TunnistautuminenLuennolla puhutaan tietolaitteiden henkilökohtaisen käytön

tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä

käytännössä riittävän turvalliset tavat tunnistautua.

SisällysVerkotLaitteet Palvelut

Luentoja tietotekniikasta•Tunnistautuminen liittyy henkilökohtaisen

käytön tietoturvaan (tunnistautuminen, järjestelmä, tiedot).

Lisätietoa: tvtkoulu.fi/tietoturva • Luento sekä muut aiheeseen liittyvät luennot

ovat verkossa SlideShare-palvelussa (tvtkoulu).

Tunnistautumisen määrittelyä•Tietokone ei yleensä osaa vastata sopivalla

tavalla, kun sille puhutaan:Hei tietokone, haluaisin katsoa sähköpostini ja maksaa laskut.

•Koneelle (palvelulle) täytyy kertoa täsmälleen, kuka pyyntöjä esittää. •Yleensä: Tunnistautuminen = Kirjautuminen

Peter W. Singer ja Allan Friedman (2014)

”Hyvä tietoturva on mahdollinen vain silloin, kun järjestelmä voi luottaa käyttäjiin ja toisaalta käyttäjät voivat luottaa järjestelmään.”

Digitaalinen identiteetti• Identifiointi eli käyttäjän tunnistaminen, "kuka

olet?”. Käyttäjätunnus on sähköpostiosoite, tunnusosa tai jokin muu:

riku@tvtkoulu.fi, riku, RikuJ, 82924921•Autentikointi eli digitaalisen identiteetin

varmennus, "osoita, kuka olet”. Yleensä salasana eli merkkijono:

Jsl(2lsk, Ankka2Grill8Mic, …

Identifiointi (tunnistaminen) + autentikointi (todennus)

Miksi tunnistautua?•Henkilökohtaisen tiedon käyttö ja säilytys

verkossa vaativat tunnistautumisen (synkronointi).

valokuvat, yhteystiedot, kalenteri,…•Vuorovaikutteisuus, kuten

asioiden hoitaminen (posti, vero, poliisi, pankki) viestintä, verkkokaupat, tiedonhaku viihdepalvelut (Yle Areena, Spotify,…)

Henkilökohtaiset tiedot, vuorovaikutteisuus

Anonyymi internet?• Ilman digitaalista identiteettiä verkon käyttö

rajoittuu merkittävästi, mm. tiedonhaku, surffailu, tiedostojen lataaminen,…

• Facebook käyttö anonyyminä? Kyseenalaista.•Ratkaisuja mm.

Linux, Tor-verkko sekä erillinen Internet-selaintoinen identiteetti, joka pidetään erillisenä todellisesta digitaalisesta identiteetistä.

Surffailua Linuxilla Tor-verkossa, erillinen identiteetti,…

Laitteet

Mobiililaitteet• Mobiililaite sisältää mahdollisesti eniten

henkilökohtaista tietoa käyttäjästä, mm. yhteystiedot, kalenteri, valokuvat,...

• Käyttäjä on jatkuvasti kirjautuneena palveluihin. • Lukitusnäyttö (+salaus) suojaa laitteen. Vahvuus tulee

olla vähintään tasoa nelinumeroinen PIN-koodi.

Lukitusnäyttö PIN-koodilla suojattuna

Windows•Windows 8:sta eteenpäin kirjaudutaan suoraan

Microsoft-tilille. Osa palveluista (OneDrive), ovat käyttäjäkohtaisia.•Koneen salasanan voi korvata PIN-koodilla

Windowsin asetuksista.•Kiintolevyn salaus – BitLocker (Windows Pro)

Kirjautuminen PIN-koodilla omalle Windows-tilille

Verkot

Avoin langaton verkko on turvaton!•Avoimessa WLAN-verkossa tiedon kaapannut taho

voi lukea sisällön ilman merkittäviä esteitä.•Muut verkon laitteet voivat "kuunnella"

liikennettä sekä tallentaa käyttäjätunnuksia & salasanoja käyttäjän huomaamatta mitään.• Sivustoille, jotka vaativat tunnistautumista, tulee

avoimissa verkoissa käyttää VPN-yhteyttä.

Tieto ei ole salattua, käytä VPN-yhteyttä tarvittaessa

DroidSheepKäyttäjätunnusten ja salasanojen hakkerointi (Android)

Ohjeet

VPN-yhteyksistä• VPN (virtual private network) on kokoelma

tekniikoita, joilla laite yhdistetään turvallisesti verkkoon. • VPN mahdollistaa mm.

Verkkoliikenteen seurannan estämisenTurvallisen käytön avoimissa langattomissa verkoissa Joskus maantieteellisesti rajoitetun sisällön käytön.

• Esimerkiksi TunnelBear VPN tai F-Secure Freedome.

Turvallinen ”tunneli” epämääräisen Internetin läpi

Kotiverkko•Verkkolaitteelle (reititin) kirjautumisen salasana

tulee muuttaa oletuksesta (admin, root, [tyhjä]). •Reitittimelle kirjaudutaan selaimen osoitekentässä

IP-osoitteella, joka yleensä muotoa 192.168.1.1 tai vastaavaa.• Langattoman kotiverkon salasana tulee muuttaa

(usein verkkolaitteen pohjassa oleva numerosarja).

Reitittimen salasana sekä WLAN-salasana kannattaa vaihtaa.

Palvelut

Miksi palveluihin tunnistaudutaan?• Palvelu voi

säilyttää ja/tai käsitellä henkilökohtaista tietoatoimia yhteyskanavana ihmisiin tai palveluntarjoajiin.

• Henkilökohtaisuus saavutetaan tunnistautumalla.• Esimerkiksi

Omakanta - sähköiset reseptit Facebook - ystävät, tutut, keskusteluryhmät

Henkilökohtaiset tiedot, vuorovaikutteisuus

Singer & Friedman, Bazzell, Mitnick,…

”Jokaisella palvelulla on oltava yksikäsitteinen salasana.”

Miksi yksikäsitteiset salasanat?

•Käyttäjä ei tiedä, kuinka palveluntarjoaja tallentaa salasanoja. Ne voivat olla jopa tekstitiedostossa ilman salausta.• Jos käyttäjällä on sama salasana eri palveluissa,

yhden palvelun hakkerointi voi haitata muiden palveluiden käyttöä.

Palveluntarjoaja voi mokata tietoturvan

Hakkeroitu Google-tili 1/2Antti käyttää Googlea ja hänellä on heikko salasana. Hakkeri kaappaa tilin ja voi tehdä alkuun seuraavaa:

• Estää Anttia käyttämästä tiliä vaihtamalla salasanan.• Jakaa /poistaa palvelussa olevat tiedot, lähetellä

sähköposteja ja pikaviestejä sekä käsitellä Antille jaettuja tietoja.

• Kokeilla tunnuksia muihin palveluihin ja kenties kaapata myös Facebookin, Twitterin, Instagramin,….

Mitä voi tapahtua, kun hakkeri iskee pilveen?

Hakkeroitu Google-tili 2/2Hakkeri voi joskus käydä todella ärsyttäväksi:

• Perustaa Antin nimissä blogin ja liittää kirjoituksiin Antin valokuvia tai muuta sisältöä pilvestä.

• Haukkua ihmisiä ”Anttina” keskustelupalstoilla, joille kirjautuminen tapahtuu Googlen tunnuksilla.

• Jos Antilla on luottokortti lisättynä tiliin, ostaa mm. sovelluksia ja e-kirjoja sekä vuokrata elokuvia (mobiili).

Mitä voi tapahtua, kun hakkeri iskee pilveen?

Käyttäjätunnuksien hallinnasta• Käyttäjätunnus on yleensä oma sähköpostiosoite.

Samaa tunnusta voi käyttää eri palveluissa• Sähköpostiosoitteet ovat käytännössä julkisia.

Osoitteita ei merkitä kokonaisina verkkosivulle. Parempi ratkaisu on muoto

riku [ät] tvtkoulu.fi• Käyttäjätunnukset tallennetaan esimerkiksi

digitaaliseen muistikirjaohjelmaan (OneNote tms.) allekkain.

Tunnistautuminen

Salasanarunko•Keksi salasanarunko eli hauska ja persoonallinen

ilmaus, jonka muistat varmasti. Esimerkiksi: Ankka2Grill8

• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun nimestä. • Esimerkiksi palvelulle Gmail salasana on:

Ankka2Grill8 + Gma => Ankka2Grill8Gma

Turvallinen tapa käyttää useita palveluita

Salasanarungon turvallisuudesta

•Runko vähintään suojaa käyttäjää tilastollisilta tietoturvauhkilta, jotka ovat leijonanosa hyökkäyksistä.•Tämä ei aina riitä, jos käyttäjään tehdään

kohdistettuja tietoturvahyökkäyksiä.• Salasanarunko on helpohko muistaa sekä

helpottaa myös uusien salasanojen keksimistä.

Riittää hyvin peruskäytössä

Salasanojen hallintaa• LastPass tallentaa käyttäjän salasanat suojattuun

tietokantaan. Pääsalasanalla kirjaudutaan palveluun.• Selaimen lisäosana Lastpass täydentää salasanat

automaattisesti, jolloin käyttäjä vain hyväksyy kirjautumisen.• Lastpass tarjoaa myös testin, joka varmistaa

salasanojen yksikäsitteisyyden ja turvallisuuden.

Pääsalasana on avain palveluiden käyttöön

Salasana unohtunut?• Sähköpostiosoite ja sen salasana tulee muistaa! •Useille palveluille voi antaa puhelinnumeron, jota

käytetään autentikoinnissa.•Googlen salasanan palauttamiseksi löytyvät

ohjeet kirjoittamalla hakuun Google reset password, vastaavasti muille.

Salasanan nollaaminen onnistuu usein sähköpostin kautta

Kaksivaiheinen vahvistus•Useat toimijat (mm. Apple, Google, Microsoft)

antavat käyttäjälle mahdollisuuden kaksivaiheiseen autentikointiin.•Kun tilille kirjaudutaan uudella laitteella, lähettää

palvelu käyttäjän puhelimeen tekstiviestillä vahvistuskoodin, joka näppäillään ruudulle.•Kaksivaiheinen vahvistus otetaan käyttöön

palvelun asetuksista verkossa.

Aktivoi kaksivaiheinen vahvistus tärkeimmissä palveluissa

Turvakysymykset• Useat palvelut sallivat unohtuneen salasanan

palautuksen turvakysymyksiin vastaamalla. Esimerkki: Mistä kaupungista olet kotoisin?

• Kysymykset voivat olla tietoturvariski, jos vastaukset ovat yleisessä tiedossa tai selvitettävissä netistä.

• Ratkaisu on valehdella tietokoneelle. Edelliseen turvakysymykseen voi vastata:

Ankka2Grill

Vastaa turvakysymyksiin jotain, mikä ei pidä paikkaansa

Viralliset palvelut• Virallisiin asiointiväyliin tunnistaudutaan tyypillisesti

verkkopankin tunnuksilla. Muita vaihtoehtoja ovat poliisin myöntämä sirullinen henkilökortti sekä mobiilivarmenne.• Yhteydet verkkopankkiin ovat kaksinkertaisesti

salattuja eli viestintäkanava on salattu, kuten myös lähetettävän viestin sisältö. Lisäksi käytetään kaksivaiheista vahvistusta (tunnusluvut).

Verkkopankkitunnuksilla

Palvelut erilleen!•Palvelut kuten Spotify ja Netflix sallivat

kirjautumisen Facebook-tunnuksilla.• Facebook-tunnuksilla Spotify-palveluun

kirjautuminen saattaa julkaista jokaisen kuunnellun kappaleen omalla FB-aikajanalla (riippuu asetuksista).

Yksityisyyden hallinta säilyy paremmin

Yhteenvetoa

Tunnistautumisen avainsanoja• Laitteet

Pääsykoodi, PIN tai sormenjälki, salaus (kryptaus)• Verkot

Avoin WLAN, VPN, kotona reitittimen ja verkon salasana• Palvelut

Sähköpostiosoite ja salasana, salasanarunko ja / tai salasanojen hallinta, kaksivaiheinen vahvistus, turvakysymykset, erilliset palvelut

Kiinnitä huomiota seuraaviin

Hyödyllisiä apuvälineitä

• Salasanojen ja muistiinpanojen hallinta LastPass / KeePass, Evernote / OneNote

•VPN-yhteysTunnelBear VPN, F-Secure Freedome

Tunnistautuminen helpoksi

Lisätietoa & KiitoksetKiitokset luennolle osallistumisesta .tvtkoulu.fi/tietoturva

Tietoturvasta hieman perusteellisemmintvtkoulu.blogspot.fi

Tiedotukset luennoista, materiaaleista yms. SlideShare, käyttäjänimi tvtkoulu

Tietotekniikan käyttäjän sanastoa