Mis on sertifikaadipõhine autentimine ning miks see sulle korda peaks minema?

Image Of A Woman With A Smartphone In Her Hand.
Sertifikaadipõhine autentimine on lihtne, aga turvaline.Foto: Shutterstock

Autentimine on teatud süsteemile juurdepääsu taotleva kasutaja tuvastamise protsess. Me teeme seda iga päev, kui kasutame panka või loeme meili, ning kasutame selleks üht autentimismeetoditest. Sellest on saanud igapäevane rutiin, mille turvalisusele me eriti ei mõtle, vaid pigem usaldame süsteemi ja loodame, et see teeb kõik vajaliku meie eest ära.

Vajadus turvaliste autentimismeetodite järele tõusis teravamalt päevakorda viiruskriisi ajal, mil paljud töötajad kolisid kodukontorisse. See aeg pani proovile töötajale ligipääsetava teabe üldise turvalisuse. Mure tekib sellest, kui kasutaja kasutab vähem turvalist autentimismeetodit või ei järgi mantrat, mida on tänapäeval juba igal pool korrutatud (aga kordamine on tarkuse ema, nii et korrutame veel): ära kasuta mitmes kohas sama parooli ning vaheta oma salasõna vähemalt korra kolme kuu jooksul.

Millised autentimismeetodid on kõige levinumad?

Häkkimismeetodid muutuvad ajaga üha nutikamaks ning seetõttu kehtestavad süsteemid ja portaalid enda ja oma kasutajate kaitsmiseks rangemaid autentimisreegleid. Kolme kõige populaarsemat neist kirjeldatakse allpool.

1. Paroolipõhine autentimine

Kõige populaarsemaks sisselogimisviisiks on olnud ja tõenäoliselt jääb ka lähitulevikus kasutajanimi (tavaliselt e-posti aadress) ja parool. Paljud süsteemid muudavad paroolinõudeid keerukamaks, sundides meid looma pikemaid ja erimärke kasutavaid paroole. Selliseid paroole on aga raske meeles pidada. Tõenäoliselt on meist igaüks kasutanud vähemalt korra väga teretulnud abimeest “Unustasin parooli”.

Samuti on paroolidel oht langeda andmepüügi ohvriks (viis kasutajanimede ja paroolide pettuse teel hankimiseks). Statistika järgi on keskmisel kasutajal 25 kontot ja ainult 54 protsendil on nende jaoks erinevad paroolid. Mugavaks võimaluseks on kasutada internetis rohkelt leiduvaid paroolihoidjaid, samas tuleb arvestada, et paroolihoidjad on veelgi suurema rünnakuohu all. Ka ei tasu pimesi usaldada paroolide pilves hoidmist.

2. Mitmefaktoriline autentimine

Mitmefaktoriline autentimine kasutab isiku tuvastamiseks mitut meetodit või seadet. Näiteks peale parooliga sisselogimist tuleb sisestada lisakood, mille saad SMS-iga või kasutada oma telefoni juhuslike numbrite generaatori programmi, mis omakorda pikendab sisselogimisaega, sest tuleb sisestada mitu parooli. Internetis kasutatakse seda autentimismeetodit üsna sageli, näiteks kasutavad mitmefaktorilist autentimist Google, Facebook, Binance jpt. Eesti pangad on kasutanud täiendava kaitsevahendina ka PIN-kalkulaatoreid ehk koodikaarte.

3. Sertifikaadipõhine autentimine

Kasutaja tuvastab end digitaalse sertifikaadi esitamisega, mis genereeriti pärast passi, ID-kaardi või juhiloa kaudu kontrollimise protseduuri läbimist. Seda autentimismeetodit kasutatakse endiselt kõige sagedamini kriitilistes süsteemides, näiteks riigiteenuste puhul, pankades ja finantssektoris, kus ohutusnõuded on väga kõrged.

Kasutaja jaoks on aga selle autentimise kasutamine lihtne, kuna autentimiseks ja allkirjaks on vaja meeles pidada vaid 2 PIN-koodi.

Digisertifikaat sisaldab digitaalset identiteeti ja avalikke võtmeid, millega ei saa mitte ainult süsteemi sisse logida, vaid allkirjastada ka dokumendi, mis juriidiliselt võrdsustub käsitsi kirjutatud allkirjaga. Neid sertifikaate väljastab ainult sertifitseerimisasutus.

Need süsteemid võib jagada kolme rühma:

ID-kaart. Päris esimene Eestis ilmunud autentimismeetod, kus sertifikaadi privaatvõti on ID-kaardi kiibis ja andmete lugemiseks tuleb kasutada ID-kaardi lugejat. See pole igapäevaseks kasutamiseks süsteemi sisenedes kuigi mugav.

Mobiil-ID. Tegemist on lahendusega, kus privaatvõti on juba telefoni SIM-kaardil. Kui ID-kaardi kasutamisel on vaja kasutada lugejat, siis selle lahenduse puhul piisab mobiiltelefonist. Miinuseks on ebamugav teenuse käivitamine (vaja sõlmida eraldi lepe mobiilioperaatoriga) ning igakuine tasu teenuse eest.

Sertifikaat mobiilirakenduses. Seda tüüpi autentimine asendab oma lihtsuse, mugavuse, turvalisuse ja skaleeritavuse tõttu eelmist kahte ning muutub õigustatult oma segmendi standardiks. Privaatvõti salvestatakse telefoni kiibile, olles sõltumatu mobiilioperaatori teenustest. Eestis on hetkel kaks seda tüüpi autentimist kasutavat lahendust, nendeks on Smart-ID ja uus LeverID lahendus. LeverID kohta kirjutasime blogis pikemalt eelmisel kuul.

Ettevõtted kasutavad oma lahendustes HSM-i (Hardware Security Module), samuti erinevaid krüpteerimise meetodid: Smart-ID kasutab RSA-d ja LeverID edDSA-d, mille toimimisaeg on kiirem ja võtmed lühemad. Ka erinevatest krüpteerimise meetoditest oleme blogis varem kirjutanud ning selgitanud välja, miks üht või teist eelistada.

LeverID kasutab võtmete usaldusväärsemaks kasutamiseks ka kahe võtme, patendiootel DualKey tehnoloogiat.

Lisaks on LeverID skaleeritav globaalselt – seda saab kasutada peaaegu kõigis maailma riikides, kus on pass.

Millal on õige aeg sertifikaadipõhisele autentimisele üle minna?

Ennustame, et sertifikaadipõhine autentimine, eelkõige just mobiilirakenduse versioon või pilveteenused, hakkab lähiaastatel turgu domineerima kui üks turvalisemaid viise kasutaja tuvastamiseks. Koos internetikasutuse kiire kasvuga suureneb nii eraisikutele kui organisatsioonidele risk andmete ning varade kaotamisele, mistõttu peab kasutaja ise keskkonda valides mõtlema oma turvalisusele. Ettevõtetel on viimane aeg mõelda paroolipõhiselt autentimiselt turvalisematele tehnoloogiatele üleminekule.

Viimastel aastatel on Euroopa Liit võtnud kasutusele üha karmimad andmete säilitamise reeglid, nagu GDPR, aga ka identiteedi- ja tehinguturgu reguleeriv eIDAS. eIDAS 2.0 tulekuga on Euroopa Liidu ambitsioon, et enam kui 80% Euroopa kodanikest kasutaks digitaalseid rahakotte (mobiilirakendusi või pilveteenuseid, mis võtavad vastu ja salvestavad kasutaja mandaate). Seega on sertifikaadipõhise autentimise revolutsioon lähema 3-5 aasta küsimus.

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas (esmaspäeviti, kolmapäeviti ja reedeti) spetsiaalne DigiPRO liikmetele tehtud kommenteeritud uudiskiri, et sa midagi olulist maha ei magaks. Iga uudiskirja magnet on meie ajakirjanike kirjutatud pikem artikkel, mis meie arvates võiks selles valdkonnas töötavaid inimesi huvitada ja neile vajalik olla