Paroole on tüütu hallata, raske meeles pidada ning keeruline salajasena hoida. Seetõttu on viimastel aastatel hoogsalt liigutud paroolivaba tuleviku poole. Näiteks Microsoft teatas, et lõpetavad paroolihalduse toe Microsoft Authenticator äpis alates 1. Augustist, mis on osa nende laiemast suunast paroolivaba tuleviku suunal [3]. See on nüüd ka Google kontode puhul vaikimisi soovitatud autentimismeetod.
Selles blogipostituses räägime, miks paroolid on probleemsed, mis on alternatiivid, kuidas need toimivad ja anname praktilise soovitusi paroolidest vabanemiseks.
Mis paroolidel viga on?
Paroolid on oma olemuselt nõrgad. Kergeid, lühikesi ja levinud paroole on kerge ära arvata, samas keerukamad ja “turvalised” paroolid võivad saada avalikuks mõne andmelekke tõttu või langeda varguse ohvriks. Sellest, kuidas kurjategijad ostavad, jagavad ja müüvad paroole tumeveebis, rääkisime ühes varasemas blogipostituses https://oixio.eu/et/artiklid/labi-rundaja-silmade-mida-naevad-kuberkurjategijad-sinu-organisatsiooni-kohta/.
Turvaprobleemidele lisaks on ka nende haldamine keeruline. Keskmisel inimesel on töö ja isiklike kontodega seotud kokku 255 parooli [2]. Seetõttu kuuleb tihti vestlustes paroolide teemal: “mul on igal pool sama parool” ning halvematel juhtudel on need pandud ka kuhugi ebaturvalisse kohta kirja.
Kuigi paroolihoidja kasutamine küll aitab, ning sellel tehnoloogial ka tulevikus oma koht, siis ideaalses maailmas, me paroole ei kasutakski.
Mis siis paroole asendab?
Biomeetrilist autentimist tõenäoliselt juba kasutad igapäevaselt avades mobiiltelefoni sõrmejälje või näotuvastuse abil. Selline autentimine nõuab spetsiaalset riistvara ning on enamjaolt seotud konkreetse seadmega. Kuigi mugav kasutada, siis biomeetrilisi andmeid me ei soovi igaühele usaldada (näiteks kohaliku veebipoe andmebaasi). Seetõttu on vaja vahele tehnoloogiat, mis võimaldaks turvaliselt autentida tekitamata privaatsusriski.
Pääsuvõtmed (passkey) on tehnoloogia, mis aitab lahendada mitmeid nii biomeetrilise autentimise kui paroolidega seotud probleeme. Need on tulevikustandard turvaliseks autentimiseks ning õnneks ka võrdlemisi mugavad kasutada.
Kuidas pääsuvõtmed toimivad?
Tõenäoliselt oled tuttav juba mitmetasemelise autentimisega (MFA) ning kasutad seda igapäevaselt. Mitmetasemeline autentimine (MFA) eeldab, et autentimisel kasutatakse vähemalt kahte järgnevatest autentimismeetoditest:
- Midagi, mis sul on
- Midagi, mis sa oled
- Midagi, mida sa tead
Pääsuvõtme puhul, on privaatne võti, miski, mis sul on. Lisaks võtme omamisele, pead autentimiseks sisestama ka pin-koodi või autentima biomeetriliselt. Need on siis vastavalt midagi, mis sa oled (sõrmejälg) või midagi, mida sa tead (pin-kood). Seega täidab passkey juba mitmetasemelise autentimise nõudeid ega vaja autentimiseks eraldi MFA-aplikatsiooni kasutamist. Tulemuseks on kiirem ja mugavam sisselogimisprotsess võrreldes parooli + MFA kombinatsiooni kasutamisega.
Lisaks tavalistele MFA-nõuetele täidavad pääsuvõtmed ka phishing-resistant MFA (õngitsusrünnakutele vastupidava MFA) nõudeid, milleks on:
- Tugeva usaldussideme loomine kasutaja ja teenusepakkuja vahel
- Jagatud krüptograafiliste võtmete elimineerimine
- Ainult usaldusväärsetele osapooltele vastamine
- Kasutaja tahtluse kontroll
Tugeva usaldussideme loomine
Paroolide asemel luuakse iga teenuse jaoks unikaalne krüptograafiline võtmepaar, mis toimib ainult konkreetsesse teenusesse logimiseks. Avalik võti jagatakse välise teenusepakkujaga, kes saab selle põhjal luua autentimishetkel krüptograafilise ülesande, mida suudab ainult privaatse võtme omanik lahendada.
Jagatud krüptograafiliste võtmete elimineerimine
Pääsuvõtme kasutamisel teenuse pakkujad ei oma sinu privaatset võtit ega selle räsi. Privaatset võtit hoitakse kasutaja paroolihoidlas või füüsilises turvavõtmes (näiteks: Yubikey/Thales Security Key). Kogu protsessi vältel ei jagata kunagi privaatset võtit kellegi teisega ning kasutajal pole võimalik seda kogemata kuhugi sisestada. Ja kui paroolide puhul on tihtipeale probleem, et teenusepakkuja pole hoidnud kasutajate paroole piisavalt turvaliselt ning need on seetõttu andmelekke käigus jalutama läinud, siis pääsuvõtmete kasutamisel ei satu need ka teenusepakkujapoolse andmelekke puhul kurjategijate kätte.
Ainult usaldusväärsetele osapooltele vastamine
Iga pääsuvõti on seotud konkreetse aadressi/domeeniga (pääsuvõtmes defineeritud kui “Relying Party ID”). Kui inimene võib kergesti eksida ja mitte märgata, et näiteks mlcrosoft.com ei ole sama, mis microsoft.com, siis masinat selliselt eksitada ei õnnestu. Kui võltsitud veebileht saadab päringu microsoft.com pääsuvõtme allkirjastamiseks, siis enne allkirjastamist kontrollib sinu seade päringu algupära ning kas see kattub pääsuvõtmesse salvestatud aadressiga. Kui see ei kattu, ning tuleb tegelikult lehelt mlcrosoft.com, siis jääb autentimisprotsess pooleli.
Kasutaja tahtlus
Nii pääsuvõtmega autentimisprotsessi alustamiseks kui ka autoriseerimiseks on vaja kasutaja poolt aktiivset sekkumist. WebAuthn (millele on ehitatud ka pääsuvõtmed) protokollis on autentimiseks ja võtmete loomise eelduseks kasutaja kohalolu (User Presence – UP) kontroll, mis tagab, et inimene on seadme füüsilises läheduses autentimishetkel. Näiteks Yubikey-de puhul tehakse see kontroll nõudes võtme füüsilist puudutust. Muudel juhtudel võidakse seda teha operatsioonisüsteemi tasemel oleva dialoogiakna abil.
Kohalolu kontroll aga ei taga, et seadme taga on õige inimene. Seetõttu on oluline ka kasutaja verifitseerimine (User Verification – UV). Seda funktsiooni võib täita biomeetriline kontroll (sõrmejälg/näotuvastus) või pin-koodi sisestamine. Näiteks füüsiliste võtmete puhul nõutakse pärast puudutust ka pin-koodi sisestamist kui tegu pole biomeetrilise võtmega. Biomeetrilise autentimise puhul on alati nõutud tagavara variandina ka pin-koodi olemasolu.
Kui pääsuvõti asub paroolihoidlas, siis tasub arvestada, et paljud paroolihoidlad püsivad pärast kasutaja esmast autentimist mõnda aega avatuna. Need võivad pääsuvõtmega autentimisel teavitada, et User Verification protsess oli edukas, kuigi tegelikult autentimishetkel uuesti kasutaja verifitseerimisprotsessi läbi ei viidud (Näiteks ei taasküsitud master password’i sisestamist või biomeetrilist kontrolli).
Biomeetriliste andmete salasus
Nagu mainitud, pin-koodi asemel võib kasutada ka biomeetrilist autentimist. FIDO®-protokoll nõuab, et biomeetrilist autentimist kasutades ei jagataks biomeetrilist infot konkreetsest seadmest väljapoole. Väline server saab ainult teate, et biomeetriline autentimine oli edukas. See võimaldab kasutada biomeetrilist autentimist ilma, et peaks jagama tundlikke andmeid väliste teenustega.
Pääsuvõtmete erinevused
Eelnevalt sai mainitud füüsilisi võtmeid. Pääsuvõtmeid võibki liigitada suuresti kaheks selle põhjal, kus on privaatsed võtmed hoiustatud: sünkroniseeritud ja seadmega seotud lokaalsed võtmed. Sünkroniseeritavad pääsuvõtmed (hoiustatud paroolihoidlates) on loodud laialdaseks ülemaailmseks kasutuselevõtuks. Sünkroniseeritud võtmete kasutamisel on oht, et kui ründaja pääseb ligi ohvri paroolihoidlale, siis sünkroniseeritakse ka seal asuvad pääsuvõtmed ründaja seadmesse, misjärel on tal võimalik neid kasutada teenustesse sisse logimiseks. Pääsuvõtmed võivad olla seotud ka konkreetse füüsilise seadmega (näiteks Windows Hello kui pole sisse lülitatud sünkroniseerimise funktsiooni). Kui asutusel on vajadus tagada, et igast privaatsest võtmest oleks ainult üks koopia, siis seda võimaldavad füüsilised turvavõtmed. Nende puhul on privaatne võti salvestatud võtmesse ning kasutaja peab autentimiseks füüsilist võtit kasutama. Füüsilist võtit on seejuures lihtne kasutada eri seadmetes sisse logimiseks.
Kuidas vältida oma kontodele ligipääsu kaotamist?
Muidugi, nii nagu võid unustada parooli sisselogimiseks, võib juhtuda, et kaotad mingil põhjusel ligipääsu kontodele, kus on paroolivaba autentimine kasutusel. Mõned küsimused, millele tasuks mõelda:
- Kui peaksin kaotama ligipääsu paroolihoidlale, siis kuidas sellises olukorras toimin? Kas mul on võimalik luua offline koopia paroolidest, mida saaksin hädaolukorras kasutada? Kas see koopia on turvaliselt hoiustatud, et kolmandad isikud ei pääseks ligi?
- Kas paroolihoidla toetab lisaks paroolidele ka pääsuvõtmete export-i (hetkel ei ole see funktsioon laialdaselt levinud, kuigi FIDO Alliance on standardi selle jaoks loonud)? Kui mitte, siis tuleks arvestada, et paroolihoidlast loodud offline copy ei pruugi sisaldada pääsuvõtmeid.
- Kui kasutad füüsilisi võtmeid (Näiteks Yubikey-d), siis mis juhtub kui peaksin selle kaotama?
- Kui passkey-d on kasutusele võetud, siis kas kontole pääseb jätkuvalt ligi ka traditsioonilise parool + mfa kombinatsiooni kaudu? Kui jah, siis peab arvestama, et kasutajakonto võib olla jätkuvalt haavatav rünnakutele, mis sihivad nõrgemaid autentimismeetodeid.
- Kas pääsuvõtmed, mida kasutan, on kasutatavad eri seadmetes (näiteks autentimiseks nii mobiilis kui lauaarvutis)?
Üks oluline erinevus paroolide ja pääsuvõtmete vahel – Kui paroolide puhul on platvormides piirang, et sul saab olla ühel kontol ainult üks kehtiv parool, siis pääsuvõtmeid võib olla mitu tükki. Seda võimalust tasub kasutada, et vähendada seadme kaotamise/hävimisega seotud riske. Näiteks:
- Kui otsustad kasutada ainult füüsilisi võtmeid (mitte paroolihoidlates asuvaid pääsuvõtmeid), siis oleks mõistlik omada ja registreerida igas teenuses vähemalt kaks võtit.
- Kui kasutad paroolihoidlas asuvaid võtmeid, siis tasuks kaaluda ka füüsilise võtme omamist, mille eesmärk oleks olla tagavaravariant ligipääsuks.
- Seadmega seotud võtmete kasutamisel tasuks ka omada varuvarianti, näiteks Yubikey või registreerida pääsuvõtmeid mitmes eri seadmes juhuks kui üks peaks kaduma/katki minema.
Kasutuselevõtt ettevõttes
Kui plaanid võtta FIDO võtmed kasutusele organisatsiooniüleselt, siis võib olla mõistlik mõelda keskse haldussüsteemi/portaali kasutuselevõtu peale. Need võimaldavad kasutajatel iseteeninduses FIDO võtmeid registreerida, võtmete eluiga hallata, pakkuda ligipääsu erinevatesse süsteemidesse automatiseeritult ja aruandlust.
Samas ei ole paroolivaba autentimise kasutuselevõtuks eelduseks peenete lahenduste olemasolu. Näiteks saab teha algust kasutades paroolivaba autentimist EntraID-s kombineerituna “Single Sign-On”-iga.
Kuidas algust teha?
Eelnev tehnilisem jutt oli eelkõige selleks, et aidata kasvatada usaldust uue tehnoloogia vastu. Kuigi kohati võis tunduda keeruline, siis ei ole põhjust kartmiseks. Igapäevases elus on nende kasutamine päris lihtne ja pole võimatu, et eneseteadmata juba oled neid ka kasutanud (näiteks Apple pakub juba mõnda aega pääsuvõtmetega autentimist icloud keychain-is).
Nüüd tasub minna ja proovida ise esimesel kontol kasutusele võtta. Head platvormid, kus esimesi katsetusi teha on näiteks Microsoft’i ja Google kontod. Neil on pääsuvõtmed küpselt rakendatud. Ja muidugi on nii OIXIO Cyber tiim koos meie partneritega valmis olema omalt poolt igakülgselt toeks. Nende hulgast pakuvad seotud lahendusi näiteks Yubico, Thales ja Keeper Security.
Testimiseks on Thales loonud ka veebilehe, kus võib vabalt katsetada võtmete loomist ja kasutamist: https://fido.demo.gemalto.com/
Lisalugemist/allikad
- https://seasoft.com/blog/ibm-i/what-is-phishing-resistant-multi-factor-authentication/
- https://nordpass.com/blog/how-many-passwords-does-average-person-have/
- https://thehackernews.com/2025/07/microsoft-removes-password-management.html
- https://fidoalliance.org/passkeys/
- https://developers.google.com/identity/passkeys/developer-guides
- https://web.dev/articles/passkey-registration
- https://www.corbado.com/blog/webauthn-user-verification
Olen alati valmis lisaküsimusteks,
Kuidas saame Sulle abiks olla? (OIXIO Cyber)
Võta ühendust, kui soovid suhelda eksperdiga.
* tähistatud väljad on kohustuslikud