Meile kõigile on teada küberhügieeni põhimõte, et sisselogimisel online keskkondadesse peab kasutama õige keerukusastmega unikaalseid paroole, koos mitmikautentimisega.

 

Autor: Heiti Kruusmaa, Telia infoturbelahenduste müügijuht

 

Kui sa täna kasutad internetiteenuseid, millel sa ei ole mitmikautentimist sisse lülitanud, tee siinkohal paus ja mine lülita oma gmail kontol sisse „2-Step Verification“! Neid teenuseid, millel ei ole mitmikautentimist lihtsalt ära kasuta.

Täna on kasutusel erinevad mitmikautentimised. Alates sms-st lõpetades füüsilise võtmega nagu YubiKey ja Nitrokey. SMS ei ole täna soovitatav ega turvaline. Massidele kasutamiseks on sobilik erinevad autentimise apid. Sellised nagu Google Authenticator, Microsoft Authenticator või iPhoni sisse ehitatud 2FA.

Minu lemmik on Authy, mille leiab Play Storest ja App Storest.

See äpp teeb telefonide vahetamise protsessi lihtsaks. Kui teil on kogunenud hulga autentimise äppe, siis telefoni vahetamisel on vaja need käsitsi igas rakenduses ümber seadistada. Igal autentimise teenusel on varukood, mis võimaldab konkreetse autentimise migreerimist. Authy teeb nendest koodidest varukoopia turvaliselt. Kui vahetad telefone, saad varukoopiast taastada autentimise teenused lihtsasti. Üks võimalus on ka käsitsi need koodid varundada aga sellest räägime hiljem.

Kui sa tahad maailma kõige turvalisemat lahendust, siis ma soovitan kasutada füüsilist võtit teise faktorina –  nagu näiteks YubiKey. Äppide häkkimine on teoreetiliselt võimalik ja mõne authentimisäpiga on olnud probleeme. YubiKeyd on üliraske või võimatu lahti murda ka kõige suuremate ressurssidega organisatsioonidel ja häkkeritel.

Meil kõigel on ka ID kaardi näol ideaalne mitmikautentimise võimalus ja muidugi Smart-ID. Avaliku sektori teenustele on rakendatud lahendus nimega TARA. Mõnikord saate ka autentida ennast panga kaudu.

 

Kui ma nüüd kasutan iga konto jaoks erinevat parooli, siis kuidas ma suudan 320 parooli meelde jätta?

Ei olegi võimalik meelde jätta. Isegi kui loon salajase süsteemi, mida ainult mina tean, siis ei ole see praktiline ja võibolla pole ka süsteem ise turvaline.

Lahendus on kasutada paroolihoidlat. Tarkvara, kus hoiad oma saladusi ja paroole. Minult on palju küsitud, millist paroolihoidlat kasutada.

 

Tarkvara valikul võiks lähtuda näiteks sellistest kriteeriumitest:

  • Kes on tehnoloogia loonud ettevõte? Milline on nende ajalugu?
  • Millised poliitikad on olemas? Näiteks, kas on olemas zero-knowledge poliitika (kas seda on kunagi kontrollitud)?
  • Milline on ettevõtte privaatsuspoliitika? Millises jurisdiktsioonis opereerivad, kas on olnud minevikus andmelekkeid jms. Näiteks kõige tuntumal paroolihoidla vendoril LastPass-l on sellel aastal tulnud avalikkuse ette 2 suuremat turvaintsidenti.
  • Peaks vaatama, millist krüptograafiat kasutavad ja kuidas seda rakendatakse. Teenusepakkujal ei tohiks arhitektuuriliselt olla võimalik andmetele ligi pääseda. Teenusepakkuja ei tohiks ka korjata metaandmeid ega muud infot kasutaja kohta.
  • Kui tegemist on tasulise teenusega, kui palju see teenus maksab? Eraisikule on suur vahe, kas igakuiselt maksab 30EUR või 1EUR. Mõnikord pakutakse tasuta teenusesse sisemist aga siis olulise funktsionaalsuse eest pead maksma.
  • Kas rakenduse lähtekood on vabavaraline või kinnine? Kui kinnine, siis kui tihti ja kelle poolt on tehtud turvatestid ja lähtekoodi analüüs (code review). Vabavaralise lahendusega rakendus ei tähenda automaatselt, et see on turvaline. Peaks vaatama, kui aktiivne on kogukond ja kes kui tihti koodi kontrollib ja turvateste teeb.
  • Lisaks eelpool mainitule võiks heas paroolihoidlas olemas olla paroolide ja kasutajanimede genereerimine. Mitmikautentimine peaks olema võimalik füüsilise võtmega nagu näiteks yubikeyga. Paroolihoidlas võiks olemas olla võimalus hoida ka muud sensitiivset infot, nagu näiteks need autentimisäppide varukoodid. Hoidlas võiks olla ka märkmete hoidmise võimalus.
  • Oma olemasolevate paroolide importimine ja eksportimine võiks olemas olla ja ideaalis võiks eksport krüpteerida andmed.

 

Kui  kasutate lahendust äri jaoks, siis peaks olema võimalus paroole edastada kasutajatele otse. Näiteks, kui luuakse teile mõni ettevõtte konto, siis saadetakse teile oma personaalsesse paroolihoidlasse  turvaliselt paroolid. Mitmes heas äriklientidele mõeldud paroolihoidlas on võimalik eraldada oma isiklikud paroolid, millele ettevõte ligi ei pääse ja töölt lahkudes saad võtta isikliku paroolihoidla kaasa ja enamasti selle eest maksma ei pea. Paljudel kommertsparoolihoidlatel on ka tasuta versioon olemas.

 

Mul on siinkohal paar soovitust  lahendustest, mis mõlemad vastavad ülal toodud nõuetele.

Kui sa oled keskmine kasutaja ja tahad sünkroniseerida oma paroole erinevate seadmete vahel, siis soovitan Bitdwardenit (Bitwarden Open Source Password Manager | Bitwarden).

Kui sa ei tohi ega taha sünkroniseerida oma andmeid üle võrgu ja vajad veel kõrgemat turvalisuse taset, siis soovitan KeePassXC (KeePassXC Password Manager ). Seda lahendust saad kasutada oma arvutis.

Trust No One!