Seuraa datailua.
Koululla on käytössä SSH Secure Shell Client (versio 3.2.9) SSH-yhteyksien ottoon. Tänään ohjelmasta löytyi yksi outous, joka aiheutti harmaita hiuksia hiukan aikaa. Ongelma esiintyi sekä ATK-kerho Ruutin että koulun palvelimilla.
Esimerkissäni salasanani on: salasana
. Koululla hyväksytään maksimissaan 8 merkkiä pitkät salasanat.
Otetaan yhteys Secure Shellillä esimerkiksi jumille (tietokoneen nimi). Otetaan quick connect, annetaan oikea osoite, käyttäjätunnus ja salasanaksi salasana
. Käytössä oleva tunnistus on keyboard interactive. Painetaan connect. Client yhdistää serveriin. Tehdään logout. Painetaan välilyöntiä ja yhdistysikkuna ponnahtaa taas näkyviin. Pidetään kaikki muut tiedot samana, mutta muutetaan salasanaa. Salasanan sijalle kirjoitetaan salasana12
. Painetaan connect. Client yhdistää serveriin. Salasana siis hyväksytään.
Minun mielestäni tuo on suorastaan hämäävää. Mikään tietoturvariski tuo ei ole, koska ongelma esiintyy ainoastaan, kun käytetään salasanaa pidempiä feikkisalasanoja. Myös salasanan alku siis täytyy olla oikein. Tuollainen toiminta voi kuitenkin ehkä altistaa dictionary attackille?
Outoa on myös se, että tuntui olevan serveristä kiinni se, että toimiko tuo. Herääkin kysymys: Neuvotteleeko SSH Secure Shell Client serverin kanssa kysyen että kuinka pitkän salasanan hyväksyt? Jos salasanaksi hyväksytään vain 8 merkkiä, Client lähettäisi vain 8 merkkiä riippumatta siitä, kuinka pitkä syötetty salasana on? Tosin tätä ideaa testattiin siten, että laitettiin 10 merkkiä oikean salasanan perään. Silloin serverille ei enää päässyt kirjautumaan.
Mikähän tässä on takana? Outoa käytöstä. Nuttyllä samaa ei esiintynyt, eli siis jos salasana oli lopusta täytetty ylimääräisillä merkeillä, sisään ei päässyt.