Suur lugu

Puust ja punaseks: kuidas see väike vidin su interneti kasutamise palju turvalisemaks teeb

Väike arvuti USB-pessa käiv turvavõti kaitseb su kontosid internetis isegi siis, kui paroolid kuhugi lekkida võivad.

Hiljuti kirjutasime sellest, mis asi on kaheastmeline sisselogimine ja miks see tänapäeval juba üsna hädavajalik on.

Seekord õpetame kasutama mugavuse ja turvalisuse järgmist taset, millest on Eestis suhteliselt vähe juttu olnud: see on USB-turvavõti.

Mis see on?

Tegu on väikse jubinaga, mida sul on sisselogimiseks füüsiliselt vaja. Kui logid kuhugi telefoni või arvutiga sisse, kasutatakse sellel vidinal olevat infot kinnitamiseks, et sul on tõesti sellele kontole ligipääs.

Kõige lihtsamad on tavalise USB-otsikuga seadmed, mis käivad arvutisse justkui pisikesed mälupulgad. Samas on ka juhtmevaba ühendusega (NFC või Bluetooth) seadmeid, mida saab kasutada näiteks mobiilis.

Kes selle välja mõttes?

Esimesed sellised pulgad tegid Google ja firma nimega Yubico oma töötajatele. Need vastasid standardile U2F (universal 2nd factor), aga nüüdseks on standardi üle võtnud suurema hulga ettevõtete konsortsium FIDO, seega pole see ainult Google’i toode.

Laiemalt on aga praegugi selliste pulkade tootjatena tuntuimad Yubico, mille toote nimi on YubiKey, ja Google, mis teeb Titan Security Key’d.

Kus ma seda kasutada saan?

Kuigi ka näiteks Eesti riigi ID-kaart on samasugune vidin (mida eesti keeles nimetatakse ka pääsmikuks), saab seda kasutada ainult Eesti e-teenustes. Nende rahvusvaheliste tootjate standardile vastavat USB-vidinat saab aga kasutatada paljudes rahvusvahelistes teenustes.

Seda toetavad näiteks suured internetiplatvormid (Google, Microsoft), sotsiaalmeedia (Facebook, Instagram, Twitter, YouTube), pilvekettad (Dropbox), sisuhaldustarkvara (Drupal, WordPress), paroolihaldurid (Dashlane, KeePass, LastPass, 1Password) ja paljud muud teenused.

Ainsa märkimisväärse erandina on puudu näiteks Apple iCloud, see-eest aga saab sisse Apple’i personaalarvutitesse macOS-i.

Kuidas see täpselt käib?

Vaatame asja lähemalt ühe seadme näitel. See on Yubico eelmise põlvkonna kõige pisem võti: YubiKey 4 Nano.

YubiKey Nano on USB-turvavõtme kõige väiksem versioon.Foto: Hans Lõugas

Nano-formaadis võtmed käivad tavalise arvuti USB-pessa. Need on nii väiksed, et sealt paistab välja ainult väike ots ja tuluke. Võti kaalub 1 gramm, nii et raskemaks see arvutit ei tee.

Lisame Google’i kontole YubiKey võtme

Google’i konto turvaseadete alt tuleb avada kaheastmeline sisselogimine. Edasi tuleb valiku “Turvavõti” juurest lisada uus turvavõti.

See koosneb kolmest lihtsast sammust, mille ajal tuleb võti pista arvuti pessa.

Kõige parem on seda teha Google’i enda Chrome brauseris, mis selliseid turvavõtmeid toetab. Registreerimise ajal küsib Chrome luba turvavõtme andmete vaatamiseks, mis tuleb lubada.

Viimase sammuna tuleb võtmele mingi nimi anda. Kõik see võtab aega kokku mõne hetke.

Logime Google’isse YubiKey võtmega sisse

Nii, nüüd on meie Google’i kontol kaheastmeline autentimine nii, et teiseks astmeks on füüsiline turvavõti.

Proovime nüüd oma kontole sisse logida. Esimeseks astmeks on ikka tavaline parool, aga seejärel ütleb Google nii:

Aga mida ma tegema pean, kui võti on juba arvuti sees? Teha tuleb täpselt seda, mida juhised ütlevad – puudutada.

Esmalt hakkab võtme tuluke arvuti küljes vilkuma ja siis tuleb sinna lihtsalt näpp vastu panna. Sellest piisabki, et sisse logida!

On see nüüd siis turvaline?

Nüüd võib olla kindel, et isegi kui konto parool kuhugi lekib ja keegi selle teada saab, ei ole tal ligipääsu Google’i kontole.

Kui aga keegi arvuti küljest selle vidina ära tõmbab? Ka see ei anna automaatselt ligipääsu Google’i kontole. Lisaks peab ta ju teadma ka parooli.

Et sa aga näiteks juhusliku kadumise puhul ikka oma Google’i kontole ligi pääseksid, peaksid seadistama ka mõne varuvariandi kaheastmelise autentimise jaoks. See võib olla näiteks mõni ühekordne parool, mida hoiad turvalises kohas.

Kui oled miskipärast oma turvavõtmest ilma jäänud, kustuta see kindlasti oma Google’i konto seadetest ära.

Aga kui keegi häkib ära mu parooli ja varastab selle vidina? Siis on tegu mõnevõrra sihituma rünnakuga kui tavaline paroolileke ja sa peaksid rääkima oma asutuse IT-juhiga.

Kõigi tavaliste internetikasutajate jaoks on selline vidin aga mugav seade, mis teeb su konto oluliselt turvalisemaks.

Üleskutse

Aita meil podcaste teha ja saa kingituseks Geeniuse kraami

Toetan Autotundi Toetan Restarti Kuulan saateid

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.