Arvutiteaduse instituut
Logi sisse
  • English
  • Kursused
  • 2013/14 sügis
  • Infoturve (MTAT.07.028)

Infoturve 2013/14 sügis

  • Pealeht
  • Praktikumid
  • Ülesanded
  • Viited

Autentimine

Autentimine: kinnituse andmine olemi väidetava identiteedi, tunnusomaduse või päritolu õigsusele; protsess, millega üks kasutaja, süsteem vm olem saab kontrollida teise olemi väidetava identiteedi tõesust, tavaliselt mingi esitatud spetsiifilise teabe (näiteks parooli), eseme (näiteks kiipkaardi vm turvatõendi) või eristava püsitunnuse (biomeetriku) alusel. Allikas: http://akit.cyber.ee/

Seega kasutaja autentimiseks on kolm eraldiseisvat võimalust:

  1. Teave. Midagi, mida ainult antud kasutaja teab, näiteks parool.
  2. Millegi omamine. Midagi, mis ainult antud kasutajal on, näiteks kiipkaart.
  3. Kasutaja olemus. Midagi, mis antud kasutaja ise on, näiteks kasutaja sõrmejäljed.

Ühetasandiline autentimine

Ühetasandilise autentimise korral kasutatakse eelpool toodud nimekirjast ainult ühte võimalust. Kõige tavalisem on kasutaja teadmiste kontroll, kus inimene peab kasutama oma teadmisi, et millegile juurdepääsu saada. Näiteks kui juurdepääsuks nõutakse ainult paroole, PIN koode või erinevaid mustreid.

Näited:

  • parooliga emaili või ÕIS-i kontole sisenemine
  • mustri abil Android-telefoni ekraaniluku avamine
  • parooli ja taaskasutatava paroolikaardi abil panka logimine, ühetasandilise autentimise madala turvalisuse tõttu on päevastele tehingute seatud limiit

Ühetasandilise autentimise probleemid:
Kasutajanimesid ja paroole saab ilma suurema vaevata kopeerida ja levitada. Samuti on turvalisi paroole raske meelde jätta ning seetõttu on suur osa paroole liiga lühikesed ja liiga kergesti ära arvatavad. Ühetasandilist autentimist saab edukalt rünnata kasutades klahvikuulajat (keylogger), mis salvestab klaviatuuri klahvide vajutused ja saadab vastava info ründajale.

Näidisrünne ja demo:
Arvuti nakatatakse pahavaraga, mis salvestab ja edastab arvutikasutaja klahvivajutusi. Kui arvutikasutaja autendib ennast kasutajatunnuse ja parooli abil, siis edastab pahavara kasutajatunnuse ja parooli ründajale. Selle ründe demonstreerimiseks on meil brauser nakatatud nii, et see saadaks klahvivajutusi ettemääratud lehele.

Selleks, et autentimist turvalisemaks muuta tuleb lisaks teadmistele kasutada teisi autentimise meetodeid. Lisaks teadmistele saab autentimiseks kasutada eset mida kasutaja omab või midagi kasutajast lähtuvat (biomeetrilised omadused).

Ühetasandiline autentimine ühekordsete paroolidega.

Selleks, et vältida paroolide lekkimist ja uuesti kasutamist nõuavad mõned süsteemid ühekordsete paroolide kasutamist. Ühekordne paroolide kasutamise korral on oluline, et serveri ja kliendi paroolid oleksid sünkroniseeritud (selleks kasutatakse algoritme, millest antud aine raames ei räägita). Rohkem infot leiab: https://en.wikipedia.org/wiki/One-time_password.

Tekib küsimus, et kuidas ühekordseid paroole kliendile edastada. Selleks on mitmeid võimalusi:

  • SMS teel - kättesaadav paljudele, aga SMS krüpteering võib olla liiga nõrk, et tagada parooli konfidentsiaalsust. Roamingu korral tuleb usaldada mitmeid teenusepakkujaid.
  • Paberil - Ühekordsed paroolid saadetakse kliendile paberil, kasutades näiteks posti teenust või kullerit. Näiteks Nordea pank kasutab ühekordseid paroolikaarte, mis tähendab seda, et igat parooli paroolikaardil saab kasutada ainult ühe korra. Paroolikaarti ennast võib pidada ka teiseks autentimise faktoriks.
  • Mobiiltelefonide või PIN-kalkulaatori abil genereerimine - see on juba näide kaksikautentimisest

Kaksikautentimine (kahetasandiline) autentimine

Kaksikautentimise korral nõutakse kahte erinevat autentimise viisi ehk tuleb valida järgnevatest kaks meetodit:

  • teadmistepõhine autentimine
  • millegi omamisel põhinev autentimine
  • isikust lähtuv autentimine

ID-kaardiga autentimine

Autentimine ID-kaardiga on kaksikautentimine, mis seob teadmistepõhise ja omandil põhineva autentimise. Lisaks kehtiva isikutuvastuse sertifikaadiga ID-kaardi omamisele peab kasutaja teadma ja selle kaardi PIN1 koodi. Oluline on see, et ID-kaarti (ja seal peal olevaid salajasi võtmeid) ei saa kopeerida, seega võib ID-kaarti kasutada kliendikaardina ilma turvalisust ohustamata.

Siiski, kui ID-kaart läheb kaduma, tuleb turvaohu vähendamiseks võimalikult kiiresti isikutuvastuse ja digiallkirja sertifikaadid peatada. Seda saab teha helistades numbrile 1777 ja öeldes oma nime, sünniaasta ja isikukoodi. Kadunud kaardi ülesleidmisel saab kaardi sertifikaadid taas aktiveerida SEB panga ja Swedbanki kontorites või kodakondsus- ja migratsioonibüroos. Selleks, et kaart dokumendina kehtetuks tunnistada tuleb ühendust võtta Politsei- ja Piirivalveametiga.

Autentimine mobiili või muu seadme abil

Mobiiltelefon sobib väga hästi teiseks autentimise faktoriks, kuna see on arvutist eraldiseisev ja kasutab teist sidekanalit (GSM, 3G, 4G). Selleks, et rünnata kaksikautentimist, mis kasutab lisaks paroolile ka mobilli või mõnda muud seadet, tuleb ründajal lisaks paroolile anda käsutusse saada ka see eraldiseisev seade.

Näited:

  • PIN-kalkulaatorid pankades
  • Google'i kaksikautentimine
  • Facebooki kaksikautentimine
PIN-kalkulaator

PIN-kalkulaator on seade, mis genereerib internetipanka sisenemiseks või ülekannete tegemiseks vajaliku koodi. PIN-kalkulaatori tööpõhimõte seisneb selles, et PIN-kalkulaatori poolt genereeritud koodid on pangaga sünkroniseeritud. Oluline on see, et PIN-kalkulaator genereerib iga kord uue parooli ja sama koodi ei saa kasutada kaks korda järjest internetipanka sisenemiseks. Seega pole varastatud koodist enam kasu kui seda on juba korra kasutatud. Selleks, et võõras isik ei saaks seadet kasutada tuleb kõigepealt sisestada enda poolt määratud PIN-kood ja pärast seda saab genereerida internetipanka sisenemiseks või ülekannete tegemiseks kasutatavaid koode. Kuna PIN-kalkulaatori abil autentimine on kaksikautentimine, siis on see palju turvalisem kui ühetasanadiline korduvkasutatava paroolikaardi abil autentimine. Seetõttu ei ole pangad seadnud päevalimiite internetipankades PIN-kalkulaatorit kasutavatele klientidele. Rohkem infot PIN-kalkulaatori kasutamise kohta leiab allpool viidatud veebilehtedelt.

Google'i kaksikautentimine

Google kaksikautentimine nõuab võõrast arvutist sisse logides lisaks paroolile ka kasutaja mobiilile saadetud verifitseerimiskoodi sisestamist, et kontrollida, kas antud telefon (SIM kaart) on ikka selle inimese käsutuses. Verifitseerimiskood saadetakse telefoni kas SMS või spetsiaalse nutitelefoni rakenduse kaudu, lisaks on võimalik lasta Google'il endale helistada ja verifitseerimiskood kõnega edastada. Google'i kaksikautentimise puhul ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile (SIM kaardile).

Harjutus: Google kontol kaksikautentimise proovimine. Kui teil ei ole Google (Gmail, Google Docs, Google+, YouTube) kontot, siis leidke endale paariline, kellel on vastav konto või tehke endale Google konto https://accounts.google.com/SignUp. Kindlasti peate seadistama tagavara võimaluse juurdepääsuks kontole kui teie telefoniga või telefoninumbriga midagi juhtub.

  1. Minge lehele http://www.google.com/landing/2step/
  2. Vaadake skeeme ja lugege miks tasub Google kahetasandilist autentimist kasutada
  3. Vajutage nupule “Get Started” ja siis nupule “Start Setup”
  4. Logige sisse oma Google kontosse
  5. Sisestage oma telefoninumber ja vajutage nupule “Send code”
  6. Oodake SMS-i
  7. Sisestage saadud kood ning vajutage nupule “Verify”
  8. Valige, kas te usaldate kasutatavat arvutit ja vajutage nupule “Next”
  9. Aktiveerimiseks vajutage nupule “Confirm”
  10. Kirjutage igaks juhuks üles tagavara koodid mida te saate kasutada siis kui muul viisil puudub Google kontole juurdepääs
  11. Proovige oma kontole sisse logida
  12. Kaksikautentimise eemaldamiseks minge lehele https://accounts.google.com/b/0/SmsAuthSettings ja valige turn off 2-step authentication

Pärast Google kaksikautentimise seadistamist nõuab Google, et programmides, mis ei toeta kaksikautentimis ja mis kasutavad vastavat Goolge kontot tuleb kasutusele võtta ühekordne parool. Näiteks pärast kaksikautentimise seadistamist ei saa nutitelefon enam Google kontole juurdepääsu. Kui väljaspool brauserit olevad programmid (mis ei toeta kaksikautentimist) tahavad saada juurdepääsu Google kontole, siis tuleb neile määrata ühekordne parool. Seda tuleb teha Google konto seadede alt "Account -> Security -> 2-step verification -> Manage your application specific passwords".

Facebooki kaksikautentimine

Facebooki kaksikautentimine toimib analoogselt Google kaskikautentimisele. Facebooki kaksikautentimine nõuab võõrast arvutist või brauserist sisse logides lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Seetõttu ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile.

Harjutus: Facebooki kaksikautentimise proovimine. Kui teil ei ole Facebooki kontot või nutitelefoni, siis leidke endale paariline kellel on vastav konto ja telefon. Lugege Facebooki kaksikautentimise kohta https://www.facebook.com/note.php?note_id=10150172618258920

  1. Logige Facebooki ja valige “account settings”
  2. Valige vasakpoolsest menüüst “security”
  3. Valige “Login approvals” ja märkige ära “Require a security code to access my account from unknown browsers”
  4. Valige “Get Started”
  5. Valige telefoni tüüp
  6. Järgige ekraanil olevat Facebooki appiga seonduvat juhendit
  7. Sisestage kontrollkood ja vajutage “Continue”
  8. Sisestage SMS teel saadetud kontrollkood
  1. Proovige teise brauseriga või seadmega Facebooki logida
  2. Soovi korral saate kaksikautentimise välja lülitada, deaktiveerides oma konto turvaseadetes “Login Approvals”

Alternatiivsed harjutused: Proovige Twitteri või Wordpressi kaksikautentimist. Ka Apple toetab kaksikautentimist, aga kahjuks veel mitte Eestis.

Biomeetriline autentimine

Biomeetrilise autentimise alla kuuluvad näiteks sõrmejälgede põhine autentimine, kõnepõhine autentimine ja silmaiirise põhine autentimine.

Näide:

  • Sülearvuti sõrmejäljelugeja:

Selleks, et tegu oleks mitmefaktorilise autentimisega tuleks kasutada lisaks kas parooli või autentimist võimaldavat eset.

Mobiil-ID

Eestis kasutatav Mobiil-ID pakub nii isiku tuvastamise kui ka digiallkirja andmise võimalust. Mobiil-ID jaoks on vaja kasutada spetsiaalset SIM-kaarti, millega on seotud sertifikaadid. Mobiil-ID on elektroonilises keskkonnas samaväärne ID-kaardiga, kuid erinevalt ID-kaardist ei ole võimalik Mobiil-ID abil dokumente krüpteerida.

Mobiil-ID, mis on välja antud alates 01.02.2011 on samaväärne digitaalse isikutunnistusega ja selle väljaandmine toimub isikut tõendavate dokumentide seaduse alusel. Pärast 01.02.2011 väljastatud sertifikaadid kehtivad kolm aastat. Seetõttu tuleb tähtaja lõppedes sõlmida mobiilioperaatoriga uus leping ning SIM-kaart välja vahetada.

Mobiil-ID tegemise juhend asub aadressil http://mobiil.id.ee/tee-endale-mobiil-id/. Oluline on see, et liitumisel tuleb mobiilioperaatori juures enda isikut tuvastada. Pärast liitumislepingu sõlmimist annab mobiilioperaator Mobiil-ID jaoks sobiliku SIM kaardi. Mobiil-ID aktiveerimiseks tuleb esitada taotlus sertifikaatide saamiseks.


Mobiil-ID toega SIM kaardid, allikas

Mobiil-ID eelised:

  • ei ole vaja ID-kaardi lugejat
  • arvutis ei ole vaja lisa tarkvara
  • asendab autentimisel paroolikaardid, ID-kaardi ja PIN-kalkulaatorid
  • töötab kõikide tänapäevaste mobiiltelefonidega (tavalised ja nutitelefonid)

Mobiil-ID osapooled ja suhtlus (allikas).

Mobiil-ID turvaliseks kasutamiseks tuleb kontrollida:

  1. Mobiiltelefonis kuvatav teenuse nimi viitab e-teenusele või veebilehele, kuhu sooviti Mobiil-ID’ga siseneda
  2. Kontrollkoodid teenuse veebilehel ja mobiiltelefonis on identsed
  3. Autentimisel küsitakse PIN1 koodi
  4. Ainult allkirjastamisel küsitakse PIN2 koodi
  5. PIN ja PUK koode ei tohi hoida telefonis või telefoni juures

Kui telefoni saabub ootamatult sõnum, mis palub sisestada PIN-koodi, aga vastava teenuse kasutamise soovi pole tehtud, siis ei tohi MITTE MINGIL juhul PIN-koodi sisestada!

Kui Mobiil-ID PIN-koodid on kaduma läinud või varastatud, siis tuleb pöörduda mobiilsideoperaatori poole ja Mobiili-ID teenus sulgeda. Kui mobiiltelefon koos aktiveeritud Mobiil-ID SIM kaardiga on sattunud võõraste inimeste valdusesse, siis tuleks helistada esimesel võimalusel oma mobiilioperaatori klienditeenindusse ja sulgeda Mobiil-ID teenus.

  • Elisa klienditeenindus: +372 6600 600
  • EMT klienditeenindus: +372 6397 130
  • Tele2 klienditeenindus: +372 686 6866

Mobiil-ID turvalisus

Mobiil-ID turvalisus on võrreldav sõrmistikuga ID-kaardilugeja kasutamisega. Ilma sõrmistikuta kaardilugeja puhul võib keylogger PIN koodid salvestada ning kui siis kaart liiga kauaks lugejasse jätta, võib pahavara sellega omapäi edasi toimetada. Samas räägib Mobiil-ID kahjuks see, et süsteemi toimimiseks on vajalik suurem hulk osapooli (mobiilioperaator, DigiDoc teenus), mis tähendab ühtlasi ka rohkem osapooli keda tuleb usaldada ning keda on võimalik rünnata (vt allpool viidatud artiklit). Osapoolte-vahelised ühenduskanalid on loomulikult krüpteeritud.

Kasulikud lingid:

  • Kadunud ID-kaart
    • http://www.id.ee/?id=30135
  • One-time password
    • https://en.wikipedia.org/wiki/One-time_password
  • Pääsmik ehk füüsiline identsustõend
    • https://en.wikipedia.org/wiki/Security_token
  • Multiautentimine
    • https://en.wikipedia.org/wiki/Multi-factor_authentication
  • Google kaksikautentimine
    • http://www.google.com/landing/2step/
    • Seaded: https://accounts.google.com/b/0/SmsAuthSettings
  • Facebooki kaksikautentimine
    • https://www.facebook.com/note.php?note_id=10150172618258920
  • Eesti tegutsevate pankade PIN-kalkulaatorid
    • https://www.swedbank.ee/private/home/more/channels/internet/pin_calc
    • http://www.seb.ee/ariklient/igapaevapangandus/teeninduskanalid/arikliendi-internetipank/pin-kalkulaatori-kasutamine
    • http://www.danskebank.ee/public/documents/PIN-kalkulaatori_kasutusjuhend_EST.pdf
    • http://www.lhv.ee/images/docs/PIN-calculator_User_Manual-ET.pdf
  • Biomeetriline autentimine
    • https://en.wikipedia.org/wiki/Biometrics
    • http://link.springer.com.ezproxy.utlib.ee/book/10.1007/978-1-84882-385-3/page/1
  • Mobiil-ID
    • Mobiil-ID ülevaade http://mobiil.id.ee/
    • Mobiil-ID taotlemine https://www.politsei.ee/et/teenused/isikut-toendavad-dokumendid/mobiil-id/index.dot
    • Peeter Laud, Meelis Roos. "Formal Analysis of the Estonian Mobile-ID Protocol". Identity and Privacy in the Internet Age, LNCS vol. 5838, 2009, pp 271-286. http://www.cs.ut.ee/~peeter_l/research/nordsec09.pdf
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:
Tartu Ülikooli arvutiteaduse instituudi kursuste läbiviimist toetavad järgmised programmid:
iktp regionaalarengu fondi logo euroopa sotsiaalfondi logo tiigrilikooli logo it akadeemia logo