Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 10
  • Come faccio a disattivare l'autenticazione a due fattori sul mio ID Apple? Autenticazione a due fattori, principio di funzionamento e applicazione.

Come faccio a disattivare l'autenticazione a due fattori sul mio ID Apple? Autenticazione a due fattori, principio di funzionamento e applicazione.

05.09.2019 Windows 10

Se il tuo account ha la verifica in due passaggi abilitata, puoi utilizzare il profilo solo su dispositivi attendibili. Se provi ad accedere al tuo ID Apple su un nuovo gadget, dovrai inserire una password e un codice di 16 cifre, che verrà visualizzato sul dispositivo attendibile.

Nota! Dopo l'accesso, il nuovo dispositivo verrà automaticamente verificato.


Punti importanti da ricordare:
  • Assicurati di ricordare le informazioni del tuo account.

    Importante! Per ripristinarlo, è necessario contattare Apple e dimostrare l'acquisto legittimo del dispositivo dai rappresentanti ufficiali dell'azienda.

  • Garantire la sicurezza (fisica) dei dispositivi attendibili.
  • Usa password di blocco su tutti i gadget.

Abilitazione dell'autenticazione a due fattori

La funzione è attivabile tramite le impostazioni di sistema dello smartphone.

Nota! Ad esempio, ho utilizzato un iPhone con iOS 11. Se hai la versione 10.2 o precedente, l'impostazione viene eseguita tramite l'elemento iCloud.

Disattiva funzione

La verifica in due passaggi è disabilitata tramite il browser.

Nota! Potrebbero essere necessarie risposte alle domande di sicurezza per verificare la tua identità.


conclusioni

Il doppio controllo ti consente di proteggere il tuo dispositivo dall'hacking da parte degli hacker. Quando si utilizza la funzione, non dimenticare alcune regole di sicurezza. La configurazione o la disabilitazione dell'autenticazione non richiede molto tempo.

Attenzione. Le applicazioni sviluppate in Yandex richiedono una password monouso: anche le password delle applicazioni create correttamente non funzioneranno.

  1. Accedi con il codice QR
  2. Trasferimento Yandex.Key
  3. Password principale

Accedi al servizio o all'applicazione Yandex

Puoi inserire una password monouso in qualsiasi forma di autorizzazione su Yandex o nelle applicazioni sviluppate da Yandex.

Nota.

La password monouso deve essere inserita in tempo mentre viene visualizzata nell'applicazione. Se rimane troppo poco tempo prima dell'aggiornamento, attendi semplicemente una nuova password.

Per ottenere una password monouso, avvia Yandex.Key e inserisci il codice pin che hai impostato durante l'impostazione dell'autenticazione a due fattori. L'app inizierà a generare password ogni 30 secondi.

Yandex.Key non verifica il codice PIN che hai inserito e genera password monouso, anche se hai inserito il codice PIN in modo errato. In questo caso, anche le password create risultano errate e non potrai accedere con esse. Per inserire il codice PIN corretto, è sufficiente uscire dall'applicazione e riavviarla.

Caratteristiche delle password monouso:

Accedi con il codice QR

Alcuni servizi (ad esempio, la home page di Yandex, Passport e Mail) consentono di accedere a Yandex semplicemente puntando la fotocamera sul codice QR. In questo caso, il tuo dispositivo mobile deve essere connesso a Internet in modo che Yandex.Key possa contattare il server di autorizzazione.

    Fare clic sull'icona del codice QR nel browser.

    Se non è presente tale icona nel modulo di accesso, questo servizio può essere autorizzato solo con una password. In questo caso, puoi accedere utilizzando il codice QR in Passport, quindi andare al servizio desiderato.

    Inserisci il codice PIN in Yandex.Key e fai clic su Accedi con codice QR.

    Punta la fotocamera del tuo dispositivo sul codice QR visualizzato nel browser.

Yandex.Key riconosce il codice QR e invia il tuo nome utente e la password monouso a Yandex.Passport. Se superano il test, verrai automaticamente connesso al tuo browser. Se la password trasmessa risulta errata (ad esempio, a causa del fatto che il codice PIN è stato immesso in modo errato in Yandex.Key), il browser visualizzerà un messaggio standard su una password errata.

Accedi con un account Yandex a un'applicazione o un sito Web di terze parti

Le applicazioni o i siti che richiedono l'accesso ai tuoi dati su Yandex a volte richiedono l'inserimento di una password per accedere al tuo account. In tali casi, le password monouso non funzioneranno: è necessario creare una password dell'applicazione separata per ciascuna di tali applicazioni.

Attenzione. Solo le password monouso funzionano nelle applicazioni e nei servizi Yandex. Anche se crei una password dell'applicazione, ad esempio, per Yandex.Disk, non sarai in grado di accedere con essa.

Trasferimento Yandex.Key

È possibile trasferire la generazione di password monouso su un altro dispositivo o configurare Yandex.Key su più dispositivi contemporaneamente. Per fare ciò, apri la pagina Controllo accessi e fai clic su Sostituzione del dispositivo.

Diversi account in Yandex.Key

Lo stesso Yandex.Key può essere utilizzato per più account con password monouso. Per aggiungere un altro account all'applicazione, quando si impostano le password monouso nel passaggio 3, fare clic sull'icona nell'applicazione. Inoltre, puoi aggiungere la generazione di password a Yandex.Key per altri servizi che supportano tale autenticazione a due fattori. Le istruzioni per i servizi più popolari sono fornite nella pagina sulla creazione di codici di verifica non per Yandex.

Per rimuovere il legame di un account a Yandex.Key, tieni premuto il ritratto corrispondente nell'applicazione finché non appare una croce alla sua destra. Quando fai clic sulla croce, il collegamento del tuo account a Yandex.Key verrà rimosso.

Attenzione. Se elimini un account per il quale sono abilitate le password monouso, non potrai ricevere una password monouso per accedere a Yandex. In questo caso sarà necessario ripristinare l'accesso.

Impronte digitali al posto del codice PIN

Puoi utilizzare la tua impronta digitale invece di un codice pin sui seguenti dispositivi:

    smartphone con Android 6.0 e scanner di impronte digitali;

    iPhone da 5s;

    iPad di Air 2.

Nota.

Su smartphone e tablet con iOS, l'impronta digitale può essere aggirata inserendo la password del dispositivo. Per proteggersi da ciò, attiva la password principale o modifica la password con una più complessa: apri l'app Impostazioni e seleziona Touch ID e password.

Per utilizzare l'abilitazione della verifica dell'impronta digitale:

Password principale

Per proteggere ulteriormente le tue password monouso, crea una password principale: → Password principale.

Con una password principale puoi:

    consentire di inserire solo la password principale Yandex.Key anziché l'impronta digitale e non il codice di blocco del dispositivo;

Backup dei dati Yandex.Key

Puoi creare una copia di backup dei dati chiave sul server Yandex per poterla ripristinare se hai perso il telefono o il tablet con l'applicazione. I dati di tutti gli account aggiunti alla Chiave al momento della creazione della copia vengono copiati sul server. Non è possibile creare più di una copia di backup, ogni successiva copia dei dati per uno specifico numero di telefono sostituisce la precedente.

Per ottenere i dati da un backup, è necessario:

    avere accesso al numero di telefono che hai specificato durante la creazione;

    ricorda la password che hai impostato per crittografare il backup.

Attenzione. Il backup contiene solo gli accessi e i segreti necessari per generare password monouso. Devi ricordare il codice PIN che hai impostato quando hai abilitato le password monouso su Yandex.

Non è ancora possibile eliminare un backup dal server Yandex. Verrà rimosso automaticamente se non lo utilizzi entro un anno dalla sua creazione.

Fare un backup

    Scegliere oggetto Crea un backup nelle impostazioni dell'applicazione.

    Immettere il numero di telefono a cui sarà collegato il backup (ad esempio, "380123456789") e fare clic su Avanti.

    Yandex invierà un codice di conferma al numero di telefono inserito. Una volta ricevuto il codice, inseriscilo nell'app.

    Crea una password per crittografare il backup dei tuoi dati. Questa password non può essere recuperata, quindi assicurati di non dimenticarla o perderla.

    Inserisci due volte la password e fai clic su Fine. Yandex.Key crittograferà il backup, lo invierà al server Yandex e lo notificherà.

Ripristino da un backup

    Scegliere oggetto Ripristinare dal backup nelle impostazioni dell'applicazione.

    Immettere il numero di telefono utilizzato durante la creazione del backup (ad esempio, "380123456789") e fare clic su Avanti.

    Se viene trovata una copia di backup dei dati chiave per il numero specificato, Yandex invierà un codice di conferma a questo numero di telefono. Una volta ricevuto il codice, inseriscilo nell'app.

    Assicurati che la data e l'ora del backup, così come il nome del dispositivo, corrispondano al backup che desideri utilizzare. Quindi fare clic sul pulsante Ripristina.

    Inserisci la password che hai impostato durante la creazione del backup. Se non lo ricordi, purtroppo, sarà impossibile decrittografare la copia di backup.

    Yandex.Key decrittograferà i dati di backup e ti informerà che i dati sono stati ripristinati.

In che modo le password monouso dipendono dall'ora esatta

Quando si generano password monouso, Yandex.Key tiene conto dell'ora e del fuso orario correnti impostati sul dispositivo. Quando è disponibile una connessione Internet, la Chiave richiede anche l'ora esatta al server: se l'ora è impostata in modo errato sul dispositivo, l'applicazione la correggerà. Ma in alcune situazioni, anche dopo la modifica e con il codice PIN corretto, la password monouso sarà errata.

Se sei sicuro di aver inserito correttamente il PIN e la password, ma non riesci ad accedere:

    Assicurati che il tuo dispositivo sia impostato sull'ora e sul fuso orario corretti. Successivamente, prova ad accedere con una nuova password monouso.

    Connetti il ​​dispositivo a Internet in modo che Yandex.Key possa ottenere da solo l'ora esatta. Quindi riavvia l'app e prova a inserire una nuova password monouso.

Se il problema non si risolve, contatta l'assistenza utilizzando il modulo sottostante.

Fornisci feedback sull'autenticazione a due fattori

In questa pagina troverai informazioni su come disabilitare o abilitare l'autenticazione a due fattori su iPhone, che fornisce un'elevata protezione delle informazioni personali sul telefono. Se sei infastidito dalle continue notifiche sull'autenticazione a due fattori su iPhone e desideri disabilitare questa funzione, ma non ricordi dove disattivarla nelle impostazioni, questo articolo sarà rilevante anche per te.

Vediamo cos'è autenticazione a due fattori su iPhone e a cosa serve. L'autenticazione a due fattori è il livello massimo di sicurezza per un ID Apple e garantisce al proprietario dello smartphone che solo il proprietario può accedere all'account su iPhone, anche se la password è diventata in qualche modo nota a qualcun altro. Quando attivi l'autenticazione a due fattori, è possibile accedere al tuo account solo da iPhone, iPad, Mac, iPod touch affidabili con iOS 9 e versioni successive o Mac con OS X El Capitan e versioni successive. Quando accedi per la prima volta da un nuovo dispositivo, dovrai fornire una password e un codice di verifica a sei cifre, dopo aver inserito il codice correttamente, il dispositivo è considerato attendibile. Ad esempio, se sei il proprietario di un iPhone e devi accedere al tuo account per la prima volta su un nuovo computer Mac, ti verrà chiesto di inserire la password e il codice di verifica, che verranno immediatamente visualizzati sullo schermo del tuo i phone.

Vediamo dove nelle impostazioni di iPhone, iPad o iPod touch si attiva e disattiva questa funzione di protezione.
Su un dispositivo con iOS 10.3 o successivo.
"Impostazioni"> [il tuo nome]>

Su un dispositivo con iOS 10.2 o precedente.
Impostazioni> iCloud. Vai su ID Apple> Password e sicurezza, fai clic su Attiva autenticazione a due fattori e continua.

Per confermare il numero di telefono fidato a cui vogliamo ricevere i codici di verifica, indichiamo il numero di telefono, dopo di che viene inviato un codice di verifica al numero specificato. inserisci il codice di verifica che hai ricevuto sul numero specificato per abilitare l'autenticazione a due fattori.

Su un Mac con OS X El Capitan o successivo, segui i passaggi seguenti per abilitare l'autenticazione a due fattori.
apri il menu Apple > "Preferenze di Sistema" > iCloud > e "Account", fai clic sull'icona "Sicurezza" e "Attiva l'autenticazione a due fattori".

Cosa succede se ho dimenticato la mia password di autenticazione a due fattori? Puoi provare a reimpostare la password o a cambiare la password da un dispositivo attendibile nel modo seguente.
Sul tuo iPhone, iPad o iPod touch, vai su Impostazioni> [il tuo nome]. Se il dispositivo utilizza iOS 10.2 o versioni precedenti, quindi "Impostazioni"> iCloud> e il tuo ID Apple, quindi "Password e sicurezza", quindi "Cambia password" e quindi inserisci una nuova password. Su un Mac, reimposta o modifica la password di autenticazione a due fattori.
Apri il menu > accanto a "Preferenze di Sistema" quindi iCloud e seleziona la voce "Account. Se devi inserire la password dell'ID Apple, seleziona" Hai dimenticato l'ID Apple o la password? "E poi segui le istruzioni a schermo. Puoi salta i passaggi successivi Quindi, seleziona Sicurezza> e Reimposta password, ma prima di poter reimpostare la password dell'ID Apple, devi inserire la password che di solito usi per sbloccare il tuo Mac.

L'articolo è stato inviato da A. Chernov Stato di verifica e pagamento dell'articolo: verificato e pagato.

  • Spero che le informazioni sull'autenticazione a due fattori dell'iPhone siano state utili.
  • Ci piacerebbe avere tue notizie se aggiungi commenti o consigli utili sull'argomento della pagina.
  • Forse il tuo feedback o consiglio sarà il più utile.
  • Grazie per la vostra reattività, aiuto reciproco e consigli utili!

Ciao cari amici. Oggi ti dirò come impostare l'autenticazione a due fattori per un account Yandex e impostare una password su Yandex.Disk. Ciò proteggerà l'account principale e migliorerà la sicurezza delle singole applicazioni Yandex.

La protezione dei dati personali è il problema più grande su Internet. Gli utenti spesso trascurano le regole di sicurezza. Creano password semplici e identiche per diverse risorse Internet, le memorizzano in caselle di posta elettronica, le cui password vengono utilizzate anche su altre risorse. Questi sono solo alcuni degli errori comuni.

Se un utente malintenzionato ottiene l'accesso a uno degli account, altre risorse dell'utente saranno a rischio. E se teniamo conto del fatto che i virus sono in grado di ricordare l'inserimento delle password dalla tastiera, la situazione sembrerà ancora più triste. Ecco perché ogni utente di Internet deve seguire le regole di sicurezza di base:

- Creare password complesse.

- Non utilizzare le stesse password per risorse Internet diverse.

- Modificare le password regolarmente.

E usa anche metodi di protezione aggiuntivi. Uno di questi metodi è l'autenticazione a due fattori di Yandex.

Come funziona l'autenticazione a due fattori?

Come saprai, per accedere ad un'area riservata come email, pannello di amministrazione del sito, account di social media, hai bisogno di login e password. Ma questo è solo un livello di protezione. Per rafforzare la protezione, molti servizi introducono metodi di autenticazione aggiuntivi, come conferma sms, chiavi usb, applicazioni mobili.

Te l'ho già detto. Dove, oltre a login e password, l'applicazione mobile genera un codice di sicurezza. Quindi l'autenticazione a due fattori di Yandex funziona più o meno allo stesso modo.

Cioè, un ulteriore livello di protezione è l'applicazione mobile Yandex.Key, che cancella la vecchia password dall'account Yandex e genera una nuova password una tantum ogni 30 secondi.

Con questo livello di protezione, l'accesso al tuo account è possibile solo con una password o un codice QR monouso.

È sufficiente effettuare determinate impostazioni e in futuro punti la fotocamera del tuo smartphone sul codice QR e accedi al tuo account Yandex.

E se non puoi utilizzare la fotocamera dello smartphone o non c'è accesso a Internet, puoi sempre utilizzare la password monouso generata nell'applicazione mobile anche senza Internet.

La sicurezza dell'applicazione mobile Yandex.Key stessa è garantita dal codice PIN che crei quando colleghi il tuo account all'applicazione.

Bene, se hai uno smartphone o un tablet Apple, puoi utilizzare Touch ID invece di un codice pin.

Pertanto, l'accesso ai tuoi dati sarà chiuso in modo più sicuro.

Configurazione dell'autenticazione a due fattori.

Per cominciare, nella pagina principale di Yandex, accedi al tuo account in modo tradizionale. Quindi fai clic sul nome del tuo account (nome della casella di posta) e seleziona "Il passaporto".

Nella pagina appena aperta, fai clic sull'interruttore grafico, di fronte "Autenticazione a due fattori", e poi sul pulsante "Avvia configurazione".

La procedura di installazione stessa consiste in 4 passaggi che dovranno essere eseguiti su un computer e un dispositivo mobile.

Passaggio 1. Conferma del numero di telefono.

Se hai precedentemente collegato il tuo numero di telefono al tuo account Yandex, puoi ricevere immediatamente un codice di conferma. In caso contrario, inserire il numero di telefono e premere il pulsante "Per ottenere il codice".

Il codice arriverà al numero specificato. È necessario inserirlo in un campo apposito e fare clic sul pulsante "Confermare".

Passaggio 2. Codice PIN per l'applicazione mobile.

A questo punto, devi inventare e inserire due volte un codice PIN per l'applicazione mobile. È questo codice che aprirà l'accesso all'applicazione su uno smartphone o un tablet.

Inserisci il codice e clicca sul pulsante "Creare".

Passaggio 3. Installazione dell'applicazione mobile Yandex.Key e aggiunta di un account.

Quindi, dal tuo smartphone o tablet, vai su Google Play (per Android) e sull'App Store (per i gadget Apple). Quindi, scarica e installa l'app Yandex.Key.

Apri l'applicazione e fai clic sul pulsante "Aggiungi un account all'applicazione".

Aggiunta di un account all'app mobile Yandex.Key

Successivamente, dovrai puntare la fotocamera del dispositivo mobile sullo schermo del monitor, dove in quel momento verrà visualizzato un codice QR. Passa il mouse su questo codice.

Quindi, torna al computer e fai clic sul pulsante "Passo successivo".

Passaggio 4. Inserimento della password per l'applicazione mobile Yandex.Keyboard.

Dopo aver atteso il nuovo aggiornamento della chiave nell'applicazione mobile, inseriscila sul computer e premi il pulsante "Accendere".

Successivamente, dovrai inserire la vecchia password dal tuo account Yandex e fare clic sul pulsante "Confermare".

Terminare una connessione di autenticazione a due fattori

È tutto pronto. Hai protetto il tuo account con l'autenticazione a due fattori. Ora devi reinserire il tuo account su tutti i dispositivi utilizzando una password monouso o un codice QR.

Come accedere al tuo account utilizzando Yandex.Key.

Tutto è estremamente semplice. Nella pagina principale di Yandex, nel pannello di accesso e registrazione, fare clic sull'icona con i puntini di sospensione (...) e selezionare Ya.Klyuch dal menu.

In alternativa, puoi utilizzare il metodo di accesso tradizionale utilizzando il tuo login (indirizzo della casella di posta) e la password (password monouso per l'applicazione mobile Yandex.Key).

Come impostare una password su Yandex.Disk.

Collegando l'autenticazione a due fattori, puoi creare password separate per le applicazioni di terze parti che si collegano al tuo account. Questo meccanismo si attiva automaticamente dopo la connessione.

In questo modo utilizzerai una password adatta solo per l'unità.

Utilizzando password diverse per le applicazioni, rafforzi la linea di protezione dei tuoi dati.

Per creare una password è necessario accedere alla pagina di controllo accessi, selezionare un'applicazione, inserire un nome e premere il pulsante "Crea una password".

La password verrà generata automaticamente e verrà visualizzata una sola volta. Pertanto, copia questa password in un luogo sicuro. In caso contrario, sarà necessario rimuovere questa password e crearne una nuova.

Ora, quando colleghi Yandex.Disk tramite il protocollo WebDAV, utilizzerai questa particolare password.

Nota: le password dell'applicazione devono essere utilizzate anche se si disabilita l'autenticazione a due fattori. Questo ti eviterà di rivelare la password principale per il tuo Yandex.

Come disabilitare l'autenticazione a due fattori.

Per disabilitare l'autenticazione a due fattori, è necessario accedere alla pagina di controllo degli accessi e premere l'interruttore (On / Off).

Quindi inserisci la password monouso dall'applicazione mobile Yandex.Key e premi il pulsante "Confermare".

Creazione di una nuova password per il tuo account Yandex

Ora, per accedere al tuo account, utilizzerai nome utente e password, come hai fatto prima.

Importante: disabilitando l'autenticazione, le password create per le applicazioni vengono reimpostate. Dovrebbero essere ricreati.

E ora propongo di guardare un video tutorial, in cui mostro chiaramente l'intera procedura.

Per me oggi è tutto, amici. Se avete domande, sarò felice di rispondervi nei commenti.

Ti auguro successo, ci vediamo in nuovi video tutorial e articoli.

Cordiali saluti, Maxim Zaitsev.

Un raro post sul blog Yandex, e in particolare uno relativo alla sicurezza, non menzionava l'autenticazione a due fattori. Abbiamo pensato a lungo a come rafforzare adeguatamente la protezione degli account utente, e anche in modo che potesse utilizzarlo senza tutti gli inconvenienti che includono le implementazioni più comuni oggi. E loro, ahimè, sono scomodi. Secondo alcuni report, su molti siti di grandi dimensioni la quota di utenti che hanno abilitato ulteriori mezzi di autenticazione non supera lo 0,1%.

Questo sembra essere dovuto al fatto che lo schema di autenticazione a due fattori comune è troppo complesso e scomodo. Abbiamo cercato di trovare un modo che fosse più conveniente senza perdere il livello di protezione e oggi lo presentiamo in versione beta.

Speriamo che diventi più diffuso. Da parte nostra, siamo pronti a lavorare al suo miglioramento e alla successiva standardizzazione.

Dopo aver abilitato l'autenticazione a due fattori in Passport, dovrai installare l'applicazione Yandex.Key nell'App Store o Google Play. I codici QR sono apparsi nel modulo di autorizzazione sulla pagina principale di Yandex, Mail e Passport. Per accedere al tuo account, devi scansionare il codice QR tramite l'applicazione - e il gioco è fatto. Se non riesci a leggere il codice QR, ad esempio, la fotocamera dello smartphone non funziona o non c'è accesso a Internet, l'applicazione creerà una password monouso che sarà valida per soli 30 secondi.

Ti dirò perché abbiamo deciso di non utilizzare meccanismi "standard" come RFC 6238 o RFC 4226. Come funzionano gli schemi di autenticazione a due fattori comuni? Sono a due stadi. La prima fase è la consueta autenticazione con nome utente e password. Se ha successo, il sito controlla se "piace" a questa sessione utente o meno. E, se non ti piace, chiede all'utente di "riautenticarsi". Esistono due metodi comuni di "pre-autenticazione": inviare un SMS al numero di telefono associato all'account e generare una seconda password su uno smartphone. Fondamentalmente, per generare la seconda password viene utilizzato il TOTP secondo RFC 6238. Se l'utente ha inserito correttamente la seconda password, la sessione è considerata completamente autenticata e, in caso contrario, perde anche la sua autenticazione "preliminare".

Entrambi i metodi ─ invio di SMS e generazione di una password ─ prova della proprietà del telefono e quindi sono un fattore di disponibilità. La password inserita nel primo passaggio è un fattore di conoscenza. Pertanto, questo schema di autenticazione non è solo a due fasi, ma anche a due fattori.

Cosa ci sembrava problematico in questo schema?

Partiamo dal fatto che il computer di un utente medio non può sempre essere definito un modello di sicurezza: qui puoi disattivare gli aggiornamenti di Windows, una copia pirata di un antivirus senza firme moderne e software di dubbia provenienza tutto ciò non aumenta il livello di protezione. A nostro avviso, compromettere il computer di un utente è il metodo più diffuso per "dirottare" gli account (e di recente c'è stata un'ulteriore conferma di ciò), e voglio proteggermi prima di tutto. Nel caso dell'autenticazione in due passaggi, se assumiamo che il computer dell'utente sia compromesso, l'inserimento di una password su di esso compromette la password stessa, che è il primo fattore. Ciò significa che l'attaccante deve selezionare solo il secondo fattore. Nel caso di implementazioni RFC 6238 comuni, il secondo fattore è di 6 cifre decimali (e il massimo previsto dalla specifica è di 8 cifre). Secondo il calcolatore di forza bruta per OTP, in tre giorni un aggressore è in grado di rilevare il secondo fattore se in qualche modo conosce il primo. Non è chiaro cosa il servizio possa contrastare questo attacco senza interrompere la normale esperienza dell'utente. L'unica prova possibile di lavoro è captcha, che, a nostro avviso, è l'ultima risorsa.

Il secondo problema è la mancanza di trasparenza nel giudizio del servizio sulla qualità della sessione utente e nel prendere una decisione sulla necessità di "pre-autenticazione". Peggio ancora, il servizio non è interessato a rendere questo processo trasparente, perché la sicurezza per oscurità funziona davvero qui. Se l'attaccante sa, sulla base del quale il servizio prende una decisione sulla legittimità della sessione, può provare a falsificare questi dati. Da considerazioni di carattere generale, si può concludere che il giudizio viene espresso sulla base della cronologia di autenticazione dell'utente, tenendo conto dell'indirizzo IP (e da esso derivato il numero di sistema autonomo che identifica il provider e la posizione in base alla geobase) e del browser dati, ad esempio, l'intestazione dell'agente utente e un set di cookie, flash lso e archiviazione locale html. Ciò significa che se un utente malintenzionato controlla il computer di un utente, ha la possibilità non solo di rubare tutti i dati necessari, ma anche di utilizzare l'indirizzo IP della vittima. Inoltre, se la decisione viene presa sulla base dell'ASN, qualsiasi autenticazione dal Wi-Fi pubblico nella caffetteria può portare ad "avvelenamento" in termini di sicurezza (e whitewashing in termini di servizio) del fornitore di questo caffè negozio e, ad esempio, imbiancando tutti i bar della città. ... Abbiamo parlato del lavoro del sistema di rilevamento delle anomalie, e potrebbe essere applicato, ma il tempo tra la prima e la seconda fase di autenticazione potrebbe non essere sufficiente per un giudizio sicuro sull'anomalia. Inoltre, questo stesso argomento distrugge l'idea di computer "fidati": un utente malintenzionato può rubare qualsiasi informazione che influisca sul giudizio di fiducia.

Infine, l'autenticazione in due passaggi è semplicemente scomoda: i nostri studi di usabilità mostrano che nulla infastidisce gli utenti quanto una schermata intermedia, pressioni di pulsanti aggiuntive e altre azioni "poco importanti" dal suo punto di vista.
Sulla base di ciò, abbiamo deciso che l'autenticazione dovesse essere one-step e che lo spazio della password dovesse essere molto più grande di quanto sia possibile fare nel framework della "pura" RFC 6238.
Allo stesso tempo, volevamo mantenere il più possibile l'autenticazione a due fattori.

La multifattorialità nell'autenticazione è determinata assegnando elementi di autenticazione (infatti, sono chiamati fattori) in una delle tre categorie:

  1. Fattori di conoscenza (si tratta di password tradizionali, codici pin e tutto ciò che gli assomiglia);
  2. Fattori di proprietà (negli schemi OTP utilizzati, di regola, questo è uno smartphone, ma può anche essere un token hardware);
  3. Fattori biometrici (l'impronta digitale è la più comune ora, anche se qualcuno ricorderà l'episodio con l'eroe di Wesley Snipes nel film Demolition Man).

Sviluppo del nostro sistema

Quando abbiamo iniziato ad affrontare il problema dell'autenticazione a due fattori (le prime pagine del wiki aziendale su questo tema risalgono al 2012, ma se ne parlava dietro le quinte prima), la prima idea è stata quella di prendere dei metodi di autenticazione standard e applicarli qui . Abbiamo capito che non possiamo aspettarci che milioni di nostri utenti acquistino un token hardware, quindi questa opzione è stata rimandata per alcuni casi esotici (sebbene non la abbandoniamo completamente, forse riusciremo a tirar fuori qualcosa di interessante). Anche il metodo con SMS potrebbe non essere diffuso: è un metodo di consegna molto inaffidabile (nel momento più cruciale gli SMS possono essere ritardati o non ricevuti affatto), e inviare SMS costa (e gli operatori hanno iniziato ad aumentare il loro prezzo). Abbiamo deciso che l'uso degli SMS è il destino delle banche e di altre società a bassa tecnologia e vogliamo offrire ai nostri utenti qualcosa di più conveniente. In generale, la scelta non è stata delle migliori: utilizzare lo smartphone e il programma in esso contenuto come secondo fattore.

Questa forma di autenticazione one-step è molto diffusa: l'utente ricorda il codice pin (il primo fattore), ha un token hardware o software (nello smartphone) che genera OTP (il secondo fattore). Nel campo di immissione della password, inserisce il codice PIN e il valore OTP corrente.

A nostro avviso, il principale svantaggio di questo schema è lo stesso dell'autenticazione in due passaggi: se assumiamo che il desktop dell'utente sia compromesso, allora una singola immissione del codice PIN porta alla sua divulgazione e l'attaccante può scegliere solo il secondo fattore.

Abbiamo deciso di fare il contrario: la password è interamente generata dal segreto, ma solo una parte del segreto è memorizzata nello smartphone, e una parte viene inserita dall'utente ogni volta che viene generata la password. Pertanto, lo smartphone stesso è un fattore di proprietà e la password rimane nella testa dell'utente ed è un fattore di conoscenza.

Il Nonce può essere un contatore o l'ora corrente. Abbiamo deciso di scegliere l'ora corrente, questo ci permette di non aver paura della desincronizzazione nel caso qualcuno generi troppe password e aumenti il ​​contatore.

Quindi, abbiamo un programma per smartphone, in cui l'utente inserisce la sua parte del segreto, viene mescolata con la parte memorizzata, il risultato viene utilizzato come chiave HMAC, che segna l'ora corrente, arrotondata a 30 secondi. L'output HMAC è reso leggibile dall'uomo e voilà - ecco la password usa e getta!

Come accennato, RFC 4226 suggerisce di troncare l'output HMAC a un massimo di 8 cifre decimali. Abbiamo deciso che una password di queste dimensioni non è adatta per l'autenticazione in un solo passaggio e dovrebbe essere aumentata. Allo stesso tempo, volevamo preservare la facilità d'uso (dopotutto, ricorda, voglio creare un sistema che possa essere utilizzato dalla gente comune, e non solo dai fanatici della sicurezza), quindi come compromesso nella versione attuale del sistema, abbiamo scelto il troncamento a 8 caratteri dell'alfabeto latino. Sembra che 26^8 password valide per 30 secondi siano abbastanza accettabili, ma se il margine di sicurezza non ci soddisfa (o su Habré compaiono preziosi consigli su come migliorare questo schema), ci espanderemo, ad esempio, a 10 caratteri.

Scopri di più sulla forza di tali password

Infatti, per le lettere latine senza distinzione tra maiuscole e minuscole, il numero di opzioni per segno è 26, per le lettere latine maiuscole e minuscole più i numeri, il numero di opzioni è 26 + 26 + 10 = 62. Quindi log 62 (26 10) ≈ 7.9, ovvero una password di 10 lettere latine piccole casuali è forte quasi quanto una password di 8 lettere o numeri latini grandi e piccoli casuali. Questo è sicuramente sufficiente per 30 secondi. Se parliamo di una password di 8 caratteri composta da lettere latine, la sua forza è log 62 (26 8) ≈ 6.3, ovvero poco più di una password di 6 caratteri composta da lettere grandi e piccole e numeri. Riteniamo che questo sia ancora accettabile per una finestra di 30 secondi.

Magia, assenza di password, applicazioni e la via da seguire

In generale ci saremmo potuti fermare a questo, ma abbiamo voluto rendere il sistema ancora più comodo. Quando una persona ha uno smartphone in mano, non vuole inserire la password dalla tastiera!

Pertanto, abbiamo iniziato a lavorare sul "login magico". Con questo metodo di autenticazione, l'utente avvia l'applicazione sullo smartphone, inserisce il suo codice PIN e scansiona il codice QR sullo schermo del suo computer. Se il codice PIN viene inserito correttamente, la pagina nel browser viene ricaricata e l'utente viene autenticato. Magia!

Come funziona?

Il numero di sessione è codificato nel codice QR e, quando l'applicazione lo scansiona, questo numero viene trasmesso al server insieme alla password e al nome utente generati nel modo consueto. Questo non è difficile, perché lo smartphone è quasi sempre online. Nel layout della pagina che mostra il codice QR, JavaScript è in esecuzione, in attesa dal lato server di una risposta per verificare la password con la sessione data. Se il server risponde che la password è corretta, viene impostato un cookie di sessione insieme alla risposta e l'utente viene considerato autenticato.

È andata meglio, ma anche qui abbiamo deciso di non fermarci. A partire dall'iPhone 5S, lo scanner di impronte digitali TouchID è apparso nei telefoni e tablet Apple e nella versione 8 di iOS sono disponibili anche applicazioni di terze parti per utilizzarlo. In effetti, l'applicazione non ottiene l'accesso all'impronta digitale, ma se l'impronta digitale è corretta, diventa disponibile una sezione Portachiavi aggiuntiva per l'applicazione. Ne abbiamo approfittato. La seconda parte del segreto è collocata nella voce Portachiavi protetto da TouchID, quella che l'utente ha inserito da tastiera nello script precedente. Quando si sblocca il portachiavi, le due parti del segreto vengono mescolate e quindi il processo funziona come descritto sopra.

Ma l'utente è diventato incredibilmente comodo: apre l'applicazione, mette il dito, scansiona il codice QR sullo schermo e si autentica nel browser del computer! Quindi abbiamo sostituito il fattore conoscenza con uno biometrico e, dal punto di vista dell'utente, abbiamo completamente abbandonato le password. Siamo sicuri che le persone comuni troveranno un tale schema molto più conveniente rispetto all'inserimento manuale di due password.

È possibile discutere di quanto sia formalmente a due fattori tale autenticazione, ma in realtà, per superarla con successo, è ancora necessario disporre di un telefono e avere l'impronta digitale corretta, quindi crediamo di essere completamente riusciti ad abbandonare il fattore conoscenza, sostituendolo con la biometria. Comprendiamo che ci affidiamo alla sicurezza di ARM TrustZone al centro di iOS Secure Enclave e crediamo che sia attualmente considerato affidabile in base al nostro modello di minaccia. Certo, siamo consapevoli dei problemi dell'autenticazione biometrica: un'impronta digitale non è una password e non può essere sostituita in caso di compromissione. Ma, d'altra parte, tutti sanno che la sicurezza è inversamente proporzionale alla convenienza e l'utente stesso ha il diritto di scegliere un rapporto accettabile tra l'uno e l'altro.

Lascia che ti ricordi che questa è ancora beta. Ora, quando abiliti l'autenticazione a due fattori, disabilitiamo temporaneamente la sincronizzazione della password in Yandex Browser. Ciò è dovuto al modo in cui è organizzata la crittografia del database delle password. Stiamo già escogitando un modo conveniente per autenticare il browser in caso di 2FA. Tutte le altre funzionalità di Yandex funzionano come prima.

Ecco cosa abbiamo ottenuto. Sembra aver funzionato bene, ma sta a te giudicare. Saremo lieti di ricevere feedback e raccomandazioni e noi stessi continueremo a lavorare per migliorare la sicurezza dei nostri servizi: ora, insieme a CSP, crittografia del trasporto della posta e tutto il resto, abbiamo l'autenticazione a due fattori. Tieni presente che i servizi di autenticazione e le applicazioni di generazione OTP sono fondamentali e quindi raddoppiano il bonus Bug Bounty per i bug trovati in essi.

Tag: Aggiungi tag

Principali articoli correlati

Diversi movimenti del mouse in verticale e in orizzontale
Diversi movimenti del mouse in verticale e in orizzontale
Come comprimere le trame in fallout 4
Come comprimere le trame in fallout 4
Resta solo da capire il livello richiesto
Resta solo da capire il livello richiesto
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.