Luennolla puhutaan tietolaitteiden henkilökohtaisen käytön tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä käytännössä riittävän turvalliset tavat tunnistautua.
1. Tunnistautuminen
Luennolla puhutaan tietolaitteiden henkilökohtaisen käytön
tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan
laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä
käytännössä riittävän turvalliset tavat tunnistautua.
3. Luentoja tietotekniikasta
•Tunnistautuminen liittyy henkilökohtaisen
käytön tietoturvaan (tunnistautuminen,
järjestelmä, tiedot).
Lisätietoa: tvtkoulu.fi/tietoturva
•Luento sekä muut aiheeseen liittyvät luennot
ovat verkossa SlideShare-palvelussa (tvtkoulu).
4. Tunnistautumisen määrittelyä
•Tietokone ei yleensä osaa vastata sopivalla
tavalla, kun sille puhutaan:
Hei tietokone, haluaisin katsoa sähköpostini ja maksaa
laskut.
•Koneelle (palvelulle) täytyy kertoa täsmälleen,
kuka pyyntöjä esittää.
•Yleensä: Tunnistautuminen = Kirjautuminen
5. Peter W. Singer ja Allan
Friedman (2014)
”Hyvä tietoturva on mahdollinen
vain silloin, kun järjestelmä voi
luottaa käyttäjiin ja toisaalta
käyttäjät voivat luottaa
järjestelmään.”
6. Digitaalinen identiteetti
•Identifiointi eli käyttäjän tunnistaminen, "kuka
olet?”. Käyttäjätunnus on sähköpostiosoite,
tunnusosa tai jokin muu:
riku@tvtkoulu.fi, riku, RikuJ, 82924921
•Autentikointi eli digitaalisen identiteetin
varmennus, "osoita, kuka olet”. Yleensä
salasana eli merkkijono:
Jsl(2lsk, Ankka2Grill8Mic, …
Identifiointi (tunnistaminen) + autentikointi (todennus)
7. Miksi tunnistautua?
•Henkilökohtaisen tiedon käyttö ja säilytys
verkossa vaativat tunnistautumisen
(synkronointi).
valokuvat, yhteystiedot, kalenteri,…
•Vuorovaikutteisuus, kuten
asioiden hoitaminen (posti, vero, poliisi, pankki)
viestintä, verkkokaupat, tiedonhaku
viihdepalvelut (Yle Areena, Spotify,…)
Henkilökohtaiset tiedot, vuorovaikutteisuus
8. Anonyymi internet?
•Ilman digitaalista identiteettiä verkon käyttö
rajoittuu merkittävästi, mm.
tiedonhaku, surffailu, tiedostojen lataaminen,…
•Facebook käyttö anonyyminä? Kyseenalaista.
•Ratkaisuja mm.
Linux, Tor-verkko sekä erillinen Internet-selain
toinen identiteetti, joka pidetään erillisenä todellisesta
digitaalisesta identiteetistä.
Surffailua Linuxilla Tor-verkossa, erillinen identiteetti,…
10. Mobiililaitteet
• Mobiililaite sisältää mahdollisesti eniten
henkilökohtaista tietoa käyttäjästä, mm.
yhteystiedot, kalenteri, valokuvat,...
• Käyttäjä on jatkuvasti kirjautuneena palveluihin.
• Lukitusnäyttö (+salaus) suojaa laitteen. Vahvuus tulee
olla vähintään tasoa nelinumeroinen PIN-koodi.
Lukitusnäyttö PIN-koodilla suojattuna
11. Windows
•Windows 8:sta eteenpäin kirjaudutaan suoraan
Microsoft-tilille. Osa palveluista (OneDrive),
ovat käyttäjäkohtaisia.
•Koneen salasanan voi korvata PIN-koodilla
Windowsin asetuksista.
•Kiintolevyn salaus – BitLocker (Windows Pro)
Kirjautuminen PIN-koodilla omalle Windows-tilille
13. Avoin langaton verkko on turvaton!
•Avoimessa WLAN-verkossa tiedon kaapannut taho
voi lukea sisällön ilman merkittäviä esteitä.
•Muut verkon laitteet voivat "kuunnella"
liikennettä sekä tallentaa käyttäjätunnuksia &
salasanoja käyttäjän huomaamatta mitään.
•Sivustoille, jotka vaativat tunnistautumista, tulee
avoimissa verkoissa käyttää VPN-yhteyttä.
Tieto ei ole salattua, käytä VPN-yhteyttä tarvittaessa
15. VPN-yhteyksistä
• VPN (virtual private network) on kokoelma
tekniikoita, joilla laite yhdistetään turvallisesti
verkkoon.
• VPN mahdollistaa mm.
Verkkoliikenteen seurannan estämisen
Turvallisen käytön avoimissa langattomissa verkoissa
Joskus maantieteellisesti rajoitetun sisällön käytön.
• Esimerkiksi TunnelBear VPN tai F-Secure Freedome.
Turvallinen ”tunneli” epämääräisen Internetin läpi
16. Kotiverkko
•Verkkolaitteelle (reititin) kirjautumisen salasana
tulee muuttaa oletuksesta (admin, root, [tyhjä]).
•Reitittimelle kirjaudutaan selaimen osoitekentässä
IP-osoitteella, joka yleensä muotoa 192.168.1.1 tai
vastaavaa.
•Langattoman kotiverkon salasana tulee muuttaa
(usein verkkolaitteen pohjassa oleva numerosarja).
Reitittimen salasana sekä WLAN-salasana kannattaa vaihtaa.
18. Miksi palveluihin tunnistaudutaan?
• Palvelu voi
säilyttää ja/tai käsitellä henkilökohtaista tietoa
toimia yhteyskanavana ihmisiin tai palveluntarjoajiin.
• Henkilökohtaisuus saavutetaan tunnistautumalla.
• Esimerkiksi
Omakanta - sähköiset reseptit
Facebook - ystävät, tutut, keskusteluryhmät
Henkilökohtaiset tiedot, vuorovaikutteisuus
19. Singer & Friedman, Bazzell,
Mitnick,…
”Jokaisella palvelulla on
oltava yksikäsitteinen
salasana.”
20. Miksi yksikäsitteiset salasanat?
•Käyttäjä ei tiedä, kuinka palveluntarjoaja tallentaa
salasanoja. Ne voivat olla jopa tekstitiedostossa
ilman salausta.
•Jos käyttäjällä on sama salasana eri palveluissa,
yhden palvelun hakkerointi voi haitata muiden
palveluiden käyttöä.
Palveluntarjoaja voi mokata tietoturvan
21. Hakkeroitu Google-tili 1/2
Antti käyttää Googlea ja hänellä on heikko salasana.
Hakkeri kaappaa tilin ja voi tehdä alkuun seuraavaa:
• Estää Anttia käyttämästä tiliä vaihtamalla salasanan.
• Jakaa /poistaa palvelussa olevat tiedot, lähetellä
sähköposteja ja pikaviestejä sekä käsitellä Antille jaettuja
tietoja.
• Kokeilla tunnuksia muihin palveluihin ja kenties kaapata
myös Facebookin, Twitterin, Instagramin,….
Mitä voi tapahtua, kun hakkeri iskee pilveen?
22. Hakkeroitu Google-tili 2/2
Hakkeri voi joskus käydä todella ärsyttäväksi:
• Perustaa Antin nimissä blogin ja liittää kirjoituksiin
Antin valokuvia tai muuta sisältöä pilvestä.
• Haukkua ihmisiä ”Anttina” keskustelupalstoilla,
joille kirjautuminen tapahtuu Googlen tunnuksilla.
• Jos Antilla on luottokortti lisättynä tiliin, ostaa
mm. sovelluksia ja e-kirjoja sekä vuokrata elokuvia
(mobiili).
Mitä voi tapahtua, kun hakkeri iskee pilveen?
23. Käyttäjätunnuksien hallinnasta
• Käyttäjätunnus on yleensä oma sähköpostiosoite.
Samaa tunnusta voi käyttää eri palveluissa
• Sähköpostiosoitteet ovat käytännössä julkisia.
Osoitteita ei merkitä kokonaisina verkkosivulle.
Parempi ratkaisu on muoto
riku [ät] tvtkoulu.fi
• Käyttäjätunnukset tallennetaan esimerkiksi
digitaaliseen muistikirjaohjelmaan (OneNote tms.)
allekkain.
Tunnistautuminen
24. Salasanarunko
• Keksi salasanarunko eli hauska ja persoonallinen
ilmaus, jonka muistat varmasti. Esimerkiksi:
Ankka2Grill8
• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun
nimestä.
• Esimerkiksi palvelulle Gmail salasana on:
Ankka2Grill8 + Gma => Ankka2Grill8Gma
Turvallinen tapa käyttää useita palveluita
25. Salasanarungon turvallisuudesta
•Runko vähintään suojaa käyttäjää tilastollisilta
tietoturvauhkilta, jotka ovat leijonanosa
hyökkäyksistä.
•Tämä ei aina riitä, jos käyttäjään tehdään
kohdistettuja tietoturvahyökkäyksiä.
•Salasanarunko on helpohko muistaa sekä
helpottaa myös uusien salasanojen keksimistä.
Riittää hyvin peruskäytössä
26. Salasanojen hallintaa
• LastPass tallentaa käyttäjän salasanat suojattuun
tietokantaan. Pääsalasanalla kirjaudutaan palveluun.
• Selaimen lisäosana Lastpass täydentää salasanat
automaattisesti, jolloin käyttäjä vain hyväksyy
kirjautumisen.
• Lastpass tarjoaa myös testin, joka varmistaa
salasanojen yksikäsitteisyyden ja turvallisuuden.
Pääsalasana on avain palveluiden käyttöön
27. Salasana unohtunut?
•Sähköpostiosoite ja sen salasana tulee muistaa!
•Useille palveluille voi antaa puhelinnumeron, jota
käytetään autentikoinnissa.
•Googlen salasanan palauttamiseksi löytyvät
ohjeet kirjoittamalla hakuun Google reset password,
vastaavasti muille.
Salasanan nollaaminen onnistuu usein sähköpostin kautta
28. Kaksivaiheinen vahvistus
•Useat toimijat (mm. Apple, Google, Microsoft)
antavat käyttäjälle mahdollisuuden
kaksivaiheiseen autentikointiin.
•Kun tilille kirjaudutaan uudella laitteella, lähettää
palvelu käyttäjän puhelimeen tekstiviestillä
vahvistuskoodin, joka näppäillään ruudulle.
•Kaksivaiheinen vahvistus otetaan käyttöön
palvelun asetuksista verkossa.
Aktivoi kaksivaiheinen vahvistus tärkeimmissä palveluissa
29. Turvakysymykset
• Useat palvelut sallivat unohtuneen salasanan
palautuksen turvakysymyksiin vastaamalla. Esimerkki:
Mistä kaupungista olet kotoisin?
• Kysymykset voivat olla tietoturvariski, jos vastaukset
ovat yleisessä tiedossa tai selvitettävissä netistä.
• Ratkaisu on valehdella tietokoneelle. Edelliseen
turvakysymykseen voi vastata:
Ankka2Grill
Vastaa turvakysymyksiin jotain, mikä ei pidä paikkaansa
30. Viralliset palvelut
• Virallisiin asiointiväyliin tunnistaudutaan tyypillisesti
verkkopankin tunnuksilla. Muita vaihtoehtoja ovat
poliisin myöntämä sirullinen henkilökortti sekä
mobiilivarmenne.
• Yhteydet verkkopankkiin ovat kaksinkertaisesti
salattuja eli viestintäkanava on salattu, kuten myös
lähetettävän viestin sisältö. Lisäksi käytetään
kaksivaiheista vahvistusta (tunnusluvut).
Verkkopankkitunnuksilla
31. Palvelut erilleen!
•Palvelut kuten Spotify ja Netflix sallivat
kirjautumisen Facebook-tunnuksilla.
•Facebook-tunnuksilla Spotify-palveluun
kirjautuminen saattaa julkaista jokaisen
kuunnellun kappaleen omalla FB-aikajanalla
(riippuu asetuksista).
Yksityisyyden hallinta säilyy paremmin
33. Tunnistautumisen avainsanoja
• Laitteet
Pääsykoodi, PIN tai sormenjälki, salaus (kryptaus)
• Verkot
Avoin WLAN, VPN, kotona reitittimen ja verkon salasana
• Palvelut
Sähköpostiosoite ja salasana, salasanarunko ja / tai
salasanojen hallinta, kaksivaiheinen vahvistus,
turvakysymykset, erilliset palvelut
Kiinnitä huomiota seuraaviin