Luennolla puhutaan tietolaitteiden henkilökohtaisen käytön tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä käytännössä riittävän turvalliset tavat tunnistautua.
Luennolla esitellään mentelmiä tietolaitteiden riittävän turvallisen henkilökohtaisen peruskäytön varmistamiseksi. Avainkäsitteitä ovat Tunnistautuminen, Järjestelmä sekä Tiedot. Päämääränä puolestaan helppokäyttöinen ja hyvä tietoturva.
Tunnistautuminen (tietoturva), luento 11.4.2016 Riku E. Järvinen
Jyväskylän kirjastolla pitämäni luento tunnistautumisen perusteista. Luennolla käsitellään lyhyesti aiheita kuten mm. miksi tunnistautua, anonyymi internet, digitaalinen identiteetti, ja hakkeroitu Google-tili.
Henkilökohtaisen tietolaitteiden käytön tietoturvaa käsittelevä yleisöluento Keuruun kirjastolla 22.1.2016. Luennolla käsitellään Tunnistautumista, Järjestelmää sekä Tietoja. Luennon asioista tarkemmin http://tvtkoulu.fi/tietoturva
Tieto- ja viestintätekniikan luontevan käytön koulutus, luennointi ja kurssit: http://tvtkoulu.fi
Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Finanssivalvonta
Studia monetaria -yleisöluento rahamuseossa 10.10.2017
Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta
Tomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi KinnariSuomen Pankki
Suomalaiset käyttävät finanssialan palveluita aktiivisesti internetin välityksellä. Kuulumme Euroopan kärkeen esimerkiksi verkkopankin käyttöaktiivisuudessa.
Palveluiden käyttäjillä on tärkeää olla perustiedot turvallisesta asioinnista finanssialan digitaalisissa palveluissa ja omien päätelaitteiden, kuten matkapuhelinten, suojaamisesta. Tietoturva-asiantuntija Tomi Kinnari Viestintäviraston Kyberturvallisuuskeskuksesta kertoo tavallisimmista uhkista ja huijausyrityksistä, jotka kohdistuvat palveluiden käyttäjiin. Esityksessä käydään myös läpi keinoja, joilla käyttäjä voi varautua näihin uhkiin ja tunnistaa tyypillisimpiä huijausyrityksiä.
Ravintolavaunuun unohtunut läppäri tarjoaa vapaan temmellyskentän ja keppostelun mahdollisuuden pahiksille! Salaamattomien laitteiden päätyessä vääriin käsiin, tieto on naurettavan helppo lukea ja tietovuotokatastrofin merkit leijuvat vahvana ilmassa.
Tietokoneiden lisäksi raakalaismaisille tunkeutujille helppoja saaliita ovat massamuistit, kuten kadulle pudonneet USB-tikut ja hyllyn reunalla köllöttelevät Flash-levyt.
Centeron asiakkailleen tekemissä tietoturvakartoituksissa paljastui huolestuttava perustavaa laatua oleva puute. Liikkuvien työasemien osalta, 73 % kartoitetuista organisaatioista ei ollut käytössä minkään tasoista päätelaitteiden tallennustilan salausta!
Nykyisin laitteiden salaus on vaivaton toteuttaa eikä loppukäyttäjää kuormiteta erillisillä salasanakirjautumisilla. 1.11.2018 järjestetyssä webinaarissa kävimme läpi esimerkkejä kiintolevyjen ja massamuistien tehokkaaseen salaukseen.
Luennolla esitellään mentelmiä tietolaitteiden riittävän turvallisen henkilökohtaisen peruskäytön varmistamiseksi. Avainkäsitteitä ovat Tunnistautuminen, Järjestelmä sekä Tiedot. Päämääränä puolestaan helppokäyttöinen ja hyvä tietoturva.
Tunnistautuminen (tietoturva), luento 11.4.2016 Riku E. Järvinen
Jyväskylän kirjastolla pitämäni luento tunnistautumisen perusteista. Luennolla käsitellään lyhyesti aiheita kuten mm. miksi tunnistautua, anonyymi internet, digitaalinen identiteetti, ja hakkeroitu Google-tili.
Henkilökohtaisen tietolaitteiden käytön tietoturvaa käsittelevä yleisöluento Keuruun kirjastolla 22.1.2016. Luennolla käsitellään Tunnistautumista, Järjestelmää sekä Tietoja. Luennon asioista tarkemmin http://tvtkoulu.fi/tietoturva
Tieto- ja viestintätekniikan luontevan käytön koulutus, luennointi ja kurssit: http://tvtkoulu.fi
Verkkoturvallisuuskuukausi:Ovatko tilisi ja tietosi turvassa?Finanssivalvonta
Studia monetaria -yleisöluento rahamuseossa 10.10.2017
Hanna Heiskanen, johtava digitalisaatioasiantuntija, Finanssivalvonta
Tomi Kinnari, tietoturva-asiantuntijaViestintävirasto, Kyberturvallisuuskeskus
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi KinnariSuomen Pankki
Suomalaiset käyttävät finanssialan palveluita aktiivisesti internetin välityksellä. Kuulumme Euroopan kärkeen esimerkiksi verkkopankin käyttöaktiivisuudessa.
Palveluiden käyttäjillä on tärkeää olla perustiedot turvallisesta asioinnista finanssialan digitaalisissa palveluissa ja omien päätelaitteiden, kuten matkapuhelinten, suojaamisesta. Tietoturva-asiantuntija Tomi Kinnari Viestintäviraston Kyberturvallisuuskeskuksesta kertoo tavallisimmista uhkista ja huijausyrityksistä, jotka kohdistuvat palveluiden käyttäjiin. Esityksessä käydään myös läpi keinoja, joilla käyttäjä voi varautua näihin uhkiin ja tunnistaa tyypillisimpiä huijausyrityksiä.
Ravintolavaunuun unohtunut läppäri tarjoaa vapaan temmellyskentän ja keppostelun mahdollisuuden pahiksille! Salaamattomien laitteiden päätyessä vääriin käsiin, tieto on naurettavan helppo lukea ja tietovuotokatastrofin merkit leijuvat vahvana ilmassa.
Tietokoneiden lisäksi raakalaismaisille tunkeutujille helppoja saaliita ovat massamuistit, kuten kadulle pudonneet USB-tikut ja hyllyn reunalla köllöttelevät Flash-levyt.
Centeron asiakkailleen tekemissä tietoturvakartoituksissa paljastui huolestuttava perustavaa laatua oleva puute. Liikkuvien työasemien osalta, 73 % kartoitetuista organisaatioista ei ollut käytössä minkään tasoista päätelaitteiden tallennustilan salausta!
Nykyisin laitteiden salaus on vaivaton toteuttaa eikä loppukäyttäjää kuormiteta erillisillä salasanakirjautumisilla. 1.11.2018 järjestetyssä webinaarissa kävimme läpi esimerkkejä kiintolevyjen ja massamuistien tehokkaaseen salaukseen.
Luennolla käsitellään pilvipalveluita yleisesti sekä keskitytään erityisesti palveluiden hyödyntämiseen henkilökohtaisessa käytössä. Esimerkkinä Googlen pilvipalveluympäristö. Tavoitteena on antaa selkeä kuva pilvipalveluiden roolista nykyaikaisessa tietotekniikassa.
Elisa webinaari 23.10.2019, asiantuntijoina Matti Väliniemi ja Jukka Niiranen, aiheena Microsoft 365 tietoturvapalvelut mm. Dynamics 365:n kaltaisille liiketoimintasovelluksille pilvessä.
Luennolla käsitellään pilvipalveluita yleisesti sekä keskitytään erityisesti palveluiden hyödyntämiseen henkilökohtaisessa käytössä. Esimerkkinä Googlen pilvipalveluympäristö. Tavoitteena on antaa selkeä kuva pilvipalveluiden roolista nykyaikaisessa tietotekniikassa.
Elisa webinaari 23.10.2019, asiantuntijoina Matti Väliniemi ja Jukka Niiranen, aiheena Microsoft 365 tietoturvapalvelut mm. Dynamics 365:n kaltaisille liiketoimintasovelluksille pilvessä.
Keskiviikkona 14.12. klo 9.30 järjestimme webinaarin, jossa paneuduimme Canon Oy:n Business Development Manager, Juuso Enjalan, kanssa tulostamisen ja fyysisten dokumenttien säilyttämisen käytäntöihin.
Tulostaminen ja fyysisten dokumenttien säilyttäminen on yllättävän suuri tietoturvariski niin pienissä kuin suurissakin yrityksissä. Pikainen vilkaisu asiantuntijan salkkuun, tulostimen vieressä olevaan roskakoriin ja pöydillä lojuviin papereihin paljastaa monesti tilanteen karulla tavalla.
Luonnollisesti EU:n tietosuoja-asetuksella (GDPR) on vaikutuksensa myös fyysisesti säilytettäviin dokumentteihin ja niiden tietoturvaan.
Oletko koskaan ajatellut, että tietoturvan huomioiminen tulostamisessa voisikin yllättäen säästää rahaa? Katso nauhoitteesta, mitä tämä tarkoittaa.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä meillä tulostetaan tai saadaan tulostaa?
Miten varmistetaan, että tulosteet päätyvät oikealle henkilölle?
Parhaat käytännöt fyysisten dokumenttien tietoturvan kannalta?
Tulosteiden ja fyysisten dokumenttien tietoturva tietosuoja-asetuksen valossa?
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
Pilvipalvelut - vääjäämättömyys vai mahdottomuus käsiteltynä tietoturvan, arkkitehtuurin sekä tarkastuksen näkökulmista. Esitetty ISACA Helsingin kuukausikokouksessa 17.2.2011.
- Ws-security, allekirjoitus ja kryptaus
- Webserviceiden tekninen tunnistaminen ja suojaaminen
- Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit
- Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun
Helppo pääsy ajasta, paikasta ja laitteesta riippumattaFinceptum Oy
Identiteettitietoinen tietoturva on esimerkiksi kattava pääsy kaikille ja kaikkialle yksinkertaisesti ja turvallisesti.
Strategia pääsynhallintaan: toiminnan mahdollistaminen ja riskienhallintaa.
25.4.2017 Joustava ja hallittu pääsy tapahtuman esitys
Esittelyssä NetIQ:n ratkaisu Advanced Authentication.
NAAF on autentikointi-infrastruktuuri joka yhdistää erilaiset
autentikointitavat erilaisiin autentikointitapahtumiin tai
-hetkiin.
Se,
● Tukee erilaisia autentikontitapoja
● Tukee useita autentikointitapahtumia
● Tukee useita käyttäjätietovarastoja
● Käyttäjäystävällinen
● Helppo hallinta ja tapahtumien lokitus
Sovelto Aamiaisseminaari Tampereella 30.10.2015
Tapsa Kankkonen ja Mika Seitsonen
http://www.sovelto.fi/kurssit/aamiaisseminaarit/windows-10-seminaarit-tampereella
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
Tunnistautuminen (luento, tietoturva)
1. Tunnistautuminen
Luennolla puhutaan tietolaitteiden henkilökohtaisen käytön
tietoturvan osa-alueesta Tunnistautuminen. Tarkastellaan
laitteita, verkkoja sekä palveluja. Tavoitteena on esitellä
käytännössä riittävän turvalliset tavat tunnistautua.
3. Luentoja tietotekniikasta
•Tunnistautuminen liittyy henkilökohtaisen
käytön tietoturvaan (tunnistautuminen,
järjestelmä, tiedot).
Lisätietoa: tvtkoulu.fi/tietoturva
•Luento sekä muut aiheeseen liittyvät luennot
ovat verkossa SlideShare-palvelussa (tvtkoulu).
4. Tunnistautumisen määrittelyä
•Tietokone ei yleensä osaa vastata sopivalla
tavalla, kun sille puhutaan:
Hei tietokone, haluaisin katsoa sähköpostini ja maksaa
laskut.
•Koneelle (palvelulle) täytyy kertoa täsmälleen,
kuka pyyntöjä esittää.
•Yleensä: Tunnistautuminen = Kirjautuminen
5. Peter W. Singer ja Allan
Friedman (2014)
”Hyvä tietoturva on mahdollinen
vain silloin, kun järjestelmä voi
luottaa käyttäjiin ja toisaalta
käyttäjät voivat luottaa
järjestelmään.”
6. Digitaalinen identiteetti
•Identifiointi eli käyttäjän tunnistaminen, "kuka
olet?”. Käyttäjätunnus on sähköpostiosoite,
tunnusosa tai jokin muu:
riku@tvtkoulu.fi, riku, RikuJ, 82924921
•Autentikointi eli digitaalisen identiteetin
varmennus, "osoita, kuka olet”. Yleensä
salasana eli merkkijono:
Jsl(2lsk, Ankka2Grill8Mic, …
Identifiointi (tunnistaminen) + autentikointi (todennus)
7. Miksi tunnistautua?
•Henkilökohtaisen tiedon käyttö ja säilytys
verkossa vaativat tunnistautumisen
(synkronointi).
valokuvat, yhteystiedot, kalenteri,…
•Vuorovaikutteisuus, kuten
asioiden hoitaminen (posti, vero, poliisi, pankki)
viestintä, verkkokaupat, tiedonhaku
viihdepalvelut (Yle Areena, Spotify,…)
Henkilökohtaiset tiedot, vuorovaikutteisuus
8. Anonyymi internet?
•Ilman digitaalista identiteettiä verkon käyttö
rajoittuu merkittävästi, mm.
tiedonhaku, surffailu, tiedostojen lataaminen,…
•Facebook käyttö anonyyminä? Kyseenalaista.
•Ratkaisuja mm.
Linux, Tor-verkko sekä erillinen Internet-selain
toinen identiteetti, joka pidetään erillisenä todellisesta
digitaalisesta identiteetistä.
Surffailua Linuxilla Tor-verkossa, erillinen identiteetti,…
10. Mobiililaitteet
• Mobiililaite sisältää mahdollisesti eniten
henkilökohtaista tietoa käyttäjästä, mm.
yhteystiedot, kalenteri, valokuvat,...
• Käyttäjä on jatkuvasti kirjautuneena palveluihin.
• Lukitusnäyttö (+salaus) suojaa laitteen. Vahvuus tulee
olla vähintään tasoa nelinumeroinen PIN-koodi.
Lukitusnäyttö PIN-koodilla suojattuna
11. Windows
•Windows 8:sta eteenpäin kirjaudutaan suoraan
Microsoft-tilille. Osa palveluista (OneDrive),
ovat käyttäjäkohtaisia.
•Koneen salasanan voi korvata PIN-koodilla
Windowsin asetuksista.
•Kiintolevyn salaus – BitLocker (Windows Pro)
Kirjautuminen PIN-koodilla omalle Windows-tilille
13. Avoin langaton verkko on turvaton!
•Avoimessa WLAN-verkossa tiedon kaapannut taho
voi lukea sisällön ilman merkittäviä esteitä.
•Muut verkon laitteet voivat "kuunnella"
liikennettä sekä tallentaa käyttäjätunnuksia &
salasanoja käyttäjän huomaamatta mitään.
•Sivustoille, jotka vaativat tunnistautumista, tulee
avoimissa verkoissa käyttää VPN-yhteyttä.
Tieto ei ole salattua, käytä VPN-yhteyttä tarvittaessa
15. VPN-yhteyksistä
• VPN (virtual private network) on kokoelma
tekniikoita, joilla laite yhdistetään turvallisesti
verkkoon.
• VPN mahdollistaa mm.
Verkkoliikenteen seurannan estämisen
Turvallisen käytön avoimissa langattomissa verkoissa
Joskus maantieteellisesti rajoitetun sisällön käytön.
• Esimerkiksi TunnelBear VPN tai F-Secure Freedome.
Turvallinen ”tunneli” epämääräisen Internetin läpi
16. Kotiverkko
•Verkkolaitteelle (reititin) kirjautumisen salasana
tulee muuttaa oletuksesta (admin, root, [tyhjä]).
•Reitittimelle kirjaudutaan selaimen osoitekentässä
IP-osoitteella, joka yleensä muotoa 192.168.1.1 tai
vastaavaa.
•Langattoman kotiverkon salasana tulee muuttaa
(usein verkkolaitteen pohjassa oleva numerosarja).
Reitittimen salasana sekä WLAN-salasana kannattaa vaihtaa.
18. Miksi palveluihin tunnistaudutaan?
• Palvelu voi
säilyttää ja/tai käsitellä henkilökohtaista tietoa
toimia yhteyskanavana ihmisiin tai palveluntarjoajiin.
• Henkilökohtaisuus saavutetaan tunnistautumalla.
• Esimerkiksi
Omakanta - sähköiset reseptit
Facebook - ystävät, tutut, keskusteluryhmät
Henkilökohtaiset tiedot, vuorovaikutteisuus
19. Singer & Friedman, Bazzell,
Mitnick,…
”Jokaisella palvelulla on
oltava yksikäsitteinen
salasana.”
20. Miksi yksikäsitteiset salasanat?
•Käyttäjä ei tiedä, kuinka palveluntarjoaja tallentaa
salasanoja. Ne voivat olla jopa tekstitiedostossa
ilman salausta.
•Jos käyttäjällä on sama salasana eri palveluissa,
yhden palvelun hakkerointi voi haitata muiden
palveluiden käyttöä.
Palveluntarjoaja voi mokata tietoturvan
21. Hakkeroitu Google-tili 1/2
Antti käyttää Googlea ja hänellä on heikko salasana.
Hakkeri kaappaa tilin ja voi tehdä alkuun seuraavaa:
• Estää Anttia käyttämästä tiliä vaihtamalla salasanan.
• Jakaa /poistaa palvelussa olevat tiedot, lähetellä
sähköposteja ja pikaviestejä sekä käsitellä Antille jaettuja
tietoja.
• Kokeilla tunnuksia muihin palveluihin ja kenties kaapata
myös Facebookin, Twitterin, Instagramin,….
Mitä voi tapahtua, kun hakkeri iskee pilveen?
22. Hakkeroitu Google-tili 2/2
Hakkeri voi joskus käydä todella ärsyttäväksi:
• Perustaa Antin nimissä blogin ja liittää kirjoituksiin
Antin valokuvia tai muuta sisältöä pilvestä.
• Haukkua ihmisiä ”Anttina” keskustelupalstoilla,
joille kirjautuminen tapahtuu Googlen tunnuksilla.
• Jos Antilla on luottokortti lisättynä tiliin, ostaa
mm. sovelluksia ja e-kirjoja sekä vuokrata elokuvia
(mobiili).
Mitä voi tapahtua, kun hakkeri iskee pilveen?
23. Käyttäjätunnuksien hallinnasta
• Käyttäjätunnus on yleensä oma sähköpostiosoite.
Samaa tunnusta voi käyttää eri palveluissa
• Sähköpostiosoitteet ovat käytännössä julkisia.
Osoitteita ei merkitä kokonaisina verkkosivulle.
Parempi ratkaisu on muoto
riku [ät] tvtkoulu.fi
• Käyttäjätunnukset tallennetaan esimerkiksi
digitaaliseen muistikirjaohjelmaan (OneNote tms.)
allekkain.
Tunnistautuminen
24. Salasanarunko
• Keksi salasanarunko eli hauska ja persoonallinen
ilmaus, jonka muistat varmasti. Esimerkiksi:
Ankka2Grill8
• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun
nimestä.
• Esimerkiksi palvelulle Gmail salasana on:
Ankka2Grill8 + Gma => Ankka2Grill8Gma
Turvallinen tapa käyttää useita palveluita
25. Salasanarungon turvallisuudesta
•Runko vähintään suojaa käyttäjää tilastollisilta
tietoturvauhkilta, jotka ovat leijonanosa
hyökkäyksistä.
•Tämä ei aina riitä, jos käyttäjään tehdään
kohdistettuja tietoturvahyökkäyksiä.
•Salasanarunko on helpohko muistaa sekä
helpottaa myös uusien salasanojen keksimistä.
Riittää hyvin peruskäytössä
26. Salasanojen hallintaa
• LastPass tallentaa käyttäjän salasanat suojattuun
tietokantaan. Pääsalasanalla kirjaudutaan palveluun.
• Selaimen lisäosana Lastpass täydentää salasanat
automaattisesti, jolloin käyttäjä vain hyväksyy
kirjautumisen.
• Lastpass tarjoaa myös testin, joka varmistaa
salasanojen yksikäsitteisyyden ja turvallisuuden.
Pääsalasana on avain palveluiden käyttöön
27. Salasana unohtunut?
•Sähköpostiosoite ja sen salasana tulee muistaa!
•Useille palveluille voi antaa puhelinnumeron, jota
käytetään autentikoinnissa.
•Googlen salasanan palauttamiseksi löytyvät
ohjeet kirjoittamalla hakuun Google reset password,
vastaavasti muille.
Salasanan nollaaminen onnistuu usein sähköpostin kautta
28. Kaksivaiheinen vahvistus
•Useat toimijat (mm. Apple, Google, Microsoft)
antavat käyttäjälle mahdollisuuden
kaksivaiheiseen autentikointiin.
•Kun tilille kirjaudutaan uudella laitteella, lähettää
palvelu käyttäjän puhelimeen tekstiviestillä
vahvistuskoodin, joka näppäillään ruudulle.
•Kaksivaiheinen vahvistus otetaan käyttöön
palvelun asetuksista verkossa.
Aktivoi kaksivaiheinen vahvistus tärkeimmissä palveluissa
29. Turvakysymykset
• Useat palvelut sallivat unohtuneen salasanan
palautuksen turvakysymyksiin vastaamalla. Esimerkki:
Mistä kaupungista olet kotoisin?
• Kysymykset voivat olla tietoturvariski, jos vastaukset
ovat yleisessä tiedossa tai selvitettävissä netistä.
• Ratkaisu on valehdella tietokoneelle. Edelliseen
turvakysymykseen voi vastata:
Ankka2Grill
Vastaa turvakysymyksiin jotain, mikä ei pidä paikkaansa
30. Viralliset palvelut
• Virallisiin asiointiväyliin tunnistaudutaan tyypillisesti
verkkopankin tunnuksilla. Muita vaihtoehtoja ovat
poliisin myöntämä sirullinen henkilökortti sekä
mobiilivarmenne.
• Yhteydet verkkopankkiin ovat kaksinkertaisesti
salattuja eli viestintäkanava on salattu, kuten myös
lähetettävän viestin sisältö. Lisäksi käytetään
kaksivaiheista vahvistusta (tunnusluvut).
Verkkopankkitunnuksilla
31. Palvelut erilleen!
•Palvelut kuten Spotify ja Netflix sallivat
kirjautumisen Facebook-tunnuksilla.
•Facebook-tunnuksilla Spotify-palveluun
kirjautuminen saattaa julkaista jokaisen
kuunnellun kappaleen omalla FB-aikajanalla
(riippuu asetuksista).
Yksityisyyden hallinta säilyy paremmin
33. Tunnistautumisen avainsanoja
• Laitteet
Pääsykoodi, PIN tai sormenjälki, salaus (kryptaus)
• Verkot
Avoin WLAN, VPN, kotona reitittimen ja verkon salasana
• Palvelut
Sähköpostiosoite ja salasana, salasanarunko ja / tai
salasanojen hallinta, kaksivaiheinen vahvistus,
turvakysymykset, erilliset palvelut
Kiinnitä huomiota seuraaviin