Microsoft teatas sel kevadel, et ärikasutajad saavad nüüd hakata kasutama paroolivaba sisselogimist. Seda asendavad muud sisselogimisviisid. Kuid lisaks on võimalik oma tähtsaid kontosid (näiteks administraatorite omi) kaitsta veel täiendavalt erinevate vahenditega, mis tagavad, et võõras ei pääse sisse isegi siis, kui tal on sisselogimiseks midagi vajalikku olemas.
Lihtsaim viis kellegi kontole sisse häkkida on siiani olnud salasõna teadasaamine. Tavaliselt häkkerid ei murra sisse, vaid logivad sisse. Parool, mis kunagi kaitses meie kõiki kontosid ja ligipääse lemmikloomaportaalidest pankadeni, on nüüd korraga osutunud üksi kasutades liiga ebaturvaliseks. Miks?
Eks põhjuseid võib olla palju, kuid endiselt on liiga keerulist parooli raske meelde jätta, liiga lihtsat salasõna aga on ründajatel lihtsam ära arvata. Lisaks levivad erinevad õngitsuskirjad, kasutatakse osavaid psühholoogilisi rünnakuid kasutaja salasõna väljameelitamiseks, libalehekülgi, mis näivad usaldusväärsed jne. Ettevõtte jaoks on see risk aina suurem ja kasvab lähiajal veelgi, nagu uudistest oleme veel viimastelgi nädalatel palju kuulnud.
Kui parooli pole, aitavad muud turvalised sisselogimisvõimalused. Era- ja ärikasutajate jaoks on näiteks võimalus Microsofti kontole ligi pääseda keerulise parooli asemel hoopis turvaäpiga. Samuti saab määrata vastava riistvaratoega arvutist näotuvastusega sisselogimise, mis asendab ka kontodele logimisel parooli sisestamist. Kui arvutil on sõrmejäljelugeja, võib see samuti parooli asendada, nagu ka ühekordne PIN kood, mis saadetakse SMS-iga või e-kirjaga.
Autentimismeetod pannakse administraatori poolt paika
Kui on plaan paroolidest vabaneda, tuleb paika panna autentimismeetodid. Paroolideta ellu ei pea siiski kohe üle pea sukelduma, IT-administraatoritel on olemas täpsem kontroll autentimismeetodite kasutamise üle oma organisatsioonis ning esialgu võib ju ka osa kasutajaid jätta edasi paroole kasutama. Näiteks need kasutajad, kelle kontod pole ehk nii kriitilised ja kes muude meetodite jaoks vajavad pisut koolitust.
Samas oleks hea juba praegu kõigil tungiva soovitusena hakata kasutama mitmetasemelist autentimist – see tähendab, et lisaks paroolile, mida kasutaja teab, oleks vaja end tuvastada veel millegi sellisega, mis kasutaja omanduses on – näiteks arvuti, nutitelefon, füüsiline turvavõti, ligipääs e-postkastile või telefonile jne.
Sel juhul võib kasutaja esialgu oma vanamoelist parooliga sisselogimist jätkata, kuid kasutab ka mingit lisaturvalisuse meetodit ehk multifaktorilist autentimist (MFA).
Spetsiaalselt autentimismeetodite poliitika halduse jaoks saab Azure´is administraatorile lisada uue rolli, milleks on autentimispoliitika administraator (vaata rollide kohta lähemalt siit). Selle rolliga administraator saab määrata, milliseid võimalusi kasutajad sisselogimiseks kasutavad.
Sujuv üleminek paroolivaba sisselogimiseni
Microsofti kontodele sisselogimisel näidatakse kõigepealt kasutaja enda poolt kõige enam kasutatud meetodeid, seega kui parooliga sisselogimist pole just administraatori poolt ära keelatud, saab endiselt kõigepealt näha tuttavat ja kasutaja jaoks turvalist sisselogimise akent.
Valikus on juba ka paroolivaba sisselogimine (Windows Hello ja turvavõti, kui nii on ettevõttes määratud). Samuti saab ise proovida juba ka muid võimalusi (Sign-in options) ja selle kaudu harjutada end muude võimalike sisselogimisvõimalustega. Keegi ei survesta, kasutaja saab rahulikult hakata proovima ka muid turvalisi lahendusi.
Microsoft Authenticator – äpp, mis avab ukse
Paroolivabaks sisselogimiseks on vaja midagi, mis sul on, mis tõestab omakorda, et sina oled see, kes väidad end sisselogimisel olevat. Tõestyuseks pole vaid (võib-olla näpatud) parool. Üks võimalus tõestamiseks on näiteks nutiseadme omamine, millel on vastav turvaline äpp. Microsofti kontode jaoks on selleks Microsoft Authenticator äpp.
Selle saab lihtsalt installida ükskõik millist platvormi kasutavasse nutiseadmesse ning esialgu tuleb läbida ajutiste koodidega pisut keerulisem oma identiteedi tõendamine, kuid seegi pole midagi raskemat kui panka sisselogimine.
Kui sisselogimisel on vaja äppi, siis kuvatakse näiteks arvutiekraanil üks number, äpis kolm ja kui vajad õige kontrollnumbri, võib veel vaja minna näiteks sõrmejäljega tuvastamist ja oledki paroolivabalt sisse loginud. See on peaaegu sama, kui Smart-ID või mobiil-ID, kuid kontrollnumbri kõrval on välja pakutud veel kaks suvalist numbrit, et vältida olukordi, kui näiteks sinu telefon on kellegi teise käes.
Windows Hello for Business – lihtne ligipääs arvutisse
Windows Hello for Business sobib ideaalselt neile töötajatele, kellel on oma Windowsiga arvuti, kuhu vaja sisse logida või kus on vaja oma kontole ligi pääseda. Windows Hello biomeetriline sisselogimine ja PIN-koodid on seotud otseselt kasutaja arvutiga, seega takistab see meetod juurdepääsu teistele peale omaniku. Avaliku võtme infrastruktuuri (PKI) integratsiooniga ja ühekordse sisselogimise (SSO) sisseehitatud toega pole enam paroole vaja ning sisselogimine on ikkagi turvaline. See käib kas näotuvastusega (arvutil on infrapunasensoriga vastav kaamera), sõrmejäljelugejaga või koodidega.
Võimalusi on veelgi – turvavõti
Eestis on turvavõtmed veel suhteliselt vähe levinud, kuid ka neid saab kasutada täiendava turvalise paroolivaba sisselogimisega. Tavaliselt on tegemist võltsimiskindlate USB-võtmetega, mis näevad välja, nagu mälupulgad. Need peavad toetama FIDO2 (Fast Identity Online) standardit.
Tegemist pole niisama füüsilise mälupulgast “võtmega”, vaid see krüptograafiline võti seotakse isikuga, kes võtit kasutab ning tagab kas lisaturvalisuse sisenemisel või mõnel juhul ongi ainukeseks kontole sissepääsemise vahendiks. Turvavõti hoiab endas salajast võtit, süsteemil on aga teada avalik võti ning võtmepaar peab sisselogimisel sobituma.
“Kes, kus, miks ja millal” piirangud kui lisatõkked
Paroolivaba sisselogimine on kasutaja jaoks lihtne, kui esimesed hirmud ületatud, aga kuidas kaitsta süsteemi tähtsamate kontode puhul, kus tuleb kindlalt teada, kes on see isik, kes sisse logib? Lisaks aitavad kaasa tingimuslikud piirangud, mida saab kehtestada taas see administraator, kes haldab kasutajate ligipääsusid.
Näiteks saab tingimuslikult ligipääsu piirata asukoha põhjal (ainult töölt kontorist, kindlast koduvõrgust), ajaliselt (vaid töö ajal üheksast viieni), ainult kindla tarkvaraga arvutitest (näiteks installitud uusima Windowsi või Linuxiga), kindlatelt seadmetelt (ettevõttele kuuluv arvuti, tahvelarvuti, töötaja tööks kasutatav telefon jne). Muidugi võib veel piirata ligipääsu ka kindlatelt IP aadressidelt, samuti võib tingimusi karmistada, kui näiteks kasutaja logib sisse ebaturvalisest avalikust võrgust (sel puhul näiteks võib lasta rakenduda täiendaval multifaktorilisel autentimisel).
Seega – paroolivaba elu on ilmselt kasutajate jaoks palju lihtsam, aga administraatoritele võib tuua lisatööd. Kuid ainult alguses – kui süsteem on sisse töötatud ja kasutajad harjunud uute võimalustega, muutub ka administreerimine poolautomaatseks.
Microsofti kontode seadistuste ja haldusega aitavad OIXIO kogenud spetsialistid. Küsi abi.