Tänään tapahtui outoja.

Kun menin sähköpostiini, huomasin että jos kirjoitan sähköpostini salasanan oikein ja loppuun jotain random skeidaa, niin pääsen kuitenkin sähköpostiini!

Esimerkki:
Sanotaan että sähköpostini salasana on "dyrpäjooseppi". Kun kirjoitan sähköpostini (saunalahti) salasanan, eli "dyrpäjooseppi" ja sen oikean salasanan loppuun vaikka "asdasdasd", eli "dyrpäjooseppiasdasdasd", pääsen silti sisälle sähköpostiini! Tämä sama asia on myös muissa saunalahden sähköposti osoitteissani! Eli millä tahansa salasanalla pääsi sähköpostiin, kunhan sen salasanan alussa oli se oikea salasana; dyrpäjooseppi!

Kun vaihdoin salasanat ja yritin samaa kikkaa uudestaan, niin ei enää toiminut vaan kirjautuminen toimi taas normaalisti, eli sähköpostiin pääsi sisälle vain ja ainoastaan sillä oikealla asettamallani salasanalla.

Mistä tämmöinen voisi johtua?

Suosittelen kirjoittamaan asiasta suoraan Saunalahdelle. Sen verran voin sanoa, että sama ei ainakaan omalla yrittämälläni onnistunut Soneran web maililla.

Oliko tämä ongelma vain hetkellinen vai kestikö se kauemminkin? Aiheuttajana saattoi olla virhe sivustolla, joka korjaantui salasanan vaihdolla. Tuosta kannattaa kuitenkin laittaa palautetta, sillä onhan tuo jo mainittava tietoturvariski ajatellen yksityisten ihmisten mahdollisesti "arkaluontoisia" sähköposteja ja liitetiedostoja, jotka he ovat sähköpostiinsa tallentaneet.

Sain palautetta Saunalahden tuesta.

Vastaus ongelmaan olikin melko yksinkertainen. Salasana saa olla max 8 kirjainta pitkä. Vanha salasanani oli juuri tuon kirjainmäärän täyttävä, joten kaikki salasanani jälkeen kirjoitettu höskä leikkautui pois eikä sitä noteerattu.

Tämä 8 kirjaimen uudistus taitaa olla melko uusi, koska ennen ei näin kuitenkaan ole tapahtunut. Tuki kuitenkin vakuutti että kaikki on reilassa


Että semmosta tänään

Onhan idioottimainen rajoite tuo kahdeksan merkkiä. Se kertoo Saunalahden sähköpostijärjestelmän olevan äärimmäisen turvaton. Ensinnäkin nykypäivänä kahdeksaa merkkiä pidetään ehdottomana miniminä turvalliselle salasanalle. Toisekseen tuo merkkirajoite kertoo sen, ettei Saunalahti suojaa salasanoja ennen niiden tallentamista tietokantaan. Eli jos joku murtautuu sinne, saa hän sinunkin salasanasi selville, ja voi täten päästä muihin käyttämiisi palveluihin.

(Yleisimmin salasanat hashataan ennen tallennusta, jolloin niistä tulee aina saman pituisia keskenään. Täten oikea salasana voi olla miten pitkä tahansa ja tietokantaan tallennettuna se kuitenkin vie kiinteän määrän merkkejä, eli rajoitusta ei tarvittaisi.)

Suosittelen kirjoittamaan huolestuneen palautteen Saunalahdelle ja vaihtamaan sähköpostipalvelua, kun vielä kerkeät.