Turvalisus: Windows 10 uus autentimise süsteem

Win 10 logo Turvalisus: Uus autentimise süsteem - Windows Hello, Microsoft Passport ja Device Guard vahendid.

 

(Windows 10 seadmesse võib nüüd sisse logida ka näo, sõrmejälgede või silma võrkkesta tuvastamise teel.)

 

 

 

Windows Hello:

Windows Hello: Windows 10 operatsioonisüsteemiga tuleb ka uus autentimise süsteem. See süsteem, mille nimeks on Wondows Hello, hakkab kasutama erinevaid biomeetrilisi andmeid ja tarkvara ning riistvara tuge, et kasutajat süsteemi sisselogimisel kiirelt ning turvaliselt autoriseerida. Windos Hello on seega tarkvaralahendus, mis töötab koos riistvara sensorite ja skaneerijatega, mis identifitseerivad (tuvastavad) kasutaja tema biomeetriliste andmete järgi. Selle tulemusel ei ole neid standardseid logimisi ja paroole enam vaja kasutada. Windows Hello hakkab toetama Windows 10 seadmesse sisselogija näo, sõrmejälgede ja silma võrkkesta tuvastamist. See annab seadmesse logimisel suurema turvalisuse ja mugavuse kui seda on paroolide sisestamine. Windows Hello puhul piisab Windows 10 seadmesse sisselogimisel sellest kui näitad ainult oma nägu või siis vajutad sõrmega ja Sind tuvastatakse viivitamatult. Ja Windows Hello pole mitte ainult mugavam kui parooli sisestamine—ta on ka palju turvalisem! Modernsed sensorid identifitseerivad Sinu unikaalsed personaalsed karakteristikud siis kui Sa logid Win 10 seadmesse sisse.

Windows Hello


Uus Windows Hello nõuab spetsiaalse riistvara olemasolu: näiteks sõrmejäljelugejat, valgustundlikku IR sensorit või muid biomeetrilisi sensoreid. Windows Hello nõuab seega oma tööks näo, silma võrkkesta või sõrmejäljelugemise riistvara. Kui Sa juba kasutad sõrmejäljelugejat, siis võid ka Windows Hello vahendit kasutada, et oma seadet lahti lukustada. Kaamerad aga kasutavad infrapunast tehnoloogiat, et tuvastada Sinu nägu või silma võrkkesta ja nad võivad seda teha erinevates valgustingimustes. Näiteks kui Sa avad oma Windows 10 operatsioonisüsteemiga ja Windows Hello toega (st vastava riistvaraga) sülearvuti kaane, siis hakkab sisseehitatud kaamera Sinu nägu uurima (tuvastama): pilt .................ja............ veel üks pilt. Ja järgmise näitega siis oma näo abil süsteemi sisselogimise kogu protseduur, mis kestab ainult paar-kolm sekundit - pilt. Mis aga siis saab kui suure pummeldamise käigus Sinu parim sõber Sinu lambid kinni tagus? Vastus on üllatavalt lihtne, Sa ei saagi süsteemi oma näoga sisse logida ja pead muid logimise meetodeid kasutama, näiteks PIN koodi. Moraal: Joo targalt ja vali ikka õigeid sõpru!

Märkus: Jaapanlaste 'MouseComputer' laseb lähiajal müüki oma pisikese USB kaamera ja USB sõrmejäljelugeja, mis lubavad Windows Hello vahendit kasutada suvalisel Windows 10 kompuutril:

Jaapanlaste 'MouseComputer' laseb lähiajal müüki oma pisikese USB kaamera ja USB sõrmejälje lugeja


Microsoft juba pakubki Windows Store veebilehel uut kompaktset USB sõrmejäljelugejat ja seda kolmes variandis, kõiki hinnaga $40:

Microsoft juba pakubki Windows Store veebilehel uut kompaktset USB sõrmejäljelugejat


Allpool siis mõned näited nendest Windows 10 seadmetest, millede riistvara toetab Windows Hello näo tuvastamise abil süsteemi sisselogimist:

Acer Switch Alpha 12 – $599

Dell Inspiron 13 5000 2-in-1 – $499

Dell XPS 13 9365 2-in-1 – $999

HP ENVY Curve AIO 34 – $1,499

HP Spectre x360 – $749.99


Ja Win 10 seadmed, mis omavad Windows Hello jaoks seadmesse juba sisseehitatud sõrmejälgede lugejat:

ASUS Transformer Mini T102HA – $349

ASUS ZenBook Flip UX360 – $499

Lenovo Miix 720 – $999.99

Samsung Notebook 9 – $999

Lenovo Yoga 910 – $1,999


Kui tahad vaadata kogu loetelu nendest Windows 10 seadmetest, millede sisseehitatud riistvara toetab ka Windows Hello't (seisuga 2017 märts), siis külasta seda linki.

Need seadmed lubavad Sul oma Windows 10 kompuutrisse mugavalt, turvaliselt ja kiiresti sisse logida. Windows Hello abil saad oma Windows 10 seadmesse sisse logida paari sekundiga – 3 korda kiiremini kui seda oma parooli sisestades. Koos Windows Hello ja Anniversary Update värskendusega võid antud seadmetega logida sisse ka antud tehnoloogiaga ühilduvatesse äppidesse ja Microsoft Edge brauseri kaudu ka veebsaitidesse - pilt.

Seda uut tehnoloogiat saab ka mujal kasutada, Sa võid näiteks oma sõrmejälge ka LastPass'i puhul kasutada: Sulle pakutakse seda võimalust ka juba siis kui Sa installeerid selle LastPass'i või kui Sa logid oma uues masinas sinna LastPass'i esmakordselt sisse ja seda sel juhul kui Sinu kompuutris tuvastatakse see sõrmejälje lugeja. Kui sõrmejälje esmakordsel skaneerimisel see ei õnnestu, siis võid seda teha hiljem oma LastPass'i kasutajakonto (Account Settings) all - sealse Multifactor Options lehe kaudu - pilt. Kui kõik õnnestus, siis võid oma väga pika ja "keerulise" Master Password'i sisestamise asemel lihtsalt oma sõrme kasutada...:




EcoID sõrmejäljelugeja koos USB kaabliga sobib väga hästi lauakompuutrite jaoks, asetad oma sõrme sõrmejäljelugeja seadmele ja logid süsteemi sisse. SideTouch sõrmejäljelugeja puhul kasutad sõrmega puudet ja SideSwipe lugeja kasutamisel teed viipeliigutuse.
Nende sõrmejäljelugejate SETUP: kui lugeja on kompuutriga ühendatud, siis avad Settings äpi ja lähed seal 'Accounts -> Sign-in options' alamkategooriasse/lehele ning klikid paremal "Fingerprint" kategooria all 'Set up' nupule - pilt. Seejärel palutakse Sul sisestada oma PIN või tavaline parool ja pärast seda jätkad juba oma sõrmega tööd, et süsteem saaks Sinu sõrmejäljest kvaliteetse pildi....


Näiteks osa Windows 10 kompuutreid tuleb müüki juba sisseehitatud sõrmejälgede lugejaga ja kasutaja saab siis süsteemi sisse logida ka oma sõrme abil. Toon siin näiteks Ockel Sirius A Pro mini-kompuutri, mis tuleb samuti koos selle sisseehitatud sõrmejälgede lugejaga. Kui Sa käivitad esimest korda selle uue minikompuutri, siis võid juba tema esmase paigaldamise ('initial setup') käigus seada üles ka oma sõrme abil süsteemi sisselogimise meetodi. Kui ilmub vastav ekraan, mis palub Sul üles seada ka see sõrmega sisselogimine, siis puudutad või toksid endale sobiva sõrmega kompuutri vasemal küljel asuvat sõrmejälgede lugejat nii kaua kuni süsteem seda skaneerib. Kui valmis, siis antakse Sulle sellest ka teada ja Sa võid jätkata seda esmast paigaldamist. Pärast seda võid kohe oma süsteemi sisse logida ka oma sõrme abil. Hiljem võid kõike seda ka Settings äpis teha ja Sa võid seal ka oma teise sõrme lisada (skaneerida). Alumisel pildil on siis näha, et kasutaja võib oma Win 10 süsteemi sisse logida nelja meetodiga: oma MS kasutajakonto parooliga, PIN koodiga, pilt-parooliga ja lisaks ka oma sõrmejäljega. Microsofti konto parool oli tal juba olemas, sõrmejälje ja PIN-koodiga sisselogimise seadis ta üles selle esmase installi käigus ning piltparooli määrast ta aga hiljem Settings äpi kaudu. Sisselogimise ekraanil on antud momendil aktiveeritud just see sõrmega logimise funktsioon. Sõrmega sisselogimine käib selle minikompuutri vasemal küljel asuva füüsilise fingerprint scanner'i abil kähku, paari sekundiga:

Süsteemi sisselogimise meetodid


Ja lisaks veel mõned pildid sellest sõrmega süsteemi sisselogimisest:

* Kõigepealt ilmub see nn "Lukustuskuva", mille koristad viipega või ENTER klahviga eest ära - pilt.

Märkus: Kui Sa kasutasid viimati seda sõrmejäljega sisselogimise meetodit, siis pole Sul seda lukustuskuva vaja eest ära koristadagi vaid "näita" kohe oma sõrme sellele sõrmejälje lugejale ja Sa oledki viivitamatult seal Windowsi töölaual.

* Seejärel võid kohe oma sõrmega sisse logida (viimati seda meetodit just kasutatigi) või siis vali mingi muu logimise meetod, klikkides siin 'Sign-in options' lingile - pilt.

* Pärast 'Sign-in options' lingile klikkimist saad siis valida mingi muu süsteemi sisselogimise meetodi... - pilt.

* Antud juhul võib kasutaja siin valida ka näiteks Pilt-parooliga sisselogimise. Kuid kasutaja ei saa rahu ja tahab ikkagi oma musta, paksu ning tõntsi sõrmega toksida ja valib siin uuesti selle sõrmejäljega sisslogimise meetodi - pilt.

* Juhul kui kasutaja sõrmejälg tuvastati, siis näeb ta korraks ka seda 'Hello! Welcome (Põrgusse)' ekraani ja ta jõuabki kohe oma Windows 10 töölauale - pilt.



Windows Hello vahendi ülesseadmine:

Et seda uut Windows Hello vahendit saaks kasutada, pead eelnevalt ka PIN koodi/parooli looma. Seda saab teha 'Settings -> Accounts -> Sign-in options' alamkategooria all, kus klikid PIN sektsioonis 'Add' nupule ja alustad oma PIN parooli loomist. (Kui Sa seda PIN parooli eelnevalt ei loo, siis tuleb see Sul siis luua kui Sa aktiveerid mingi Windows Hello süsteemi sisselogimise võimaluse, näiteks sisselogimise Sinu näo tuvastamisega.)

Kliki siin nuppule 'Add', et alustad PIN parooli loomist:

Kliki siin nuppule 'Add', et alustad PIN parooli loomist


Loo PIN-parool ja kliki nupule OK:

Loo PIN-parool ja kliki nupule OK


Märkus: PIN parooli miinimum pikkuseks on neli numbrit (lubatakse 0–9 ainult; tähed ja spetsiaalsed sümbolid on KEELATUD). Kuid see PIN parool võib olla nii pikk nagu Sa seda soovid, ta ei pea koosnema ainult neljast numbrist - pilt ............ja ............veel üks pilt. PIN loomisest ja miks ta nii vajalik on, sellest rohkem seal.


Selle PIN parooli loomist pakutakse Sulle automaatselt ka järgmistel juhtudel:

* Kui Sa installeerid Windows 10 ja sisened esmakordselt süsteemi (oma Microsofti konto või lokaalse konto parooliga). Sel juhul ilmub “Passwords are so yesterday” ekraan, mis selgitab, et PIN on kiirem ja turvalisem. Kui Sa tahad selle PIN-parooli kohe luua, siis kliki seal PIN me! nupule - pilt ..............ja ...........veel üks pilt.

* Kui Sa lülitud oma lokaalse konto alt ümber Microsofti Kasutajakonto alla, siis ka selle ümberlülitumise käigus pakutakse Sulle PIN parooli loomise võimalust. Sel juhul ilmub üks neist kahest ekraanidest: kas "Set up a PIN" ekraan või siis jällegi seesama "Set up a PIN" ekraan, aga koos 'Skip this step' lingiga, millega võid sellest PIN-parooli loomisest esialgu ka loobuda - pilt ...............ja ..............veel üks pilt.



Windows Hello sätteid saab muuta ikka sealsamas 'Settings -> Accounts -> Sign-in options' alamkategooria all. Et kasutada oma näo äratundmise vahendit, peab Sinu süsteem omama kaamerat, mis toetab ka infrapuna.

Kui Windows 10 ei tuvasta Windows Hello funktsiooni jaoks vajaliku riistvara (näiteks sõrmejäljelugeja või valgustundliku kaamera) olemasolu, siis näed seal 'Settings -> Accounts -> Sign-in options' alamkategooria all "Windows Hello isn't available on this device" kirja ja kogu lugu:

Windows Hello isn't available on this device


Kui aga sobiv riistvara on Sinu Win 10 seadmes juba olemas, siis võid alustada Windows Hello aktiveerimist / ülesseadmist. Ava Settings äpp ja kliki tema avalehes Accounts kategooriale - pilt. Seejärel kliki vasemal 'Sign-in options' alamkategooriale ja Sa näed seal parempoolses paanis "Windows Hello" sektsioonis näo (Face Rcognition), sõrmejälgede (Fingerprint) ja/või silma võrkkesta (Iris) sisselogimise ülesseadmise jaoks ettenähtud 'Set up' nuppe. (Need võimalused siin olenevad Sinu masina riistvarast.)

1. Antud näites saab siis süsteemi sisselogimiseks kasutada nii nägu (Face Rcognition) kui ka sõrmejälgi (Fingerprint). Kasutame siinses näites esmalt seda sõrmejälgedega sisselogimise võimalust ja klikime "Fingerprint" all sellele 'Set up' nupule:

Antud näites saab siis süsteemi sisselogimiseks kasutada nii nägu (Face Rcognition) kui ka sõrmejälgi (Fingerprint).


2. Seejärel kliki ilmuvas aknakeses 'Get started' nupule:

Seejärel kliki ilmuvas aknakeses 'Get started' nupule


3. Pärast 'Get started' nupule klikkimist sisesta oma PIN parool, et kinnitada, et ikka Sinuga on tegemist (juhul kui Sa ei loonud varem PIN parooli, siis pead selle nüüd looma ja siin uuesti alustama) - pilt.

4. Nüüd pead oma sõrmega lohistama üle sõrmejäljelugeja, et alustada seda sõrmejälje skaneerimise protsessi, tee seda seni kuni see protsess lõpetatakse:

Nüüd pead oma sõrmega lohistama üle sõrmejälgede lugeja, et alustada seda sõrmejälje skaneerimise protsessi, tee seda seni kuni see protsess lõpetatakse


Kui Sa vajutad oma sõrmega sõrmejäljelugejale, siis näed ka seda skaneerimise protsessi - pilt.

5. Kui Sinu sõrme skaneerimine lõpetati ja salvestati, siis kliki ilmuvas aknas kas Add another nupule, seda juhul kui Sa tahad ka teise sõrme skaneerimist alustada või siis lõpeta kohe, klikkides Close nupule:

Jätka või lõpeta....



Nüüd loome ka enda näoga sisselogimise võimaluse:

* Klikime või toksame siin "Face Recognition" all sellele 'Set up' nupule:

Nüüd loome ka enda näoga sisselogimise võimaluse: klikime või toksame siin "Face Recognition" all sellele 'Set up' nupule


* Klikime esimeses aknas 'Get started' nupule - pilt.

* Seejärel sisesta oma PIN parool - pilt.

* Seejärel hakatakse Sinu nägu skaneerima. Jõllita oma kaamerat senikaua kuni see skaneerimine valmis saab. Kas minu nägu ei tundu Sulle kuidagi tuttav olema? Võib olla oleme kusagil kohtunud - kas Müncheni õllekeldris?

Füürer kaameras



* Kui näo skaneerimine õnnestus, siis näed järgmist akent, mille võid sulgeda - pilt.


Ja nüüd ongi Sul nii sõrmejälgedega kui ka näoga süsteemi sisselogimise võimalused olemas - seda lisaks PIN ja MS kasutajakonto paroolidele. Kui Sa loosid ka pildiparooli, siis on ka see võimalus veel olemas. Sa võid seejärel täiendavalt lisada ka mingi muu sõrme - "Add another" nupuga. Ja Sa võid ka parandada (täiustada) enda näotuvastust - "Improve recognition" nupuga:

Ja nüüd ongi Sul nii sõrmejälgedega kui ka näoga süsteemi sisselogimise võimalused olemas



Sa võid seda "Improve recognition" funktsiooni kasutada niipalju kui soovid ja seda ikka selleks et parandada oma näo tuvastamist. Aga Sa võid selle abil ka prillidega- või päikseprillidega näo siia lisada. Klikid sellele 'Improve recognition' nupule (pilt) ja seejärel klikid juba tuttavale 'Get started' nupule (pilt). Järgmisena pead jälle sisse logima, et Sa saaksid seda Windows Hello vahendit kasutada: Sa võid logimiseks kasutada kas oma näotuvastust või siis PIN parooli. Pärast seda lülitab Windows kaamera sisse ja alustab uuesti Sinu kena näo analüüsimist:

Pärast seda lülitab Windows kaamera sisse ja alustab uuesti Sinu kena näo analüüsimist


Keegi ei keela Sul ka oma varbaid või siis kolmandat silma selleks kasutamast.

Järgmine pilt näitab aga seda et antud masinas on koos muude paroolidega ka see sõrmejäljega süsteemi sisselogimise võimalus olemas ja see on ka üles seatud:




Märkus: Palun ära kasuta võõrasse süsteemi sisselogimisel omanikust ohvri äralõigatud sõrmi või siis väljatorgatud silmi või siis maharaiutud pead, sest see ei õnnestu. Olen ise kõik need läbi proovinud - ei aidanud! See "õnnestub" ainult Hollywood'i tobedates filmides.



Kui Sinu Win 10 ja Hello võimalustega seadet kasutavad mitu inimest, siis saavad ka teised selle uut tüüpi süsteemi sisselogimise endile eraldi üles seada:

* Ava 'Settings > Accounts > Family & other people' alamkategooria/leht.
* Vali paremal kas "Add a family member" või siis "Add someone else to this PC" nupp... (pilt) ...ja sisesta seejärel teise kasutaja Microsofti konto email aadress.
* Logi oma kasutajakonto alt välja ja las seejärel see teine persoon logib ise süsteemi sisse. Seejärel peab ta seadma üles oma profiili ja sealhulgas ka selle Windows Hello vahendi aktiveerima.



Sa võid süsteemi sisselogimisel kasutada ka Kahefaktorilist Autentimist (Two Factor Authentication) - sellest siin edaspidi. Pealegi ei ole see uus Windows Hello identifitseerimise funktsioon kasutajatele kohustuslik, selle võib iga moment välja lülitada ja kasutada selle asemel tavalist kasutajanime ning parooli - seda vähemalt lähitulevikus.

Seega, et seda uut tehnoloogiat kasutada, peab üldjuhul ostma uue Windows 10 kompuutri (või uue riistvara), mis saabuvad müüki pärast Windows 10 väljailmumist. Näiteks OEM süsteemidesse lisatud Intel'i RealSense 3D Camera (F200) hakkab toetama Windows Hello näo ja silma võrkkesta tuvastamise vahendeid, sealhulgas ka automaatset Windowsisse sisselogimist ning "Microsoft Passport" vahendi, millest tuleb kohe allpool juttu, lahtilukustamist (ilma PIN koodi vajaduseta).


Märkused: Et Windows Hello vahendit saaks kasutada, nõutakse näiteks Intel RealSense 3D kaamera olemasolu. Hiljaaegu avaldas Intel praegu turult saadavate nende seadmete loetelu, mis on antud komponendiga varustatud ja need on: Dell Inspiron 15 5548, Acer Aspire V 17 Nitro, Lenovo ThinkPad Yoga 15, Lenovo ThinkPad E550, Asus N551JQ, Asus ROG G771JM, Asus X751LD, HP Envy 15t Touch RealSense Laptop, Lenovo B5030, Dell Inspiron 23 7000 ja HP Sprout.
Windows 10 Mobile opsüsteemiga nutitelefonidest hakkavad seda Windows Hello funktsiooni toetama ainult kõige uuemad mobiiltelefonid ja nendeks on siis Lumia 950 ning Lumia 950 XL ja nende tulevased järglased.

Järgmine 2. augustil 2016 välja ilmuv suur Windows 10 'Anniversary Update' (koodinimega "Redstone 1") värskendus lisab uued võimalused:

* Sa võid nüüd Edge veebibrauseri kaudu vebsaitidesse logida ka Windows Hello biomeetria abil. Sa võid sisselogimiseks kasutada oma nägu, silmade vikerkesta või siis sõrmejälge. (Paroolid kaovad tasapisi minevikku.)
* Windows Hello toetab nüüd ka Windows Store äppisid.
* Opretasioonisüsteemi sisselogimisel saab kasutada Windows Hello vahendit, PIN-koodi, sertifikaate, pilt-parooli või siis lihtsat tekstiparooli:

Uuendatud sisselogimise- ja UAC dialoogiaknad


Etteotsa



Microsoft Passport:

Microsoft Passport: Windows Hello on lokaalne tarkvaralahendus, mida kasutatakse ainult kompuutrisse sisselogimiseks. Kuid koos Hello tehnoloogiaga tahetakse juurutada ka globaalset autentimise mehhanismi, mille koodinimeks on "Microsoft Passport" (praegune Microsoft Account). 'Passport' töötab kõikides Microsofti toodetes, näiteks nagu Outlook.com, OneDrive, People, kontaktid jne. Windows 10 seadmetes asendatakse paroolid nüüd tugeva Kahefaktorilise Autentimisega, mis koosneb registreeritud seadmest ja Windows Hello (biomeetriline) süsteemist (või siis PIN koodist). Laias laastus koosneb Microsoft Passport kahest teenusest: 'Sign-in' teenusest, mis lubab Sul kasutada ühte nime ja parooli, et sisse logida ning 'Wallet' teenusest, mis lubab Sul sooritada kiireid ja mugavaid onlain oste.
See Kahefaktoriline Autentimine ei ole tulevikus enam nii tülikas kui praegu: Microsoft Passport sisaldab kahte võtit - Microsofti võtit ja kasutaja enda võtit. Kasutaja vajab nüüd ainult enda võtit, et pääseda Microsofti kaitstud rakendustele ligi. Microsofti primaarvõti peab olema sertifikaat või siis firmware (püsivara). See tähendab, et Sa pead nüüd kasutama Sulle antud PIN koodi ja see PIN avab Sulle Microsofti toodete uksed.
Esimesel korral võtab selle sertifikaadi saamine ja seejärel PIN või siis Windows Hello ülesseadmine, natuke rohkem aega. Kuid kui see on tehtud, siis saad tulevikus Microsofti toodetele ligi ainult PIN koodi sisestamisega või siis Windows Hello abil. Sa ei pea enam ootama PIN koodi saabumist (SMS teel). Sa saad seda avalikku võtit (PIN koodi või Windows Hello't) kasutada oma kõikides erinevates Windows 10 seadmetes, mis teeb Sinu elu lihtsamaks ja turvalisemaks.

Microsoft Passport tehnoloogiat hakatakse kasutama just korporatiivsetesse süsteemidesse ja onlain-sisusse sisselogimisel. Autentimise protsessis ei saadeta parooli üle võrgu või ei salvestata eemalasuvasse serverisse ja sellega elimineeritakse need kaks peamist turvariski.
Kui Sinu Windows 10 seade omab Windows Hello vahendiga ühilduvat riistvara, siis ta kontrollib Sinu identiteeti ja õigust antu seadmele. Kui autentimine õnnestus, siis saad Sa kasutada neidsamu veebsaite ja teenuseid, mis kasutavad samasugust autentimise tehnoloogiat. Kuna Microsoft on ühinendud FIDO alliansiga, siis saab ilma paroolita kasutada samu teenuseid, mis on antud FIDO alliansiga ühinenud.

Microsoft soovitab kasutajatel Windows 10 installeerimise ajal luua PIN koodi. See kood seotakse kasutaja Microsofti kasutajakontoga (Microsoft Account) ja nii võib seda PIN-koodi kasutada kõikides oma Windows 10 seadmetes. Selle PIN abil võib Windows Store poes ka oste teha.



Kahefaktoriline Autentimine: Selles kahefaktorilises autentimises pole midagi uut ja selle turvamehhanismi on Microsoft juba ammu kasutusele võtnud: Et kindlustada kasutajakontode paremat turvalisust, rakendatakse protsessi, mida kutsutakse Kaheetapiliseks Autentimiseks / Kontrolliks (Two-Step Verification) või siis Kahefaktoriliseks Autentimiseks (Two Factor Authentication). Microsoft nõuab alati kõikidelt kasutajatelt tugevat autentimist (TFA) siis kui nad logivad sisse billing.microsoft.com, xbox.com, OneDrive ja teistesse MS veebsaitidesse. Sellist autentimist nõutakse juhul kui kasutaja asub eemalasuvas "võõras" seadmes / kompuutris ja kui see ei ole veel usaldusväärseks tehtud ("Trusted PC"). Antud autentimist nõutakse aeg-ajalt uuesti ka kasutaja enda juba "usaldusväärses" seadmes, näiteks pärast süsteemi uuendamist, teise kasutajakonto all sisselogimist jne. Näide kahefaktorilisest autentimisest OneDrive pilveruumi - pilt.

Märkus: 'Two Factor Authentication' (TFA, T-FA või 2FA): Mida tähendab Microsofti kasutajakonto turvakood (Security Code)? Sellest on pikemalt juttu Win 8 all - seal.


Kuna süsteemi sisselogimiseks ainuüksi parooli kasutamine on juba ammu ebaturvaline, siis peale tavalise parooliga sisenemise hakkab Windows 10 toetama ka teist autentimise faktorit: ühekordset PIN-koodi, mis omakorda genereeritakse süsteemi poolt ja saadetakse seejärel konto omaniku mobiiltelefonile. Ja alles siis kui kasutaja sisestab kõik need andmed, saab ta sisse logida. Autentimise teise faktorina võib kasutada ka kasutaja eelpool kirjeldatud biomeetrilisi andmeid.
Windows 10 lülitab selle mitmefaktorilise autentimise otse operatsioonisüsteemi enda sisse, kõrvaldades sellega täiendavate väliste riistvaraseadmete vajalikuse. Seega autentimise esimeseks faktoriks saab seade ise koos oma opsüsteemi- ja sisselogimise parooliga. Teiseks faktoriks saab olema siis kas spetsiaalne PIN-kood või siis kasutaja biomeetrilised andmed.
Kasutaja võib näiteks registreerida oma mobiiltelefoni/nutitelefoni ja teha selle oma efektiivseks mandaadiks. Seejärel võib ta teda kasutada oma kompuutrisse, võrku ja veebiteenustesse sisenemiseks. Antud juhul võib Bluetooth või Wi-Fi ühendusega mobiiltelefoni kasutada kui kiipkaarti (st autentimise ühe faktorina).

Paroolide (ka üsna keeruliste ja pikemate) lahtimurdmine pole juba ammu mingi probleem ja sellega saab hakkama ka minusugune ajukääbik, aga kahefaktorilise autentimisega tekib kurjategijal kohe suur probleem: nüüd peab ta sissemurdmiseks omama kasutaja enda seadet ja ka ligipääsu tema PIN koodile või biomeetrilistele andmetele.

Etteotsa



Device Guard:

Device Guard (Windows 10 Home ja Windows 10 Pro versioonides ei ole ta saadaval): Device Guard on firmware, mis ei lase autentimata, mitte-autoriseeritud ja allkirjastamata programmidel, aga ka operatsioonisüsteemil end üles laadida. Meil on vaja just sellist operatsioonisüsteemi, mis teostaks enesekontrolli uurimaks, et mida talle "ette söödetakse" ja mida laetakse käivitamiseks tema mällu (RAM). Siin sõltuda ainult anti-pahavara programmidest, ei ole tänapäeval just tark tegu kuigi ega meil erilisi valikuvõimalusi ka ei ole. Pahavaratõrje programm on eraldi tarkvara, mis tuleb samuti laadida eelnevalt mällu, et ta saaks sinnasamasse mällu laetud rakenduste skaneerimist alustada.
Windows 8.1 on juba anti-pahavara operatsioonisüsteem, temas kasutatakse näiteks 'Windows Secure Boot' ja 'Trusted Boot' vahendeid.

Märkus: 'Windows Secure Boot' ja UEFI (UEFI asendab vana kuni siiamaani kasutusel olnud BIOS'i). Mis on BIOS (natuke vanemates- ja loomulikult üsna vanades kompuutrites)? Mis on UEFI, mis asendab nüüd selle vana BIOS süsteemi? Käib Windows 8 / 8.1 ja Windows 10 kohta. Sellest pikemalt Windows 8 all - seal.


Kuid ohud kasvavad ja nüüd astus Microsoft sammu edasi. Käiku lastakse Device Guard nimeline firmware, mis töötab juba riistvara tasemel ja isegi enne buutimist, lastes ainult nõuetekohaselt allkirjastatud rakendustel ja skriptidel end üles laadida. Ka OEM tootjad on valmis seda oma väljalastavatesse kompuutritesse installeerima. 'Device Guard' on üks Windows 10 parimaid turvalahendusi ja seda kinnitavad ka sellised OEM tootjad nagu Acer, Fujitsu, HP, NCR, Lenovo, PAR ja Toshiba.

See vahend sobib rohkem suurematele organisatsioonidele/ettevõtetele ja ta lubab neil lukustada seadmeid, pakkudes samal ajal kaitset ka uute ja tundmatute pahavarade eest. See vahend pakub kaitset ka Advance Persistent Threats (APT's) osas. Kui see Device Guard funktsioon on Sul lubatud, siis pakutakse ka paremat nn Zero Day tuge, kus lubatakse käivitada ainult usaldusväärseid äppisid. IT administraatorid määravad selle et millised tarkvarad on ohutud või "usaldusväärsed".

Alates järgmisest suurest Windows 10 'Anniversary Update' (koodinimega "Redstone 1") tasuta värskendusest, mis ilmub 2. augustil 2016, hakkab Windows Hello toetama ka Windows Store äppisid ja Microsoft Edge brauserit. Sa võid veebsaiti ja universaalsesse äppi sisselogimisel Windows Hello funktsiooni abil kasutada ka oma nägu, silmade vikerkesta või siis sõrmejälge.


Meenutuseks: Lõpeta see 1234 kui oma paroolina kasutamine!

Etteotsa

 




< Tagasi Windows 10 pealehele ja sisukorda

 

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju .|. .|. .|. .|. .|. .|. .|. About Us .|. .|..|. .|. .|. .|. .|. About Me .|. .|. .|..|. .|. .|. .|. Site Map .|. .|. .|. .|. .|. .|. .|. POSTKASTI EI OLE! Sorry, no mailbox | © Ahv & Co Eesti Vabariik 2015 (16/17/18)