View
317
Download
4
Embed Size (px)
Citation preview
TunnistautuminenLuennolla puhutaan tietolaitteiden henkilökohtaisen käytön
tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä
käytännössä riittävän turvalliset tavat tunnistautua.
Luentoja tietotekniikasta•Tunnistautuminen liittyy henkilökohtaisen
käytön tietoturvaan (tunnistautuminen, järjestelmä, tiedot).
Lisätietoa: tvtkoulu.fi/tietoturva • Luento sekä muut aiheeseen liittyvät luennot
ovat verkossa SlideShare-palvelussa (tvtkoulu).
Tunnistautumisen määrittelyä•Tietokone ei yleensä osaa vastata sopivalla
tavalla, kun sille puhutaan:Hei tietokone, haluaisin katsoa sähköpostini ja maksaa laskut.
•Koneelle (palvelulle) täytyy kertoa täsmälleen, kuka pyyntöjä esittää. •Yleensä: Tunnistautuminen = Kirjautuminen
Peter W. Singer ja Allan Friedman (2014)
”Hyvä tietoturva on mahdollinen vain silloin, kun järjestelmä voi luottaa käyttäjiin ja toisaalta käyttäjät voivat luottaa järjestelmään.”
Digitaalinen identiteetti• Identifiointi eli käyttäjän tunnistaminen, "kuka
olet?”. Käyttäjätunnus on sähköpostiosoite, tunnusosa tai jokin muu:
[email protected], riku, RikuJ, 82924921•Autentikointi eli digitaalisen identiteetin
varmennus, "osoita, kuka olet”. Yleensä salasana eli merkkijono:
Jsl(2lsk, Ankka2Grill8Mic, …
Identifiointi (tunnistaminen) + autentikointi (todennus)
Miksi tunnistautua?•Henkilökohtaisen tiedon käyttö ja säilytys
verkossa vaativat tunnistautumisen (synkronointi).
valokuvat, yhteystiedot, kalenteri,…•Vuorovaikutteisuus, kuten
asioiden hoitaminen (posti, vero, poliisi, pankki) viestintä, verkkokaupat, tiedonhaku viihdepalvelut (Yle Areena, Spotify,…)
Henkilökohtaiset tiedot, vuorovaikutteisuus
Anonyymi internet?• Ilman digitaalista identiteettiä verkon käyttö
rajoittuu merkittävästi, mm. tiedonhaku, surffailu, tiedostojen lataaminen,…
• Facebook käyttö anonyyminä? Kyseenalaista.•Ratkaisuja mm.
Linux, Tor-verkko sekä erillinen Internet-selaintoinen identiteetti, joka pidetään erillisenä todellisesta digitaalisesta identiteetistä.
Surffailua Linuxilla Tor-verkossa, erillinen identiteetti,…
Mobiililaitteet• Mobiililaite sisältää mahdollisesti eniten
henkilökohtaista tietoa käyttäjästä, mm. yhteystiedot, kalenteri, valokuvat,...
• Käyttäjä on jatkuvasti kirjautuneena palveluihin. • Lukitusnäyttö (+salaus) suojaa laitteen. Vahvuus tulee
olla vähintään tasoa nelinumeroinen PIN-koodi.
Lukitusnäyttö PIN-koodilla suojattuna
Windows•Windows 8:sta eteenpäin kirjaudutaan suoraan
Microsoft-tilille. Osa palveluista (OneDrive), ovat käyttäjäkohtaisia.•Koneen salasanan voi korvata PIN-koodilla
Windowsin asetuksista.•Kiintolevyn salaus – BitLocker (Windows Pro)
Kirjautuminen PIN-koodilla omalle Windows-tilille
Avoin langaton verkko on turvaton!•Avoimessa WLAN-verkossa tiedon kaapannut taho
voi lukea sisällön ilman merkittäviä esteitä.•Muut verkon laitteet voivat "kuunnella"
liikennettä sekä tallentaa käyttäjätunnuksia & salasanoja käyttäjän huomaamatta mitään.• Sivustoille, jotka vaativat tunnistautumista, tulee
avoimissa verkoissa käyttää VPN-yhteyttä.
Tieto ei ole salattua, käytä VPN-yhteyttä tarvittaessa
DroidSheepKäyttäjätunnusten ja salasanojen hakkerointi (Android)
Ohjeet
VPN-yhteyksistä• VPN (virtual private network) on kokoelma
tekniikoita, joilla laite yhdistetään turvallisesti verkkoon. • VPN mahdollistaa mm.
Verkkoliikenteen seurannan estämisenTurvallisen käytön avoimissa langattomissa verkoissa Joskus maantieteellisesti rajoitetun sisällön käytön.
• Esimerkiksi TunnelBear VPN tai F-Secure Freedome.
Turvallinen ”tunneli” epämääräisen Internetin läpi
Kotiverkko•Verkkolaitteelle (reititin) kirjautumisen salasana
tulee muuttaa oletuksesta (admin, root, [tyhjä]). •Reitittimelle kirjaudutaan selaimen osoitekentässä
IP-osoitteella, joka yleensä muotoa 192.168.1.1 tai vastaavaa.• Langattoman kotiverkon salasana tulee muuttaa
(usein verkkolaitteen pohjassa oleva numerosarja).
Reitittimen salasana sekä WLAN-salasana kannattaa vaihtaa.
Miksi palveluihin tunnistaudutaan?• Palvelu voi
säilyttää ja/tai käsitellä henkilökohtaista tietoatoimia yhteyskanavana ihmisiin tai palveluntarjoajiin.
• Henkilökohtaisuus saavutetaan tunnistautumalla.• Esimerkiksi
Omakanta - sähköiset reseptit Facebook - ystävät, tutut, keskusteluryhmät
Henkilökohtaiset tiedot, vuorovaikutteisuus
Miksi yksikäsitteiset salasanat?
•Käyttäjä ei tiedä, kuinka palveluntarjoaja tallentaa salasanoja. Ne voivat olla jopa tekstitiedostossa ilman salausta.• Jos käyttäjällä on sama salasana eri palveluissa,
yhden palvelun hakkerointi voi haitata muiden palveluiden käyttöä.
Palveluntarjoaja voi mokata tietoturvan
Hakkeroitu Google-tili 1/2Antti käyttää Googlea ja hänellä on heikko salasana. Hakkeri kaappaa tilin ja voi tehdä alkuun seuraavaa:
• Estää Anttia käyttämästä tiliä vaihtamalla salasanan.• Jakaa /poistaa palvelussa olevat tiedot, lähetellä
sähköposteja ja pikaviestejä sekä käsitellä Antille jaettuja tietoja.
• Kokeilla tunnuksia muihin palveluihin ja kenties kaapata myös Facebookin, Twitterin, Instagramin,….
Mitä voi tapahtua, kun hakkeri iskee pilveen?
Hakkeroitu Google-tili 2/2Hakkeri voi joskus käydä todella ärsyttäväksi:
• Perustaa Antin nimissä blogin ja liittää kirjoituksiin Antin valokuvia tai muuta sisältöä pilvestä.
• Haukkua ihmisiä ”Anttina” keskustelupalstoilla, joille kirjautuminen tapahtuu Googlen tunnuksilla.
• Jos Antilla on luottokortti lisättynä tiliin, ostaa mm. sovelluksia ja e-kirjoja sekä vuokrata elokuvia (mobiili).
Mitä voi tapahtua, kun hakkeri iskee pilveen?
Käyttäjätunnuksien hallinnasta• Käyttäjätunnus on yleensä oma sähköpostiosoite.
Samaa tunnusta voi käyttää eri palveluissa• Sähköpostiosoitteet ovat käytännössä julkisia.
Osoitteita ei merkitä kokonaisina verkkosivulle. Parempi ratkaisu on muoto
riku [ät] tvtkoulu.fi• Käyttäjätunnukset tallennetaan esimerkiksi
digitaaliseen muistikirjaohjelmaan (OneNote tms.) allekkain.
Tunnistautuminen
Salasanarunko•Keksi salasanarunko eli hauska ja persoonallinen
ilmaus, jonka muistat varmasti. Esimerkiksi: Ankka2Grill8
• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun nimestä. • Esimerkiksi palvelulle Gmail salasana on:
Ankka2Grill8 + Gma => Ankka2Grill8Gma
Turvallinen tapa käyttää useita palveluita
Salasanarungon turvallisuudesta
•Runko vähintään suojaa käyttäjää tilastollisilta tietoturvauhkilta, jotka ovat leijonanosa hyökkäyksistä.•Tämä ei aina riitä, jos käyttäjään tehdään
kohdistettuja tietoturvahyökkäyksiä.• Salasanarunko on helpohko muistaa sekä
helpottaa myös uusien salasanojen keksimistä.
Riittää hyvin peruskäytössä
Salasanojen hallintaa• LastPass tallentaa käyttäjän salasanat suojattuun
tietokantaan. Pääsalasanalla kirjaudutaan palveluun.• Selaimen lisäosana Lastpass täydentää salasanat
automaattisesti, jolloin käyttäjä vain hyväksyy kirjautumisen.• Lastpass tarjoaa myös testin, joka varmistaa
salasanojen yksikäsitteisyyden ja turvallisuuden.
Pääsalasana on avain palveluiden käyttöön
Salasana unohtunut?• Sähköpostiosoite ja sen salasana tulee muistaa! •Useille palveluille voi antaa puhelinnumeron, jota
käytetään autentikoinnissa.•Googlen salasanan palauttamiseksi löytyvät
ohjeet kirjoittamalla hakuun Google reset password, vastaavasti muille.
Salasanan nollaaminen onnistuu usein sähköpostin kautta
Kaksivaiheinen vahvistus•Useat toimijat (mm. Apple, Google, Microsoft)
antavat käyttäjälle mahdollisuuden kaksivaiheiseen autentikointiin.•Kun tilille kirjaudutaan uudella laitteella, lähettää
palvelu käyttäjän puhelimeen tekstiviestillä vahvistuskoodin, joka näppäillään ruudulle.•Kaksivaiheinen vahvistus otetaan käyttöön
palvelun asetuksista verkossa.
Aktivoi kaksivaiheinen vahvistus tärkeimmissä palveluissa
Turvakysymykset• Useat palvelut sallivat unohtuneen salasanan
palautuksen turvakysymyksiin vastaamalla. Esimerkki: Mistä kaupungista olet kotoisin?
• Kysymykset voivat olla tietoturvariski, jos vastaukset ovat yleisessä tiedossa tai selvitettävissä netistä.
• Ratkaisu on valehdella tietokoneelle. Edelliseen turvakysymykseen voi vastata:
Ankka2Grill
Vastaa turvakysymyksiin jotain, mikä ei pidä paikkaansa
Viralliset palvelut• Virallisiin asiointiväyliin tunnistaudutaan tyypillisesti
verkkopankin tunnuksilla. Muita vaihtoehtoja ovat poliisin myöntämä sirullinen henkilökortti sekä mobiilivarmenne.• Yhteydet verkkopankkiin ovat kaksinkertaisesti
salattuja eli viestintäkanava on salattu, kuten myös lähetettävän viestin sisältö. Lisäksi käytetään kaksivaiheista vahvistusta (tunnusluvut).
Verkkopankkitunnuksilla
Palvelut erilleen!•Palvelut kuten Spotify ja Netflix sallivat
kirjautumisen Facebook-tunnuksilla.• Facebook-tunnuksilla Spotify-palveluun
kirjautuminen saattaa julkaista jokaisen kuunnellun kappaleen omalla FB-aikajanalla (riippuu asetuksista).
Yksityisyyden hallinta säilyy paremmin
Tunnistautumisen avainsanoja• Laitteet
Pääsykoodi, PIN tai sormenjälki, salaus (kryptaus)• Verkot
Avoin WLAN, VPN, kotona reitittimen ja verkon salasana• Palvelut
Sähköpostiosoite ja salasana, salasanarunko ja / tai salasanojen hallinta, kaksivaiheinen vahvistus, turvakysymykset, erilliset palvelut
Kiinnitä huomiota seuraaviin
Hyödyllisiä apuvälineitä
• Salasanojen ja muistiinpanojen hallinta LastPass / KeePass, Evernote / OneNote
•VPN-yhteysTunnelBear VPN, F-Secure Freedome
Tunnistautuminen helpoksi