Kasutajatunnuse ja parooliga autentimine
<img class="alignnone wp-image-26" style="float: right; margin: 4px;" src="https://sisu.ut.ee/wp-content/uploads/sites/248/er_pilt_parool_internet-1952019_640.jpg" title="Kasutajatunnuse ja parooliga autentimine on internetis laialt levinud
n[val=Allikas href=https://pixabay.com/en/internet-security-password-login-1952019/]” alt=”Kasutajatunnuse ja parooliga autentimine on internetis laialt levinud”>
Kasutajatunnus ja parool on üks enamlevinud autentimisviise. Internetis on laialdaselt levinud võimalus ennast veebikeskkondadesse kasutajaks registreerida ja hiljem taas ennast autentides keskkonda sisse logida.
Kasutajatunnuse ja parooli abil sisselogimist saab kasutada nii arvutis kui ka nutiseadmes. Sageli näeb see välja nii, et esmakordsel registreerumisel küsitakse kasutaja käest teda identifitseerivat infot, mille järgi oleks teda hiljem võimalik ära tunda. Siinjuures on infosüsteemi jaoks kõige olulisemad kasutajatunnus (mis peab selles süsteemis olema unikaalne) ja parool. Kõik muu info, mida küsitakse kasutaja kohta, on lisainfo. Siinkohal on kasutaja jaoks oluline tema meiliaadress, mis on oluliseks infoedastamise kanaliks, kui kasutajal on meelest ära läinud veebikeskkonna kasutajatunnus ja/või parool.
Siin võib tekkida küsimus, et kuidas veebikeskkond teab, et Sina oled Sina? Ega tegelikult kasutajatunnuse ja parooliga autentimisel ei teagi. Süsteemis on info selle kohta, et see, kes siseneb süsteemi just selle kasutajanime ja parooliga on see isik, kes väitis ennast registreerumisel olema, eeldusel, et parooli ja kasutajatunnust on hoitud salajas. Aga registreerumisel ei pruugi kasutaja tahta oma tegelikku identiteeti avalikustada. Internetis ongi sageli tegemist kasutaja poolt esitatud väitelise digitaalse identiteediga, mille tõesust ei ole kontrollitud.
Millised on enamlevinud nõrkused kasutajatunnuse ja parooliga veebis autentimisel?
Kasutajapoolsed nõrkused
- Kasutajad kasutavad liiga lihtsaid paroole, mida on lihtne ära arvata lihtsa proovimise teel.
- Kasutajad jätavad paroolid meelde veebilehitsejate paroolihalduritesse ja lahkuvad seadme juurest ilma seda lukustamata.
- Kasutajad kirjutavad paroole üles ja jätavad nähtavatesse kohtadesse.
- Kasutajad jagavad paroole teistega.
- Kasutajad kasutavad samu paroole erinevates veebikeskkondades.
- Kasutaja ei varja oma parooli sisestamist (oht, et nähakse või filmitakse).
- Kasutaja logib sisse veebilehele, millel pole https-i (oht, et kuulatakse võrguliiklust pealt).
- Kasutaja arvutis olev tarkvara pole uuendatud (oht saada pahavaraga nakatatud).
- Kasutaja arvutis pole viirusetõrje tarkvara (oht saada pahavaraga nakatatud).
- Kasutaja ei veendu millisele veebilehele ta sisse logib (oht langeda õnge ja sisestada parool originaallehega sarnase väljanägemisega lehele).
- Kasutaja mõtteviis, et mu digitaalne identiteet pole minu jaoks oluline väärtus.
- Kasutaja mõtteviis, et mul pole olulist ja isiklikku digitaalset infovara, mille kaotsiminekul, rikkumisel või avalikuks tulemisel kannataksin kahju.
Infosüsteemi nõrkused
- Veebiserveri teenust pakkuv tarkvara sisaldab turvaauke.
- Veebiserveri tarkvara pole nõuetekohaselt tööle häälestatud.
- Konkreetse veebilehe programmikood sisaldab turvavigu.
- Ei rakendata piisavaid turvameetmeid.
Millised on enamlevinud ohud kasutajatunnuse ja parooliga autentimisel?
Ohud kasutajale
- Jälgitakse kuidas kasutaja parooli sisestab.
- Jälgitakse kasutaja internetiliiklust ja saadakse paroolid teada.
- Kasutaja arvutisse võib olla paigaldatud klahvivajutuste lugeja, mis edastab kasutajatunnused ja paroolid pahalasele.
- Lihtne parool arvatakse ära proovimise teel.
Ohud teenusepakkujale
- Rünnatakse veebiteenust proovides leida nõrkusi ja saada teada olulist salajast infot (kasutajatunnused, parooliräsid, meiliaadressid)
Milline on pahalaste motivatsioon?
- Teenida raha (väljapressimine).
- Saada enda valdusesse olulist infot ja arvutusjõudlust, mida müüa.
- Koguda au ja (kuri)kuulsust.
- Panna toime järgmisi kuritegusid valeidentiteetide ja kogutud ressursside abil.
- Teha lihtsalt nalja.
Millised on võimalikud kahjud ohtude realiseerumisel?
Kasutajale
- Kasutaja ei saa enam oma kontole ligi.
- Kasutaja kontol olev info rikutakse, moonutatakse või krüpteeritakse.
- Kasutaja kontol olev info kustutatakse.
- Kasutaja kontol olev info avalikustatakse.
- Kasutaja kontol olevat infot kasutatakse väljapressimiseks (rahaline kahju).
- Võimalik mainekahju kasutajale.
Teenusepakkujale
- Ajakulu intsidentidega tegelemiseks.
- Ressursikulu rünnete monitoorimiseks ja tõrjumiseks.
- Võimalik mainekahju.
- Võimalik rahaline kahju.
- Pankrot.
Kokkuvõte
Olulistesse teenustesse sisselogimiseks ei piisa kasutajatunnuse ja parooliga sisselogimisest. Tuleb kasutada vähemalt kaksikautentimist.
Olulisteks teenusteks tuleb pidada:
- riigi, pankade ja rahaga seotud kontod;
- kontod, mis sisaldavad delikaatseid isikuandmeid (sh. terviseandmeid);
- esmased meilikontod (isiklik, tööalane), millele saad tellida parooli meeldetuletusi teistesse veebikeskkondadesse sisselogimiseks;
- sotsiaalmeedia kontod (Facebook, Google+, Twitter, LinkedIn);
- teenuste kontod (Google, Facebook, Apple, Microsoft), mille abil logid sisse teistesse veebiteenustesse.
Millised on Sinu olulised kontod, kus peaks kasutama turvalisemat sisselogimist kui kasutajatunnus ja parool?