Arvutiteaduse instituut
  1. Kursused
  2. 2018/19 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2018/19 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Paroolid ja autentimine

Paroolid

Brauserite paroolihaldus

Parooli kasutades pakutakse võimalust parooli salvestada. Salvestatud parooliga lehel piisab kasutajanime sisestamisest, et sisse logida, parool lisatakse brauseri poolt. See võimaldab kasutada keerukamaid paroole.

Samas võib paroolide salvestamine tähendada seda, et arvuti tuleb lukustada iga kord kui selle juurest lahkutakse, sest juurdepääs arvutile võib olla samaväärne juurepääsuga vastavatele kontodele.

Google Chrome

Salvestatud paroolide vaatamiseks: “Settings” -> “Show advanced settings...” -> “Manage saved passwords”

Varjatud parooli kuvamiseks tuleb vajutada nupule "Show". Juhul kui Windowsi kasutajakontol on parool, siis küsitakse enne paroolide kuvamist kasutajakonto parooli.

Harjutus: Testige Google Chrome paroolihaldamist. Selgitage välja, kui palju aega kulub, et brauserisse salvestatud paroole kuvada juhul kui Windows kasutajakontol pole parooli.

Firefox

Firefox omab samuti paroolide haldamise süsteemi. Sisselogimise ajal pakutakse kasutajale võimalus parool salvestada. Näiteks:

Salvestatud paroole saab vaadata kui minna:
Preferences (Options) -> Security / Passwords -> Saved Passwords

Varjatud parooli kuvamiseks tuleb vajutada nupule "Show passwords".

Erinevalt Google Chrome-st pakub Firefox võimalust piirata paroolihaldurile juurdepääsu enda poolt valitud parooliga. See takistab lukustamata arvutist salvestatud paroolide vaatamist ka juhul kus kasutajakontol pole parooli, aga samas vähendab kasutaja mugavust. Juurdepääsu parooli kasutamisel tuleb see iga kord sisestada kui brauser tahab salvestatud parooli kasutada. Juhul kui paroolihaldurile juurdepääsu ei piirata, siis saab igaüks brauserist paroole vaadata.

Harjutus: Lisame Firefoxi paroolihaldamise süsteemi parooli. Katsetame selle parooli kasutamist ja siis vaatame kui lihtne on kuvada salvestatud paroole.

Harjutus: Hakkame kasutama paroolihaldajale ligipääsemist piiravat parooli. Vaatame kuidas parooli kasutamine muutus ja kas nüüd on võimalik salvestatud paroole näha.

Paroolihaldustarkvara

Paroolihaldustarkvara kastutamine sarnaneb veidi sellega kui kirjutada oma paroolid ühte tekstifaili ning krüpteerida see fail tugeva parooliga. Spetsiaalsel tarkvaral on aga mitmeid eeliseid:

  1. mugavus, võrreldes käsitsi andmebaasi pidamisega
  2. automaatne paroolilahtri täitmine
  3. tugevate paroolide genereerimine
  4. kasutusvaldkond pole piiratud (erinevalt veebilehitsejate paroolihaldusest)
  5. andmebaasi sünkroniseerimine erinevate seadmete vahel

Infoturbe aine raames keskendume tarkvarale KeePass, kuna see on kõige levinud paroolihaldaja, mis töötab lokaalselt ja ei sõltu pilveteenustest. Leidub ka häid pilveteenustel põhinevaid paroolihaldajaid (nt. 1Password, LastPass), kuid katsetame siiski KeePass-i, sest see on tasuta, avatud lähtekoodiga ning toimib lokaalselt.

Paroolihaldustarkvara KeePass

Windowsi jaoks on tasuta saadaval vabavaraline programm KeePass. KeePassX ja KeePassXC on selle analoogid, mis toetavad sama andmebaasi formaati kuid lisaks Windowsile ka Linux ja macOS platvorme.

Harjutus: Installige KeePass (või KeePassX või KeePassXC) ja proovige selle kasutamist. KeePass koduleht http://keepass.info/.

  1. Paigaldage KeePass professional edition http://keepass.info/download.html
    1. valige "Installer EXE for Windows"
    2. käivitage KeePass-2.41-Setup.exe
    3. vajutage "Run" ja "Yes"
    4. vajutage "ok" või valige endale sobiv keel
    5. vajutage "next",
    6. märkige ära "I accept the agreement" ja vajutage "next
    7. vajutage kolm korda "next"
    8. vajutage "install"
  2. Käivitage KeePass
    1. Looge uus paroolide andmebaas: File -> New -> (sisestage faili nimi) -> Save
    2. Genereerige ja sisestage peaparool (master password), see parool ei tohiks olla lühike ja triviaalne. Parooli välja all kuvatakse visuaalselt parooli hinnangulist keerukust (estimated quality). On väga oluline, et te jätate selle parooli meelde, kui te tahate edaspidi oma paroolide andmebaasi kasutada.
  1. Vajutage "ok" ja "ok"
  2. Tutvuge tarkvaraga ning proovige aru saada kuidas see toimib. Näitasime seda ka loengus, aga selle kohta on Youtube-s mitmeid juhendeid.
  3. Lisage andmebaasi uus parool: Edit -> Add Entry...
  4. Proovige salvestatud parooli kopeerida ilma parooli vaatamata
  5. Lukustage KeePass: File -> Lock Workspace
  1. Tehke ära KeePass kodune töö. Looge KeePass või KeePassXC abil paroolide andmebaas ja esitage see lahendusena. (2p)

    Ülesande lahendus peab vastama järgmistele tingimustele:
    • Andmebaasi peaparooliks on: "turve" (see on meelega ainult viiest tähest koosnev, et teha lahenduste kontrollimine lihtsamaks). Vale peaparooli kasutamisel on tulemuseks automaatselt 0 punkti.
    • Paroolide andmebaasis on ainult üks väli (näidisväljad kustutage).
    • Välja nimeks olgu teie nimi
    • Kasutajanimeks peab olema kas teie matriklinumber, emaili aadress või pseudonüüm, mis on teile infoturbe aine raames courses.cs.ut.ee lehe poolt genereeritud. Pseudonüümi näete kui vaatate enda profiili lehe ülemisest paremast nurgast.
    • Parool peab olema kas 22 kohaline või 31 kohaline ja see peab olema genereeritud KeePass poolt.
    • Esitatava faili laiendiks peaks olema .kdbx
8. KeePass ülesanne - esitage .kdbx fail
Sellele ülesandele ei saa enam lahendusi esitada.

Kahetasandiline autentimine

Google'i kaksikautentimine

Google kaksikautentimine nõuab võõrast arvutist sisse logides lisaks paroolile ka kasutaja mobiilile saadetud verifitseerimiskoodi sisestamist, et kontrollida, kas antud telefon (SIM kaart) on ikka selle inimese käsutuses. Verifitseerimiskood saadetakse telefoni kas SMS või spetsiaalse nutitelefoni rakenduse kaudu, lisaks on võimalik lasta Google'il endale helistada ja verifitseerimiskood kõnega edastada. Google'i kaksikautentimise puhul ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile (SIM kaardile).

Harjutus: Google kontol kaksikautentimise proovimine. Kui teil ei ole Google (Gmail, Google Docs, Google+, YouTube) kontot, siis leidke endale paariline, kellel on vastav konto või tehke endale Google konto. Kindlasti peate seadistama tagavara võimaluse juurdepääsuks kontole kui teie telefoniga või telefoninumbriga midagi juhtub.

  1. Minge lehele http://www.google.com/landing/2step/
  2. Vaadake skeeme ja lugege miks tasub Google kahetasandilist autentimist kasutada
  3. Vajutage nupule “Get Started” ja siis nupule “Start Setup”
  4. Logige sisse oma Google kontosse
  5. Sisestage oma telefoninumber ja vajutage nupule “Send code”
  6. Oodake SMS-i
  7. Sisestage saadud kood ning vajutage nupule “Verify”
  8. Valige, kas te usaldate kasutatavat arvutit ja vajutage nupule “Next”
  9. Aktiveerimiseks vajutage nupule “Confirm”
  10. Kirjutage igaks juhuks üles tagavara koodid mida te saate kasutada siis kui muul viisil puudub Google kontole juurdepääs
  11. Proovige oma kontole sisse logida
  12. Kaksikautentimise eemaldamiseks minge lehele https://accounts.google.com/b/0/SmsAuthSettings ja valige turn off 2-step authentication

Pärast Google kaksikautentimise seadistamist tuleb programmides, mis ei toeta kaksikautentimist ja mis kasutavad vastavat Google kontot, kasutusele võtta rakendusepõhine parool. Näiteks pärast kaksikautentimise seadistamist ei saa nutitelefon enam Google kontole juurdepääsu. Kui väljaspool brauserit olevad programmid (mis ei toeta kaksikautentimist) tahavad saada juurdepääsu Google kontole, siis tuleb neile määrata ühekordne parool. Seda tuleb teha Google konto seadede alt "Account -> Security -> 2-step verification -> Manage your application specific passwords".

Facebooki kaksikautentimine

Facebooki kaksikautentimine toimib analoogselt Google kaskikautentimisele. Facebooki kaksikautentimine nõuab võõrast arvutist või brauserist sisse logides lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Seetõttu ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile.

Alternatiivne harjutus: Facebooki kaksikautentimise proovimine. Kui teil ei ole Facebooki kontot või nutitelefoni, siis leidke endale paariline kellel on vastav konto ja telefon. Lugege Facebooki kaksikautentimise kohta https://www.facebook.com/note.php?note_id=10150172618258920

  1. Logige Facebooki ja valige “account settings”
  2. Valige vasakpoolsest menüüst “security”
  3. Valige “Login approvals” ja märkige ära “Require a security code to access my account from unknown browsers”
  4. Valige “Get Started”
  5. Valige telefoni tüüp
  6. Järgige ekraanil olevat Facebooki appiga seonduvat juhendit
  7. Sisestage kontrollkood ja vajutage “Continue”
  8. Sisestage SMS teel saadetud kontrollkood
  1. Proovige teise brauseriga või seadmega Facebooki logida
  2. Soovi korral saate kaksikautentimise välja lülitada, deaktiveerides oma konto turvaseadetes “Login Approvals”

Alternatiivsed harjutused: Proovige Twitteri või Wordpressi kaksikautentimist. Hiljuti võimaldas Apple kaksikautentimise kasutamise ka Eestis. Apple kaksikautentimisest saab lugeda siit: Two-factor authentication for Apple ID

Kasulikud viited

  • Why passwords have never been weaker—and crackers have never been stronger (2012)
  • The secret to online safety: Lies, random characters, and a password manager (2013)
  • Websites, Please Stop Blocking Password Managers. It’s 2015 (2015)
  • A Guide to Common Types of Two-Factor Authentication on the Web (2017)
  • You Gave Facebook Your Number For Security. They Used It For Ads. (2018)
  • Firefox - password manager
  • Google Chrome - password manager
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused