Ako je na vašem računu omogućena potvrda u dva koraka, profil možete koristiti samo na pouzdanim uređajima. Ako pokušate unijeti svoj Apple ID na novom gadgetu, morat ćete unijeti lozinku i 16-znamenkasti kod koji će se prikazati na pouzdanom uređaju.
Bilješka! Nakon prijave, novi uređaj će automatski postati potvrđen.
Važne točke koje treba zapamtiti:
- Svakako zapamtite podatke o svom računu.
Važno! Da biste ga vratili, trebate kontaktirati Apple i dokazati legitimnu kupnju uređaja od službenih predstavnika tvrtke.
- Osigurajte (fizičku) sigurnost pouzdanih uređaja.
- Koristite lozinke za zaključavanje na svim gadgetima.
Omogućavanje dvofaktorske provjere autentičnosti
Funkcija se može aktivirati putem postavki sustava pametnog telefona.
Bilješka! Na primjer, koristio sam iPhone s iOS-om 11. Ako imate verziju 10.2 ili stariju, tada se postavka vrši putem iCloud stavke.
Onemogući funkciju
Potvrda u dva koraka onemogućena je putem preglednika.
Bilješka! Odgovori na sigurnosna pitanja mogu biti potrebni za provjeru vašeg identiteta.
zaključke
Dvostruka provjera omogućuje vam da zaštitite svoj uređaj od hakiranja od strane hakera. Kada koristite funkciju, ne zaboravite na neka sigurnosna pravila. Konfiguriranje ili onemogućavanje provjere autentičnosti ne oduzima puno vremena.
Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.
- Prijavite se s QR kodom
- Prijenos Yandex.Key
- Glavna lozinka
Prijavite se na uslugu ili aplikaciju Yandex
Jednokratnu lozinku možete unijeti u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.
Bilješka.
Jednokratnu lozinku morate unijeti na vrijeme dok je prikazana u aplikaciji. Ako je ostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.
Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite pin kod koji ste postavili prilikom postavljanja dvofaktorske provjere autentičnosti. Aplikacija će početi generirati lozinke svakih 30 sekundi.
Yandex.Key ne provjerava PIN kod koji ste unijeli i generira jednokratne lozinke, čak i ako ste upisali netočan PIN kod. U tom slučaju, stvorene lozinke također se pokazuju netočnima i nećete se moći s njima prijaviti. Da biste unijeli ispravan PIN kod, trebate samo izaći iz aplikacije i ponovno je pokrenuti.
Značajke jednokratnih lozinki:
Prijavite se s QR kodom
Neke usluge (na primjer, početna stranica Yandexa, putovnica i pošta) omogućuju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere na QR kod. U tom slučaju vaš mobilni uređaj mora biti povezan s internetom kako bi Yandex.Key mogao kontaktirati poslužitelj za autorizaciju.
Kliknite na ikonu QR koda u vašem pregledniku.
Ako u obrascu za prijavu nema takve ikone, tada se ova usluga može autorizirati samo lozinkom. U tom slučaju se možete prijaviti pomoću QR koda u putovnici, a zatim otići na željenu uslugu.
Unesite PIN kod u Yandex.Key i kliknite Prijavi se s QR kodom.
Usmjerite kameru svog uređaja prema QR kodu prikazanom u pregledniku.
Yandex.Key prepoznaje QR kod i šalje vaše korisničko ime i jednokratnu lozinku u Yandex.Passport. Ako prođu test, automatski ćete biti prijavljeni u svoj preglednik. Ako se ispostavi da je prenesena lozinka netočna (na primjer, zbog činjenice da ste pogrešno unijeli PIN kod u Yandex.Key), preglednik će prikazati standardnu poruku o netočnoj lozinki.
Prijavite se s Yandex računom na aplikaciju ili web stranicu treće strane
Aplikacije ili web-mjesta kojima je potreban pristup vašim podacima na Yandexu ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima jednokratne lozinke neće funkcionirati – za svaku takvu aplikaciju morate izraditi zasebnu lozinku za aplikaciju.
Pažnja. U aplikacijama i uslugama Yandexa rade samo jednokratne lozinke. Čak i ako izradite lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.
Prijenos Yandex.Key
Možete prenijeti generiranje jednokratnih lozinki na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja u isto vrijeme. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite Zamjena uređaja.
Nekoliko računa u Yandex.Key
Isti Yandex.Key može se koristiti za više računa s jednokratnim lozinkama. Za dodavanje drugog računa u aplikaciju, prilikom postavljanja jednokratnih lozinki u koraku 3, kliknite ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu dvofaktorsku provjeru autentičnosti. Upute za najpopularnije usluge dane su na stranici o stvaranju verifikacijskih kodova ne za Yandex.
Da biste uklonili vezanje računa za Yandex.Key, pritisnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križ. Kada kliknete na križić, veza vašeg računa s Yandex.Key će biti uklonjena.
Pažnja. Ako izbrišete račun za koji su omogućene jednokratne lozinke, nećete moći primiti jednokratnu lozinku za prijavu na Yandex. U tom slučaju bit će potrebno vratiti pristup.
Otisak prsta umjesto PIN koda
Možete koristiti svoj otisak prsta umjesto PIN koda na sljedećim uređajima:
pametni telefoni koji koriste Android 6.0 i skener otiska prsta;
iPhone od 5s;
iPad iz Air 2.
Bilješka.
Na pametnim telefonima i tabletima s iOS-om, otisak prsta se može zaobići unosom lozinke uređaja. Da biste se zaštitili od toga, uključite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID & Password.
Za korištenje omogućite provjeru otiskom prsta:
Glavna lozinka
Kako biste dodatno zaštitili svoje jednokratne lozinke, stvorite glavnu lozinku: → Glavna lozinka.
Uz glavnu lozinku možete:
omogućiti unos samo glavne lozinke Yandex.Key umjesto otiska prsta, a ne koda za zaključavanje uređaja;
Sigurnosna kopija podataka Yandex.Key
Možete stvoriti sigurnosnu kopiju podataka ključa na Yandex poslužitelju kako biste je mogli vratiti ako ste izgubili telefon ili tablet s aplikacijom. Podaci svih računa dodanih ključu u trenutku izrade kopije kopiraju se na poslužitelj. Ne možete stvoriti više od jedne sigurnosne kopije, svaka sljedeća kopija podataka za određeni telefonski broj zamjenjuje prethodnu.
Da biste dobili podatke iz sigurnosne kopije, trebate:
imati pristup telefonskom broju koji ste naveli prilikom izrade;
zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.
Pažnja. Sigurnosna kopija sadrži samo prijave i tajne potrebne za generiranje jednokratnih lozinki. Morate zapamtiti PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu.
Još nije moguće izbrisati sigurnosnu kopiju s Yandex poslužitelja. Automatski će se ukloniti ako ga ne iskoristite u roku od godinu dana nakon izrade.
Izrada sigurnosne kopije
Odaberite stavku Napravite sigurnosnu kopiju u postavkama aplikacije.
Unesite telefonski broj na koji će sigurnosna kopija biti povezana (na primjer, "380123456789") i kliknite Dalje.
Yandex će poslati kod za potvrdu na uneseni telefonski broj. Nakon što primite kod, unesite ga u aplikaciju.
Napravite lozinku za šifriranje sigurnosne kopije vaših podataka. Ovu lozinku nije moguće vratiti, stoga je nemojte zaboraviti ili izgubiti.
Unesite lozinku dvaput i kliknite Završi. Yandex.Key će šifrirati sigurnosnu kopiju, poslati je Yandex poslužitelju i obavijestiti o tome.
Vraćanje iz sigurnosne kopije
Odaberite stavku Vrati iz sigurnosne kopije u postavkama aplikacije.
Unesite telefonski broj koji ste koristili prilikom izrade sigurnosne kopije (na primjer, "380123456789") i kliknite Dalje.
Ako se za navedeni broj pronađe sigurnosna kopija podataka ključa, Yandex će na ovaj telefonski broj poslati kod za potvrdu. Nakon što primite kod, unesite ga u aplikaciju.
Provjerite odgovaraju li datum i vrijeme izrade sigurnosne kopije, kao i naziv uređaja sa sigurnosnom kopijom koju želite koristiti. Zatim kliknite gumb Vrati.
Unesite lozinku koju ste postavili prilikom izrade sigurnosne kopije. Ako ga se ne sjećate, nažalost, bit će nemoguće dešifrirati sigurnosnu kopiju.
Yandex.Key će dešifrirati podatke sigurnosne kopije i obavijestiti vas da su podaci vraćeni.
Kako jednokratne lozinke ovise o točnom vremenu
Prilikom generiranja jednokratnih lozinki, Yandex.Key uzima u obzir trenutno vrijeme i vremensku zonu postavljenu na uređaju. Kada je internetska veza dostupna, ključ također traži točno vrijeme od poslužitelja: ako je vrijeme na uređaju pogrešno postavljeno, aplikacija će ga ispraviti. Ali u nekim situacijama, čak i nakon izmjene i s ispravnim PIN kodom, jednokratna lozinka bit će netočna.
Ako ste sigurni da ispravno unosite PIN i lozinku, ali se ne možete prijaviti:
Provjerite je li vaš uređaj postavljen na točno vrijeme i vremensku zonu. Nakon toga pokušajte se prijaviti s novom jednokratnom lozinkom.
Povežite uređaj s internetom kako bi Yandex.Key mogao sam dobiti točno vrijeme. Zatim ponovno pokrenite aplikaciju i pokušajte unijeti novu jednokratnu lozinku.
Ako se problem nastavi, obratite se podršci putem obrasca u nastavku.
Dajte povratne informacije o dvofaktorskoj autentifikaciji
Na ovoj stranici pronaći ćete informacije o tome kako onemogućiti ili omogućiti dvofaktornu autentifikaciju na iPhoneu, koja pruža visoku zaštitu osobnih podataka na telefonu. Ako vas nerviraju stalne obavijesti o dvofaktorskoj autentifikaciji na iphoneu i želite onemogućiti ovu značajku, ali se ne sjećate gdje je isključiti u postavkama, onda će ovaj članak također biti relevantan za vas.
Da vidimo što je dvofaktorska autentifikacija na iPhoneu i čemu služi. Dvofaktorska autentifikacija maksimalna je razina sigurnosti za Apple ID i jamči vlasniku pametnog telefona da samo vlasnik može dobiti pristup računu na iPhoneu, čak i ako je lozinka na neki način postala poznata nekom drugom. Kada uključite dvofaktornu autentifikaciju, vašem se računu može pristupiti samo s pouzdanog iPhonea, iPada, Maca, iPod toucha s iOS-om 9 i novijim ili Mac-a s OS X El Capitan i novijim. Kada se prvi put prijavite s novog uređaja, morat ćete unijeti lozinku i šesteroznamenkasti kontrolni kod; nakon ispravnog unosa koda uređaj se smatra pouzdanim. Na primjer, vlasnik ste iPhonea i trebate se prvi put prijaviti na svoj račun na novom Mac računalu, od vas će se tražiti da unesete svoju lozinku i kontrolni kod, koji će se odmah prikazati na ekranu vašeg iPhone.
Pogledajmo gdje se u postavkama iPhonea, iPada ili iPod toucha ova zaštitna funkcija uključuje i isključuje.
Na uređaju s iOS 10.3 ili novijim.
"Postavke"> [vaše ime]>
Na uređaju s iOS 10.2 ili starijim.
Postavke> iCloud. Idite na Apple ID> Lozinka i sigurnost, kliknite Uključi dvofaktornu provjeru autentičnosti i Nastavi.
Za potvrdu pouzdanog telefonskog broja na koji želimo primati verifikacijske kodove, naznačujemo telefonski broj nakon kojeg se na navedeni broj šalje kontrolni kod. unesite kontrolni kod koji ste primili na navedeni broj kako biste omogućili dvofaktorsku provjeru autentičnosti.
Na Macu s OS X El Capitan ili novijim, slijedite korake u nastavku kako biste omogućili dvofaktorsku autentifikaciju.
otvorite Appleov izbornik> "System Preferences"> iCloud> i "Račun", kliknite na ikonu "Sigurnost" i "Uključi dvofaktornu autentifikaciju."
Što ako sam zaboravio svoju dvofaktorsku lozinku za autentifikaciju? Možete pokušati poništiti zaporku ili promijeniti lozinku s pouzdanog uređaja na sljedeći način.
Na vašem iPhoneu, iPadu ili iPod touchu idite na Postavke> [vaše ime]. Ako uređaj koristi iOS 10.2 ili stariji, zatim "Postavke"> iCloud> i vaš Apple ID, zatim "Lozinka i sigurnost", zatim "Promijeni lozinku" i zatim unesite novu lozinku. Na Mac računalu poništite ili promijenite lozinku za provjeru autentičnosti s dva faktora.
Otvorite izbornik> sljedeće "System Preferences" zatim iCloud i odaberite stavku "Račun. Ako trebate unijeti lozinku za Apple ID, zatim odaberite" Zaboravili ste svoj Apple ID ili lozinku? "A zatim slijedite upute na zaslonu. Možete preskočite sljedeće korake. Zatim odaberite Sigurnost> i Reset Password, ali prije nego što možete poništiti lozinku za Apple ID, morate unijeti lozinku koju obično koristite za otključavanje Maca.
Članak je poslao A. Chernov Status provjere i plaćanja za članak: Provjereno i plaćeno.
- Nadamo se da su informacije o autentifikaciji s dva faktora na iPhoneu bile korisne.
- Voljeli bismo čuti od vas ako dodate povratne informacije ili korisne savjete o temi stranice.
- Možda će vam vaša povratna informacija ili savjet biti najkorisniji.
- Hvala na odazivu, međusobnoj pomoći i korisnim savjetima!
Pozdrav dragi prijatelji. Danas ću vam reći kako postaviti dvofaktornu autentifikaciju za Yandex račun i postaviti lozinku na Yandex.Disk. To će zaštititi glavni račun i poboljšati sigurnost pojedinačnih Yandex aplikacija.
Zaštita osobnih podataka najveći je problem na internetu. Korisnici često zanemaruju sigurnosna pravila. Izrađuju jednostavne i identične lozinke za različite internetske resurse, pohranjuju ih u e-mail pretince, lozinke iz kojih se koriste i na drugim resursima. Ovo su samo neke od uobičajenih pogrešaka.
Ako napadač dobije pristup jednom od računa, drugi resursi korisnika bit će ugroženi. A ako uzmemo u obzir činjenicu da virusi mogu zapamtiti unos lozinki s tipkovnice, onda će se situacija činiti još tužnijom. Zato se svaki korisnik interneta mora pridržavati osnovnih sigurnosnih pravila:
- Napravite složene lozinke.
- Nemojte koristiti iste lozinke za različite internetske resurse.
- Redovito mijenjajte lozinke.
I također koristite dodatne metode zaštite. Jedna od tih metoda je dvofaktorska autentifikacija Yandexa.
Kako funkcionira dvofaktorska autentifikacija?
Kao što znate, za pristup ograničenom području kao što je e-pošta, administrativna ploča stranice, računi društvenih medija, potrebna vam je prijava i lozinka. No, ovo je samo jedna razina zaštite. Kako bi pojačali zaštitu, mnoge usluge uvode dodatne metode provjere autentičnosti, poput sms potvrde, usb ključeva, mobilnih aplikacija.
Već sam vam rekao o. Gdje, osim prijave i lozinke, mobilna aplikacija generira sigurnosni kod. Dakle, Yandexova dvofaktorska provjera autentičnosti funkcionira na isti način.
Odnosno, dodatna razina zaštite je mobilna aplikacija Yandex.Key, koja poništava staru lozinku s Yandex računa i generira novu, jednokratnu lozinku svakih 30 sekundi.
Uz ovu razinu zaštite, prijava na vaš račun je moguća samo s jednokratnom lozinkom ili QR kodom.
Dovoljno je samo napraviti određene postavke i ubuduće usmjeriti kameru pametnog telefona na QR kod i dobiti pristup svom Yandex računu.
A ako ne možete koristiti kameru pametnog telefona ili nemate pristup internetu, uvijek možete koristiti jednokratnu lozinku koja se generira u mobilnoj aplikaciji čak i bez interneta.
Sigurnost same mobilne aplikacije Yandex.Key osigurava PIN kod koji kreirate kada povežete svoj račun s aplikacijom.
Pa, ako imate Apple pametni telefon ili tablet, možete koristiti Touch ID umjesto PIN koda.
Tako će pristup vašim podacima biti sigurnije zatvoren.
Postavljanje dvofaktorske autentifikacije.
Za početak, na glavnoj stranici Yandexa, prijavite se na svoj račun na tradicionalan način. Zatim kliknite na naziv svog računa (ime poštanskog sandučića) i odaberite "putovnica".
Na novootvorenoj stranici kliknite na grafički prekidač, nasuprot "Provjera autentičnosti s dva faktora", a zatim na gumb "Pokreni postavljanje".
Sam postupak postavljanja sastoji se od 4 koraka koje će trebati izvesti na računalu i mobilnom uređaju.
Korak 1. Potvrda telefonskog broja.
Ako ste prethodno povezali svoj telefonski broj sa svojim Yandex računom, odmah možete dobiti potvrdni kod. Ako nije, unesite telefonski broj i pritisnite gumb "Da dobijem kod".
Kod će doći na navedeni broj. Morate ga unijeti u posebno polje i kliknuti gumb "Potvrdi".
Korak 2. PIN kod za mobilnu aplikaciju.
U ovom koraku trebate dvaput smisliti i unijeti PIN kod za mobilnu aplikaciju. Upravo će taj kod otvoriti pristup aplikaciji na pametnom telefonu ili tabletu.
Unesite kod i kliknite na gumb "Stvoriti".
Korak 3. Instaliranje mobilne aplikacije Yandex.Key i dodavanje računa.
Dakle, sa svog pametnog telefona ili tableta idete na Google Play (za Android) i App Store (za apple gadgete). Zatim preuzmite i instalirajte aplikaciju Yandex.Key.
Otvorite aplikaciju i kliknite na gumb "Dodaj račun u aplikaciju".
Dodavanje računa u mobilnu aplikaciju Yandex.Key
Nakon toga trebat ćete kameru mobilnog uređaja usmjeriti prema ekranu monitora, gdje će vam se u tom trenutku prikazati QR kod. Zadržite pokazivač iznad ovog koda.
Dakle, vratite se na računalo i kliknite na gumb "Sljedeći korak".
Korak 4. Unos lozinke za mobilnu aplikaciju Yandex.Keyboard.
Nakon što čekate ažuriranje novog ključa u mobilnoj aplikaciji, unesite ga na računalu i pritisnite gumb "Upaliti".
Zatim ćete morati unijeti staru lozinku sa svog Yandex računa i kliknuti gumb "Potvrdi".
Završetak veze za provjeru autentičnosti s dva faktora
Sve je spremno. Osigurali ste svoj račun dvofaktorskom autentifikacijom. Sada morate ponovno unijeti svoj račun na svim uređajima pomoću jednokratne lozinke ili QR koda.
Kako se prijaviti na svoj račun koristeći Yandex.Key.
Sve je krajnje jednostavno. Na glavnoj stranici Yandexa, na ploči za prijavu i registraciju, kliknite na ikonu elipse (...) i odaberite Ya.Klyuch s izbornika.
Ili možete koristiti tradicionalnu metodu prijave koristeći svoju prijavu (adresa poštanskog sandučića) i lozinku (jednokratna lozinka za mobilnu aplikaciju Yandex.Key).
Kako postaviti lozinku na Yandex.Disk.
Povezivanjem dvofaktorske provjere autentičnosti možete stvoriti zasebne lozinke za aplikacije trećih strana koje se povezuju s vašim računom. Ovaj mehanizam se automatski uključuje nakon povezivanja.
Na ovaj način ćete koristiti lozinku koja je prikladna samo za pogon.
Korištenjem različitih lozinki za aplikacije jačate liniju zaštite svojih podataka.
Za izradu lozinke potrebno je otići na stranicu kontrole pristupa, odabrati aplikaciju, unijeti ime i pritisnuti gumb "Stvorite lozinku".
Lozinka će se generirati automatski i bit će prikazana samo jednom. Stoga kopirajte ovu lozinku na sigurno mjesto. U suprotnom, ovu lozinku morat ćete ukloniti i stvoriti novu.
Sada, kada povezujete Yandex.Disk putem WebDAV protokola, koristit ćete ovu posebnu lozinku.
Napomena: Zaporke aplikacije trebale bi se koristiti čak i ako onemogućite dvofaktorsku provjeru autentičnosti. To će vas spasiti od otkrivanja glavne lozinke za vaš Yandex.
Kako onemogućiti dvofaktorsku autentifikaciju.
Da biste onemogućili dvofaktorsku autentifikaciju, trebate otići na stranicu kontrole pristupa i pritisnuti prekidač (Uključeno / Isključeno).
Zatim unesite jednokratnu lozinku iz mobilne aplikacije Yandex.Key i pritisnite gumb "Potvrdi".
Izrada nove lozinke za vaš Yandex račun
Sada, za ulazak u svoj račun, koristit ćete svoje korisničko ime i lozinku, kao i ranije.
Važno: ako onemogućite autentifikaciju, lozinke stvorene za aplikacije se poništavaju. Trebalo bi ih ponovno stvoriti.
A sada predlažem da pogledate video tutorial, gdje jasno pokazujem cijeli postupak.
To je sve za mene danas, prijatelji. Ako imate bilo kakvih pitanja, rado ću odgovoriti na njih u komentarima.
Želim vam uspjeh, vidimo se u novim video tutorialima i člancima.
Srdačan pozdrav, Maxim Zaitsev.
Rijetka objava na Yandex blogu, a posebno ona vezana uz sigurnost, nije spominjala dvofaktorsku autentifikaciju. Dugo smo razmišljali kako pravilno pojačati zaštitu korisničkih računa, pa čak i da je može koristiti bez svih neugodnosti koje uključuju najčešće implementacije danas. A oni su, nažalost, nezgodni. Prema nekim izvješćima, na mnogim velikim stranicama udio korisnika koji su omogućili dodatna sredstva provjere autentičnosti ne prelazi 0,1%.
Čini se da je to zato što je uobičajena dvofaktorska shema provjere autentičnosti previše složena i nezgodna. Pokušali smo smisliti način koji bi bio praktičniji bez gubitka razine zaštite, a danas ga predstavljamo u beta verziji.
Nadamo se da će postati rašireniji. Sa svoje strane spremni smo raditi na njegovom poboljšanju i naknadnoj standardizaciji.
Nakon što omogućite dvofaktorsku autentifikaciju u putovnici, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. QR kodovi su se pojavili u obrascu za autorizaciju na glavnoj stranici Yandexa, pošti i putovnici. Za ulazak na svoj račun potrebno je skenirati QR kod kroz aplikaciju – i to je to. Ako ne možete pročitati QR kod, na primjer, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će kreirati jednokratnu lozinku koja će vrijediti samo 30 sekundi.
Reći ću vam zašto smo odlučili ne koristiti takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcioniraju uobičajene dvofaktorske sheme provjere autentičnosti? Oni su dvostupanjski. Prva faza je uobičajena provjera autentičnosti korisničkog imena i lozinke. Ako je uspješna, stranica provjerava "sviđa li se" ova korisnička sesija ili ne. A ako vam se ne sviđa, traži od korisnika da se “ponovno provjerava”. Postoje dvije uobičajene metode "prethodne autentifikacije": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. Uglavnom, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, onda sesija gubi i svoju "preliminarnu" autentifikaciju.
Obje metode ─ slanje SMS-a i generiranje lozinke ─ dokaz vlasništva nad telefonom i stoga su faktor dostupnosti. Lozinka unesena u prvom koraku je faktor znanja. Stoga ova shema provjere autentičnosti nije samo dvostepena, već i dvofaktorna.
Što nam se činilo problematičnim u ovoj shemi?
Počnimo s činjenicom da se računalo prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: ovdje možete isključiti ažuriranja sustava Windows, piratsku kopiju antivirusnog programa bez modernih potpisa i softver sumnjivog porijekla ─ sve to ne povećava razinu zaštite. Kompromitiranje računala korisnika je po našem mišljenju najraširenija metoda "otmice" računa (a nedavno je za to bila još jedna potvrda), a od toga se prije svega želim zaštititi. U slučaju autentifikacije u dva koraka, ako pretpostavimo da je računalo korisnika kompromitirano, unošenje lozinke na njega kompromitira samu lozinku, što je prvi faktor. To znači da napadač treba odabrati samo drugi faktor. U slučaju uobičajenih implementacija RFC 6238, drugi faktor je 6 decimalnih znamenki (a maksimum propisan specifikacijom je 8 znamenki). Prema bruteforce kalkulatoru za OTP, napadač za tri dana može pokupiti drugi faktor ako na neki način poznaje prvi. Nije jasno što se usluga može suprotstaviti ovom napadu bez ometanja normalnog korisničkog iskustva. Jedini mogući dokaz rada je captcha, koja je, po našem mišljenju, krajnja opcija.Drugi problem je nedostatak transparentnosti u prosuđivanju servisa o kvaliteti korisničke sesije i donošenju odluke o potrebi "pre-autentifikacije". Što je još gore, služba nije zainteresirana da ovaj proces bude transparentan, jer sigurnost opskurnošću zapravo ovdje radi. Ako napadač zna na temelju čega služba donosi odluku o legitimnosti sesije, može pokušati krivotvoriti te podatke. Iz općih razmatranja, možemo zaključiti da se prosudba donosi na temelju povijesti autentifikacije korisnika, uzimajući u obzir IP adresu (i iz nje izveden broj autonomnog sustava koji identificira pružatelja i lokaciju na temelju geobaze) i preglednika podatke, na primjer, zaglavlje korisničkog agenta i skup kolačića, flash lso i html lokalnu pohranu. To znači da ako napadač kontrolira računalo korisnika, tada ima mogućnost ne samo ukrasti sve potrebne podatke, već i koristiti IP adresu žrtve. Štoviše, ako se odluka donese na temelju ASN-a, onda svaka autentifikacija s javnog Wi-Fi-ja u kafiću može dovesti do "trovanja" u smislu sigurnosti (i bijeljenja u smislu usluge) davatelja ove kave dućan i npr. krečenje svih kafića u gradu.... Razgovarali smo o radu sustava za detekciju anomalija i on bi se mogao primijeniti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za pouzdanu prosudbu o anomaliji. Osim toga, isti ovaj argument uništava ideju o "pouzdanim" računalima: napadač može ukrasti bilo koju informaciju koja utječe na procjenu povjerenja.
Konačno, provjera autentičnosti u dva koraka jednostavno je nezgodna: naše studije upotrebljivosti pokazuju da ništa ne nervira korisnike toliko kao međuzaslon, dodatni pritisci na gumbe i druge "nevažne" radnje s njegove točke gledišta.
Na temelju toga odlučili smo da autentifikacija bude u jednom koraku i da prostor za lozinku treba biti puno veći nego što je to moguće u okviru "čistog" RFC 6238.
Istodobno, željeli smo zadržati dvofaktorsku autentifikaciju što je više moguće.
Višefaktornost u autentifikaciji određena je dodjeljivanjem elemenata provjere autentičnosti (zapravo, oni se nazivaju faktori) u jednu od tri kategorije:
- Čimbenici znanja (to su tradicionalne lozinke, pin kodovi i sve što liči na njih);
- Čimbenici vlasništva (u korištenim OTP shemama, u pravilu, ovo je pametni telefon, ali može biti i hardverski token);
- Biometrijski faktori (sada je najčešći otisak prsta, iako će se netko sjetiti epizode s junakom Wesleyja Snipesa u filmu Demolition Man).
Razvoj našeg sustava
Kada smo se počeli baviti problemom dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012. godine, ali se o tome raspravljalo iza kulisa i prije), prva ideja je bila uzeti standardne metode provjere autentičnosti i primijeniti ih ovdje . Razumjeli smo da ne možemo očekivati da milijuni naših korisnika kupe hardverski token, pa je ova opcija odgođena za neke egzotične slučajeve (iako je ne odustajemo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). Metoda s SMS-om također nije mogla biti rasprostranjena: to je vrlo nepouzdan način dostave (u najvažnijem trenutku SMS može kasniti ili uopće ne primati), a slanje SMS-a košta (a operateri su im počeli povećavati cijenu). Odlučili smo da je korištenje SMS-a dio banaka i drugih niskotehnoloških tvrtki, a našim korisnicima želimo ponuditi nešto praktičnije. Općenito, izbor nije bio velik: koristiti pametni telefon i program u njemu kao drugi faktor.Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti pin kod (prvi faktor), ima hardverski ili softverski (u pametnom telefonu) token koji generira OTP (drugi faktor). U polje za unos lozinke upisuje pin kod i trenutnu OTP vrijednost.
Po našem mišljenju, glavni nedostatak ove sheme je isti kao kod autentifikacije u dva koraka: ako pretpostavimo da je radna površina korisnika ugrožena, tada jedan unos PIN koda dovodi do njegovog otkrivanja i napadač može odabrati samo drugi faktor.
Odlučili smo ići drugim putem: lozinka se u cijelosti generira iz tajne, ali samo dio tajne pohranjuje se u pametni telefon, a dio korisnik unosi svaki put kada se lozinka generira. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.
Nonce može biti brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to vam omogućuje da se ne bojite desinhronizacije u slučaju da netko generira previše lozinki i poveća brojač.
Dakle, imamo program za pametni telefon, gdje korisnik unosi svoj dio tajne, miješa se sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, koji potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je čitljiv i voila - evo jednokratne lozinke!
Kao što je spomenuto, RFC 4226 predlaže skraćivanje HMAC izlaza na najviše 8 decimalnih znamenki. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. Istodobno, željeli smo sačuvati jednostavnost korištenja (na kraju krajeva, podsjetimo, želim napraviti takav sustav koji će koristiti obični ljudi, a ne samo sigurnosni štreberi), pa kao kompromis u trenutnoj verziji sustava, odabrali smo skraćivanje na 8 znakova latinice. Čini se da je 26 ^ 8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojave vrijedni savjeti kako poboljšati ovu shemu), proširit ćemo, primjerice, na 10 znakova.
Saznajte više o snazi takvih lozinki
Doista, za latinična slova koja ne razlikuju velika i mala slova, broj opcija po znaku je 26, za velika i mala latinična slova plus brojevi, broj opcija je 26 + 26 + 10 = 62. Zatim log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je gotovo jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo je svakako dovoljno za 30 sekundi. Ako govorimo o lozinki od 8 znakova izrađenoj od latiničnih slova, onda je njezina snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je to još uvijek prihvatljivo za prozor od 30 sekundi.Magija, bez lozinke, aplikacije i put naprijed
Općenito, mogli smo stati na ovome, ali htjeli smo sustav učiniti još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi unijeti lozinku s tipkovnice!
Stoga smo započeli rad na "magičnom loginu". Ovom metodom provjere autentičnosti korisnik pokreće aplikaciju na pametnom telefonu, upisuje svoj PIN kod i skenira QR kod na ekranu svog računala. Ako je PIN kod ispravno upisan, stranica u pregledniku se ponovno učitava i korisnik se autentifikuje. Magija!
Kako radi?
Broj sesije je tvrdo kodiran u QR kod, a kada ga aplikacija skenira, taj se broj prenosi na poslužitelj zajedno s lozinkom i korisničkim imenom generiranim na uobičajen način. To nije teško, jer je pametni telefon gotovo uvijek online. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući od strane poslužitelja odgovor za provjeru lozinke za danu sesiju. Ako poslužitelj odgovori da je lozinka ispravna, zajedno s odgovorom postavlja se kolačić sesije, a korisnik se smatra provjerenim.Bilo je bolje, ali i ovdje smo odlučili ne stati. Počevši od iPhonea 5S, TouchID skener otiska prsta pojavio se u Apple telefonima i tabletima, a u iOS verziji 8 dostupne su i aplikacije trećih strana za rad s njim. Zapravo, aplikacija ne dobiva pristup otisku prsta, ali ako je otisak točan, tada aplikaciji postaje dostupan dodatni odjeljak Keychain. To smo iskoristili. Drugi dio tajne nalazi se u unosu Keychain zaštićen TouchID-om, onom koji je korisnik unio s tipkovnice u prethodnoj skripti. Prilikom otključavanja Keychain-a, dva dijela tajne se miješaju, a zatim proces radi kako je gore opisano.
Ali korisnik je postao nevjerojatno zgodan: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i autentificira se u pregledniku na računalu! Tako smo faktor znanja zamijenili biometrijskim i, s stajališta korisnika, potpuno napustili lozinke. Sigurni smo da će običnim ljudima ovakva shema biti mnogo prikladnija od ručnog unosa dvije lozinke.
Može se raspravljati o tome koliko je formalno dvofaktorska takva autentifikacija, ali zapravo, da biste je uspješno prošli, još uvijek trebate imati telefon i imati ispravan otisak prsta, pa vjerujemo da smo u potpunosti uspjeli napustiti faktor znanja, zamijenivši ga biometrijom. Shvaćamo da se oslanjamo na sigurnost ARM TrustZone u srcu iOS Secure Enclave i vjerujemo da joj se trenutno vjeruje prema našem modelu prijetnji. Naravno, svjesni smo problema biometrijske autentifikacije: otisak prsta nije lozinka i ne može se zamijeniti u slučaju kompromisa. No, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna praktičnosti, a sam korisnik ima pravo odabrati prihvatljiv omjer jednog prema drugom.
Dopustite mi da vas podsjetim da je ovo još uvijek beta. Sada, kada omogućite dvofaktornu autentifikaciju, privremeno onemogućujemo sinkronizaciju lozinke u pregledniku Yandex. To je zbog načina na koji je uređeno šifriranje baze podataka lozinki. Već dolazimo do prikladnog načina za autentifikaciju preglednika u slučaju 2FA. Sve ostale funkcije Yandexa rade kao i prije.
Evo što smo dobili. Čini se da je dobro ispalo, ali na vama je da procijenite. Bit će nam drago čuti povratne informacije i preporuke, a i sami ćemo nastaviti raditi na poboljšanju sigurnosti naših usluga: sada, uz CSP, enkripciju prijenosa pošte i sve ostalo, imamo dvofaktorsku autentifikaciju. Imajte na umu da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga udvostručuju bonus Bug Bounty za greške pronađene u njima.
Oznake: Dodaj oznake
