Paroolid ja autentimine
Paroolid
- Ülesanne: räsifunktsiooni kasutamine. Proovige räsida suvalist sõna või lauset.
- Paigaldage virtuaalmasinasse programm nimega PuTTy.
- Otsige virtuaalmasinast üles programm PuTTy ja käivitage see
- Logige ssh abil math.ut.ee serverisse. Selleks tuleb PuTTy aknas kirjutada väljale Host Name:
math.ut.ee
ning siis vajutada "Open". Nüüd küsitakse teie TÜ kasutajanime ning pärast selle sisestamist küsitakse teie TÜ parooli. Kui kasutajanimi ja parool sai korrektselt sisestatud, siis olete math.ut.ee serverisse sisse logitud. - Math.ut.ee serveris saate proovida räsifunktsiooni kasutamist. Konsoolilt sisestatava teksti räsimiseks kirjutage käsk:
echo -n "siia tuleb tekst, mida te tahate räsida" | sha256sum
. Kontrollige, et krüptograafilise räsifunktsioon annab täiesti erineva väljundi juba siis kui ühte sümbolit sisendis muudatakse. Eelnevalt sisestatud käsku ei pea uuesti trükkima, see kuvatakse teile kui te vajutate nooleklahvi, mis on suunatud ülesse. - Lõpetamiseks sisestage käsk:
exit
Brauserite paroolihaldus
Parooli kasutades pakutakse võimalust parooli salvestada. Salvestatud parooliga lehel piisab kasutajanime sisestamisest, et sisse logida, parool lisatakse brauseri poolt. See võimaldab kasutada keerukamaid paroole.
Samas võib paroolide salvestamine tähendada seda, et arvuti tuleb lukustada iga kord kui selle juurest lahkutakse, sest juurdepääs arvutile võib olla samaväärne juurepääsuga vastavatele kontodele.
Google Chrome
Salvestatud paroolide vaatamiseks: “Settings” -> “Show advanced settings...” -> “Manage saved passwords”
Varjatud parooli kuvamiseks tuleb vajutada nupule "Show". Juhul kui Windowsi kasutajakontol on parool, siis küsitakse enne paroolide kuvamist kasutajakonto parooli.
Harjutus: Testige Google Chrome paroolihaldamist. Selgitage välja, kui palju aega kulub, et brauserisse salvestatud paroole kuvada juhul kui Windows kasutajakontol pole parooli.
Firefox
Firefox omab samuti paroolide haldamise süsteemi. Sisselogimise ajal pakutakse kasutajale võimalus parool salvestada. Näiteks:
Salvestatud paroole saab vaadata kui minna:
Preferences (Options) -> Security / Passwords -> Saved Passwords
Varjatud parooli kuvamiseks tuleb vajutada nupule "Show passwords".
Erinevalt Google Chrome-st pakub Firefox võimalust piirata paroolihaldurile juurdepääsu enda poolt valitud parooliga. See takistab lukustamata arvutist salvestatud paroolide vaatamist ka juhul kus kasutajakontol pole parooli, aga samas vähendab kasutaja mugavust. Juurdepääsu parooli kasutamisel tuleb see iga kord sisestada kui brauser tahab salvestatud parooli kasutada. Juhul kui paroolihaldurile juurdepääsu ei piirata, siis saab igaüks brauserist paroole vaadata.
Harjutus: Lisame Firefoxi paroolihaldamise süsteemi parooli. Katsetame selle parooli kasutamist ja siis vaatame kui lihtne on kuvada salvestatud paroole.
Harjutus: Hakkame kasutama paroolihaldajale ligipääsemist piiravat parooli. Vaatame kuidas parooli kasutamine muutus ja kas nüüd on võimalik salvestatud paroole näha.
Paroolihaldustarkvara
Paroolihaldustarkvara kastutamine on samaväärne sellega kui kirjutada oma paroolid ühte tekstifaili ning krüpteerida see fail tugeva parooliga. Spetsiaalsel tarkvaral on aga mitmeid eeliseid:
- mugavus, võrreldes käsitsi andmebaasi pidamisega
- automaatne paroolilahtri täitmine
- tugevate paroolide genereerimine
- kasutusvaldkond pole piiratud (erinevalt veebilehitsejate paroolihaldusest)
- andmebaasi sünkroniseerimine erinevate seadmete vahel
Paroolihaldustarkvara KeePass
Windowsi jaoks on tasuta saadaval vabavaraline programm KeePass. KeePassX on selle analoog, mis toetab sama andmebaasi formaati ning lisaks Windowsile toetab ka Linux ja Mac OS platvormi.
Harjutus: Installida KeePass (KeePassX) ja proovida selle kasutamist. KeePass koduleht http://keepass.info/. Virutaalmasinas on KeePass juba paigaldatud.
- Paigaldage KeePass professional edition http://keepass.info/download.html
- valige "Installer EXE for Windows"
- käivitage KeePass-2.32-Setup.exe
- vajutage "Run" ja "Yes"
- vajutage "ok" või valige endale sobiv keel
- vajutage "next",
- märkige ära "I accept the agreement" ja vajutage "next
- vajutage kolm korda "next"
- vajutage "install"
- Käivitage KeePass
- Looge uus paroolide andmebaas: File -> New -> (sisestage faili nimi) -> Save
- Genereerige ja sisestage peavõti (master password), võti ei tohiks olla lühike ja triviaalne. Parooli välja all kuvatakse visuaalselt parooli hinnangulist keerukust (estimated quality). On väga oluline, et te jätate selle võtme meelde, kui te tahate edaspidi oma paroolide andmebaasi kasutada.
- Vajutage "ok" ja "ok"
- Lisage andmebaasi uus parool: Edit -> Add Entry...
- Lukustage KeePass: File -> Lock Workspace
- Tehke ära KeePass kodune töö.
Kahetasandiline autentimine
Google'i kaksikautentimine
Google kaksikautentimine nõuab võõrast arvutist sisse logides lisaks paroolile ka kasutaja mobiilile saadetud verifitseerimiskoodi sisestamist, et kontrollida, kas antud telefon (SIM kaart) on ikka selle inimese käsutuses. Verifitseerimiskood saadetakse telefoni kas SMS või spetsiaalse nutitelefoni rakenduse kaudu, lisaks on võimalik lasta Google'il endale helistada ja verifitseerimiskood kõnega edastada. Google'i kaksikautentimise puhul ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile (SIM kaardile).
Harjutus: Google kontol kaksikautentimise proovimine. Kui teil ei ole Google (Gmail, Google Docs, Google+, YouTube) kontot, siis leidke endale paariline, kellel on vastav konto või tehke endale Google konto. Kindlasti peate seadistama tagavara võimaluse juurdepääsuks kontole kui teie telefoniga või telefoninumbriga midagi juhtub.
- Minge lehele http://www.google.com/landing/2step/
- Vaadake skeeme ja lugege miks tasub Google kahetasandilist autentimist kasutada
- Vajutage nupule “Get Started” ja siis nupule “Start Setup”
- Logige sisse oma Google kontosse
- Sisestage oma telefoninumber ja vajutage nupule “Send code”
- Oodake SMS-i
- Sisestage saadud kood ning vajutage nupule “Verify”
- Valige, kas te usaldate kasutatavat arvutit ja vajutage nupule “Next”
- Aktiveerimiseks vajutage nupule “Confirm”
- Kirjutage igaks juhuks üles tagavara koodid mida te saate kasutada siis kui muul viisil puudub Google kontole juurdepääs
- Proovige oma kontole sisse logida
- Kaksikautentimise eemaldamiseks minge lehele https://accounts.google.com/b/0/SmsAuthSettings ja valige turn off 2-step authentication
Pärast Google kaksikautentimise seadistamist tuleb programmides, mis ei toeta kaksikautentimist ja mis kasutavad vastavat Google kontot, kasutusele võtta rakendusepõhine parool. Näiteks pärast kaksikautentimise seadistamist ei saa nutitelefon enam Google kontole juurdepääsu. Kui väljaspool brauserit olevad programmid (mis ei toeta kaksikautentimist) tahavad saada juurdepääsu Google kontole, siis tuleb neile määrata ühekordne parool. Seda tuleb teha Google konto seadede alt "Account -> Security -> 2-step verification -> Manage your application specific passwords".
Facebooki kaksikautentimine
Facebooki kaksikautentimine toimib analoogselt Google kaskikautentimisele. Facebooki kaksikautentimine nõuab võõrast arvutist või brauserist sisse logides lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Seetõttu ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile.
Alternatiivne harjutus: Facebooki kaksikautentimise proovimine. Kui teil ei ole Facebooki kontot või nutitelefoni, siis leidke endale paariline kellel on vastav konto ja telefon. Lugege Facebooki kaksikautentimise kohta https://www.facebook.com/note.php?note_id=10150172618258920
- Logige Facebooki ja valige “account settings”
- Valige vasakpoolsest menüüst “security”
- Valige “Login approvals” ja märkige ära “Require a security code to access my account from unknown browsers”
- Valige “Get Started”
- Valige telefoni tüüp
- Järgige ekraanil olevat Facebooki appiga seonduvat juhendit
- Sisestage kontrollkood ja vajutage “Continue”
- Sisestage SMS teel saadetud kontrollkood
- Proovige teise brauseriga või seadmega Facebooki logida
- Soovi korral saate kaksikautentimise välja lülitada, deaktiveerides oma konto turvaseadetes “Login Approvals”
Alternatiivsed harjutused: Proovige Twitteri või Wordpressi kaksikautentimist. Hiljuti võimaldas Apple kaksikautentimise kasutamise ka Eestis. Apple kaksikautentimisest saab lugeda siit: Two-factor authentication for Apple ID
Kasulikud viited
- Why passwords have never been weaker—and crackers have never been stronger
- Firefoxi paroolide haldamise süsteem
- Google Chrome paroolide haldamise süsteem
- Paroolihaldaja KeePass
- http://keepass.info (Windows, Linux)
- KeePass juhend http://www.howtoanswer.com/keepass-review-one-of-the-best-password-managers--153.html
- http://www.keepassx.org (Windows, Linux, Mac OS X)
- The secret to online safety: Lies, random characters, and a password manager