چگونه یک برنامه را به کلید Yandex اضافه کنیم. شبکه اجتماعی VKontakte"

می توانید فعال کنید احراز هویت دو مرحله ای V . شما به برنامه Yandex.Key نیاز دارید که می تواند روی آن نصب شود دستگاه موبایلبر اساس iOS یا اندروید. دستگاهی که از نصب برنامه پشتیبانی نمی کند (مانند آمازون کیندل فایر) قابل استفاده نیست.

بعد از اینکه احراز هویت دو مرحله ای را فعال کردید:

همه برنامه ها، برنامه ها و خدمات Yandex دقیقاً نیاز دارند رمز یکبار مصرف. همچنین هنگام ورود به سیستم با استفاده از یک شبکه اجتماعی و ورود به صندوق پستی خود برای دامنه ها، یک رمز عبور یک بار مصرف نیز لازم است.

اگر با استفاده از کد QR وارد Yandex می شوید، لازم نیست لاگین و رمز عبور خود را وارد کنید.

برای برنامه های تلفن همراه شخص ثالث، برنامه های کامپیوتریو جمع‌آورندگان نامه‌ها باید از رمزهای عبور برنامه‌های جداگانه استفاده کنند.

توجه داشته باشید. برای انتقال حساب خود به گوشی هوشمند یا تبلت دیگری، صفحه را باز کرده و روی دکمه کلیک کنید تعویض دستگاه.

راه اندازی در چند مرحله انجام می شود. احراز هویت دو مرحله ای تنها پس از کلیک روی دکمه فعال می شود راه اندازی کاملبر آخرین مرحله.

1. مرحله 2: یک پین ایجاد کنید
2. مرحله 3. Yandex.Key را راه اندازی کنید

مرحله 1: شماره تلفن خود را تأیید کنید

اگر شماره تلفنی مرتبط با حساب خود دارید، مرورگر آن شماره را نمایش می دهد و از شما می خواهد آن را تأیید یا تغییر دهید. اگر شماره تلفن فعلی شما به حساب شما مرتبط نیست، باید آن را پیوند دهید، در غیر این صورت نمی توانید خودتان دسترسی به حساب خود را بازیابی کنید.

برای پیوند یا تایید شماره، کد را از طریق پیامک درخواست کنید و در فرم وارد کنید. اگر کد به درستی وارد شده است، روی دکمه تایید کلیک کنید تا به مرحله بعد بروید.

مرحله 2: یک پین ایجاد کنید

یک کد پین چهار رقمی برای احراز هویت دو مرحله ای ایجاد و وارد کنید.

توجه مثل خیلی ها کارت های بانکی، فقط شما کد پین را می دانید و نمی توانید آن را تغییر دهید. اگر کد پین خود را فراموش کنید، Yandex.Key نمی تواند رمز عبور یک بار مصرف درست را ایجاد کند و فقط با کمک پشتیبانی می توانید دسترسی به حساب خود را بازیابی کنید.

برای تایید پین کد وارد شده روی دکمه Create کلیک کنید.

مرحله 3. Yandex.Key را راه اندازی کنید

Yandex.Key برای ایجاد رمزهای عبور یکبار مصرف برای حساب شما مورد نیاز است. می‌توانید لینک برنامه را مستقیماً به تلفن خود دریافت کنید یا آن را از فروشگاه App یا Google Play نصب کنید.

توجه داشته باشید. Yandex.Key می‌تواند برای شناسایی کدهای QR هنگام افزودن حساب‌ها یا مجوز استفاده از کد QR، درخواست دسترسی به دوربین کند.

روی دکمه در Yandex.Key کلیک کنید یک حساب کاربری به برنامه اضافه کنید. Yandex.Key دوربین را روشن می کند تا کد QR نشان داده شده در مرورگر را اسکن کند.

اگر نمی توانید کد QR را بخوانید، روی پیوند موجود در مرورگر خود کلیک کنید نمایش کلید مخفی، و در برنامه - یک پیوند یا آن را به صورت دستی اضافه کنید. به جای کد QR، مرورگر دنباله ای از کاراکترها را نشان می دهد که باید در برنامه وارد شوند.

پس از شناسایی حساب، برنامه از پین کدی که در مرحله تنظیم قبلی 2FA ایجاد کرده اید، درخواست می کند.

مرحله 4: OTP خود را بررسی کنید

برای اطمینان از اینکه همه چیز به درستی پیکربندی شده است، باید در مرحله آخر یک رمز عبور یک بار مصرف وارد کنید - احراز هویت دو مرحله ای تنها زمانی فعال می شود که رمز عبور صحیح را وارد کنید.

برای انجام این کار، در Yandex.Key باید کد پین را که در مرحله دوم ایجاد کردید، به درستی وارد کنید. برنامه رمز یک بار مصرف را نشان می دهد. آن را در کنار دکمه Enable وارد کرده و روی این دکمه کلیک کنید.

Yandex سیستم را راه اندازی کرد احراز هویت دو مرحله ایو برنامه Yandex.Key را برای ورود به حساب خود بدون نیاز به یادآوری و ورود منتشر کرد رمز عبور پیچیده. این برنامه در حال حاضر در اندروید و iOS در دسترس است و در نسخه جدید به آن دسترسی دارید مدل های آیفونمی توان با اسکنر اثر انگشت محافظت کرد.

راه های مختلفی برای ورود به حساب خود از طریق Yandex.Key وجود دارد، اما ابتدا باید به صفحه تنظیمات yandex.ru/promo/2fa بروید و احراز هویت دو مرحله ای را فعال کنید.

شماره تلفن خود را با کد دریافت شده از طریق پیامک تأیید کنید.

برنامه Yandex.Key را روی گوشی هوشمند یا تبلت خود نصب کنید.

برنامه را اجرا کنید و کد QR را در وب سایت Yandex اسکن کنید. اگر دستگاه تلفن همراه شما دوربین ندارد، روی "نمایش کلید مخفی" کلیک کنید و کاراکترهای نمایش داده شده را در برنامه وارد کنید.

یک کد پین ایجاد کنید و آن را در وب سایت یا برنامه وارد کنید.

رمز عبور یکبار مصرف ایجاد شده توسط برنامه را در وب سایت وارد کنید. این رمز عبور فقط 30 ثانیه معتبر است و پس از آن رمز عبور جدید ظاهر می شود. برای تکمیل تنظیمات، باید رمز عبور دائمی حساب خود را دوباره وارد کنید.

این مراحل فقط یک بار باید انجام شود. پس از فعال‌سازی احراز هویت دو مرحله‌ای، باید مجدداً در وب‌سایت‌های Yandex در همه دستگاه‌ها مجوز دهید. برای دسترسی به برنامه ها می توانید رمزهای عبور جداگانه ایجاد کنید.

اکنون دکمه ای با نماد کد QR در صفحه ورود به حساب Yandex ظاهر می شود.

احراز هویت دو مرحله ای فراهم می کند افزایش سطحامنیت در مقایسه با رمز عبور سنتی حتی پیچیده و رمز عبور موثرممکن است در برابر ویروس ها، کی لاگرها و حملات فیشینگ آسیب پذیر باشد.

می توانید احراز هویت دو مرحله ای را در صفحه مدیریت حساب Yandex فعال کنید. برای تنظیم دسترسی با استفاده از Yandex.Key، به یک تلفن همراه نیاز دارید دستگاه اندرویدیا iOS

پس از فعال کردن احراز هویت دو مرحله ای:

• بجای استفاده از رمز عبور استانداردبرای دسترسی به خدمات و برنامه های Yandex، باید یک رمز عبور یک بار مصرف وارد کنید (به عنوان مثال، برای ورود به حساب خود یا تغییر شماره تلفن خود). هنگام استفاده از کد QR، برای ورود به حساب Yandex خود نیازی به وارد کردن لاگین یا رمزهای عبور خود ندارید.
• برای برنامه های تلفن همراه شخص ثالث، برنامه های کامپیوتری و کلاینت های ایمیل، باید از رمزهای عبور برنامه جداگانه استفاده کنید.
• صفحه بازیابی حساب Yandex شما تغییر خواهد کرد.

برای فعال کردن احراز هویت دو مرحله‌ای، روی پیوند «تنظیم احراز هویت دو مرحله‌ای» در صفحه «اطلاعات شخصی» در بخش «مدیریت دسترسی» کلیک کنید و چندین مرحله را دنبال کنید:

اگر شماره تلفن شما قبلاً به حساب شما پیوند داده شده است، آن را تأیید یا تغییر دهید. اگر شماره تلفن مشخص نشده است، باید آن را اضافه کنید، در غیر این صورت نمی توانید دسترسی به حساب خود را بازیابی کنید.

برای اتصال شماره جدیدیا شماره تلفن خود را تأیید کنید، یک کد درخواست کنید و سپس آن را در قسمت مربوطه وارد کنید. سپس بر روی دکمه "تأیید" کلیک کنید و به مرحله بعدی بروید.

2. یک پین ایجاد کنید.

یک پین 4 رقمی ایجاد کنید و آن را برای احراز هویت دو مرحله ای وارد کنید.

مهم: شما نباید پین خود را با دیگران به اشتراک بگذارید. پین قابل تغییر نیست. اگر کد پین خود را فراموش کردید، برنامه Yandex.Key قادر به ایجاد رمز عبور یک بار مصرف نخواهد بود؛ فقط با کمک یک متخصص پشتیبانی فنی می توانید دسترسی به حساب خود را بازیابی کنید.

پس از وارد کردن کد پین، روی دکمه "ایجاد" کلیک کنید.

برنامه Yandex.Key برای ایجاد رمزهای عبور یک بار مصرف برای حساب شما مورد نیاز است. می‌توانید پیوندی برای نصب برنامه مستقیماً روی صفحه تنظیم احراز هویت دو مرحله‌ای ارسال کنید، یا می‌توانید برنامه را از فروشگاه App یا Google Play دانلود کنید.

توجه: برای اینکه Yandex.Key کار کند، ممکن است برای تشخیص بارکدها (کدهای QR) به دوربین دستگاه دسترسی داشته باشید.

در برنامه Yandex.Key، روی دکمه "افزودن حساب به برنامه" کلیک کنید. سپس دوربین دستگاه راه اندازی می شود. بارکدی که در مرورگر شما ظاهر می شود را اسکن کنید.

اگر کد QR قابل تشخیص نیست، روی دکمه «نمایش کلید مخفی» کلیک کنید و روی «افزودن کلید دستی» در برنامه کلیک کنید. به جای کد QR، مرورگر دنباله ای از کاراکترها را نمایش می دهد که باید در برنامه وارد شوند.

پس از شناسایی حساب، دستگاه از شما می خواهد که پین ​​کد ایجاد شده در مرحله قبل را وارد کنید.

برای اطمینان از موفقیت آمیز بودن راه اندازی، رمز عبور یکبار مصرف ایجاد شده در مرحله قبل را وارد کنید. احراز هویت دو مرحله ای تنها در صورتی فعال می شود که رمز عبور صحیح را وارد کنید.

به سادگی کد پین ایجاد شده در مرحله 2 را در برنامه Yandex.Key وارد کنید. برنامه یک رمز عبور یک بار مصرف ایجاد می کند. آن را در کنار دکمه «فعال کردن» وارد کنید و سپس روی دکمه کلیک کنید.

توجه: باید OTP را قبل از تغییر روی صفحه وارد کنید. گاهی اوقات بهتر است منتظر بمانید تا رمز عبور جدیدی ایجاد شود و آن را وارد کنید.

اگر رمز عبور صحیح را وارد کرده باشید، احراز هویت دو مرحله ای برای حساب Yandex.Passport شما فعال می شود.

نحوه غیرفعال کردن احراز هویت دو مرحله ای در Yandex

1. به تب "Access Management" در حساب Yandex.Passport خود بروید.
2. سوئیچ را به موقعیت "خاموش" ببرید.
3. صفحه ای باز می شود که در آن باید رمز عبور یک بار مصرف را از برنامه Yandex.Key وارد کنید.
4. اگر رمز عبور به درستی وارد شده باشد، از کاربر خواسته می شود تا یک رمز عبور اصلی جدید برای حساب تعیین کند.

توجه: پس از غیرفعال کردن احراز هویت دو مرحله‌ای، رمزهای عبور برنامه قدیمی شما دیگر کار نمی‌کنند. برای بازیابی عملکرد سرویس‌ها و برنامه‌های مرتبط، به عنوان مثال، باید رمزهای عبور برنامه جدیدی ایجاد کنید. مشتریان پست الکترونیکی.

کاربر می تواند با استفاده از رمزهای عبور برنامه، دسترسی برنامه های شخص ثالث به حساب Yandex را پیکربندی کند. لطفا توجه داشته باشید که هر رمز عبور جداگانهبرنامه دسترسی به یک سرویس خاص را فراهم می کند. به عنوان مثال، رمز عبور ایجاد شده برای یک سرویس گیرنده ایمیل اجازه دسترسی به آن را نمی دهد فضای ذخیره ابری Yandex.Disk.

می توانید رمزهای عبور برنامه را در برگه "Access Management" در کنترل پنل حساب Yandex.Passport ایجاد کنید. سوئیچ "App Passwords" را روی موقعیت "روشن" بکشید. اگر احراز هویت دو مرحله‌ای فعال باشد، رمزهای عبور برنامه اعمال می‌شوند و غیرفعال نمی‌شوند.

برای هر کدام باید یک رمز عبور برنامه جداگانه ایجاد کنید برنامه شخص ثالث، که رمز عبور Yandex را می خواهد، از جمله:

• مشتریان ایمیل ( موزیلا تاندربرد, Microsoft Outlook, خفاش! و غیره.)
• مشتریان WebDAV برای Yandex.Disk
• مشتریان CalDAV برای Yandex.Calendar
• مشتریان جابر
• برنامه های کاربردی برای واردات از سایر سرویس های ایمیل

برای ایجاد رمز عبور برنامه:

1. به تب "Access Management" در کنترل پنل حساب Yandex.Passport بروید.
2. در صورت غیرفعال بودن گزینه “App Passwords” را فعال کنید (اگر احراز هویت دو مرحله‌ای را فعال نکرده باشید، ضامن نمایش داده نمی‌شود).
3. روی «دریافت رمز برنامه» کلیک کنید
4. سرویس Yandex را که می خواهید در برنامه به آن دسترسی داشته باشید انتخاب کنید و سیستم عامل.
5. نام برنامه ای که برای آن رمز عبور ایجاد می کنید را وارد کنید و روی "افزودن" کلیک کنید.
6. رمز عبور در تب بعدی نشان داده خواهد شد. روی "انجام شد" کلیک کنید.

توجه: رمز عبور تولید شده را فقط یک بار می توانید مشاهده کنید. اگر رمز عبور را اشتباه وارد کرده اید و قبلاً پنجره را بسته اید، رمز عبور فعلی را حذف کرده و یک رمز عبور جدید ایجاد کنید.

این یک پست نادر در وبلاگ Yandex بود، مخصوصاً مربوط به امنیت، بدون ذکر احراز هویت دو مرحله ای. ما برای مدت طولانی در مورد چگونگی تقویت صحیح محافظ فکر کردیم حساب های کاربری، و به گونه ای که می توان از آن بدون تمام ناراحتی هایی که رایج ترین پیاده سازی های امروزی را شامل می شود استفاده کرد. و آنها، افسوس، ناخوشایند هستند. بر اساس برخی داده ها، در بسیاری از سایت های بزرگ نسبت کاربرانی که روشن شده اند وجوه اضافیاحراز هویت، از 0.1٪ تجاوز نمی کند.

به نظر می رسد این به این دلیل است که طرح احراز هویت دو عاملی رایج بسیار پیچیده و ناخوشایند است. ما سعی کردیم روشی را ارائه کنیم که بدون از دست دادن سطح حفاظت راحت تر باشد و امروز نسخه بتای آن را ارائه می دهیم.

امیدواریم فراگیرتر شود. ما به نوبه خود آماده هستیم تا روی بهبود و استانداردسازی بعدی آن کار کنیم.

پس از فعال کردن احراز هویت دو مرحله ای در پاسپورت، باید برنامه Yandex.Key را در فروشگاه App یا Google Play نصب کنید. در فرم مجوز برای صفحه نخست Yandex، کدهای QR در Mail و Passport ظاهر شدند. برای ورود به سیستم حسابشما باید کد QR را از طریق برنامه بخوانید - و تمام. اگر کد QR قابل خواندن نباشد، به عنوان مثال، دوربین گوشی هوشمند کار نمی کند یا دسترسی به اینترنت وجود ندارد، برنامه یک رمز عبور یک بار مصرف ایجاد می کند که تنها 30 ثانیه معتبر خواهد بود.

من به شما می گویم که چرا تصمیم گرفتیم از مکانیسم های "استاندارد" مانند RFC 6238 یا RFC 4226 استفاده نکنیم. طرح های رایج احراز هویت دو مرحله ای چگونه کار می کنند؟ آنها دو مرحله ای هستند. مرحله اول احراز هویت عادی با ورود و رمز عبور است. در صورت موفقیت آمیز بودن، سایت بررسی می کند که آیا این جلسه کاربر را "پسندیده است" یا خیر. و اگر «آن را دوست ندارم»، از کاربر می‌خواهد «احراز هویت مجدد» را تأیید کند. دو روش رایج برای احراز هویت وجود دارد: ارسال پیامک به شماره تلفن مرتبط با حساب و ایجاد رمز عبور دوم در تلفن هوشمند. اساساً از TOTP مطابق RFC 6238 برای تولید رمز دوم استفاده می شود، اگر کاربر رمز دوم را به درستی وارد کرده باشد، جلسه کاملاً تأیید شده در نظر گرفته می شود و در غیر این صورت جلسه «احراز هویت پیش» را نیز از دست می دهد.

هر دو راه ─ ارسال اس ام اسو تولید رمز عبور ─ شواهدی مبنی بر مالکیت تلفن و بنابراین عامل در دسترس بودن هستند. رمز وارد شده در مرحله اول عامل دانش است. بنابراین، این طرح احراز هویت نه تنها دو مرحله ای، بلکه دو مرحله ای است.

چه چیزی در این طرح برای ما مشکل ساز به نظر می رسید؟

بیایید با این واقعیت شروع کنیم که رایانه یک کاربر معمولی را نمی توان همیشه یک مدل امنیت نامید: اینجاست که خاموش کردن به روز رسانی ویندوزو یک کپی دزدی از آنتی ویروس بدون امضاهای مدرن و نرم افزاری با منشأ مشکوک - همه اینها سطح محافظت را افزایش نمی دهد. طبق ارزیابی ما، به خطر انداختن رایانه کاربر بیشترین است روش انبوه"ربایش" حساب ها (و اخیراً تأیید دیگری در این مورد وجود دارد)، اول از همه می خواهم از خودم در برابر آن محافظت کنم. چه زمانی احراز هویت دو مرحله ای، اگر فرض کنیم رایانه کاربر در معرض خطر است، وارد کردن رمز عبور روی آن، خود رمز عبور را به خطر می اندازد که اولین عامل است. این بدان معناست که مهاجم فقط باید عامل دوم را انتخاب کند. در مورد پیاده سازی های رایج RFC 6238، فاکتور دوم 6 رقم اعشاری است (و حداکثر مجاز توسط مشخصات 8 رقم است). طبق محاسبه‌گر bruteforce برای OTP، مهاجم در سه روز می‌تواند عامل دوم را پیدا کند اگر به نحوی از عامل اول آگاه شود. مشخص نیست این سرویس چه چیزی می تواند بدون شکستن با این حمله مقابله کند کار معمولیکاربر. تنها اثبات کار ممکن کپچا است که به نظر ما آخرین راه حل است.

مشکل دوم عدم شفافیت قضاوت سرویس در مورد کیفیت جلسه کاربر و تصمیم گیری در مورد نیاز به "تأیید هویت پیش" است. بدتر هنوز، این سرویس علاقه ای به شفاف سازی این فرآیند ندارد، زیرا امنیت از طریق مبهم در واقع در اینجا کار می کند. اگر یک مهاجم بداند که سرویس بر چه اساسی در مورد مشروعیت یک جلسه تصمیم می گیرد، می تواند سعی کند این داده ها را جعل کند. از ملاحظات کلی، می‌توان نتیجه گرفت که قضاوت بر اساس تاریخچه احراز هویت کاربر، با در نظر گرفتن آدرس IP (و اعداد مشتق آن) انجام می‌شود. سیستم خودمختار، شناسایی ارائه دهنده و مکان بر اساس geobase) و داده های مرورگر مانند هدر عامل کاربرو مجموعه ای از کوکی ها، فلش lso و حافظه محلی html. این بدان معنی است که اگر یک مهاجم رایانه کاربر را کنترل کند، نه تنها می تواند تمام داده های لازم را بدزدد، بلکه از آدرس IP قربانی نیز استفاده کند. علاوه بر این، اگر تصمیم بر اساس ASN گرفته شود، هر گونه احراز هویت از وای فای عمومیدر یک کافی شاپ می تواند منجر به "مسمومیت" از نظر امنیتی (و سفیدکاری از نظر خدماتی) ارائه دهنده این کافی شاپ و به عنوان مثال سفید کردن تمام کافی شاپ های سطح شهر شود. ما در مورد نحوه عملکرد یک سیستم تشخیص ناهنجاری صحبت کردیم و می توان از آن استفاده کرد، اما زمان بین مرحله اول و دوم احراز هویت ممکن است برای قضاوت با اطمینان یک ناهنجاری کافی نباشد. علاوه بر این، همان استدلال ایده رایانه های "معتمد" را از بین می برد: یک مهاجم می تواند هر اطلاعاتی را که بر قضاوت اعتماد تأثیر می گذارد سرقت کند.

در نهایت، احراز هویت دو مرحله‌ای به سادگی ناخوشایند است: تحقیقات قابلیت استفاده ما نشان می‌دهد که هیچ چیز بیشتر از یک صفحه میانی، کلیک‌های دکمه‌های اضافی و سایر اقدامات «بی‌اهمیت» کاربران را از دیدگاه آن‌ها آزار نمی‌دهد.
بر این اساس، ما تصمیم گرفتیم که احراز هویت باید یک مرحله ای باشد و فضای رمز عبور باید بسیار بزرگتر از آنچه در چارچوب RFC 6238 "خالص" ممکن است باشد.
در عین حال، ما می خواستیم تا حد امکان احراز هویت دو مرحله ای را حفظ کنیم.

احراز هویت چند عاملی با تخصیص عناصر احراز هویت (در واقع، آنها فاکتور نامیده می شوند) به یکی از سه دسته تعریف می شود:

1. عوامل دانش (اینها رمزهای عبور سنتی، کدهای پین و هر چیزی که شبیه آنهاست)؛
2. عوامل مالکیت (در طرح‌های OTP مورد استفاده، این معمولاً یک تلفن هوشمند است، اما می‌تواند یک نشانه سخت‌افزاری نیز باشد).
3. عوامل بیومتریک (اثر انگشت در حال حاضر رایج ترین است، اگرچه کسی اپیزود شخصیت وسلی اسنایپس در فیلم Man Demolition Man را به خاطر می آورد).

توسعه سیستم ما

زمانی که ما شروع به کار بر روی مشکل احراز هویت دو عاملی کردیم (اولین صفحات ویکی شرکتی در مورد این موضوع به سال 2012 برمی گردد، اما قبلاً در پشت صحنه بحث شده بود)، اولین ایده این بود که روش های استاندارداحراز هویت و آنها را با ما اعمال کنید. ما فهمیدیم که نمی‌توانیم روی میلیون‌ها کاربر خود برای خرید یک توکن سخت‌افزاری حساب کنیم، بنابراین این گزینه را برای برخی موارد عجیب و غریب به تعویق انداختیم (اگرچه به طور کامل آن را رها نمی‌کنیم، شاید بتوانیم چیز جالبی ارائه دهیم). روش پیامک نیز نمی تواند گسترده باشد: این یک روش تحویل بسیار غیرقابل اعتماد است (در حساس ترین لحظه ممکن است پیامک تاخیر داشته باشد یا اصلاً نرسد) و ارسال اس ام اسهزینه دارد (و اپراتورها شروع به افزایش قیمت خود کرده اند). ما تصمیم گرفتیم که با استفاده از اس ام اس─ تعداد زیادی از بانک ها و سایر شرکت های با فناوری پایین است، اما کاربران ما می خواهند چیزی راحت تر ارائه دهند. به طور کلی، انتخاب کوچک بود: از گوشی هوشمند و برنامه موجود در آن به عنوان عامل دوم استفاده کنید.

این شکل از احراز هویت یک مرحله‌ای گسترده است: کاربر کد پین (عامل اول) را به خاطر می‌آورد و یک توکن سخت‌افزار یا نرم‌افزار (در گوشی هوشمند) دارد که یک OTP (فاکتور دوم) تولید می‌کند. در قسمت ورود رمز عبور، پین کد و مقدار OTP فعلی را وارد می کند.

به نظر ما، اشکال اصلیاین طرح همانند احراز هویت دو مرحله‌ای است: اگر فرض کنیم دسکتاپ کاربر به خطر افتاده است، یک بار وارد کردن کد پین منجر به افشای آن می‌شود و مهاجم فقط می‌تواند عامل دوم را انتخاب کند.

ما تصمیم گرفتیم مسیر دیگری را طی کنیم: کل رمز عبور از راز تولید می شود، اما تنها بخشی از رمز در گوشی هوشمند ذخیره می شود و هر بار که رمز عبور ایجاد می شود، بخشی توسط کاربر وارد می شود. بنابراین، گوشی هوشمند خود عامل مالکیت است و رمز عبور در ذهن کاربر باقی می‌ماند و عامل دانش است.

Nonce می تواند یک شمارنده یا زمان فعلی. ما تصمیم گرفتیم زمان فعلی را انتخاب کنیم، این به ما امکان می دهد در صورت ایجاد رمز عبور بیش از حد و افزایش شمارنده از همگام سازی ترسی نداشته باشیم.

بنابراین، ما یک برنامه برای یک گوشی هوشمند داریم که در آن کاربر قسمت راز خود را وارد می کند، آن را با قسمت ذخیره شده مخلوط می کند، نتیجه به عنوان یک کلید HMAC استفاده می شود که برای امضای زمان فعلی استفاده می شود، به 30 ثانیه گرد می شود. خروجی HMAC به کاهش می یابد فرم قابل خواندنو voila ─ اینجا رمز یکبار مصرف است!

همانطور که قبلا گفته شد، RFC 4226 مشخص می کند که نتیجه HMAC به حداکثر 8 رقم اعشاری کوتاه شود. ما تصمیم گرفتیم که رمز عبور با این اندازه برای احراز هویت یک مرحله ای مناسب نیست و باید افزایش یابد. در عین حال، ما می‌خواستیم سهولت استفاده را حفظ کنیم (پس از همه، به شما یادآوری می‌کنیم، ما می‌خواهیم سیستمی بسازیم که توسط مردم عادی و نه فقط گیک‌های امنیتی استفاده شود)، بنابراین به عنوان یک مصالحه در نسخه فعلیسیستمی را انتخاب کردیم که به 8 کاراکتر کوتاه شود الفبای لاتین. به نظر می رسد 26^8 رمز عبور معتبر برای 30 ثانیه کاملاً قابل قبول است، اما اگر حاشیه امنیتی برای ما مناسب نباشد (یا نکات ارزشمندی در مورد چگونگی بهبود این طرح در Habré ظاهر می شود)، به عنوان مثال به 10 کاراکتر گسترش می دهیم.

در مورد قدرت چنین پسوردهایی بیشتر بدانید

در واقع برای حروف لاتینبدون حروف بزرگ، تعداد گزینه ها در هر کاراکتر 26 است، برای حروف بزرگ و کوچک لاتین به اضافه اعداد، تعداد گزینه ها 26+26+10=62 است. سپس log 62 (26 10) ≈ 7.9، یعنی یک رمز عبور از 10 حرف کوچک تصادفی لاتین تقریباً به اندازه رمز عبور 8 حرف یا عدد لاتین تصادفی بزرگ و کوچک است. این قطعا برای 30 ثانیه کافی خواهد بود. اگر در مورد یک رمز عبور 8 کاراکتری ساخته شده از حروف لاتین صحبت کنیم، قدرت آن log 62 (26 8) ≈ 6.3 است، یعنی کمی بیشتر از یک رمز عبور 6 کاراکتری ساخته شده از حروف بزرگ، کوچک و اعداد. ما فکر می کنیم این هنوز برای یک پنجره 30 ثانیه ای قابل قبول است.

جادو، بدون رمز عبور، برنامه ها و مراحل بعدی

به طور کلی، ما می توانستیم در آنجا متوقف شویم، اما می خواستیم سیستم را حتی راحت تر کنیم. وقتی شخصی یک گوشی هوشمند در دست دارد، نمی خواهد رمز عبور را از صفحه کلید وارد کند!

به همین دلیل ما شروع به کار روی "ورود جادویی" کردیم. با این روش احراز هویت، کاربر اپلیکیشن را روی گوشی هوشمند خود راه اندازی کرده، پین کد خود را در آن وارد کرده و کد QR را روی صفحه کامپیوتر خود اسکن می کند. اگر کد پین به درستی وارد شود، صفحه در مرورگر مجددا بارگذاری می شود و کاربر احراز هویت می شود. شعبده بازي!

چگونه کار می کند؟

کد QR حاوی یک شماره جلسه است و هنگامی که برنامه آن را اسکن می کند، این شماره به همراه کد تولید شده به سرور منتقل می شود. به روش معمولرمز عبور و نام کاربری این کار دشواری نیست، زیرا تلفن هوشمند تقریباً همیشه آنلاین است. در طرح صفحه ای که کد QR را نشان می دهد، جاوا اسکریپت در حال اجرا است و منتظر پاسخ از سرور برای بررسی رمز عبور این جلسه است. اگر سرور پاسخ دهد که رمز عبور صحیح است، کوکی های جلسه همراه با پاسخ تنظیم می شوند و کاربر احراز هویت در نظر گرفته می شود.

بهتر شد، اما تصمیم گرفتیم در اینجا متوقف نشویم. از iPhone 5S در گوشی ها و تبلت های اپلیک اسکنر اثر انگشت TouchID ظاهر شد و در نسخه های iOS 8 کار با آن موجود است و برنامه های شخص ثالث. در واقعیت، برنامه به اثر انگشت دسترسی پیدا نمی‌کند، اما اگر اثر انگشت درست باشد، بخش Keychain اضافی در دسترس برنامه قرار می‌گیرد. ما از این بهره بردیم. قسمت دوم راز در رکورد Keychain محافظت شده با TouchID قرار می گیرد، قسمتی که کاربر در سناریوی قبلی از صفحه کلید وارد کرده است. هنگام باز کردن قفل Keychain، دو قسمت از راز با هم مخلوط می شوند و سپس فرآیند همانطور که در بالا توضیح داده شد کار می کند.

اما برای کاربر بسیار راحت شده است: او برنامه را باز می کند، انگشت خود را قرار می دهد، کد QR را روی صفحه اسکن می کند و خود را در مرورگر رایانه خود احراز هویت می یابد! بنابراین ما فاکتور دانش را با یک بیومتریک جایگزین کردیم و از نظر کاربر رمزهای عبور کاملاً رها شدیم. ما مطمئن هستیم که مردم عادیچنین طرحی بسیار راحت تر از آن به نظر می رسد ورودی دستیدو رمز عبور

این که چقدر از لحاظ فنی احراز هویت دو عاملی است، قابل بحث است، اما در واقع شما هنوز باید یک تلفن داشته باشید و اثرانگشت صحیح برای تکمیل موفقیت آمیز آن داشته باشید، بنابراین ما معتقدیم که ما در حذف فاکتور دانش و جایگزینی آن با بیومتریک بسیار موفق بوده ایم. . ما درک می کنیم که به امنیت ARM TrustZone که سیستم عامل iOS Secure Enclave را تقویت می کند، متکی هستیم و معتقدیم که در حال حاضراین زیرسیستم را می توان در مدل تهدید ما قابل اعتماد در نظر گرفت. البته ما مشکلات را می دانیم احراز هویت بیومتریک: اثر انگشت رمز عبور نیست و در صورت به خطر افتادن قابل تعویض نیست. اما از سوی دیگر، همه می دانند که امنیت با راحتی نسبت معکوس دارد و خود کاربر این حق را دارد که نسبت یکی و دیگری را که برای او قابل قبول است انتخاب کند.

اجازه دهید به شما یادآوری کنم که این هنوز بتا است. اکنون، وقتی احراز هویت دو مرحله‌ای فعال است، همگام‌سازی رمز عبور را در مرورگر Yandex به طور موقت غیرفعال می‌کنیم. این به دلیل نحوه رمزگذاری پایگاه داده رمز عبور است. ما در حال اختراع هستیم راه راحتاحراز هویت مرورگر در صورت 2FA. تمام قابلیت های دیگر Yandex مانند قبل کار می کند.

این چیزی است که ما به دست آوردیم. به نظر می رسد خوب بوده است، اما شما قضاوت کنید. ما خوشحال خواهیم شد که بازخورد و توصیه های شما را بشنویم و به کار بر روی بهبود امنیت خدمات خود ادامه خواهیم داد: اکنون، همراه با CSP، رمزگذاری حمل و نقل نامه و هر چیز دیگری، اکنون احراز هویت دو مرحله ای داریم. فراموش نکنید که سرویس‌های احراز هویت و برنامه‌های تولید OTP حیاتی هستند و بنابراین برای خطاهای یافت شده در آنها به عنوان بخشی از برنامه Bug Bounty پاداش مضاعفی پرداخت می‌شود.

برچسب ها: اضافه کردن برچسب

من به شما نشان خواهم داد که چگونه احراز هویت دو مرحله ای را در Yandex تنظیم کنید، این به شما کمک می کند تا از حساب Yandex خود در برابر هک محافظت کنید.

به مدیریت پسورد بروید در passport.yandex.ru/profile/access. در اینجا می توانید رمز عبور خود را تغییر دهید یا فعال کنید حفاظت اضافیبرای حساب شما - احراز هویت دو مرحله ای. روی نوار لغزنده احراز هویت دو مرحله ای کلیک کنید تا فعال شود.

فعال کردن احراز هویت دو مرحله ای در چند مرحله انجام می شود. شما باید به طور همزمان Yandex.Passport و اپلیکیشن موبایل Yandex.Key. پس از تکمیل تنظیمات، باید دوباره در همه دستگاه ها وارد شوید.

روی start setup کلیک کنید.

این شماره تلفن شماست که کدهای راه اندازی به آن ارسال می شود. در اینجا می توانید شماره تلفن مرتبط با حساب Yandex خود را تغییر دهید.

راه اندازی احراز هویت دو مرحله ای مرحله 1 از 5.

شماره تلفن خود را تأیید کنید. این شماره اصلی شما در Yandex است. اگر دسترسی به حساب خود را از دست بدهید به آن نیاز خواهید داشت. روی دریافت کد کلیک کنید.

یک کد SMS از Yandex به شماره شما ارسال می شود.

کد پیامک Yandex را در اینجا وارد کنید و روی تایید کلیک کنید.

راه اندازی احراز هویت دو مرحله ای مرحله 2 از 5.

برنامه Yandex.Key را دانلود کنید. اکنون در iPhone یا iPad خود به AppStore بروید یا فروشگاه Playبر گوشی هوشمند اندرویدیا تبلت و به دنبال برنامه Yandex.Key بگردید. یا برای دریافت لینک گوشی خود کلیک کنید.

باز خواهد شد اپ استوریا بازار بازیبرای دانلود اپلیکیشن Yandex.Key و نصب آن بر روی گوشی هوشمند یا تبلت خود، روی دانلود کلیک کنید.

اگر باید رمز عبور اپل آیدی خود را وارد کنید، رمز عبور اپل آیدی خود را وارد کنید.

پس از 30 ثانیه برنامه در گوشی هوشمند شما دانلود می شود، با کلیک بر روی آن، آن را اجرا کنید.

راه اندازی احراز هویت دو مرحله ای مرحله 3 از 5.

دوربین تلفن خود را به سمت کد QR بگیرید تا حساب شما به طور خودکار به برنامه اضافه شود. اگر کد خوانده نشد، دوباره امتحان کنید یا کلید مخفی را وارد کنید.

بیایید دوباره به سراغ گوشی هوشمند برویم.

برنامه Yandex.Key برای ورود به Yandex رمزهای عبور یک بار مصرف ایجاد می کند. اگر قبلاً تنظیم احراز هویت دو مرحله‌ای را در رایانه خود شروع کرده‌اید، روی دکمه «افزودن حساب به برنامه» کلیک کنید.

روی افزودن حساب به برنامه کلیک کنید.

برنامه "کلید" دسترسی به "دوربین" را درخواست می کند. روی Allow کلیک کنید تا برنامه به دوربین گوشی هوشمندتان دسترسی پیدا کند تا کد QR را از روی صفحه نمایش مانیتور رایانه اسکن کند.

دوربین را به سمت کد QR که در مانیتور رایانه شما نمایش داده می شود بگیرید و منتظر باشید تا حساب اضافه شود یا آن را به صورت دستی اضافه کنید.

آماده. کد QR اسکن شده است. برنامه Yandex.Key آماده استفاده است.

حالا بیایید به سراغ مانیتور کامپیوتر برویم.

روی ایجاد کد پین کلیک کنید.

هر بار که رمز عبور یک بار مصرف را در Yandex.Key دریافت می کنید و همچنین برای بازگرداندن دسترسی به حساب خود، یک کد پین مورد نیاز است. پین خود را مخفی نگه دارید کارمندان سرویس Yandex هرگز از او سوال نمی کنند.

با یک پین کد چهار رقمی روبرو می شویم و روی ادامه کلیک می کنیم.

راه اندازی احراز هویت دو مرحله ای مرحله 4 از 5.

در حال بررسی پین کد شما حتما پین کد خود را به خاطر بسپارید. پس از تکمیل تنظیمات، نمی توان آن را تغییر داد. اگر کد پین را اشتباه وارد برنامه کنید، رمز عبور یک بار مصرف نادرست ایجاد می شود.

پین کدی را که قبلا ایجاد کرده اید وارد کنید و روی چک کلیک کنید.

بیایید به گوشی هوشمند و برنامه Yandex.Key برگردیم. برای دریافت رمز یکبار مصرف پین کد خود را وارد کنید.

پس از وارد کردن کد پین، یک رمز عبور یک بار مصرف دریافت خواهید کرد که به مدت 20 ثانیه معتبر خواهد بود؛ در طی این 20 ثانیه باید در تنظیم احراز هویت دو مرحله ای آن را در رایانه وارد کنید. اگر در مدت 20 ثانیه زمان لازم برای وارد کردن رمز عبور را نداشته باشید، رمز عبور به دیگری تغییر می کند و غیره. رمز عبوری که روی صفحه گوشی هوشمند شما نمایش داده می شود را وارد کنید.

آخرین مرحله. رمز عبور را از Yandex.Key وارد کنید.

با استفاده از کد پین، رمز عبور یک بار مصرف را در برنامه دریافت خواهید کرد. مطمئن شوید که کد پین را به خاطر می آورید، پس از تکمیل تنظیمات، نمی توانید آن را تغییر دهید.

بعد از فعال کردن احراز هویت دو مرحله ای چه چیزی تغییر می کند:

• رمز عبور قدیمی دیگر کار نخواهد کرد.
• شما باید مجدداً در Yandex در همه دستگاه ها (سرویس های وب و برنامه های تلفن همراه) مجوز دهید.
• دسترسی به خدمات وب Yandex با استفاده از کد QR بدون وارد کردن رمز عبور امکان پذیر خواهد بود. اگر نمی توانید کد را بخوانید، از رمز عبور یک بار مصرف Yandex.Key استفاده کنید.
• شما می توانید با استفاده از یک رمز عبور یکبار مصرف به برنامه های تلفن همراه Yandex دسترسی پیدا کنید. با فشار طولانی می توانید آن را از Yandex.Key کپی کنید.
• برای سایر برنامه‌های مرتبط با حساب خود (به عنوان مثال، سرویس گیرندگان ایمیل یا جمع‌آوران ایمیل)، گذرواژه‌های برنامه را در پاسپورت خود دریافت کنید.

رمز عبور یکبار مصرف را که بر روی صفحه نمایش گوشی هوشمندتان نمایش داده می شود وارد کنید و روی تنظیمات کامل کلیک کنید.

اکنون پس از وارد کردن رمز یکبار مصرف باید وارد کنید رمز عبور قدیمیاز حساب Yandex باید مطمئن شود که چنین تغییر جدی در تنظیمات امنیتی توسط مالک حساب ایجاد شده است.

رمز عبور قدیمی حساب Yandex خود را وارد کنید و روی OK کلیک کنید.

آماده. احراز هویت دو مرحله ای کامل شده است. شما از حساب خود با رمزهای عبور یکبار مصرف محافظت کرده اید. اکنون باید مجدداً در Yandex در همه دستگاه ها مجوز دهید. به عنوان مثال، اگر از برنامه های ایمیل استفاده می کنید، حتماً رمزهای عبور برنامه را برای آنها دریافت کنید.

روی بستن کلیک کنید.

حالا اگر استفاده کنید توسط صندوق پستیبرای یک حساب Yandex در تلفن هوشمند خود، باید یک رمز عبور برای آن ایجاد کنید.

نوع برنامه > برنامه نامه را انتخاب کنید.

و سیستم عامل خود را انتخاب کنید برنامه پستی. من از آیفون استفاده می کنم، بنابراین iOS را انتخاب می کنم.

و برای ایجاد رمز عبور برای برنامه ایمیل در گوشی هوشمند خود روی ایجاد رمز عبور کلیک کنید.

رمز عبور ایمیل iOS شما ایجاد شده است.

نحوه استفاده از رمز عبور:

• برای دسترسی یک برنامه به داده های خود، این رمز عبور را در تنظیمات آن مشخص کنید.
• نیازی نیست رمز عبور خود را به خاطر بسپارید: فقط یک بار به آن نیاز خواهید داشت. هنگام تغییر رمز عبور خود در Yandex، باید دریافت کنید رمز عبور جدیدبرنامه های کاربردی.
• رمز عبور برنامه فقط یک بار نشان داده می شود. اگر صفحه را می بندید و زمان استفاده از آن را ندارید، فقط یک صفحه جدید تهیه کنید.

رمز عبور نمایش داده شده در مانیتور رایانه شما را در برنامه تلفن همراه ایمیل Yandex در تلفن هوشمند شما وارد می کنیم.

آماده. احراز هویت دو مرحله ای Yandex کار می کند، می توانید زندگی خود را ادامه دهید.

حالا اگر از حساب Yandex خود خارج شوید و دوباره نام کاربری و رمز عبور خود را وارد کنید، برای شما می نویسند:

جفت ورود و رمز عبور نادرست!ورود ناموفق بود. ممکن است طرح صفحه کلید دیگری را انتخاب کرده باشید یا دکمه " را فشار داده باشید. کلید Caps Lock" اگر از احراز هویت دو مرحله‌ای استفاده می‌کنید، مطمئن شوید که رمز عبور یک‌بار مصرف را از برنامه Yandex.Key به جای رمز معمول وارد کنید. دوباره وارد سیستم شوید.

اکنون باید برنامه Yandex.Key را باز کنید، کد پین خود را وارد کرده و دوربین گوشی هوشمند خود را روی کد QR قرار دهید. پس از اینکه گوشی هوشمند کد QR را از صفحه نمایش مانیتور خواند، به طور خودکار وارد حساب Yandex خود می شوید.

پست های دیگر در مورد امنیت و تایید دو مرحله ای: