Lühidalt: Paroolivabad autentimismeetodid nagu FIDO2 ja pääsuvõtmed (passkeys) asendavad haavatavat parooliga mitmefaktorilist autentimist ning vähendavad andmepüügi, SIM-vahetuse ja mandaatide täitmise rünnakute (credential stuffing) riski.
Mitmefaktoriline autentimine (MFA) on sisselogimisel identiteedi kontrollimiseks laialdaselt kasutusel, kuid parooliga rakendused jäävad rünnatavaks. FIDO2 turvavõtmed, pääsuvõtmed ja biomeetria kõrvaldavad struktuursed nõrkused, mida tänapäevased ründemustrid süstemaatiliselt ära kasutavad.
Mitmefaktorilisest autentimisest (MFA) on saanud sisselogimisel identiteedi kontrollimise standardmeetod. Paljud rakendused kasutavad siiski esimese faktorina parooli, mida täiendatakse autentimisrakenduse, e-posti, SMS-i vms abil. Sellel arhitektuuril on struktuurne nõrkus: püsiv parool jääb rünnaku peamiseks sihtmärgiks isegi siis, kui lisandub teine faktor.
USA standardiasutus NIST märgib oma digitaalse identiteedi juhendi (SP 800-63-4) hiljutises redaktsioonis, et paroolipõhine MFA on andmepüügi suhtes haavatav. Šveitsi föderaalne küberturvalisuse amet dokumenteeris 2024. aasta juhtumi, kus ründajad püüdsid esmalt andmepüügi teel kinni mobiilikonto parooli, seejärel hankisid ühekordse parooli võltsitud loosimislehelt ning pääsesid lõpuks SIM-vahetuse abil ligi SMS-põhisele autentimisele – tagajärjeks oli viiekohaline kahju Šveitsi frankides pangakontodel ja pilvesalvestuses. Täiendavaid haavatavusi tekitavad prompt bombing (push-teadete tahtmatu kinnitamine), varem lekkinud ja taaskasutatud paroolidega credential stuffing ning kompromiteeritud konto taastamise protsessid.
Paroolivabad meetodid kujutavad endast arhitektuuripõhimõtet, mida kehtivad turvanõuded selgesõnaliselt soovitavad. FIDO2 turvavõtmed (USB-pulk, märk) loovad asümmeetrilise võtmepaari, kus privaatvõti jääb seadmesse ja avalik võti salvestatakse autentimissüsteemi. Pääsuvõtmeid saab hoida süsteemi võtmehoidlas (iOS, Android, ChromeOS) või riistvaralises tokenis. Biomeetriline autentimine (sõrmejälg, näotuvastus) eeldab, et biomeetrilised andmed seadmest kunagi ei lahku. Kriitilise infrastruktuuri (tervishoid, ametiasutused) jaoks on kasutusel seadmega seotud kiipkaardid ja märgid tap-and-go-funktsiooniga.
Saksamaa infoturbeamet BSI soovitab kasutada paroolivabu meetodeid kõikjal, kus teenused seda tehniliselt võimaldavad. Need pakuvad kaitset andmepüügi eest, kuna autentimismehhanism on krüptograafiliselt seotud konkreetse õiguspärase veebilehe või rakendusega ega saa andmepüügisõnumite kaudu kompromiteeruda.
Allikas: www.it-daily.net · Avaldatud 9. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse art 50-le. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.