Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • OS
  • Yandex novčanik omogućava zaštitu od dva faktora. "Yandex.Key" do vašeg srca

Yandex novčanik omogućava zaštitu od dva faktora. "Yandex.Key" do vašeg srca

28.04.2019 OS

Nije slučajno što na internetu postoji mnogo savjeta kako zaštititi svoj račun od hakovanja, a možda je najpopularniji od njih korištenje složenih lozinki i njihova redovna promjena. Ovo, naravno, nije loše, ali stalno pamćenje novih složenih lozinki može biti prilično zamorno. Posebno za one koji su zabrinuti za sigurnost svog naloga, Yandex je lansirao beta verziju dvofaktorske autentifikacije. Sa njim će ključ vašeg računa biti samo u vašim rukama. Tačnije, u vašem pametnom telefonu. Prilikom autorizacije na Yandexu - ili na bilo kojoj drugoj stranici - unosite svoje korisničko ime i lozinku. Sistem provjerava da li lozinka odgovara login-u i pušta vas da uđete ako je sve u redu. Ali lozinka je samo jedan faktor provjere. Postoje sistemi kojima jedan faktor nije dovoljan. Osim lozinke, zahtijevaju npr. poseban kod, poslano putem SMS-a, ili USB ključa koji se mora ubaciti u računar. Ovi sistemi koriste dvofaktorsku ili višefaktornu autentifikaciju. Za našu dvofaktornu šemu autentifikacije kreirali smo Yandex.Key - mobilnu aplikaciju za iOS i Android. Dovoljno je uzeti QR kod kao aplikaciju na početna stranica Yandex, u Pasošu ili u polju za autorizaciju pošte - i naći ćete se na svom računu. Da biste koristili ključ, morate omogućiti dvofaktorsku autentifikaciju, instalirati aplikaciju i povezati je sa svojim računom. Zatim postavljate četverocifreni pin kod u aplikaciji. Ovaj kod će postati jedan od faktora, dio “tajne”, na osnovu koje će algoritam kreirati jednokratne lozinke. Drugi faktor je pohranjen u pametnom telefonu. Kada ubuduće pročitate QR kod u obrascu za autorizaciju, aplikacija će poslati vašu prijavu na Yandex server i jednokratna lozinka. Server će ih provjeriti i dati upute stranici da vas pusti ili ne pusti unutra. Kada je nemoguće pročitati QR kod, na primjer, kamera pametnog telefona ne radi ili nema pristupa internetu, jednokratnu lozinku možete unijeti ručno. Unošenje lozinke u ovom slučaju zamjenjuje čitanje QR koda - jedina razlika je u tome što se lozinka automatski ne šalje serverima, već je unosite u formular za autorizaciju zajedno sa prijavom. Jednokratna lozinka vrijedi samo 30 sekundi. To se radi kako se ne bi moglo ukrasti s vašeg računala (na primjer, pomoću programa koji pamti lozinke unesene u pretraživač). Niko osim vas neće moći koristiti ključ za ulazak na vaš nalog, jer prilikom generisanja lozinki, ključ koristi pin kod koji ste kreirali. Bez ispravnog PIN koda, aplikacija će kreirati pogrešne lozinke koje neće raditi za vaš nalog. Ako imate Apple pametni telefon ili tablet s Touch ID-om, umjesto PIN-a možete koristiti svoj otisak prsta. Dvofaktorski mehanizam autentifikacije je još jedan alat koji će pomoći da se rad Yandex korisnika na internetu učini sigurnijim. Ako vam je potrebna dodatna zaštita za svoj račun, vrijeme je da ga zatvorite na Yandex.Key.

  • blog kompanije Yandex,
  • Razvoj mobilnih aplikacija

    • Rijetka objava na Yandex blogu, a posebno ona vezana za sigurnost, nije prošla bez autentifikacije. Dugo smo razmišljali kako pravilno ojačati zaštitu korisničkih naloga, pa čak i da bi se mogao koristiti bez svih neugodnosti koje uključuju najčešće implementacije danas. I, nažalost, neprijatni su. Prema nekim podacima, na mnogim velikim sajtovima, udio korisnika koji su uključeni dodatna sredstva autentifikacija ne prelazi 0,1%.

    Čini se da je to zato što je uobičajena dvofaktorska šema autentifikacije previše komplicirana i nezgodna. Pokušali smo da smislimo metodu koja bi bila praktičnija bez gubljenja nivoa zaštite, a danas predstavljamo njenu beta verziju.

    Nadamo se da će se proširiti. Sa svoje strane, spremni smo da radimo na njegovom unapređenju i naknadnoj standardizaciji.

    Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. QR kodovi su se pojavili u obrascu za autorizaciju na glavnoj stranici Yandexa, u pošti i pasošu. Ući račun trebate pročitati QR kod kroz aplikaciju - i to je to. Ako se QR kod ne može pročitati, na primjer, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će kreirati jednokratnu lozinku koja će važiti samo 30 sekundi.

    Reći ću vam zašto smo odlučili da ne koristimo takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcionišu uobičajene dvofaktorske šeme autentifikacije? Oni su dvostepeni. Prva faza je uobičajena autentifikacija pomoću korisničkog imena i lozinke. Ako je bila uspješna, stranica provjerava da li joj se ova korisnička sesija "sviđa" ili ne. I, ako vam se „ne sviđa“, traži od korisnika da se „ponovo autentifikuje“. Postoje dvije uobičajene metode “provjere autentičnosti”: slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, onda sesija gubi i “preliminarnu” autentifikaciju.

    Obje metode su slanje SMS-a i generisanje lozinke dokaz su vlasništva telefona i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Dakle, ova šema autentifikacije nije samo dvostepena, već i dvofaktorna.

    Šta smo smatrali problematičnim u ovoj šemi?

    Počnimo s činjenicom da se računar prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: evo gašenja Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa, i softver sumnjivog porijekla ─ sve to ne povećava nivo zaštite. Prema našoj procjeni, kompromitacija računara korisnika je najveća rasuti način“otmice” naloga (a to se dogodilo nedavno), od toga se prvenstveno želite zaštititi. Kada dvofaktorska autentikacija, ako pretpostavimo da je kompjuter korisnika kompromitovan, unošenje lozinke na njega kompromituje samu lozinku, što je prvi faktor. To znači da napadač treba da odabere samo drugi faktor. U slučaju uobičajenih implementacija RFC 6238, drugi faktor je 6 decimalnih cifara (a maksimum specifikacije je 8 cifara). Prema bruteforce kalkulatoru za OTP, napadač je u stanju da za tri dana pokupi drugi faktor ako je nekako saznao za prvi. Nije jasno šta servis može da se suprotstavi ovom napadu bez kršenja normalan rad korisnik. Jedini mogući dokaz rada je captcha, koji je, po našem mišljenju, krajnja opcija.

    Drugi problem je neprozirnost prosuđivanja servisa o kvaliteti korisničke sesije i odluke o potrebi "up-authentication". Gore od toga, servis nije zainteresovan da ovaj proces bude transparentan, ─ uostalom, sigurnost od opskurnosti ovde zapravo funkcioniše. Ako napadač zna šta servis odlučuje o legitimnosti sesije, može pokušati lažirati ove podatke. Iz opštih razmatranja, možemo zaključiti da se prosuđivanje donosi na osnovu istorije autentifikacije korisnika, uzimajući u obzir IP adresu (i brojeve izvedene iz nje). autonomni sistem, koji identifikuje provajdera i lokaciju na osnovu geobaze) i podataka pretraživača, kao što je naslov Korisnički agent i set kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontroliše računar korisnika, onda ima mogućnost ne samo da ukrade sve potrebne podatke, već i da koristi IP adresu žrtve. Štaviše, ako je odluka donesena na osnovu ASN-a, onda bilo koja autentifikacija od javni wifi u kafiću može dovesti do “trovanja” u smislu sigurnosti (i krečenja u smislu usluge) ponuđača ovog kafića i, na primjer, krečenja svih kafića u gradu. Razgovarali smo o radu, i to bi se moglo primijeniti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za pouzdanu procjenu o anomaliji. Osim toga, isti ovaj argument potkopava ideju o "pouzdanim" računarima: napadač može ukrasti bilo koju informaciju koja utiče na procjenu povjerenja.

    Konačno, verifikacija u dva koraka je jednostavno nezgodna: naše studije upotrebljivosti pokazuju da ništa ne iritira korisnike više od srednjeg ekrana, dodatnih pritisaka na dugme i drugih „nevažnih“ radnji, sa njegove tačke gledišta.
    Na osnovu toga, odlučili smo da autentifikacija bude u jednom koraku i da prostor za lozinku treba biti mnogo veći od onoga što je moguće pod "čistim" RFC 6238.
    U isto vrijeme, željeli smo zadržati dvofaktorsku autentifikaciju što je više moguće.

    Multifaktornost u autentifikaciji određuje se dodjeljivanjem elemenata autentikacije (u stvari, oni se nazivaju faktori) jednoj od tri kategorije:

    1. Faktori znanja (to su tradicionalne lozinke, pin kodovi i sve što liči na njih);
    2. Faktori vlasništva (u korištenim OTP šemama, ovo je obično pametni telefon, ali može biti i hardverski token);
    3. Biometrijski faktori (otisak prsta ─ sada najčešći, iako će se neko sjetiti epizode s junakom Wesleyja Snipesa u filmu Demolition Man).

    Razvoj našeg sistema

    Kada smo počeli da se bavimo problemom dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju još iz 2012. godine, ali se o tome govorilo iza kulisa i ranije), prva ideja je bila da uzmemo standardnim načinima autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo računati da će milioni naših korisnika kupiti hardverski token, pa je ova opcija odložena za neke egzotične slučajeve (iako je ne odustajemo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). Ni SMS metoda nije mogla biti masovno proizvedena: ovo je vrlo nepouzdan način isporuke (u najbitnijem trenutku SMS može kasniti ili uopće ne stići), i slanje SMS-a košta (a operateri su počeli da povećavaju cenu). Odlučili smo to koristeći SMS─ puno banaka i drugih netehnoloških kompanija, a naši korisnici žele ponuditi nešto praktičnije. Općenito, izbor je bio mali: koristiti pametni telefon i program u njemu kao drugi faktor.

    Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti pin kod (prvi faktor), ima hardverski ili softverski (na pametnom telefonu) token koji generiše OTP (drugi faktor). U polje za unos lozinke on unosi pin kod i trenutnu OTP vrijednost.

    po našem mišljenju, glavni nedostatak Ova šema je ista kao i za autentifikaciju u dva koraka: ako pretpostavimo da je radna površina korisnika ugrožena, tada jedan unos pin koda dovodi do njegovog otkrivanja, a napadač može izabrati samo drugi faktor.

    Odlučili smo da idemo drugim putem: lozinka se u potpunosti generira iz tajne, ali samo dio tajne se pohranjuje u pametni telefon, a dio korisnik unosi svaki put kada se lozinka generiše. Dakle, sam pametni telefon je faktor vlasništva, dok lozinka ostaje u glavi korisnika i faktor je znanja.

    Nonce može biti ili brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućava da se ne bojimo desinhronizacije u slučaju da neko generiše previše lozinki i poveća brojač.

    Dakle, imamo program za pametni telefon, gdje korisnik unosi svoj dio tajne, miješa se sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, koji potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je vođen na čitljiv oblik, i voila - evo jednokratne lozinke!

    Kao što je već spomenuto, RFC 4226 predlaže skraćivanje HMAC rezultata na najviše 8 decimalnih cifara. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. U isto vrijeme, željeli smo zadržati jednostavnost korištenja (jer, zapamtite, želimo napraviti takav sistem koji će koristiti obični ljudi, a ne samo sigurnosni štreberci), tako da kao kompromis u trenutna verzija sistemu, odabrali smo skraćivanje na 8 znakova latinica. Čini se da je 26 ^ 8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habré-u pojave vrijedni savjeti kako poboljšati ovu šemu), proširit ćemo, na primjer, na 10 znakova.

    Saznajte više o snazi ​​takvih lozinki

    Zaista, za latinična slova bez obzira na velika i mala slova, broj opcija po karakteru je 26, za velika i mala latinična slova plus brojevi, broj opcija je 26+26+10=62. Tada log 62 (26 10) ≈ 7,9, tj. lozinka od 10 nasumičnih malih latiničnih slova je skoro jednako jaka kao lozinka od 8 nasumičnih gornjih i donjih latiničnih slova ili brojeva. Ovo je definitivno dovoljno za 30 sekundi. Ako govorimo o lozinki od 8 znakova od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova od velikih, malih slova i brojeva. Mislimo da je ovo i dalje prihvatljivo za period od 30 sekundi.

    Magija, bez lozinke, aplikacije i sljedeći koraci

    Uopšteno govoreći, mogli bismo stati na tome, ali smo želeli da sistem učinimo još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi da unese lozinku sa tastature!

    Stoga smo započeli rad na "magičnom logiranju". Ovom metodom autentifikacije, korisnik pokreće aplikaciju na pametnom telefonu, unosi svoj pin kod i skenira QR kod na ekranu svog računara. Ako je pin kod ispravno unesen, stranica u pretraživaču se ponovo učitava i korisnik se autentifikuje. Magic!

    Kako to radi?

    Broj sesije je ugrađen u QR kod, a kada ga aplikacija skenira, ovaj broj se prenosi na server zajedno sa generisanim na uobičajen način lozinku i korisničko ime. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući odgovor od servera da provjeri lozinku u ovoj sesiji. Ako server odgovori da je lozinka ispravna, s odgovorom se postavlja kolačić sesije i korisnik se smatra autentificiranim.

    Bilo je bolje, ali smo odlučili da ne stanemo. Počevši od iPhone 5S u telefonima i Apple tableti Pojavio se TouchID skener otiska prsta i unutra iOS verzije 8 rad sa njim je dostupan i aplikacije trećih strana. U stvari, aplikacija nema pristup otisku prsta, ali ako je otisak ispravan, dodatni odjeljak Keychain postaje dostupan aplikaciji. To je ono što smo iskoristili. Drugi dio tajne nalazi se u unosu Keychain zaštićen TouchID-om, onom koji je korisnik u prethodnom scenariju unio sa tastature. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kako je gore opisano.

    Ali za korisnika je postalo nevjerovatno zgodno: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i autentifikuje se u pretraživaču na računaru! Tako smo faktor znanja zamijenili biometrijskim i, sa stanovišta korisnika, potpuno napustili lozinke. U to smo sigurni obični ljudi takva shema će se činiti mnogo zgodnijom od ručni unos dvije lozinke.

    Diskutabilno je koliko je tehnički dvofaktorska autentifikacija, ali u stvarnosti i dalje morate imati telefon i valjan otisak prsta da biste ga uspješno prošli, tako da mislimo da smo bili prilično dobri u otklanjanju faktora znanja, zamjeni ga sa biometrijom. Razumijemo da se oslanjamo na sigurnost ARM TrustZone koja podupire iOS Secure Enclave i vjerujemo da trenutno ovaj podsistem se može smatrati pouzdanim unutar našeg modela prijetnji. Naravno, svjesni smo problema biometrijska autentifikacija: Otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. Ali, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna pogodnostima, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.

    Da vas podsjetim da je ovo još uvijek beta. Sada, kada omogućite dvofaktorsku autentifikaciju, privremeno onemogućavamo sinhronizaciju lozinke u Yandex.Browseru. To je zbog načina na koji je uređeno šifriranje baze podataka lozinki. Već razmišljamo zgodan način Autentifikacija pretraživača u slučaju 2FA. Sve ostale Yandex funkcionalnosti rade kao i prije.

    Evo šta smo dobili. Izgleda da je ispalo dobro, ali ti budi sudija. Bit će nam drago čuti povratne informacije i preporuke, a i sami ćemo nastaviti raditi na poboljšanju sigurnosti naših usluga: sada, uz i sve ostalo, imamo dvofaktorsku autentifikaciju. Imajte na umu da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične, te da se greške pronađene u njima plaćaju dvostruko u okviru programa Bug Bounty.

    Tagovi:

    • sigurnost
    • autentifikaciju
    • 2FA
    Dodaj oznake

    Mnogi korisnici čije su aktivnosti vezane za zarađivanje novca na internetu ili pohranjivanje važnih informacija na mreži pokušavaju zaštititi svoje račune od hakovanja i krađe povjerljivih podataka.

    svakako, složena lozinka, koji uključuje brojeve i slova, kao i Posebni simboli, dosta pouzdana zaštita, ali maksimalan efekat pruža dvofaktorsku autentifikaciju.

    Međutim, ne zna svaka osoba za ovu opciju zaštite svojih računa, i to uprkos činjenici da danas postoji sve više usluga (poštari, društvene mreže itd.) ponudite da iskoristite ovu priliku.

    Šta je dvofaktorska autentifikacija?

    Dakle, kakva zaštita u pitanju? U stvari, već ste naišli na verifikaciju u dva koraka. Na primjer, kada ćete obaviti bilo koju transakciju s novcem na web stranici WebMoney, tada ćete, osim svoje login i lozinke, morati navesti kod za potvrdu koji će biti poslan na vaš mobilni telefon.

    Drugim riječima, dvofaktorska autentifikacija je drugi ključ vašeg naloga. Ako aktivirate ovu opciju, na primjer, u Evernoteu (postoji takva mogućnost), tada će se napadač koji je uspio pogoditi lozinku za ovu uslugu bilješki suočiti s drugim problemom - zahtjevom da se navede jednokratni kod koji dolazi na vaš broj telefona. Vrijedi napomenuti da ćete u slučaju pokušaja hakovanja vašeg računa dobiti SMS i odmah možete promijeniti lozinku.

    Slažete se da je ovo vrlo zgodna opcija, koristeći koju ćete biti manje zabrinuti zbog gubitka ličnih podataka.

    Gdje je najbolje mjesto za korištenje?

    Naravno, neki korisnici mogu prigovoriti, tvrdeći da je provjera u dva koraka previše „pretjerani pokreti“, a općenito je namijenjena paranoidima koji uvijek misle da ih neko promatra.

    Možda su u nečemu u pravu. Na primjer, za društvene mreže nije potrebno koristiti ovuda zaštita. Iako je čak i ovdje to diskutabilno. Po pravilu, napadači pokušavaju da hakuju naloge administratora popularnih "javnosti". A vi, najvjerovatnije, također ne biste željeli jednog dana primijetiti da je vaš nalog na nekoj od "društvenih mreža" hakovan i da su na "Zidu" postavljene potpuno nepristojne fotografije.

    Što se tiče drugih usluga, na primjer, Yandex dvofaktorska autentifikacija omogućit će vam sigurno pohranjivanje vaših registracijskih podataka s WebMoney i drugih) ili pisama koja sadrže tajne informacije.

    Zaštita Google naloga

    Jedan od mnogih popularne usluge danas je Google. Ovdje možete registrirati svoju e-poštu poštansko sanduče, pohranite dokumente na Google Drive, kreirajte blog ili YouTube kanal besplatno, što vam kasnije može donijeti profit.

    Kako bi korisnici bili sigurni u sigurnost dokumenata pohranjenih na pošti ili disku, nudi im se dvofaktor Google autentifikacija. Morate biti prijavljeni na svoj račun da biste ga aktivirali.

    Sada, nakon što ste otvorili, na primjer, poštansko sanduče, obratite pažnju na avatar s desne strane gornji ugao. Kliknite na njega i idite na "Moj nalog". Ovdje vam je potreban odjeljak "Sigurnost i prijava", odnosno link "Prijava na Google račun".

    Na desnoj strani ćete vidjeti opciju "Provjera u dva koraka", gdje trebate kliknuti na strelicu da biste je aktivirali. Otvara se prozor u kojem vas zanima dugme "Nastavi na podešavanje". Unesite svoju lozinku i slijedite daljnja uputstva.

    Dvofaktorska autentifikacija "Yandex"

    Yandex svojim korisnicima također nudi dosta toga korisne usluge. Osim toga pohrana u oblaku informacije na "Yandex.Disk", možete dobiti sami online novčanik gdje ćete podići novac zarađen na internetu.

    I, naravno, Yandex nije stajao po strani i također nudi svojim korisnicima korištenje dvofaktorske autentifikacije za zaštitu dokumenata pohranjenih u poštanskom sandučetu.

    Da biste ga omogućili, morat ćete izvršiti nekoliko jednostavne radnje. Prijavite se na svoj nalog i kliknite LMB na profilnoj fotografiji (gornji desni ugao). U padajućem izborniku odaberite "Passport". Otvara se prozor u kojem morate kliknuti na vezu "Kontrola pristupa". Postavite "klizač" u položaj "UKLJUČENO". Bićete preusmjereni na stranicu na kojoj trebate kliknuti na dugme "Pokreni podešavanje". Sada prođite kroz 4 faze aktiviranja dvofaktorske zaštite.

    Društvena mreža VKontakte"

    Kao što je gore pomenuto, napadači obično pokušavaju da dobiju pristup nalozima "admina" popularni bendovi. Ali to nije uvijek slučaj, jer samo lična prepiska neke poznate osobe na internetu može biti zanimljiva.

    Vrijedi napomenuti da za neke korisnike ovaj način zaštite računa na kraju postaje dosadan, jer zahtijeva stalan unos tajni kod osim korisničkog imena i lozinke. U takvim slučajevima morate znati kako onemogućiti dvofaktorsku autentifikaciju. Međutim, prvo ćemo se pozabaviti aktivacijom ove opcije.

    U stvari, uključivanje verifikacije u dva koraka je vrlo jednostavno. Odaberite "Moje postavke", a zatim idite na karticu "Sigurnost". U odjeljku Potvrda prijave kliknite na dugme Poveži. Sada dosljedno slijedite sve zahtjeve.

    Onemogućavanje dvofaktorske autentifikacije

    Da biste deaktivirali zaštitu u dva koraka u Yandexu, morat ćete se vratiti na svoj pasoš klikom na sliku profila. Nakon toga otvorite odjeljak "Kontrola pristupa" i postavite klizač u položaj "Isključeno".

    Zaključak

    Sada znate šta je autentifikacija u dvije petlje i zašto vam je potrebna. Koristeći jednu ili drugu uslugu, ovo možete aktivirati dodatna zaštita ili odbiti to učiniti.

    Naravno, u nekim slučajevima se toplo preporučuje da omogućite verifikaciju u 2 koraka. Na primjer, prilikom registracije za WebMoney naznačili ste poštu od Yandexa. Dok surfate internetom, možete postati žrtva hakera koji vam provale u poštansko sanduče i dobiju pristup e-novčanik. Da se to ne bi dogodilo, bolje je instalirati i povezati e-poštu sa telefonom. Tako možete brzo odgovoriti ako vas neko pokuša hakovati.

    Pozdrav svima. Slažem se, najvažnija stvar dok radite na Internetu je sigurnost. Ona treba da daje Posebna pažnja. Prilikom registracije za važnu stranicu, trebali biste kreirati jaka lozinka ili koristite. Budući da je kombinacija slova i brojeva složenija, napadačima će biti teže da je razbiju. Međutim, postoje slučajevi kada hakeri uspiju dobiti pristup vašem računu, na primjer, vašem lična pošta. Ovo je veoma tužno: važna informacija može završiti u neljubaznim rukama i može se koristiti protiv vas, prepiska sa vašim partnerima može biti potpuno izbrisana itd. Jednom riječju, vaš račun mora biti zaštićen kao zjenica oka.

    Da bi se poboljšala sigurnost, mnoge usluge nude dvofaktorsku autentifikaciju. Danas ćemo pogledati šta je to koristeći Yandex poštu kao primjer.

    Kada je ova funkcija omogućena, napadač, čak i ako ispravno odabere vašu glavnu lozinku, neće moći ući u vaše poštansko sanduče. Budući da ćete za ovo morati navesti slučajnu jednokratnu lozinku, koja se generiše posebna aplikacija na vašem pametnom telefonu ili tabletu. Sada ćemo pokušati detaljno opisati kako omogućiti dvofaktorsku autentifikaciju u Yandexu. U budućnosti će biti sličan pregled Google mail i Mail.ru.

    Dakle, da bismo povezali ovu funkciju, potreban nam je pametni telefon ili tablet. Idemo u naše poštansko sanduče Yandex mail. Ako ga već nemate, kreirajte ga. Kako? Pročitajte .

    Nakon što smo se prijavili na račun, kliknite na vaš račun i odaberite stavku " Upravljanje računa»

    Yandex pasoš će se otvoriti sa svim vrstama postavki. u bloku" Kontrole pristupa"idi na link" Postavite dvofaktorsku autentifikaciju»

    Sada moramo proći kroz 4 koraka.

    1 korak. Potvrdite svoj broj telefona.

    Vaš račun nakon omogućavanja nova funkcijaće biti povezan sa vašim brojem telefona. Stoga naznačite broj na koji imate Besplatan pristup. Nakon toga kliknite na dugme " da dobijem kod»

    Nakon par sekundi, stići će SMS poruka u kojoj će biti naznačen kod koji unesemo u polje...

    ... i pritisnite " Potvrdi»

    Korak 2. Pin kod.

    Da bi aplikacija mogla generirati jednokratnu lozinku, potrebno je unijeti pin kod, onaj koji ćemo sada naznačiti. Pažnja!!! Zapamtite ovaj kod i ne dijelite ga ni sa kim. Čak i ako vam ukradu telefon, a da ne znaju vaš PIN kod, napadači neće moći koristiti ovu aplikaciju.

    Unesite PIN kod, a zatim ponovite. Za otvaranje simbola kliknite na oko. Na ovaj način možete biti sigurni da ste sve upisali ispravno. I pritisnite " Stvoriti».

    Korak 3. Mobilna aplikacija Yandex Key.

    U ovoj fazi trebamo instalirati samu aplikaciju koja će kreirati jednokratne lozinke. Pritisnemo dugme " Nabavite link do telefona».

    Hajdemo preko toga. Telefon uključen Zasnovan na Androidu automatski otvara servis Google Play s prijedlogom za instaliranje aplikacije Yandex Key. Instaliramo ga.

    Otvorite Yandex ključ. Nakon nekoliko uvodnih stranica, od vas će se tražiti da skenirate QR kod. Aplikacija će tražiti dozvolu za pristup vašoj kameri. Slažemo se. Zatim usmjerite kameru na ekran monitora tako da kvadrat sa QR kodom udari u objektiv kamere. Aplikacija će automatski skenirati i dodati vaš račun. Ako skeniranje ne uspije, možete zadržati tajni ključ. Da ga pogledate, kliknite na link Prikaži privatni ključ» pod QR kodom. U aplikaciji odaberite i način unosa tajnog ključa.

    Sada idemo na sljedeći korak.

    Korak 4. Unošenje jednokratne lozinke sa Yandex ključa.

    Pokrećemo našu aplikaciju na našem gadgetu. Sada ćete morati da unesete svoj PIN kod. I nakon toga ćete vidjeti istu nasumične jednokratne lozinke.

    Lozinka se ažurira svakih 30 sekundi. Stoga, imajte vremena da ga unesete u polje prije ažuriranja i kliknite na " Uključi».

    To je to, omogućili smo dvofaktorsku autentifikaciju za naš Yandex.

    Hajde da proverimo kako to funkcioniše. Odjavite se sa tekućeg naloga.

    Sada se možete prijaviti na svoj račun na 2 načina. 1) unesite svoju prijavu (ili adresu Email Yandex) i onda unosimo NE lozinku koju smo koristili prije, trajnu, već ONU u kojoj primamo mobilna aplikacija Yandex ključ nakon unosa PIN koda. I pritisnite dugme za prijavu. Drugi način znači prijavljivanje sa QR kod. Kliknite na ikonu u obliku qr-koda (desno od dugmeta Prijava).

    Onda dolazimo do ove stranice

    Slijedimo upute: pokrećemo Yandex ključ, unosimo naš pin kod i zatim odabiremo " Prijavite se s QR kodom»

    Zatim usmjeravamo kameru tableta ili telefona na QR kod. Aplikacija skenira kod i mi dobijamo pristup našoj pošti.

    Kako onemogućiti dvofaktorsku autentifikaciju u Yandexu

    Ako iz nekog razloga odlučite onemogućiti dvofaktorsku autentifikaciju, to se može učiniti brzo i jednostavno. Ulazimo u vaše poštansko sanduče, odlazimo na Upravljanje računom (gdje i kako to učiniti, pogledajte na početku ovog članka) i isključujemo ovu funkciju.

    Na sljedeći korak potrebno je da unesemo jednokratnu lozinku iz aplikacije Yandex Key

    Unesite ga i potvrdite.

    Mi stvaramo Nova šifra(ova vremenska konstanta), ponovite i sačuvajte.

    To je to, sada je naša dvofaktorska autentifikacija onemogućena. Za prijavu će se koristiti trajna lozinka kreirana u prethodnom koraku.

    Dakle, danas smo pogledali kako da naš Yandex nalog pošte učinimo sigurnijim povezivanjem dvofaktorske autentifikacije na njega. Koristite li ovu funkciju? Podijelite u komentarima.

    I to je sve za danas. Vidimo se uskoro!

    Svaka osoba treba da ima san. San je ono što pokreće osobu. Kada ste mali, sanjate o odrastanju. San prvo mora postati cilj. Tada morate postići svoj cilj. I trebao bi imati novi san!

    Rijetka objava na Yandex blogu, a posebno ona vezana za sigurnost, nije spominjala dvofaktorsku autentifikaciju. Dugo smo razmišljali kako da pravilno pojačamo zaštitu korisničkih naloga, pa čak i da je mogu koristiti bez svih neugodnosti koje uključuju najčešće implementacije danas. I, nažalost, neprijatni su. Prema nekim izvještajima, na mnogim velikim stranicama udio korisnika koji su omogućili dodatne alate za autentifikaciju ne prelazi 0,1%.

    Čini se da je to zato što je uobičajena dvofaktorska šema autentifikacije previše komplicirana i nezgodna. Pokušali smo da smislimo metodu koja bi bila praktičnija bez gubljenja nivoa zaštite, a danas predstavljamo njenu beta verziju.

    Nadamo se da će se proširiti. Sa svoje strane, spremni smo da radimo na njegovom unapređenju i naknadnoj standardizaciji.

    Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. QR kodovi su se pojavili u obrascu za autorizaciju na glavnoj stranici Yandexa, u pošti i pasošu. Da biste ušli u nalog, potrebno je da pročitate QR kod kroz aplikaciju - i to je to. Ako se QR kod ne može pročitati, na primjer, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će kreirati jednokratnu lozinku koja će važiti samo 30 sekundi.

    Reći ću vam zašto smo odlučili da ne koristimo takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcionišu uobičajene dvofaktorske šeme autentifikacije? Oni su dvostepeni. Prva faza je uobičajena autentifikacija pomoću korisničkog imena i lozinke. Ako je bila uspješna, stranica provjerava da li joj se ova korisnička sesija "sviđa" ili ne. I, ako vam se „ne sviđa“, traži od korisnika da se „ponovo autentifikuje“. Postoje dvije uobičajene metode “provjere autentičnosti”: slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, onda sesija gubi i “preliminarnu” autentifikaciju.

    Oba načina ─ slanje SMS-a i generiranje lozinke ─ su dokaz posjedovanja telefona i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Dakle, ova šema autentifikacije nije samo dvostepena, već i dvofaktorna.

    Šta smo smatrali problematičnim u ovoj šemi?

    Počnimo s činjenicom da se računar prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: isključivanje ažuriranja za Windows, piratska kopija antivirusnog programa bez modernih potpisa i softver sumnjivog porijekla ─ sve to ne povećava nivo zaštita. Prema našoj proceni, kompromitovanje računara korisnika je najrašireniji način „otme“ naloga (a nedavno je za to bila još jedna potvrda), a od toga želimo da se zaštitimo pre svega. U slučaju autentifikacije u dva koraka, pod pretpostavkom da je kompjuter korisnika kompromitovan, unošenje lozinke na njega kompromituje samu lozinku, što je prvi faktor. To znači da napadač treba da odabere samo drugi faktor. U slučaju uobičajenih implementacija RFC 6238, drugi faktor je 6 decimalnih cifara (a maksimum specifikacije je 8 cifara). Prema bruteforce kalkulatoru za OTP, napadač je u stanju da za tri dana pokupi drugi faktor ako je nekako saznao za prvi. Nije jasno šta servis može da se suprotstavi ovom napadu bez ometanja normalnog korisničkog iskustva. Jedini mogući dokaz rada je captcha, koji je, po našem mišljenju, krajnja opcija.

    Drugi problem je neprozirnost prosuđivanja servisa o kvaliteti korisničke sesije i odluke o potrebi "up-authentication". Što je još gore, služba nije zainteresirana da ovaj proces učini transparentnim, jer sigurnost od opskurnosti ovdje zapravo radi. Ako napadač zna šta servis odlučuje o legitimnosti sesije, može pokušati lažirati ove podatke. Iz općih razmatranja, možemo zaključiti da se prosudba donosi na osnovu historije autentifikacije korisnika, uzimajući u obzir IP adresu (i iz nje izveden broj autonomnog sistema koji identifikuje provajdera, te lokaciju na osnovu geobaze) i podatke pretraživača. , kao što je zaglavlje korisničkog agenta i skup kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontroliše računar korisnika, onda ima mogućnost ne samo da ukrade sve potrebne podatke, već i da koristi IP adresu žrtve. Štaviše, ako se odluka donese na osnovu ASN-a, onda svaka autentifikacija sa javnog Wi-Fi-ja u kafiću može dovesti do „trovanja“ u smislu sigurnosti (i bijeljenja u pogledu usluge) pružatelja ovog kafića i , na primjer, krečenje svih kafića u gradu. Razgovarali smo o radu sistema za detekciju anomalija, i on bi se mogao primijeniti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za siguran sud o anomaliji. Osim toga, isti ovaj argument potkopava ideju o "pouzdanim" računarima: napadač može ukrasti bilo koju informaciju koja utiče na procjenu povjerenja.

    Konačno, verifikacija u dva koraka je jednostavno nezgodna: naše studije upotrebljivosti pokazuju da ništa ne iritira korisnike više od srednjeg ekrana, dodatnih pritisaka na dugme i drugih „nevažnih“ radnji, sa njegove tačke gledišta.
    Na osnovu toga, odlučili smo da autentifikacija bude u jednom koraku i da prostor za lozinku treba biti mnogo veći od onoga što je moguće pod "čistim" RFC 6238.
    U isto vrijeme, željeli smo zadržati dvofaktorsku autentifikaciju što je više moguće.

    Multifaktornost u autentifikaciji određuje se dodjeljivanjem elemenata autentikacije (u stvari, oni se nazivaju faktori) jednoj od tri kategorije:

    1. Faktori znanja (to su tradicionalne lozinke, pin kodovi i sve što liči na njih);
    2. Faktori vlasništva (u korištenim OTP šemama, ovo je obično pametni telefon, ali može biti i hardverski token);
    3. Biometrijski faktori (otisak prsta ─ sada najčešći, iako će se neko sjetiti epizode s junakom Wesleyja Snipesa u filmu Demolition Man).

    Razvoj našeg sistema

    Kada smo počeli da se bavimo problemom dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012. godine, ali se o tome govorilo iza kulisa i ranije), prva ideja je bila da uzmemo standardne metode autentifikacije i primenimo ih ovdje. Shvatili smo da ne možemo računati da će milioni naših korisnika kupiti hardverski token, pa je ova opcija odložena za neke egzotične slučajeve (iako je ne odustajemo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). Ni SMS metoda nije mogla biti masovno proizvedena: ovo je vrlo nepouzdan način isporuke (u najvažnijem trenutku SMS može kasniti ili uopće ne biti isporučen), a slanje SMS-a košta (a operateri su počeli povećavati cijenu) . Odlučili smo da je korištenje SMS-a dio posla banaka i drugih netehnoloških kompanija, a našim korisnicima želimo ponuditi nešto praktičnije. Općenito, izbor je bio mali: koristiti pametni telefon i program u njemu kao drugi faktor.

    Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti pin kod (prvi faktor), ima hardverski ili softverski (na pametnom telefonu) token koji generiše OTP (drugi faktor). U polje za unos lozinke on unosi pin kod i trenutnu OTP vrijednost.

    Po našem mišljenju, glavni nedostatak ove šeme je isti kao kod autentifikacije u dva koraka: ako pretpostavimo da je radna površina korisnika ugrožena, onda jedan unos pin koda dovodi do njegovog otkrivanja, a napadač mora samo da izaberite drugi faktor.

    Odlučili smo da idemo drugim putem: lozinka se u potpunosti generira iz tajne, ali samo dio tajne se pohranjuje u pametni telefon, a dio korisnik unosi svaki put kada se lozinka generiše. Dakle, sam pametni telefon je faktor vlasništva, dok lozinka ostaje u glavi korisnika i faktor je znanja.

    Nonce može biti brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućava da se ne bojimo desinhronizacije u slučaju da neko generiše previše lozinki i poveća brojač.

    Dakle, imamo program za pametni telefon, gdje korisnik unosi svoj dio tajne, miješa se sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, koji potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz se prikazuje u čitljivom obliku, i voila - evo jednokratne lozinke!

    Kao što je već spomenuto, RFC 4226 predlaže skraćivanje HMAC rezultata na najviše 8 decimalnih cifara. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. U isto vrijeme, željeli smo zadržati jednostavnost korištenja (jer, zapamtite, želimo napraviti takav sistem koji će koristiti obični ljudi, a ne samo sigurnosni štreberi), pa smo kao kompromis u trenutnoj verziji sistema, izabrao skraćivanje na 8 znakova latinice. Čini se da je 26 ^ 8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habré-u pojave vrijedni savjeti kako poboljšati ovu šemu), proširit ćemo, na primjer, na 10 znakova.

    Saznajte više o snazi ​​takvih lozinki

    Zaista, za latinična slova koja ne razlikuju velika i mala slova, broj opcija po znaku je 26, za velika i mala latinična slova plus brojevi, broj opcija je 26+26+10=62. Tada log 62 (26 10) ≈ 7,9, tj. lozinka od 10 nasumičnih malih latiničnih slova je skoro jednako jaka kao lozinka od 8 nasumičnih gornjih i donjih latiničnih slova ili brojeva. Ovo je definitivno dovoljno za 30 sekundi. Ako govorimo o lozinki od 8 znakova od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova od velikih, malih slova i brojeva. Mislimo da je ovo i dalje prihvatljivo za period od 30 sekundi.

    Magija, bez lozinke, aplikacije i sljedeći koraci

    Uopšteno govoreći, mogli bismo stati na tome, ali smo želeli da sistem učinimo još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi da unese lozinku sa tastature!

    Stoga smo započeli rad na "magičnom logiranju". Ovom metodom autentifikacije, korisnik pokreće aplikaciju na pametnom telefonu, unosi svoj pin kod i skenira QR kod na ekranu svog računara. Ako je pin kod ispravno unesen, stranica u pretraživaču se ponovo učitava i korisnik se autentifikuje. Magic!

    Kako to radi?

    Broj sesije je ušiven u QR kod, a kada ga aplikacija skenira, ovaj broj se prenosi na server zajedno sa lozinkom i korisničkim imenom generisanim na uobičajen način. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući odgovor od servera da provjeri lozinku u ovoj sesiji. Ako server odgovori da je lozinka ispravna, s odgovorom se postavlja kolačić sesije i korisnik se smatra autentificiranim.

    Bilo je bolje, ali smo odlučili da ne stanemo. Počevši od iPhonea 5S, TouchID skener otiska prsta pojavio se u Apple telefonima i tabletima, au iOS verziji 8 dostupan je i aplikacijama trećih strana. U stvari, aplikacija nema pristup otisku prsta, ali ako je otisak ispravan, dodatni odjeljak Keychain postaje dostupan aplikaciji. To je ono što smo iskoristili. Drugi dio tajne nalazi se u unosu Keychain zaštićen TouchID-om, onom koji je korisnik u prethodnom scenariju unio sa tastature. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kako je gore opisano.

    Ali za korisnika je postalo nevjerovatno zgodno: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i autentifikuje se u pretraživaču na računaru! Tako smo faktor znanja zamijenili biometrijskim i, sa stanovišta korisnika, potpuno napustili lozinke. Sigurni smo da će običnim ljudima ova šema biti mnogo zgodnija od ručnog unosa dvije lozinke.

    Diskutabilno je koliko je tehnički dvofaktorska autentifikacija, ali u stvarnosti i dalje morate imati telefon i valjan otisak prsta da biste ga uspješno prošli, tako da mislimo da smo bili prilično dobri u otklanjanju faktora znanja, zamjeni ga sa biometrijom. Razumijemo da se oslanjamo na ARM TrustZone sigurnost koja podupire iOS Secure Enclave i vjerujemo da se ovaj podsistem za sada može smatrati pouzdanim u okviru našeg modela prijetnji. Naravno, svjesni smo problema biometrijske autentifikacije: otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. Ali, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna pogodnostima, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.

    Da vas podsjetim da je ovo još uvijek beta. Sada, kada omogućite dvofaktorsku autentifikaciju, privremeno onemogućavamo sinhronizaciju lozinke u Yandex.Browseru. To je zbog načina na koji je uređeno šifriranje baze podataka lozinki. Već dolazimo do pogodnog načina za autentifikaciju pretraživača u slučaju 2FA. Sve ostale Yandex funkcionalnosti rade kao i prije.

    Evo šta smo dobili. Izgleda da je ispalo dobro, ali ti budi sudija. Bit će nam drago čuti povratne informacije i preporuke, a i sami ćemo nastaviti raditi na poboljšanju sigurnosti naših usluga: sada, uz CSP, enkripciju transporta pošte i sve ostalo, imamo dvofaktornu autentifikaciju. Imajte na umu da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične, te da se greške pronađene u njima plaćaju dvostruko u okviru programa Bug Bounty.

    Oznake: Dodajte oznake

    Top Related Articles

    Kako pronaći izgubljeni iPhone Kako saznati ko posjeduje iPhone
    Kako pronaći izgubljeni iPhone Kako saznati ko posjeduje iPhone
    Huawei Y6 - Specifikacije Šta je u kutiji
    Huawei Y6 - Specifikacije Šta je u kutiji
    Huawei Y6 - Specifikacije
    Huawei Y6 - Specifikacije
    Kategorije:
    © 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.