Salasanahallintakäytänteet ja salasanatiivisteiden murtaminen Hashcat-ohjelmalla
Manninen, Topi (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202102041930
https://urn.fi/URN:NBN:fi:amk-202102041930
Tiivistelmä
Opinnäytetyössä seurataan Haaga-Helia ammattikorkeakoulun yhtä orientaatio ICT-infrastruktuuriin kurssia ja tutkitaan muutoksia opiskelijoiden salasanakäytänteissä kurssin alussa sekä lopussa kyselytutkimuksella.
Tutkimuksen teoriaosuudessa käydään läpi salasanoihin ja tietoturvaan liittyviä keskeisiä asioita.
Teoriaosuus esittelee Hashcat-salasananpalautusohjelmistoa ja erilaisia keinoja murtaa salasanoja tiivisteistä. Tutkimuksen Hashcat-osiossa vertaillaan yleisiä moderneja ja eimoderneja algoritmeja keskenään salasanan ratkaisunopeuden ja avainavaruuden käsittelyn keston osalta. Osiossa myös tutustutaan keinoihin, joita voidaan käyttää yrittäessä ratkaista yleisiä salasanamalleja ja keinoja erilaisille hyökkäystavoille tarkoituksena antaa konkreettisia esimerkkejä, miksi salasanamalleista ja ennalta-arvattavien salasanojen käytöstä tulisi pyrkiä pois.
Kyselytutkimuksessa täysin anonyymit kyselyt teetettiin kurssille osallistuville opiskelijoille ja tuloksia verrattiin keskenään. Opiskelijoiden salasanahallintakäytänteet eivät kehittyneet muutaman kuukauden aikana yhden kurssin seurauksena merkittävästi, pois lukien merkittävä kasvu salasananhallintajärjestelmien käyttöönottoon. Salasanahallintaohjelmien käyttöönotto ei heijastunut salasanojen laadun parantumiseen. Opiskelijoiden salasanatottumukset etenkin salasanojen pituuden ja haastavuuden osalta olivat heikkoja. Suurin osa opiskelijoista ei säännöllisesti vaihtanut salasanojaan, ellei opiskelijoiden käyttämät palvelut pakottanut heitä vaihtamaan salasanaa. Opiskelijat eivät olleet epätietoisia vuotaneista käyttäjätunnuksista.
Tutkimuksen empiirinen osa toteutettiin kyselytutkimuksena Google Forms -työkalulla. Kysely jakautui kahteen osaan, ensimmäiseen kyselyyn, joka mittasi alkutilannetta ja seurantakyselyyn, joka mittasi tilannetta kurssin loppuvaiheilla. Kysely ohjattiin saatetekstillä opettajan kautta Moodle-palvelussa kurssin osallistujille ja kyselyyn oli vapaaehtoista vastata. Vastauksia vertailtiin ryhmätasolla ja kysely ei kerännyt mitään henkilötietoja tietosuojan ja kyselyn arkaluontoisuutensa vuoksi. Ensimmäiseen kyselyyn vastasi 9 henkilöä ja seurantakyselyyn 10 vastaajaa. Kurssille osallistujien määrä ei ole tiedossa.
Kiitän kurssia vetänyttä opettajaa avusta sekä kyselyyn vastanneita opiskelijoita osallistumisesta.
Tutkimus toteutettiin syksyllä 2020.
Tutkimuksen teoriaosuudessa käydään läpi salasanoihin ja tietoturvaan liittyviä keskeisiä asioita.
Teoriaosuus esittelee Hashcat-salasananpalautusohjelmistoa ja erilaisia keinoja murtaa salasanoja tiivisteistä. Tutkimuksen Hashcat-osiossa vertaillaan yleisiä moderneja ja eimoderneja algoritmeja keskenään salasanan ratkaisunopeuden ja avainavaruuden käsittelyn keston osalta. Osiossa myös tutustutaan keinoihin, joita voidaan käyttää yrittäessä ratkaista yleisiä salasanamalleja ja keinoja erilaisille hyökkäystavoille tarkoituksena antaa konkreettisia esimerkkejä, miksi salasanamalleista ja ennalta-arvattavien salasanojen käytöstä tulisi pyrkiä pois.
Kyselytutkimuksessa täysin anonyymit kyselyt teetettiin kurssille osallistuville opiskelijoille ja tuloksia verrattiin keskenään. Opiskelijoiden salasanahallintakäytänteet eivät kehittyneet muutaman kuukauden aikana yhden kurssin seurauksena merkittävästi, pois lukien merkittävä kasvu salasananhallintajärjestelmien käyttöönottoon. Salasanahallintaohjelmien käyttöönotto ei heijastunut salasanojen laadun parantumiseen. Opiskelijoiden salasanatottumukset etenkin salasanojen pituuden ja haastavuuden osalta olivat heikkoja. Suurin osa opiskelijoista ei säännöllisesti vaihtanut salasanojaan, ellei opiskelijoiden käyttämät palvelut pakottanut heitä vaihtamaan salasanaa. Opiskelijat eivät olleet epätietoisia vuotaneista käyttäjätunnuksista.
Tutkimuksen empiirinen osa toteutettiin kyselytutkimuksena Google Forms -työkalulla. Kysely jakautui kahteen osaan, ensimmäiseen kyselyyn, joka mittasi alkutilannetta ja seurantakyselyyn, joka mittasi tilannetta kurssin loppuvaiheilla. Kysely ohjattiin saatetekstillä opettajan kautta Moodle-palvelussa kurssin osallistujille ja kyselyyn oli vapaaehtoista vastata. Vastauksia vertailtiin ryhmätasolla ja kysely ei kerännyt mitään henkilötietoja tietosuojan ja kyselyn arkaluontoisuutensa vuoksi. Ensimmäiseen kyselyyn vastasi 9 henkilöä ja seurantakyselyyn 10 vastaajaa. Kurssille osallistujien määrä ei ole tiedossa.
Kiitän kurssia vetänyttä opettajaa avusta sekä kyselyyn vastanneita opiskelijoita osallistumisesta.
Tutkimus toteutettiin syksyllä 2020.