Come configurare smartphone e PC. Portale informativo
  • casa
  • sistema operativo
  • Il portafoglio Yandex consente la protezione a due fattori. "Yandex.Key" nel tuo cuore

Il portafoglio Yandex consente la protezione a due fattori. "Yandex.Key" nel tuo cuore

28.04.2019 sistema operativo

Non è un caso che su Internet siano presenti molti suggerimenti su come proteggere il proprio account dagli hacker, e forse il più popolare è utilizzare password complesse e modificarle regolarmente. Questo ovviamente non è male, ma ricordare costantemente nuove password complesse può essere piuttosto noioso. Soprattutto per coloro che sono preoccupati per la sicurezza del proprio account, Yandex ha lanciato una versione beta dell'autenticazione a due fattori. Con esso, la chiave del tuo account sarà solo nelle tue mani. Più precisamente, nel tuo smartphone. Quando accedi a Yandex, o a qualsiasi altro sito, inserisci nome utente e password. Il sistema controlla se la password corrisponde al login e ti fa entrare se è tutto in ordine. Ma la password è solo un fattore di verifica. Ci sono sistemi per i quali un solo fattore non è sufficiente. Oltre alla password richiedono ad es. codice speciale, inviato tramite SMS, o una chiavetta USB da inserire nel computer. Questi sistemi utilizzano l'autenticazione a due fattori o multifattore. Per il nostro schema di autenticazione a due fattori, abbiamo creato Yandex.Key, un'applicazione mobile per iOS e Android. È sufficiente considerare il codice QR presente sull'applicazione pagina iniziale Yandex, in Passaporto o nel campo Autorizzazione posta - e ti ritroverai nel tuo account. Per utilizzare la chiave è necessario abilitare l'autenticazione a due fattori, installare l'applicazione e collegarla al proprio account. Quindi imposti un codice PIN di quattro cifre nell'applicazione. Questo codice diventerà uno dei fattori, parte del “segreto”, in base al quale l'algoritmo creerà password monouso. Il secondo fattore è memorizzato nello smartphone. Quando successivamente leggerai il codice QR nel modulo di autorizzazione, l'applicazione invierà il tuo login e password una tantum. Il server li controllerà e darà alla pagina un comando per farti entrare o meno. Se non riesci a leggere il codice QR, ad esempio perché la fotocamera del tuo smartphone non funziona o non hai accesso a Internet, puoi inserire manualmente una password monouso. L'inserimento della password in questo caso sostituisce la lettura del codice QR: l'unica differenza è che la password non viene inviata automaticamente ai server, ma va inserita nel modulo di autorizzazione insieme al login. Una password monouso è valida solo per 30 secondi. Questo viene fatto in modo che non possa essere rubato dal tuo computer (ad esempio, utilizzando un programma che ricorda le password immesse nel browser). Nessuno tranne te potrà utilizzare la Chiave per accedere al tuo account, perché durante la generazione delle password, la Chiave utilizza il codice PIN che hai fornito. Senza il codice PIN corretto, l'applicazione creerà password errate che non funzioneranno con il tuo account. Se possiedi uno smartphone o un tablet Apple con Touch ID, puoi utilizzare l'impronta digitale al posto del codice PIN. Il meccanismo di autenticazione a due fattori è un altro strumento che contribuirà a rendere più sicuro il lavoro degli utenti Yandex su Internet. Se hai bisogno di protezione aggiuntiva per il tuo account, è ora di chiuderlo su Yandex.Key.

  • Blog aziendale Yandex,
  • Sviluppo di applicazioni mobili

    • Si trattava di un post raro sul blog Yandex, soprattutto relativo alla sicurezza, senza autenticazione. Abbiamo pensato a lungo a come rafforzare adeguatamente la protezione profili utente, e in modo tale da poter essere utilizzato senza tutti gli inconvenienti che comportano le implementazioni oggi più comuni. E loro, ahimè, sono scomodi. Secondo alcuni dati, su molti siti di grandi dimensioni la percentuale di utenti che si sono attivati fondi aggiuntivi autenticazione, non supera lo 0,1%.

    Sembra che ciò sia dovuto al fatto che il comune schema di autenticazione a due fattori è troppo complesso e scomodo. Abbiamo cercato di trovare un metodo che fosse più conveniente senza perdere il livello di protezione e oggi vi presentiamo la sua versione beta.

    Speriamo che diventi più diffuso. Da parte nostra siamo pronti a lavorare al suo miglioramento e alla successiva standardizzazione.

    Dopo aver abilitato l'autenticazione a due fattori in Passport, dovrai installare l'applicazione Yandex.Key nell'App Store o Google Play. I codici QR sono apparsi nel modulo di autorizzazione sulla pagina principale di Yandex, in Mail e Passport. Per accedere account devi leggere il codice QR tramite l'applicazione - e il gioco è fatto. Se il codice QR non può essere letto, ad esempio, la fotocamera dello smartphone non funziona o non c'è accesso a Internet, l'applicazione creerà una password monouso che sarà valida solo per 30 secondi.

    Ti dirò perché abbiamo deciso di non utilizzare meccanismi "standard" come RFC 6238 o RFC 4226. Come funzionano i comuni schemi di autenticazione a due fattori? Sono a due stadi. La prima fase è la normale autenticazione con login e password. Se ha esito positivo, il sito verifica se gli piace o meno questa sessione utente. E, se non ti piace, chiede all'utente di "riautenticarsi". Esistono due metodi comuni di “preautenticazione”: inviare un SMS al numero di telefono associato all'account e generare una seconda password sullo smartphone. Fondamentalmente per generare la seconda password viene utilizzato TOTP secondo RFC 6238. Se l'utente ha inserito correttamente la seconda password, la sessione viene considerata completamente autenticata, altrimenti la sessione perde anche la "pre-autenticazione".

    In entrambi i casi ─ invio di SMS e generazione della password ─ prova della proprietà del telefono e quindi sono un fattore di disponibilità. La password inserita nella prima fase è il fattore di conoscenza. Pertanto, questo schema di autenticazione non è solo in due passaggi, ma anche in due fattori.

    Cosa ci è sembrato problematico in questo schema?

    Partiamo dal fatto che non sempre il computer dell'utente medio può essere definito un modello di sicurezza: è qui che lo spegnimento Aggiornamenti di Windows e una copia piratata dell'antivirus senza firme moderne e software di dubbia origine ─ tutto ciò non aumenta il livello di protezione. Secondo la nostra valutazione, compromettere il computer di un utente è la cosa più pericolosa metodo di massa Il “dirottamento” degli account (e questo è accaduto di recente) è ciò da cui vuoi proteggerti in primo luogo. Quando autenticazione in due passaggi, se presupponiamo che il computer dell'utente sia compromesso, l'inserimento di una password su di esso compromette la password stessa, che è il primo fattore. Ciò significa che l’attaccante deve selezionare solo il secondo fattore. Nel caso delle implementazioni comuni di RFC 6238, il secondo fattore è di 6 cifre decimali (e il massimo consentito dalle specifiche è di 8 cifre). Secondo il calcolatore Bruteforce di OTP, in tre giorni un aggressore è in grado di individuare il secondo fattore se in qualche modo viene a conoscenza del primo. Non è chiaro quale servizio possa contrastare questo attacco senza rompersi lavoro normale utente. L'unica prova di funzionamento possibile è il captcha, che, a nostro avviso, è l'ultima risorsa.

    Il secondo problema è l’opacità del giudizio del servizio sulla qualità della sessione dell’utente e sulla decisione sulla necessità di “pre-autenticazione”. Peggio ancora, il servizio non è interessato a rendere trasparente questo processo, perché qui la sicurezza tramite oscurità funziona effettivamente. Se un utente malintenzionato sa su quale base il servizio prende una decisione sulla liceità di una sessione, può provare a falsificare questi dati. Da considerazioni generali, possiamo concludere che il giudizio viene espresso sulla base della cronologia di autenticazione dell'utente, tenendo conto dell'indirizzo IP (e dei suoi numeri derivati sistema autonomo, identificazione del provider e posizione basata su una geobase) e dati del browser come intestazione Agente utente e una serie di cookie, flash lso e archiviazione locale html. Ciò significa che se un utente malintenzionato controlla il computer di un utente, non solo può rubare tutti i dati necessari, ma anche utilizzare l’indirizzo IP della vittima. Inoltre, se la decisione viene presa in base all'ASN, allora qualsiasi autenticazione da parte di Wi-Fi pubblica in un bar può portare all '"avvelenamento" dal punto di vista della sicurezza (e all'imbiancatura dal punto di vista del servizio) del fornitore di questo bar e, ad esempio, all'imbiancatura di tutti i bar della città. Abbiamo parlato del lavoro e potrebbe essere applicato, ma il tempo tra la prima e la seconda fase di autenticazione potrebbe non essere sufficiente per giudicare con sicurezza l'anomalia. Inoltre, lo stesso argomento distrugge l’idea dei computer “affidabili”: un utente malintenzionato può rubare qualsiasi informazione che influenzi il giudizio di fiducia.

    Infine, l’autenticazione in due passaggi è semplicemente scomoda: la nostra ricerca sull’usabilità mostra che nulla irrita gli utenti più di una schermata intermedia, ulteriori clic sui pulsanti e altre azioni “non importanti” dal loro punto di vista.
    Su questa base abbiamo deciso che l’autenticazione dovrebbe avvenire in un unico passaggio e che lo spazio per le password dovrebbe essere molto più ampio di quanto sia possibile nell’ambito della “pura” RFC 6238.
    Allo stesso tempo, volevamo preservare il più possibile l’autenticazione a due fattori.

    L'autenticazione a più fattori viene definita assegnando elementi di autenticazione (in realtà si chiamano fattori) a una delle tre categorie:

    1. Fattori di conoscenza (si tratta di password tradizionali, codici PIN e tutto ciò che gli assomiglia);
    2. Fattori di proprietà (negli schemi OTP utilizzati, solitamente si tratta di uno smartphone, ma può essere anche un token hardware);
    3. Fattori biometrici (l’impronta digitale è la più comune adesso, anche se qualcuno ricorderà l’episodio con il personaggio di Wesley Snipes nel film Demolition Man).

    Sviluppo del nostro sistema

    Quando abbiamo iniziato a lavorare sul problema dell’autenticazione a due fattori (le prime pagine della wiki aziendale su questo tema risalgono al 2012, ma se ne parlava dietro le quinte prima), la prima idea è stata quella di prendere metodi standard autenticazione e applicali con noi. Abbiamo capito che non potevamo contare su milioni di nostri utenti per acquistare un token hardware, quindi abbiamo rimandato questa opzione per alcuni casi esotici (anche se non la abbandoniamo del tutto, forse riusciremo a inventare qualcosa di interessante). Anche il metodo SMS non potrebbe essere molto diffuso: è un metodo di consegna molto inaffidabile (nel momento più cruciale l'SMS può ritardare o non arrivare affatto), e Invio SMS costa denaro (e gli operatori hanno cominciato ad aumentare i prezzi). L'abbiamo deciso che utilizzando gli SMS─ è la sorte delle banche e di altre aziende a bassa tecnologia, ma i nostri utenti vogliono offrire qualcosa di più conveniente. In generale, la scelta era piccola: utilizzare lo smartphone e il programma in esso contenuto come secondo fattore.

    Questa forma di autenticazione in un unico passaggio è molto diffusa: l'utente ricorda il codice PIN (il primo fattore) e dispone di un token hardware o software (in uno smartphone) che genera un OTP (il secondo fattore). Nel campo di immissione della password inserisce il codice PIN e il valore OTP attuale.

    Secondo noi, principale svantaggio Questo schema è identico a quello dell’autenticazione in due passaggi: se presupponiamo che il desktop dell’utente sia compromesso, inserendo una volta il codice PIN ciò porterà alla sua divulgazione e l’aggressore potrà selezionare solo il secondo fattore.

    Noi abbiamo deciso di percorrere una strada diversa: l'intera password viene generata dal segreto, ma solo una parte del segreto viene memorizzata nello smartphone, e la parte viene inserita dall'utente ogni volta che la password viene generata. Quindi lo smartphone stesso è un fattore di proprietà, mentre la password rimane nella testa dell’utente ed è un fattore di conoscenza.

    Il Nonce può essere un contatore o ora attuale. Abbiamo deciso di scegliere l'ora corrente, questo ci permette di non aver paura della desincronizzazione nel caso qualcuno generi troppe password e aumenti il ​​contatore.

    Quindi, abbiamo un programma per uno smartphone in cui l'utente inserisce la sua parte del segreto, questa viene mescolata con la parte memorizzata, il risultato viene utilizzato come chiave HMAC, che viene utilizzata per firmare l'ora corrente, arrotondata a 30 secondi. L'uscita HMAC è ridotta a forma leggibile, e voilà ─ ecco la password monouso!

    Come affermato in precedenza, RFC 4226 specifica che il risultato HMAC deve essere troncato a un massimo di 8 cifre decimali. Abbiamo deciso che una password di queste dimensioni non è adatta per l'autenticazione in un solo passaggio e dovrebbe essere aumentata. Allo stesso tempo, volevamo mantenere la facilità d'uso (dopo tutto, ricordiamolo, vogliamo creare un sistema che possa essere utilizzato dalla gente comune e non solo dai fanatici della sicurezza), quindi come compromesso in Versione attuale sistema che abbiamo scelto di troncare a 8 caratteri Alfabeto latino. Sembra che 26^8 password valide per 30 secondi siano abbastanza accettabili, ma se il margine di sicurezza non ci soddisfa (o se su Habré compaiono preziosi suggerimenti su come migliorare questo schema), espanderemo, ad esempio, a 10 caratteri.

    Scopri di più sulla forza di tali password

    In effetti, per Lettere latine senza distinzione tra maiuscole e minuscole, il numero di opzioni per carattere è 26, per le lettere latine grandi e piccole più i numeri, il numero di opzioni è 26+26+10=62. Quindi log 62 (26 10) ≈ 7,9, ovvero una password di 10 lettere latine piccole casuali è forte quasi quanto una password di 8 lettere o numeri latini grandi e piccoli casuali. Questo sarà sicuramente sufficiente per 30 secondi. Se parliamo di una password di 8 caratteri composta da lettere latine, allora la sua forza è log 62 (26 8) ≈ 6,3, cioè poco più di una password di 6 caratteri composta da lettere maiuscole, minuscole e numeri. Pensiamo che questo sia ancora accettabile per una finestra di 30 secondi.

    Magia, passwordless, applicazioni e prossimi passi

    In generale avremmo potuto fermarci qui, ma volevamo rendere il sistema ancora più conveniente. Quando una persona ha uno smartphone in mano, non vuole certo inserire la password dalla tastiera!

    Ecco perché abbiamo iniziato a lavorare sul “login magico”. Con questo metodo di autenticazione, l'utente avvia l'applicazione sul proprio smartphone, inserisce il proprio codice PIN e scansiona il codice QR sullo schermo del computer. Se il codice PIN viene inserito correttamente, la pagina nel browser viene ricaricata e l'utente viene autenticato. Magia!

    Come funziona?

    Il codice QR contiene un numero di sessione e quando l'applicazione lo scansiona, questo numero viene trasmesso al server insieme a quello generato nel solito modo password e nome utente. Questo non è difficile, perché lo smartphone è quasi sempre online. Nel layout della pagina che mostra il codice QR, JavaScript è in esecuzione, in attesa di una risposta dal server per verificare la password per questa sessione. Se il server risponde che la password è corretta, insieme alla risposta vengono impostati i cookie di sessione e l'utente viene considerato autenticato.

    È andata meglio, ma abbiamo deciso di non fermarci neanche qui. Dall'iPhone 5S nei telefoni e Compresse di Appleè apparso uno scanner di impronte digitali TouchID e in Versioni iOS 8 lavorare con esso è disponibile e applicazioni di terze parti. In realtà l'applicazione non accede all'impronta digitale, ma se l'impronta digitale è corretta, la sezione aggiuntiva Portachiavi diventa disponibile per l'applicazione. Ne abbiamo approfittato. La seconda parte del segreto viene inserita nel record del portachiavi protetto da TouchID, quello che l'utente ha inserito da tastiera nello scenario precedente. Quando si sblocca il portachiavi, le due parti del segreto vengono mescolate e quindi il processo funziona come descritto sopra.

    Ma è diventato incredibilmente comodo per l'utente: apre l'applicazione, appoggia il dito, scansiona il codice QR sullo schermo e si ritrova autenticato nel browser del suo computer! Quindi abbiamo sostituito il fattore conoscenza con quello biometrico e, dal punto di vista dell’utente, abbiamo abbandonato completamente le password. Ne siamo sicuri persone normali un tale schema sembrerà molto più conveniente di inserimento manuale due password.

    È discutibile come sia tecnicamente l'autenticazione a due fattori, ma in realtà è comunque necessario avere un telefono e avere l'impronta digitale corretta per completarla con successo, quindi crediamo di essere riusciti abbastanza bene nell'eliminare il fattore conoscenza, sostituendolo con la biometria . Comprendiamo che facciamo affidamento sulla sicurezza di ARM TrustZone che alimenta iOS Secure Enclave e ci crediamo attualmente questo sottosistema può essere considerato affidabile all'interno del nostro modello di minaccia. Naturalmente conosciamo i problemi autenticazione biometrica: un'impronta digitale non è una password e non può essere sostituita se compromessa. Ma, d'altra parte, tutti sanno che la sicurezza è inversamente proporzionale alla comodità, e l'utente stesso ha il diritto di scegliere il rapporto tra l'uno e l'altro che gli è accettabile.

    Lascia che ti ricordi che questa è ancora una beta. Ora, quando è abilitata l'autenticazione a due fattori, disabilitiamo temporaneamente la sincronizzazione delle password nel browser Yandex. Ciò è dovuto al modo in cui il database delle password è crittografato. Stiamo già inventando strada conveniente Autenticazione del browser in caso di 2FA. Tutte le altre funzionalità Yandex funzionano come prima.

    Questo è ciò che abbiamo ottenuto. Sembra che sia andata bene, ma tu sei il giudice. Saremo lieti di ascoltare i vostri feedback e consigli e continueremo a lavorare per migliorare la sicurezza dei nostri servizi: ora, insieme a tutto il resto, ora abbiamo l'autenticazione a due fattori. Non dimenticare che i servizi di autenticazione e le applicazioni di generazione OTP sono fondamentali e quindi viene pagato un doppio bonus per gli errori riscontrati in essi come parte del programma Bug Bounty.

    Tag:

    • sicurezza
    • autenticazione
    • 2FA
    Aggiungere etichette

    Molti utenti le cui attività sono legate al guadagno su Internet o all'archiviazione di informazioni importanti online cercano di proteggere i propri account dall'hacking e dal furto di dati riservati.

    Certamente, password complessa, che include numeri e lettere, nonché Simboli speciali, Abbastanza protezione affidabile, Ma massimo effetto fornisce l'autenticazione a due fattori.

    Tuttavia, non tutti conoscono questa opzione per proteggere i propri conti, e questo nonostante oggi sempre più servizi (mailer, social networks ecc.) offrono di sfruttare questa opportunità.

    Cos'è l'autenticazione a due fattori?

    Allora, qual è il metodo di protezione? stiamo parlando? In effetti, hai già visto la verifica in due passaggi. Ad esempio, quando eseguirai qualsiasi operazione con denaro sul sito WebMoney, oltre al login e alla password dovrai indicare un codice di conferma che verrà inviato al tuo cellulare.

    In altre parole, l’autenticazione a due fattori è la seconda chiave del tuo account. Se attivi questa opzione, ad esempio, in Evernote (esiste una tale possibilità), quindi un utente malintenzionato che è riuscito a indovinare la password per questo servizio di note dovrà affrontare un altro problema: l'obbligo di specificare codice una tantum, che arriva al tuo numero di telefono. Vale la pena notare che se si tenta di hackerare il tuo account, riceverai un SMS e potrai modificare immediatamente la tua password.

    D'accordo sul fatto che questa è un'opzione molto conveniente, utilizzando la quale ti preoccuperai meno della perdita di informazioni personali.

    Qual è il posto migliore per usarlo?

    Naturalmente, alcuni utenti potrebbero obiettare, sostenendo che l'autenticazione in due passaggi è un "passo non necessario" eccessivo e, in generale, è destinata a persone paranoiche che pensano sempre che qualcuno li stia osservando.

    Forse hanno ragione in qualche modo. Ad esempio, per i social network non è affatto necessario utilizzarlo questo metodo protezione. Anche se qui si può discutere. Di norma, gli aggressori cercano di hackerare gli account degli amministratori dei “pubblici” popolari. E tu, molto probabilmente, non vorresti nemmeno un giorno notare che il tuo account in uno dei "social network" è stato violato e che foto completamente indecenti sono state pubblicate sul "Muro".

    Come per altri servizi, ad esempio, l'autenticazione a due fattori Yandex ti consentirà di archiviare in modo sicuro i tuoi dati di registrazione da WebMoney e altri) o lettere contenenti informazioni segrete.

    Protezione dell'account Google

    Una delle più servizi popolari oggi è Google. Qui è dove puoi registrare la tua email Cassetta postale, archivia documenti su Google Drive, crea un blog o un canale gratuito su YouTube, che in seguito potrà portarti profitto.

    Affinché gli utenti possano essere sicuri della sicurezza dei documenti archiviati su posta o su disco, vengono offerti due fattori Autenticazione di Google. Per attivarlo è necessario accedere al proprio account.

    Ora, dopo aver aperto, ad esempio, la tua casella di posta, presta attenzione all'avatar a destra angolo superiore. Cliccaci sopra e vai su “Il mio account”. Qui è necessaria la sezione "Sicurezza e accesso", ovvero il collegamento "Accedi all'account Google".

    Sulla destra vedrai l'opzione “Verifica in due passaggi”, dove dovrai fare clic sulla freccia per attivarla. Si aprirà una finestra nella quale sei interessato al pulsante “Procedi con la configurazione”. Inserisci la tua password e segui ulteriori istruzioni.

    Autenticazione a due fattori "Yandex"

    Anche Yandex offre molto ai suoi utenti servizi utili. Tranne archiviazione nel cloud informazioni su Yandex.Disk, puoi creare portafoglio in linea, dove ritirerai i soldi guadagnati su Internet.

    E, naturalmente, Yandex non si è fatto da parte e offre ai suoi utenti anche l'utilizzo dell'autenticazione a due fattori per proteggere i documenti archiviati nella casella di posta.

    Per abilitarlo, dovrai fare alcune cose: azioni semplici. Accedi al tuo account e fai clic su LMB sulla foto del tuo profilo (angolo in alto a destra). Seleziona "Passaporto" dal menu a discesa. Si aprirà una finestra in cui è necessario fare clic sul collegamento "Controllo accessi". Impostare lo "slider" sulla posizione "ON". Verrai reindirizzato a una pagina in cui dovrai fare clic sul pulsante "Avvia configurazione". Ora segui i 4 passaggi per attivare la protezione a due fattori.

    Rete sociale VKontakte"

    Come accennato in precedenza, gli aggressori tentano solitamente di accedere agli account “amministratore”. gruppi popolari. Ma non è sempre così, perché può interessare semplicemente la corrispondenza personale di qualche persona ben nota su Internet.

    Vale la pena notare che per alcuni utenti questo metodo di protezione dell'account inizia a causare irritazione nel tempo, poiché richiede input costanti codice segreto ad eccezione di login e password. In questi casi, devi sapere come disabilitare l'autenticazione a due fattori. Tuttavia, prima ci occuperemo dell'attivazione di questa opzione.

    In effetti, abilitare la verifica in due passaggi è molto semplice. Seleziona "Le mie impostazioni" e poi vai alla scheda "Sicurezza". Nella sezione “Conferma accesso”, fare clic sul pulsante “Connetti”. Ora segui tutti i requisiti uno per uno.

    Disabilita l'autenticazione a due fattori

    Per disattivare la protezione in due passaggi in Yandex, dovrai tornare al tuo "Passaporto" facendo clic sul tuo avatar. Successivamente, apri la sezione “Controllo accesso” e imposta il cursore sulla posizione “Off”.

    Conclusione

    Ora sai cos'è l'autenticazione a due loop e perché è necessaria. Utilizzando questo o quel servizio, puoi attivarlo protezione aggiuntiva o rifiutare questa opportunità.

    Naturalmente, in alcuni casi è altamente consigliabile abilitare la verifica in due passaggi. Ad esempio, quando ti registri su WebMoney, hai indicato la tua email da Yandex. Mentre lavori su Internet, potresti diventare vittima di hacker che hackereranno la tua casella di posta e otterranno l'accesso portafoglio elettronico. Per evitare che ciò accada, è meglio installare e collegare la tua e-mail al tuo telefono. In questo modo puoi reagire rapidamente se tentano di hackerarti.

    Ciao di nuovo a tutti. D'accordo, la cosa più importante quando si lavora su Internet è la sicurezza. Ha bisogno di essere data Attenzione speciale. Quando ti registri su un sito importante, dovresti creare password sicura o utilizzare . Perché quanto più complessa è la combinazione di lettere e numeri, tanto più difficile sarà per gli aggressori hackerarla. Tuttavia, ci sono momenti in cui gli hacker riescono ad accedere al tuo account, ad es. posta personale. Questo è molto triste: Informazioni importanti potrebbero finire nelle mani sbagliate e potrebbero essere usati contro di te, la corrispondenza con i tuoi partner potrebbe essere completamente cancellata, ecc. In una parola, il tuo account dovrebbe essere protetto come la pupilla dei tuoi occhi.

    Per aumentare la sicurezza, molti servizi offrono l’autenticazione a due fattori. Oggi vedremo cosa significa usando l'esempio della posta Yandex.

    Quando abiliti questa funzione, un utente malintenzionato, anche se indovina correttamente la tua password principale, non sarà in grado di accedere alla tua casella di posta. Poiché ciò richiederà di specificare una password monouso casuale, che genererà applicazione speciale sul tuo smartphone o tablet. Ora proveremo a dirti in dettaglio come abilitare l'autenticazione a due fattori in Yandex. In futuro, ci sarà una revisione simile Google Mail e Mail.ru.

    Quindi, per connettere questa funzione abbiamo bisogno di uno smartphone o tablet. Vai alla tua casella di posta Yandex. Se non ne hai ancora uno, creane uno. Come? Leggi.

    Dopo aver effettuato l'accesso al nostro account, fai clic sul tuo account e seleziona " Gestione contabile»

    Si aprirà un passaporto Yandex con tutti i tipi di impostazioni. Nel blocco" Controllo di accesso"Segui il link" Configura l'autenticazione a due fattori»

    Ora dobbiamo eseguire 4 passaggi.

    1 passo. Conferma il tuo numero di telefono.

    Il tuo account dopo l'attivazione nuova caratteristica sarà collegato al tuo numero di telefono. Pertanto, indica il numero a cui hai accesso Accesso libero. Successivamente, fai clic sul pulsante " per ottenere il codice»

    Entro un paio di secondi riceverai un messaggio SMS contenente il codice che inseriremo nel campo...

    ... e fare clic su " Confermare»

    Passaggio 2. Codice PIN.

    Affinché l'applicazione generi una password monouso è necessario inserire un codice PIN, quello che ora indicheremo. Attenzione!!! Ricorda questo codice e non condividerlo con nessuno. Anche se il tuo telefono viene rubato, senza conoscere il tuo codice PIN, gli aggressori non saranno in grado di utilizzare questa applicazione.

    Inserisci il tuo codice PIN, quindi ripeti. Per aprire i simboli, fare clic sull'occhio. In questo modo puoi essere sicuro di aver digitato tutto correttamente. E fare clic su " Creare».

    Passaggio 3. Applicazione mobile Yandex Key.

    In questa fase, dobbiamo installare proprio l'applicazione che creerà password monouso. Fare clic sul pulsante “ Ottieni un collegamento al tuo telefono».

    Procediamo lungo di esso. Telefono acceso Basato su Android aprirà automaticamente il servizio Google Play con una proposta per installare l'applicazione Yandex Key. Installiamolo.

    Apri la chiave Yandex. Dopo alcune pagine introduttive, ti verrà chiesto di scansionare un codice QR. L'app ti chiederà l'autorizzazione per accedere alla tua fotocamera. Siamo d'accordo. Successivamente puntiamo la fotocamera verso lo schermo del monitor in modo che il quadrato con il codice QR cada nell'obiettivo della fotocamera. L'applicazione eseguirà automaticamente la scansione e aggiungerà il tuo account. Se la scansione fallisce, puoi mantenere una chiave segreta. Per visualizzarlo cliccare sul link " Mostra la chiave segreta"sotto il codice QR. Nell'applicazione, seleziona anche il metodo per inserire la chiave segreta.

    Ora passiamo al passaggio successivo.

    Passaggio 4. Immissione di una password monouso dalla chiave Yandex.

    Lanciamo la nostra applicazione sul nostro gadget. Ora dovrai inserire il tuo codice PIN. E dopo vedrai la stessa password casuale monouso.

    La password viene aggiornata ogni 30 secondi. Prendetevi quindi il tempo di inserirlo nel campo prima dell'aggiornamento e cliccate sul pulsante “ Accendere».

    Questo è tutto, abbiamo abilitato l'autenticazione a due fattori per il nostro account Yandex.

    Controlliamo come funziona. Esci dal tuo conto corrente.

    Ora puoi accedere al tuo account in 2 modi. 1) inserisci il tuo login (o indirizzo E-mail Yandex) e poi inserire NON la password che usavamo prima, permanente, ma quella che riceviamo applicazione mobile Chiave Yandex dopo aver inserito il codice PIN. E fare clic sul pulsante Accedi. Secondo modo significa accedere utilizzando QR Code. Fare clic sull'icona del codice QR (a destra del pulsante Accedi).

    Arriviamo quindi a questa pagina

    Seguiamo le istruzioni: avvia Yandex Key, inserisci il nostro codice PIN e quindi seleziona " Accedi utilizzando il codice QR»

    Quindi puntiamo la fotocamera del tablet o del telefono sul codice QR. L'applicazione esegue la scansione del codice e otteniamo l'accesso alla nostra posta.

    Come disabilitare l'autenticazione a due fattori in Yandex

    Se per qualche motivo decidi di disabilitare l'autenticazione a due fattori, puoi farlo rapidamente e facilmente. Accedi alla tua casella di posta, vai su Gestione account (vedi dove e come farlo all'inizio di questo articolo) e disattiva questa funzione.

    SU passo successivo dobbiamo inserire una password monouso dall'applicazione Yandex Key

    Inseriscilo e conferma.

    Noi creiamo nuova password(questa volta permanente), ripetilo e salva.

    Questo è tutto, ora la nostra autenticazione a due fattori è disabilitata. Per accedere verrà utilizzata la password permanente creata nel passaggio precedente.

    Quindi, oggi abbiamo esaminato come rendere più sicuro il nostro account di posta Yandex collegandovi l'autenticazione a due fattori. Stai utilizzando questa funzione? Condividi nei commenti.

    E questo è tutto per oggi. Ci vediamo!

    Ogni persona dovrebbe avere un sogno. Un sogno è ciò che guida una persona. Quando sei piccolo sogni di crescere. Un sogno deve prima diventare un obiettivo. Allora devi raggiungere il tuo obiettivo. E dovresti avere un nuovo sogno!

    Si trattava di un post raro sul blog Yandex, in particolare relativo alla sicurezza, senza menzionare l'autenticazione a due fattori. Pensiamo da tempo a come rafforzare adeguatamente la protezione degli account utente, e in modo tale che possa essere utilizzata senza tutti gli inconvenienti che comportano le implementazioni oggi più comuni. E loro, ahimè, sono scomodi. Secondo alcuni dati, su molti siti di grandi dimensioni la percentuale di utenti che hanno abilitato mezzi di autenticazione aggiuntivi non supera lo 0,1%.

    Sembra che ciò sia dovuto al fatto che il comune schema di autenticazione a due fattori è troppo complesso e scomodo. Abbiamo cercato di trovare un metodo che fosse più conveniente senza perdere il livello di protezione e oggi vi presentiamo la sua versione beta.

    Speriamo che diventi più diffuso. Da parte nostra siamo pronti a lavorare al suo miglioramento e alla successiva standardizzazione.

    Dopo aver abilitato l'autenticazione a due fattori in Passport, dovrai installare l'applicazione Yandex.Key nell'App Store o Google Play. I codici QR sono apparsi nel modulo di autorizzazione sulla pagina principale di Yandex, in Mail e Passport. Per accedere al tuo account, devi leggere il codice QR tramite l'applicazione - e il gioco è fatto. Se il codice QR non può essere letto, ad esempio, la fotocamera dello smartphone non funziona o non c'è accesso a Internet, l'applicazione creerà una password monouso che sarà valida solo per 30 secondi.

    Ti dirò perché abbiamo deciso di non utilizzare meccanismi "standard" come RFC 6238 o RFC 4226. Come funzionano i comuni schemi di autenticazione a due fattori? Sono a due stadi. La prima fase è la normale autenticazione con login e password. Se ha esito positivo, il sito verifica se gli piace o meno questa sessione utente. E, se non ti piace, chiede all'utente di "riautenticarsi". Esistono due metodi comuni di “preautenticazione”: inviare un SMS al numero di telefono associato all'account e generare una seconda password sullo smartphone. Fondamentalmente per generare la seconda password viene utilizzato TOTP secondo RFC 6238. Se l'utente ha inserito correttamente la seconda password, la sessione viene considerata completamente autenticata, altrimenti la sessione perde anche la "pre-autenticazione".

    Entrambi i metodi ─ l'invio di SMS e la generazione di una password ─ sono una prova della proprietà del telefono e quindi sono un fattore di disponibilità. La password inserita nella prima fase è il fattore di conoscenza. Pertanto, questo schema di autenticazione non è solo in due passaggi, ma anche in due fattori.

    Cosa ci è sembrato problematico in questo schema?

    Per cominciare, il computer dell'utente medio non può sempre essere definito un modello di sicurezza: la disattivazione degli aggiornamenti di Windows, una copia piratata di un antivirus senza firme moderne e software di dubbia origine: tutto ciò non aumenta il livello di protezione. Secondo la nostra valutazione, la compromissione del computer di un utente è il metodo più diffuso per "dirottare" gli account (e recentemente c'è stata un'altra conferma di ciò), ed è da questo che vogliamo innanzitutto proteggerci. Nel caso dell'autenticazione a due fattori, se si presuppone che il computer dell'utente sia compromesso, l'inserimento di una password su di esso compromette la password stessa, che è il primo fattore. Ciò significa che l’attaccante deve selezionare solo il secondo fattore. Nel caso delle implementazioni comuni di RFC 6238, il secondo fattore è di 6 cifre decimali (e il massimo consentito dalle specifiche è di 8 cifre). Secondo il calcolatore Bruteforce di OTP, in tre giorni un aggressore è in grado di individuare il secondo fattore se in qualche modo viene a conoscenza del primo. Non è chiaro quale servizio possa contrastare questo attacco senza interrompere la normale esperienza dell'utente. L'unica prova di funzionamento possibile è il captcha, che, a nostro avviso, è l'ultima risorsa.

    Il secondo problema è l’opacità del giudizio del servizio sulla qualità della sessione dell’utente e sulla decisione sulla necessità di “pre-autenticazione”. Ancor peggio, il servizio non è interessato a rendere questo processo trasparente, perché qui la sicurezza tramite oscurità funziona davvero. Se un utente malintenzionato sa su quale base il servizio prende una decisione sulla liceità di una sessione, può provare a falsificare questi dati. Come regola generale, possiamo concludere che il giudizio viene espresso in base alla cronologia di autenticazione dell'utente, tenendo conto dell'indirizzo IP (e dei suoi derivati ​​del numero di sistema autonomo che identifica il provider e della posizione basata sulla geobase) e dei dati del browser, ad esempio, l'intestazione dell'agente utente e una serie di cookie, flash lso e archiviazione locale html. Ciò significa che se un utente malintenzionato controlla il computer di un utente, non solo può rubare tutti i dati necessari, ma anche utilizzare l’indirizzo IP della vittima. Inoltre, se la decisione viene presa sulla base dell'ASN, qualsiasi autenticazione dal Wi-Fi pubblico in un bar può portare ad un "avvelenamento" dal punto di vista della sicurezza (e all'imbiancatura dal punto di vista del servizio) del fornitore di questo coffee shop e, ad esempio, imbiancare tutti i coffee shop della città. Abbiamo parlato di come funziona un sistema di rilevamento delle anomalie e di come potrebbe essere utilizzato, ma il tempo tra la prima e la seconda fase di autenticazione potrebbe non essere sufficiente per giudicare con sicurezza un'anomalia. Inoltre, lo stesso argomento distrugge l’idea dei computer “affidabili”: un utente malintenzionato può rubare qualsiasi informazione che influenzi il giudizio di fiducia.

    Infine, l’autenticazione in due passaggi è semplicemente scomoda: la nostra ricerca sull’usabilità mostra che nulla irrita gli utenti più di una schermata intermedia, ulteriori clic sui pulsanti e altre azioni “non importanti” dal loro punto di vista.
    Su questa base abbiamo deciso che l’autenticazione dovrebbe avvenire in un unico passaggio e che lo spazio per le password dovrebbe essere molto più ampio di quanto sia possibile nell’ambito della “pura” RFC 6238.
    Allo stesso tempo, volevamo preservare il più possibile l’autenticazione a due fattori.

    L'autenticazione a più fattori viene definita assegnando elementi di autenticazione (in realtà si chiamano fattori) a una delle tre categorie:

    1. Fattori di conoscenza (si tratta di password tradizionali, codici PIN e tutto ciò che gli assomiglia);
    2. Fattori di proprietà (negli schemi OTP utilizzati, solitamente si tratta di uno smartphone, ma può essere anche un token hardware);
    3. Fattori biometrici (l’impronta digitale è la più comune adesso, anche se qualcuno ricorderà l’episodio con il personaggio di Wesley Snipes nel film Demolition Man).

    Sviluppo del nostro sistema

    Quando abbiamo iniziato a lavorare sul problema dell’autenticazione a due fattori (le prime pagine della wiki aziendale su questo tema risalgono al 2012, ma se ne parlava dietro le quinte prima), la prima idea è stata quella di prendere metodi di autenticazione standard e applicarli a noi. Abbiamo capito che non potevamo contare su milioni di nostri utenti per acquistare un token hardware, quindi abbiamo rimandato questa opzione per alcuni casi esotici (anche se non la abbandoniamo del tutto, forse riusciremo a inventare qualcosa di interessante). Anche il metodo SMS potrebbe non essere diffuso: è un metodo di consegna molto inaffidabile (nel momento più cruciale, l'SMS può ritardare o non arrivare affatto), e l'invio di SMS costa denaro (e gli operatori hanno iniziato ad aumentare il prezzo). . Abbiamo deciso che l'uso degli SMS è riservato alle banche e ad altre aziende a bassa tecnologia e vogliamo offrire ai nostri utenti qualcosa di più conveniente. In generale, la scelta era piccola: utilizzare lo smartphone e il programma in esso contenuto come secondo fattore.

    Questa forma di autenticazione in un unico passaggio è molto diffusa: l'utente ricorda il codice PIN (il primo fattore) e dispone di un token hardware o software (in uno smartphone) che genera un OTP (il secondo fattore). Nel campo di immissione della password inserisce il codice PIN e il valore OTP attuale.

    A nostro avviso, lo svantaggio principale di questo schema è lo stesso dell'autenticazione in due passaggi: se presupponiamo che il desktop dell'utente sia compromesso, l'inserimento del codice PIN una volta porterà alla sua divulgazione e l'aggressore potrà trovare solo la seconda fattore.

    Noi abbiamo deciso di percorrere una strada diversa: l'intera password viene generata dal segreto, ma solo una parte del segreto viene memorizzata nello smartphone, e la parte viene inserita dall'utente ogni volta che la password viene generata. Quindi lo smartphone stesso è un fattore di proprietà, mentre la password rimane nella testa dell’utente ed è un fattore di conoscenza.

    Il Nonce può essere un contatore o l'ora corrente. Abbiamo deciso di scegliere l'ora corrente, questo ci permette di non aver paura della desincronizzazione nel caso qualcuno generi troppe password e aumenti il ​​contatore.

    Quindi, abbiamo un programma per uno smartphone in cui l'utente inserisce la sua parte del segreto, questa viene mescolata con la parte memorizzata, il risultato viene utilizzato come chiave HMAC, che viene utilizzata per firmare l'ora corrente, arrotondata a 30 secondi. L'output HMAC viene convertito in formato leggibile e voilà ─ ecco la password monouso!

    Come affermato in precedenza, RFC 4226 specifica che il risultato HMAC deve essere troncato a un massimo di 8 cifre decimali. Abbiamo deciso che una password di queste dimensioni non è adatta per l'autenticazione in un solo passaggio e dovrebbe essere aumentata. Allo stesso tempo, volevamo mantenere la facilità d'uso (dopo tutto, ricorda, vogliamo creare un sistema che verrà utilizzato dalla gente comune e non solo dai fanatici della sicurezza), quindi come compromesso nella versione attuale del sistema , abbiamo scelto di troncare l'alfabeto latino a 8 caratteri. Sembra che 26^8 password valide per 30 secondi siano abbastanza accettabili, ma se il margine di sicurezza non ci soddisfa (o se su Habré compaiono preziosi suggerimenti su come migliorare questo schema), espanderemo, ad esempio, a 10 caratteri.

    Scopri di più sulla forza di tali password

    Infatti, per le lettere latine senza distinzione tra maiuscole e minuscole, il numero di opzioni per carattere è 26; per le lettere latine grandi e piccole più numeri, il numero di opzioni è 26+26+10=62. Quindi log 62 (26 10) ≈ 7,9, ovvero una password di 10 lettere latine piccole casuali è forte quasi quanto una password di 8 lettere o numeri latini grandi e piccoli casuali. Questo sarà sicuramente sufficiente per 30 secondi. Se parliamo di una password di 8 caratteri composta da lettere latine, allora la sua forza è log 62 (26 8) ≈ 6,3, cioè poco più di una password di 6 caratteri composta da lettere maiuscole, minuscole e numeri. Pensiamo che questo sia ancora accettabile per una finestra di 30 secondi.

    Magia, passwordless, applicazioni e prossimi passi

    In generale avremmo potuto fermarci qui, ma volevamo rendere il sistema ancora più conveniente. Quando una persona ha uno smartphone in mano, non vuole certo inserire la password dalla tastiera!

    Ecco perché abbiamo iniziato a lavorare sul “login magico”. Con questo metodo di autenticazione, l'utente avvia l'applicazione sul proprio smartphone, inserisce il proprio codice PIN e scansiona il codice QR sullo schermo del computer. Se il codice PIN viene inserito correttamente, la pagina nel browser viene ricaricata e l'utente viene autenticato. Magia!

    Come funziona?

    Il numero di sessione è incorporato nel codice QR e quando l'applicazione lo scansiona, questo numero viene trasmesso al server insieme alla password e al nome utente generati nel solito modo. Questo non è difficile, perché lo smartphone è quasi sempre online. Nel layout della pagina che mostra il codice QR, JavaScript è in esecuzione, in attesa di una risposta dal server per verificare la password per questa sessione. Se il server risponde che la password è corretta, insieme alla risposta vengono impostati i cookie di sessione e l'utente viene considerato autenticato.

    È andata meglio, ma abbiamo deciso di non fermarci neanche qui. A partire dall'iPhone 5S, i telefoni e i tablet Apple hanno introdotto lo scanner per impronte digitali TouchID e nella versione iOS 8 anche applicazioni di terze parti possono utilizzarlo. In realtà l'applicazione non accede all'impronta digitale, ma se l'impronta digitale è corretta, la sezione aggiuntiva Portachiavi diventa disponibile per l'applicazione. Ne abbiamo approfittato. La seconda parte del segreto viene inserita nel record del portachiavi protetto da TouchID, quello che l'utente ha inserito da tastiera nello scenario precedente. Quando si sblocca il portachiavi, le due parti del segreto vengono mescolate e quindi il processo funziona come descritto sopra.

    Ma è diventato incredibilmente comodo per l'utente: apre l'applicazione, appoggia il dito, scansiona il codice QR sullo schermo e si ritrova autenticato nel browser del suo computer! Quindi abbiamo sostituito il fattore conoscenza con quello biometrico e, dal punto di vista dell’utente, abbiamo abbandonato completamente le password. Siamo sicuri che le persone comuni troveranno questo schema molto più conveniente rispetto all'inserimento manuale di due password.

    È discutibile come sia tecnicamente l'autenticazione a due fattori, ma in realtà è comunque necessario avere un telefono e avere l'impronta digitale corretta per completarla con successo, quindi crediamo di essere riusciti abbastanza bene nell'eliminare il fattore conoscenza, sostituendolo con la biometria . Comprendiamo che facciamo affidamento sulla sicurezza di ARM TrustZone che è alla base di iOS Secure Enclave e riteniamo che questo sottosistema possa attualmente essere considerato affidabile all'interno del nostro modello di minaccia. Naturalmente siamo consapevoli dei problemi legati all’autenticazione biometrica: un’impronta digitale non è una password e non può essere sostituita se compromessa. Ma, d'altra parte, tutti sanno che la sicurezza è inversamente proporzionale alla comodità, e l'utente stesso ha il diritto di scegliere il rapporto tra l'uno e l'altro che gli è accettabile.

    Lascia che ti ricordi che questa è ancora una beta. Ora, quando è abilitata l'autenticazione a due fattori, disabilitiamo temporaneamente la sincronizzazione delle password nel browser Yandex. Ciò è dovuto al modo in cui il database delle password è crittografato. Stiamo già trovando un modo conveniente per autenticare il browser nel caso di 2FA. Tutte le altre funzionalità Yandex funzionano come prima.

    Questo è ciò che abbiamo ottenuto. Sembra che sia andata bene, ma tu sei il giudice. Saremo lieti di ascoltare i vostri feedback e consigli e continueremo a lavorare per migliorare la sicurezza dei nostri servizi: ora, insieme al CSP, alla crittografia del trasporto della posta e tutto il resto, ora abbiamo l'autenticazione a due fattori. Non dimenticare che i servizi di autenticazione e le applicazioni di generazione OTP sono fondamentali e quindi viene pagato un doppio bonus per gli errori riscontrati in essi come parte del programma Bug Bounty.

    Tag: aggiungi tag

    I migliori articoli sull'argomento

    Calcolatore della potenza dell'alimentatore
    Calcolatore della potenza dell'alimentatore
    Tecnologia CrossFire nelle schede video AMD
    Tecnologia CrossFire nelle schede video AMD
    Come collegare un computer a una TV?
    Come collegare un computer a una TV?
    Categorie:
    © 2023 bumotors.ru. Come configurare smartphone e PC. Portale informativo.