Erinevad autentimisviisid

ID-kaardiga autentimine

<img class="alignnone wp-image-27" style="float: right; margin: 4px;" src="https://sisu.ut.ee/wp-content/uploads/sites/248/er_pilt_640px-estonian_identity_card_2007.jpg" title="Eesti ID-kaart
n[val=Allikas href=https://et.wikipedia.org/wiki/Eesti_ID-kaart#/media/File:Estonian_identity_card,_2007.jpg]” alt=”Eesti ID-kaart”>Aktiivseid ID-kaarte on 1. juuli 2017 seisuga arvel 1 294 653. Juuli lõpu seisuga leidus kaarte, mida oli viimase 12 kuu jooksul vähemalt ühel korral elektrooniliselt kasutatud, kokku 695 799.

ID-kaarti saab kasutada nii Windowsi, Mac OS X-i kui ka Linuxi arvutites. Nutiseadmetes kasutamiseks on olemas Mobiil-ID ja Smart-ID lahendus. ID-kaart on sobilik autentimisvahend raha, isiklikult olulise ja ettevõtte jaoks olulise info kättesaamiseks.

ID-kaardi abil veebiteenusesse sisselogimisel kasutatakse kaksikautentimist.

  • Sa kasutad midagi, mida sa omad (ID-kaart).
  • Sa kasutad midagi, mida sa tead (PIN-kood).

Siinkohal on oluline teada ID-kaardi PIN-koodi, mitte seda omada kirjapanduna. Kui kirjutate PIN-koodi üles ja panete selle ID-kaardiga rahakoti vahele, siis rahakoti kadumisel on selle leidjal võimalik kasutada teie digitaalset identiteeti. 

ID-kaardi eelised

  • Turvaline kaheastmeline autentimine, lisaks digiallkirjastamise võimalus.
  • Riiklik teenus, ima kuutasuta.

ID-kaardi puudused

  • Tarkvara- ja ühilduvusprobleemid. (Veebikeskkonnas autentimine ei pruugi töötada kõigi veebilehitsejatega.)
  • Ei saa kasutada nutiseadmes.
  • Jättes ID-kaardi kaardilugejasse on võimalik kaardilt lugeda veebilehti külastades isikukoodi ja nime.
  • Peale ID-kaardi kasutamist tuleb turvakaalutlustel veebilehitseja sulgeda.

Turvanõuded ID-kaardi kasutamiseks

Sa saad anda olulise panuse ID-kaardi turvaliseks kasutamiseks jälgides turvanõudeid (Sertifitseerimiskeskus, 2017). 

ID-kaardi kasutuselevõtt

ID-kaardi kasutamiseks vajaliku info leiab Politsei- ja Piirivalve ameti kodulehelt: Kuidas kasutada ID-kaarti? (Politsei- ja Piirivalveamet, 2017). Tehnilise info leiab ID-kaardi abikeskuse lehelt (Sertifitseerimiskeskus, 2017).

Näide turvaintsidendist ID-kaardi kiibiga

100% turvalisust ei ole olemas. Olemas on piisav turvalisus teenuste toimimiseks. Lahendus mis praegu on piisavalt turvaline võib aja jooksul muutuda ebaturvaliseks. Seega tuleb piisava turvalisuse taset hoida tuues välja uusi infotehnoloogilisi lahendusi ning neid rakendades. Vähemalt sama oluline kui on teenusepakkuja turvateadlikkus ja -käitumine on seda ka teenuse tarbija oma. Seega on oluline osa turvalisuse tagamisest seotud teenuse tarbija teavitamise ja harimisega teenuse turvalisest kasutamisest.

30. augustil 2017 informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte. Avaldamise hetkel oli tegu teoreetilise nõrkusega. Teadlaste edastatud info kohaselt kuluks ID-kaardi ründamiseks liiga palju arvutusvõimsust ja raha, samuti oleks lahtimuukimistarkvara loomine aeganõudev. (Riigi Infosüsteemi Amet, 2017)

Nagu turvaintsidenti korral kohane, siis teavitati sellest avalikkust ja võeti kasutusele turvameetmed (avalike võtmete andmebaas suleti, loodi töörühm turvavea eemaldamiseks).

Avaldamisega seoses tekkis mõningane mainekahju e-riigi kuvandile, aga hoiti ära suurem kahju, mis oleks võinud tekkida intsidendist mitte teavitamisel või hilisemal teavitamisel.

Oluline on siinkohal tähele panna, et teoreetiline nõrkus võib muutuda reaalseks nõrkuseks, sest arvutusvõimsused kasvavad ja pahalaste motivatsioon rünnata võib kasvada. 

Kokkuvõte

Kui kasutatav teenus võimaldab, siis kasuta teenustesse sisselogimiseks kasutajatunnuse ja parooli asemel ID-kaarti, Mobiil-ID või Smart-ID lahendust.

Millistes veebikeskkondades saaksid Sina kasutusele võtta turvalisema ID-kaardiga sisselogimise?

Accept Cookies