Autenticazione a due fattori facile da usare.

L'autenticazione a due fattori offre una maggiore sicurezza rispetto alle password tradizionali. Anche una password forte ed efficace può essere vulnerabile a virus, keylogger e attacchi di phishing.

Puoi abilitare l'autenticazione a due fattori nella pagina di gestione dell'account Yandex. Per configurare l'accesso Yandex.Key, è necessario un dispositivo mobile Android o iOS.

Dopo aver abilitato 2FA:

• Invece di utilizzare una password standard per accedere ai servizi e alle applicazioni Yandex, dovrai inserire una password monouso (ad esempio, per accedere al tuo account o modificare il tuo numero di telefono). Quando si utilizza un codice QR, non è necessario inserire il nome utente o le password per accedere al proprio Yandex.
• Le app mobili di terze parti, i programmi per computer e i client di posta elettronica dovranno utilizzare password per app separate.
• La pagina di ripristino per l'account Yandex verrà modificata.

Per abilitare l'autenticazione a due fattori, fare clic sul collegamento "Imposta autenticazione a due fattori" nella pagina "Informazioni personali" nella sezione "Controllo dell'accesso" e seguire diversi passaggi:

Se il tuo numero di telefono è già collegato al tuo account, confermalo o modificalo. Se il numero di telefono non è specificato, è necessario aggiungerlo, altrimenti non sarà possibile ripristinare l'accesso al proprio account.

Per collegare un nuovo numero o verificare un numero di telefono, richiedi un codice e poi inseriscilo nell'apposito campo. Quindi fare clic sul pulsante "Conferma" e andare al passaggio successivo.

2. Crea un PIN.

Trova un PIN di 4 cifre e inseriscilo per l'autenticazione a due fattori.

Importante: non devi condividere il tuo codice PIN con altri. Il PIN non può essere modificato. Se dimentichi il PIN, l'applicazione Yandex.Key non sarà in grado di generare una password monouso, puoi ripristinare l'accesso al tuo account solo con l'aiuto di uno specialista del supporto tecnico.

Dopo aver inserito il codice PIN, fare clic sul pulsante "Crea".

L'applicazione Yandex.Key è necessaria per generare password monouso per un account. Puoi inviare un link per installare l'app direttamente dalla schermata di configurazione dell'autenticazione a due fattori oppure puoi scaricare l'app dall'App Store o da Google Play.

Nota: affinché Yandex.Key funzioni, potrebbe essere necessario accedere alla fotocamera del dispositivo per riconoscere i codici a barre (codici QR).

Nell'app Yandex.Key, fai clic sul pulsante Aggiungi account all'app. Quindi si avvierà la fotocamera del dispositivo. Scansiona il codice a barre visualizzato nel browser.

Se il codice QR non può essere riconosciuto, fare clic sul pulsante Mostra chiave segreta e fare clic su Aggiungi chiave manualmente nell'applicazione. Invece di un codice QR, il browser visualizzerà una sequenza di caratteri che deve essere inserita nell'applicazione.

Dopo aver riconosciuto l'account, il dispositivo ti chiederà di inserire il codice PIN generato nel passaggio precedente.

Per verificare che la configurazione sia andata a buon fine, inserisci la password monouso generata nel passaggio precedente. L'autenticazione a due fattori sarà abilitata solo se inserisci la password corretta.

Basta inserire il codice PIN generato nel passaggio 2 nell'app Yandex.Key. L'app genererà una password monouso. Inseriscilo accanto al pulsante Abilita, quindi fai clic sul pulsante.

Nota: è necessario inserire la password monouso prima che venga modificata sullo schermo. A volte è meglio aspettare che venga creata una nuova password e inserirla.

Se hai inserito la password corretta, l'autenticazione a due fattori sarà abilitata per il tuo account Yandex.Passport.

Come disabilitare l'autenticazione a due fattori in Yandex

1. Vai alla scheda "Controllo accesso" nel tuo account Yandex.Passport.
2. Spostare l'interruttore in posizione off.
3. Si aprirà una pagina in cui è necessario inserire una password monouso dall'applicazione Yandex.Key.
4. Se la password viene inserita correttamente, all'utente verrà richiesto di impostare una nuova password principale per l'account.

Nota: dopo aver disabilitato l'autenticazione a due fattori, le vecchie password delle app smetteranno di funzionare. Sarà necessario creare nuove password per le applicazioni per ripristinare la funzionalità dei servizi e delle applicazioni correlati, come i client di posta elettronica.

L'utente può configurare l'accesso di applicazioni di terze parti all'account Yandex utilizzando le password dell'applicazione. Tieni presente che ogni password dell'app separata garantisce l'accesso a un servizio specifico. Ad esempio, una password creata per un client di posta elettronica non consentirà l'accesso al cloud storage Yandex.Disk.

Puoi creare password per le applicazioni nella scheda Controllo di accesso nel pannello di controllo dell'account Yandex.Passport. Fai scorrere l'interruttore Password app in posizione On. Se è abilitata l'autenticazione a due fattori, le password delle app verranno riattivate forzatamente e non potranno essere disabilitate.

Dovrai creare una password per app separata per ogni programma di terze parti che richiede una password Yandex, tra cui:

• Client di posta elettronica (Mozilla Thunderbird, Microsoft Outlook, The Bat! Ecc.)
• Client WebDAV per Yandex.Disk
• Client CalDAV per Yandex.Calendar
• Clienti Jabber
• Applicazioni per l'importazione da altri servizi di posta

Per creare una password per l'app:

1. Vai alla scheda "Controllo accesso" nel pannello di controllo dell'account Yandex.Passport.
2. Abilita l'opzione Password app se è disabilitata (l'interruttore non apparirà se non hai abilitato l'autenticazione a due fattori).
3. Fai clic su "Ottieni password per l'app"
4. Seleziona il servizio Yandex a cui desideri accedere nell'applicazione e nel sistema operativo.
5. Immettere il nome dell'applicazione per la quale si sta creando una password e fare clic su Aggiungi.
6. La password verrà mostrata nella scheda successiva. Fare clic su Fine.

Nota: puoi visualizzare la password generata solo una volta. Se hai inserito la password in modo errato e hai già chiuso la finestra, elimina la password corrente e creane una nuova.

Ciao cari amici. Oggi ti dirò come impostare l'autenticazione a due fattori per un account Yandex e impostare una password su Yandex.Disk. Ciò proteggerà l'account principale e migliorerà la sicurezza delle singole applicazioni Yandex.

La protezione dei dati personali è il problema più grande su Internet. Gli utenti spesso trascurano le regole di sicurezza. Creano password semplici e identiche per diverse risorse Internet, le memorizzano in caselle di posta elettronica, le cui password vengono utilizzate anche su altre risorse. Questi sono solo alcuni degli errori comuni.

Se un utente malintenzionato ottiene l'accesso a uno degli account, altre risorse dell'utente saranno a rischio. E se teniamo conto del fatto che i virus sono in grado di ricordare l'inserimento delle password dalla tastiera, la situazione sembrerà ancora più triste. Ecco perché ogni utente di Internet deve seguire le regole di sicurezza di base:

- Creare password complesse.

- Non utilizzare le stesse password per risorse Internet diverse.

- Modificare le password regolarmente.

E usa anche metodi di protezione aggiuntivi. Uno di questi metodi è l'autenticazione a due fattori di Yandex.

Come funziona l'autenticazione a due fattori?

Come saprai, per accedere ad un'area riservata come email, pannello di amministrazione del sito, account di social media, hai bisogno di login e password. Ma questo è solo un livello di protezione. Per rafforzare la protezione, molti servizi introducono metodi di autenticazione aggiuntivi, come conferma sms, chiavi usb, applicazioni mobili.

Te l'ho già detto. Dove, oltre al login e alla password, l'applicazione mobile genera un codice di sicurezza. Quindi l'autenticazione a due fattori di Yandex funziona più o meno allo stesso modo.

Cioè, un ulteriore livello di protezione è l'applicazione mobile Yandex.Key, che cancella la vecchia password dall'account Yandex e genera una nuova password una tantum ogni 30 secondi.

Con questo livello di protezione, l'accesso al tuo account è possibile solo con una password o un codice QR monouso.

È sufficiente effettuare determinate impostazioni e in futuro punti la fotocamera del tuo smartphone sul codice QR e accedi al tuo account Yandex.

E se non puoi utilizzare la fotocamera dello smartphone o non c'è accesso a Internet, puoi sempre utilizzare la password monouso generata nell'applicazione mobile anche senza Internet.

La sicurezza dell'applicazione mobile Yandex.Key stessa è garantita dal codice PIN che crei quando colleghi il tuo account all'applicazione.

Bene, se hai uno smartphone o un tablet Apple, puoi utilizzare Touch ID invece di un codice pin.

Pertanto, l'accesso ai tuoi dati sarà chiuso in modo più sicuro.

Configurazione dell'autenticazione a due fattori.

Per cominciare, nella pagina principale di Yandex, accedi al tuo account in modo tradizionale. Quindi fai clic sul nome del tuo account (nome della casella di posta) e seleziona "Passaporto".

Nella pagina appena aperta, fai clic sull'interruttore grafico, di fronte "Autenticazione a due fattori", e poi sul pulsante "Avvia configurazione".

La procedura di installazione stessa consiste in 4 passaggi che dovranno essere eseguiti su un computer e un dispositivo mobile.

Passaggio 1. Conferma del numero di telefono.

Se hai precedentemente collegato il tuo numero di telefono al tuo account Yandex, puoi ricevere immediatamente un codice di conferma. In caso contrario, inserire il numero di telefono e premere il pulsante "Per ottenere il codice".

Il codice arriverà al numero specificato. È necessario inserirlo in un campo apposito e fare clic sul pulsante "Confermare".

Passaggio 2. Codice PIN per l'applicazione mobile.

A questo punto, devi inventare e inserire due volte un codice PIN per l'applicazione mobile. È questo codice che aprirà l'accesso all'applicazione su uno smartphone o un tablet.

Inserisci il codice e clicca sul pulsante "Creare".

Passaggio 3. Installazione dell'applicazione mobile Yandex.Key e aggiunta di un account.

Quindi, dal tuo smartphone o tablet, vai su Google Play (per Android) e sull'App Store (per i gadget Apple). Quindi, scarica e installa l'app Yandex.Key.

Apri l'applicazione e fai clic sul pulsante "Aggiungi un account all'applicazione".

Aggiunta di un account all'app mobile Yandex.Key

Successivamente, dovrai puntare la fotocamera del dispositivo mobile sullo schermo del monitor, dove in quel momento verrà visualizzato un codice QR. Passa il mouse su questo codice.

Quindi, torna al computer e fai clic sul pulsante "Passo successivo".

Passaggio 4. Inserimento della password per l'applicazione mobile Yandex.Keyboard.

Dopo aver atteso il nuovo aggiornamento della chiave nell'applicazione mobile, inseriscila sul computer e premi il pulsante "Accendere".

Quindi dovrai inserire la vecchia password dal tuo account Yandex e fare clic sul pulsante "Confermare".

Terminare una connessione di autenticazione a due fattori

Tutto è pronto. Hai protetto il tuo account con l'autenticazione a due fattori. Ora devi reinserire il tuo account su tutti i dispositivi utilizzando una password monouso o un codice QR.

Come accedere al tuo account utilizzando Yandex.Key.

Tutto è estremamente semplice. Nella pagina principale di Yandex, nel pannello di accesso e registrazione, fare clic sull'icona con i puntini di sospensione (...) e selezionare Ya.Klyuch dal menu.

In alternativa, puoi utilizzare il metodo di accesso tradizionale utilizzando il tuo login (indirizzo della casella di posta) e la password (password monouso per l'applicazione mobile Yandex.Key).

Come impostare una password su Yandex.Disk.

Collegando l'autenticazione a due fattori, puoi creare password separate per le applicazioni di terze parti che si collegano al tuo account. Questo meccanismo si attiva automaticamente dopo la connessione.

In questo modo utilizzerai una password adatta solo all'unità.

Utilizzando password diverse per le applicazioni, rafforzi la linea di protezione dei tuoi dati.

Per creare una password è necessario accedere alla pagina di controllo accessi, selezionare un'applicazione, inserire un nome e premere il pulsante "Crea una password".

La password verrà generata automaticamente e verrà visualizzata una sola volta. Pertanto, copia questa password in un luogo sicuro. In caso contrario, sarà necessario rimuovere questa password e crearne una nuova.

Ora, quando colleghi Yandex.Disk tramite il protocollo WebDAV, utilizzerai questa particolare password.

Nota: le password dell'applicazione devono essere utilizzate anche se si disabilita l'autenticazione a due fattori. Questo ti eviterà di rivelare la password principale per il tuo Yandex.

Come disabilitare l'autenticazione a due fattori.

Per disabilitare l'autenticazione a due fattori, è necessario accedere alla pagina di controllo degli accessi e premere l'interruttore (On / Off).

Quindi inserisci la password monouso dall'applicazione mobile Yandex.Key e premi il pulsante "Confermare".

Creazione di una nuova password per il tuo account Yandex

Ora, per accedere al tuo account, utilizzerai nome utente e password, come hai fatto prima.

Importante: disabilitando l'autenticazione, le password create per le applicazioni vengono reimpostate. Dovrebbero essere ricreati.

E ora propongo di guardare un video tutorial, in cui mostro chiaramente l'intera procedura.

Per me oggi è tutto, amici. Se avete domande, sarò felice di rispondervi nei commenti.

Ti auguro successo, ci vediamo in nuovi video tutorial e articoli.

Cordiali saluti, Maxim Zaitsev.

Molti utenti le cui attività sono legate al fare soldi su Internet o alla memorizzazione di informazioni importanti sulla rete cercano di proteggere i propri account dall'hacking e dal furto di dati riservati.

Naturalmente, una password complessa, che include numeri e lettere, oltre a caratteri speciali, è una protezione abbastanza affidabile, ma l'effetto massimo è fornito dall'autenticazione a due fattori.

Tuttavia, non tutti conoscono questa opzione per proteggere i propri account, e questo nonostante il fatto che oggi sempre più servizi (servizi postali, social network, ecc.) offrano di sfruttare questa opportunità.

Che cos'è l'autenticazione a due fattori?

Quindi, di che tipo di protezione stiamo parlando? In effetti, hai già visto la verifica in due passaggi. Ad esempio, quando andrai ad eseguire qualsiasi operazione con denaro sul sito WebMoney, allora, oltre al tuo login e password, dovrai specificare un codice di conferma che verrà inviato al tuo cellulare.

In altre parole, l'autenticazione a due fattori è la seconda chiave del tuo account. Se attivi questa opzione, ad esempio, in Evernote (c'è una tale opportunità), un utente malintenzionato che è riuscito a trovare una password per questo servizio di note dovrà affrontare un altro problema: il requisito di specificare un codice una tantum che arriva al tuo numero di telefono. Vale la pena notare che in caso di tentativo di hackerare il tuo account, riceverai un SMS e potrai cambiare immediatamente la tua password.

Accetta che questa è un'opzione molto conveniente, utilizzando la quale sarai meno preoccupato per la perdita di informazioni personali.

Dov'è il migliore da usare?

Naturalmente, alcuni utenti potrebbero obiettare, sostenendo che la verifica in due passaggi è troppo "movimento non necessario" e, in generale, è destinata ai paranoici, che pensano sempre che qualcuno li stia seguendo.

Forse hanno un po' ragione. Ad esempio, per i social network non è affatto necessario utilizzare questo metodo di protezione. Anche se qui è possibile discutere. Di norma, i criminali informatici cercano di hackerare gli account degli amministratori di popolari siti "pubblici". Sì, e anche tu, molto probabilmente, non vorresti nemmeno notare un giorno che il tuo account in uno dei "social network" è stato violato e sul "Wall" sono state pubblicate foto assolutamente indecenti.

Come per altri servizi, ad esempio, l'autenticazione a due fattori Yandex ti consentirà di archiviare in modo sicuro i tuoi dati di registrazione da WebMoney e altri) o lettere contenenti informazioni segrete.

Protezione del tuo account Google

Uno dei servizi più popolari oggi è Google. È qui che puoi registrare una casella di posta elettronica, archiviare documenti su un'unità Google, creare un blog o un canale YouTube gratuitamente, che in seguito può portarti profitti.

Affinché gli utenti siano sicuri della sicurezza dei documenti archiviati nella posta o su disco, viene offerta l'autenticazione Google a due fattori. Per attivarlo, devi accedere al tuo account.

Ora, dopo aver aperto, ad esempio, una cassetta postale, presta attenzione all'avatar nell'angolo in alto a destra. Fare clic su di esso e andare su "Il mio account". Qui hai bisogno di una sezione chiamata "Sicurezza e accesso", ovvero il link "Accedi al tuo account Google".

Sulla destra vedrai l'opzione "Verifica in due passaggi", dove devi fare clic sulla freccia per attivarla. Si aprirà una finestra in cui sei interessato al pulsante "Avvia impostazione". Inserisci la tua password e segui le ulteriori istruzioni.

Autenticazione a due fattori Yandex

Yandex offre anche ai suoi utenti molti servizi utili. Oltre all'archiviazione cloud delle informazioni su Yandex.Disk, puoi procurarti un portafoglio elettronico, dove ritirerai i soldi guadagnati su Internet.

E, naturalmente, Yandex non si è fatto da parte e offre anche ai suoi utenti di utilizzare l'autenticazione a due fattori per proteggere i documenti archiviati nella loro casella di posta.

Per abilitarlo, devi seguire alcuni semplici passaggi. Accedi al tuo account e fai clic su LMB sulla tua foto del profilo (nell'angolo in alto a destra). Seleziona "Passaporto" dal menu a discesa. Si aprirà una finestra in cui è necessario fare clic sul collegamento "Controllo dell'accesso". Impostare il "cursore" in posizione "ON". Verrai reindirizzato a una pagina in cui dovrai fare clic sul pulsante "Avvia configurazione". Ora passa attraverso le 4 fasi di attivazione della protezione a due fattori.

Rete sociale VKontakte"

Come accennato in precedenza, i criminali informatici di solito cercano di accedere agli account degli "admin" dei gruppi popolari. Ma non è sempre così, perché può essere interessante anche la corrispondenza personale di qualche persona nota su Internet.

Vale la pena notare che per alcuni utenti questo metodo di protezione di un account nel tempo inizia a irritare, poiché richiede l'immissione costante di un codice segreto, oltre a nome utente e password. In questi casi, devi sapere come disabilitare l'autenticazione a due fattori. Tuttavia, prima, scopriamo come attivare questa opzione.

In effetti, abilitare la verifica in due passaggi è molto semplice. Seleziona "Le mie impostazioni" e poi vai alla scheda "Sicurezza". Nella sezione "Conferma accesso", fai clic sul pulsante "Connetti". Ora segui tutti i requisiti in sequenza.

Disabilitare l'autenticazione a due fattori

Per disattivare la protezione in due fasi in Yandex, dovrai tornare al tuo passaporto facendo clic sul tuo avatar. Successivamente, apri la sezione "Controllo accesso" e imposta il dispositivo di scorrimento sulla posizione "Off".

Conclusione

Ora sai cos'è l'autenticazione a doppio ciclo e a cosa serve. Utilizzando questo o quel servizio, puoi attivare questa protezione aggiuntiva o rifiutare tale opportunità.

Naturalmente, in alcuni casi si consiglia vivamente di abilitare la verifica in due passaggi. Ad esempio, quando ti sei registrato su WebMoney, hai specificato la tua posta da Yandex. Durante la navigazione in Internet, puoi cadere preda di hacker che entrano nella tua casella di posta e accedono al tuo portafoglio elettronico. Per evitare che ciò accada, è meglio installare e associare un'e-mail al telefono. Pertanto, puoi reagire rapidamente se qualcuno cerca di hackerarti.

blog aziendale Yandex,

Sviluppo di applicazioni mobili

Un raro post sul blog Yandex, e in particolare uno relativo alla sicurezza, ha fatto a meno dell'autenticazione. Abbiamo pensato a lungo a come rafforzare adeguatamente la protezione degli account utente, e anche in modo che potesse essere utilizzato senza tutti gli inconvenienti che includono le implementazioni più comuni oggi. E loro, ahimè, sono scomodi. Secondo alcuni report, su molti siti di grandi dimensioni la quota di utenti che hanno abilitato ulteriori mezzi di autenticazione non supera lo 0,1%.

Questo sembra essere dovuto al fatto che lo schema di autenticazione a due fattori comune è troppo complesso e scomodo. Abbiamo cercato di trovare un modo che fosse più conveniente senza perdere il livello di protezione e oggi lo presentiamo in versione beta.

Speriamo che diventi più diffuso. Da parte nostra, siamo pronti a lavorare al suo miglioramento e alla successiva standardizzazione.

Dopo aver abilitato l'autenticazione a due fattori in Passport, dovrai installare l'applicazione Yandex.Key nell'App Store o Google Play. I codici QR sono apparsi nel modulo di autorizzazione sulla pagina principale di Yandex, Mail e Passport. Per accedere al tuo account, devi scansionare il codice QR tramite l'applicazione - e il gioco è fatto. Se non riesci a leggere il codice QR, ad esempio, la fotocamera dello smartphone non funziona o non c'è accesso a Internet, l'applicazione creerà una password monouso che sarà valida per soli 30 secondi.

Ti dirò perché abbiamo deciso di non utilizzare meccanismi "standard" come RFC 6238 o RFC 4226. Come funzionano gli schemi di autenticazione a due fattori comuni? Sono a due stadi. La prima fase è la consueta autenticazione con nome utente e password. Se ha successo, il sito controlla se "piace" a questa sessione utente o meno. E, se non ti piace, chiede all'utente di "riautenticarsi". Esistono due metodi comuni di "pre-autenticazione": inviare un SMS al numero di telefono associato all'account e generare una seconda password su uno smartphone. Fondamentalmente, per generare la seconda password viene utilizzato il TOTP secondo RFC 6238. Se l'utente ha inserito correttamente la seconda password, la sessione viene considerata completamente autenticata e, in caso contrario, perde anche la sua autenticazione "preliminare".

Entrambi i metodi ─ invio di SMS e generazione di una password ─ prova di proprietà del telefono e quindi sono un fattore di disponibilità. La password inserita nel primo passaggio è un fattore di conoscenza. Pertanto, questo schema di autenticazione non è solo a due fasi, ma anche a due fattori.

Cosa ci sembrava problematico in questo schema?

Partiamo dal fatto che il computer di un utente medio non può sempre essere definito un modello di sicurezza: qui puoi disattivare gli aggiornamenti di Windows, una copia pirata di un antivirus senza firme moderne e software di dubbia provenienza ─ tutto ciò non aumenta il livello di protezione. A nostro avviso, compromettere il computer di un utente è il metodo più diffuso per "dirottare" gli account (e di recente lo è stato), e in primo luogo, vuoi proteggerti da esso. Nel caso dell'autenticazione in due passaggi, se assumiamo che il computer dell'utente sia compromesso, l'inserimento di una password su di esso compromette la password stessa, che è il primo fattore. Ciò significa che l'attaccante deve selezionare solo il secondo fattore. Nel caso delle comuni implementazioni RFC 6238, il secondo fattore è di 6 cifre decimali (e il massimo previsto dalla specifica è di 8 cifre). Secondo il calcolatore di forza bruta per OTP, in tre giorni un aggressore è in grado di rilevare il secondo fattore se in qualche modo conosce il primo. Non è chiaro cosa il servizio possa contrastare questo attacco senza interrompere la normale esperienza dell'utente. L'unica prova possibile di lavoro è captcha, che, a nostro avviso, è l'ultima risorsa.

Il secondo problema è la mancanza di trasparenza nel giudizio del servizio sulla qualità della sessione dell'utente e nel prendere una decisione sulla necessità di "pre-autenticazione". Peggio ancora, il servizio non è interessato a rendere questo processo trasparente, perché la sicurezza per oscurità funziona davvero qui. Se l'attaccante sa, sulla base del quale il servizio prende una decisione sulla legittimità della sessione, può provare a falsificare questi dati. Da considerazioni di carattere generale, possiamo concludere che il giudizio viene espresso sulla base della cronologia di autenticazione dell'utente, tenendo conto dell'indirizzo IP (e da esso derivato il numero di sistema autonomo che identifica il provider e la posizione in base alla geobase) e del browser dati, ad esempio, l'intestazione dell'agente utente e un insieme di cookie, flash lso e archiviazione locale html. Ciò significa che se un utente malintenzionato controlla il computer di un utente, ha la possibilità non solo di rubare tutti i dati necessari, ma anche di utilizzare l'indirizzo IP della vittima. Inoltre, se la decisione viene presa sulla base dell'ASN, allora qualsiasi autenticazione dal Wi-Fi pubblico nella caffetteria può portare ad "avvelenamento" in termini di sicurezza (e whitewashing in termini di servizio) del fornitore di questo caffè negozio e, ad esempio, imbiancando tutti i bar della città. ... Abbiamo parlato del lavoro, e potrebbe essere applicato, ma il tempo tra la prima e la seconda fase di autenticazione potrebbe non essere sufficiente per un giudizio sicuro sull'anomalia. Inoltre, questo stesso argomento distrugge l'idea di computer "fidati": un utente malintenzionato può rubare qualsiasi informazione che influisca sul giudizio di fiducia.

Infine, l'autenticazione in due passaggi è semplicemente scomoda: i nostri studi di usabilità mostrano che nulla infastidisce gli utenti tanto quanto una schermata intermedia, pressioni di pulsanti aggiuntive e altre azioni "poco importanti" dal suo punto di vista.
Sulla base di ciò, abbiamo deciso che l'autenticazione dovesse essere one-step e che lo spazio per le password dovesse essere molto più grande di quanto sia possibile fare nel quadro della "pura" RFC 6238.
Allo stesso tempo, volevamo mantenere il più possibile l'autenticazione a due fattori.

La multifattorialità nell'autenticazione è determinata assegnando elementi di autenticazione (infatti, sono chiamati fattori) in una delle tre categorie:

1. Fattori di conoscenza (si tratta di password tradizionali, codici pin e tutto ciò che gli assomiglia);
2. Fattori di proprietà (negli schemi OTP utilizzati, di regola, questo è uno smartphone, ma può anche essere un token hardware);
3. Fattori biometrici (l'impronta digitale è la più comune ora, anche se qualcuno ricorderà l'episodio con l'eroe di Wesley Snipes nel film Demolition Man).

Sviluppo del nostro sistema

Quando abbiamo iniziato ad affrontare il problema dell'autenticazione a due fattori (le prime pagine del wiki aziendale su questo tema risalgono al 2012, ma se ne parlava dietro le quinte prima), la prima idea è stata quella di prendere dei metodi di autenticazione standard e applicarli qui . Abbiamo capito che non possiamo aspettarci che milioni di nostri utenti acquistino un token hardware, quindi questa opzione è stata rimandata per alcuni casi esotici (sebbene non la abbandoniamo completamente, forse riusciremo a tirar fuori qualcosa di interessante). Anche il metodo con SMS potrebbe non essere diffuso: è un metodo di consegna molto inaffidabile (nel momento più cruciale, gli SMS possono essere ritardati o non ricevuti affatto), e inviare SMS costa (e gli operatori hanno iniziato ad aumentare il loro prezzo). Abbiamo deciso che l'uso degli SMS è il destino delle banche e di altre società a bassa tecnologia e vogliamo offrire ai nostri utenti qualcosa di più conveniente. In generale, la scelta non è stata delle migliori: utilizzare lo smartphone e il programma in esso contenuto come secondo fattore.

Questa forma di autenticazione one-step è molto diffusa: l'utente ricorda il codice pin (il primo fattore), ha un token hardware o software (nello smartphone) che genera OTP (il secondo fattore). Nel campo di immissione della password, inserisce il codice PIN e il valore OTP corrente.

A nostro avviso, lo svantaggio principale di questo schema è lo stesso di quello dell'autenticazione in due passaggi: se assumiamo che il desktop dell'utente sia compromesso, allora una singola immissione del codice PIN porta alla sua divulgazione e l'attaccante può scegliere solo il secondo fattore.

Abbiamo deciso di percorrere la strada opposta: la password è interamente generata dal segreto, ma solo una parte del segreto è memorizzata nello smartphone, e una parte viene inserita dall'utente ogni volta che viene generata la password. Pertanto, lo smartphone stesso è un fattore di proprietà e la password rimane nella testa dell'utente ed è un fattore di conoscenza.

Il Nonce può essere un contatore o l'ora corrente. Abbiamo deciso di scegliere l'ora corrente, questo ci permette di non aver paura della desincronizzazione nel caso qualcuno generi troppe password e aumenti il ​​contatore.

Quindi, abbiamo un programma per smartphone, in cui l'utente inserisce la sua parte del segreto, viene mescolata con la parte memorizzata, il risultato viene utilizzato come chiave HMAC, che segna l'ora corrente, arrotondata a 30 secondi. L'output HMAC è reso leggibile dall'uomo e voilà - ecco la password monouso!

Come accennato, RFC 4226 suggerisce di troncare l'output HMAC a un massimo di 8 cifre decimali. Abbiamo deciso che una password di queste dimensioni non è adatta per l'autenticazione in un solo passaggio e dovrebbe essere aumentata. Allo stesso tempo, volevamo preservare la facilità d'uso (dopotutto, ricorda, voglio creare un sistema che possa essere utilizzato dalla gente comune, e non solo dai fanatici della sicurezza), quindi come compromesso nella versione attuale del sistema, abbiamo scelto il troncamento a 8 caratteri dell'alfabeto latino. Sembra che 26^8 password valide per 30 secondi siano abbastanza accettabili, ma se il margine di sicurezza non ci soddisfa (o su Habré compaiono preziosi consigli su come migliorare questo schema), ci espanderemo, ad esempio, a 10 caratteri.

Scopri di più sulla forza di tali password

Infatti, per le lettere latine senza distinzione tra maiuscole e minuscole, il numero di opzioni per segno è 26, per le lettere latine maiuscole e minuscole più i numeri, il numero di opzioni è 26 + 26 + 10 = 62. Quindi log 62 (26 10) ≈ 7.9, ovvero una password di 10 lettere latine piccole casuali è forte quasi quanto una password di 8 lettere o numeri latini grandi e piccoli casuali. Questo è sicuramente sufficiente per 30 secondi. Se parliamo di una password di 8 caratteri composta da lettere latine, la sua forza è log 62 (26 8) ≈ 6.3, ovvero poco più di una password di 6 caratteri composta da lettere grandi, piccole e numeri. Riteniamo che questo sia ancora accettabile per una finestra di 30 secondi.

Magia, assenza di password, applicazioni e la via da seguire

In generale ci saremmo potuti fermare a questo, ma abbiamo voluto rendere il sistema ancora più comodo. Quando una persona ha uno smartphone in mano, non vuole inserire la password dalla tastiera!

Pertanto, abbiamo iniziato a lavorare sul "login magico". Con questo metodo di autenticazione, l'utente avvia l'applicazione sullo smartphone, inserisce il proprio codice PIN e scansiona il codice QR sullo schermo del computer. Se il codice PIN viene inserito correttamente, la pagina nel browser viene ricaricata e l'utente viene autenticato. Magia!

Come funziona?

Il numero di sessione è codificato nel codice QR e, quando l'applicazione lo scansiona, questo numero viene trasmesso al server insieme alla password e al nome utente generati nel modo consueto. Questo non è difficile, perché lo smartphone è quasi sempre online. Nel layout della pagina che mostra il codice QR, JavaScript è in esecuzione, in attesa dal lato server di una risposta per verificare la password con la sessione data. Se il server risponde che la password è corretta, insieme alla risposta viene impostato un cookie di sessione e l'utente viene considerato autenticato.

È andata meglio, ma anche qui abbiamo deciso di non fermarci. A partire dall'iPhone 5S, lo scanner di impronte digitali TouchID è apparso nei telefoni e tablet Apple e nella versione 8 di iOS sono disponibili anche applicazioni di terze parti per utilizzarlo. In effetti, l'applicazione non ottiene l'accesso all'impronta digitale, ma se l'impronta digitale è corretta, diventa disponibile una sezione Portachiavi aggiuntiva per l'applicazione. Ne abbiamo approfittato. La seconda parte del segreto è collocata nella voce Portachiavi protetto da TouchID, quella che l'utente ha inserito da tastiera nello script precedente. Quando si sblocca il portachiavi, le due parti del segreto vengono mescolate e quindi il processo funziona come descritto sopra.

Ma l'utente è diventato incredibilmente comodo: apre l'applicazione, mette il dito, scansiona il codice QR sullo schermo e si autentica nel browser del computer! Quindi abbiamo sostituito il fattore conoscenza con uno biometrico e, dal punto di vista dell'utente, abbiamo completamente abbandonato le password. Siamo sicuri che le persone comuni troveranno un tale schema molto più conveniente rispetto all'inserimento manuale di due password.

È possibile discutere di quanto sia formalmente a due fattori tale autenticazione, ma in realtà, per superarla con successo, è ancora necessario disporre di un telefono e avere l'impronta digitale corretta, quindi crediamo di essere riusciti completamente ad abbandonare il fattore conoscenza, sostituendolo con la biometria. Comprendiamo che ci affidiamo alla sicurezza di ARM TrustZone al centro di iOS Secure Enclave e crediamo che sia attualmente considerato affidabile in base al nostro modello di minaccia. Certo, siamo consapevoli dei problemi dell'autenticazione biometrica: un'impronta digitale non è una password e non può essere sostituita in caso di compromissione. Ma, d'altra parte, tutti sanno che la sicurezza è inversamente proporzionale alla convenienza e l'utente stesso ha il diritto di scegliere un rapporto accettabile tra l'uno e l'altro.

Lascia che ti ricordi che questa è ancora beta. Ora, quando abiliti l'autenticazione a due fattori, disabilitiamo temporaneamente la sincronizzazione della password in Yandex Browser. Ciò è dovuto al modo in cui è organizzata la crittografia del database delle password. Stiamo già escogitando un modo conveniente per autenticare il browser in caso di 2FA. Tutte le altre funzionalità di Yandex funzionano come prima.

Ecco cosa abbiamo ottenuto. Sembra che abbia funzionato bene, ma sta a te giudicare. Saremo lieti di ricevere feedback e raccomandazioni e noi stessi continueremo a lavorare per migliorare la sicurezza dei nostri servizi: ora, insieme a tutto il resto, abbiamo l'autenticazione a due fattori. Tieni presente che i servizi di autenticazione e le applicazioni di generazione OTP sono fondamentali e quindi raddoppiano il bonus Bug Bounty per i bug trovati in essi.

tag:

• sicurezza
• autenticazione
• 2FA

Aggiungere etichette

Ti mostrerò come impostare l'autenticazione a due fattori in Yandex, questo ti aiuterà a proteggere il tuo account Yandex dall'hacking.

Entriamo nella gestione delle password su passaporto.yandex.ru/profile/access... Qui puoi modificare la tua password o abilitare una protezione aggiuntiva per il tuo account: l'autenticazione a due fattori. Fare clic sul dispositivo di scorrimento Autenticazione a due fattori per abilitarlo.

Il collegamento dell'autenticazione a due fattori avviene in più fasi. Dovrai aprire Yandex.Passport e l'applicazione mobile Yandex.Key in parallelo. Dopo aver completato la configurazione, è necessario eseguire nuovamente l'autorizzazione su tutti i dispositivi.

Fare clic su avvia configurazione.

Ecco il tuo numero di telefono a cui verranno ricevuti i codici per l'impostazione. Qui puoi anche modificare il numero di telefono associato al tuo account Yandex.

Configurazione dell'autenticazione a due fattori. Passaggio 1 di 5.

Conferma il tuo numero di telefono. Questo è il tuo numero Yandex principale. Ne avrai bisogno se perdi l'accesso al tuo account. Clicca per ottenere il codice.

Riceverai un codice SMS da Yandex al tuo numero.

Inserisci qui il codice SMS di Yandex e fai clic su conferma.

Configurazione dell'autenticazione a due fattori. Passaggio 2 di 5.

Scarica l'app Yandex.Key. Ora andiamo nell'AppStore sul tuo iPhone o iPad o nel Play Store su uno smartphone o tablet Android e cerchiamo l'app Yandex.Key. Oppure fare clic per ottenere un collegamento al telefono.

Si aprirà l'App Store o il Play Market, fai clic su download per scaricare l'applicazione Yandex.Key e installarla sul tuo smartphone o tablet.

Se devi inserire la password dell'ID Apple, inserisci la password dell'ID Apple.

Dopo 30 secondi, l'applicazione verrà scaricata sul tuo smartphone, avviala cliccandoci sopra.

Configurazione dell'autenticazione a due fattori. Passaggio 3 di 5.

Punta la fotocamera del telefono verso il codice QR e il tuo account verrà automaticamente aggiunto all'app. Se il codice non può essere letto, riprova o inserisci la chiave segreta.

Passiamo ancora allo smartphone.

L'app Yandex.Key crea password monouso per l'accesso a Yandex. se hai già iniziato a configurare l'autenticazione a due fattori sul tuo computer, fai clic sul pulsante "aggiungi account all'applicazione".

Fare clic per aggiungere un account all'applicazione.

Il programma "Chiave" richiede l'accesso alla "fotocamera". Fare clic su Consenti per consentire all'applicazione di accedere alla fotocamera del proprio smartphone per scansionare il codice QR dallo schermo del computer.

Punta la fotocamera verso il codice QR visualizzato sul monitor del tuo computer e attendi che l'account venga aggiunto o aggiungilo manualmente.

Pronto. Il codice QR è stato scansionato. L'applicazione Yandex.Key è pronta per funzionare.

Passiamo ora al monitor del computer.

Fare clic su crea un codice PIN.

Hai bisogno di un codice PIN ogni volta che ricevi una password monouso in Yandex.Key, nonché per ripristinare l'accesso al tuo account. Si prega di mantenere il PIN riservato. I dipendenti del servizio Yandex non glielo chiedono mai.

Trova un codice PIN di quattro cifre e fai clic su Continua.

Configurazione dell'autenticazione a due fattori. Passaggio 4 di 5.

Controllo del codice pin. Assicurati di ricordare il codice pin. Una volta completata l'impostazione, non è possibile modificarla. Se inserisci un codice PIN errato nell'applicazione, verranno generate password monouso errate.

Inserisci il codice PIN che hai inventato in precedenza e fai clic su verifica.

Torniamo allo smartphone e all'app Yandex.Key. Inserisci il codice PIN per ottenere una password monouso.

Dopo aver inserito il codice PIN, riceverai una password monouso che sarà valida per 20 secondi, durante questi 20 secondi dovrai inserirla sul tuo computer nell'impostazione dell'autenticazione a due fattori. Se non hai tempo per inserire la password in 20 secondi, cambierà in un'altra e così via. Inserisci la password che verrà visualizzata sullo schermo del tuo smartphone.

Ultimo passo. Inserisci la tua password da Yandex.Key.

Usa il codice PIN per ottenere una password unica nell'app. Assicurati di memorizzare il codice pin, dopo aver completato l'impostazione, non potrai modificarlo.

Cosa cambierà dopo aver abilitato l'autenticazione a due fattori:

• La vecchia password non funzionerà più.
• Dovrai riautorizzare su Yandex su tutti i dispositivi (servizi web e applicazioni mobili).
• Puoi accedere ai servizi web Yandex utilizzando un codice QR senza inserire una password. Se non riesci a leggere il codice, usa la password monouso di Yandex.Key.
• Verrai indirizzato alle applicazioni mobili Yandex utilizzando una password monouso. Può essere copiato da Yandex.Key premendo a lungo.
• Per altri programmi associati al tuo account (ad esempio, client di posta o raccoglitori di posta), ottieni le password dell'applicazione in Passport.

Inserisci la password monouso che viene visualizzata sullo schermo del tuo smartphone e fai clic su Completa la configurazione.

Ora, dopo aver inserito la password monouso, devi inserire la vecchia password dall'account. Yandex deve assicurarsi che un cambiamento così importante nelle impostazioni di sicurezza venga apportato dal proprietario dell'account.

Inserisci la vecchia password dall'account Yandex e fai clic su OK.

Pronto. L'autenticazione a due fattori è completa. Hai protetto il tuo account con password monouso. Ora devi accedere nuovamente a Yandex su tutti i dispositivi. Se utilizzi programmi di posta elettronica, ad esempio, non dimenticare di procurarti le password dell'applicazione.

Fare clic su chiudi.

Ora, se utilizzi una casella di posta dell'account Yandex sul tuo smartphone, devi creare una password per essa.

Seleziona il tipo di applicazione > Programma di posta.

E selezioniamo il sistema operativo del tuo programma di posta. Uso un iPhone, quindi scelgo iOS.

E fai clic su Crea password per creare una password per il programma di posta elettronica sul tuo smartphone.

La tua password per il mailer iOS è stata generata.

Come utilizzare la password:

• Per consentire all'applicazione di accedere ai tuoi dati, specifica questa password nelle sue impostazioni.
• Non hai bisogno di ricordare la tua password: ti serve solo una volta. Quando cambi la tua password Yandex, dovrai ottenere una nuova password per l'applicazione.
• La password dell'app viene mostrata solo una volta. Se chiudi la pagina e non hai tempo per usarla, procuratene una nuova.

Inseriamo la password che viene visualizzata sul monitor del tuo computer nell'applicazione mobile Yandex mail sul tuo smartphone.

Pronto. L'autenticazione a due fattori di Yandex funziona, puoi andare avanti.

Ora, se esci dal tuo account Yandex e inserisci nuovamente nome utente e password, ti scriveranno:

Coppia login-password non valida! Accesso fallito. Forse hai un layout di tastiera diverso o hai premuto il tasto "Bloc Maiuscole". Se stai utilizzando l'autenticazione a due fattori, assicurati di inserire la password monouso dall'app Yandex.Key invece della solita. Prova ad accedere di nuovo.

Ora devi aprire l'app Yandex.Key, inserire il tuo codice PIN e puntare la fotocamera dello smartphone verso il codice QR. Entrerai automaticamente nel tuo account Yandex dopo che lo smartphone avrà letto il codice QR dallo schermo del monitor.

Altri post sul tema della sicurezza e della verifica in due passaggi: