-artikkeli Wikipediassa]] | ||
*[[wikipedia:en:Crypt (Unix)#Library Function]] | *[[wikipedia:en:Crypt (Unix)#Library Function|Unix-salasanatiivisteet englanninkielisessä Wikipediassa]] | ||
[[Luokka:Järjestelmä]] | |||
[[Luokka:Käsitteet]] | [[Luokka:Käsitteet]] |