Kahetasemeline isikutuvastus / Multi-factor authentication

Owned by Priit Pennula
Last updated: 14 February 2024 by Ainiki Runno
8 min read

Milleks meile kahetasemeline isikutuvastus?

Hetkel on meie kasutajakontodesse sisselogimine võimalik kahe infokillu omamisel - kasutajanimi ja parool. Kasutajanime on võimalik tuletada e-posti aadressist, seega jääb ründajale tarvis arvata ära vaid üks muutuja parooli näol. Parool võib tulla avalikuks andmelekke, pahavara, õngitsuskirja ja -lehe või kasvõi äraarvamise teel.

Ülevõetud kasutajakontosid saab kuritarvitada rämpsposti, pahavara ning õngitsuskirjade levitamiseks, isikuandmete kogumiseks ja tööstusspionaažiks. Kasutajakontol leiduva teabe avalikukstulek avab ühtlasi tee identiteedivarguseks.

Kahetasemelise isikutuvastuse kasutuselevõtuga aitame kaitsta Teie ja Tallinna Tehnikaülikooli kasutajakontosid, mainet, isiklikke andmeid, kirjavahetust ja intellektuaalset vara.

Kahetasemelist isikutuvastust nõutakse, kui logite sisse mõnda teenusesse viibides seadmega väljaspool ülikooli võrku. 

Why do we need multi-factor authentication

At the moment, it is possible to log in to our user accounts with two pieces of information - a username and a password. The username can be derived from the e-mail address, so the attacker only needs to guess one variable in the form of a password. The password can be made public through data leaks, malware, phishing scripts, or even guesswork.

Seized user accounts can be misused for the distribution of spam, malware and phishing scams, the collection of personal data and industrial espionage. Disclosure of user account information also opens the door to identity theft.

By introducing multi-level identity identification, we help protect You and Tallinn University of Technology's user accounts, reputation, personal data, correspondence and intellectual property.

Two-level authentication is required when you sign in to a service with a device outside of the university network.

Tuvastusrakendus

Kahetasemelise isikutuvastuse seadistamiseks tuleb esmalt paigaldada vastav rakendus oma telefoni. Meie soovitus on Microsoft Authenticator, mille kasutuskogemus on Tallinna Tehnikaülikooli poolt pakutavate teenuste puhul kõige mugavam.

Microsoft Authenticator ei nõua kasutajalt ajapõhise koodi (TOTP) sisestamist, vaid kuvab sisselogimisel valikud nõustu ("Approve") ja keeldu ("Deny"). Juhul kui te ei soovi kasutada tuvastusrakendust, võite kasutada ka lühisõnumi- (SMS) või helistamise-põhist lahendust. 

Teie poolt sisestatud mobiiltelefoninumbrit kasutatakse ainult isikutuvastuse tarbeks ning seda ei kuvata avalikult.

Authenticator application

To set up 2-level authentication, you must first install the appropriate application on your phone. Our recommendation is Microsoft Authenticator, the user experience of which is the most convenient for the services offered by Tallinn University of Technology.

Microsoft Authenticator does not require the user to enter a time-based code (TOTP), but displays the "Approve" and "Deny" options when you log on. If you do not want to use the authentication application, you can also use a short message service (SMS) or a call-based solution.

The mobile phone number you enter will only be used for identification purposes and will not be displayed publicly.

Rakendus on saadaval nii Android- kui ka iOS operatsioonisüsteemidega telefonidele.

 

The app is available for phones running both Android and iOS operating systems.

 

 

Soovi korral on võimalik kasutada alternatiivseid tuvastusrakendusi nagu AgileBits 1Password, Google Authenticator või Red Hat FreeOTP. Nende puhul pole kahetasemelise isikutuvastuse teostamiseks võimalik kasutada teavitusi, vaid tuleb ise sisestada rakenduse poolt genereeritud ühekordne tuvastuskood (TOTP).


Seadistamisel valida arvutis esmalt vaikimisi kinnitusmeetodi rippmenüüst "Kasutage rakendusest või tõendist pärit kinnituskoodi". Mobiilirakenduse häälestuse käigus vajutada QR koodi juures viitel "Konfigureeri rakendus ilma teatisteta" ja alles seejärel lugeda telefoniga kood sisse.

Alternative authentication applications such as AgileBits 1Password, Google Authenticator or Red Hat FreeOTP can be used if desired. For these, it is not possible to use notifications to perform two-level identification, but you must enter the one-time identification code (TOTP) generated by the application yourself.


To set up your computer, first select the default verification method from the "Use verification code from an application or certificate" drop-down menu. During the setup of the mobile application, click on the "Configure the application without notifications" link next to the QR code and then read the code into the phone.

Kahetasemelise isikutuvastuse seadistamine

Kahetasemelise isikutuvastuse ülesseadmiseks tuleb logida sisse oma e-posti kontole veebilehel https://mail.taltech.ee.

Set up two-level authentication

To set up two-level personal identification, you must log in to your e-mail account on the website https://mail.taltech.ee.

Peale edukat sisselogimist kuvatakse Teile teavitus, kus palutakse sisestada täiendavat teavet. Vajutada nupule "Next".
Tähelepanu: Logides oma e-posti kontole ülikooli arvutivõrgust, ei pruugita Teid automaatselt suunata täiendava teabe vormile. Sellisel juhul peate minema veebilehitsejaga leheküljele https://aka.ms/mfasetup.

After a successful login, you will be notified with additional information. Click the "Next" button.
Attention: Logging in to your e-mail account from the university computer network may not automatically redirect you to the additional information form. In this case, you need to go to https://aka.ms/mfasetup with your web browser.

Avanenud leheküljel olevast rippmenüüst valida "Mobile app" ning teha linnukene "Receive notifications for verification" kasti. Seejärel vajutada nupule "Set up".

From the drop-down menu on the page that opens, select "Mobile app" and check the "Receive notifications for verification" box. Then press the "Set up" button.

Telefonis avada Microsoft Authenticator rakendus, valida seadistus (paremal ülemises nurgas asuv kolme vertikaalse täpiga ikoon) ning avanenud menüüst valida "Add account".

Open the Microsoft Authenticator application on your phone, select the setting (the icon with three vertical dots in the upper right corner) and select "Add account" from the menu that opens.

Ilmunud menüüst valida "Work or school account". Hüpikaknas valida "Scan a QR code".

Select "Work or school account" from the menu that appears. In the popup window, select "Scan a QR code".

Telefon lülitub kaamera režiimile, misjärel suunata objektiiv arvutiekraanil olevale QR-koodile. Telefon loeb selle koodi automaatselt sisse ning Teie kasutajakonto ilmub Microsoft Authenticatori kasutajakontode loetellu. Arvutis vajutada kahel korral nupule "Next".

The phone switches to camera mode, then point the lens at the QR code on the computer screen. The phone automatically reads this code and your user account appears in the list of Microsoft Authenticator user accounts. On the computer, click the "Next" button twice.

Seadistuse testimise eesmärgil tehakse üks tuvastuskatse, telefoniekraanile tekib järgnev teavitus. Vajutada nupul "Approve".

To test the setting, one detection test is performed, and the following message appears on the phone screen. Click the "Approve" button.

Viimase sammuna tuleb sisestada alternatiivne isikutuvastusviis, kus esmalt valida rippmenüüst oma telefonioperaatori asukohamaa (üldjuhul on see Estonia (+372)) ning seejärel kirjutada väljale oma telefoninumber. Lõpetamiseks vajutada nupul "Done". Selle info sisestamisega säilib Teil oma kontole ligipääs isegi juhul, kui Microsoft Authenticator lakkab toimimast - vajadusel saate tellida kahetasemelise isikutuvastuse koodi telefonikõne või lühisõnumi (SMS) vahendusel. Soovitus on kasutada oma (kas töö- või isiklikku) mobiiltelefoni numbrit, sest lauatelefon on fikseeritud ühte konkreetsesse füüsilisse asukohta. Samuti võib tekkida probleeme kahetasemelise isikutuvastuse kõne suunamisega lauatelefonilt mujale. Sisestatud telefoninumbrit ei kuvata avalikult ning seda kasutatakse vaid kahetasemelise isikutuvastuse teenuse pakkumiseks.

The last step is to enter an alternative method of personal identification, first selecting the country of location of your telephone operator from the drop-down menu (usually Estonia (+372)) and then entering your telephone number in the field. Click the "Done" button to finish. By entering this information, you will still have access to your account even if Microsoft Authenticator stops working - if necessary, you can order a two-level personal identification code via phone call or text message (SMS). It is recommended to use your (either work or personal) mobile phone number, as the landline is fixed to one specific physical location. There may also be problems redirecting a two-level identity call from a landline.
The phone number you entered is not displayed publicly and is only used to provide a two-level identification service.

Lõpetuseks kuvatakse kokkuvõte seadistusest, kui kasutasite kahetasemelise isikutuvastuse seadistamiseks aka.ms/mfasetup veebilehte. Tuleb veenduda, et seadistus oleks analoogne illustratsioonil kujutatule.

 

Finally, a summary of the configuration is displayed if you used the aka.ms/mfasetup website to set up two-level authentication. Make sure that the setting is similar to the one shown in the illustration

 

Kahetasemelise isikutuvastuse kasutamine

Tallinna Tehnikaülikooli arvutivõrgust sisse logides kahetasemelist isikutuvastust ei nõuta ning senine kasutuskogemus ei muutu - piisab üksnes oma Uni-ID kasutajanime ja -parooli sisestamisest.

Teistest võrkudest (näiteks kodus, suvilas, reisil) ühendumisel on sisselogimise protsess üldjoones sama, kuid lisandub üks etapp. Peale kasutajanime ja parooli sisestamist ning sisselogimise nupu vajutamist kuvatakse arvuti ekraanil teavitust kahetasemelise isikutuvastuse nõudest. Telefoni ekraanile ilmub teade, kus palutakse sisselogimine kas kiita heaks ("Approve") või keelduda ("Deny"). Vajutades "Approve" viiakse sisselogimine lõpule ning vajutades "Deny" sisselogimine katkestatakse.

How to use Multi-factor authentication

When logging in from the computer network of Tallinn University of Technology, two-level personal identification is not required and the current user experience does not change - all you have to do is enter your Uni-ID username and password.

When connecting from other networks (eg home, cottage, travel), the login process is generally the same, but with one additional step.
After entering the user name and password and pressing the login button, a two-level authentication request will be displayed on the computer screen. A message will appear on the phone screen asking you to either "Approve" or "Deny" the login.
Pressing "Approve" completes the login and pressing "Deny" cancels the login.

Kahetasemelise isikutuvastuse seadistuste muutmine

Telefoninumbri, mobiiltelefoni või tuvastusrakenduse vahetamisel võib tekkida vajadus muuta kahetasemelise isikutuvastuse seadistust, mida on võimalik teha veebilehel http://aka.ms/mfasetup.

How to change Multi-factor authentication settings

When you change your phone number, mobile phone or recognition application, you may need to change the two-level authentication setting, which can be done at http://aka.ms/mfasetup.