Turvalisus ja füüsilised turvavõtmed.

Kuidas riistvaralist turvavõtit ehk turbevõtit (Security Key) kasutada - 'YubiKey 5 Series' turvavõtmete näitel?

(Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)

 

 

 

FIDO / FIDO2 standard, uued autentimise meetodid ja Windows Hello:

FIDO — Märtsis 2019 avaldas FIDO Alliance (FIDO Liit või FIDO ÜHENDUS) kaks uut autentimise meetodit — Web Authentication (WebAuthn) standard ja Client to Authenticator Protocol (CTAP). Nende uute autentimise meetodite eesmärgiks on kindlustada kasutajate autentimine ilma paroolide salvestamiseta serverisse, st ilma volikirjade kaugvahetuseta. Seega FIDO (FIDO2) koosneb sisuliselt kahest asjast: WebAuthn standardist ja CTAP protokollist.

CTAP protokoll — Identifitseerimine on võimalik ka väliste seadmete abil: USB, Bluetooth või NFC ühendusega. Nendeks välisteks seadmeteks võivad olla näiteks nutitelefon ja füüsiline turvavõti ehk turbevõti (security cey) ning nende jaoks ongi välja töötatud see CTAP protokoll:

CTAP protokoll

 

FIDO2 — FIDO ja W3C (World Wide Web) poolt loodud paroolivabad autentimise mmetodid on nende heakskiitmise viimases etapis — Candidate Recommendation (CR). WebAuthn standardi ja CTAP autentmise protokolli on juba heaks kiitnud Google, Microsoft ning Mozilla ja see on juurutatud Windows, Mac, Linux, Android ning Chrome OS platvormidesse. Ühesõnaga, FIDO2 on avatud autentimisstandard, mis koosneb W3C veebi autentimise API-st (WebAuthn) ja FIDO2 kliendi autentimisprotokollist (CTAP).

FIDO2 = WebAuthn (client API) + CTAP (authenticator API)

FIDO2 realiseerimine tähendab, et brauseritesse ja veebiplatvormidesse ehitatakse API WebAuthn, aga CTAP kindlustab autentimise andmete edastamise USB, Bluetooth ​​või NFC ühenduse kaudu Internetti ühendatud seadmele (nutitelefon, sülearvuti või lauaarvuti). Avalikul võtmel põhinev ilma paroolita identifitseerimine muudab võimatuks olukorra, kus ühest veebsaidist varastatud sisselogimist kasutatakse teisel veebsaidil. (Alles hiljuti turvaekspertide poolt avaldatud aruanne näitab selgelt, et mobiilseadmete paroolide vargus on pidevalt hoogustumas.)
FIDO2 on ka tagasiühilduv juba olemasolevate FIDO UAF ja FIDO U2F standarditega. Esimesteks brauseriteks, mis saavad selle WebAuthn toe, on Chrome 67 ja Firefox 60.

Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest saab Microsoft oma Windows Hello biomeetrilise autentimissüsteemi jaoks ka ametliku FIDO2 sertifikaadi. See sertifikaat hakkab kehtima alates Windows 10 versioonist 1903, mida lastakse ka juba tasapisi välja. Windows Hello pakub Windows 10 kasutajatele juurdepääsu oma seadmetele, kasutades nii arvuti sõrmejälgede või näo tuvastamise andureid kui ka PIN-koode. Biomeetria annab kasutajatele juurdepääsu sellistele programmidele nagu Outlook.com, Office 365, Skype, Xbox Live jne. See FIDO2 sertifikaat lubab nüüd kasutada ka füüsilisi turvavõtmeid (turbevõtmeid), mis annavad kasutajatele lisa kaitsekihi. Uutele arvutitele ilmub see "FIDO Certified" logo ja kasutajad võivad selle Windows Hello abil siseneda oma onlain kontodesse kõikidest kompuutritest, mis jooksutavad seda uut Windows 10 versiooni 1903. See sertifitseerimine tähendab siis paroolita sisselogimisest, mis hõlmab WebAuthn või Web Authentication WC3 standardit, mida toetatakse Mozilla Firefox, Microsoft Edge ja Google Chrome poolt. Seda standardit hakkab varsti ka Apple Safari toetama, samas kui Chrome Androidis on juba ametlikult FIDO2 sertifitseeritud - sellest paroolita sisselogimisest on juttu seal.

Oma onlain kontosid (näiteks Google, Microsoft, Facebook, Twitter jne) tuleks lisaks kaitsta ka kahe-etapilise ehk kahefaktorilise autentimisega, mis annab Sulle täiendava turvalisuse kihi. See nõuab aga Sinu mobiiltelefoni kasutamist, mis on tülikas ja probleemid tekivad ka siis kui Sa oma mobla ära kaotad või kui ta rikki läheb või kui ta ära varastatakse. Seepärast tulevadki siin mängu sõrmejäljelugejad ja füüsilised turvavõtmed (turbevõtmed). Ka need pakuvad Sulle täiendava turvakaitse oma internetikontode ja identiteedi kaitsmisel. Need sõrmejäljelugejad ja riistvarapõhised turvavõtmed kindlustavad kiire ning mugava kahefaktorilise autentimise ['Two Factor Authentication' (TFA, T-FA või 2FA)] ilma et Sa peaksid selleks oma mobiiltelefoni kasutama. Ka nende paigaldamine on piisavalt lihtne.
Etteotsa

 

Füüsiliste turvavõtmete (Security Key's) kasutamine - 'YubiKey 5 Series' võtmete näitel:

Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest toetab Windows Hello nüüd ka USB-A või USB-C portide kaudu ühendatavat, aga ka traadita NFC või siis Bluetooth ühendusega füüsilist turvavõtit ehk turbevõtit (näiteks nagu YubiKey). Need riistvarapõhised turvavõtmed kindlustavad kiire ja mugava kahefaktorilise autentimise ilma et Sa peaksid selleks oma mobiiltelefoni kasutama.

Need turvavõtmed põhinevad FIDO U2F standardile (turvaprotokollile), mida on väga raske vahelt lõigata (üle võtta) ja mida paljud veebsaidid ka toetavad, näiteks Microsofti kasutajakonto teenused, Google, Twitter, Facebook, Instagram, GitHub, Dropbox, Electronic Arts, Epic Games, Nintendo, Okta, Reddit jne. Sa võid neid turvavõtmeid ka oma Windows 7 või Windows 8.1 või isegi Windows 10 operatsioonisüsteemiga ja ka Linux või Mac kompuutritesse sisselogimiseks kasutada. Aga Windows 7/8.1/10 süsteemiga kompuutritesse sisselogimisel saab neid füüsilisi turbevõtmeid ainult siis kasutada kui Sa töötad LOKAALSE kasutajakonto all (mitte aga Microsofti pilve-konto all) - seda vähemalt praegu, juuni 2019. Fido2 standard võib kasutada Windows Hello't koos Microsoft Edge brauseriga, et autentida Sinu Windowsi, juhul kui see turvavõti toetab seda.

Ühesõnaga, sellist füüsilist turvavõtit kasutatakse krüpteeritud võtme hoidmiseks, mis võimaldab Sulle juurdepääsu oma arvutitele, veebisaitidele / onlain teenustele, võrkudesse või Sinu kompuutris olevatele konkreetsetele programmidele. See on analoogne Sinu võtmele, millega Sa sisened oma maia või korterisse ja ta on teiseks teguriks Sinu identiteedi kinnitamisel (lisaks sisselogimise nimele ja paroolile).

Füüsilisi turvavõtmeid toodetakse mitme firma poolt ja nad on ka erineva välimuse, hinna ning võimalustega. Toon siin näiteks ühed parimad (2019) Windowsi jaoks sobivad riistvaralised turvavõtmed (füüsilised turbevõtmed) — ka Windows Hello toega — ja nendeks on "YubiKey 5 Series" füüsilised turvavõtmed. Yubico pakub erinevaid turvavõtmeid USB-A, USB-C või siis traadita NFC-ühendusega seadmetele, samas kui Google pakub ainult Bluetooth kaudu kasutatavat. Enne sellise riistvaralise turvavõtme ostmist kontrolli ka seda et kas Sinu rakendused ikka toetavad seda U2F standardit. (Yubicol on selleks ka nimekiri rakendustest, mis töötavad tema võtmetega; kuna enamik võtmeid kasutab sedasama standardit, siis peaksid ka need töötama nende teenustega.)

Kui Sa kasutad oma Microsofti kontot näiteks koos mingi YubiKey riistvaralise turvavõtmega, siis saad kiirelt ja lihtsalt juurdepääsu sellistele teenustele nagu Outlook.com, Office, Skype, OneDrive, Xbox Live, Bing jms.

!!! Sa ei saa nende võtmete andmeid kopeerida, migreerida või salvestada oma turvavõtmete vahel (isegi kui Sul on sama mudeliga võtmed). Kui Sa kaotad oma turvavõtme, siis võid kahe-etapiliseks autentimiseks kasutada näiteks oma mobiiltelefoni või nutitelefonis asuvat vastavat autentimise äppi või siis vastavat turvakoodi, mille Sa eelnevalt mingist pilveteenusest said. Juhul kui Sa tahad nüüd uut turvavõtit kasutada, siis pead oma kõikide kontode puhul läbima uuesti selle kontode taasavamise ja uue füüsilise turvavõtme registreerimise protsessi. Kui Sa kasutad seda füüsilist turvavõtit lisaks ka oma masinasse sisselogimiseks (lokaalse konto alla), siis jääbki Sul see AINSAKS sisselogimise meetodiks. Juhul kui Sa kaotad, näiteks oma YubiKey turvavõtme ja kui Sul ei ole sedasama ning sellesama konfiguratsiooniga varuvõtit ja kui Sa ei loonud eelnevalt ka seda taastekoodi (recovery code), siis pead oma Windowsi ümber installeerima. Seepärast tuleksi korraga osta kaks ühesugust turvavõtit (pakendis on 2 turvavõtit) ja need mõlemad seejärel ühtemoodi kõikides pilveteenustes registreerida ning Windowsis konfigureerida. Sel juhul jääb üks neist turvavõtmetest varuvõtmeks ehk reservõtmeks (backup key). Või loo siis eelnevalt, näiteks Yubico turvavõtme puhul, selle 'Yubico Login for Windows' tarkvaraga kindlasti ka see taastekood (recovery code), et selle abil siis süsteemi sisse saada - sellest siin edaspidi.

 

Allpool siis paar sobivat Yubico firma riistvaralist turvavõtit:

- YubiKey 5 NFC turvavõti ($45): Selle Yubico firma YubiKey 5 NFC füüsilise turvavõtme (https://www.yubico.com/product/yubikey-5-nfc/#yubikey-5-nfc) võimalused: USB-A ja NFC (mobiilne autentimine NFC kaudu) ühendused; paroole ei ole vaja, tugev kahefaktoriline autentimine, tugev Multi-Factor; Google Account, Microsoft account, Salesforce.com jne; 1Password, Dashlane Premium, Keeper®, LastPass Premium jne paroolihaldurid; Dropbox, Google Drive, OneDrive pilveruumid; Facebook, Twitter, YouTube jne; veekindel, põrutuskindel, batareisid ei ole vaja, liikuvad osad puuduvad. Mõtekas on osta kohe pakend, kus on kaks sellist füüsilist turvavõtit (YubiKey 5 NFC - 2 Pack; $90), üks neist jääb siis nõ varuvõtmeks ja seda juhuks kui Sa kaotad ühe võtme ära (või ta läheb Sul mingil moel katki). Algul registreerid igal pool ühe võtme ja seejärel teed sedasama ka teise võtmega, pluss sead nad mõlemad üles ka Windows Hello's ja kui Sa kasutad neid võtmeid ka oma kompuutri lahtilukustamiseks, siis salvesta ja prindi välja või pane mingisse välisesse salvestusmeediasse ka see 'Yubico Login for Windows' tarkvara poolt genereeritud turvakood. Pärast seda jätad teise võtme varuvõtmeks. Kui Sa ei taha seda teist turvavõtit osta ja kui Sa kasutad seda ühte võtit ka süsteemi sisselogimiseks (lokaalse konto all), siis hoia alles vähemalt tema turvakood!

Ühesõnaga, see YubiKey 5 NFC turvavõti kasutab mõlemat nii USB-A ühendust kui ka traadita NFC ühendust. Selle võtmega võid logida sisse oma onlain kontodesse, teenustesse, Liunux, Mac või Windowsi kompuutritesse (ainult LOKAALSE kontoga töötamisel), Android seadmetesse ja iPhone 7 ning kõrgematesse nutitelefonidesse. YubiKey 5 NFC toetab paljusid turvastandarde, sealhulgas ka OTP, Smart Card, OpenPGP, FIDO U2F ja FIDO2. Kasutajanimed ja paroolid ei ole Sinu kontode kaitsmiseks piisavad. Füüsilise turvavõtme kasutamine kui kahekordse autentimise vormina, on lihtne meetod oma kontode lukustamiseks ja nende turvaliseks hoidmiseks. YubiKey 5 NFC on FIDO ja FIDO2 sertifitseeritud. Ta töötab Google Chrome / Microsoft Edge veebibrauseritega või iga FIDO-nõuetele vastava rakendusega Windowsis, Mac OS'is või Linux'is ja FIDO / FIDO2 toega rakendustega ning ta toetab ka ühekordset parooli (one-time-password - OTP) Chrome, Firefox või Edge brauserite kaudu.

YubiKey 5 NFC turvavõti

YubiKey 5 NFC töötab iga USB A pordiga (USB 2. 0, 3. 0, 3. 1). YubiKey 5 NFC ja teised YubiKey turvavõtmed töötavad aga ka USB-C adapteritega (hubidega) ja seda juhuks kui Sa tahad antud YubiKey füüsilist turvavõtit kasutada just USB Type-C (ehk USB-C) ühendusega. YubiKey turvavõtmetega töötavd näiteks järgmised adapterid:

Mediasonic USB-C to USB-A Female USB 3.1;
Nonda USB-C to USB (ainult "genuine" Nonda);
Apple USB-C to USB; Belkin USB-C to USB;
MonoPrice USB-C to USB.

YubiKey 5 NFC - 2 Pack (kaks sama võtit ühes pakendis) - $90, kui osta näiteks see pakend otse yubico onlain poest, siis läheb see kokku maksma $118.75 ($90 + kohaletoomine $5.00 + Tax $23.75).

 

- YubiKey 5C turvavõti ($50): Yubico pakub aga ka USB-C pordiga ühilduvat turvavõtit, mis on täpselt samade võimalustega nagu ka see eelmine YUBIKEY 5 NFC füüsiline turvavõti, aga ilma selle NFC ühenduseta. Seega, juhul kui Sa kasutad lauarvutit või Android nutitelefoni, mis omavad ainult USB-C (USB Type-C) porti, siis on see parim valik:

YubiKey 5C turvavõti

YubiKey 5C - 2 Pack: $100 + kohaletoomine... + Tax...

Märkus: Praegu on mõtekas on osta just neid kõige uuemaid YubiKey 5 Series füüsilisi turvavõtmeid ja Sa võid neid võrrelda ning osta yubico enda veebsaidi kaudu.

 

Mida need USB-A ja NFC ühendused tähendavad?

* USB-A on "originaalne" USB ühendus ja ta on siiani veel kõige enim kasutatavam ühendus. USB Type-A ühendusi toetatakse ka iga uuema USB versiooniga, sh USB 3.0, USB 2.0 ja USB 1.1. ning mida kasutatakse tavaliselt juhtmega hiirte ja klaviatuuride ühendamiseks. Ka USB mälupulgad kasutavad veel põhiliselt just neid USB-A ühendusi kuigi üha rohkem ilmub müüki ka USB 3.0 ühendusega mälupulki.

* NFC (Near Field Communication) lubab Sinu nutitelefonil suhelda mõne vahetus läheduses oleva seadmega. See töötab umbes 4 cm raadiuses ja tagab traadita ühenduse Sinu seadme ning teise seadme vahel. See võimaldab kahepoolset suhtlemist, kusjuures mõlemad seadmed võivad informatsiooni edastada ja vastu võtta. See NFC raadiolainete ühendus ei sõltu Wi-Fi, 3G, LTE või muudest ja ta ei lähe Sulle midagi maksma.
Näiteks ka Sinu krediitkaart või deebetkaart kasutavad sedasama NFC ühendust (neil on kolm kaarjoont, mis võimaldavad kontaktivabasid makse sooritada). Sama NFC tehnoloogiat kasutatakse ka nutitelefonide, nutikate käekellade jms seadmete puhul. See NFC ühendus ei ole alati nii turvaline kui seda vaja oleks, näiteks praegu võivad kurjategijad Android operatsioonisüsteemiga nutitelefonidesse antud ühenduse puhul ka sisse murda.

 

Uuendatud, 20. august 2019: Yubico tõi täna turule oma uue YubiKey 5Ci ($70), mille ühes otsas on iOS Lightning pistik (esimene mis tahes turvavõtme jaoks) ja USB-C teisel. See annab peaaegu igale seadmele USB turvavõtme täiendava kaitse.

5Ci YubiKey

iOS operatsioonisüsteemi puhul toetab see 5Ci esialgu ainult järgmisi rakendusi:

LastPass (nõuab Premium varianti)
1Password
Bitwarden
Idaptive
Okta

Ka Brave brauser toetab 5Ci turvavõtit mõnede veebsaitide jaoks, näiteks nagu Twitter, Github, Login.gov, Bitbucket.org ja 1Password.com.

Kuid selle turvavõtme USB-C poolne osa töötab suvalise brauseri või teenusega ja seda mistahes operatsioonisüsteemis, mis toetab USB turvavõtmeid. See tähendab, et Sa võid ta ühendada Windowsi, macOS'i, Chrome OS'i, Android'i või mõnda muusse seadmesse, millel on see USB-C port olemas. Ta peaks hästi töötama ka iga Works with YubiKey teenusega.

 

Ka Google lasi välja omaenda füüsilised USB turvavõtmed, esimesed neist ilmusid augustis 2109. Ja üsna pea laseb Google müüki ka uue USB-C Titan nimelise füüsilise turvavõtme. See turvavõti ei oma küll NFC kiipi, nagu tema eelkäijad, aga muus osas pakub ta sama funktsionaalsust. Keskse koha hõivab siin Google Titan kiip.
See uus turvavõti on faktiliselt paljus võlgu just uusimale Yubikey 5C-le, mis on Google'i rõivasse mähitud, ja pole ka ime - võtmeteguriks on siin koostöö selle ala suure tegija Yubico-ga. See USB-C Titan füüsiline turvavõti kasutab siis USB-C ühendust ja ta töötab Windows, Mac, Chrome OS ja Linux süsteemidega. Esimene selline USB-C versioon ilmub müüki USA-s ja seda hinnaga $40.

USB-C Titan

Etteotsa

 

Füüsilise turvavõtme esmane installeerimine ja seejärel Windows Hello vahendis ülesseadmine:

Toon siin näiteks eelpool mainitud 'YubiKey 5 NFC' riistvaralise turvavõtme.

Märkus: Google Chrome & Microsoft Edge brauserid ei toeta praegu veel (juuni 2019) Google kontosse sisselogimisel sõrmejäljelugejaid, aga füüsilisi turvavõtmeid toetatakse! Antud momendil ei toeta Chrome brauser ka Microsofti kontosse sisselogimisel ei turvavõtit ega ka sõrmejäljelugejat. Aga küll need toed ka tulevad.

 

Turvavõtme esmane installeerimine:

Torka see turvavõti oma kompuutri USB pessa ja antud turvavõtme installeerimine käib automaatselt:

Torka see turvavõti oma kompuutri USB pessa ja antud turvavõtme installeerimine käib automaatselt


Seade on valmis...

Kui kõik saab korda, siis minnes 'Settings > Devices > Bluetooth & other devices' lehele, pead seal nägema ka oma turvavõtit:

turvavõti olemas

Kui Sa avad näiteks 'Device Manager' akna, siis näed seal ka oma riistvaralist turvavõtit (antud juhul siis "Smart cards" all). Siin on näha ka seda et praegu on kompuutriga ühendatud ka sõrmejäljelugeja ("Biometric devices" all):

Device Manager
Etteotsa

 

Windows Hello all oma turvavõtme ülesseadmine:

Märkus: Sa saad seda Windows 10 süsteemis teha ainult siis kui Sa jooksutad Windows 10 'May 2019 Update' (Windows 10 version 1903) või kõrgemat versiooni. Kui Sul seda veel ei ole, siis registreeri oma füüsiline turvavõti Microsofti kodulehes enda kasutajakonto all - sellest siin edaspidi. Et seda Windows Hello vahendit saaks kasutada, pead eelnevalt ka PIN koodi / parooli looma. Seda saab teha 'Settings -> Accounts -> Sign-in options' alamkategooria / lehe all, kus klikid parempoolses paanis PIN sektsioonis 'Add' nupule ja alustad oma PIN parooli loomist. (Kui Sa seda PIN parooli eelnevalt ei loo, siis tuleb see Sul siis luua kui Sa aktiveerid mingi Windows Hello süsteemi sisselogimise võimaluse, näiteks sisselogimise Sinu näo tuvastamisega.)
PIN parooli miinimum pikkuseks on neli numbrit (lubatakse 0–9 ainult; tähed ja spetsiaalsed sümbolid on KEELATUD). Kuid see PIN parool võib olla nii pikk nagu Sa seda soovid, ta ei pea koosnema ainult neljast numbrist. Seda PIN parooli võid kasutada ka siis kui Sa oma süsteemi sisse logid ja kui Sa ei kasutagi mingit sõrmejäljelugejat või füüsilist turvavõtit.

Selle PIN parooli loomist pakutakse Sulle automaatselt ka järgmistel juhtudel:

- Kui Sa installeerid Windows 10 ja sisened esmakordselt süsteemi (oma Microsofti konto või lokaalse konto parooliga). Sel juhul ilmub “Passwords are so yesterday” ekraan, mis selgitab, et PIN on kiirem ja turvalisem. Kui Sa tahad selle PIN-parooli kohe luua, siis kliki seal PIN me! nupule - pilt ..............ja ...........veel üks pilt.

- Kui Sa lülitud oma lokaalse konto alt ümber Microsofti Kasutajakonto alla, siis ka selle ümberlülitumise käigus pakutakse Sulle PIN parooli loomise võimalust. Sel juhul ilmub üks neist kahest ekraanidest: kas "Set up a PIN" ekraan või siis jällegi seesama "Set up a PIN" ekraan, aga koos 'Skip this step' lingiga, millega võid sellest PIN-parooli loomisest esialgu ka loobuda - pilt ...............ja ..............veel üks pilt.

Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest on 'Settings' äpis seda Windows Hello sektsiooni ka natuke muudetud ja nüüd näeb ta välja selline. Antud paanis kuvatakse sõrmejäljelugejat ("Windows Hello Fingerprint") ja/või füüsilist turvavõtit ("Security Key") ainult sel juhul kui ta on Sul olemas ja parasjagu kompuutriga ühendatud - pilt.

 

* Veendu, et Sul oleks oma turvavõti kompuutriga ühendatud (antud juhul torgati ta arvuti USB porti).

* Kui Sul oli see PIN parool juba olemas või kui Sa loosid ta nüüd, siis ava nüüd Settings äpp (näiteks vajutades Windows + I klahve) ja mine seal 'Accounts > Sign-in options' lehele ning kliki paremal Security Key valikule ja pärast seda Manage nupule (Sinul võib siin see ka natuke teistmoodi käia, suurt vahet ei ole...):

kliki paremal Security Key valikule ja pärast seda Manage nupule

* Nüüd puuduta sõrmega oma riistvaralise turvavõtme skaneerijat / nuppu (antud juhul siis YubiKey 5 NFC turvavõtme ümmargust kuldset ringikest / nuppu ehk sensorit):

Nüüd puuduta sõrmega oma riistvaralise turvavõtme skaneerijat

* Nüüd kliki nupule Add, et luua või sisestada juba olemasolev PIN parool:

Nüüd kliki nupule Add, et luua või sisestada juba olemasolev PIN parool

* Sisesta kaks korda enda juba olemasolev PIN parool (või loo uus, juhul kui seda ei oldud veel loodud) ja kliki all OK:

Sisesta kaks korda oma PIN parool ja kliki all OK

* Valmis, kliki all Close nupule:

Valmis, kliki all Close nupule
Etteotsa

 

Füüsilise turvavõtme kasutamine pilvepõhistesse kasutajakontodesse / teenustesse sisselogimiseks:

Toon siin jälle näiteks need Yubico turvavõtmed ja konkreetsemalt just YubiKey 5 NFC turvavõtme.

FIDO2 sertifitseeritud — Sinu füüsiline turvavõti võib Sinu pilvepõhiseid kasutajakontosid (internetiteenuseid), näiteks nagu Google, Dropbox, GitHub, Microsoft, Facebook jne kaitsta; st Sa saad oma turvavõtmega nendesse pilveteenustesse sisse logida kasutades kahefaktorilist autentimist; Sa ei pea enam oma mobiiltelefonile saadetavat turvakoodi või parooli selleks kasutama (nõutav kas Chrome või Edge veebibrauser).

Alates Windows 10 (version 1809) versiooniga ja Edge brauseri toega, võivad kõik Microsofti kasutajakontode omanikud nüüd logida sisse Microsofti teenustesse ilma paroolita ja seda FIDO2/WebAuthn kaudu. Jah, ilma paroolideta. Näiteks Yubico turvavõtmete puhul on siis sellised valikud: kasutad oma YubiKey turvavõtit kas USB-A või siis USB-C pordiga (YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, Security Key by Yubico) või siis NFC (near-field communication) traadita ühendusega (selleks on seesama YubiKey 5 NFC turvavõti). Oma Microsoft kasutajakontoga ja YubiKey turvavõtmega ning Edge veebbrausriga saad kiiresti ligi kõikidele järgmistele Microsofti teenustele:

Microsofti teenused

!!! Google Chrome & Microsoft Edge brauserid ei toeta praegu veel (juuni 2019) Google kontosse sisselogimisel sõrmejäljelugejaid, aga füüsilisi turvavõtmeid toetatakse! Antud momendil ei toeta Chrome brauser ka Microsofti kontosse sisselogimisel ei turvavõtit ega ka sõrmejäljelugejat. Aga küll need toed ka tulevad.

Et oma turvavõtit nüüd ka pilvepõhiste teenuste kasutajakontodesse sisselogimiseks kasutada, pead esmalt minema vajaliku internetiteenuse seadistustesse (sätetesse) ja seal oma turvavõtme üles seadma ehk registreerima.

 

Esimene näide. Microsofti kontosse (või teenustesse) turvavõtmega sisselogimine:

Esimene etapp: * Kõigepealt pead turvavõtme seal oma Microsofti kasutajakonto veebsaidis ära registreerima. Avad Microsoft Edge veebibrauseri ja lähed Microsofti konto sisselogimise lehele ning klikid seal Sig In nupule. Seejärel logid sinna oma Microsofti konto pilveteenusesse tavalisel teel sisse (st oma Email aadressi, parooli ja moblale saadetava turvakoodiga). Avad seal "Security" vahelehe ehk saki ja klikid seal "More security options" suurele nupule:

More security options

 

* Järgmisel lehel kliki Set up a security key lingile:

Järgmisel lehel kliki Set up a security key lingile

 

* Seejärel määra uuel lehel üleval see ära, et millist tüüpi YubiKey turvavõtit Sa omad, kas USB või NFC ühendusega turvavõti ja kliki all Next nupule:

USB või NFC ühendusega turvavõti

 

* Sind suunatakse nüüd seadistamislehele, kus Sa pead oma füüsilise turvavõtme kompuutriga ühendama või kui ta oli Sul juba ühendatud, siis pead seda turvavõtit sõrmega vajutama (YubiKey 5 puhul vajutad tema kuldset ringikest / sensorit).
* Seejärel pead oma võtme kaitsmiseks sisestama PIN koodi. Kui Sa olid juba varem oma Windows 10 süsteemis "Windows Hello" all selle PIN parooli loonud, siis sisesta seesama PIN kood.
* Pärast seda pead uuesti oma turvavõtit vajutama (YubiKey 5 puhul vajutad tema kuldset ringikest / sensorit).
* Nüüd anna oma turvavõtmele mingi nimi, et Sa saaksid teda oma teistest võtmetest eristada (soovitan siin registreerida lisaks ka oma teine samasugune turvavõti, juhul kui Sa ostsid kaks ühesugust turvavõtit - see jääks siis varuvõtmeks). Sellega ongi Sinu turvavõti Microsfti teenuste jaoks registreeritud. Nüüd võid soovi korral kohe sealt end välja logida ja siis uuesti sisse logida, et testida oma füüsilist turbevõtit...

 

Teine etapp: Seejärel võid edaspidi igal ajal oma Microsofti kontosse (või teenustesse) ainult oma füüsilise turvavõtmega sisse logida. Mingit e-mail aadressi, ega parooli ja Sinu mobiiltelefonile saadetavat turvakoodi enam vaja ei lähe. Avad Microsoft Edge veebibrauseri ja klikid Microsofti kontosse sisselogimise avalehel "Login sisse Windows Hello abil või turbevõtmega" lingile:

Login sisse Windows Hello abil või turbevõtmega

Seejärel kliki "Security key" valikule:

Seejärel kliki "Security key" valikule

Nüüd puutu oma turvavõtme sensorit:

Nüüd puutu oma turvavõtme sensorit

Seejärel sisesta see PIN kood ja kliki OK:

Seejärel sisesta see PIN kood

Lõpuks vajuta uuesti oma turvavõtmele:

Lõpuks vajuta uuesti oma turvavõtmele

Ja Sa oledki oma Microsofti kontos (või mingis muus MS pilveteenuses) sees:

...ja oledki sisse logitud

 

Microsofti kontolt füüsilise turvavõtme eemaldamine:

Juhul kui Sa kaotasid oma füüsilise turvavõtme või kui Sa ei taha seda enam kasutada, siis eemalda see võti oma Microsofti konto alt, tee järgmist:

1) Logi oma Microsofti kontosse sisse (tavalisel teel).
2) Ava seal "Security" vaheleht.
3) Kliki 'More security otions' suurele nupule.
3) Seejärel kliki "Windows Hello and security keys" sektsioonis sellele "Manage your sign-in methods" lingile ja tegutse...

 

Teine näide. Logime oma turvavõtmega enda Google kasutajakontosse (või teenustesse) sisse:

Esimene etapp. Kõigepealt pead oma turvavõtme seal enda Google kasutajakonto veebsaidis ära registreerima. Sul peab olema kõige hilisem Chrome veebibrauser (aga sobivad ka kõige uuemad Firefox, Opera ja Edge brauserid); käivita Chrome brauser ja logi sinna oma Google kasutajakontosse tavalisel teel sisse (st oma Email aadressi, parooli ja moblale saadetava turvakoodiga). Seejärel klikid vasemas navigatsioonipaanis Security lingile ja klikid pärast seda paremal 2-Step Verification valikule. Pärast seda pead uuesti oma Google kasutajakonto parooli sisestama. Seejärel keri uuel lehel allapoole ja kliki 'ADD SECURITY KEY' nupule ning järgi juhiseid...

Teine etapp: Logi oma füüsilise turvavõtmega Google kasutajakontosse (või teenustesse) sisse:

* Ühenda oma turvavõti kompuuriga ja kliki näiteks Google kontosse sisselogimise veebsaidis Sign in nupule:

Sign in

* Sisesta oma Email aadress ja kliki Next:

Sisesta oma Email aadress ja kliki Next

* Sisesta oma Google konto parool ja kliki Next:

Sisesta oma Google konto parool ja kliki Next

* Nüüd puutu oma füüsilise turvavõtme sensorit:

Nüüd puutu oma füüsilise turvavõtme sensorit

* Korras, kliki Next:

Korras, kliki Next

* Ja Sa oledki oma Google kasutajakontos (või mingis muus Google teenuses) sees:

Ja Sa oledki oma Google kasutajakontos (või mingis muus Google teenuses) sees

 

Märkus: Näiteks kui Sa kasutad Edge brauserit oma Google kontosse (või teenustesse) turvavõtmega sisselogimiseks, siis käib see protsess täpselt samamoodi.

 

Google kontolt füüsilise turvavõtme eemaldamine:

Juhul kui Sa kaotasid oma füüsilise turvavõtme või kui Sa ei taha seda enam kasutada, siis eemalda see võti oma Google kasutajakonto alt, tee järgmist:

1. Mine oma Google konto 2-Step Verification sektsiooni ja logi ennast tavalisel teel sisse.
2. Kliki nüüd selle turvavõtme järel, mida Sa tahad eemaldada, tulevale redakteerimise nupule - edit nupp
. Seejärel kliki REMOVE THIS KEY ja siis OK:

Seejärel kliki Remove This Key ja siis OK

Etteotsa

 

Kui Sa tahad YubiKey turvavõtit kasutada kompuutri lahtilukustamiseks:

Siin tuleb juttu ikka nendest YubiKey 5 seeria turvavõtmetest (konkreetselt siis YubiKey 5 NFC turvavõtmest) ja sellest et kuidas tema abiga ka oma Windowsi kompuutrit lahti lukustada (ehk siis Windowsi süsteemi sisselogimisest). Seda ei saa niisama teha vaid selleks on vaja veel ka 'Yubico Login for Windows' tarkvara, mis on praegu saadaval ainult avaliku EELVAATE versioonina ja tema täiustamine veel käib - laadi ta soovi korral alla sealt.

See 'Yubico Login for Windows' rakendus on mõeldud neile üksikisikutele ja organisatsioonidele, kes eelistavad oma andmete turvaliseks hoidmiseks kasutada ainult LOKAALSEID (KOHALIKKE) kasutajakontosid ja see programm on ette nähtud Windows 7, Windows 8.1 ja Windows 10 kompuutritele. Windows 7 süsteemis saabki ainult seda lokaalset kontot kasutada, aga alates Windows 8 operatsioonisüsteemist lisandus ka see Microsofti pilvekonto. Ühesõnaga, antud 'Yubico Login for Windows' äpp lubab YubiKey turvavõtmega Windows 7, Windows 8.1 või Windows 10 (Windows 10 Home, Pro või Enterprise) kompuutrisse sisse logida. Windows 10 puhul peab Sul jooksma Win 10 Anniversary Edition (Version 1607) või siis hilisem Windows 10. (Sa võid YubiKey turvavõtit näiteks ka Linux või Mac masinatesse sisselogimiseks kasutada.)
YubiKey füüsilist turvavõtit on mõtekas Windows 10 süsteemiga arvuti lahtilukustamiseks kasutada ainult siis kui Sa töötad LOKAALSET / KOHALIKU kasutajakonto all (mitte selle Microsfti pilvekonto all). Lokaalse kasutajakontoga on turvalisem töötada ja selle konto lood Sa siis kui Sa ostad Windows 10 operatsioonisüsteemiga uue kompuutri ning valid tema esmasel paigaldamisel lokaalse kasutajakonto (Offline account'i) või kui Sa teed Windows 10 puhta installeerimise (või ümberinstalleerimise) ja valid Windowsi paigaldamise käigus selle lokaalse kasutajakonto loomise. Ühesõnaga, kui Sa ei taha kohe seda Microsofti kasutajakontot luua vaid soovid luua selle asemel hoopis LOKAALSE ehk KOHALIKU administraatori õigustega konto, siis kliki Win 10 installeerimise käigus "Sign in with Microsoft" ekraanis vasemal all 'Offline account' lingile (varem oli seal selle asemel "Skip this step" kirjaga link). Seejärel sisestad oma kasutajanimeks mingi sobiva nime ja lood süsteemi sisselogimise ka parooli (+ vihje - 'password hint'). Selle lokaalse kasutajakonto loomist pakutakse Sulle kohe ka siis kui Sul puudub Win 10 installeerimise ajal internetiühendus või kui Microsofti kasutajakonto (Microsoft account) valideerimisel läks midagi valesti.

Offline account

See kasutaja töötab Windows 10 süsteemis ainult lokaalse konto all ('Settings > Accounts > Your info'...):

See kasutaja töötab Windows 10 süsteemis ainult lokaalse konto all

Windows 10 süsteemi sisselogimise ekraan, antud masinas on siis kaks kasutajat: lokaalne adminõigustega kasutajakonto ("Varvasteta tulnukas") ja lokaalne ilma adminõigusteta tavakasutaja konto / standardkasutaja konto ("Raketimees"), kelle konto alla hakatakse parasjagu ka sisenema...:

Raketimees

(Sa ei saa seda 'Yubico Login for Windows' tarkvara ja füüsilist turvavõtit kasutada siis kui Sa töötad Microsofti kasutajakonto all ("pilve-kontoga" / Online account'iga).

Märkus: Kui Sa lood Windows 10 masinas algul selle Microsofti kasutajakonto ja lülitud hiljem ümber sellele lokaalsele (kohalikule) kontole, siis pole mõtet seda füüsilist turvavõtit kasutada, sest sel juhul saab "paha poiss" Windows 10 seadmesse "sissemuukimisel" valida süsteemi sisselogimise ekraanis ka selle Microfti kasutajakonto. Ta ei vajagi sel juhul mingit turvavõtit vaid kasutab süsteemi sisselogimiseks mingit muud meetodit, näiteks pilt-parooli või siis PIN-parooli või Microsofti kasutajakonto parooli.

Igasugune füüsiline turvavõti (sh ka YubiKey) kindlustab Windows 7, Windows 8.1 või Windows 10 kompuutrisse sisselogimisel kaheetapilise autentimise, st Sa kasutad seda füüsilist turvavõtit ja oma lokaalse kasutajakonto andmeid: ühendad oma füüsilise turvavõtme kompuutriga ja sisestad süsteemi sisselogimise ekraanis oma lokaalse konto kasutajanime ning parooli ja vajutad ENTER (Sa EI PEA sel juhul oma turvavõtme nuppu vajutama).

Loomulikult saab seda füüsilist turvavõtit kasutada ka veebsaitidesse ja pilveteenustesse sisselogimiseks, mis kindlustab Sulle samuti selle kahefaktorilise autentimise ja Sul ei lähe seda Sinu mobiiltelefonile saadetavat turvakoodi enam vajagi, st Sa võid selleks ajaks oma mobla "nurka visata".

Selle 'Yubico Login for Windows' tarkvara kasutamisel peab eelnevalt teadma järgmist:

* Seda tarkvara ei saa kasutada siis kui Sul oli eelnevalt seatud üles Windowsisse automaatne sisselogimine. Sul tuleb eelnevalt luua süsteemi sisselogimiseks uus parool ja seejärel see Windowsisse automaatne sisselogimine tühistada. Pärast seda kontrolli seda et kas Sa saad ikka selle uue parooliga süsteemi sisse logida.
* Parooli vihjet (Windows Password Hint) ei saa Yubico Login puhul kasutada.
* Ka Windowsi enda parooli lähtestamise funktsioon (Reset Password) ei ole antud juhul kasutatav.
* Sa võid Yubico sisselogimiseks kasutada ka tühja parooliga lokaalset Windowsi kontot. Sisestad ainult Windowsi kasutajanime ja seejärel on YubiKey turvavõti ainus vajalik autentimismehhanism.

 

'Yubico Login for Windows' tarkvara kasutamine

Tee järgmist (juhis tehtud Windows 10 'May 2019 Update' ehk Windows 10 version 1903 näitel):

1. Lae see 'Yubico Login for Windows' tarkvara alla. Mine sinna veebilehele, täida seal see ankeet, kuhu Sa võid suvalised andmed sisestada, aga Sinu Email aadress peab õige olema ja kliki seal all "Submit" nupule. Sinu poolt näidatud meiliaadressile saadetakse siis selle tarkvara allalaadimise link. Vali seal allalaadimise veebilehel kas Yubico-Login-for-Windows-2.0.1-win64.msi või siis Yubico-Login-for-Windows-2.0.1-win32.msi allalaadimine, olenevalt sellest et millist Windowsi versiooni Sa kasutad, kas 32-bit (x86) või siis 64-bit (x64) versiooni. (Tulevikus võib selle 'Yubico Login for Windows' tarkvara allalaadimine muutuda, sest praegu saad Sa ainult tema EELVAATE versiooni kasutada.)

2. Installeeri see 'Yubico Login for Windows' tarkvara, tehes näiteks sellel allalaaditud Yubico-Login-for-Windows-2.0.1-win64.msi failil 2x klõpsu (Sul peavad administraatori õigused olema) jne...:

Yubico Login for Windows

3. Pärast tema installeerimise lõpetamist pead ka kompuutri restardi tegema. Kompuutri taaskäivitamine installib teenuspakkuja volikirja (st uue YubiKey kasutajakonto), mis ilmub ka sinna süsteemi sisselogimise ekraani / kuvale, paludes Sinu YubiKey turvavõtme kasutamist. Kuna aga YubiKey pole veel ette valmistatud, siis pead siin tegema ühte kahest:

* kas sisestama kohe oma tavalise lokaalse konto kasutajanime ja parooli ning logima süsteemi sisse...;

kas sisestama kohe oma tavalise lokaalse konto kasutajanime ja parooli ning logima süsteemi sisse...

* ...või siis lülituma ümber oma tavalisele kasutajakontole ja kasutama süsteemi sisselogimiseks oma lokaalse konto sedasama kasutajanime ning parooli.

4. Ühenda oma YubiKey Neo, YubiKey 4 Series või YubiKey 5 Series turvavõti oma kompuutriga. Antud näites kasutatakse praegu seda kõige uuemat YubiKey 5 NFC füüsilist turvavõtit.
5. Seejärel käivita enda lokaalse konto all Start menüü kaudu see 'Login Configuration' tarkvara:

Seejärel käivita enda lokaalse konto all Start menüü kaudu see 'Login Configuration' tarkvara

6. Kliki "Yubico Login for Windows Configuration" avaaknas lihtsalt nupule Next.
7. Nüüd veendu, et Sul oleks valitud need valikud, mis on siin punase raamiga ümbritsetud ja seejärel kliki Next:

Nüüd veendu, et Sul oleks valitud need valikud, mis on siin punase raamiga ümbritsetud ja seejärel kliki Next

8. Nüüd pane linnuke enda lokaalse kasutajakonto ees asuvasse ruutu ja kliki Next. (Juhul kui antud masinas on rohkem kohalikke / lokaalseid kasutajaid, siis tuleb ka need siin ära valida):

Nüüd pane linnuke enda lokaalse kasutajakonto ees asuvasse ruutu ja kliki Next

9. Kliki siin lihtsalt Next:

Kliki siin lihtsalt Next

10) Nüüd eemalda oma turvavõti kompuutrist:

Nüüd eemalda oma turvavõti kompuutrist

11) Ühenda oma füüsiline turvavõti uuesti kompuutriga:

Ühenda oma füüsiline turvavõti uuesti kompuutriga

12) Kliki Next:

Kliki Next

13) Eemalda uuesti turvavõti kompuutrist:

Eemalda uuesti turvavõti kompuutrist

14) OLULINE! Kui Sa kasutad seda Yubico füüsilist turvavõtit lisaks ka oma masinasse sisselogimiseks (lokaalse konto alla), siis jääbki Sul see AINSAKS sisselogimise meetodiks. Juhul kui Sa kaotad oma turvavõtme ja kui Sul ei ole sedasama ning sellesama konfiguratsiooniga varuvõtit ning kui Sa ei loonud eelnevalt ka seda taastamiskoodi (recovery code), siis pead oma Windowsi ümber installeerima. Seepärast tuleksi korraga osta kaks ühesugust turvavõtit (pakendis on 2 turvavõtit) ja need mõlemad seejärel ühtemoodi kõikides pilveteenustes registreerida ning Windowsis konfigureerida. Sel juhul jääb üks neist turvavõtmetest varuvõtmeks ehk reservõtmeks (backup key). Või loo siis eelnevalt, näiteks Yubico turvavõtme puhul, selle 'Yubico Login for Windows' tarkvaraga kindlasti ka see taastekood (recovery code), et selle abil siis süsteemi sisse saada.
Vot antud aknas siis loodigi see taastamiskood, kliki siin kindlasti sellele "Save to File" nupule ja salvesta see taastekood esialgu oma töölauale. Seejärel pead antud koodi välja printima või üles kirjutama. Nüüd juhul kui Sa kaotad oma YubiKey turvavõtme, siis saad vähemalt selle taastekoodi abil oma süsteemi sisse, sellest siin edaspidi. Salvesta see kood ja kliki pärast seda Next:

Salvesta see kood ja kliki pärast seda Next

15) Korras, sulge see programm:

Korras, sulge see programm

!!! Kuna antud 'Yubico Login for Windows' tarkvara pakutakse praegu (juuni 2019) veel alles eelvaate versioonina, siis võib edaspidi tema kasutajaliides ka natuke muutuda! Kui me kasutame PÄRAST selle 'Login Configuration' tarkvara veel ka mingit muud Yubico tarkvara (näiteks 'YubiKey Manager' või siis 'YubiKey Personalization Tool'-i), siis me ei saa selle turvavõtmega enam oma Windowsi kompuutrisse sisse logida...!
Etteotsa

 

YubiKey turvavõtme kasutamine Windowsi kompuutrisse sisselogimiseks:

Kui teeme nüüd kompuutri restardi (või käivitame ta või kasutame Win+L klahvide abil seda "Lock" funktsiooni), siis teeme järgmist:

* enne kompuutri käivitamist või restarti, ühendame selle YubiKey oma kompuutriga, näiteks torkame ta arvuti USB porti;
* kui ilmub nn Lukustuskuva, siis koristame ta eest ära:

kui ilmub nn Lukustuskuva, siis koristame ta eest ära

* sisestame oma lokaalse konto kasutajanime, seejärel sisestame oma lokaalse kasutajakonto parooli ja vajutame ENTER. (Me ei pea selle turvavõtme nuppu vajutama!) Korras!!!

Me ei pea selle turvavõtme nuppu vajutama!

Korras!!!

Märkus: Kui meil ei olnud see turvavõti süsteemi sisselogimise ajaks arvutiga ühendatud, siis saame järgmise veateate:

Kui meil ei olnud see turvavõti süsteemi sisselogimise ajaks arvutiga ühendatud, siis saame järgmise veateate

Sel juhul klikime OK, ühendame oma turvavõtme kompuutriga, sisestame uuesti enda kasutajakonto parooli ja vajutame ENTER.
Etteotsa

 

Juhul kui Sa kaotasid oma füüsilise turvavõtme ja Sa ei saa kompuutrisse sisse logida:

Juhul kui Sa kaotasid oma YubiKey füüsilise turvavõtme, siis on kaks varianti:

* Kasuta oma YubiKey varuvõtit, juhul kui see olemas on.
* Kui Sul oli 'Yubico Login for Windows' tarkvaraga see taastamiskood eelnevalt loodud, siis kasuta seda taastekoodi, et oma süsteemi sisse saada. Kliki süsteemi sisselogimise ekraanis "Lost your YubiKey?" ligile:

Lost your YubiKey

* Seejärel sisesta oma kasutajanimi, see pikk taastamiskood ja parool ning vajuta ENTER.

Seejärel sisesta oma kasutajanimi, see pikk taastamiskood ja parool ning vajuta ENTER

Kuna Sa pead selle pika taastekoodi (recovery code) sisestama nüüd iga kord kui Sa end süsteemi sisse logid, siis on mõtekas mureteseda kiiresti uus turvavõti. Või kui Sa ei taha seda uut füüsilist turvavõtit enam osta, siis uninstalli see 'Yubico Login for Windows' tarkvara ja Sa saad seejärel oma süsteemi tavalisel teel sisse logida - sellest kohe siin edaspidi. Või kui Sa ei taha enam oma füüsilist turvavõtit enda kompuutrisse sisselogimiseks kasutada vaid tahad seda ainult veebsaitidesse (pilveteenustesse) sisselogimiseks kasutada, siis uninstalli ikkagi see 'Yubico Login for Windows' rakendus ja Sa saad seejärel oma lokaalsesse süsteemi tavalisel teel sisse logida.
Etteotsa

 

'Yubico Login for Windows' tarkvara uninstallimine ja kompuutri lahtilukustamisest loobumine:

* Vali Start menüüst 'Uninstall Yubico Login for Windows' kiirkorraldus:

Vali Start menüüst 'Uninstall Yubico Login for Windows' kiirkorraldus

* Selle peale avatakse Settings äpp, kus kliki 'Yubico Login for Windows' äpi süsteemist eemaldamiseks nupule Uninstall:

Selle peale avatakse Settings äpp, kus kliki 'Yubico Login for Windows' äpi süsteemist eemaldamiseks nupule Uninstall

* Kui Sa teed pärast seda kompuutri restardi, siis saad oma süsteemi juba tavalisel teel sisse logida (st ilma selle turvavõtmeta)...:

Kui Sa teed pärast seda kompuutri restardi, siis saad oma süsteemi juba tavalisel teel sisse logida
Etteotsa

 

YubiKey turvavõtme resettimine ehk lähtestamine (tee seda ainult suurel vajadusel):

Mõnikord on Sul vaja ka oma Yubico turvavõti (YubiKey) resettida, et konfigureerida ta algusest peale. Selle võtme FIDO2 rakenduse resettimine eemaldab kõik volikirjad ja resetib ka FIDO juurvõtme, mida kasutatakse FIDO2 ning U2F poolt kahe-faktoriliseks autentimiseks. Tee järgmist:

* Laadi alla ja installeeri YubiKey Manager instrument.
* Torka oma YubiKey turvavõti kompuutri vabasse USB porti.
* Ava YubiKey Manager rakendus. Märkus: Kui Sa jooksutad 'Windows 10 version 1903' või kõrgemat versiooni, siis pead selle YubiKey Manager rakenduse administraatori õigustega käivitama (st teed tal Start menüüs paremkliki ja valid "More > Run as administrator" käsu).
* Kliki seal üleval menüüribal Applications ja vali seejärel avanevast rippmenüüst FIDO2.
* Kliki all Reset FIDO nupule:

Kliki all Reset FIDO nupule

* Kliki ilmuvas kinnituslehel Yes.
* Kui hoiatatakse, siis eemalda ja torka see turvavõti jälle uuesti tagasi:

Kui hoiatatakse, siis eemalda ja torka see turvavõti jälle uuesti tagasi

* Kui teatatakse, et puutu oma YubiKey turvavõtme nuppu, siis tee seda. (Sel juhul hakkab selle füüsilise turvavõtme LED indikaator vilkuma ja siis puutugi tema kuldset metallkontakti / sensorit.)

Kui teatatakse, et puutu oma YubiKey turvavõtme nuppu, siis tee seda.

* Kui kõik sai korda, siis jõuad sinna "Applications" aknasse tagasi ja Sa näed seal allpool ka "FIDO applications have been reset" kirja.

FIDO applications have been reset

Kui Sa olid oma YubiKey turvavõtme resettinud, siis pead ta uuesti sätestama:

- Lähed Windows 10 'May 2019 Update' (Windows 10 version 1903) või kõrgemas versioonis sinna 'Settings > Accounts > Sign-in options' lehele, klikid seal paremal 'Security Key' lingile ja seejärel Remove nupule jne. Kui valmis, siis klikid sealsamas jälle 'Security Key' lingile ja seejärel klikid nüüd Add nupule ning lood sellesama PIN koodi, mida Sa kasutasid juba varem seal pilveteenuste veebsaitides (ehk sellesama PIN parooli, millega Sa oma turvavõtme kusagil veebsaidis ära olid registreerinud).

- Ja/või kasutad teda oma kompuutri lahtilukustamiseks ('Yubico Login for Windows' instrumendi abil, sellest oli siin eelpool ka juba juttu).

 

PS! Sa võid laadida alla ja kasutada ka Yubico poolt pakutavaid muid rakendusi, näiteks YubiKey Personalization Tool'i, aga tee seda TARGALT ja ainult vajadusel, sest muidu võid oma YubiKey turvavõtme tuksi keerata!

 

Lisa, antud teemaga seotud: "Turvalisus ja sõrmejäljelugejad. Kuidas sõrmejäljelugejat ehk sõrmejäljeskannerit kasutada? (Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)"

"Mis see Kali Linux on ja milleks ta vajalik on? | Kali Linux'i populaarsemad sissetungirünnete testimise ja häkkimise tööriistad (nii eetiliste kui ka "pahade" häkkerite jaoks). | Kali Linux'i installeerimine virtuaalmasinasse (VirtualBox'i näitel). | Kali Live USB mälupulga loomine — täielikud juhised" - link.

Etteotsa