Turvalisus ja sõrmejäljelugejad.

Kuidas sõrmejäljelugejat ehk sõrmejäljeskannerit kasutada?

(Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)

 

 

FIDO / FIDO2 standard, uued autentimise meetodid ja Windows Hello:

FIDO — Märtsis 2019 avaldas FIDO Alliance (FIDO Liit või FIDO ÜHENDUS) kaks uut autentimise meetodit — Web Authentication (WebAuthn) standard ja Client to Authenticator Protocol (CTAP). Nende uute autentimise meetodite eesmärgiks on kindlustada kasutajate autentimine ilma paroolide salvestamiseta serverisse, st ilma volikirjade kaugvahetuseta. Seega FIDO (FIDO2) koosneb sisuliselt kahest asjast: WebAuthn standardist ja CTAP protokollist.

CTAP protokoll — Identifitseerimine on võimalik ka väliste seadmete abil: USB, Bluetooth või NFC ühendusega. Nendeks välisteks seadmeteks võivad olla näiteks nutitelefon ja füüsiline turvavõti ehk turbevõti (security cey) ning nende jaoks ongi välja töötatud see CTAP protokoll:

CTAP protokoll

 

FIDO2 — FIDO ja W3C (World Wide Web) poolt loodud paroolivabad autentimise mmetodid on nende heakskiitmise viimases etapis — Candidate Recommendation (CR). WebAuthn standardi ja CTAP autentmise protokolli on juba heaks kiitnud Google, Microsoft ning Mozilla ja see on juurutatud Windows, Mac, Linux, Android ning Chrome OS platvormidesse. Ühesõnaga, FIDO2 on avatud autentimisstandard, mis koosneb W3C veebi autentimise API-st (WebAuthn) ja FIDO2 kliendi autentimisprotokollist (CTAP).

FIDO2 = WebAuthn (client API) + CTAP (authenticator API)

FIDO2 realiseerimine tähendab, et brauseritesse ja veebiplatvormidesse ehitatakse API WebAuthn, aga CTAP kindlustab autentimise andmete edastamise USB, Bluetooth ​​või NFC ühenduse kaudu Internetti ühendatud seadmele (nutitelefon, sülearvuti või lauaarvuti). Avalikul võtmel põhinev ilma paroolita identifitseerimine muudab võimatuks olukorra, kus ühest veebsaidist varastatud sisselogimist kasutatakse teisel veebsaidil. (Alles hiljuti turvaekspertide poolt avaldatud aruanne näitab selgelt, et mobiilseadmete paroolide vargus on pidevalt hoogustumas.)
FIDO2 on ka tagasiühilduv juba olemasolevate FIDO UAF ja FIDO U2F standarditega. Esimesteks brauseriteks, mis saavad selle WebAuthn toe, on Chrome 67 ja Firefox 60.

Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest saab Microsoft oma Windows Hello biomeetrilise autentimissüsteemi jaoks ka ametliku FIDO2 sertifikaadi. See sertifikaat hakkab kehtima alates Windows 10 versioonist 1903, mida lastakse ka juba tasapisi välja. Windows Hello pakub Windows 10 kasutajatele juurdepääsu oma seadmetele, kasutades nii arvuti sõrmejälgede või näo tuvastamise andureid kui ka PIN-koode. Biomeetria annab kasutajatele juurdepääsu sellistele programmidele nagu Outlook.com, Office 365, Skype, Xbox Live jne. See FIDO2 sertifikaat lubab nüüd kasutada ka füüsilisi turvavõtmeid (turbevõtmeid), mis annavad kasutajatele lisa kaitsekihi. Uutele arvutitele ilmub see "FIDO Certified" logo ja kasutajad võivad selle Windows Hello abil siseneda oma onlain kontodesse kõikidest kompuutritest, mis jooksutavad seda uut Windows 10 versiooni 1903. See sertifitseerimine tähendab siis paroolita sisselogimisest, mis hõlmab WebAuthn või Web Authentication WC3 standardit, mida toetatakse Mozilla Firefox, Microsoft Edge ja Google Chrome poolt. Seda standardit hakkab varsti ka Apple Safari toetama, samas kui Chrome Androidis on juba ametlikult FIDO2 sertifitseeritud - sellest paroolita sisselogimisest on juttu seal.

Oma onlain kontosid (näiteks Google, Microsoft, Facebook, Twitter jne) tuleks lisaks kaitsta ka kahe-etapilise ehk kahefaktorilise autentimisega, mis annab Sulle täiendava turvalisuse kihi. See nõuab aga Sinu mobiiltelefoni kasutamist, mis on tülikas ja probleemid tekivad ka siis kui Sa oma mobla ära kaotad või kui ta rikki läheb või kui ta ära varastatakse. Seepärast tulevadki siin mängu sõrmejäljelugejad ja füüsilised turvavõtmed (turbevõtmed). Ka need pakuvad Sulle täiendava turvakaitse oma internetikontode ja identiteedi kaitsmisel. Need sõrmejäljelugejad ja riistvarapõhised turvavõtmed kindlustavad kiire ning mugava kahefaktorilise autentimise ['Two Factor Authentication' (TFA, T-FA või 2FA)] ilma et Sa peaksid selleks oma mobiiltelefoni kasutama. Ka nende paigaldamine on piisavalt lihtne.
Etteotsa

 

Sõrmejäljelugejate kasutamine:

Sõrmejäljelugejaid (neid kutsutakse ka järgmiselt: sõrmejäljelugerid, sõrmejäljeskannerid, sõrmejälje skännerid, sõrmejälgede skannerid) toodetakse mitme firma poolt ja nad on ka erineva välimuse ning hinnaga. Toon siin näiteks mõned Windows 7/8/10 jaoks sobivad sõrmejäljelugerid — ka Windows Hello toega:

- Verifi P2000 Premium Metal Fingerprint Reader (Windows 7/8.1 & 10 + Windows Hello) — SOOVITAN ja seda just neile, kes kasutavad ka lauaarvutit; $67.95. Pakendis on ka CD plaat, mis sisaldab juhist, draivereid (ainult Windoes 7 ja 8 jaoks vajalik) ja ' RoboForm Free Edition' tarkvara. Windows 7 ja 8 süsteemide puhul tuleb ENNE selle sõrmejäljelugeri ühendamist ja kasutamist kaasapandud Mini-CD plaadilt draiverid installeerida.

Verifi P2000 Premium Metal Fingerprint Reader

 

- Kensington VeriMark USB Fingerprint Key Reader (Windows 7, 8.1 & 10 + Windows Hello) — SOOVITAN ja seda just neile, kes kasutavad ka mobiilset kompuutrit; $37.98 / $49.99

Kensington VeriMark USB Fingerprint Key Reader

 

- iDOO Mini USB Fingerprint Reader (Windows 10/8.1/7 + Windows Hello)

- PQI Mini USB Fingerprint Reader (Windows 7,8 & 10 + Windows Hello)

- Idem FCC BioScan Compact USB Fingerprint Scanner (see sobib ainult Windows 10 jaoks + Windows Hello)

- Eikon Mini USB Fingerprint Reader for PC (Windows 10 ja Windows 8.1 + Windows Hello)

 

Sõrmejälje skänneri esmane installeerimine ja seejärel Windows Hello vahendis ülesseadmine:

Toon siin näiteks eelpool mainitud 'Kensington VeriMark USB Fingerprint Key Reader' sõrmejäljelugeja, mis sobib Windows 7, 8 ja 10 operatsioonisüsteemiga kompuutrite jaoks. (Ta EI tööta veel Mac OS või Chrome operatsioonisüsteemidega.) Ta toetab ka Windows Hello vahendit ja Fast Identity Online (FIDO) universaalset kahefaktorilist autentimist (U2F). Windows Hello lubab Sul antud sõrmejäljelugejaga ka oma Windowsi kompuutrisse sisse logida, Sa ei pea enam meeles pidama oma paroole ja kasutajanimesid; temaga võib kasutada kuni 10 erinevat sõrmejälge (sõrme). Ta töötab iga USB A pordiga (USB 2. 0, 3. 0, 3. 1); teda võib kasutada lisaks ka USB-C pordiga, juhul kui Sul on olemas ka mingi 'USB-C male to USB-A Female adapter'; Sa võid seda sõrmejälje skännerit ka koos tugijaamaga kasutada, et näiteks oma sülearvutit lahti lukustada. FIDO U2F sertifitseeritud — Sinu sõrmejälg võib Sinu pilvepõhiseid kasutajakontosid (internetiteenuseid), näiteks nagu Google, Dropbox, GitHub, Microsoft, Facebook jne kaitsta; st Sa saad oma sõrmejäljelugejaga nendesse pilveteenustesse sisse logida kasutades kahefaktorilist autentimist; Sa ei pea enam oma mobiiltelefonile saadetavat turvakoodi selleks kasutama (nõutav kas Chrome või Edge veebibrauser).

Märkus: Google Chrome & Microsoft Edge brauserid ei toeta praegu veel (juuni 2019) Google kontosse sisselogimisel sõrmejäljelugejaid, aga füüsilisi turvavõtmeid toetatakse! Antud momendil ei toeta Chrome brauser ka Microsofti kontosse sisselogimisel ei turvavõtit ega ka sõrmejäljelugejat. Aga küll need toed ka tulevad.

 

Sõrmejäljelugeja esmane installeerimine:

Torka see sõrmejäljelugeja oma kompuutri USB pessa ja antud sõrmejäljelugeja installeerimine käib automaatselt (lülita enne alustamist oma kolmandate osapoolte antiviirus igaks juhuks välja). Kui kõik saab korda, siis minnes 'Settings > Devices > Bluetooth & other devices' lehele, pead seal nägema ka oma sõrmejäljelugejat:

Settings > Devices > Bluetooth & other devices

Kui Sa avad näiteks 'Device Manager' akna, siis näed oma sõrmejäljelugejat ka seal ("Biometric devices" all):

Biometric devices

Märkus: Juhul kui Sa ei näe seal 'Device Manager' aknas oma sõrmejäljelugerit, siis ava sealsamas allpool see "Other devices" kategooria, seejärel tee "Unknown device" peal paremklikk ja kliki ilmuvas menüüs "Update driver" käsule - pilt.

 

Windows Hello ülesseadmine selleks et Sa saaksid oma sõrmejäljelugejaga ka Windowsisse sisse logida:

Märkus: Et seda Windows Hello vahendit saaks kasutada, pead eelnevalt ka PIN koodi / parooli looma. Seda saab teha 'Settings -> Accounts -> Sign-in options' alamkategooria / lehe all, kus klikid parempoolses paanis PIN sektsioonis 'Add' nupule ja alustad oma PIN parooli loomist. (Kui Sa seda PIN parooli eelnevalt ei loo, siis tuleb see Sul siis luua kui Sa aktiveerid mingi Windows Hello süsteemi sisselogimise võimaluse, näiteks sisselogimise Sinu näo tuvastamisega.)
PIN parooli miinimum pikkuseks on neli numbrit (lubatakse 0–9 ainult; tähed ja spetsiaalsed sümbolid on KEELATUD). Kuid see PIN parool võib olla nii pikk nagu Sa seda soovid, ta ei pea koosnema ainult neljast numbrist. Seda PIN parooli võid kasutada ka siis kui Sa oma süsteemi sisse logid ja kui Sa ei kasutagi mingit sõrmejäljelugejat (või füüsilist turvavõtit).

Selle PIN parooli loomist pakutakse Sulle automaatselt ka järgmistel juhtudel:

- Kui Sa installeerid Windows 10 ja sisened esmakordselt süsteemi (oma Microsofti konto või lokaalse konto parooliga). Sel juhul ilmub “Passwords are so yesterday” ekraan, mis selgitab, et PIN on kiirem ja turvalisem. Kui Sa tahad selle PIN-parooli kohe luua, siis kliki seal PIN me! nupule - pilt ..............ja ...........veel üks pilt.

- Kui Sa lülitud oma lokaalse konto alt ümber Microsofti Kasutajakonto alla, siis ka selle ümberlülitumise käigus pakutakse Sulle PIN parooli loomise võimalust. Sel juhul ilmub üks neist kahest ekraanidest: kas "Set up a PIN" ekraan või siis jällegi seesama "Set up a PIN" ekraan, aga koos 'Skip this step' lingiga, millega võid sellest PIN-parooli loomisest esialgu ka loobuda - pilt ...............ja ..............veel üks pilt.

 

Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest on 'Settings' äpis seda Windows Hello sektsiooni ka natuke muudetud ja nüüd näeb ta välja selline. Antud paanis kuvatakse sõrmejäljelugejat ("Windows Hello Fingerprint") ja/või füüsilist turvavõtit ("Security Key") ainult sel juhul kui ta on Sul olemas ja parasjagu kompuutriga ühendatud - pilt.

 

* Kui Sul oli see PIN parool juba olemas või kui Sa loosid ta nüüd, siis ava nüüd Settings äpp (näiteks vajutades Windows + I klahve) ja mine seal 'Accounts > Sign-in options' lehele ning kliki paremal Windows Hell Fingerprint valikule ja pärast seda Set up nupule:

Windows Hell Fingerprint valik

* Kliki 'Get started' nupule:

Kliki 'Get started' nupule

* Sisesta oma PIN parool:

Sisesta oma PIN parool

* Nüüd pead oma sõrmega puutuma seda sõrmejäljelugejat, et Windows saaks Sinu sõrmejälje skaneeritud, tee seda seni kuni see protsess lõpetatakse. Mõne sõrmejäljeskanneri puhul pead oma sõrmega lohistama / libistama üle selle lugeja. Kuidas oma sõrmega sellel sõrmejälje skänneril libistada, sõltub juba antud sõrmejäljelugeja tüübist. Näiteks Verifi P2000 sõrmejälje skaneerijal tuleb oma sõrmega ülevalt allapoole libistada (st seadme andmejuhtme poolsest otsast enda poole libistada), mõne sõrmejäljelugeja puhul piisab ainult selle sõrmega puudutamist jne...:

Nüüd pead oma sõrmega puutuma seda sõrmejäljelugejat

* Käib skaneerimine ja puutu uuesti oma sõrmejäljelugejat:

Käib skaneerimine ja puutu uuesti oma sõrmejäljelugejat

* Käib skaneerimine ja puutu jälle oma sõrmejäljelugejat:

Käib skaneerimine ja puutu jälle oma sõrmejäljelugejat

* Seejärel puutu / libista oma sõrmejäljelugejal sõrmega mingi muu nurga alt ja kliki Next:

Seejärel puutu / libista oma sõrmejäljelugejal sõrmega mingi muu nurga alt ja kliki Next

* Ja saigi valmis! Nüüd võid soovi korral ka mingi oma teise sõrme skaneerimist alustada, klikkides ülal "Add another finger" lingile, aga Sa võid seda ka kunagi hiljem teha. Või siis lõpeta kohe ja kliki all nupule Close:

Või siis lõpeta kohe ja kliki all nupule Close

* Ja Sa jõuadki tagasi sinna esimesse ekraani, kus võid kunagi hiljem selle "Add another" nupuga ka mingi enda teise sõrme skaneerida...:

Ja Sa jõuadki tagasi sinna esimesse ekraani...
Etteotsa

 

Nüüd võid oma sõrmejäljelugejaga Windowsi süsteemi sisse logida (ehk kompuutri lahti lukustada):

Märkus: Kui Sa kasutad oma uut sõrmejäljelugejat esimest korda süsteemi sisselogimisel, siis tuleb Sul võib olla ka see PIN kood / parool, mille Sa 'Settings' äpis PIN parooliks tegid, siin sisselogimise ekraanis kõigepealt sisestada ja alles seejärel saad oma sõrmejäljelugejat kasutama hakata. Kuid edaspidi piisab ainult sõrmejäljelugejale sõrmega toksamisest (või libistamisest) ja Sa ei pea enam mingit parooli sisestama.

Vajuta Windows + L klahvikombinatsiooni, et lukustada kompuutrit (või tee kompuutri restart või käivita ta kunagi hiljem), seejärel korista see Lukustuskuva ('Lock Screen') eest ära ja puuduta või libista oma õige sõrmega seda sõrmejäljelugejat ning Sa oledki kohe Windowsi töölaual.

Vajuta Windows + L klahvikombinatsiooni...

* Näiteks kui Sa klikkisid eelmises ekraanis hoopis sellele "Sign-in options" lingile, siis võid siin valida ka mingi muu süsteemi sisselogimise meetodi ja siin pakutakse ainult neid valikuid, mille Sa ise varem Windows Hello kaudu üles seadsid (Sinu Mikrosofti kasutajakonto parool on siin aga alati kättesaadav, juhul kui Sa töötad ikka selle Microsofti pilvekonto all, mitte aga lokaalse konto all). Antud juhul saab siin süsteemi sisse logida Pilt-parooliga, sõrmejäljega, Microsofti konto parooliga ja PIN-parooliga. Näiteks kui Sa kaotasid oma sõrmejäljeskanneri ära, siis Sa ei jää seepärast nüüd "ukse taha"...:

Näiteks kui Sa klikkisid eelmises ekraanis hoopis sellele "Sign-in options" lingile...

* Kasutaja valis ikka selle sõrmejäljega sisselogimise meetodi ja pärast oma sõrmega sõrmejäljelugeja puudutamist, näeb ta kas sellist ekraani või ta jõuab siis momentaalselt oma töölauale:

Kasutaja valis ikka selle sõrmejäljega sisselogimise meetodi...

 


Kui Sinu Win 10 ja Hello võimalustega seadet kasutavad mitu inimest, siis saavad ka teised selle uut tüüpi süsteemi sisselogimise endile eraldi üles seada:

* Ava 'Settings > Accounts > Family & other people' alamkategooria/leht.
* Vali paremal kas "Add a family member" või siis "Add someone else to this PC" nupp... (pilt) ...ja sisesta seejärel teise kasutaja Microsofti konto email aadress.
* Logi oma kasutajakonto alt välja ja las seejärel see teine persoon logib ise süsteemi sisse. Seejärel peab ta seadma üles oma profiili ja sealhulgas ka selle Windows Hello vahendi aktiveerima.


Etteotsa

 

Sõrmejäljelugeja kasutamine pilvepõhistesse kasutajakontodesse / teenustesse sisselogimiseks:

FIDO U2F sertifitseeritud — Sinu sõrmejälg võib Sinu pilvepõhiseid kasutajakontosid (internetiteenuseid), näiteks nagu Google, Dropbox, GitHub, Microsoft, Facebook jne kaitsta; st Sa saad oma sõrmejäljelugejaga nendesse pilveteenustesse sisse logida kasutades kahefaktorilist autentimist; Sa ei pea enam oma mobiiltelefonile saadetavat turvakoodi selleks kasutama (nõutav kas Chrome või Edge veebibrauser).

!!! Google Chrome & Microsoft Edge brauserid ei toeta praegu veel (juuni 2019) Google kontosse sisselogimisel sõrmejäljelugejaid, aga füüsilisi turvavõtmeid toetatakse! Antud momendil ei toeta Chrome brauser ka Microsofti kontosse sisselogimisel ei turvavõtit ega ka sõrmejäljelugejat. Aga küll need toed ka tulevad.

Et oma sõrmejäljelugejat nüüd ka pilvepõhiste teenuste kasutajakontodesse sisselogimiseks kasutada, pead esmalt minema vajaliku internetiteenuse seadistustesse (sätetesse) ja seal oma sõrmejäljeskanneri üles seadma ehk registreerima.

 

Esimene näide. Microsofti kontosse (või teenustesse) sõrmejäljelugejaga sisselogimine:

1. Kõigepealt pead oma sõrmejälje skänneri seal enda Microsofti kasutajakonto veebsaidis ära registreerima. Avad Microsoft Edge veebibrauseri, sisened tavalisel teel oma Microsofti konto pilveteenusesse (st oma Email aadressi, parooli ja moblale saadetava turvakoodiga) ja seejärel avad seal "Security" vahelehe ehk saki ning klikid seal "More security options" suurele nupule. Pärast seda sisestad uuesti oma Microsofti kasutajakonto parooli ja klikid Sign in nupule. Seejärel klikid uuel lehel 'Set up Windows Hello' lingile, pärast seda puudutad õige sõrmega oma sõrmejäljelugejat ja ongi kõik:

Set up Windows Hello

2. Seejärel võid edaspidi igal ajal oma Microsofti kontosse (või teenustesse) ainult sõrmejäljelugejaga sisse logida. Mingit e-mail aadressi, ega parooli ja Sinu mobiiltelefonile saadetavat turvakoodi enam vaja ei lähe. Avad Microsoft Edge veebibrauseri ja klikid Microsofti kontosse sisselogimise avalehel "Login sisse Windows Hello abil või turbevõtmega" lingile:

Login sisse Windows Hello abil või turbevõtmega

Seejärel puudutad sõrmega oma sõrmejäljeskannerit ja oledki sisse logitud:

Seejärel puudutad sõrmega oma sõrmejäljeskannerit ja oledki sisse logitud

...ja oledki sisse logitud

Märkus: Google Chrome brauseriga ei saa esialgu veel sõrmejäljelugejaid kasutada ega ka neid seal üles seada, aga see tugi peaks lähimas tulevikus ka ilmuma!

 

Teien näide. Kasutame oma sõrmejäljelugejat LastPass paroolide juhtijaga:

Sa võid näiteks oma sõrmejälge ka LastPass'i puhul kasutada: Sulle pakutakse seda võimalust ka juba siis kui Sa installeerid selle LastPass'i või kui Sa logid oma uues masinas sinna LastPass'i esmakordselt sisse ja seda sel juhul kui Sinu kompuutris tuvastatakse see sõrmejäljelugeja. Kui sõrmejälje esmakordsel skaneerimisel see ei õnnestu, siis võid seda teha hiljem oma LastPass'i kasutajakonto (Account Settings) all - sealse 'Multifactor Options' lehe kaudu - pilt. Kui kõik õnnestus, siis võid oma väga pika ja "keerulise" Master Password'i sisestamise asemel lihtsalt oma sõrme kasutada...:

LastPass

 

Märkus: Selle teise, eelpool mainitud, 'Verifi P2000 Premium Metal Fingerprint Reader (Windows 7/8.1 & 10 + Windows Hello)' sõrmejäljelugejaga ja ka muude sõrmejälje skänneritega käib töötamine täpselt sama moodi nagu ka siin eelpool seda kõike kirjeldati.

Tema pakendis on ka CD plaat, mis sisaldab juhist, draivereid (ainult Windoes 7 ja 8 jaoks vajalik) ja ' RoboForm Free Edition' tarkvara. Windows 7 ja 8 süsteemide puhul tuleb ENNE selle sõrmejäljelugeri ühendamist ja kasutamist kaasapandud Mini-CD plaadilt draiverid installeerida.

Näiteks tema puhul tuleb oma sõrmega üle sõrmejäljelugeri väikse skaneerimissensori libistada suunaga ülevaltpoolt allapoole ja kohe siin allpool ka pilt tema seadistamisest Windows Hello vahendis:

libistada suunaga ülevaltpoolt allapoole

 

Kuidas oma sõrmega antud Verifi P2000 sõrmejälgede skaneerija puhul õieti tegutseda, sellest siin ka vastav video - Sensoril_libistamine.wmv.

 

Lisa, antud teemaga seotud: "Turvalisus ja füüsilised turvavõtmed. Kuidas riistvaralist turvavõtit ehk turbevõtit (Security Key) kasutada? (Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)"

"Mis see Kali Linux on ja milleks ta vajalik on? | Kali Linux'i populaarsemad sissetungirünnete testimise ja häkkimise tööriistad (nii eetiliste kui ka "pahade" häkkerite jaoks). | Kali Linux'i installeerimine virtuaalmasinasse (VirtualBox'i näitel). | Kali Live USB mälupulga loomine — täielikud juhised" - link.

Etteotsa