Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2019/20 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Paroolihaldus ja kahefaktoriline autentimine

Sisukord

  • Brauserite paroolihaldus
    • Google Chrome
    • Firefox
  • Eraldiseisev paroolihaldustarkvara
    • Paroolihaldustarkvara KeePass
      • KeePassXC kasutamine
      • KeePass kodutöö
  • Kahetasandiline autentimine
    • Google'i kaksikautentimine
    • Facebook'i kaksikautentimine
    • Teised teenused
  • Kasulikud lingid

Brauserite paroolihaldus

Brauseri abil veebilehele sisse logides pakutakse tänapäeval võimalust parool salvestada. Salvestatud parooliga lehel piisab kasutajanime sisestamisest, et sisse logida, parool lisatakse brauseri poolt. See võimaldab kasutada keerukamaid paroole, kuna inimene ei pea enam ise neid meelde jätma.

Samas võib paroolide salvestamine tähendada seda, et arvuti tuleb lukustada iga kord kui selle juurest lahkutakse, sest juurdepääs arvutile võib olla samaväärne juurepääsuga vastavatele kontodele.

Google Chrome

Google Chrome võimaldab salvestada külastatud veebilehtede paroole, et neid ei peaks iga kord uuesti sisestama. Kasutusmugavuse mõttes on niisugune võimalus kindlasti edasiminek, aga kaaluda tuleks ka paroolide salvestamisega kaasnevaid turvariske. Inimesel, kellel on juurdepääs arvutile ja vastavale kasutajakontole on juurdepääs ka Google Chrome salvestatud paroolidele. Järgmine küsimus on seotud paroolide haldamisega mitme seadme vahel. Juhul kui siduda brauser oma Google kontoga ehk nn. brauserisse sisse logida, siis saab paroole mugavalt ja automaatselt eri arvutites olevate brauserite vahel jagada. Samas tähendab see seda, et võõras brauseris ei tohiks enda kontot brauseriga siduda, et vältida paroolide lekkimist.

Hoolika kasutamise korral on brauseripõhine paroolide salvestamine kindlasti edasiminek võrreldes ühe ja sama parooli kasutamisega erinevatel veebilehtedel. Paroolihalduri peamine eelis seisnebki selles, et see võimaldab kasutada unikaalseid paroole, mida ise ei pea meelde jätma. Samas, kuna brauseripõhine paroolihaldur omab mitmeid miinuseid, siis soovitatakse võimalusel pigem kasutada eraldiseisvat paroolihaldustarkvara. Brauseripõhine paroolihaldur sobib siiski vähemoluliste paroolide salvestamiseks.

Google Chrome poolt kasutatavast paroolihaldurist saate täpsemalt lugeda siit: Google Chrome - password manager.

Salvestatud paroolide vaatamiseks valige brauseris: “Settings” -> “Autofill” -> “Passwords”. Paroolide lehele saate ka otse navigeerida, kui kirjutate aadressiribale chrome://settings/passwords. Allpool olev ekraanitõmmis on mõnevõrra aegunud, kuna vahepeal on Chrome kasutajaliides muutunud, aga see siiski illustreerib seda kuidas paroolide nimekiri välja näeb.

Varjatud parooli kuvamiseks tuleb vajutada nupule "Show" või uuema brauseri korral silma tähistavale nupule. Juhul kui Windowsi kasutajakontol on parool, siis küsitakse enne paroolide kuvamist kasutajakonto parooli.

Harjutus: Katsetage Google Chrome paroolihaldamist. Selgitage välja, kui palju aega kulub, et brauserisse salvestatud paroole kuvada juhul kui operatsioonisüsteemi kasutajakontol pole parooli või kui te teate seda parooli.

Firefox

Firefox omab samuti paroolide haldamise süsteemi. Firefox poolt kasutatavast paroolihaldurist saate täpsemalt lugeda siit: Firefox - password manager.

Sisselogimise ajal pakutakse kasutajale võimalus parool salvestada. Näiteks:

Salvestatud paroole saab vaadata kui minna:
Preferences -> Privacy & Security -> Logins and Passwords -> Saved Logins. Samasse kohta saab navigeerida ka otse kui aadressiribale kirjutada about:logins.

Varjatud parooli kuvamiseks tuleb vajutada silma ikooniga nupule.

Erinevalt Google Chrome-st pakub Firefox võimalust piirata paroolihaldurile juurdepääsu enda poolt valitud parooliga. See takistab lukustamata arvutist salvestatud paroolide vaatamist ka juhul kus kasutajakontol pole parooli, aga samas vähendab kasutaja mugavust. Juurdepääsu parooli kasutamisel tuleb see iga kord sisestada kui brauser tahab salvestatud parooli kasutada. Juhul kui paroolihaldurile juurdepääsu ei piirata, siis saab igaüks brauserist paroole vaadata.

Harjutus: Lisame Firefoxi paroolihaldamise süsteemi parooli. Katsetame selle parooli kasutamist ja siis vaatame kui lihtne on kuvada salvestatud paroole.

Harjutus: Hakkame kasutama paroolihaldajale ligipääsemist piiravat parooli. Vaatame kuidas parooli kasutamine muutus ja kas nüüd on võimalik salvestatud paroole näha.

Eraldiseisev paroolihaldustarkvara

Paroolihaldustarkvara kastutamine sarnaneb veidi sellega kui kirjutada oma paroolid ühte tekstifaili ning krüpteerida see fail tugeva parooliga. Spetsiaalsel tarkvaral on aga mitmeid eeliseid:

  1. mugavus, võrreldes käsitsi andmebaasi pidamisega
  2. automaatne paroolilahtri täitmine
  3. tugevate paroolide genereerimine
  4. kasutusvaldkond pole piiratud (erinevalt veebilehitsejate paroolihaldusest)
  5. andmebaasi sünkroniseerimine erinevate seadmete vahel

Infoturbe aine raames keskendume tarkvarale KeePass, kuna see on kõige levinud paroolihaldaja, mis töötab lokaalselt ja ei sõltu pilveteenustest. Leidub ka häid pilveteenustel põhinevaid paroolihaldajaid (nt. 1Password, LastPass), kuid katsetame siiski KeePass-i, sest see on tasuta, avatud lähtekoodiga ning toimib lokaalselt.

Paroolihaldustarkvara KeePass

Windowsi jaoks on tasuta saadaval vabavaraline programm KeePass. KeePassX ja KeePassXC on selle analoogid, mis toetavad sama andmebaasi formaati, kuid lisaks Windowsile ka Linux ja macOS platvorme.

KeePassXC kasutamine

Paigaldage KeePassXC (või KeePassX / KeePass) ja proovige selle kasutamist. Seda tarkvara on võimalik kasutada ka ilma installeerimata, selleks tuleb alla laadida nn. portable versioon, mis on zip kujul. Allpool olev juhend on loodud KeePassXC jaoks. KeePassXC eelis seisneb selles, et see toimib levinumatel operatsioonisüsteemidel ning on aktiivselt arenduses. KeePassXC kasutamise kohta on EFF teinud hea juhendi: https://ssd.eff.org/en/module/how-use-keepassxc

Koostasime ka eestikeelse KeePassXC paigaldamise ja kasutamise lühijuhendi, mille leiate eraldi alamlehelt: KeePassXC juhend.

Ülesanne: Paigaldage KeePassXC ja tutvuge sellega
  1. Tutvuge tarkvaraga ning proovige aru saada kuidas see toimib. Näitasime seda ka loengus, aga selle kohta on mitmeid juhendeid:
    • EFF juhend KeePassXC kasutamiseks
    • Eestikeelne lühijuhend KeePassXC kasutamiseks
    • https://keepassxc.org/quickstart/
    • Samuti leidub Youtube-s mitmeid juhendeid.

KeePassXC kodutöö

KeePass ja KeePassXC funktsionaalsused on väga sarnased, aga järjest rohkem soovitatakse kasutada KeePassXC-d ning seetõttu on kodutöö KeePassXC kohta. KeePassXC kasutamise juhendid on lingitud eespool olevates materjalides.

Tehke ära KeePassXC kodune töö, mis saab olema osa kolmandast kodutööst. Looge KeePassXC abil paroolide andmebaas ja esitage see lahendusena. (2p)

Ülesande lahendus peab vastama järgmistele tingimustele:

  • Andmebaasi peaparooliks on: "turve" (see on meelega ainult viiest tähest koosnev, et teha lahenduste kontrollimine lihtsamaks). Vale peaparooli kasutamisel on tulemuseks automaatselt 0 punkti.
  • Paroolide andmebaasis on ainult üks rida / väli (näidisväljad kustutage).
    • Välja nimeks olgu teie nimi
    • Kasutajanimeks peab olema teie pseudonüüm, mis on teile infoturbe aine raames courses.cs.ut.ee lehe poolt genereeritud. Pseudonüümi näete kui vaatate enda profiili lehe ülemisest paremast nurgast.
    • Parool peab olema kas 40 kohaline ja see peab olema juhuslikult genereeritud KeePassXC poolt.
  • Esitatava faili laiendiks peab olema .kdbx
8. KeePassXC ülesanne - esitage .kdbx fail
Sellele ülesandele ei saa enam lahendusi esitada.

Kahetasandiline autentimine

Selle materjali eesmärgiks on tutvustada kahetasandilist autentimist neile, kes pole seda varem kasutanud. Kahetasandilise autentimise kasutamine on kindlasti asi, mis tõstab oluliselt vastava konto turvataset. Seega võimalusel soovitame igal pool kus võimalik seda kasutada. Samas peab olema hoolikas ja vältima olukorda kus seadisatakse mitmest faktorist koosnev autenimine, sest sellisel juhul peavad mõlemad autentimisfaktorid toimima. Juhul kui näiteks autenimiseks kasutatav nutiseade ära varastatakse, siis võite te hätta jääda kontodele sisselogimisel. Seetõttu on väga oluline kahetasandilise autentimise seadistamise juures luua tagavaravariandid juhuks kui ühe autentimisfaktoriga midagi juhutub. Näiteks on sageli võimalik välja printida või üles kirjutada ühekordsed koodid, mille abil saab konto üle kontrolli tagasi.

Juhul kui te juba kasutate kahetasandilist autentimist, siis sirvige materjalid läbi, aga ülesanded võite vahele jätta. Kui te pole varem kahetasandilist autentimist kasutanud väljaspool Eesti eID süsteeme, siis valige allpool olevate teenuste hulgast endale sobilik ning proovige aktiveerida kahetasandiline autentimine. Kindlasti pange kirja tagavarakoodid või meetmed, mille abil saate kontole juurdepääsu taastada juhul kui teise autentimisfaktoriga midagi juhtub. Kui tundub, et teile kahetasandiline autentimine veel ei sobi, siis keerake see funktsionaalsus kinni pärast katsetust, et taastada konto varasem seadistus.

Google'i kaksikautentimine

Google kaksikautentimine nõuab võõrast arvutist sisse logides lisaks paroolile ka kasutaja mobiilile saadetud verifitseerimiskoodi sisestamist, et kontrollida, kas antud telefon (SIM kaart) on ikka selle inimese käsutuses. Verifitseerimiskood saadetakse telefoni kas SMS või spetsiaalse nutitelefoni rakenduse kaudu, lisaks on võimalik lasta Google'il endale helistada ja verifitseerimiskood kõnega edastada. Google'i kaksikautentimise puhul ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile (SIM kaardile).

Harjutus: Google kontol kaksikautentimise proovimine. Kui teil ei ole Google (Gmail, Google Docs, Google+, YouTube) kontot, siis leidke endale paariline, kellel on vastav konto või tehke endale Google konto. Kindlasti peate seadistama tagavara võimaluse juurdepääsuks kontole kui teie telefoniga või telefoninumbriga midagi juhtub.

  1. Minge lehele http://www.google.com/landing/2step/
  2. Vaadake skeeme ja lugege miks tasub Google kahetasandilist autentimist kasutada
  3. Vajutage nupule “Get Started” ja siis nupule “Start Setup”
  4. Logige sisse oma Google kontosse
  5. Sisestage oma telefoninumber ja vajutage nupule “Send code”
  6. Oodake SMS-i
  7. Sisestage saadud kood ning vajutage nupule “Verify”
  8. Valige, kas te usaldate kasutatavat arvutit ja vajutage nupule “Next”
  9. Aktiveerimiseks vajutage nupule “Confirm”
  10. Kirjutage igaks juhuks üles tagavara koodid mida te saate kasutada siis kui muul viisil puudub Google kontole juurdepääs
  11. Proovige oma kontole sisse logida
  12. Kaksikautentimise eemaldamiseks minge lehele https://accounts.google.com/b/0/SmsAuthSettings ja valige turn off 2-step authentication

Pärast Google kaksikautentimise seadistamist tuleb programmides, mis ei toeta kaksikautentimist ja mis kasutavad vastavat Google kontot, kasutusele võtta rakendusepõhine parool. Näiteks pärast kaksikautentimise seadistamist ei saa nutitelefon enam Google kontole juurdepääsu. Kui väljaspool brauserit olevad programmid (mis ei toeta kaksikautentimist) tahavad saada juurdepääsu Google kontole, siis tuleb neile määrata ühekordne parool. Seda tuleb teha Google konto seadede alt "Account -> Security -> 2-step verification -> Manage your application specific passwords".

Facebooki kaksikautentimine

Facebooki kaksikautentimine toimib analoogselt Google kaskikautentimisele. Facebooki kaksikautentimine nõuab võõrast arvutist või brauserist sisse logides lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Seetõttu ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile.

Alternatiivne harjutus: Facebooki kaksikautentimise proovimine. Kui teil ei ole Facebooki kontot või nutitelefoni, siis leidke endale paariline kellel on vastav konto ja telefon. Lugege Facebooki kaksikautentimise kohta https://www.facebook.com/note.php?note_id=10150172618258920

  1. Logige Facebooki ja valige “account settings”
  2. Valige vasakpoolsest menüüst “security”
  3. Valige “Login approvals” ja märkige ära “Require a security code to access my account from unknown browsers”
  4. Valige “Get Started”
  5. Valige telefoni tüüp
  6. Järgige ekraanil olevat Facebooki appiga seonduvat juhendit
  7. Sisestage kontrollkood ja vajutage “Continue”
  8. Sisestage SMS teel saadetud kontrollkood
  1. Proovige teise brauseriga või seadmega Facebooki logida
  2. Soovi korral saate kaksikautentimise välja lülitada, deaktiveerides oma konto turvaseadetes “Login Approvals”

Teised teenused

Proovige näiteks Twitteri, Wordpressi või Apple kaksikautentimisest. Lisaks saate otsida sobivat teenust veebilehelt https://twofactorauth.org/, mis sisaldab nimekirja erinevatest teenustest, mis võimaldavad kasutada kaksikautentimist.

Apple kaksikautentimisest saab lugeda siit: Two-factor authentication for Apple ID.

Kasulikud viited

  • Why passwords have never been weaker—and crackers have never been stronger (2012)
  • The secret to online safety: Lies, random characters, and a password manager (2013)
  • Websites, Please Stop Blocking Password Managers. It’s 2015 (2015)
  • A Guide to Common Types of Two-Factor Authentication on the Web (2017)
  • You Gave Facebook Your Number For Security. They Used It For Ads. (2018)
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused