Paroolid ja autentimine

Paroolid

1. Iseseisev ülesanne huvilistele: räsifunktsiooni kasutamine. Proovige räsida suvalist sõna või lauset.
   • Paigaldage programm nimega PuTTy.
   • Otsige üles programm PuTTy ja käivitage see
   • Logige ssh abil math.ut.ee serverisse. Selleks tuleb PuTTy aknas kirjutada väljale Host Name: math.ut.ee ning siis vajutada "Open". Nüüd küsitakse teie TÜ kasutajanime ning pärast selle sisestamist küsitakse teie TÜ parooli. Kui kasutajanimi ja parool sai korrektselt sisestatud, siis olete math.ut.ee serverisse sisse logitud.
   • Math.ut.ee serveris saate proovida räsifunktsiooni kasutamist. Konsoolilt sisestatava teksti räsimiseks kirjutage käsk:
     echo -n "siia tuleb tekst, mida te tahate räsida" | sha256sum. Kontrollige, et krüptograafilise räsifunktsioon annab täiesti erineva väljundi juba siis kui ühte sümbolit sisendis muudatakse. Eelnevalt sisestatud käsku ei pea uuesti trükkima, see kuvatakse teile kui te vajutate nooleklahvi, mis on suunatud ülesse.
   • Proovige ka failide räsimist käsuga sha256sum.
   • Lõpetamiseks sisestage käsk: exit

Brauserite paroolihaldus

Parooli kasutades pakutakse võimalust parooli salvestada. Salvestatud parooliga lehel piisab kasutajanime sisestamisest, et sisse logida, parool lisatakse brauseri poolt. See võimaldab kasutada keerukamaid paroole.

Samas võib paroolide salvestamine tähendada seda, et arvuti tuleb lukustada iga kord kui selle juurest lahkutakse, sest juurdepääs arvutile võib olla samaväärne juurepääsuga vastavatele kontodele.

Google Chrome

Salvestatud paroolide vaatamiseks: “Settings” -> “Show advanced settings...” -> “Manage saved passwords”

Varjatud parooli kuvamiseks tuleb vajutada nupule "Show". Juhul kui Windowsi kasutajakontol on parool, siis küsitakse enne paroolide kuvamist kasutajakonto parooli.

Harjutus: Testige Google Chrome paroolihaldamist. Selgitage välja, kui palju aega kulub, et brauserisse salvestatud paroole kuvada juhul kui Windows kasutajakontol pole parooli.

Firefox

Firefox omab samuti paroolide haldamise süsteemi. Sisselogimise ajal pakutakse kasutajale võimalus parool salvestada. Näiteks:

Salvestatud paroole saab vaadata kui minna:
Preferences (Options) -> Security / Passwords -> Saved Passwords

Varjatud parooli kuvamiseks tuleb vajutada nupule "Show passwords".

Erinevalt Google Chrome-st pakub Firefox võimalust piirata paroolihaldurile juurdepääsu enda poolt valitud parooliga. See takistab lukustamata arvutist salvestatud paroolide vaatamist ka juhul kus kasutajakontol pole parooli, aga samas vähendab kasutaja mugavust. Juurdepääsu parooli kasutamisel tuleb see iga kord sisestada kui brauser tahab salvestatud parooli kasutada. Juhul kui paroolihaldurile juurdepääsu ei piirata, siis saab igaüks brauserist paroole vaadata.

Harjutus: Lisame Firefoxi paroolihaldamise süsteemi parooli. Katsetame selle parooli kasutamist ja siis vaatame kui lihtne on kuvada salvestatud paroole.

Harjutus: Hakkame kasutama paroolihaldajale ligipääsemist piiravat parooli. Vaatame kuidas parooli kasutamine muutus ja kas nüüd on võimalik salvestatud paroole näha.

Paroolihaldustarkvara

Paroolihaldustarkvara kastutamine on samaväärne sellega kui kirjutada oma paroolid ühte tekstifaili ning krüpteerida see fail tugeva parooliga. Spetsiaalsel tarkvaral on aga mitmeid eeliseid:

1. mugavus, võrreldes käsitsi andmebaasi pidamisega
2. automaatne paroolilahtri täitmine
3. tugevate paroolide genereerimine
4. kasutusvaldkond pole piiratud (erinevalt veebilehitsejate paroolihaldusest)
5. andmebaasi sünkroniseerimine erinevate seadmete vahel

Paroolihaldustarkvara KeePass

Windowsi jaoks on tasuta saadaval vabavaraline programm KeePass. KeePassX ja KeePassXC on selle analoogid, mis toetavad sama andmebaasi formaati kuid lisaks Windowsile ka Linux ja macOS platvorme.

Harjutus: Installida KeePass (või KeePassX või KeePassXC) ja proovida selle kasutamist. KeePass koduleht http://keepass.info/. Virutaalmasinas on KeePass juba paigaldatud.

1. Paigaldage KeePass professional edition http://keepass.info/download.html
   1. valige "Installer EXE for Windows"
   2. käivitage KeePass-2.39-Setup.exe
   3. vajutage "Run" ja "Yes"
   4. vajutage "ok" või valige endale sobiv keel
   5. vajutage "next",
   6. märkige ära "I accept the agreement" ja vajutage "next
   7. vajutage kolm korda "next"
   8. vajutage "install"
2. Käivitage KeePass
   1. Looge uus paroolide andmebaas: File -> New -> (sisestage faili nimi) -> Save
   2. Genereerige ja sisestage peaparool (master password), see parool ei tohiks olla lühike ja triviaalne. Parooli välja all kuvatakse visuaalselt parooli hinnangulist keerukust (estimated quality). On väga oluline, et te jätate selle parooli meelde, kui te tahate edaspidi oma paroolide andmebaasi kasutada.

3. Vajutage "ok" ja "ok"
4. Tutvuge tarkvaraga ning proovige aru saada kuidas see toimib. Näitasime seda ka loengus, aga selle kohta on Youtube-s mitmeid juhendeid.
5. Lisage andmebaasi uus parool: Edit -> Add Entry...
6. Proovige salvestatud parooli kopeerida ilma parooli vaatamata
7. Lukustage KeePass: File -> Lock Workspace

3. Tehke ära KeePass kodune töö.

Kahetasandiline autentimine

Google'i kaksikautentimine

Google kaksikautentimine nõuab võõrast arvutist sisse logides lisaks paroolile ka kasutaja mobiilile saadetud verifitseerimiskoodi sisestamist, et kontrollida, kas antud telefon (SIM kaart) on ikka selle inimese käsutuses. Verifitseerimiskood saadetakse telefoni kas SMS või spetsiaalse nutitelefoni rakenduse kaudu, lisaks on võimalik lasta Google'il endale helistada ja verifitseerimiskood kõnega edastada. Google'i kaksikautentimise puhul ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile (SIM kaardile).

Harjutus: Google kontol kaksikautentimise proovimine. Kui teil ei ole Google (Gmail, Google Docs, Google+, YouTube) kontot, siis leidke endale paariline, kellel on vastav konto või tehke endale Google konto. Kindlasti peate seadistama tagavara võimaluse juurdepääsuks kontole kui teie telefoniga või telefoninumbriga midagi juhtub.

1. Minge lehele http://www.google.com/landing/2step/
2. Vaadake skeeme ja lugege miks tasub Google kahetasandilist autentimist kasutada
3. Vajutage nupule “Get Started” ja siis nupule “Start Setup”
4. Logige sisse oma Google kontosse
5. Sisestage oma telefoninumber ja vajutage nupule “Send code”
6. Oodake SMS-i
7. Sisestage saadud kood ning vajutage nupule “Verify”
8. Valige, kas te usaldate kasutatavat arvutit ja vajutage nupule “Next”
9. Aktiveerimiseks vajutage nupule “Confirm”
10. Kirjutage igaks juhuks üles tagavara koodid mida te saate kasutada siis kui muul viisil puudub Google kontole juurdepääs
11. Proovige oma kontole sisse logida
12. Kaksikautentimise eemaldamiseks minge lehele https://accounts.google.com/b/0/SmsAuthSettings ja valige turn off 2-step authentication

Pärast Google kaksikautentimise seadistamist tuleb programmides, mis ei toeta kaksikautentimist ja mis kasutavad vastavat Google kontot, kasutusele võtta rakendusepõhine parool. Näiteks pärast kaksikautentimise seadistamist ei saa nutitelefon enam Google kontole juurdepääsu. Kui väljaspool brauserit olevad programmid (mis ei toeta kaksikautentimist) tahavad saada juurdepääsu Google kontole, siis tuleb neile määrata ühekordne parool. Seda tuleb teha Google konto seadede alt "Account -> Security -> 2-step verification -> Manage your application specific passwords".

Facebooki kaksikautentimine

Facebooki kaksikautentimine toimib analoogselt Google kaskikautentimisele. Facebooki kaksikautentimine nõuab võõrast arvutist või brauserist sisse logides lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Seetõttu ei saa klahvikuulajaga parooli kinni püüdnud ründaja kontole juurdepääsu kui tal pole juurdepääsu vastavale telefonile.

Alternatiivne harjutus: Facebooki kaksikautentimise proovimine. Kui teil ei ole Facebooki kontot või nutitelefoni, siis leidke endale paariline kellel on vastav konto ja telefon. Lugege Facebooki kaksikautentimise kohta https://www.facebook.com/note.php?note_id=10150172618258920

1. Logige Facebooki ja valige “account settings”
2. Valige vasakpoolsest menüüst “security”
3. Valige “Login approvals” ja märkige ära “Require a security code to access my account from unknown browsers”
4. Valige “Get Started”
5. Valige telefoni tüüp
6. Järgige ekraanil olevat Facebooki appiga seonduvat juhendit
7. Sisestage kontrollkood ja vajutage “Continue”
8. Sisestage SMS teel saadetud kontrollkood
   

1. Proovige teise brauseriga või seadmega Facebooki logida
2. Soovi korral saate kaksikautentimise välja lülitada, deaktiveerides oma konto turvaseadetes “Login Approvals”

Alternatiivsed harjutused: Proovige Twitteri või Wordpressi kaksikautentimist. Hiljuti võimaldas Apple kaksikautentimise kasutamise ka Eestis. Apple kaksikautentimisest saab lugeda siit: Two-factor authentication for Apple ID

Kasulikud viited

• Why passwords have never been weaker—and crackers have never been stronger
  • http://arstechnica.com/security/2012/08/passwords-under-assault/
• Firefoxi paroolide haldamise süsteem
  • https://support.mozilla.org/en-US/kb/password-manager-remember-delete-change-passwords
• Google Chrome paroolide haldamise süsteem
  • https://support.google.com/chrome/answer/95606?hl=en
• Paroolihaldaja KeePass
  • http://keepass.info (Windows, Linux)
  • KeePass juhend
  • http://www.keepassx.org (Windows, Linux, Mac OS X)
  • https://keepassxc.org/ (Windows, Linux, Mac OS X)
  • KeePass keys
• The secret to online safety: Lies, random characters, and a password manager
  • http://arstechnica.com/information-technology/2013/06/the-secret-to-online-safety-lies-random-characters-and-a-password-manager/