Tag Archives: kaheastmeline autentimine

Kaheastmeline autentimine: Twitter

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Twitteris. Blogist leiab ka varasemad juhised kaheastmelise autentimise aktiveermiseks Gmailis, Facebookis ja Microsofti kontodel.

Twitteri logo

Twitter on maailmas populaarsuselt kolmas sotsiaalmeedia keskkond, mida kasutab igapäevaselt üle 330 miljoni inimese. Twitteri puhul on märkimisväärne, et teadaolevalt on umbes 80% Twitteri kasutajaid väljastpoolt Ameerika Ühendriike ning keskkond on äärmiselt levinud nii tipp-poliitikute kui ka riigipeade seas.

Twitteri turvaliseks kasutamiseks on kõigepealt vaja korralikku ja turvalist parooli, mis ei ole kusagil mujal juba kasutusel. Üks lahendus sellise turvalise parooli valimisel võib olla näiteks tehnokratt Peeter Marveti loodud tööriist, mis genereerib kasutajatele parooliks neli levinud sõna, mida saab suurte tähtede, erimärkide ja numbrite lisamisel veelgi turvalisemaks muuta https://rabool.eu/.

Õngitsustest ja pettustest, mille vastu kaheastmeline autentimine (2FA) aitab, on juttu blogipostitustes:

Kaheastmelise autentimise lisamine

Twitterisse on võimalik konto registreerida kas meiliaadressi või telefoninumbrit kasutades. Sarnaselt kõikidele teistele suure kasutajate arvuga keskkondadele, on ka Twitteris võimalik kahetasemelist autentimist kasutades konto turvalisemaks muuta. Selleks tuleb vajutada üleval paremal nurgas profiilipildile ja ilmuvast rippmenüüst valida “Settings and privacy.”

Ekraanipilt

“Settings and privacy” alt tuleb kõigepealt valida sisselogimiste kinnitamise võimalus (“Verify login requests”). Sisselogimisi saab kinnitada nii SMSi teel saabuva koodiga kui ka Twitteri rakenduse kaudu. Lisaks tuli Twitter 2017. aasta lõpus välja uudisega, et sisselogimise kinnitamiseks võib kasutada ka kolmanda osapoole rakendusi. Juhul kui Sa pole kontot tehes lisanud oma telefoninumbrit, saad seda teha, valides “Add a phone”:

Ekraanipilt

Uuest kohast ja/või tundmatust seadmest sisse logides küsitakse parooli. Seejärel tuleb tellida kinnituskood ning see sisestada, et (oma) kontole ligi pääseda. Siis saab seadistamist jätkata.

Pärast “Login verification” märgistamist kuvatakse kasutajale järgmised võimalused:

Ekraanipilt

Esimese variandina on võimalik uuest asukohast sisselogimine kinnitada tavapärase, SMSi teel saabuva koodi kaudu. Sel juhul saabub telefoni SMSiga 6-kohaline kood, mille peab sisselogimiseks sisestama.

Samuti on võimalik kas Google Play poest, App Store’ist või Microsoft Store’ist alla laadida turvalisust tagav rakendus (mobile security app), mille saab seejärel oma kontoga siduda genereeritud QR-koodi abil.

Ekraanipilt

Ekraanipilt

Kui autentimisrakendus on kontoga seotud, saab kohe ka rakenduse ja konto koostoimimist proovida. Selleks tuleb sisestada kood, mille rakendus genereerib.

Ekraanipilt

Lisaks on võimalik endale genereerida tagavarakood konto taastamiseks. Selle abil saab samuti oma isikut tuvastada. Päheõppimise asemel soovitatakse see kood salvestada ekraanipildina, välja printida või endale e-kirjaga saata.

Ekraanipilt

Kui kaheastmeline autentimine sai edukalt aktiveeritud, küsitakse uuest ja/või tundmatust seadmest sisenemisel juba kinnituskoodi:

Ekraanipilt

Kaheastmeline autentimine: Microsofti kontod

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Microsofti kontodel.
Blogist leiab ka varasemad juhised kaheastmelise autentimise aktiveermiseks Gmailis, Facebookis ja Twitteris.

Microsofti ehk Hotmaili, Outlooki, Live’i või MSNi konto kaheastmelise autentimise aktiveerimiseks pead kõigepealt sisenema oma kontole.

Kui Google’i konto kasutajad sisenevad oma kontole enamasti aadressilt gmail.com (mis suunab postkasti puhul edasi aadressile mail.google.com), siis Microsofti meiliteenuse kasutajatel on selleks aadressiks outlook.live.com. Microsoft suunab kasutajad automaatselt sellele aadressile, kui nad on trükkinud aadressireale hotmail.com, live.com või outlook.com. Kui aadressireale kirjutada msn.com, tuleb meilikontole sisenemine lehelt eraldi valida.

Järgmise sammuna tuleb ülevalt paremalt nurgast profiilipildi alt valida “Minu kontod,” “Kuva konto” ning seejärel uuel lehel “Security”.

Ekraanipilt

Seejärel vali “Update your security info” ning “Update info”:

Ekraanipilt: account.microsoft.com/security

Järgnevalt veendu, et Su kontoga on seotud vähemalt üks lisaturvalisuse meede, mille abil saad vajadusel oma kontole ligipääsu taastada. Selleks võib olla näiteks mõni teine meiliaadress, mida kasutad, või telefoninumber. Oma konto saab kinnitada SMSi või e-kirja teel. Lehe allosas saad valida “Explore more options to keep your account secure.” See link suunab Sind edasi lehele, kus saad aktiveerida kaheastmelise autentimise.

Ekraanipilt

Kui oled valinud konto kinnitamise e-kirja või SMSiga (soovitame e-kirja, sest SMS ei pruugi esimesel korral kohe kohale jõuda), saadetakse Sulle konto kinnitamiseks esmalt 4-kohaline kood:

Ekraanipilt

Suurema turvalisuse tagamiseks tuleb oma konto veelkord kinnitada ja selleks saadetakse juba pikem kood:

Ekraanipilt

Pärast konto kinnitamist on võimalik lisada oma kontole lisaturvalisust tagavaid funktsioone. Näiteks saab sisselogimisvõimaluste “Manage sign-in options” all valida, millise konto ja kasutajanimega sisse logid (näiteks, kui Sul on ühendatud Microsofti konto ja kunagine Skype’i kasutajanimi).

Ekraanipilt: https://account.live.com/proofs/Manage/additional

Juhul kui Su kontol on kaheastemeline autentimine sisse lülitamata, saad seda teha pealkirja “Two-step verification” all, valides “Set up two-step verification”.

Ekraanipilt

Lisaturvalisuse tagamiseks on kolm varianti:

  • lisada saab telefoninumbri, millele kas helistatakse või saadetakse SMS kinnituskoodiga,
  • lisada saab meiliaadressi, kuhu saadetakse kinnituskood,
  • Google Play poest, App store’ist või Windows Store’ist saab alla laadida rakenduse “Authenticator” (tootja: Microsoft Corporation).

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse teise meiliaadressi peale, tuleb valida rippmenüüst “An alternate email address” ja lisada meiliaadress:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse SMSiga, tuleb valida rippmenüüst “A phone number” ja lisada telefoninumber:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood genereeritakse rakenduses “Authenticator”, tuleb valida rippmenüüst “An app.”

Rakenduses “Authenticator” saab ära märkida, kas tegemist on isikliku, töö- või kooli kontoga ning määrata, kui pikka kinnituskoodi (6–8 numbrit) sisselogimise kinnitamiseks küsitakse.

Rakenduse ühendamiseks kontoga tuleb telefoniga skaneerida arvutis kuvatav QR-kood:

Ekraanipilt

Kuvatav kinnituskood muutub iga 30 sekundi järel.

Ekraanipilt

Erinevalt kõne või SMSiga autentimisest ei sõltu rakenduse “Authenticator” kasutamine mobiilside levi olemasolust: seda saab kasutada nii lennukis kui ka asukohtades, kus mobiililevi puudub. Näiteks reisides riiki, kus Su operaatoril puudub roaming, võib esineda probleeme ligipääsemisega sellele tagavara meilikontole, mille kaudu autentimiskoodi saada soovid, kui Sul on ka sellel kontol kaheastmeline autentimine aktiveeritud. Küll aga toimib sellises olukorras rakendus “Authenticator”.

Lisaturvalisuse meetmed kontol on tagatud ning kaheastmeliseks autentimiseks saab alloleval juhul kasutada näiteks nii e-kirja kui SMS-teenust:

Ekraanipilt

Kui kaheastmelise autentimise meetod on valitud, kuvatakse kasutajale kinnitus eduka aktiveerimise kohta. Samuti genereeritakse kasutajatele viiest plokist koosnev taastamiskood, mida saab kasutada juhtudel, kus on vaja konto taastada, kuid puudub ligipääs SMSidele, e-kirjadele ning rakendusele Authenticator.

Ekraanipilt

Kui kaheastmeline autentimine on aktiveeritud ja soovid oma kontole sisse logida, küsitakse kinnituskoodi. Kontole ei ole võimalik enne kinnituskoodi sisestamist ligi pääseda.

Ekraanipilt

Igapäevaselt kasutatava arvuti puhul on võimalik valida “Jäta mind selles arvutis meelde” (“Remember me on this computer”) ning selles konkreetses arvutis enam kinnituskoodi sisestama ei pea. Võõrast kohast sisse logides tuleb aga sisestada ka kinnituskood.

Kaheastmeline autentimine: Gmail

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Gmailis.
Blogisse on hiljem lisandunud on ka juhised Facebooki, Twitteri ja Microsofti kontode kohta.

Kaksikautentimine (2FA, two-factor authentication, ka kahefaktoriline autentimine, kaheastmeline kinnitamine) on turvategevus, mis nõuab kasutajalt sisselogimisel enese identifitseerimist kahel sõltumatul viisil: näiteks ID-kaardi puhul on kasutusel füüsiline vahend, kuid sellele lisaks nõutakse veel teadmist, mida ei tohiks olla kellelgi peale kaardiomaniku (PIN-kood). Autentimise alustest ja kasutusel olevatest terminitest loe RIA blogi eelnevast kirjutisest.

Kaksikautentimine on eriti oluline just sotsiaalmeediasaitide puhul, mis ID-kaarti ei tunnista. Tänases turvaolukorras ei piisa Google’i ja Facebooki kasutamisel enam lihtsalt paroolist. Selleks, et oma kontost mitte ilma jääda, tuleb kindlasti sisse lülitada 2FA. Esimese asjana tuleb oma konto kaitsmiseks valida turvaline parool – üks lahendus turvalise parooli valimisel võib olla näiteks Tehnokratt Peeter Marveti loodud tööriist, mis genereerib kasutajatele parooliks neli levinud sõna, mida saab suurte tähtede, erimärkide ja numbrite lisamisel veelgi turvalisemaks muuta https://rabool.eu/.

Õngitsustest ja pettustest, mille vastu 2FA aitab, on juttu blogipostitustes:

Allpool õpetame kasutajaid, kuidas populaarsetes keskkondades (Google, Facebook) kasutada ajakohast turvalisust ning kaitsta sellega oma kontosid ülevõtmise eest.

Moodne autentimine Gmailis

Google kasutab kaksikautentimise (2FA) tähistamiseks omaenda tõlketerminit „kaheastmeline kinnitamine“.

Vali „Minu Konto“. Sealt leiad seaded, mis võimaldavad muuta Gmaili turvalisemaks ning häälestada autentimise ajakohaseks:

Ekraanikuva

Ekraanikuva

Klõpsa menüüpunktil „Google’isse sisselogimine“:

Ekraanikuva

Ekraanikuva

Avaneb kaheastmelise kinnitamise menüü. Siin klõpsa „2-astmeline kinnitamine“:

Ekraanikuva

Ekraanikuva

Siin klõpsa “Alustage”:

Ekraanikuva

Ekraanikuva

Turvakaalutlustel, s.o et keegi ei lukustaks sinu kontot oma telefoninumbriga, küsitakse sinult uuesti parooli:

Ekraanikuva

Ekraanikuva

Edaspidi hakkab Google’i turvasuhtlus Sinu suunas toimuma tekstisõnumite vahendusel. Sisesta selle mobiiltelefoni number, millele soovid edaspidi turvasõnumeid saada:

Ekraanikuva

Ekraanikuva

Seejärel saad Google’ilt SMSi teel ühekordse toimingukoodi. Alloleval ekraanipildil on mitmeid sõnumeid koodidega – see näitab, et turvalist sisselogimist on varemgi kasutatud:

Ekraanikuva

Ekraanikuva

SMSiga saadud ühekordne kinnituskood tuleb nüüd sisestada turvahäälestuste häälestamise lehele. Veidi konarliku tõlke üle ei tasu naerda, kõrgema turvalisuse nimel tuleb tõlkevead ja -konarused lihtsalt ära kannatada:

Ekraanikuva

Ekraanikuva

Ettevalmistused on nüüd tehtud, on aeg moodsa, mitmeastmelise autentimise kasutuselevõtuks. Igapäevaseks kasutamiseks tuleb 2FA eraldi sisse lülitada:

Ekraanikuva

Ekraanikuva

Oledki pääsenud järgmisele tasemele. Ekraanile ilmub info, et kaheastmeline kinnitamine on nüüdsest aktiveeritud:

Ekraanikuva

Ekraanikuva

Ent kuidas toimub sisselogimine edaspidi, pärast kaheastmelise kinnitamise sisselülitamist?

Ekraanikuva

Ekraanikuva

Palju õnne – oledki aktiveerinud kaheastmelise autentimise!

Kas panid tähele – on olemas valik „ära selles arvutis enam küsi“. Need eriti paranoilised kasutajad, kes kardavad rünnakut ka omas kodus, võivad selle linnukese ju maha võtta ning siis saadetakse telefonile iga sisselogimise käigus uus kinnituskood.

Enamasti kasutaja nii keerukat süsteemi ei vaja. Edaspidi tunneb sotsiaalvõrk ära tema koduarvuti ja töökoha WiFi – see toimub IP-aadressi alusel – ning varem tuntud kohast sisse logimisel koodimängu ette ei võeta. Kuid hoiatus – sama juhtub ka kooli või kohviku avalikes WiFi-des, mis on oma olemuselt palju ohtlikumad. Teisisõnu, kasutajal tuleb ise teha õige valik – näiteks selline, mis tagab piisava turvalisuse, kuid ei pommita pidevalt koodidega.

Rakenduse Google Authenticator seadistamine

Vahel juhtub, et inimene satub välismaale, kus andmerändlus (roaming) ja SMSid on kallid. Turvaline arvuti leidub ehk sõbra kodus, kuid kuhu saata sel juhul koodid?

Selgub, et Google’il on olemas spetsiaalne nutitelefonirakendus olukordadeks, kus ei taheta telefoniside peale raha kulutada. Rakendus genereerib lühiajaliselt kehtivaid koode, millega on võimalik Google’i teenustesse sisse logida. Turvalisuse tagab siin täpne kellaaeg ja telefon, mida kasutaja usaldab.

Et Google Authenticator saaks töötada, tuleb see autentimisviis esmalt oma Google’i konto tarbeks aktiveerida (lubada).

Klõpsa Google’i konto alt „Rakendus Authenticator SEADISTUS“:

Ekraanikuva

Ekraanikuva

Koodi turvaline arvutamine toimub Androidis ja iPhone’is pisut erinevalt, mistõttu on ühtlasi vaja ära märkida ka oma telefoni tüüp:

Ekraanikuva

Ekraanikuva

Google’i konto on nüüd Authenticator’i kasutamiseks seadistatud.

Ekraanikuva

Ekraanikuva

Järgnevalt tuleb rakendus nutitelefoni poest alla laadida. Siinse näite puhul on tegemist Android-seadmega, seega suundume Play poodi ning leiame õige rakenduse:

Ekraanikuva

Ekraanikuva

Järgnevalt tuleb rakendus siduda kontoga, kuhu hakatakse koodigeneraatori abil sisse logima. Selleks tuleb siseneda valikusse „Lisa konto“:

Ekraanikuva

Ekraanikuva

Kõige mugavam on vajalikku andmeülekannet sooritada QR-koodi kaudu. Toimub see küllaltki sarnaselt e-hääletusega (kus samuti pildistatakse QR-kood ekraanilt maha). Ei maksa ehmuda, kui QR-koodi skannimiseks/pildistamiseks küsitakse kaamerakasutusluba (piltide/video salvestamise luba). Ning taas kord – Google’i konarlikku eestikeelset tõlget ei maksa lihtsalt tähele panna.

Ekraanikuva

Ekraanikuva

QR-koodi pildistamine ekraanilt näeb välja umbes sedasi:

Ekraanikuva

Ekraanikuva

Pärast rakenduse seadistamist teeb Google kasutajale puust ette, kuidas koodi genereerimine käib. Kood tuleb sisestada arvuti veebivormi:

Ekraanikuva

Ekraanikuva

Kood saadakse rakendusest Google Authenticator. Koode meelde jätte pole vaja, iga kord genereeritakse uus kood.

Ekraanikuva

Ekraanikuva

Google Authenticator ongi kasutamiseks valmis:

Ekraanikuva

Ekraanikuva

„Kaheastmelise kinnitamise“ info Sinu Google’i konto küljes näeb nüüdsest välja umbes selline:

Ekraanikuva

Ekraanikuva

Sisselogimine pärast rakenduse Google Authenticator kasutuselevõttu toimub sedasi:

Ekraanikuva

Ekraanikuva

Kuidas aktiveerida kaheastmeline autentimine Facebookis?

Kokkuvõtteks

Enamik Sinu konto ülevõtmiseks suunatud rünnetest toimub läbi Interneti kusagilt kaugelt (ja üldsegi mitte Sinu kodust, koolist, töökohast või lemmikkohvikust). Seetõttu, kui kontrollida sisselogimisel IP-aadressi ja veebilehitseja tüüpi (just seda teevad nii Google kui ka Facebook), õnnestub enamik ründeid ära hoida. Tõsi on paraku ka see, et kui rünnak lähtub Sinu enda lähiümbrusest ning ründajal on füüsiline ligipääs Sinu telefonile, siis pole kaksikautentimisest kuigivõrd kasu.