Arvutiteaduse instituut
  1. Esileht
  2. Infoturve koolis
EN
Logi sisse

Infoturve koolis

  • Sissejuhatus infoturbesse
  • I plokk - Infoturbest
    • 1.1 Sissejuhatus töökeskkonda
      • 1.1.1 Windows 10 paigaldamine
    • 1.2 Krüpteerimine
    • 1.3 Veebibrauserid
    • 1.4 Autentimine
    • 1.5 Sotsiaalmeedia
    • 1.6 Google ja alternatiivid
    • 1.7 Pilvteenused
  • II plokk - Operatsioonisüsteemid
    • 2.1 Windowsi haldamine
    • 2.2 Windowsi turvamine
    • 2.3 Nutiseadmete turvalisus
    • 2.4 Linux
    • 2.5 Internet ja Wi-Fi
    • 2.6 ID-kaart
    • 2.7 Kahjurvara ja kuritegevus
  • Lisamaterjal

1.4 Autentimine

  • Authentication - Wikipedia
  • Autentimine - Tartu Ülikooli infoturbe kursus
  • Paroolihaldus ja kahetasandiline autentimine - Tartu Ülikooli infoturbe kursus
  • "Targalt internetis" õpiobjekt "Erinevad autentimisviisid"
  • autentimine - RIA blogi
  • https://www.wired.com/story/best-password-managers/

Tugevate ning unikaalsete paroolide kasutamine on privaatsuse säilitamiseks äärmiselt oluline. Ennetavate meetmete kasutamine parooli valikul on parim viis oma raha ja identiteedi turvamiseks. Vähemalt seitse aastat on kaks kõige populaarsemat parooli olnud "123456" ning "password" (Eestis "parool"). Valdav osa paroolidest põhineb lihtsatel mustritel, mida häkkeritel kerge arvata on.

Seejuures ei vaja paroolide murdmine ekspertoskusi, vaid on mõne tunniga õpitav praktiliselt iga arvutikasutaja jaoks. Programmid ning tööriistad selle sooritamiseks on tasuta kõigile kättesaadavad.

Paroolid

Riigi Infosüsteemi Ameti soovitused:

  • Kasuta salasõna asemel salafraasi. Ära taaskasuta sama salasõna eri teenustes.
  • Vaheta seadme või teenuse vaikeparool (esmane salasõna) uue turvalise salasõna vastu.
  • Kui võimalik, kasuta kaheastmelist autentimist (seda on ka ID-kaart, mobiil-ID või Smart-ID). Eelista olemasolevat kaheastmelise autentimise vahendit uue kasutajanime ja parooliga kasutajakonto registreerimisele.
  • Hangi paroolihaldur (tuntumad on näiteks LastPass, Bitwarden, 1Password, Dashlane ja Keepass). See aitab iga veebilehe jaoks genereerida unikaalse, tugeva salasõna ning vähendab seega riski, et ühe salasõna lekkimise korral mitu sinu kasutajakontot ohtu satuvad.
  • Kui sul on kahtlus, et su parool on teatavaks saanud kõrvalistele isikutele, olgu või heale tuttavale, vaheta see kohe.

Andmelekked

Ajakirjanduses ilmub väga tihti artikleid tohututest andmeleketest. Jaanuaris 2019 lekkis 773 miljonit meiliaadressi ja 21 miljonit parooli, kuigi sel puhul oli tegu juba paar aastat vanade andmete kombineerimisega. Novembri lõpus teatas maailma suurim hotellikett Marriott International ligi 400 miljoni külastaja andmete lekkimisest, mis sisaldasid nime, sünnipäeva, aadressi, telefoninumbrit, passi numbrit ning maksekaarte. Internetiajaloo seni suurim on 2013. ja 2014. aastal kahes lekkes kõigi kolme miljardi Yahoo! kasutaja andmete levik. Suuri lekkeid on aastakümneid toimunud peaaegu igakuiselt.

Leketest saadavad paroolid kombineeritakse sõnastikeks (wordlist), mida järgnevatel rünnakutel paroolide äraarvamiseks kasutatakse. Kuna paljud inimesed kasutavad igal veebisaidil sama kasutajanime (e-posti aadressi) ning parooli, saadakse lisaks lekke allikale sama parooli proovimisel ligipääs ka paljude teiste veebisaitide kontodele

Paroolihaldurid

Peamine probleem paroolide halvas turvalisuse seisneb selles, et turvalisi paroole on raske meelde jätta, kuid kergesti meeldejäävad paroolid on ebaturvalised. Häda seisneb selles, et enamik inimestest ei tea millised paroolid on turvalised ja pole niikuinii võimelised kümneid või sadu erinevaid turvalisi paroole meelde jätma. Paroolihaldurid pakuvad mugavust ja - mis veel tähtsam - aitavad luua paremaid paroole.

Miks kasutada paroolihaldurit?

Veebisaidid kasutavad andmebaasides paroolide asemel räsifunktsioone (näiteks sha256(“test”) = 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08), mida igal sisselogimisel sisestatu räsiga võrreldakse. Kuigi sellest otseselt esialgset teksti leida ei saa, on see kõikide võimalike kombinatsioonide räside arvutamisega võimalik. Siiski nõuab see suurt arvutusvõimsust, mistõttu ei alusta ründajad paroolide proovimist juhuslikult, vaid kasutavad selleks sõnastikke, mis sisaldavad paroole eelmistest leketest. Kui keeruka parooli arvamiseks kuluks tuhandeid aastaid, võib varem lekkinud parooli teada saada vähem kui sekundiga. Seetõttu on oluline iga teenuse jaoks kasutada unikaalset ning keerulist parooli. Kümnete selliste paroolide meelespidamine oleks väga raske. Seetõttu soovitavad turbeeksperdid kasutada paroolihaldureid, mis paroole turvalist krüpteerituna hoiavad, kuid samas veebisaitidele sisselogimisel lihtsat sisestamist võimaldavad. Paroolihaldureid on mitut erinevat tüüpi. KeePass salvestab andmed enda arvutis faili, mida ise vajadusel seadmete vahel sünkroniseerida tuleb. Ülejäänute puhul tuleb luua konto, mis paroole pilveteenusesse salvestada võimaldab. Kõik pakututest on populaarsed ning kasutavad turvalist krüpteerimist.

Miks mitte kasutada brauseri paroolihaldurit?

Enamik brausereid juba sisaldavad endas vähemalt algelist paroolihaldurit. Sellega on tõenäoliselt kõik internetikasutajad kokku puutunud kui Chrome või Firefox küsib kontosse sisselogimise korral parooli meeldejätmise kohta.

Põhjus, miks eksperdid eraldiseisvaid paroolihaldureid soovitavad taandub funktsionaalsuse puudumisele. Veebibrauserite arendamisel on palju muid prioriteete ning paroolihaldurite paremaks tegemiseks jääb vähe aega. Näiteks ei võimalda enamik neiste genereerida turvalisi paroole. Seetõttu kuigi paroolid võivad sinna turvaliselt salvestatud olla, on nendeks ikka tihti "123456". Samuti võib probleemiks olla paroolide automaatne sünkroniseerimine kui kasutaja omab vastavat kontot ja on sisse loginud. Sellisel juhul võib võõras arvutis sisse logimine kaasa tuua paroolide lekkimise.

Eraldiseisvatel paroolihalduritel on vaid üks eesmärk ning neile on aastaid uusi funktsioone lisatud. Ideaalis viib see parema turvalisuseni.

Kaheastmeline autentimine

Kaheastmelise ehk kahetasandilise autentimise korral on kasutusel kaks sõltumatut identsustõendit.

Internetiteenuste puhul on esimseks tasandiks enamasti parool. Teiseks võib olla näiteks nutiseadmesse saadetav ühekordselt kasutatav kood.

Kaheastmelist autentimist kasutatakse näiteks ka pangaautomaatides - lisaks pangakaardi kasutamisele on vaja sisestada ka PIN-kood

Kordamisküsimused

  1. Millised eraldiseisvad võimalused on kasutaja autentimiseks?
  2. Kas kaheksakohalise ainult väiketähtedest koosneva parooli muutmine kümnekohaliseks tõstab oluliselt selle tugevust? Miks?
  3. Nimeta kolm põhjust miks ainult ID-kaardi kasutamine autentimisel oleks halb lahendus.
  4. Milliseid kaksikautentimise meetodeid võiksime kasutada seadmes, mida kasutab mitu inimest?

Ülesanded

1. ülesanne - oma andmete lekkimise kontrollimine

Have I Been Pwned? on veebisait, mis näitab e-posti aadressi sisestamisel selle leidumist avalikustatud andmelekete hulgas. Sinna on aastatega kogunenud ligi 8 miljardi kasutaja andmed enam kui 350 veebisaidilt. See teenus kuvab ainult lekked (veebisaitide nimed), mis teie kontot sisaldavad. Eetiliselt küsitavamad on sarnased veebisaidid, kus kuvatakse ka paroole.

E-posti aadressiga seotud lekete puudumine ei tähenda, et kellelgi neid andmeid pole. Näiteks võisid kurjategijad varastatud andmeid mitte avalikustada või on veebisaidi administraatorid ise halbade kavatsustega ning proovivad kasutajate kontodele teistel veebisaitidel nende parooliga ligi pääseda.

Kui avastate, et teie konto on mõne hiljutise lekkega seotud tuleks selle parool koheselt ära vahetada. Juhul kui kasutate sama parooli ka teistel veebisaitidel, tuleks ka need ära muuta. Mõne ründetüübi vastu aitab erinevate kasutajanimede (e-posti aadresside) kasutamine, kuid ainult sellele lootma ei tasu jääda. Lekkinud paroolid lisatakse sõnaloenditesse (wordlist), mida hiljem uute paroolide murdmiseks kasutatakse. Seetõttu ainult parooli entroopiast (keerukusest) selle turvalisuse tagamiseks ei piisa, parool peab olema ka unikaalne.

Kui te ei taha, et konto olemasolu mõnel veebisaidil teistele teada oleks, ei tohiks registreerimisel kasutada oma peamist e-posti aadressi. Isegi kui valida kasutajanimi, mida te mujal ei kasuta võib andmebaasi lekkimisel teie seotus kontoga avalikuks saada. Üks variant selle vältimiseks on kasutada ühekordseid meiliaadresse (näiteks cs.email või 10 Minute Mail), kuid need ei vaja kasutamiseks registreerumist või paroole ning seetõttu võivad ka teised isikud postkastile ligi pääseda - cs.email vajab postkastile ligipääsuks ainult postkasti ID-d, mis ei aegu. Vaikimisi koosneb see kaheksast juhuslikust tähest, kuid seda saab ka ise muuta valida. Selleks, et ainult meiliaadressi põhjal ID tuvastatav poleks on vaikimisi aktiveeritud meiliaadressi skrambleerimine (andmete manipuleerimine infosisu salastamiseks).

In 2004, Mark Zuckerberg Broke Into A Facebook User's Private Email Account - Business Insider

Uus prohmakas: Facebook jättis sadade miljonite kasutajate paroolid töötajatele näha - Postimees

2. ülesanne - KeePassXC kasutamine

Ekraanipildid

KeepassXC on saadaval Linuxile, macOSile ning Windowsile. Windowsi jaoks on olemas ka porditav (portable) variant, mis paigaldamist ei vaja. See võimaldab ülesannet lahendada ilma virtuaalmasinata, kuna administraatoriõiguseid pole vaja ning programmi eemaldamiseks piisab kausta kustutamisest.

Allalaadimine:
Ubuntu: sudo apt install keepassxc
Windows: KeePassXC allalaadimine kodulehelt (vali Portable (64-bit))

Krüpteeritud andmebaasi loomine

Uue andmebaasi loomiseks vajuta pärast programmi avamist "Create new database" nuppu. Avaneb uus aken, kus saab määrata andmebaasi nime ja kirjelduse. Kui neid määrata ei soovi võib kohe "Continue" vajutada. Seejärel saab määrata krüpteerimisseaded - andmebaasivorming ja dekrüpteerimisaeg. Vaikimisi on dekrüpteerimisajaks üks sekund, kuid soovi korral saab seda muuta vahemikus 0,1 kuni 5s. Pikem dekrüpteerimisaeg aitab andmebaasi kaitsta ründajate poolt kõigi variantide läbiproovimisega peaparooli (master password) mõistatamise eest. Paroolihalduri kasutuselevõtu korral võib peaparool olla ainuke parool, mida edaspidi meeles peate pidama. Seetõttu võiks see olla võimalikult pikk ja keeruline. Lisaks annab see kindlustunde ja võimaldab turvaliselt seadmete vahel oma andmebaasi sünkroniseerida. Andmebaas salvestatakse vaikimisi faililaiendiga kdbx, kuid teiste eest varjamiseks võib seda soovi korral ümber nimetada (näiteks .jpg) või eemaldada.

Juhusliku parooli genereerimine

Kõik populaarsed paroolihaldurid sisaldavad ka võimalust genereerida juhuslikke paroole - kuna paroole meeles pidama ega sisestama ei pea, ei ole kasutusmugavuselt vahet kas parool on 6 või 60 tähemärki. Nende turvalisuses on aga oluline vahe, mis andmelekke korral võib määrata millistesse kontodesse pääsetakse ligi ja millistesse mitte. Lisaks ei pea paroole enam taaskasutama ning parooli lekke korral on see piiratud ühele kontole.

3. ülesanne - Bitwarden

Bitwardeni allalaadimine kodulehelt

Erinevalt KeePassXC-st on Bitwarden peamiselt pilvepõhine. Saadaval on rakendused ning laiendused praktiliselt kõigile operatsioonisüsteemidele ja veebibrauseritele. Lisaks on saadaval ka veebipõhine teenus. Bitwarden on avatud lähtekoodiga ning pakub lisaks ametlikele serveritele võimalust serverit ka oma seadmetes majutada.

Bitwarden on läbinud ka turvaauditi (PDF) ning sellel on sadu tuhandeid kasutajaid nii üksikisikute kui firmade seas.

Lisaks paroolide salvestamisele ning genereerimisele võimaldab see salvestada pangakaarte ja identiteete lihtsamaks vormide täitmiseks ning märkmeid.

4. ülesanne - kaheastmeline autentimine

Google'i kaheastmeline kinnitamine

Google võimaldab teise astmena kasutada Google'i viipa (prompt), hääl- või tekstsõnum, varukoode, koodi genereerimise rakendust ning turvavõtit (füüsiline USB-porti ühenduv seade).

Kõige lihtsamini kasutatav neist on viip nutiseadmesse, kuid kindlasti tuleb valida ka vähemalt üks varuvõimalus, et saaks kontosse sisse logida ka siis, kui teisi samme ei saa kasutada.

Facebooki kaheastmeline autentimine

Bitwardeni kaheastmeline autentimine

Paroolihalduri kasutamisel muutub selle konto üheks teie kõige olulisemaks. Kui ründaja sellesse lisatud paroolidele ligi pääseb omab ta ligipääsu tõenäoliselt kõigile kontodele, millel kaheastmeline autentimine puudub. Seetõttu on tähtis ligipääsu kontole võimalikult palju piirata. Bitwarden pakub kaheastmeliseks autentimiseks kaht võimalust - rakendus (Google Authenticator või Authy) või e-kirjaga kinnituskoodi saatmine.

  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused