Windows 10 uus autentimise süsteem

Win 10 logo Turvalisus: Uus autentimise süsteem - Windows Hello, Microsoft Passport ja Device Guard vahendid.

 

(Windows 10 seadmesse võib nüüd sisse logida ka näo, sõrmejälgede või silma võrkkesta tuvastamise teel.)

 

Uuendatud, juuni 2019. On aega unustada paroolid: uus FIDO2 autentimise standard. Paroolita sisselogimine (seda soovi korral), füüsilise turvavõtme kasutamise võimalus ja süsteemi sisselogimise ekraani muudatus.

 

 

 

Windows Hello:

Windows Hello: Windows 10 operatsioonisüsteemiga tuleb ka uus autentimise süsteem. See süsteem, mille nimeks on Wondows Hello, hakkab kasutama erinevaid biomeetrilisi andmeid ja tarkvara ning riistvara tuge, et kasutajat süsteemi sisselogimisel kiirelt ning turvaliselt autoriseerida. Windos Hello on seega tarkvaralahendus, mis töötab koos riistvara sensorite ja skaneerijatega, mis identifitseerivad (tuvastavad) kasutaja tema biomeetriliste andmete järgi. Selle tulemusel ei ole neid standardseid logimisi ja paroole enam vaja kasutada. Windows Hello hakkab toetama Windows 10 seadmesse sisselogija näo, sõrmejälgede ja silma võrkkesta tuvastamist. See annab seadmesse logimisel suurema turvalisuse ja mugavuse kui seda on paroolide sisestamine. Windows Hello puhul piisab Windows 10 seadmesse sisselogimisel sellest kui näitad ainult oma nägu või siis vajutad sõrmega sõrmejäljelugeja skaneerijale ja Sind tuvastatakse viivitamatult. Ja Windows Hello pole mitte ainult mugavam kui parooli sisestamine—ta on ka palju turvalisem! Modernsed sensorid identifitseerivad Sinu unikaalsed personaalsed karakteristikud siis kui Sa logid Win 10 seadmesse sisse.

Windows Hello


Uus Windows Hello nõuab spetsiaalse riistvara olemasolu: näiteks sõrmejäljelugejat, valgustundlikku IR sensorit või muid biomeetrilisi sensoreid. Windows Hello nõuab seega oma tööks näo, silma võrkkesta või sõrmejäljelugemise riistvara. Kui Sa juba kasutad sõrmejäljelugejat (sõrmejäljeskaneerijat), siis võid ka Windows Hello vahendit kasutada, et oma seadet lahti lukustada. Kaamerad aga kasutavad infrapunast tehnoloogiat, et tuvastada Sinu nägu või silma võrkkesta ja nad võivad seda teha erinevates valgustingimustes. Näiteks kui Sa avad oma Windows 10 operatsioonisüsteemiga ja Windows Hello toega (st vastava riistvaraga) sülearvuti kaane, siis hakkab sisseehitatud kaamera Sinu nägu uurima (tuvastama), näited:

pilt ....

...ja... pilt.


Ja järgmise näitega siis oma näo abil süsteemi sisselogimise kogu protseduur, mis kestab ainult paar-kolm sekundit - pilt. Mis aga siis saab kui suure pummeldamise käigus Sinu parim sõber Sinu lambid kinni tagus? Vastus on üllatavalt lihtne, Sa ei saagi süsteemi oma näoga sisse logida ja pead muid logimise meetodeid kasutama, näiteks PIN koodi. Moraal: Joo targalt ja vali ikka õigeid sõpru!

Märkus: Jaapanlaste 'MouseComputer' laseb lähiajal müüki oma pisikese USB kaamera ja USB sõrmejäljelugeja, mis lubavad Windows Hello vahendit kasutada suvalisel Windows 10 kompuutril:

Jaapanlaste 'MouseComputer' laseb lähiajal müüki oma pisikese USB kaamera ja USB sõrmejälje lugeja


Microsoft juba pakubki Windows Store veebilehel uut kompaktset USB sõrmejäljelugejat (ehk sõrmejäljeluger, sõrmejäljeskanner, sõrmejälje skänner, sõrmejälgede skanner) ja seda kolmes variandis, kõiki hinnaga $40:

Microsoft juba pakubki Windows Store veebilehel uut kompaktset USB sõrmejäljelugejat


Allpool siis mõned näited nendest Windows 10 seadmetest, millede riistvara toetab Windows Hello näo tuvastamise abil süsteemi sisselogimist, st see võimalus on kompuutrisse juba sisseehitatud:

Acer Switch Alpha 12 – $599

Dell Inspiron 13 5000 2-in-1 – $499

Dell XPS 13 9365 2-in-1 – $999

HP ENVY Curve AIO 34 – $1,499

HP Spectre x360 – $749.99


Ja Win 10 seadmed, mis omavad Windows Hello jaoks seadmesse juba sisseehitatud sõrmejälgede lugejat (sõrmejälgede skannerit):

ASUS Transformer Mini T102HA – $349

ASUS ZenBook Flip UX360 – $499

Lenovo Miix 720 – $999.99

Samsung Notebook 9 – $999

Lenovo Yoga 910 – $1,999


Need seadmed lubavad Sul oma Windows 10 kompuutrisse mugavalt, turvaliselt ja kiiresti sisse logida. Windows Hello abil saad oma Windows 10 seadmesse sisse logida paari sekundiga – 3 korda kiiremini kui seda oma parooli sisestades. Koos Windows Hello ja Anniversary Update värskendusega võid antud seadmetega logida sisse ka antud tehnoloogiaga ühilduvatesse äppidesse ja Microsoft Edge brauseri kaudu ka veebsaitidesse - pilt.

Seda uut tehnoloogiat saab ka mujal kasutada, näiteks oma Google, Microsofti, Facebook, Twitter ja muude onlain kontode ning pilveteenuste puhul. Sa võid näiteks oma sõrmejälge ka LastPass'i puhul kasutada: Sulle pakutakse seda võimalust ka juba siis kui Sa installeerid selle LastPass'i või kui Sa logid oma uues masinas sinna LastPass'i esmakordselt sisse ja seda sel juhul kui Sinu kompuutris tuvastatakse see sõrmejäljelugeja.
Kui sõrmejälje esmakordsel skaneerimisel see ei õnnestu, siis võid seda teha hiljem oma LastPass'i kasutajakonto (Account Settings) all - sealse 'Multifactor Options' lehe kaudu - pilt. Kui kõik õnnestus, siis võid oma väga pika ja "keerulise" Master Password'i sisestamise asemel lihtsalt oma sõrme kasutada...:

LastPass


EcoID sõrmejäljelugeja koos USB kaabliga sobib väga hästi lauakompuutrite jaoks, asetad oma sõrme sõrmejäljelugeja seadmele ja logid süsteemi sisse. SideTouch sõrmejäljelugeja puhul kasutad sõrmega puudet ja SideSwipe lugeja kasutamisel teed viipeliigutuse.
Nende sõrmejäljelugejate SETUP: kui lugeja on kompuutriga ühendatud, siis avad Settings äpi ja lähed seal 'Accounts -> Sign-in options' alamkategooriasse/lehele ning klikid paremal "Fingerprint" kategooria all 'Set up' nupule - pilt. Seejärel palutakse Sul sisestada oma PIN parool (juhul kui PIN parooli ei ole Sul veel loodud, siis pead ta kohe ka looma) ja pärast seda jätkad juba oma sõrmega tööd, et süsteem saaks Sinu sõrmejäljest kvaliteetse pildi...


Näiteks osa Windows 10 kompuutreid tuleb müüki juba sisseehitatud sõrmejälgede lugejaga ja kasutaja saab siis süsteemi sisse logida ka oma sõrme abil. Toon siin näiteks Ockel Sirius A Pro mini-kompuutri, mis tuleb samuti koos selle sisseehitatud sõrmejälgede lugejaga. Kui Sa käivitad esimest korda selle uue minikompuutri, siis võid juba tema esmase paigaldamise ('initial setup') käigus seada üles ka oma sõrme abil süsteemi sisselogimise meetodi. Kui ilmub vastav ekraan, mis palub Sul üles seada ka see sõrmega sisselogimine, siis puudutad või toksid endale sobiva sõrmega kompuutri vasemal küljel asuvat sõrmejälgede lugejat nii kaua kuni süsteem seda skaneerib. Kui valmis, siis antakse Sulle sellest ka teada ja Sa võid jätkata seda esmast paigaldamist. Pärast seda võid kohe oma süsteemi sisse logida ka oma sõrme abil. Hiljem võid kõike seda ka Settings äpis teha ja Sa võid seal ka oma teise sõrme lisada (skaneerida). Alumisel pildil on siis näha, et kasutaja võib oma Win 10 süsteemi sisse logida nelja meetodiga: oma MS kasutajakonto parooliga, PIN koodiga, pilt-parooliga ja lisaks ka oma sõrmejäljega. Microsofti konto parool oli tal juba olemas, sõrmejälje ja PIN-koodiga sisselogimise seadis ta üles selle esmase installi käigus ning piltparooli määrast ta aga hiljem Settings äpi kaudu. Sisselogimise ekraanil on antud momendil aktiveeritud just see sõrmega logimise funktsioon. Sõrmega sisselogimine käib selle minikompuutri vasemal küljel asuva füüsilise fingerprint scanner'i abil kähku, paari sekundiga:

Süsteemi sisselogimise meetodid


Ja lisaks veel mõned pildid sellest sõrmega süsteemi sisselogimisest:

* Kõigepealt ilmub see nn "Lukustuskuva", mille koristad viipega või ENTER klahviga eest ära - pilt.

Märkus: Kui Sa kasutasid viimati seda sõrmejäljega sisselogimise meetodit, siis pole Sul seda lukustuskuva vaja eest ära koristadagi vaid "näita" kohe oma sõrme sellele sõrmejälje lugejale ja Sa oledki viivitamatult seal Windowsi töölaual.

* Seejärel võid kohe oma sõrmega sisse logida (viimati seda meetodit just kasutatigi) või siis vali mingi muu logimise meetod, klikkides siin 'Sign-in options' lingile - pilt.

* Pärast 'Sign-in options' lingile klikkimist saad siis valida mingi muu süsteemi sisselogimise meetodi... - pilt.

* Antud juhul võib kasutaja siin valida ka näiteks Pilt-parooliga sisselogimise. Kuid kasutaja ei saa rahu ja tahab ikkagi oma musta, paksu ning tõntsi sõrmega toksida ja valib siin uuesti selle sõrmejäljega sisslogimise meetodi - pilt.

* Juhul kui kasutaja sõrmejälg tuvastati, siis näeb ta korraks ka seda 'Hello! Welcome (Põrgusse)' ekraani ja ta jõuabki kohe oma Windows 10 töölauale - pilt.



Veel mõned Windows 7/8/10 jaoks sobivad sõrmejäljelugerid (sõrmejäljeskannerid, sõrmejälje skännerid, sõrmejälgede skannerid, sõrmejäljelugejad) — ka Windows Hello toega:

- Verifi P2000 Premium Metal Fingerprint Reader (Windows 7/8.1 & 10 + Windows Hello) — SOOVITAN ja seda just neile, kes kasutavad ka lauaarvutit; $67.95. Pakendis on ka CD plaat, mis sisaldab juhist, draivereid (ainult Windoes 7 ja 8 jaoks vajalik) ja ' RoboForm Free Edition' tarkvara. Windows 7 ja 8 süsteemide puhul tuleb ENNE selle sõrmejäljelugeri ühendamist ja kasutamist kaasapandud Mini-CD plaadilt draiverid installeerida.

Verifi P2000 Premium Metal Fingerprint Reader


- Kensington VeriMark USB Fingerprint Key Reader (Windows 7, 8.1 & 10 + Windows Hello) — SOOVITAN ja seda just neile, kes kasutavad ka mobiilset kompuutrit; $37.98 / $49.99

Kensington VeriMark USB Fingerprint Key Reader


- iDOO Mini USB Fingerprint Reader (Windows 10/8.1/7 + Windows Hello)

- PQI Mini USB Fingerprint Reader (Windows 7,8 & 10 + Windows Hello)

- Idem FCC BioScan Compact USB Fingerprint Scanner (see sobib ainult Windows 10 jaoks + Windows Hello)

- Eikon Mini USB Fingerprint Reader for PC (Windows 10 ja Windows 8.1 + Windows Hello)




Windows Hello vahendi ülesseadmine (vanemate Windows 10 versioonide, mis ilmusid enne 2019. a. kevadet, näitel):

Märkus: Need näited on siin ära toodud Win 10 natuke vanematest versioonidest, kuid alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest lisanduvad siia ka teatud muudatused ja täiendused, sellest tuleb siin kõige lõpus ka juttu. Kuid üldine tegevusprotsess jääb endiseks ja seega loe kindlasti ka see osa siin läbi - läheb vaja!

Et seda uut Windows Hello vahendit saaks kasutada, pead eelnevalt ka PIN koodi/parooli looma. Seda saab teha 'Settings -> Accounts -> Sign-in options' alamkategooria all, kus klikid PIN sektsioonis 'Add' nupule ja alustad oma PIN parooli loomist. (Kui Sa seda PIN parooli eelnevalt ei loo, siis tuleb see Sul siis luua kui Sa aktiveerid mingi Windows Hello süsteemi sisselogimise võimaluse, näiteks sisselogimise Sinu näo tuvastamisega.)

Kliki siin nuppule 'Add', et alustad PIN parooli loomist:

Kliki siin nuppule 'Add', et alustad PIN parooli loomist


Loo PIN-parool ja kliki nupule OK:

Loo PIN-parool ja kliki nupule OK


Märkus: PIN parooli miinimum pikkuseks on neli numbrit (lubatakse 0–9 ainult; tähed ja spetsiaalsed sümbolid on KEELATUD). Kuid see PIN parool võib olla nii pikk nagu Sa seda soovid, ta ei pea koosnema ainult neljast numbrist, näited:

- pilt ...

- pilt.

PIN loomisest ja miks ta nii vajalik on, sellest rohkem seal.


Selle PIN parooli loomist pakutakse Sulle automaatselt ka järgmistel juhtudel:

* Kui Sa installeerid Windows 10 ja sisened esmakordselt süsteemi (oma Microsofti konto või lokaalse ehk kohaliku konto parooliga). Sel juhul ilmub “Passwords are so yesterday” ekraan, mis selgitab, et PIN on kiirem ja turvalisem. Kui Sa tahad selle PIN-parooli kohe luua, siis kliki seal PIN me! nupule, näited:

- pilt ...

- pilt.


* Kui Sa lülitud oma kohaliku konto alt ümber Microsofti Kasutajakonto alla, siis ka selle ümberlülitumise käigus pakutakse Sulle PIN parooli loomise võimalust. Sel juhul ilmub üks neist kahest ekraanidest: kas "Set up a PIN" ekraan või siis jällegi seesama "Set up a PIN" ekraan, aga koos 'Skip this step' lingiga, millega võid sellest PIN-parooli loomisest esialgu ka loobuda, näited:

- pilt ...

- pilt.



Windows Hello sätteid saab muuta ikka sealsamas 'Settings -> Accounts -> Sign-in options' alamkategooria / lehe all. Et kasutada oma näo äratundmise vahendit, peab Sinu süsteem omama kaamerat, mis toetab ka infrapuna.

Kui Windows 10 ei tuvasta Windows Hello funktsiooni jaoks vajaliku riistvara (näiteks sõrmejäljelugeja või valgustundliku kaamera) olemasolu, siis näed seal 'Settings -> Accounts -> Sign-in options' alamkategooria all "Windows Hello isn't available on this device" kirja ja kogu lugu:

Windows Hello isn't available on this device


Kui aga sobiv riistvara on Sinu Win 10 seadmes juba olemas, siis võid alustada Windows Hello aktiveerimist / ülesseadmist. Ava Settings äpp ja kliki tema avalehes Accounts kategooriale - pilt. Seejärel kliki vasemal 'Sign-in options' alamkategooriale ja Sa näed seal parempoolses paanis "Windows Hello" sektsioonis näo (Face Rcognition), sõrmejälgede (Fingerprint) ja/või silma võrkkesta (Iris) sisselogimise ülesseadmise jaoks ettenähtud 'Set up' nuppe. (Need võimalused siin olenevad Sinu masina riistvarast.)



Sõrmejälgedega süsteemi sisselogimise võimaluse loomine:

* Antud Windowsi masina saab siis süsteemi sisselogimiseks kasutada nii nägu (Face Rcognition) kui ka sõrmejälgi (Fingerprint). Kasutame siinses näites esmalt seda sõrmejälgedega sisselogimise võimalust ja klikime "Fingerprint" all sellele 'Set up' nupule:

Antud näites saab siis süsteemi sisselogimiseks kasutada nii nägu (Face Rcognition) kui ka sõrmejälgi (Fingerprint).


* Seejärel kliki ilmuvas aknakeses 'Get started' nupule:

Seejärel kliki ilmuvas aknakeses 'Get started' nupule


* Pärast 'Get started' nupule klikkimist sisesta oma PIN parool, et kinnitada, et ikka Sinuga on tegemist (juhul kui Sa ei loonud varem PIN parooli, siis pead selle nüüd looma ja siin uuesti alustama) - pilt.

* Nüüd pead oma sõrmega lohistama / libistama üle sõrmejäljelugeja, et alustada seda sõrmejälje skaneerimise protsessi, tee seda seni kuni see protsess lõpetatakse. Kuidas oma sõrmega sellel sõrmejälje skänneril libistada, sõltub juba antud sõrmejäljelugeja tüübist. Näiteks Verifi P2000 sõrmejälje skaneerijal tuleb oma sõrmega ülevalt allapoole libistada (st seadme andmejuhtme poolsest otsast enda poole libistada), mõne sõrmejäljelugeja puhul piisab ainult selle sõrmega puudutamist jne...:

Nüüd pead oma sõrmega lohistama üle sõrmejälgede lugeja, et alustada seda sõrmejälje skaneerimise protsessi, tee seda seni kuni see protsess lõpetatakse


Kui Sa libistad oma sõrmega üle sõrmejäljelugeja, siis näed ka seda skaneerimise protsessi - pilt.

* Kui Sinu sõrme skaneerimine lõpetati ja salvestati, siis kliki ilmuvas aknas kas Add another nupule, seda aga ainult sel juhul kui Sa tahad ka teise sõrme skaneerimist alustada või siis lõpeta kohe, klikkides Close nupule:

Jätka või lõpeta....


!!! Lisa, antud teemaga seotud ja rohkem uuemat infot. "Turvalisus ja sõrmejäljelugejad. Kuidas sõrmejäljelugejat ehk sõrmejäljeskannerit kasutada? (Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)"



Nüüd loome ka oma näoga sisselogimise võimaluse:

* Klikime või toksame siin "Face Recognition" all sellele 'Set up' nupule:

Nüüd loome ka enda näoga sisselogimise võimaluse: klikime või toksame siin "Face Recognition" all sellele 'Set up' nupule


* Klikime esimeses aknas 'Get started' nupule - pilt.

* Seejärel sisesta oma PIN parool - pilt.

* Seejärel hakatakse Sinu nägu skaneerima. Jõllita oma kaamerat senikaua kuni see skaneerimine valmis saab. Kas minu nägu ei tundu Sulle kuidagi tuttav olema? Võib olla oleme kusagil kohtunud - kas Müncheni õllekeldris?

Füürer kaameras



* Kui näo skaneerimine õnnestus, siis näed järgmist akent, mille võid sulgeda - pilt.


Ja nüüd ongi Sul nii sõrmejälgedega kui ka näoga süsteemi sisselogimise võimalused olemas - seda lisaks PIN ja MS kasutajakonto paroolidele. Kui Sa loosid ka pildiparooli, siis on ka see võimalus veel olemas. Sa võid seejärel täiendavalt lisada ka mingi muu sõrme - "Add another" nupuga. Ja Sa võid ka parandada (täiustada) enda näotuvastust - "Improve recognition" nupuga:

Ja nüüd ongi Sul nii sõrmejälgedega kui ka näoga süsteemi sisselogimise võimalused olemas



Sa võid seda "Improve recognition" funktsiooni kasutada niipalju kui soovid ja seda ikka selleks et parandada oma näo tuvastamist. Aga Sa võid selle abil ka prillidega- või päikseprillidega näo siia lisada. Klikid sellele 'Improve recognition' nupule (pilt) ja seejärel klikid juba tuttavale 'Get started' nupule (pilt). Järgmisena pead jälle sisse logima, et Sa saaksid seda Windows Hello vahendit kasutada: Sa võid logimiseks kasutada kas oma näotuvastust või siis PIN parooli. Pärast seda lülitab Windows kaamera sisse ja alustab uuesti Sinu kena näo analüüsimist:

Pärast seda lülitab Windows kaamera sisse ja alustab uuesti Sinu kena näo analüüsimist


Keegi ei keela Sul ka oma varbaid või siis kolmandat silma selleks kasutamast.

Järgmine pilt näitab aga seda et antud masinas on koos muude paroolidega ka see sõrmejäljega süsteemi sisselogimise võimalus olemas ja see on ka üles seatud:




Märkus: Palun ära kasuta võõrasse süsteemi sisselogimisel omanikust ohvri äralõigatud sõrmi või siis väljatorgatud silmi või siis maharaiutud pead, sest see ei õnnestu. Olen ise kõik need läbi proovinud - ei aidanud! See "õnnestub" ainult Hollywood'i tobedates filmides.




Kui Sinu Win 10 ja Hello võimalustega seadet kasutavad mitu inimest, siis saavad ka teised selle uut tüüpi süsteemi sisselogimise endile eraldi üles seada:

* Ava 'Settings > Accounts > Family & other people' alamkategooria/leht.
* Vali paremal kas "Add a family member" või siis "Add someone else to this PC" nupp... (pilt) ...ja sisesta seejärel teise kasutaja Microsofti konto email aadress.
* Logi oma kasutajakonto alt välja ja las seejärel see teine persoon logib ise süsteemi sisse. Seejärel peab ta seadma üles oma profiili ja sealhulgas ka selle Windows Hello vahendi aktiveerima.



Sa võid süsteemi sisselogimisel kasutada ka Kahefaktorilist Autentimist (Two Factor Authentication) - sellest siin edaspidi. Pealegi ei ole see uus Windows Hello identifitseerimise funktsioon kasutajatele kohustuslik, selle võib iga moment välja lülitada ja kasutada selle asemel tavalist kasutajanime ning parooli - seda vähemalt lähitulevikus.

Seega, et seda uut tehnoloogiat kasutada, peab üldjuhul ostma uue Windows 10 kompuutri (või uue riistvara), mis saabuvad müüki pärast Windows 10 väljailmumist. Näiteks OEM süsteemidesse lisatud Intel'i RealSense 3D Camera (F200) hakkab toetama Windows Hello näo ja silma võrkkesta tuvastamise vahendeid, sealhulgas ka automaatset Windowsisse sisselogimist ning "Microsoft Passport" vahendi, millest tuleb kohe allpool juttu, lahtilukustamist (ilma PIN koodi vajaduseta).

Märkused: Et Windows Hello vahendit saaks kasutada, nõutakse näiteks Intel RealSense 3D kaamera olemasolu. Hiljaaegu avaldas Intel praegu turult saadavate nende seadmete loetelu, mis on antud komponendiga varustatud ja need on: Dell Inspiron 15 5548, Acer Aspire V 17 Nitro, Lenovo ThinkPad Yoga 15, Lenovo ThinkPad E550, Asus N551JQ, Asus ROG G771JM, Asus X751LD, HP Envy 15t Touch RealSense Laptop, Lenovo B5030, Dell Inspiron 23 7000 ja HP Sprout.
Windows 10 Mobile opsüsteemiga nutitelefonidest hakkavad seda Windows Hello funktsiooni toetama ainult kõige uuemad mobiiltelefonid ja nendeks on siis Lumia 950 ning Lumia 950 XL ja nende tulevased järglased.


Järgmine 2. augustil 2016 välja ilmuv suur Windows 10 'Anniversary Update' (koodinimega "Redstone 1") värskendus lisab uued võimalused:

* Sa võid nüüd Edge veebibrauseri kaudu vebsaitidesse logida ka Windows Hello biomeetria abil. Sa võid sisselogimiseks kasutada oma nägu, silmade vikerkesta või siis sõrmejälge. (Paroolid kaovad tasapisi minevikku.)
* Windows Hello toetab nüüd ka Windows Store äppisid.
* Opretasioonisüsteemi sisselogimisel saab kasutada Windows Hello vahendit, PIN-koodi, sertifikaate, pilt-parooli või siis lihtsat tekstiparooli:

Uuendatud sisselogimise- ja UAC dialoogiaknad


Etteotsa




Microsoft Passport:

Microsoft Passport: Windows Hello on lokaalne / lokaalne tarkvaralahendus, mida kasutatakse ainult kompuutrisse sisselogimiseks. Kuid koos Hello tehnoloogiaga tahetakse juurutada ka globaalset autentimise mehhanismi, mille koodinimeks on "Microsoft Passport" (praegune Microsoft Account). 'Passport' töötab kõikides Microsofti toodetes, näiteks nagu Outlook.com, OneDrive, People, kontaktid jne. Windows 10 seadmetes asendatakse paroolid nüüd tugeva Kahefaktorilise Autentimisega, mis koosneb registreeritud seadmest ja Windows Hello (biomeetriline) süsteemist (või siis PIN koodist). Laias laastus koosneb Microsoft Passport kahest teenusest: 'Sign-in' teenusest, mis lubab Sul kasutada ühte nime ja parooli, et sisse logida ning 'Wallet' teenusest, mis lubab Sul sooritada kiireid ja mugavaid onlain oste.
See Kahefaktoriline Autentimine ei ole tulevikus enam nii tülikas kui praegu: Microsoft Passport sisaldab kahte võtit - Microsofti võtit ja kasutaja enda võtit. Kasutaja vajab nüüd ainult enda võtit, et pääseda Microsofti kaitstud rakendustele ligi. Microsofti primaarvõti peab olema sertifikaat või siis firmware (püsivara). See tähendab, et Sa pead nüüd kasutama Sulle antud PIN koodi ja see PIN avab Sulle Microsofti toodete uksed.
Esimesel korral võtab selle sertifikaadi saamine ja seejärel PIN või siis Windows Hello ülesseadmine, natuke rohkem aega. Kuid kui see on tehtud, siis saad tulevikus Microsofti toodetele ligi ainult PIN koodi sisestamisega või siis Windows Hello abil. Sa ei pea enam ootama PIN koodi saabumist (SMS teel). Sa saad seda avalikku võtit (PIN koodi või Windows Hello't) kasutada oma kõikides erinevates Windows 10 seadmetes, mis teeb Sinu elu lihtsamaks ja turvalisemaks.

Microsoft Passport tehnoloogiat hakatakse kasutama just korporatiivsetesse süsteemidesse ja onlain-sisusse sisselogimisel. Autentimise protsessis ei saadeta parooli üle võrgu või ei salvestata eemalasuvasse serverisse ja sellega elimineeritakse need kaks peamist turvariski.
Kui Sinu Windows 10 seade omab Windows Hello vahendiga ühilduvat riistvara, siis ta kontrollib Sinu identiteeti ja õigust antu seadmele. Kui autentimine õnnestus, siis saad Sa kasutada neidsamu veebsaite ja teenuseid, mis kasutavad samasugust autentimise tehnoloogiat. Kuna Microsoft on ühinendud FIDO alliansiga, siis saab ilma paroolita kasutada samu teenuseid, mis on antud FIDO alliansiga ühinenud.

Microsoft soovitab kasutajatel Windows 10 installeerimise ajal luua PIN koodi. See kood seotakse kasutaja Microsofti kasutajakontoga (Microsoft Account) ja nii võib seda PIN-koodi kasutada kõikides oma Windows 10 seadmetes. Selle PIN abil võib Windows Store poes ka oste teha.



Kahefaktoriline Autentimine: Selles kahefaktorilises autentimises pole midagi uut ja selle turvamehhanismi on Microsoft juba ammu kasutusele võtnud: Et kindlustada kasutajakontode paremat turvalisust, rakendatakse protsessi, mida kutsutakse Kaheetapiliseks Autentimiseks / Kontrolliks (Two-Step Verification) või siis Kahefaktoriliseks Autentimiseks (Two Factor Authentication). Microsoft nõuab alati kõikidelt kasutajatelt tugevat autentimist (TFA) siis kui nad logivad sisse billing.microsoft.com, xbox.com, OneDrive ja teistesse MS veebsaitidesse. Sellist autentimist nõutakse juhul kui kasutaja asub eemalasuvas "võõras" seadmes / kompuutris ja kui see ei ole veel usaldusväärseks tehtud ("Trusted PC"). Antud autentimist nõutakse aeg-ajalt uuesti ka kasutaja enda juba "usaldusväärses" seadmes, näiteks pärast süsteemi uuendamist, teise kasutajakonto all sisselogimist jne. Näide kahefaktorilisest autentimisest OneDrive pilveruumi - pilt.

Märkus: 'Two Factor Authentication' (TFA, T-FA või 2FA): Mida tähendab Microsofti kasutajakonto turvakood (Security Code)? Sellest on pikemalt juttu Win 8 all - seal.


Kuna süsteemi sisselogimiseks ainuüksi parooli kasutamine on juba ammu ebaturvaline, siis peale tavalise parooliga sisenemise hakkab Windows 10 toetama ka teist autentimise faktorit: ühekordset PIN-koodi, mis omakorda genereeritakse süsteemi poolt ja saadetakse seejärel konto omaniku mobiiltelefonile. Ja alles siis kui kasutaja sisestab kõik need andmed, saab ta sisse logida. Autentimise teise faktorina võib kasutada ka kasutaja eelpool kirjeldatud biomeetrilisi andmeid.
Windows 10 lülitab selle mitmefaktorilise autentimise otse operatsioonisüsteemi enda sisse, kõrvaldades sellega täiendavate väliste riistvaraseadmete vajalikuse. Seega autentimise esimeseks faktoriks saab seade ise koos oma opsüsteemi- ja sisselogimise parooliga. Teiseks faktoriks saab olema siis kas spetsiaalne PIN-kood või siis kasutaja biomeetrilised andmed.
Kasutaja võib näiteks registreerida oma mobiiltelefoni/nutitelefoni ja teha selle oma efektiivseks mandaadiks. Seejärel võib ta teda kasutada oma kompuutrisse, võrku ja veebiteenustesse sisenemiseks. Antud juhul võib Bluetooth või Wi-Fi ühendusega mobiiltelefoni kasutada kui kiipkaarti (st autentimise ühe faktorina).

Paroolide (ka üsna keeruliste ja pikemate) lahtimurdmine pole juba ammu mingi probleem ja sellega saab hakkama ka minusugune ajukääbik, aga kahefaktorilise autentimisega tekib kurjategijal kohe suur probleem: nüüd peab ta sissemurdmiseks omama kasutaja enda seadet ja ka ligipääsu tema PIN koodile või biomeetrilistele andmetele.

Etteotsa




Device Guard:

Device Guard (Windows 10 Home ja Windows 10 Pro versioonides ei ole ta saadaval): Device Guard on firmware, mis ei lase autentimata, mitte-autoriseeritud ja allkirjastamata programmidel, aga ka operatsioonisüsteemil end üles laadida. Meil on vaja just sellist operatsioonisüsteemi, mis teostaks enesekontrolli uurimaks, et mida talle "ette söödetakse" ja mida laetakse käivitamiseks tema mällu (RAM). Siin sõltuda ainult anti-pahavara programmidest, ei ole tänapäeval just tark tegu kuigi ega meil erilisi valikuvõimalusi ka ei ole. Pahavaratõrje programm on eraldi tarkvara, mis tuleb samuti laadida eelnevalt mällu, et ta saaks sinnasamasse mällu laetud rakenduste skaneerimist alustada.
Windows 8.1 on juba anti-pahavara operatsioonisüsteem, temas kasutatakse näiteks 'Windows Secure Boot' ja 'Trusted Boot' vahendeid.

Märkus: 'Windows Secure Boot' ja UEFI (UEFI asendab vana kuni siiamaani kasutusel olnud BIOS'i). Mis on BIOS (natuke vanemates- ja loomulikult üsna vanades kompuutrites)? Mis on UEFI, mis asendab nüüd selle vana BIOS süsteemi? Käib Windows 8 / 8.1 ja Windows 10 kohta. Sellest pikemalt Windows 8 all - seal.


Kuid ohud kasvavad ja nüüd astus Microsoft sammu edasi. Käiku lastakse Device Guard nimeline firmware, mis töötab juba riistvara tasemel ja isegi enne buutimist, lastes ainult nõuetekohaselt allkirjastatud rakendustel ja skriptidel end üles laadida. Ka OEM tootjad on valmis seda oma väljalastavatesse kompuutritesse installeerima. 'Device Guard' on üks Windows 10 parimaid turvalahendusi ja seda kinnitavad ka sellised OEM tootjad nagu Acer, Fujitsu, HP, NCR, Lenovo, PAR ja Toshiba.

See vahend sobib rohkem suurematele organisatsioonidele/ettevõtetele ja ta lubab neil lukustada seadmeid, pakkudes samal ajal kaitset ka uute ja tundmatute pahavarade eest. See vahend pakub kaitset ka Advance Persistent Threats (APT's) osas. Kui see Device Guard funktsioon on Sul lubatud, siis pakutakse ka paremat nn Zero Day tuge, kus lubatakse käivitada ainult usaldusväärseid äppisid. IT administraatorid määravad selle et millised tarkvarad on ohutud või "usaldusväärsed".

Alates järgmisest suurest Windows 10 'Anniversary Update' (koodinimega "Redstone 1") tasuta värskendusest, mis ilmub 2. augustil 2016, hakkab Windows Hello toetama ka Windows Store äppisid ja Microsoft Edge brauserit. Sa võid veebsaiti ja universaalsesse äppi sisselogimisel Windows Hello funktsiooni abil kasutada ka oma nägu, silmade vikerkesta või siis sõrmejälge.


Meenutuseks: Lõpeta see 1234 kui oma paroolina kasutamine!

Etteotsa




Uuendatud, juuni 2019. On aega paroolid unustada: uus FIDO2 autentimise standard. Paroolita sisselogimine (seda soovi korral), füüsilise turvavõtme kasutamise võimalus ja süsteemi sisselogimise ekraani muudatus.


FIDO — Märtsis 2019 avaldas FIDO Alliance (FIDO Liit või FIDO ÜHENDUS) kaks uut autentimise meetodit — Web Authentication (WebAuthn) standard ja Client to Authenticator Protocol (CTAP). Nende uute autentimise meetodite eesmärgiks on kindlustada kasutajate autentimine ilma paroolide salvestamiseta serverisse, st ilma volikirjade kaugvahetuseta. Seega FIDO (FIDO2) koosneb sisuliselt kahest asjast:

1) WebAuthn standard — see on API, mis võimaldab luua avaliku võtme alusel paindlikke, usaldusväärseid ja turvalisi identifikaatoreid. Sõltumata seadme kasutaja autentimise konkreetsest meetodist (nägu, sõrmejälg, silma võrkkest või muu) — Web Authentication aktsepteerib tema volitusi ja teavitab veebirakendust sellest et klient on tuvastatud ja kontrollitud. Mingeid isiklikke andmeid serverile ei edastata, säilitatakse konfidentsiaalsus ja parooli hõivamise või kräkkimise tõenäosus on viidud nullini. WebAuthn kasutab autentimiseks mitut ühilduvat autentijat, näiteks usaldusväärseid rakendusi, SE (turvalisi elemente), TPM ja muid komponente, mis töötavad kasutajakeskkonnas.

2) CTAP protokoll — Identifitseerimine on võimalik ka väliste seadmete abil: USB, Bluetooth või NFC ühendusega. Nendeks välisteks seadmeteks võivad olla näiteks nutitelefon ja füüsiline turvavõti ehk turbevõti (security cey) ning nende jaoks ongi välja töötatud see CTAP protokoll:

CTAP protokoll


FIDO2
— FIDO ja W3C (World Wide Web) poolt loodud paroolivabad autentimise mmetodid on nende heakskiitmise viimases etapis — Candidate Recommendation (CR). WebAuthn standardi ja CTAP autentmise protokolli on juba heaks kiitnud Google, Microsoft ning Mozilla ja see on juurutatud Windows, Mac, Linux, Android ning Chrome OS platvormidesse. Ühesõnaga, FIDO2 on avatud autentimisstandard, mis koosneb W3C veebi autentimise API-st (WebAuthn) ja FIDO2 kliendi autentimisprotokollist (CTAP).

FIDO2 = WebAuthn (client API) + CTAP (authenticator API)

FIDO2 realiseerimine tähendab, et brauseritesse ja veebiplatvormidesse ehitatakse API WebAuthn, aga CTAP kindlustab autentimise andmete edastamise USB, Bluetooth ​​või NFC ühenduse kaudu Internetti ühendatud seadmele (nutitelefon, sülearvuti või lauaarvuti). Avalikul võtmel põhinev ilma paroolita identifitseerimine muudab võimatuks olukorra, kus ühest veebsaidist varastatud sisselogimist kasutatakse teisel veebsaidil. (Alles hiljuti turvaekspertide poolt avaldatud aruanne näitab selgelt, et mobiilseadmete paroolide vargus on pidevalt hoogustumas.)

FIDO2 on ka tagasiühilduv juba olemasolevate FIDO UAF ja FIDO U2F standarditega. Esimesteks brauseriteks, mis saavad selle WebAuthn toe, on Chrome 67 ja Firefox 60.



Uuendatud, juuni 2019: Alates Windows 10 'May 2019 Update' (Windows 10 version 1903) väljalaskest saab Microsoft oma Windows Hello biomeetrilise autentimissüsteemi jaoks ka ametliku FIDO2 sertifikaadi. See sertifikaat hakkab kehtima alates Windows 10 versioonist 1903, mida lastakse ka juba tasapisi välja. Windows Hello pakub Windows 10 kasutajatele juurdepääsu oma seadmetele, kasutades nii arvuti sõrmejälgede või näo tuvastamise andureid kui ka PIN-koode. Biomeetria annab kasutajatele juurdepääsu sellistele programmidele nagu Outlook.com, Office 365, Skype, Xbox Live jne. See FIDO2 sertifikaat lubab nüüd kasutada ka füüsilisi turvavõtmeid (turbevõtmeid), mis annavad kasutajatele lisa kaitsekihi.

Uutele arvutitele ilmub see "FIDO Certified" logo ja kasutajad võivad selle Windows Hello abil siseneda oma onlain kontodesse kõikidest kompuutritest, mis jooksutavad seda uut Windows 10 versiooni 1903.

See sertifitseerimine tähendab siis paroolita sisselogimisest, mis hõlmab WebAuthn või Web Authentication WC3 standardit, mida toetatakse Mozilla Firefox, Microsoft Edge ja Google Chrome poolt. Seda standardit hakkab varsti ka Apple Safari toetama, samas kui Chrome Androidis on juba ametlikult FIDO2 sertifitseeritud.

Microsoft tahab nüüd "ilma paroolideta maailma luua". Kui Sul on see Windows 10 versioon 1903 juba olemas, siis võid soovi korral ka ise seda paroolideta oma süsteemi ja mujale sisselogimist kasutada. Sa pead selleks uue Microsofti kasutajakonto looma, mille loomisel ei ole seda e-mail aadressi ja parooli enam vaja. Selle uue, ilma paroolita, MS konto loomisel näitad ära ainult oma mobiiltelefoni numbri ja kogu lugu. Seejärel kui Sa sisened oma süsteemi antud telefoniga, siis saadab Microsoft Sulle SMS koodi, mille sisestad sisselogimise aknasse. Pärast seda saad kasutada Windows Hello vahendit, et luua endale süsteemi sisselogimise meetod: kas PIN koodiga, sõrmejälgede või näo tuvastamisega (st Windows Hello Face, Fingerprint või PIN parooliga, seda sõltuvalt Sinu seadme võimalustest). Sa ei pea enam kunagi parooli sisestama, seda ei ole Sinu MS kasutajakontos isegi olemas. Sa EI PEA iga kord, kui Sa sisened oma süsteemi, seda SMS koodi sisestama, Sa pead selle telefoni teel saadud SMS koodi sisestama ainult siis kui Sa sisened esimest korda oma uude Windows 10 version 1903 (või kõrgema) operatsioonisüsteemiga kompuutrisse. Sul peab olema eelnevalt loodud ka see uus, oma telefoninumbriga, Microsofti kasutajakonto.

* Vali süsteemi sisselogimise ekraanis oma telefoninumbriga kasutajakonto. Seejärel kliki ülal Sign in lingile:

Seejärel kliki ülal Sign in lingile


* Seejärel saadetakse Sinu mobiiltelefoni ühekordne SMS kood, sisesta see ilmunud aknakesse ja kliki pärast seda seal nupule Sign in.

* Kui Sa oled oma süsteemi juba sisse loginud, siis võid luua süsteemi sisselogimise meetodid, et neid sisselogimisel edaspidi kasutada: lood PIN koodi või sõrmejälgede või näo tuvastamise sisselogimise meetodi või kasutad pilt-parooli meetodit või kasutad füüsilist turvavõtit või siis kasutad neist kohe mitut meetodit (soovitatav) ja Sa ei pea enam kunagi parooli kasutama. (Microsoft usub, et PIN parool on tugevam kui see tavaline tekstiparool.)

Kui Sa oled oma süsteemi juba sisse loginud, siis võid luua süsteemi sisselogimise meetodid


Ka on nüüd muudetud Windows Hello valikute lehte ('Settings > Accounts > Sign-in options') ja kõik kättesaadavad süsteemi sisselogimise valikud on nüüd ühesainsas loendis ning iga valiku all on ka selle kohta käiv selgitus (vaata eelmist pilti).


Füüsilise turvavõtme kasutamise võimalus: Nüüd võib kasutada veel ka USB-A või USB-C portide kaudu ühendatavat, aga ka traadita NFC või siis Bluetooth ühendusega füüsilist turvavõtit ehk turbevõtit (näiteks nagu YubiKey). Need riistvarapõhised turvavõtmed kindlustavad kiire ja mugava kahefaktorilise autentimise ilma et Sa peaksid selleks oma mobiiltelefoni kasutama. Füüsilisi turvavõtmeid toodetakse mitme firma poolt ja nad on ka erineva välimuse, hinna ning võimalustega.

Need turvavõtmed põhinevad FIDO U2F standardile (turvaprotokollile), mida on väga raske vahelt lõigata (üle võtta) ja mida paljud veebsaidid ka toetavad, näiteks Microsofti kasutajakonto teenused, Google, Twitter, Facebook, Instagram, GitHub, Dropbox, Electronic Arts, Epic Games, Nintendo, Okta, Reddit jne. Sa võid neid turvavõtmeid ka oma Windows 7 või Windows 8.1 või isegi Windows 10 operatsioonisüsteemiga ja ka Linux või Mac kompuutritesse sisselogimiseks kasutada. Aga Windows 7/8.1/10 süsteemiga kompuutritesse sisselogimisel saab neid füüsilisi turbevõtmeid ainult siis kasutada kui Sa töötad LOKAALSE kasutajakonto all (mitte aga Microsofti pilve-konto all) - seda vähemalt praegu, juuni 2019. Fido2 standard võib kasutada Windows Hello't koos Microsoft Edge brauseriga, et autentida Sinu Windowsi, juhul kui see turvavõti toetab seda.

Ühesõnaga, sellist füüsilist turvavõtit kasutatakse krüpteeritud võtme hoidmiseks, mis võimaldab Sulle juurdepääsu oma arvutitele, veebisaitidele / onlain teenustele, võrkudesse või Sinu kompuutris olevatele konkreetsetele programmidele. See on analoogne Sinu võtmele, millega Sa sisened oma maia või korterisse ja ta on teiseks teguriks Sinu identiteedi kinnitamisel (lisaks sisselogimise nimele ja paroolile).


Loe sellest edasi "Turvalisus ja füüsilised turvavõtmed. Kuidas riistvaralist turvavõtit ehk turbevõtit (Security Key) kasutada? (Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)" artiklist.



Süsteemi sisselogimise ekraani muudatus:

Sisselogimise ekraanile on nüüd lisatud ka Fluent Design'i akrüülefekt (acrylic blur effect), mis muudab nüüd selle süsteemi sisselogimise ekraani uduseks / ähmaseks ja seda ikka selleks et kasutaja saaks keskenduda ainult sisselogimiskastile ning muudele süsteemi sisselogimiseks vajalikele elementidele:

Tuhm ekraan...


...ja teine näide:

Sisselogimise ekraanile on nüüd lisatud ka Fluent Design'i akrüülefekt


Kui Sa jooksutad Windows 10 Pro või Enterprise versiooni, siis võid soovi korral ka selle akrüülefekti sisselogimise ekraanilt ära koristada: mine 'Group Policy > Administrative Templates > System > Logon' harusse, tee seal paremal Show clear logon background poliitikal 2x klikk ja aktiveeri raadionupp Enabled ning kliki OK. Tee seejärel kompuutri restart...

Show clear logon background


...ja tulemus. Antud taustapildiga pole see vahe küll suur, aga võrdle eelpool toodud sedasama sisselogimise ekraani siin alltooduga ja Sa näed ka muutust...:

...ja tulemus


Veel üks näide: alljärgnev pilt on siis selle vaikimisi uduse taustapildiga süsteemi sisselogimise ekraaniga...:

alljärgnev pilt on siis selle vaikimisi uduse taustapildiga süsteemi sisselogimise ekraaniga


...ja kuna kasutaja tühistas vahepeal selle Microsofti üsna imeliku uuenduse, siis nüüd näeb sellel sisselogimise ekraanil ka selget taustapilti:

nüüd näeb sellel sisselogimise ekraanil ka selget taustapilti


Windows 10 Home versiooni kasutajad aga võivad siit laadida alla Eemalda_Logon_Taustapildi_Udusus.zip faili, pakkida see lahti ja käivitada sealt see Eemalda_Logon_Taustapildi_Udusus.reg fail, sellega selle süsteemi sissekogimise ekraani taustapilti jälle selgelt ning puhtalt näha. Teed sellel Eemalda_Logon_Taustapildi_Udusus.reg failil 2x kliki, seejärel klikid Yes, Yes ja OK. Sa ei pea pärast seda kompuutri restarti tegema, vajuta lihtsalt Windows + L klahve, et süsteemi lukustada ja seejärel näed ka tulemust - logi sealt süsteemi uuesti sisse.

Kui tahad seda endist vaikimisi olukorda jälle taastada, siis käivita sealt see teine Luba_Logon_Taustapildi_Udusus.reg fail.



Lisa, antud teemaga seotud. TURVALISUS JA SÜSTEEMI TERVIS: 'Windows Security' universaalne äpp


Lisa, antud teemaga seotud. "Turvalisus ja sõrmejäljelugejad. Kuidas sõrmejäljelugejat ehk sõrmejäljeskannerit kasutada? (Uus FIDO2 standard, uued autentimise meetodid ja Windows Hello.)"


"Mis see Kali Linux on ja milleks ta vajalik on? | Kali Linux'i populaarsemad sissetungirünnete testimise ja häkkimise tööriistad (nii eetiliste kui ka "pahade" häkkerite jaoks). | Kali Linux'i installeerimine virtuaalmasinasse (VirtualBox'i näitel). | Kali Live USB mälupulga loomine — täielikud juhised" - link.


Etteotsa

 




< Tagasi Windows 10 pealehele ja sisukorda

 

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju .|. .|. .|. .|. .|. .|. .|. About Us .|. .|..|. .|. .|. .|. .|. About Me .|. .|. .|..|. .|. .|. .|. Site Map .|. .|. .|. .|. .|. .|. .|. POSTKASTI EI OLE! Sorry, no mailbox | © Ahv & Co Eesti Vabariik 2015 (16/17/18)