maanantai 24. syyskuuta 2012

Microsoft asettaa verkkopalveluidensa salasanan pituudeksi 16 merkkiä

Microsoft on muuttanut salasanakäytäntöjään Microsoft-tilin kohdalla sillä tavoin että se lukee vain 16 ensimmäistä merkkiä salasanasta ja muut se hylkää, vaikka aikaisempi salasanasi yltäisi rajoituksen.

Tietoturvayhtiö Kaspersky Labin asiantuntijat pitävät Microsoftin päätöstä outona ja tarjoavat muun muassa yhden esimerkin kuinka Microsoft olisi salasanakäsittelyn teknisesti toteuttanut.

Esimerkin mukaan Microsoft säilyttää pidemmistä salasanoista salaamattoman ja luettavan listan josta se voi tarkistaa ja hyväksyttää ensimmäiset 16 merkkiä salasanasta.

Mikäli vaihtoehto on käytössä, voi salasanalista olla jo krakkereiden käsissä, se kun pitäisi olla yksinkertainen tekstitiedosto ja täysin ilman salausta jotta tarkistuselementillä olisi pääsy salasanaan. Jos salasanalista pitkistä sanoista on jossakin kirjautumispalvelimella, ei tarvita kuin pääsy sinne.

Microsoft kommentoi käytäntöä, se luottaa ennen kaikkea salasanan monimuotoisuuteen kuin pitkään salasanaan, pitkä salasana kun saattaa sisältää yksinkertaisia sanoja tai vaikkapa yksinkertaisia lauseita kirjasta, joka ei sinällään vaadi paljoa kun sitä yrittää murtaa.

Esimerkkilistaus muutamasta suosituista palvelusta ja niiden maksimi merkkimäärästä salasanan kohdalla:
Google: yli 200 merkkiä
Microsoft: 16 merkkiä
Yahoo: 32 merkkiä

Yahoollakin siis maksimimäärä ylittyy 32 merkin mutta siellä palvelu ei kuitenkaan mahdollista sen ylittämistä.

Myöskään Microsoft-tiliin ei voi asettaa salasanaa joka ylittää 16 merkkiä mutta ennen uutta käytäntöä asetetut pidemmät salasanat toimivat 16 merkkiin saakka, joten kun käyttäjä vaihtaa salasanansa lyhyempään, ei tarvitse jäädä ihmettelemään kun vaihtosivun “nykyinen salasana” kenttään menee vain 16 merkkiä vanhasta salasanasta.

LÄHDE: The NextWeb