Možete omogućiti dvofaktorska autentifikacija V . Trebat će vam aplikacija Yandex.Key, koja se može instalirati na mobilni uređaj temeljeno na iOS-u ili Androidu. Uređaj koji ne podržava instalaciju aplikacije (kao što je Amazon Kindle Fire) ne može se koristiti.
Nakon što omogućite dvofaktornu autentifikaciju:
Sve Yandex aplikacije, programi i usluge zahtijevat će točno jednokratna lozinka. Jednokratna lozinka također će biti potrebna prilikom prijave putem društvene mreže i prijave u Vaš poštanski sandučić za domene.
Ne morate unijeti svoju prijavu i lozinku ako se prijavite na Yandex pomoću QR koda.
Za mobilne aplikacije trećih strana, računalni programi a skupljači pošte morat će koristiti pojedinačne lozinke za aplikacije.
Bilješka. Za prijenos računa na drugi pametni telefon ili tablet otvorite stranicu i kliknite gumb Zamjena uređaja.
Postavljanje se odvija u nekoliko koraka. Dvofaktorska autentifikacija je omogućena tek nakon što kliknete gumb Kompletno postavljanje na posljednji korak.
- Korak 2: Izradite PIN
- Korak 3. Postavite Yandex.Key
Korak 1: Potvrdite svoj telefonski broj
Ako imate telefonski broj povezan s vašim računom, preglednik će prikazati taj broj i tražiti od vas da ga potvrdite ili promijenite. Ako vaš trenutni telefonski broj nije povezan s vašim računom, morat ćete ga povezati, inače nećete moći sami vratiti pristup svom računu.
Za povezivanje ili potvrdu broja zatražite kod putem SMS-a i unesite ga u obrazac. Ako je kod ispravno unesen, kliknite gumb Potvrdi za nastavak na sljedeći korak.
Korak 2: Izradite PIN
Stvorite i unesite četveroznamenkasti PIN kod za dvostruku autentifikaciju.
Pažnja. Kao i kod mnogih bankovne kartice, samo vi znate PIN i ne možete ga promijeniti. Ako zaboravite svoj PIN kod, Yandex.Key neće moći generirati ispravnu jednokratnu lozinku, a pristup svom računu moći ćete vratiti samo uz pomoć podrške.
Pritisnite gumb Kreiraj za potvrdu unesenog PIN koda.
Korak 3. Postavite Yandex.Key
Yandex.Key je potreban za generiranje jednokratnih lozinki za vaš račun. Poveznicu na aplikaciju možete dobiti izravno na svoj telefon ili je instalirati iz App Storea ili Google Playa.
Bilješka. Yandex.Key može zatražiti pristup kameri kako bi prepoznao QR kodove prilikom dodavanja računa ili prilikom autorizacije pomoću QR koda.
Pritisnite gumb u Yandex.Keyu Dodajte račun u aplikaciju. Yandex.Key će uključiti kameru za skeniranje QR koda prikazanog u pregledniku.
Ako ne možete pročitati QR kod, kliknite vezu u svom pregledniku Prikaži tajni ključ, a u aplikaciji - poveznica ili ga dodajte ručno. Umjesto QR koda preglednik će prikazati niz znakova koje je potrebno unijeti u aplikaciju.
Nakon što prepozna račun, aplikacija će tražiti PIN kod koji ste izradili u prethodnom koraku postavljanja 2FA.
Korak 4: Provjerite svoj OTP
Kako biste bili sigurni da je sve ispravno konfigurirano, trebate unijeti jednokratnu lozinku u posljednjem koraku - dvofaktorska autentifikacija bit će omogućena tek kada unesete točnu lozinku.
Da biste to učinili, u Yandex.Key morate ispravno unijeti PIN kod koji ste izradili u drugom koraku. Aplikacija će prikazati jednokratnu lozinku. Unesite ga pored gumba Omogući i kliknite ovaj gumb.
Yandex je pokrenuo sustav dvofaktorska autentifikacija i izdali aplikaciju Yandex.Key za prijavu na vaš račun bez potrebe za pamćenjem i unosom složena lozinka. Aplikacija je već dostupna na Androidu i iOS-u, a pristup joj na novom iPhone modeli Može se zaštititi skenerom otiska prsta.
Postoji nekoliko načina da se prijavite na svoj račun putem Yandex.Keya, ali prvo morate otići na stranicu postavki yandex.ru/promo/2fa i omogućiti dvofaktorsku autentifikaciju.
Potvrdite svoj telefonski broj kodom primljenim putem SMS-a.
Instalirajte aplikaciju Yandex.Key na svoj pametni telefon ili tablet.
Pokrenite aplikaciju i skenirajte QR kod na web stranici Yandex. Ako vaš mobilni uređaj nema kameru, kliknite na “Prikaži tajni ključ” i unesite prikazane znakove u aplikaciju.
Izradite PIN kod i unesite ga na web-mjestu ili u aplikaciji.
Unesite jednokratnu lozinku koju generira aplikacija na web stranici. Ova lozinka vrijedi samo 30 sekundi, a zatim se pojavljuje nova. Da biste dovršili postavljanje, morat ćete ponovno unijeti trajnu lozinku računa.
Ove korake potrebno je izvršiti samo jednom. Nakon aktivacije dvofaktorske autentifikacije morat ćete se ponovno autorizirati na Yandexovim web stranicama na svim uređajima. Možete stvoriti zasebne lozinke za pristup aplikacijama.
Sada će se na stranici za prijavu na Yandex račun pojaviti gumb s ikonom QR koda.
Dvofaktorska autentifikacija omogućuje povećana razina sigurnost u usporedbi s tradicionalnom lozinkom. Čak i složena i učinkovita lozinka može biti osjetljiv na viruse, keyloggere i phishing napade.
Možete omogućiti dvofaktornu autentifikaciju na stranici za upravljanje Yandex računom. Da biste postavili pristup pomoću Yandex.Keya, trebat će vam mobilni telefon Android uređaj ili iOS.
Nakon omogućavanja dvofaktorske provjere autentičnosti:
- Umjesto korištenja standardna lozinka Za pristup Yandexovim uslugama i aplikacijama morat ćete unijeti jednokratnu lozinku (na primjer, za prijavu na svoj račun ili promjenu telefonskog broja). Kada koristite QR kod, ne morate unijeti svoju prijavu ili zaporke za prijavu na svoj Yandex račun.
- Za mobilne aplikacije, računalne programe i klijente e-pošte trećih strana morat ćete koristiti zasebne lozinke za aplikacije.
- Stranica za oporavak vašeg Yandex računa bit će promijenjena.
Kako biste omogućili dvofaktorsku autentifikaciju, kliknite vezu "Postavi dvofaktorsku autentifikaciju" na stranici "Osobni podaci" u odjeljku "Upravljanje pristupom" i slijedite nekoliko koraka:
Ako je vaš telefonski broj već povezan s vašim računom, potvrdite ga ili promijenite. Ako telefonski broj nije naveden, morate ga dodati, inače nećete moći vratiti pristup svom računu.
Vezati novi broj ili potvrdite svoj telefonski broj, zatražite kod i zatim ga unesite u odgovarajuće polje. Zatim kliknite gumb "Potvrdi" i prijeđite na sljedeći korak.
2. Izradite PIN.
Izradite 4-znamenkasti PIN i unesite ga za dvofaktorsku autentifikaciju.
Važno: ne smijete dijeliti svoj PIN s drugima. PIN se ne može promijeniti. Ako zaboravite PIN kod, aplikacija Yandex.Key neće moći generirati jednokratnu zaporku; pristup svom računu možete vratiti samo uz pomoć stručnjaka za tehničku podršku.
Nakon unosa PIN koda kliknite gumb "Kreiraj".
Aplikacija Yandex.Key potrebna je za generiranje jednokratnih lozinki za vaš račun. Možete poslati poveznicu za instaliranje aplikacije izravno na zaslonu za postavljanje dvofaktorske provjere autentičnosti ili možete preuzeti aplikaciju iz App Storea ili Google Playa.
Napomena: da bi Yandex.Key radio, možda ćete trebati pristup kameri uređaja za prepoznavanje crtičnih kodova (QR kodova).
U aplikaciji Yandex.Key kliknite gumb "Dodaj račun u aplikaciju". Zatim će se pokrenuti kamera uređaja. Skenirajte crtični kod koji se pojavljuje u vašem pregledniku.
Ako se QR kod ne može prepoznati, kliknite gumb "Prikaži tajni ključ" i kliknite "Dodaj ključ ručno" u aplikaciji. Umjesto QR koda, preglednik će prikazati niz znakova koje je potrebno unijeti u aplikaciju.
Nakon prepoznavanja računa, uređaj će tražiti da unesete PIN kod kreiran u prethodnom koraku.
Kako biste potvrdili da je postavljanje bilo uspješno, unesite jednokratnu lozinku generiranu u prethodnom koraku. Dvofaktorska provjera autentičnosti bit će omogućena samo ako unesete ispravnu lozinku.
Jednostavno unesite PIN kod kreiran u koraku 2 u aplikaciju Yandex.Key. Aplikacija će generirati jednokratnu lozinku. Unesite ga pored gumba "Omogući", a zatim kliknite gumb.
Napomena: morate unijeti OTP prije nego što se promijeni na zaslonu. Ponekad je bolje pričekati da se stvori nova lozinka i unijeti je.
Ako ste unijeli ispravnu lozinku, dvofaktorska provjera autentičnosti bit će omogućena za vaš račun Yandex.Passport.
Kako onemogućiti dvofaktornu autentifikaciju u Yandex
- Idite na karticu "Upravljanje pristupom" na svom računu Yandex.Passport.
- Pomaknite prekidač u položaj "Isključeno".
- Otvorit će se stranica na kojoj trebate unijeti jednokratnu lozinku iz aplikacije Yandex.Key.
- Ako je lozinka ispravno unesena, od korisnika će se tražiti da postavi novu primarnu lozinku za račun.
Napomena: nakon što onemogućite dvofaktornu autentifikaciju, vaše stare lozinke aplikacija više neće funkcionirati. Morat ćete izraditi nove zaporke za aplikacije kako biste vratili funkcionalnost povezanih usluga i aplikacija, npr. mail klijenti.
Korisnik može konfigurirati pristup aplikacija trećih strana Yandex računu pomoću lozinki aplikacije. Imajte na umu da svaki zasebna lozinka aplikacija omogućuje pristup određenoj usluzi. Na primjer, lozinka stvorena za klijent e-pošte neće dopustiti pristup pohrana u oblaku Yandex.Disk.
Lozinke za aplikacije možete stvoriti na kartici "Upravljanje pristupom" na upravljačkoj ploči računa Yandex.Passport. Pomaknite prekidač "App Passwords" u položaj "On". Ako je omogućena dvofaktorska provjera autentičnosti, lozinke aplikacije bit će nametnute i ne mogu se onemogućiti.
Morat ćete stvoriti zasebnu lozinku aplikacije za svaku program treće strane, koji traži Yandex lozinku, uključujući:
- Mail klijenti ( Mozilla Thunderbird, Microsoft Outlook, Šišmiš! i tako dalje.)
- WebDAV klijenti za Yandex.Disk
- CalDAV klijenti za Yandex.Calendar
- Jabber klijenti
- Aplikacije za uvoz iz drugih usluga e-pošte
Za izradu lozinke aplikacije:
- Idite na karticu "Upravljanje pristupom" na upravljačkoj ploči računa Yandex.Passport.
- Omogućite opciju "App Passwords" ako je onemogućena (prekidač se neće pojaviti ako niste omogućili dvofaktorsku autentifikaciju).
- Kliknite "Dohvati lozinku aplikacije"
- Odaberite uslugu Yandex kojoj želite pristupiti u aplikaciji i operacijski sustav.
- Unesite naziv aplikacije za koju kreirate lozinku i kliknite na "Dodaj".
- Lozinka će biti prikazana na sljedećoj kartici. Pritisnite "Gotovo".
Napomena: generiranu lozinku možete vidjeti samo jednom. Ako ste unijeli pogrešnu lozinku i već ste zatvorili prozor, izbrišite trenutnu lozinku i kreirajte novu.
Bio je to rijedak post na blogu Yandex, posebno onaj vezan uz sigurnost, a da se ne spominje dvofaktorska autentifikacija. Dugo smo razmišljali kako pravilno ojačati zaštitu korisnički računi, i to tako da se može koristiti bez svih neugodnosti koje danas uključuju najčešće implementacije. A oni su, nažalost, nezgodni. Prema nekim podacima, na mnogim velikim stranicama udio korisnika koji su uključili dodatna sredstva autentifikacije, ne prelazi 0,1%.
Čini se da je to zato što je uobičajena dvofaktorska shema autentifikacije previše složena i nezgodna. Pokušali smo smisliti način koji bi bio praktičniji bez gubitka razine zaštite, a danas predstavljamo njegovu beta verziju.
Nadamo se da će postati rašireniji. Mi smo sa svoje strane spremni raditi na njegovom poboljšanju i naknadnoj standardizaciji.
Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. U obrascu ovlaštenja za početna stranica Yandex, QR kodovi pojavili su se u pošti i putovnici. Za prijavu račun morate pročitati QR kod kroz aplikaciju - i to je to. Ako se QR kod ne može očitati, primjerice, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će izraditi jednokratnu lozinku koja će vrijediti samo 30 sekundi.
Reći ću vam zašto smo odlučili ne koristiti takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcioniraju uobičajene sheme dvofaktorske provjere autentičnosti? Dvostupanjski su. Prva faza je normalna autentifikacija s prijavom i lozinkom. Ako je uspješna, stranica provjerava sviđa li joj se ova korisnička sesija ili ne. A ako vam se ne sviđa, od korisnika se traži "ponovna autentifikacija". Postoje dvije uobičajene metode "prethodne provjere autentičnosti": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu zaporku, sesija se smatra potpuno autentificiranom, a ako nije, tada sesija gubi i "pre-autentifikaciju".
U oba smjera ─ slanje SMS-a i generiranje zaporke ─ dokaz vlasništva nad telefonom i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Stoga ova shema provjere autentičnosti nije samo dvostupanjska, već i dvostruka.
Što nam se činilo problematičnim u ovoj shemi?
Počnimo s činjenicom da se računalo prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: ovdje je isključivanje Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa i softver sumnjivog podrijetla ─ sve to ne povećava razinu zaštite. Prema našoj procjeni, najviše je ugroženo računalo korisnika masovna metoda“otimanja” računa (a nedavno je bila još jedna potvrda za to), prije svega se želim zaštititi od toga. Kada autentifikacija u dva koraka, ako pretpostavimo da je korisnikovo računalo ugroženo, unos lozinke na njemu kompromitira samu lozinku, što je prvi faktor. To znači da napadač treba odabrati samo drugi faktor. U slučaju uobičajenih implementacija RFC-a 6238, drugi faktor je 6 decimalnih znamenki (a maksimalno dopušteno specifikacijom je 8 znamenki). Prema bruteforce kalkulatoru za OTP, u tri dana napadač je u stanju pronaći drugi faktor ako je na neki način postao svjestan prvog. Nije jasno koja se usluga može suprotstaviti ovom napadu bez sloma normalan rad korisnik. Jedini mogući dokaz rada je captcha, koja je, po našem mišljenju, zadnja opcija.Drugi problem je neprozirnost prosudbe servisa o kvaliteti korisničke sesije i donošenje odluke o potrebi "pre-autentikacije". Još gore, usluga nije zainteresirana da ovaj proces bude transparentan, jer sigurnost putem nejasnoće zapravo funkcionira ovdje. Ako napadač zna na temelju čega servis donosi odluku o legitimnosti sesije, može pokušati krivotvoriti te podatke. Iz općih razmatranja možemo zaključiti da se prosudba donosi na temelju povijesti autentifikacije korisnika, uzimajući u obzir IP adresu (i njezine izvedene brojeve autonomni sustav, identifikaciju pružatelja usluga i lokaciju na temelju geobaze) i podataka preglednika kao što je zaglavlje Korisnički agent i skup kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontrolira računalo korisnika, on ne samo da može ukrasti sve potrebne podatke, već i koristiti IP adresu žrtve. Štoviše, ako je odluka donesena na temelju ASN-a, tada svaka autentifikacija iz javni Wi-Fi u kafiću može dovesti do “trovanja” sa sigurnosnog aspekta (i bijeljenja sa stajališta usluge) ponuđača ovog kafića i npr. krečenja svih kafića u gradu. Razgovarali smo o tome kako sustav za otkrivanje anomalija funkcionira i mogao bi se koristiti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za pouzdanu prosudbu anomalije. Štoviše, isti argument uništava ideju "pouzdanih" računala: napadač može ukrasti bilo koju informaciju koja utječe na procjenu povjerenja.
Konačno, provjera autentičnosti u dva koraka jednostavno je nezgodna: naše istraživanje upotrebljivosti pokazuje da ništa ne iritira korisnike više od posredničkog zaslona, dodatnih klikova na gumbe i drugih "nevažnih" radnji s njihove točke gledišta.
Na temelju toga odlučili smo da autentifikacija treba biti u jednom koraku i da prostor za lozinku treba biti puno veći nego što je moguće u okviru "čistog" RFC-a 6238.
U isto vrijeme, željeli smo očuvati dvofaktornu autentifikaciju što je više moguće.
Višefaktorska provjera autentičnosti definirana je dodjeljivanjem elemenata provjere autentičnosti (zapravo, oni se nazivaju faktori) jednoj od tri kategorije:
- Faktori znanja (to su tradicionalne lozinke, PIN kodovi i sve što im sliči);
- Faktori vlasništva (u OTP shemama koje se koriste, to je obično pametni telefon, ali može biti i hardverski token);
- Biometrijski čimbenici (sada je najčešći otisak prsta, iako će se netko sjetiti epizode s likom Wesleya Snipesa u filmu Demolition Man).
Razvoj našeg sustava
Kada smo počeli raditi na problemu dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012., ali se o tome raspravljalo iza kulisa i ranije), prva ideja je bila da standardne metode autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo računati da će milijuni naših korisnika kupiti hardverski token, pa smo ovu opciju odgodili za neke egzotične slučajeve (iako je ne napuštamo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). SMS metoda također nije mogla biti široko rasprostranjena: to je vrlo nepouzdan način isporuke (u najvažnijem trenutku SMS može kasniti ili uopće ne stići), a Slanje SMS-a košta (i operateri su počeli povećavati njihove cijene). To smo odlučili koristeći SMS─ je sudbina banaka i drugih niskotehnoloških tvrtki, ali naši korisnici žele ponuditi nešto praktičnije. Općenito, izbor je bio mali: upotrijebite pametni telefon i program u njemu kao drugi faktor.Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti PIN kod (prvi faktor) i ima hardverski ili softverski (u pametnom telefonu) token koji generira OTP (drugi faktor). U polje za unos lozinke upisuje PIN kod i trenutnu OTP vrijednost.
Po našem mišljenju, glavni nedostatak Ova je shema ista kao kod autentifikacije u dva koraka: ako pretpostavimo da je korisnikova radna površina ugrožena, tada će unošenje PIN koda jednom dovesti do njegovog otkrivanja, a napadač može odabrati samo drugi faktor.
Odlučili smo ići drugim putem: cijela se lozinka generira iz tajne, ali samo dio tajne je pohranjen u pametnom telefonu, a dio unosi korisnik svaki put kada se lozinka generira. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.
Nonce može biti brojač ili Trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućuje da se ne bojimo desinkronizacije u slučaju da netko generira previše lozinki i poveća brojač.
Dakle, imamo program za pametni telefon gdje korisnik unosi svoj dio tajne, on se miješa sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, kojim se potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je smanjen na čitljiv oblik, i evo ─ ovo je jednokratna lozinka!
Kao što je ranije navedeno, RFC 4226 navodi da se HMAC rezultat skraćuje na najviše 8 decimalnih znamenki. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. Istovremeno, željeli smo zadržati jednostavnost korištenja (uostalom, podsjetimo, želimo napraviti sustav koji će koristiti obični ljudi, a ne samo sigurnosni geekovi), pa kao kompromis u Trenutna verzija sustavu koji smo odlučili skratiti na 8 znakova latinica. Čini se da je 26^8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojavljuju vrijedni savjeti o tome kako poboljšati ovu shemu), proširit ćemo se, na primjer, na 10 znakova.
Saznajte više o snazi takvih zaporki
Zapravo, za latinična slova neosjetljivo na velika i mala slova, broj opcija po znaku je 26, za velika i mala latinična slova plus brojke, broj opcija je 26+26+10=62. Tada je log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je gotovo jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo će svakako biti dovoljno za 30 sekundi. Ako govorimo o lozinci od 8 znakova sastavljenoj od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je to još uvijek prihvatljivo za prozor od 30 sekundi.Magija, bez lozinke, aplikacije i sljedeći koraci
Općenito, tu smo mogli stati, ali htjeli smo sustav učiniti još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi unijeti lozinku s tipkovnice!
Zato smo počeli raditi na “magičnoj prijavi”. Ovom metodom autentifikacije korisnik pokreće aplikaciju na svom pametnom telefonu, upisuje svoj PIN kod i skenira QR kod na ekranu svog računala. Ako je PIN kod ispravno unesen, stranica u pregledniku se ponovno učitava i korisnik se autentificira. Magija!
Kako radi?
QR kod sadrži broj sesije, a kada ga aplikacija skenira, taj se broj prenosi na poslužitelj zajedno s generiranim na uobičajeni način lozinku i korisničko ime. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući odgovor poslužitelja za provjeru lozinke za ovu sesiju. Ako poslužitelj odgovori da je lozinka točna, kolačići sesije postavljaju se zajedno s odgovorom i korisnik se smatra autentificiranim.Išlo je na bolje, ali odlučili smo da ni ovdje ne stanemo. Od iPhone 5S u telefonima i Apple tablete pojavio se TouchID skener otiska prsta, a in iOS verzije 8 rad s njim je dostupan i aplikacije trećih strana. U stvarnosti aplikacija ne dobiva pristup otisku prsta, ali ako je otisak ispravan, aplikaciji postaje dostupan dodatni odjeljak Keychain. Iskoristili smo ovo. Drugi dio tajne nalazi se u zapisu Keychaina zaštićenom TouchID-om, onom koji je korisnik unio s tipkovnice u prethodnom scenariju. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kao što je gore opisano.
Ali postalo je nevjerojatno zgodno za korisnika: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i nalazi se autentificiranim u pregledniku na svom računalu! Stoga smo čimbenik znanja zamijenili biometrijskim i, s korisnikove točke gledišta, potpuno odustali od lozinki. Sigurni smo da obični ljudi takva će se shema činiti mnogo prikladnijom od ručni unos dvije lozinke.
Diskutabilno je koliko je to tehnički dvofaktorska autentifikacija, ali u stvarnosti ipak trebate imati telefon i točan otisak prsta da biste je uspješno dovršili, tako da vjerujemo da smo prilično uspješno eliminirali faktor znanja, zamijenivši ga biometrijom . Razumijemo da se oslanjamo na sigurnost ARM TrustZone koja pokreće iOS Secure Enclave i vjerujemo da trenutno ovaj se podsustav može smatrati pouzdanim unutar našeg modela prijetnji. Naravno da znamo probleme biometrijska autentifikacija: Otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. No, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna praktičnosti, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.
Dopustite mi da vas podsjetim da je ovo još uvijek beta. Sada, kada je omogućena dvofaktorska provjera autentičnosti, privremeno onemogućujemo sinkronizaciju lozinke u pregledniku Yandex. To je zbog načina na koji je baza podataka šifrirana. Već izmišljamo prikladan način Autentifikacija preglednika u slučaju 2FA. Sve ostale funkcije Yandexa rade kao i prije.
Ovo je ono što imamo. Čini se da je ispalo dobro, ali vi prosudite. Bit će nam drago čuti vaše povratne informacije i preporuke, a nastavit ćemo raditi na poboljšanju sigurnosti naših usluga: sada uz CSP, enkripciju transporta pošte i sve ostalo, sada imamo i dvofaktorsku autentifikaciju. Ne zaboravite da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga se plaća dvostruki bonus za pogreške pronađene u njima kao dio Bug Bounty programa.
Oznake: Dodajte oznake
Pokazat ću vam kako postaviti dvofaktorsku autentifikaciju u Yandexu, to će vam pomoći da zaštitite svoj Yandex račun od hakiranja.
Idite na upravljanje lozinkama na passport.yandex.ru/profile/access. Ovdje možete promijeniti lozinku ili omogućiti dodatnu zaštitu za vaš račun - autentifikacija u dva faktora. Kliknite na klizač Dvofaktorska provjera autentičnosti da biste je omogućili.
Omogućivanje dvofaktorske autentifikacije odvija se u nekoliko koraka. Morat ćete istovremeno otvoriti Yandex.Passport i mobilna aplikacija Yandex.Key. Nakon dovršetka postavljanja morate se ponovno prijaviti na svim uređajima.
Kliknite na početak postavljanja.
Ovdje je vaš telefonski broj na koji će biti poslani kodovi za postavljanje. Ovdje možete promijeniti telefonski broj povezan s vašim Yandex računom.
Postavljanje dvofaktorske autentifikacije. Korak 1 od 5.
Potvrdite svoj broj telefona. Ovo je vaš glavni broj na Yandexu. Trebat će vam ako izgubite pristup svom računu. Kliknite dohvati kod.
SMS kod od Yandexa bit će poslan na vaš broj.
Ovdje unesite SMS kod od Yandexa i kliknite potvrdi.
Postavljanje dvofaktorske autentifikacije. Korak 2 od 5.
Preuzmite aplikaciju Yandex.Key. Sada idite u AppStore na svom iPhoneu ili iPadu ili Trgovina igračaka na Android pametni telefon ili tablet i potražite aplikaciju Yandex.Key. Ili kliknite da biste primili vezu na svoj telefon.
Otvorit će se Trgovina aplikacijama ili Play tržište Kliknite preuzimanje kako biste preuzeli aplikaciju Yandex.Key i instalirali je na svoj pametni telefon ili tablet.
Ako trebate unijeti lozinku za Apple ID, unesite lozinku za Apple ID.
Nakon 30 sekundi aplikacija će se preuzeti na vaš pametni telefon, pokrenite je klikom na nju.
Postavljanje dvofaktorske autentifikacije. Korak 3 od 5.
Usmjerite kameru svog telefona prema QR kodu i vaš će račun automatski biti dodan u aplikaciju. Ako kod ne uspije pročitati, pokušajte ponovno ili unesite tajni ključ.
Prijeđimo ponovno na pametni telefon.
Aplikacija Yandex.Key stvara jednokratne lozinke za prijavu na Yandex. Ako ste već započeli s postavljanjem dvofaktorske provjere autentičnosti na računalu, kliknite gumb "dodaj račun u aplikaciju".
Pritisnite dodaj račun u aplikaciju.
Program "Ključ" traži pristup "kameri". Kliknite Dopusti kako biste aplikaciji omogućili pristup kameri na vašem pametnom telefonu za skeniranje QR koda sa zaslona monitora računala.
Usmjerite kameru prema QR kodu koji je prikazan na monitoru vašeg računala i pričekajte da se račun doda ili ga dodajte ručno.
Spreman. QR kod je skeniran. Aplikacija Yandex.Key je spremna za korištenje.
Sada prijeđimo na monitor računala.
Kliknite stvoriti pin kod.
PIN kod je potreban svaki put kada primite jednokratnu lozinku u Yandex.Key, kao i za vraćanje pristupa vašem računu. Čuvajte svoj PIN u tajnosti. Zaposlenici usluge Yandex nikada ga ne pitaju.
Dobivamo četveroznamenkasti PIN kod i kliknemo Nastavi.
Postavljanje dvofaktorske autentifikacije. Korak 4 od 5.
Provjera vašeg PIN koda. Obavezno zapamtite svoj PIN kod. Nakon što je postavka završena, ne može se promijeniti. Ako u aplikaciju unesete pogrešan PIN kod, ona će generirati netočne jednokratne lozinke.
Unesite PIN kod koji ste prethodno izradili i kliknite Provjeri.
Vratimo se pametnom telefonu i aplikaciji Yandex.Key. Unesite svoj PIN kod kako biste primili jednokratnu lozinku.
Nakon unosa PIN koda, dobit ćete jednokratnu lozinku koja će vrijediti 20 sekundi, a tijekom tih 20 sekundi potrebno ju je unijeti na računalu pri postavljanju dvofaktorske autentifikacije. Ako nemate vremena unijeti lozinku u roku od 20 sekundi, ona će se promijeniti u drugu i tako dalje. Unesite lozinku koja će se prikazati na ekranu vašeg pametnog telefona.
Posljednji korak. Unesite lozinku iz Yandex.Key.
Koristeći PIN kod, u aplikaciji ćete dobiti jednokratnu lozinku. Obavezno zapamtite PIN kod; nakon što je postavljanje završeno, nećete ga moći promijeniti.
Što će se promijeniti nakon omogućavanja dvofaktorske autentifikacije:
- Stara lozinka više neće raditi.
- Morat ćete se ponovno autorizirati na Yandexu na svim uređajima (web servisi i mobilne aplikacije).
- Web uslugama Yandexa bit će moguće pristupiti pomoću QR koda bez unosa lozinke. Ako ne možete pročitati kod, upotrijebite jednokratnu lozinku s Yandex.Keya.
- Moći ćete pristupiti Yandex mobilnim aplikacijama pomoću jednokratne lozinke. Možete ga kopirati iz Yandex.Key dugim pritiskom.
- Za druge programe povezane s vašim računom (na primjer, klijenti e-pošte ili sakupljači pošte), nabavite lozinke za aplikacije u svojoj putovnici.
Unesite jednokratnu lozinku koja je prikazana na zaslonu vašeg pametnog telefona i kliknite dovrši postavljanje.
Sada nakon unosa jednokratne lozinke koju trebate unijeti stara lozinka s računa. Yandex se mora pobrinuti da takvu ozbiljnu promjenu sigurnosnih postavki izvrši vlasnik računa.
Unesite staru lozinku za svoj Yandex račun i kliknite OK.
Spreman. Dvofaktorska autentifikacija je završena. Zaštitili ste svoj račun jednokratnim lozinkama. Sada se morate ponovno autorizirati na Yandexu na svim uređajima. Ako, na primjer, koristite programe za e-poštu, svakako nabavite lozinke za aplikacije za njih.
Pritisnite Zatvori.
Sada ako koristite poštanskim sandučićem Za Yandex račun na svom pametnom telefonu morate stvoriti lozinku za njega.
Odaberite vrstu aplikacije > Program za poštu.
I odaberite svoj operativni sustav program za poštu. Koristim iPhone, pa sam odabrao iOS.
I kliknite stvoriti lozinku za stvaranje lozinke za program e-pošte na vašem pametnom telefonu.
Vaša lozinka e-pošte za iOS je generirana.
Kako koristiti lozinku:
- Kako biste aplikaciji omogućili pristup vašim podacima, navedite ovu lozinku u njezinim postavkama.
- Nema potrebe da pamtite svoju lozinku: trebat će vam samo jednom. Kada mijenjate lozinku na Yandexu, morat ćete primiti Nova lozinka aplikacije.
- Lozinka aplikacije prikazuje se samo jednom. Ako zatvorite stranicu i nemate vremena koristiti je, samo nabavite novu.
Lozinku koja se prikazuje na monitoru vašeg računala unosimo u mobilnu aplikaciju Yandex mail na vašem pametnom telefonu.
Spreman. Yandex dvofaktorska autentifikacija radi, možete nastaviti sa svojim životom.
Sada, ako se odjavite sa svog Yandex računa i ponovo unesete svoje korisničko ime i lozinku, oni će vam napisati:
Netočan par login-password! Prijava nije uspjela. Možda ste odabrali drugačiji raspored tipkovnice ili pritisnuli " Caps Lock" Ako koristite dvofaktorsku autentifikaciju, svakako unesite jednokratnu lozinku iz aplikacije Yandex.Key umjesto uobičajene. Pokušajte se ponovno prijaviti.
Sada trebate otvoriti aplikaciju Yandex.Key, unijeti svoj PIN i usmjeriti kameru pametnog telefona prema QR kodu. Automatski ćete se prijaviti na svoj Yandex račun nakon što pametni telefon pročita QR kod sa zaslona monitora.
Ostale objave o sigurnosti i potvrdi u dva koraka:
