Molti utenti le cui attività sono legate al fare soldi su Internet o alla memorizzazione di informazioni importanti sulla rete cercano di proteggere i propri account dall'hacking e dal furto di dati riservati.
Naturalmente, una password complessa, che include numeri e lettere, oltre a caratteri speciali, è una protezione abbastanza affidabile, ma l'effetto massimo è fornito dall'autenticazione a due fattori.
Tuttavia, non tutti conoscono questa opzione per proteggere i propri account, e questo nonostante il fatto che oggi sempre più servizi (servizi postali, social network, ecc.) offrano di sfruttare questa opportunità.
Che cos'è l'autenticazione a due fattori?
Quindi, di che tipo di protezione stiamo parlando? In effetti, hai già visto la verifica in due passaggi. Ad esempio, quando andrai ad eseguire qualsiasi operazione con denaro sul sito WebMoney, allora, oltre al tuo login e password, dovrai specificare un codice di conferma che verrà inviato al tuo cellulare.
In altre parole, l'autenticazione a due fattori è la seconda chiave del tuo account. Se attivi questa opzione, ad esempio, in Evernote (c'è una tale opportunità), un utente malintenzionato che è riuscito a trovare una password per questo servizio di note dovrà affrontare un altro problema: il requisito di specificare un codice una tantum che arriva al tuo numero di telefono. Vale la pena notare che in caso di tentativo di hackerare il tuo account, riceverai un SMS e potrai cambiare immediatamente la tua password.
Accetta che questa è un'opzione molto conveniente, utilizzando la quale sarai meno preoccupato per la perdita di informazioni personali.
Dov'è il migliore da usare?
Naturalmente, alcuni utenti potrebbero obiettare, sostenendo che la verifica in due passaggi è troppo "movimento non necessario" e, in generale, è destinata ai paranoici, che pensano sempre che qualcuno li stia seguendo.
Forse hanno un po' ragione. Ad esempio, per i social network non è affatto necessario utilizzare questo metodo di protezione. Anche se qui è possibile discutere. Di norma, i criminali informatici cercano di hackerare gli account degli amministratori di popolari siti "pubblici". Sì, e anche tu, molto probabilmente, non vorresti nemmeno notare un giorno che il tuo account in uno dei "social network" è stato violato e sul "Wall" sono state pubblicate foto assolutamente indecenti.
Come per altri servizi, ad esempio, l'autenticazione a due fattori Yandex ti consentirà di archiviare in modo sicuro i tuoi dati di registrazione da WebMoney e altri) o lettere contenenti informazioni segrete.
Protezione del tuo account Google
Uno dei servizi più popolari oggi è Google. È qui che puoi registrare una casella di posta elettronica, archiviare documenti su un'unità Google, creare un blog o un canale YouTube gratuitamente, che in seguito può portarti profitti.
Affinché gli utenti siano sicuri della sicurezza dei documenti archiviati nella posta o su disco, viene offerta l'autenticazione Google a due fattori. Per attivarlo, devi accedere al tuo account.
Ora, dopo aver aperto, ad esempio, una cassetta postale, presta attenzione all'avatar nell'angolo in alto a destra. Fare clic su di esso e andare su "Il mio account". Qui hai bisogno di una sezione chiamata "Sicurezza e accesso", ovvero il link "Accedi al tuo account Google".
Sulla destra vedrai l'opzione "Verifica in due passaggi", dove devi fare clic sulla freccia per attivarla. Si aprirà una finestra in cui sei interessato al pulsante "Avvia impostazione". Inserisci la tua password e segui le ulteriori istruzioni.
Autenticazione a due fattori Yandex
Yandex offre anche ai suoi utenti molti servizi utili. Oltre all'archiviazione cloud delle informazioni su Yandex.Disk, puoi procurarti un portafoglio elettronico, dove ritirerai i soldi guadagnati su Internet.
E, naturalmente, Yandex non si è fatto da parte e offre anche ai suoi utenti di utilizzare l'autenticazione a due fattori per proteggere i documenti archiviati nella loro casella di posta.
Per abilitarlo, devi seguire alcuni semplici passaggi. Accedi al tuo account e fai clic su LMB sulla tua foto del profilo (nell'angolo in alto a destra). Seleziona "Passaporto" dal menu a discesa. Si aprirà una finestra in cui è necessario fare clic sul collegamento "Controllo dell'accesso". Impostare il "cursore" in posizione "ON". Verrai reindirizzato a una pagina in cui dovrai fare clic sul pulsante "Avvia configurazione". Ora passa attraverso le 4 fasi di attivazione della protezione a due fattori.
Rete sociale VKontakte"
Come accennato in precedenza, i criminali informatici di solito cercano di accedere agli account degli "admin" dei gruppi popolari. Ma non è sempre così, perché può essere interessante anche la corrispondenza personale di qualche persona nota su Internet.
Vale la pena notare che per alcuni utenti questo metodo di protezione di un account nel tempo inizia a irritare, poiché richiede l'immissione costante di un codice segreto, oltre a nome utente e password. In questi casi, devi sapere come disabilitare l'autenticazione a due fattori. Tuttavia, prima, scopriamo come attivare questa opzione.
In effetti, abilitare la verifica in due passaggi è molto semplice. Seleziona "Le mie impostazioni" e poi vai alla scheda "Sicurezza". Nella sezione "Conferma accesso", fai clic sul pulsante "Connetti". Ora segui tutti i requisiti in sequenza.
Disabilitare l'autenticazione a due fattori
Per disattivare la protezione in due fasi in Yandex, dovrai tornare al tuo passaporto facendo clic sul tuo avatar. Successivamente, apri la sezione "Controllo accesso" e imposta il dispositivo di scorrimento sulla posizione "Off".
Conclusione
Ora sai cos'è l'autenticazione a doppio ciclo e a cosa serve. Utilizzando questo o quel servizio, puoi attivare questa protezione aggiuntiva o rifiutare tale opportunità.
Naturalmente, in alcuni casi si consiglia vivamente di abilitare la verifica in due passaggi. Ad esempio, quando ti sei registrato su WebMoney, hai specificato la tua posta da Yandex. Durante la navigazione in Internet, puoi cadere preda di hacker che entrano nella tua casella di posta e accedono al tuo portafoglio elettronico. Per evitare che ciò accada, è meglio installare e associare un'e-mail al telefono. Pertanto, puoi reagire rapidamente se qualcuno cerca di hackerarti.
Un raro post sul blog Yandex, e in particolare uno relativo alla sicurezza, non menzionava l'autenticazione a due fattori. Abbiamo pensato a lungo a come rafforzare adeguatamente la protezione degli account utente, e anche in modo che potesse essere utilizzato senza tutti gli inconvenienti che includono le implementazioni più comuni oggi. E loro, ahimè, sono scomodi. Secondo alcuni report, su molti siti di grandi dimensioni la quota di utenti che hanno abilitato ulteriori mezzi di autenticazione non supera lo 0,1%.
Questo sembra essere dovuto al fatto che lo schema di autenticazione a due fattori comune è troppo complesso e scomodo. Abbiamo cercato di trovare un modo che fosse più conveniente senza perdere il livello di protezione e oggi lo presentiamo in versione beta.
Speriamo che diventi più diffuso. Da parte nostra, siamo pronti a lavorare al suo miglioramento e alla successiva standardizzazione.
Dopo aver abilitato l'autenticazione a due fattori in Passport, dovrai installare l'applicazione Yandex.Key nell'App Store o Google Play. I codici QR sono apparsi nel modulo di autorizzazione sulla pagina principale di Yandex, Mail e Passport. Per accedere al tuo account, devi scansionare il codice QR tramite l'applicazione - e il gioco è fatto. Se non riesci a leggere il codice QR, ad esempio, la fotocamera dello smartphone non funziona o non c'è accesso a Internet, l'applicazione creerà una password monouso che sarà valida per soli 30 secondi.
Ti dirò perché abbiamo deciso di non utilizzare meccanismi "standard" come RFC 6238 o RFC 4226. Come funzionano gli schemi di autenticazione a due fattori comuni? Sono a due stadi. La prima fase è la consueta autenticazione con nome utente e password. Se ha successo, il sito controlla se "piace" a questa sessione utente o meno. E, se non ti piace, chiede all'utente di "riautenticarsi". Esistono due metodi comuni di "pre-autenticazione": inviare un SMS al numero di telefono associato all'account e generare una seconda password su uno smartphone. Fondamentalmente, per generare la seconda password viene utilizzato il TOTP secondo RFC 6238. Se l'utente ha inserito correttamente la seconda password, la sessione viene considerata completamente autenticata e, in caso contrario, perde anche la sua autenticazione "preliminare".
Entrambi i metodi ─ invio di SMS e generazione di una password ─ prova di proprietà del telefono e quindi sono un fattore di disponibilità. La password inserita nel primo passaggio è un fattore di conoscenza. Pertanto, questo schema di autenticazione non è solo a due fasi, ma anche a due fattori.
Cosa ci sembrava problematico in questo schema?
Partiamo dal fatto che il computer di un utente medio non può sempre essere definito un modello di sicurezza: qui puoi disattivare gli aggiornamenti di Windows, una copia pirata di un antivirus senza firme moderne e software di dubbia provenienza ─ tutto ciò non aumenta il livello di protezione. A nostro avviso, compromettere il computer di un utente è il metodo più diffuso per "dirottare" gli account (e di recente c'è stata un'ulteriore conferma di ciò), e voglio proteggermi prima di tutto. Nel caso dell'autenticazione in due passaggi, se assumiamo che il computer dell'utente sia compromesso, l'inserimento di una password su di esso compromette la password stessa, che è il primo fattore. Ciò significa che l'attaccante deve selezionare solo il secondo fattore. Nel caso delle comuni implementazioni RFC 6238, il secondo fattore è di 6 cifre decimali (e il massimo previsto dalla specifica è di 8 cifre). Secondo il calcolatore di forza bruta per OTP, in tre giorni un aggressore è in grado di rilevare il secondo fattore se in qualche modo conosce il primo. Non è chiaro cosa il servizio possa contrastare questo attacco senza interrompere la normale esperienza dell'utente. L'unica prova possibile di lavoro è captcha, che, a nostro avviso, è l'ultima risorsa.Il secondo problema è la mancanza di trasparenza nel giudizio del servizio sulla qualità della sessione dell'utente e nel prendere una decisione sulla necessità di "pre-autenticazione". Peggio ancora, il servizio non è interessato a rendere questo processo trasparente, perché la sicurezza per oscurità funziona davvero qui. Se l'attaccante sa, sulla base del quale il servizio prende una decisione sulla legittimità della sessione, può provare a falsificare questi dati. Da considerazioni di carattere generale, possiamo concludere che il giudizio viene espresso sulla base della cronologia di autenticazione dell'utente, tenendo conto dell'indirizzo IP (e da esso derivato il numero di sistema autonomo che identifica il provider e la posizione in base alla geobase) e del browser dati, ad esempio, l'intestazione dell'agente utente e un insieme di cookie, flash lso e archiviazione locale html. Ciò significa che se un utente malintenzionato controlla il computer di un utente, ha la possibilità non solo di rubare tutti i dati necessari, ma anche di utilizzare l'indirizzo IP della vittima. Inoltre, se la decisione viene presa sulla base dell'ASN, allora qualsiasi autenticazione dal Wi-Fi pubblico nella caffetteria può portare ad "avvelenamento" in termini di sicurezza (e whitewashing in termini di servizio) del fornitore di questo caffè negozio e, ad esempio, imbiancando tutti i bar della città. ... Abbiamo parlato del lavoro del sistema di rilevamento delle anomalie, e potrebbe essere applicato, ma il tempo tra la prima e la seconda fase di autenticazione potrebbe non essere sufficiente per un giudizio sicuro sull'anomalia. Inoltre, questo stesso argomento distrugge l'idea di computer "fidati": un utente malintenzionato può rubare qualsiasi informazione che influisca sul giudizio di fiducia.
Infine, l'autenticazione in due passaggi è semplicemente scomoda: i nostri studi di usabilità mostrano che nulla infastidisce gli utenti tanto quanto una schermata intermedia, pressioni di pulsanti aggiuntive e altre azioni "poco importanti" dal suo punto di vista.
Sulla base di ciò, abbiamo deciso che l'autenticazione dovesse essere one-step e che lo spazio per le password dovesse essere molto più grande di quanto sia possibile fare nel quadro della "pura" RFC 6238.
Allo stesso tempo, volevamo mantenere il più possibile l'autenticazione a due fattori.
La multifattorialità nell'autenticazione è determinata assegnando elementi di autenticazione (infatti, sono chiamati fattori) in una delle tre categorie:
- Fattori di conoscenza (si tratta di password tradizionali, codici pin e tutto ciò che gli assomiglia);
- Fattori di proprietà (negli schemi OTP utilizzati, di regola, questo è uno smartphone, ma può anche essere un token hardware);
- Fattori biometrici (l'impronta digitale è la più comune ora, anche se qualcuno ricorderà l'episodio con l'eroe di Wesley Snipes nel film Demolition Man).
Sviluppo del nostro sistema
Quando abbiamo iniziato ad affrontare il problema dell'autenticazione a due fattori (le prime pagine del wiki aziendale su questo tema risalgono al 2012, ma se ne parlava dietro le quinte prima), la prima idea è stata quella di prendere dei metodi di autenticazione standard e applicarli qui . Abbiamo capito che non possiamo aspettarci che milioni di nostri utenti acquistino un token hardware, quindi questa opzione è stata rimandata per alcuni casi esotici (sebbene non la abbandoniamo completamente, forse riusciremo a tirar fuori qualcosa di interessante). Anche il metodo con SMS potrebbe non essere diffuso: è un metodo di consegna molto inaffidabile (nel momento più cruciale, gli SMS possono essere ritardati o non ricevuti affatto), e inviare SMS costa (e gli operatori hanno iniziato ad aumentare il loro prezzo). Abbiamo deciso che l'uso degli SMS è il destino delle banche e di altre società a bassa tecnologia e vogliamo offrire ai nostri utenti qualcosa di più conveniente. In generale, la scelta non è stata delle migliori: utilizzare lo smartphone e il programma in esso contenuto come secondo fattore.Questa forma di autenticazione one-step è molto diffusa: l'utente ricorda il codice pin (il primo fattore), ha un token hardware o software (nello smartphone) che genera OTP (il secondo fattore). Nel campo di immissione della password, inserisce il codice PIN e il valore OTP corrente.
A nostro avviso, lo svantaggio principale di questo schema è lo stesso di quello dell'autenticazione in due passaggi: se assumiamo che il desktop dell'utente sia compromesso, allora una singola immissione del codice PIN porta alla sua divulgazione e l'attaccante può scegliere solo il secondo fattore.
Abbiamo deciso di percorrere la strada opposta: la password è interamente generata dal segreto, ma solo una parte del segreto è memorizzata nello smartphone, e una parte viene inserita dall'utente ogni volta che viene generata la password. Pertanto, lo smartphone stesso è un fattore di proprietà e la password rimane nella testa dell'utente ed è un fattore di conoscenza.
Il Nonce può essere un contatore o l'ora corrente. Abbiamo deciso di scegliere l'ora corrente, questo ci permette di non aver paura della desincronizzazione nel caso qualcuno generi troppe password e aumenti il contatore.
Quindi, abbiamo un programma per smartphone, in cui l'utente inserisce la sua parte del segreto, viene mescolata con la parte memorizzata, il risultato viene utilizzato come chiave HMAC, che segna l'ora corrente, arrotondata a 30 secondi. L'output HMAC è reso leggibile dall'uomo e voilà - ecco la password monouso!
Come accennato, RFC 4226 suggerisce di troncare l'output HMAC a un massimo di 8 cifre decimali. Abbiamo deciso che una password di queste dimensioni non è adatta per l'autenticazione in un solo passaggio e dovrebbe essere aumentata. Allo stesso tempo, volevamo preservare la facilità d'uso (dopotutto, ricorda, voglio creare un sistema che possa essere utilizzato dalla gente comune, e non solo dai fanatici della sicurezza), quindi come compromesso nella versione attuale del sistema, abbiamo scelto il troncamento a 8 caratteri dell'alfabeto latino. Sembra che 26^8 password valide per 30 secondi siano abbastanza accettabili, ma se il margine di sicurezza non ci soddisfa (o su Habré compaiono preziosi consigli su come migliorare questo schema), ci espanderemo, ad esempio, a 10 caratteri.
Scopri di più sulla forza di tali password
Infatti, per le lettere latine senza distinzione tra maiuscole e minuscole, il numero di opzioni per segno è 26, per le lettere latine maiuscole e minuscole più i numeri, il numero di opzioni è 26 + 26 + 10 = 62. Quindi log 62 (26 10) ≈ 7.9, ovvero una password di 10 lettere latine piccole casuali è forte quasi quanto una password di 8 lettere o numeri latini grandi e piccoli casuali. Questo è sicuramente sufficiente per 30 secondi. Se parliamo di una password di 8 caratteri composta da lettere latine, la sua forza è log 62 (26 8) ≈ 6.3, ovvero poco più di una password di 6 caratteri composta da lettere grandi, piccole e numeri. Riteniamo che questo sia ancora accettabile per una finestra di 30 secondi.Magia, assenza di password, applicazioni e la via da seguire
In generale ci saremmo potuti fermare a questo, ma abbiamo voluto rendere il sistema ancora più comodo. Quando una persona ha uno smartphone in mano, non vuole inserire la password dalla tastiera!
Pertanto, abbiamo iniziato a lavorare sul "login magico". Con questo metodo di autenticazione, l'utente avvia l'applicazione sullo smartphone, inserisce il proprio codice PIN e scansiona il codice QR sullo schermo del computer. Se il codice PIN viene inserito correttamente, la pagina nel browser viene ricaricata e l'utente viene autenticato. Magia!
Come funziona?
Il numero di sessione è codificato nel codice QR e, quando l'applicazione lo scansiona, questo numero viene trasmesso al server insieme alla password e al nome utente generati nel modo consueto. Questo non è difficile, perché lo smartphone è quasi sempre online. Nel layout della pagina che mostra il codice QR, JavaScript è in esecuzione, in attesa dal lato server di una risposta per verificare la password con la sessione data. Se il server risponde che la password è corretta, insieme alla risposta viene impostato un cookie di sessione e l'utente viene considerato autenticato.È andata meglio, ma anche qui abbiamo deciso di non fermarci. A partire dall'iPhone 5S, lo scanner di impronte digitali TouchID è apparso nei telefoni e tablet Apple e nella versione 8 di iOS sono disponibili anche applicazioni di terze parti per utilizzarlo. In effetti, l'applicazione non ottiene l'accesso all'impronta digitale, ma se l'impronta digitale è corretta, diventa disponibile una sezione Portachiavi aggiuntiva per l'applicazione. Ne abbiamo approfittato. La seconda parte del segreto è collocata nella voce Portachiavi protetto da TouchID, quella che l'utente ha inserito da tastiera nello script precedente. Quando si sblocca il portachiavi, le due parti del segreto vengono mescolate e quindi il processo funziona come descritto sopra.
Ma l'utente è diventato incredibilmente comodo: apre l'applicazione, mette il dito, scansiona il codice QR sullo schermo e si autentica nel browser del computer! Quindi abbiamo sostituito il fattore conoscenza con uno biometrico e, dal punto di vista dell'utente, abbiamo completamente abbandonato le password. Siamo sicuri che le persone comuni troveranno un tale schema molto più conveniente rispetto all'inserimento manuale di due password.
È possibile discutere di quanto sia formalmente a due fattori tale autenticazione, ma in realtà, per superarla con successo, è ancora necessario disporre di un telefono e avere l'impronta digitale corretta, quindi crediamo di essere riusciti completamente ad abbandonare il fattore conoscenza, sostituendolo con la biometria. Comprendiamo che ci affidiamo alla sicurezza di ARM TrustZone al centro di iOS Secure Enclave e crediamo che sia attualmente considerato affidabile in base al nostro modello di minaccia. Certo, siamo consapevoli dei problemi dell'autenticazione biometrica: un'impronta digitale non è una password e non può essere sostituita in caso di compromissione. Ma, d'altra parte, tutti sanno che la sicurezza è inversamente proporzionale alla convenienza e l'utente stesso ha il diritto di scegliere un rapporto accettabile tra l'uno e l'altro.
Lascia che ti ricordi che questa è ancora beta. Ora, quando abiliti l'autenticazione a due fattori, disabilitiamo temporaneamente la sincronizzazione della password in Yandex Browser. Ciò è dovuto al modo in cui è organizzata la crittografia del database delle password. Stiamo già escogitando un modo conveniente per autenticare il browser in caso di 2FA. Tutte le altre funzionalità di Yandex funzionano come prima.
Ecco cosa abbiamo ottenuto. Sembra che abbia funzionato bene, ma sta a te giudicare. Saremo lieti di ricevere feedback e raccomandazioni e noi stessi continueremo a lavorare per migliorare la sicurezza dei nostri servizi: ora, insieme a CSP, crittografia del trasporto della posta e tutto il resto, abbiamo l'autenticazione a due fattori. Tieni presente che i servizi di autenticazione e le applicazioni di generazione OTP sono fondamentali e quindi raddoppiano il bonus Bug Bounty per i bug trovati in essi.
Tag: Aggiungi tag
Attenzione. Le applicazioni sviluppate in Yandex richiedono una password monouso: anche le password delle applicazioni create correttamente non funzioneranno.
- Accedi con il codice QR
- Trasferimento Yandex.Key
- Password principale
Accedi al servizio o all'applicazione Yandex
Puoi inserire una password monouso in qualsiasi forma di autorizzazione su Yandex o nelle applicazioni sviluppate da Yandex.
Nota.
La password monouso deve essere inserita in tempo mentre viene visualizzata nell'applicazione. Se rimane troppo poco tempo prima dell'aggiornamento, attendi semplicemente una nuova password.
Per ottenere una password monouso, avvia Yandex.Key e inserisci il codice pin che hai impostato durante l'impostazione dell'autenticazione a due fattori. L'app inizierà a generare password ogni 30 secondi.
Yandex.Key non verifica il codice PIN che hai inserito e genera password monouso, anche se hai inserito il codice PIN in modo errato. In questo caso, anche le password create risultano errate e non potrai accedere con esse. Per inserire il codice PIN corretto, è sufficiente uscire dall'applicazione e riavviarla.
Caratteristiche delle password monouso:
Accedi con il codice QR
Alcuni servizi (ad esempio, la home page di Yandex, Passport e Mail) consentono di accedere a Yandex semplicemente puntando la fotocamera sul codice QR. In questo caso, il tuo dispositivo mobile deve essere connesso a Internet in modo che Yandex.Key possa contattare il server di autorizzazione.
Fare clic sull'icona del codice QR nel browser.
Se non è presente tale icona nel modulo di accesso, questo servizio può essere autorizzato solo con una password. In questo caso, puoi accedere utilizzando il codice QR in Passport, quindi andare al servizio desiderato.
Inserisci il codice pin in Yandex.Key e fai clic su Accedi con codice QR.
Punta la fotocamera del tuo dispositivo sul codice QR visualizzato nel browser.
Yandex.Key riconosce il codice QR e invia il nome utente e la password monouso a Yandex.Passport. Se superano il test, verrai automaticamente connesso al tuo browser. Se la password trasmessa risulta errata (ad esempio, a causa del fatto che il codice PIN è stato inserito in modo errato in Yandex.Key), il browser visualizzerà un messaggio standard su una password errata.
Accedi con un account Yandex a un'applicazione o a un sito Web di terze parti
Le applicazioni o i siti che richiedono l'accesso ai tuoi dati su Yandex a volte richiedono l'inserimento di una password per accedere al tuo account. In tali casi, le password monouso non funzioneranno: è necessario creare una password dell'applicazione separata per ciascuna di tali applicazioni.
Attenzione. Solo le password monouso funzionano nelle applicazioni e nei servizi Yandex. Anche se crei una password per l'applicazione, ad esempio, per Yandex.Disk, non sarai in grado di accedere con essa.
Trasferimento Yandex.Key
È possibile trasferire la generazione di password monouso su un altro dispositivo o configurare Yandex.Key su più dispositivi contemporaneamente. Per fare ciò, apri la pagina Controllo accessi e fai clic su Sostituzione del dispositivo.
Diversi account in Yandex.Key
Lo stesso Yandex.Key può essere utilizzato per più account con password monouso. Per aggiungere un altro account all'applicazione, quando si impostano le password monouso nel passaggio 3, fare clic sull'icona nell'applicazione. Inoltre, puoi aggiungere la generazione di password a Yandex.Key per altri servizi che supportano tale autenticazione a due fattori. Le istruzioni per i servizi più popolari sono fornite nella pagina sulla creazione di codici di verifica non per Yandex.
Per rimuovere il legame di un account a Yandex.Key, tieni premuto il ritratto corrispondente nell'applicazione finché non appare una croce alla sua destra. Quando fai clic sulla croce, il collegamento del tuo account a Yandex.Key verrà rimosso.
Attenzione. Se elimini un account per il quale sono abilitate le password monouso, non potrai ricevere una password monouso per accedere a Yandex. In questo caso sarà necessario ripristinare l'accesso.
Impronta digitale al posto del codice PIN
Puoi utilizzare la tua impronta digitale invece di un codice pin sui seguenti dispositivi:
smartphone con Android 6.0 e scanner di impronte digitali;
iPhone da 5s;
iPad di Air 2.
Nota.
Su smartphone e tablet con iOS, l'impronta digitale può essere aggirata inserendo la password del dispositivo. Per proteggersi da ciò, attiva la password principale o modifica la password con una più complessa: apri l'app Impostazioni e seleziona Touch ID e password.
Per utilizzare l'abilitazione della verifica dell'impronta digitale:
Password principale
Per proteggere ulteriormente le tue password monouso, crea una password principale: → Password principale.
Con una password principale puoi:
consentire di inserire solo la password principale Yandex.Key anziché l'impronta digitale e non il codice di blocco del dispositivo;
Yandex.Key backup dei dati
Puoi creare una copia di backup dei dati chiave sul server Yandex per poterla ripristinare se hai perso il telefono o il tablet con l'applicazione. I dati di tutti gli account aggiunti alla Chiave al momento della creazione della copia vengono copiati sul server. Non è possibile creare più di una copia di backup, ogni successiva copia dei dati per uno specifico numero di telefono sostituisce la precedente.
Per ottenere i dati da un backup, è necessario:
avere accesso al numero di telefono che hai specificato durante la creazione;
ricorda la password che hai impostato per crittografare il backup.
Attenzione. Il backup contiene solo gli accessi e i segreti necessari per generare password monouso. Devi ricordare il codice PIN che hai impostato quando hai abilitato le password monouso su Yandex.
Non è ancora possibile eliminare un backup dal server Yandex. Verrà rimosso automaticamente se non lo utilizzi entro un anno dalla sua creazione.
Fare un backup
Scegliere oggetto Crea un backup nelle impostazioni dell'applicazione.
Immettere il numero di telefono a cui sarà collegato il backup (ad esempio, "71234567890" "380123456789") e fare clic su Avanti.
Yandex invierà un codice di conferma al numero di telefono inserito. Una volta ricevuto il codice, inseriscilo nell'app.
Crea una password per crittografare il backup dei tuoi dati. Questa password non può essere recuperata, quindi assicurati di non dimenticarla o perderla.
Inserisci due volte la password e fai clic su Fine. Yandex.Key crittograferà il backup, lo invierà al server Yandex e lo notificherà.
Ripristino da un backup
Scegliere oggetto Ripristinare dal backup nelle impostazioni dell'applicazione.
Immettere il numero di telefono utilizzato durante la creazione del backup (ad esempio, "71234567890" "380123456789") e fare clic su Avanti.
Se viene trovata una copia di backup dei dati chiave per il numero specificato, Yandex invierà un codice di conferma a questo numero di telefono. Una volta ricevuto il codice, inseriscilo nell'app.
Assicurati che la data e l'ora del backup, così come il nome del dispositivo, corrispondano al backup che desideri utilizzare. Quindi fare clic sul pulsante Ripristina.
Inserisci la password che hai impostato durante la creazione del backup. Se non lo ricordi, purtroppo, sarà impossibile decrittografare la copia di backup.
Yandex.Key decrittograferà i dati di backup e ti informerà che i dati sono stati ripristinati.
In che modo le password monouso dipendono dall'ora esatta
Quando si generano password monouso, Yandex.Key tiene conto dell'ora e del fuso orario correnti impostati sul dispositivo. Quando è disponibile una connessione Internet, la Chiave richiede anche l'ora esatta al server: se l'ora è impostata in modo errato sul dispositivo, l'applicazione la correggerà. Ma in alcune situazioni, anche dopo la modifica e con il codice PIN corretto, la password monouso sarà errata.
È possibile abilitare l'autenticazione a due fattori in. Avrai bisogno dell'app Yandex.Key, che può essere installata su un dispositivo mobile iOS o Android. Non puoi utilizzare un dispositivo che non supporta l'installazione di applicazioni (come Amazon Kindle Fire).
Dopo aver abilitato 2FA:
Tutte le applicazioni, i programmi e i servizi Yandex richiedono una password monouso. Avrai anche bisogno di una password monouso quando accedi con un social network e accedi a Mail for Domains.
Non è necessario inserire login e password se accedi a Yandex utilizzando un codice QR.
Le app mobili di terze parti, i programmi per computer e i raccoglitori di posta dovranno utilizzare password individuali per le app.
Nota. Per trasferire il tuo account su un altro smartphone o tablet, apri la pagina e clicca sul pulsante Sostituzione del dispositivo.
La configurazione avviene in più fasi. L'autenticazione a due fattori è abilitata solo dopo aver fatto clic sul pulsante Configurazione completa nell'ultimo passaggio.
- Passaggio 2. Crea un codice PIN
- Passaggio 3. Configura Yandex.Key
Passaggio 1. Conferma il tuo numero di telefono
Se un numero di telefono è collegato al tuo account, il browser mostrerà questo numero e ti chiederà di confermarlo o modificarlo. Se il tuo numero di telefono attuale non è collegato al tuo account, dovrai collegarlo, altrimenti non sarai in grado di ripristinare l'accesso al tuo account da solo.
Per associare o confermare un numero, richiedi un codice via SMS e inseriscilo nel form. Se il codice è stato inserito correttamente, fare clic sul pulsante Conferma per procedere al passaggio successivo.
Passaggio 2. Crea un codice PIN
Crea e inserisci un PIN di quattro cifre per l'autenticazione a due fattori.
Attenzione. Come con molte carte bancarie, solo tu conosci il codice PIN e non può essere modificato. Se dimentichi il PIN, Yandex.Key non sarà in grado di generare la password monouso corretta e potrai ripristinare l'accesso al tuo account solo con l'aiuto del servizio di supporto.
Fare clic sul pulsante Crea per confermare il codice PIN inserito.
Passaggio 3. Configura Yandex.Key
Yandex.Key è necessario per generare password monouso per il tuo account. Puoi ottenere un collegamento all'applicazione direttamente sul tuo telefono o installarlo dall'App Store o da Google Play.
Nota. Yandex.Key può richiedere l'accesso alla fotocamera per riconoscere i codici QR quando si aggiungono account o quando si autorizza utilizzando un codice QR.
Fare clic sul pulsante in Yandex.Key Aggiungi account all'applicazione... Yandex.Key accenderà la fotocamera per scansionare il codice QR mostrato nel browser.
Se non riesci a leggere il codice QR, fai clic sul collegamento nel tuo browser Mostra chiave segreta, e nell'applicazione - un collegamento o aggiungilo manualmente... Al posto del codice QR, il browser visualizzerà una sequenza di caratteri che dovrà essere inserita nell'applicazione.
Dopo aver riconosciuto l'account, l'applicazione ti chiederà il codice PIN che hai creato nel passaggio precedente della configurazione della 2FA.
Passaggio 4. Controlla la password monouso
Per assicurarti che tutto sia configurato correttamente, devi inserire una password monouso nell'ultimo passaggio: l'autenticazione a due fattori si attiva solo quando inserisci la password corretta.
Per fare ciò, in Yandex.Key devi inserire correttamente il codice PIN che hai creato nel secondo passaggio. L'app mostrerà una password monouso. Inseriscilo accanto al pulsante Abilita e fai clic su questo pulsante.
Per le app mobili, i programmi per computer e gli importatori di posta di terze parti, è necessario utilizzare password individuali per le app.
Passaggio 1. Conferma il tuo numero di telefono
Se hai già collegato il tuo numero di telefono al tuo account, il browser visualizzerà questo numero e ti chiederà se vuoi confermarlo o modificarlo. Se il tuo numero di telefono attuale non è collegato al tuo account, devi collegarlo, altrimenti non sarai in grado di ripristinare l'accesso al tuo account da solo.
Per collegare o confermare un numero, richiedi l'invio di un codice via SMS e inseriscilo nel modulo. Dopo aver inserito correttamente il codice, fare clic su Conferma per procedere al passaggio successivo.
Passaggio 2. Crea un codice PIN
Pensa a un codice PIN di quattro cifre e inseriscilo per l'autenticazione a due fattori.
Attenzione. Come con le carte bancarie, non dovresti condividere il tuo codice PIN con nessuno e non può essere modificato. Se dimentichi il tuo codice PIN, Yandex.Key non può generare una password monouso corretta e l'accesso al tuo account può essere ripristinato solo da contattando il nostro servizio di assistenza
Fare clic su Crea per confermare il codice PIN.
Passaggio 3. Configura Yandex.Key
L'app Yandex.Key è necessaria per generare password monouso per il tuo account. Puoi ottenere un collegamento all'app direttamente sul tuo telefono oppure puoi installarlo da App Store o Google Play.
Nota. Yandex.Key potrebbe richiedere l'accesso alla tua fotocamera per riconoscere i codici QR quando vengono aggiunti account o quando accedi utilizzando un codice QR.
In Yandex.Key, tocca il pulsante Aggiungi account. Yandex.Key accenderà la tua fotocamera per scansionare il codice QR visualizzato nel browser.
Se non è possibile leggere il codice QR, fare clic su Mostra chiave segreta nel browser o su Aggiungilo manualmente nell'app. Al posto del QR-code, il browser visualizzerà una sequenza di caratteri da inserire nell'app.
Quando riconosce il tuo account, il tuo dispositivo richiederà il codice PIN che hai creato durante il secondo passaggio.
Passaggio 4. Controlla la tua password monouso
Per assicurarti di aver impostato tutto correttamente, inserisci la tua password monouso. L'autenticazione a due fattori funzionerà solo se inserisci la password corretta.
