Kako dodati aplikaciju u Yandex ključ. Društvena mreža VKontakte"

Možete omogućiti dvofaktorska autentifikacija V. Trebat će vam aplikacija Yandex.Key na koju se može instalirati mobilni uređaj baziran na iOS-u ili Androidu. Uređaj koji ne podržava instalaciju aplikacije (kao što je Amazon Kindle Fire) se ne može koristiti.

Nakon što omogućite dvofaktorsku autentifikaciju:

Sve Yandex aplikacije, programi i usluge će zahtijevati tačno jednokratna lozinka. Jednokratna lozinka će također biti potrebna prilikom prijavljivanja putem društvene mreže i prijavljivanja u svoje poštansko sanduče za domene.

Ne morate unositi svoje korisničko ime i lozinku ako se na Yandex prijavite pomoću QR koda.

Za mobilne aplikacije trećih strana, kompjuterski programi a sakupljači pošte će morati da koriste pojedinačne lozinke aplikacije.

Bilješka. Za prijenos računa na drugi pametni telefon ili tablet, otvorite stranicu i kliknite na dugme Zamjena uređaja.

Postavljanje se odvija u nekoliko koraka. Dvofaktorska autentifikacija je omogućena tek nakon što kliknete na dugme Kompletno podešavanje on poslednji korak.

1. Korak 2: Kreirajte PIN
2. Korak 3. Postavite Yandex.Key

Korak 1: Potvrdite svoj broj telefona

Ako imate telefonski broj povezan sa vašim nalogom, pretraživač će prikazati taj broj i tražiti da ga potvrdite ili promenite. Ako vaš trenutni broj telefona nije povezan sa vašim nalogom, moraćete da ga povežete, inače nećete moći sami da vratite pristup svom nalogu.

Za povezivanje ili potvrdu broja, zatražite kod putem SMS-a i unesite ga u obrazac. Ako je kod ispravno unet, kliknite na dugme Potvrdi da biste prešli na sledeći korak.

Korak 2: Kreirajte PIN

Kreirajte i unesite četverocifreni PIN kod za dvofaktorsku autentifikaciju.

Pažnja. Kao i kod mnogih bankovne kartice, samo vi znate PIN kod i ne možete ga promijeniti. Ako zaboravite svoj PIN kod, Yandex.Key neće moći generirati ispravnu jednokratnu lozinku i moći ćete vratiti pristup svom računu samo uz pomoć podrške.

Kliknite na dugme Kreiraj da potvrdite uneti PIN kod.

Korak 3. Postavite Yandex.Key

Yandex.Key je potreban za generiranje jednokratnih lozinki za vaš račun. Vezu aplikacije možete dobiti direktno na svoj telefon ili je instalirati iz App Store ili Google Play.

Bilješka. Yandex.Key može zatražiti pristup kameri kako bi prepoznao QR kodove prilikom dodavanja naloga ili prilikom autorizacije korištenjem QR koda.

Kliknite na dugme u Yandex.Key Dodajte nalog u aplikaciju. Yandex.Key će uključiti kameru da skenira QR kod prikazan u pretraživaču.

Ako ne možete da pročitate QR kod, kliknite na link u svom pretraživaču Pokaži tajni ključ, au aplikaciji - link ili ga dodajte ručno. Umjesto QR koda, pretraživač će prikazati niz znakova koji se moraju unijeti u aplikaciju.

Nakon što prepozna nalog, aplikacija će tražiti PIN kod koji ste kreirali u prethodnom koraku podešavanja 2FA.

Korak 4: Provjerite svoj OTP

Da biste bili sigurni da je sve ispravno konfigurirano, potrebno je da u posljednjem koraku unesete jednokratnu lozinku - dvofaktorska autentifikacija će biti omogućena samo kada unesete ispravnu lozinku.

Da biste to učinili, u Yandex.Key morate ispravno unijeti PIN kod koji ste kreirali u drugom koraku. Aplikacija će prikazati jednokratnu lozinku. Unesite ga pored dugmeta Omogući i kliknite na ovo dugme.

Yandex je pokrenuo sistem dvofaktorska autentifikacija i izdao Yandex.Key aplikaciju za prijavu na vaš račun bez potrebe za pamćenjem i unosom složena lozinka. Aplikacija je već dostupna na Androidu i iOS-u, a pristup joj na novom iPhone modeli Može se zaštititi skenerom otiska prsta.

Postoji nekoliko načina da se prijavite na svoj račun putem Yandex.Key-a, ali prvo morate otići na stranicu postavki yandex.ru/promo/2fa i omogućiti dvofaktorsku autentifikaciju.

Potvrdite svoj broj telefona kodom koji ste dobili putem SMS-a.

Instalirajte aplikaciju Yandex.Key na pametnom telefonu ili tabletu.

Pokrenite aplikaciju i skenirajte QR kod na web stranici Yandex. Ako vaš mobilni uređaj nema kameru, kliknite na “Prikaži tajni ključ” i unesite prikazane znakove u aplikaciju.

Kreirajte PIN kod i unesite ga na web stranici ili u aplikaciju.

Unesite jednokratnu lozinku koju generira aplikacija na web stranici. Ova lozinka vrijedi samo 30 sekundi, a zatim se pojavljuje nova. Da biste dovršili podešavanje, morat ćete ponovo unijeti svoju trajnu lozinku.

Ove korake potrebno je izvršiti samo jednom. Nakon aktiviranja dvofaktorske autentikacije, morat ćete ponovo autorizirati na Yandex web lokacijama na svim uređajima. Možete kreirati zasebne lozinke za pristup aplikacijama.

Sada će se dugme sa ikonom QR koda pojaviti na stranici za prijavu na Yandex nalog.

Dvofaktorska autentikacija omogućava povećan nivo sigurnost u poređenju sa tradicionalnom lozinkom. Čak i složeni i efektivna lozinka može biti osjetljiv na viruse, keyloggere i phishing napade.

Možete omogućiti dvofaktornu autentifikaciju na stranici upravljanja Yandex nalogom. Za postavljanje pristupa koristeći Yandex.Key, trebat će vam mobilni telefon Android uređaj ili iOS.

Nakon omogućavanja dvofaktorske autentifikacije:

• Umjesto korištenja standardna lozinka Da biste pristupili uslugama i aplikacijama Yandexa, morat ćete unijeti jednokratnu lozinku (na primjer, da biste se prijavili na svoj račun ili promijenili broj telefona). Kada koristite QR kod, ne morate unositi svoje podatke za prijavu ili lozinke da biste se prijavili na svoj Yandex račun.
• Za mobilne aplikacije trećih strana, računarske programe i klijente e-pošte, moraćete da koristite zasebne lozinke za aplikacije.
• Stranica za oporavak vašeg Yandex računa će biti promijenjena.

Da biste omogućili dvofaktorsku autentifikaciju, kliknite na vezu "Postavi dvofaktorsku autentifikaciju" na stranici "Lične informacije" u odjeljku "Upravljanje pristupom" i slijedite nekoliko koraka:

Ako je vaš broj telefona već povezan s vašim računom, potvrdite ga ili promijenite. Ako broj telefona nije naveden, morate ga dodati, inače nećete moći vratiti pristup svom računu.

Za vezanje novi broj ili potvrdite svoj broj telefona, zatražite kod i unesite ga u odgovarajuće polje. Zatim kliknite na dugme "Potvrdi" i pređite na sledeći korak.

2. Kreirajte PIN.

Kreirajte 4-cifreni PIN i unesite ga za dvofaktorsku autentifikaciju.

Važno: svoj PIN ne smijete dijeliti s drugima. PIN se ne može promijeniti. Ako zaboravite svoj PIN kod, aplikacija Yandex.Key neće moći generirati jednokratnu lozinku; pristup svom računu možete vratiti samo uz pomoć stručnjaka za tehničku podršku.

Nakon unosa PIN koda, kliknite na dugme „Kreiraj“.

Aplikacija Yandex.Key je potrebna za generiranje jednokratnih lozinki za vaš račun. Možete poslati link za instalaciju aplikacije direktno na ekranu za podešavanje dvofaktorske autentifikacije ili možete preuzeti aplikaciju iz App Store-a ili Google Play-a.

Napomena: da bi Yandex.Key radio, možda će vam trebati pristup kameri uređaja za prepoznavanje bar kodova (QR kodova).

U aplikaciji Yandex.Key kliknite na dugme „Dodaj nalog u aplikaciju“. Tada će se pokrenuti kamera uređaja. Skenirajte bar kod koji se pojavljuje u vašem pretraživaču.

Ako se QR kod ne može prepoznati, kliknite na dugme “Prikaži tajni ključ” i kliknite na “Dodaj ključ ručno” u aplikaciji. Umjesto QR koda, pretraživač će prikazati niz znakova koji se moraju unijeti u aplikaciju.

Nakon što prepozna nalog, uređaj će od vas tražiti da unesete PIN kod kreiran u prethodnom koraku.

Da biste potvrdili da je podešavanje bilo uspješno, unesite jednokratnu lozinku generiranu u prethodnom koraku. Dvofaktorska autentifikacija će biti omogućena samo ako unesete ispravnu lozinku.

Jednostavno unesite PIN kod kreiran u koraku 2 u aplikaciju Yandex.Key. Aplikacija će generirati jednokratnu lozinku. Unesite ga pored dugmeta „Omogući“, a zatim kliknite na dugme.

Napomena: Morate unijeti OTP prije nego što se promijeni na ekranu. Ponekad je bolje sačekati da se kreira nova lozinka i uneti je.

Ako ste uneli ispravnu lozinku, dvofaktorska autentifikacija će biti omogućena za vaš Yandex.Passport nalog.

Kako onemogućiti dvofaktorsku autentifikaciju u Yandexu

1. Idite na karticu „Upravljanje pristupom“ na svom Yandex.Passport nalogu.
2. Pomerite prekidač u položaj „Isključeno“.
3. Otvorit će se stranica na koju trebate unijeti jednokratnu lozinku iz aplikacije Yandex.Key.
4. Ako je lozinka ispravno unesena, od korisnika će biti zatraženo da postavi novu primarnu lozinku za nalog.

Napomena: Kada onemogućite dvofaktorsku autentifikaciju, vaše stare lozinke aplikacije više neće raditi. Morat ćete kreirati nove lozinke za aplikacije da biste vratili funkcionalnost povezanih usluga i aplikacija, npr. mail klijenti.

Korisnik može konfigurirati pristup aplikacijama trećih strana Yandex računu pomoću lozinki aplikacije. Imajte na umu da svaki zasebna lozinka aplikacija omogućava pristup određenoj usluzi. Na primjer, lozinka kreirana za klijenta e-pošte neće dozvoliti pristup pohrana u oblaku Yandex.Disk.

Lozinke aplikacije možete kreirati na kartici „Upravljanje pristupom“ na kontrolnoj tabli Yandex.Passport naloga. Pomerite prekidač “App Passwords” u položaj “On”. Ako je omogućena dvofaktorska autentifikacija, lozinke aplikacije će biti nametnute i ne mogu se onemogućiti.

Morat ćete kreirati posebnu lozinku za aplikaciju za svaku od njih program treće strane, koji traži Yandex lozinku, uključujući:

• Mail klijenti ( Mozilla Thunderbird, Microsoft Outlook, The Bat! i sl.)
• WebDAV klijenti za Yandex.Disk
• CalDAV klijenti za Yandex.Calendar
• Jabber klijenti
• Aplikacije za uvoz sa drugih email servisa

Da kreirate lozinku za aplikaciju:

1. Idite na karticu „Upravljanje pristupom“ na kontrolnoj tabli računa Yandex.Passport.
2. Omogućite opciju „Lozinke za aplikacije“ ako je onemogućena (prekidač se neće pojaviti ako niste omogućili dvofaktorsku autentifikaciju).
3. Kliknite na "Preuzmi lozinku za aplikaciju"
4. Odaberite uslugu Yandex kojoj želite pristupiti u aplikaciji i operativni sistem.
5. Unesite naziv aplikacije za koju kreirate lozinku i kliknite na "Dodaj".
6. Lozinka će biti prikazana na sljedećoj kartici. Kliknite na "Gotovo".

Napomena: generiranu lozinku možete vidjeti samo jednom. Ako ste pogrešno uneli lozinku i već ste zatvorili prozor, izbrišite trenutnu lozinku i kreirajte novu.

Bio je to rijedak post na Yandex blogu, posebno onaj koji se odnosi na sigurnost, bez pominjanja dvofaktorske autentifikacije. Dugo smo razmišljali o tome kako pravilno ojačati zaštitu korisničkih naloga, i to na način da se može koristiti bez svih neugodnosti koje uključuju najčešće implementacije danas. A oni su, nažalost, nezgodni. Prema nekim podacima, na mnogim velikim sajtovima je udio korisnika koji su se uključili dodatna sredstva autentifikaciju, ne prelazi 0,1%.

Čini se da je to zato što je uobičajena dvofaktorska šema autentifikacije previše složena i nezgodna. Pokušali smo da smislimo metodu koja bi bila praktičnija bez gubitka nivoa zaštite, a danas predstavljamo njenu beta verziju.

Nadamo se da će postati rašireniji. Sa svoje strane, spremni smo da radimo na njegovom unapređenju i naknadnoj standardizaciji.

Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. U obrascu ovlaštenja za početna stranica Yandex, QR kodovi su se pojavili u pošti i pasošu. Za prijavu račun trebate pročitati QR kod kroz aplikaciju - i to je to. Ako se QR kod ne može pročitati, na primjer, kamera pametnog telefona ne radi ili nema pristup internetu, aplikacija će kreirati jednokratnu lozinku koja će vrijediti samo 30 sekundi.

Reći ću vam zašto smo odlučili da ne koristimo takve “standardne” mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcionišu uobičajene dvofaktorske šeme autentifikacije? Oni su dvostepeni. Prva faza je normalna autentifikacija pomoću login-a i lozinke. Ako je uspješna, stranica provjerava da li joj se ova korisnička sesija „sviđa“ ili ne. I, ako vam se ne sviđa, traži od korisnika da „ponovno provjerava autentičnost“. Postoje dvije uobičajene metode "prethodne autentifikacije": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, onda sesija gubi i “pre-autentifikaciju”.

Oba načina ─ slanje SMS-a i generisanje lozinke ─ dokaz o vlasništvu nad telefonom i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Stoga ova šema autentifikacije nije samo dvostepena, već i dvofaktorna.

Šta nam se činilo problematičnim u ovoj šemi?

Počnimo s činjenicom da se računar prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: tu se isključuje Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa, i softver sumnjivog porijekla ─ sve to ne povećava nivo zaštite. Prema našoj proceni, kompromitovanje računara korisnika je najviše masovna metoda“otmice” naloga (a nedavno je bila još jedna potvrda toga), prije svega želim da se zaštitim od toga. Kada autentifikacija u dva koraka, ako pretpostavimo da je kompjuter korisnika kompromitovan, unošenje lozinke na njega kompromituje samu lozinku, što je prvi faktor. To znači da napadač treba da odabere samo drugi faktor. U slučaju uobičajenih implementacija RFC 6238, drugi faktor je 6 decimalnih cifara (a maksimum dozvoljen specifikacijom je 8 cifara). Prema bruteforce kalkulatoru za OTP, napadač za tri dana može pronaći drugi faktor ako je nekako saznao za prvi. Nije jasno šta servis može da se suprotstavi ovom napadu bez prekida normalan rad korisnik. Jedini mogući dokaz rada je captcha, koja je, po našem mišljenju, krajnja opcija.

Drugi problem je neprozirnost prosuđivanja servisa o kvaliteti korisničke sesije i donošenja odluke o potrebi „pre-autentifikacije“. Još gore, servis nije zainteresiran da ovaj proces bude transparentan, jer sigurnost od opskurnosti ovdje zapravo radi. Ako napadač zna na osnovu čega servis donosi odluku o legitimnosti sesije, može pokušati krivotvoriti ove podatke. Iz općih razmatranja, možemo zaključiti da se prosudba donosi na osnovu historije autentifikacije korisnika, uzimajući u obzir IP adresu (i njene izvedene brojeve autonomni sistem, identifikaciju provajdera i lokaciju na osnovu geobaze) i podataka pretraživača kao što je zaglavlje Korisnički agent i set kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontroliše računar korisnika, on ne samo da može ukrasti sve potrebne podatke, već može koristiti i IP adresu žrtve. Štoviše, ako je odluka donesena na osnovu ASN-a, onda bilo koja autentifikacija od javni Wi-Fi u kafiću može dovesti do “trovanja” sa sigurnosne tačke gledišta (i krečenja sa uslužnog gledišta) ponuđača ovog kafića i, na primjer, krečenja svih kafića u gradu. Razgovarali smo o tome kako funkcioniše sistem za detekciju anomalija i kako bi se mogao koristiti, ali vreme između prve i druge faze autentifikacije možda neće biti dovoljno da se pouzdano proceni anomalija. Štaviše, isti argument uništava ideju o "pouzdanim" računarima: napadač može ukrasti bilo koju informaciju koja utiče na procjenu povjerenja.

Konačno, autentifikacija u dva koraka je jednostavno nezgodna: naše istraživanje upotrebljivosti pokazuje da ništa ne iritira korisnike više od posredničkog ekrana, dodatnih klikova na gumbe i drugih „nevažnih“ radnji s njihove tačke gledišta.
Na osnovu toga, odlučili smo da autentifikacija bude u jednom koraku i da prostor za lozinku treba biti mnogo veći nego što je to moguće u okviru „čistog“ RFC 6238.
Istovremeno, željeli smo da sačuvamo dvofaktorsku autentifikaciju što je više moguće.

Višefaktorska autentikacija je definirana dodjeljivanjem elemenata provjere autentičnosti (zapravo, oni se zovu faktori) jednoj od tri kategorije:

1. Faktori znanja (to su tradicionalne lozinke, PIN kodovi i sve što liči na njih);
2. Faktori vlasništva (u korištenim OTP shemama, ovo je obično pametni telefon, ali može biti i hardverski token);
3. Biometrijski faktori (sada je najčešći otisak prsta, iako će se neko sjetiti epizode s likom Wesleyja Snipesa u filmu Demolition Man).

Razvoj našeg sistema

Kada smo počeli da radimo na problemu dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012. godine, ali se o tome govorilo iza kulisa i ranije), prva ideja je bila da uzmemo standardne metode autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo računati da će milioni naših korisnika kupiti hardverski token, pa smo ovu opciju odgodili za neke egzotične slučajeve (iako je ne odustajemo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). SMS metoda također nije mogla biti široko rasprostranjena: to je vrlo nepouzdan način isporuke (u najvažnijem trenutku SMS može kasniti ili uopće ne stići), i Slanje SMS-a košta (a operateri su počeli da povećavaju cenu). Odlučili smo to koristeći SMS─ je puno banaka i drugih niskotehnoloških kompanija, ali naši korisnici žele ponuditi nešto praktičnije. Općenito, izbor je bio mali: koristite pametni telefon i program u njemu kao drugi faktor.

Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti PIN kod (prvi faktor) i ima hardverski ili softverski (u pametnom telefonu) token koji generiše OTP (drugi faktor). U polje za unos lozinke upisuje PIN kod i trenutnu OTP vrijednost.

po našem mišljenju, glavni nedostatak Ova šema je ista kao kod autentifikacije u dva koraka: ako pretpostavimo da je radna površina korisnika kompromitirana, tada će jednokratno unošenje PIN koda dovesti do njegovog otkrivanja i napadač može odabrati samo drugi faktor.

Odlučili smo da idemo drugim putem: cijela lozinka se generira iz tajne, ali samo dio tajne je pohranjen u pametnom telefonu, a dio korisnik unosi svaki put kada se lozinka generiše. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.

Nonce može biti ili brojač ili trenutno vrijeme. Odlučili smo da izaberemo trenutno vrijeme, što nam omogućava da se ne bojimo desinhronizacije u slučaju da neko generiše previše lozinki i poveća brojač.

Dakle, imamo program za pametni telefon u koji korisnik unosi svoj dio tajne, miješa se sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ kojim se potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je smanjen na čitljiv oblik, i voila ─ evo jednokratne lozinke!

Kao što je ranije rečeno, RFC 4226 specificira da se HMAC rezultat skraćuje na najviše 8 decimalnih znamenki. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. U isto vrijeme, željeli smo zadržati jednostavnost korištenja (na kraju krajeva, podsjetimo, želimo napraviti sistem koji će koristiti obični ljudi, a ne samo sigurnosni štreberi), tako da kao kompromis u trenutna verzija sistem smo odlučili da skratimo na 8 znakova latinica. Čini se da je 26^8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojave vrijedni savjeti kako da poboljšamo ovu šemu), proširićemo, na primjer, na 10 znakova.

Saznajte više o snazi ​​takvih lozinki

U stvari, za latinična slova bez obzira na velika i mala slova, broj opcija po karakteru je 26, za velika i mala latinična slova plus brojevi, broj opcija je 26+26+10=62. Tada log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je skoro jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo će sigurno biti dovoljno za 30 sekundi. Ako govorimo o lozinki od 8 znakova napravljenoj od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je ovo i dalje prihvatljivo za period od 30 sekundi.

Magija, bez lozinke, aplikacije i sljedeći koraci

U principu, mogli smo stati na tome, ali smo htjeli da sistem učinimo još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi da unese lozinku sa tastature!

Zato smo počeli da radimo na “magičnom login-u”. Ovom metodom autentifikacije korisnik pokreće aplikaciju na svom pametnom telefonu, unosi svoj PIN kod i skenira QR kod na ekranu svog računara. Ako je PIN kod ispravno unesen, stranica u pretraživaču se ponovo učitava i korisnik se autentifikuje. Magic!

Kako to radi?

QR kod sadrži broj sesije, a kada ga aplikacija skenira, ovaj broj se prenosi na server zajedno sa generiranim na uobičajen način lozinku i korisničko ime. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut i čeka odgovor od servera da provjeri lozinku za ovu sesiju. Ako server odgovori da je lozinka ispravna, kolačići sesije se postavljaju zajedno s odgovorom i korisnik se smatra autentificiranim.

Bilo je bolje, ali odlučili smo da ne stanemo ni ovdje. Od iPhone 5S u telefonima i Apple tableti pojavio se TouchID skener otiska prsta i unutra iOS verzije 8 rad sa njim je dostupan i aplikacije trećih strana. U stvarnosti, aplikacija nema pristup otisku prsta, ali ako je otisak ispravan, dodatni odjeljak Keychain postaje dostupan aplikaciji. Mi smo to iskoristili. Drugi dio tajne nalazi se u TouchID-om zaštićenom Keychain zapisu, onom koji je korisnik unio sa tastature u prethodnom scenariju. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kako je gore opisano.

Ali za korisnika je postalo nevjerovatno zgodno: on otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i otkriva da je autentificiran u pretraživaču na svom računaru! Tako smo faktor znanja zamijenili biometrijskim i, sa stanovišta korisnika, potpuno napustili lozinke. U to smo sigurni obični ljudi takva shema će se činiti mnogo zgodnijom od ručni unos dvije lozinke.

Diskutabilno je koliko je ovo tehnički dvofaktorska autentifikacija, ali u stvarnosti i dalje morate imati telefon i imati ispravan otisak prsta da biste je uspješno završili, tako da vjerujemo da smo bili prilično uspješni u eliminaciji faktora znanja, zamjenivši ga biometrijom. . Razumijemo da se oslanjamo na sigurnost ARM TrustZone koja pokreće iOS Secure Enclave i vjerujemo da trenutno ovaj podsistem se može smatrati pouzdanim unutar našeg modela prijetnji. Naravno da znamo probleme biometrijska autentifikacija: Otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. Ali, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna pogodnostima, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.

Da vas podsjetim da je ovo još uvijek beta. Sada, kada je omogućena dvofaktorska autentifikacija, privremeno onemogućavamo sinhronizaciju lozinke u Yandex pretraživaču. To je zbog načina na koji je šifrirana baza podataka lozinki. Već izmišljamo zgodan način Autentifikacija pretraživača u slučaju 2FA. Sve ostale Yandex funkcionalnosti rade kao i prije.

Ovo smo dobili. Čini se da je ispalo dobro, ali ti budi sudija. Bit će nam drago čuti vaše povratne informacije i preporuke, a nastavit ćemo raditi na poboljšanju sigurnosti naših usluga: sada, uz CSP, enkripciju transporta pošte i sve ostalo, sada imamo dvofaktornu autentifikaciju. Ne zaboravite da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga se plaća dvostruki bonus za greške pronađene u njima kao dio programa Bug Bounty.

Oznake: Dodajte oznake

Pokazat ću vam kako postaviti dvofaktornu autentifikaciju u Yandexu, to će vam pomoći da zaštitite svoj Yandex račun od hakovanja.

Idite na upravljanje lozinkama na passport.yandex.ru/profile/access. Ovdje možete promijeniti lozinku ili omogućiti dodatna zaštita za vaš nalog - dvofaktorska autentifikacija. Kliknite na klizač Dvofaktorska autentikacija da biste ga omogućili.

Omogućavanje dvofaktorske autentifikacije odvija se u nekoliko koraka. Morat ćete istovremeno otvoriti Yandex.Passport i mobilna aplikacija Yandex.Key. Nakon dovršetka podešavanja, potrebno je ponovo se prijaviti na svim uređajima.

Kliknite na start setup.

Ovdje je vaš broj telefona na koji će biti poslani kodovi za podešavanje. Ovdje možete promijeniti broj telefona povezan s vašim Yandex računom.

Postavljanje dvofaktorske autentifikacije. Korak 1 od 5.

Potvrdite svoj broj telefona. Ovo je vaš glavni broj na Yandexu. Trebat će vam ako izgubite pristup svom računu. Kliknite uzmi kod.

SMS kod od Yandexa će biti poslan na vaš broj.

Ovdje unesite SMS kod s Yandexa i kliknite na potvrdu.

Postavljanje dvofaktorske autentifikacije. Korak 2 od 5.

Preuzmite aplikaciju Yandex.Key. Sada idite u AppStore na svom iPhoneu ili iPadu ili Play Store on Android pametni telefon ili tablet i potražite aplikaciju Yandex.Key. Ili kliknite da dobijete link do vašeg telefona.

Otvoriće se Prodavnica aplikacija ili Play Market Kliknite na preuzimanje da preuzmete aplikaciju Yandex.Key i instalirate je na svoj pametni telefon ili tablet.

Ako trebate unijeti lozinku za Apple ID, unesite lozinku za Apple ID.

Nakon 30 sekundi aplikacija će se preuzeti na vaš pametni telefon, pokrenite je klikom na nju.

Postavljanje dvofaktorske autentifikacije. Korak 3 od 5.

Usmjerite kameru telefona na QR kod i vaš račun će automatski biti dodan u aplikaciju. Ako se šifra ne pročita, pokušajte ponovo ili unesite tajni ključ.

Idemo ponovo na pametni telefon.

Aplikacija Yandex.Key kreira jednokratne lozinke za prijavu na Yandex. Ako ste već počeli da postavljate dvofaktornu autentifikaciju na svom računaru, kliknite na dugme „dodaj nalog u aplikaciju“.

Kliknite na dodaj račun u aplikaciju.

Program "Ključ" traži pristup "kameri". Kliknite Dozvoli da aplikaciji date pristup kameri na svom pametnom telefonu da skenira QR kod sa ekrana monitora računara.

Usmjerite kameru na QR kod koji je prikazan na monitoru vašeg računala i pričekajte da se račun doda ili ga dodajte ručno.

Spreman. QR kod je skeniran. Aplikacija Yandex.Key je spremna za upotrebu.

Sada pređimo na monitor kompjutera.

Kliknite na kreiranje pin koda.

PIN kod je potreban svaki put kada dobijete jednokratnu lozinku u Yandex.Key, kao i da biste vratili pristup svom nalogu. Čuvajte svoj PIN u tajnosti. Zaposleni u Yandex servisu ga nikada ne pitaju.

Dolazimo do četverocifrenog PIN koda i kliknemo na nastavak.

Postavljanje dvofaktorske autentifikacije. Korak 4 od 5.

Provjera vašeg PIN koda. Obavezno zapamtite svoj PIN kod. Jednom kada se postavka završi, ne može se promijeniti. Ako unesete pogrešan PIN kod u aplikaciju, ona će generirati netačne jednokratne lozinke.

Unesite PIN kod koji ste ranije kreirali i kliknite na provjeri.

Vratimo se pametnom telefonu i aplikaciji Yandex.Key. Unesite svoj PIN kod da dobijete jednokratnu lozinku.

Nakon unosa PIN koda, dobićete jednokratnu lozinku koja će važiti 20 sekundi, a tokom ovih 20 sekundi potrebno je da je unesete na računar prilikom podešavanja dvofaktorske autentifikacije. Ako nemate vremena da unesete lozinku u roku od 20 sekundi, ona će se promijeniti u drugu i tako dalje. Unesite lozinku koja će biti prikazana na ekranu vašeg pametnog telefona.

Poslednji korak. Unesite lozinku iz Yandex.Key.

Koristeći PIN kod, dobićete jednokratnu lozinku u aplikaciji. Obavezno zapamtite PIN kod; nakon što se podešavanje završi, nećete ga moći promijeniti.

Šta će se promijeniti nakon omogućavanja dvofaktorske autentifikacije:

• Stara lozinka više neće raditi.
• Morat ćete ponovo ovlastiti Yandex na svim uređajima (web servisi i mobilne aplikacije).
• Biće moguće pristupiti Yandex web servisima pomoću QR koda bez unosa lozinke. Ako ne možete pročitati kod, koristite jednokratnu lozinku iz Yandex.Key-a.
• Moći ćete pristupiti Yandex mobilnim aplikacijama koristeći jednokratnu lozinku. Možete ga kopirati sa Yandex.Key dugim pritiskom.
• Za druge programe povezane s vašim računom (na primjer, klijenti e-pošte ili sakupljači pošte), nabavite lozinke aplikacije u svom Pasošu.

Unesite jednokratnu lozinku koja se prikazuje na ekranu vašeg pametnog telefona i kliknite na dovršeno podešavanje.

Sada nakon unosa jednokratne lozinke potrebno je da unesete Stara šifra sa računa. Yandex mora osigurati da tako ozbiljnu promjenu sigurnosnih postavki izvrši vlasnik računa.

Unesite staru lozinku za svoj Yandex nalog i kliknite na OK.

Spreman. Dvofaktorska autentifikacija je završena. Zaštitili ste svoj račun jednokratnim lozinkama. Sada morate ponovo ovlastiti Yandex na svim uređajima. Ako, na primjer, koristite programe za e-poštu, obavezno nabavite lozinke aplikacije za njih.

Kliknite zatvori.

Sada ako koristite po poštanskom sandučetu Za Yandex nalog na pametnom telefonu, potrebno je da kreirate lozinku za njega.

Odaberite vrstu aplikacije > Program za poštu.

I odaberite svoj operativni sistem mail program. Koristim iPhone, pa sam izabrao iOS.

I kliknite na kreiraj lozinku da kreirate lozinku za program e-pošte na svom pametnom telefonu.

Vaša iOS lozinka e-pošte je generirana.

Kako koristiti lozinku:

• Da biste aplikaciji dali pristup vašim podacima, navedite ovu lozinku u njenim postavkama.
• Nema potrebe da pamtite svoju lozinku: trebat će vam samo jednom. Prilikom promjene lozinke na Yandexu, morat ćete primiti Nova šifra aplikacije.
• Lozinka aplikacije se prikazuje samo jednom. Ako zatvorite stranicu i nemate vremena da je koristite, nabavite novu.

Lozinku koja se prikazuje na monitoru vašeg računara unosimo u mobilnu aplikaciju Yandex mail na vašem pametnom telefonu.

Spreman. Yandex dvofaktorska autentifikacija radi, možete nastaviti sa svojim životom.

Sada, ako se odjavite sa svog Yandex naloga i ponovo unesete svoje korisničko ime i lozinku, oni će vam pisati:

Pogrešan par prijava-lozinka! Prijava nije uspjela. Možda ste odabrali drugačiji raspored tastature ili pritisnuli " Caps Lock" Ako koristite dvofaktorsku autentifikaciju, obavezno unesite jednokratnu lozinku iz aplikacije Yandex.Key umjesto uobičajene. Pokušajte se ponovo prijaviti.

Sada morate da otvorite aplikaciju Yandex.Key, unesete svoj PIN kod i usmerite kameru pametnog telefona na QR kod. Automatski ćete se prijaviti na svoj Yandex nalog nakon što pametni telefon pročita QR kod sa ekrana monitora.

Ostali postovi o sigurnosti i verifikaciji u dva koraka: