Paroolilekked on saanud juba nii tavaliseks, et alati ei jõua need enam uudistessegi. Kui kasutad mõnda teenust, mis küsib vaid üht parooli, siis ühe sellise teenuse andmelekkega võibolla oledki juba oma privaatsuse ja info kaotanud. Mida siis teha? Appi tuleb mitmeastmeline autentimine.

Mitmeastmeline võib tähendada kaheastmelist autentimist või isegi enamate võimalustega oma isiku kindlakstegemist sisselogimisel. Enamasti piisabki kahest faktorist, et öelda, et sina oled ikka sina ise. Kaheastmeline autentimine tähendab sisse logides kahe erineva meetodiga tõestamist, et sisselogija on õige inimene. Seega isegi juhul, kui sinu sisselogimisparool on lekkinud, ei saa sellega sinu kontole ligi, kui pole end kinnitanud lisaks mõne teise meetodiga.

Kas kahefaktorilist autentimist on igal pool vaja?

Sellele küsimusele annab ammendava vastuse Prototroni ekspertkogu liige ning tuntud tehnoloogiaajakirjanik Henrik Roonemaa: „Ma olen võtnud kahefaktorilise autentimise kasutusele kõigis teenustes, mis vähegi seda võimaldavad ja kui teenus ei võimalda, siis ma heameelega seda üldse ei kasutagi.“

Tema sõnul oli kahefaktoriline autentimine küll vanasti veidi keeruline ja tüütu, aga sellest on praeguseks saanud nii normaalne asi, et seda võiksid kindlasti kasutada kõik inimesed. „Ja iga teenusepakkuja peaks hoolitsema selle eest, et 2FA oleks nende poolt toetatud,“ lisab Roonemaa.

Milliseid meetodeid kasutatakse kaheastmeliseks autentimiseks?

Lisaks salasõnale võib näiteks olla vaja enda tuvastamist sõrmejäljega või näotuvastusega. Paljud mobiiliäpid juba teevad seda, ka uutel operatsioonisüsteemidel on võimalus end sisselogimisel lisaks ka näotuvastusega identifitseerida ja veebibrauserites on olemas juba vastavad lisandid.

Autentimisfaktoreid on mitmeid, olulisemad neist on järgmised:

Teadmistepõhine faktor – see on kõige levinum ja kasutataksegi tavaliselt üheastmelisel autentimisel või siis mitmeastmelise autentimise esimese võimalusena end identifitseerida. Kasutaja teab näiteks salasõna, PIN koodi või vastust mõnele isiklikumale küsimusele: lemmiklooma nime, lemmikvärvi jne. Selle autentimise nõrkuseks on info lekkimine – parool võib kuskilt andmebaasist või märkmepaberilt lekkida, isikliku küsimuse kohta vastust võib teada ka keegi teine jne.

Omamispõhine faktor – kasutajal on midagi, mis tõestab, et selle omanikuna on ta tema ise. Lihtsamalt öeldes – kui mul on ID-kaart, siis tõenäoliselt olen ma ka selle ID kaardi omanik. Teise faktorina on mul teadmistepõhine sisselogimisinfo – selle ID kaardi PIN kood. Need kaks kokku tõestavad veenvalt, et mina olen see isik, kellena sisse login.

Asi võib olla ka nutitelefon, võti või muu selline asi, mida niisama lihtsalt teistele ei laenata.

Biomeetriline faktor – kasutaja füüsiliste omaduste põhjal tehakse isik kindlaks. See tähendab näiteks sõrmejälje järgi tuvastamist, näotuvastust, kõnetuvastust, silma vikerkesta või käe veenimustri järgi kindlaksmääramist. Biomeetriline faktor võib olla olenevalt kasutatavast tehnoloogiast üsna kindel, ehkki siin on üks paradoks. Nimelt mida lihtsamini ja kiiremini kasutajat tuvastada, seda suuremaks muutub valepositiivsete tuvastamiste hulk. Mida keerulisemalt ja täpsemalt seda teha, seda enam võidakse õige inimene aga valeks tunnistada.

Asukoha faktor – IP aadressi järgi või GPS-ist saadud koordinaatide põhjal tuvastamine on kasulik siis, kui kasutaja omab ligipääsuõigust mingis kindlas kohas. Näiteks võib selle järgi kasutaja tuvastada, kui ta logib sisse oma kontori sisevõrgust.

Ajafaktor – autentimine saab toimuda vaid mingi kindla aja jooksul. Väljaspool seda kellaaega või ajahetke parool lihtsalt ei tööta.

Paljud meile tuntud teenused kasutavad teadmiste- ja omamispõhist faktorit kasutaja mitmeastmelisel autentimisel. Google võib näiteks saata mobiilile SMS-i kinnituskoodiga ja kui sa omad seda mobiili, saad ekraanilt sisestada sisse logides vastava koodi. WordPressil on võimalus saata sisselogiva kasutaja e-posti aadressile kinnituskood. Kui ta saab oma postkasti ligi, siis see on teine faktor tuvastamiseks. ID-kaardiga sisse logides aga on vaja omada kaarti ennast ja teada parooli – seega samuti on olemas kaks faktorit enda tuvastamiseks.