Salasaonojen pakotettu vaihtaminen.

[Lurttinen]

Tämä tapaus, jossa tuhansien suomalaisten salasanat joutuivat vääriin käsiin pisti varmaan monet foorumin ylläpitäjät arvioimaan tosiasioita?
Se ei riitä, että itse pitää fooruminsa ajantasalla, koska yksi käyttäjä saattaa käyttää samaa salasanaa useammassa eri paikassa. Pahimmassa tapauksessa niistä foorumeista vain yksi jättää päivitykset tekemättä ja joutuu murron kohteeksi.

Jos tällaisessa tapauksessa sitten salasanat päätyvät yleiseen levitykseen on olemassa mahdollisuus, että täysin syyttömät tahot joutuvat kärsimään häirinnästä. Salasanojen ei edes tarvitse päätyä levitykseen, vaan se hyökkääjä itsekin tietysti voi niitä käyttää.
Esimerkiksi lähetellään yksityisviestejä toisten nimellä ja luoja tietää mitä muuta. Jos vaikka ylläpitäjä on valinnut salasanakseen domaininsa hallintapaneelin salasanan...

Salasanojen vaihtaminen on suoraan sanottuna vittumaista puuhaa. Ei sitä viitsisi tehdä ja ei sitä helkkarin salasanaa sitten muista, kun se ei olekaan se sama tuttu ja turvallinen. (=josta tulikin sitten riski...)
Miten suojautuisitte toisen sivuston itsellenne aiheuttamaa uhkaa vastaan? Tämähän ei rajoitu vain tavalliseen käyttäjään, vaan kaikki valvojista ylläpitäjiin ovat riskiryhmissä mukana, jos käyttävät samaa salasanaa kaikkialla.
Tämähän ei tietenkään tarkoita sitä, että jos salasanan vaihtamista ei pakota, foorumille tulisi heti huomenna ongelmia. Voihan se olla, että mitään ei koskaan tapahdukaan?

phpBB3:ssa on mahdollista pakottaa käyttäjät vaihtamaan salasanansa tietyin väliajoin. Kuinka monella tuo toiminto on päällä ja kuinka käyttäjät ovat siihen suhtautuneet?

[Karjala]

phpBB3:ssa on mahdollista pakottaa käyttäjät vaihtamaan salasanansa tietyin väliajoin. Kuinka monella tuo toiminto on päällä ja kuinka käyttäjät ovat siihen suhtautuneet?

Ei ole käytössä, koska foorumillani on myös iäkkäämpiä käyttäjiä, jotka tarvitsivat apua myös siinä ensimmäisessä foorumille rekisteröitymisessä. Siitähän taas soppa tulis, jos vielä pakottaisin vaihtamaan salasanoja. Ei tuu mitään.

[Anubis]

Ja usein se johtaa vain siihen, että kahta eri salasanaa vaihdellaan keskenään.

[Karjala]

phpBB3:ssa on mahdollista pakottaa käyttäjät vaihtamaan salasanansa tietyin väliajoin. Kuinka monella tuo toiminto on päällä ja kuinka käyttäjät ovat siihen suhtautuneet?

No, tämän selviää helpoiten niin, jos teet testin. Siis täällä foorumilla.

[hpguru]

En ymmärrä miksi jäseniä pitäisi pakottaa salasanojen vaihtoon, turhaa. Eiköhän se itse käyttäjä tiedä koska sitä kannattaa vaihtaa.

[paavo55]

Jos tällaisessa tapauksessa sitten salasanat päätyvät yleiseen levitykseen on olemassa mahdollisuus, että täysin syyttömät tahot joutuvat kärsimään häirinnästä. Salasanojen ei edes tarvitse päätyä levitykseen, vaan se hyökkääjä itsekin tietysti voi niitä käyttää.
Esimerkiksi lähetellään yksityisviestejä toisten nimellä ja luoja tietää mitä muuta. Jos vaikka ylläpitäjä on valinnut salasanakseen domaininsa hallintapaneelin salasanan...

Eikö tuossa ole jo jonkin näköinen syy?

[Lurttinen]

Yksi pointti tietenkin, että kuinka hyvin luotatte siihen sivustoon, jolle salasananne annatte?
Entä, jos sen sivuston ylläpitäjä päättää itse käyttää niitä salasanojansa hyväkseen?
Sama käyttäjätunnus kaikkialla? Google löytää hyvin -> kokeillaan salasanaa.

Voihan sitä ajatella, että se on häshittuna tietokannassa, mutta mikä estää sen varmistusviestin lähettämisen salasanoineen BCC:nä myös ylläpitäjän osoitteeseen? Siellähän se on luettavissa selvällä kielellä...

Pieni paranoia sivustoja ja ylläpitäjiä kohtaan on vaan terveellistä.

[Anubis]

Yksi pointti tietenkin, että kuinka hyvin luotatte siihen sivustoon, jolle salasananne annatte?
Entä, jos sen sivuston ylläpitäjä päättää itse käyttää niitä salasanojansa hyväkseen?
Sama käyttäjätunnus kaikkialla? Google löytää hyvin -> kokeillaan salasanaa.

Voihan sitä ajatella, että se on häshittuna tietokannassa, mutta mikä estää sen varmistusviestin lähettämisen salasanoineen BCC:nä myös ylläpitäjän osoitteeseen? Siellähän se on luettavissa selvällä kielellä...

Pieni paranoia sivustoja ja ylläpitäjiä kohtaan on vaan terveellistä.

Tai nappaa emailveistin matkalta, ei tarvitse olla edes sivuston ylläpitäjä.

[Peetra]

phpBB3:ssa on mahdollista pakottaa käyttäjät vaihtamaan salasanansa tietyin väliajoin. Kuinka monella tuo toiminto on päällä ja kuinka käyttäjät ovat siihen suhtautuneet?

No, tämän selviää helpoiten niin, jos teet testin. Siis täällä foorumilla.

Kannatan tätä idea.

En ymmärrä miksi jäseniä pitäisi pakottaa salasanojen vaihtoon, turhaa. Eiköhän se itse käyttäjä tiedä koska sitä kannattaa vaihtaa.

Ei tiedä. Eivätkä adminit muista ottaa varmuuskopioita. Nämä asiat vaan ovat tosiasioita.

[Karjala]

Up...


Sain tänään sähköpostia palvelimelta ja he epäilivät salasanojeni joutuneen vääriin käsiin. *Tosi nörtti* Tiedä sitten mitä helvettiä siellä oli värkätty, mutta näin aloin miettimään uudestaan tätäkin, että pakottaisinko käyttäjät vaihtamaan salasanansa ja muutenkin tätä on hyvä upittaa...

Miten ja mistä sen pakottamisen sai päälle? Minä kerron sitten omakohtaisia kokemuksia palautteesta...

[Peetra]

ACP --> Yleinen --> Palvelimen konfiguraatio --> Tietoturva-asetukset --> Pakota salasanan muuttaminen:

Siihen laitat vaikka 1 ja sitten vuorokauden kuluttua takaisin 0:ksi niin se ei ole jokapäivästä rumbaa.

Peetra.

[Lurttinen]

Salasanojen vaihtaminen vaikkapa kerran kuussa on ihan kliffaa.

[Peetra]

Mua kyllä ottaisi päähän jos, jokin foorumi pakottaisi siihen, niissä paikat, jossa on adminina/ modena vaihdan vapaaehtoisesti epäsäännöllisen säännölisesti ja muissa ei nyt ole niinkään väliä.

[Karjala]

Käyttäjät eivät teloittaneet!