Dacă contul dvs. are activată verificarea în doi pași, puteți utiliza profilul numai pe dispozitive de încredere. Dacă încercați să introduceți ID-ul Apple pe un gadget nou, va trebui să introduceți o parolă și un cod de 16 cifre, care vor fi afișate pe dispozitivul de încredere.
Notă! După conectare, noul dispozitiv va fi verificat automat.
Puncte importante de reținut:
- Asigurați-vă că vă amintiți informațiile contului dvs.
Important! Pentru a-l restabili, trebuie să contactați Apple și să dovediți achiziționarea legitimă a dispozitivului de la reprezentanții oficiali ai companiei.
- Asigurați securitatea (fizică) a dispozitivelor de încredere.
- Folosiți parole de blocare pentru toate gadgeturile.
Activarea autentificării cu doi factori
Funcția poate fi activată prin setările de sistem ale smartphone-ului.
Notă! De exemplu, am folosit un iPhone cu iOS 11. Dacă aveți versiunea 10.2 sau anterioară, atunci setarea se face prin elementul iCloud.
Dezactivați funcția
Verificarea în doi pași este dezactivată prin browser.
Notă! Este posibil să fie necesare răspunsuri la întrebările de securitate pentru a vă verifica identitatea.
concluzii
Verificarea dublă vă permite să vă protejați dispozitivul împotriva hackerilor. Când utilizați funcția, nu uitați de unele reguli de siguranță. Configurarea sau dezactivarea autentificării nu necesită mult timp.
Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.
- Conectați-vă cu codul QR
- Se transferă Yandex.Key
- Parola principala
Conectați-vă la serviciul sau aplicația Yandex
Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.
Notă.
Parola unică trebuie introdusă la timp în timp ce este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați o nouă parolă.
Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați setat când configurați autentificarea cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.
Yandex.Key nu verifică codul PIN pe care l-ați introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, și parolele create se dovedesc a fi incorecte și nu vă veți putea autentifica cu ele. Pentru a introduce codul PIN corect, trebuie doar să părăsiți aplicația și să o porniți din nou.
Caracteristici ale parolelor unice:
Conectați-vă cu codul QR
Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.
Faceți clic pe pictograma codului QR din browser.
Dacă nu există o astfel de pictogramă în formularul de conectare, atunci acest serviciu poate fi autorizat doar cu o parolă. În acest caz, vă puteți autentifica folosind codul QR din Passport, apoi mergeți la serviciul dorit.
Introduceți codul PIN în Yandex.Key și faceți clic pe Conectați-vă cu codul QR.
Îndreptați camera dispozitivului către codul QR afișat în browser.
Yandex.Key recunoaște codul QR și trimite numele de utilizator și parola unică către Yandex.Passport. Dacă trec testul, veți fi conectat automat în browser. Dacă parola transmisă se dovedește a fi incorectă (de exemplu, datorită faptului că ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre o parolă incorectă.
Conectați-vă cu un cont Yandex la o aplicație sau un site web terță parte
Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă de aplicație separată pentru fiecare astfel de aplicație.
Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.
Se transferă Yandex.Key
Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic Înlocuirea dispozitivului.
Mai multe conturi în Yandex.Key
Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt oferite pe pagina despre crearea codurilor de verificare nu pentru Yandex.
Pentru a elimina legarea unui cont la Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, conectarea contului dvs. la Yandex.Key va fi eliminată.
Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea primi o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.
Amprentă în loc de codul PIN
Puteți utiliza amprenta digitală în loc de un cod PIN pe următoarele dispozitive:
smartphone-uri care rulează Android 6.0 și un scaner de amprente;
iPhone de la 5s;
iPad de la Air 2.
Notă.
Pe smartphone-uri și tablete cu iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați parola principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Password.
Pentru a utiliza activarea verificării amprentei:
Parola principala
Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.
Cu o parolă principală, puteți:
face posibilă introducerea numai a parolei principale Yandex.Key în locul amprentei, și nu a codului de blocare a dispozitivului;
Backup de date Yandex.Key
Puteți crea o copie de rezervă a datelor cheie pe serverul Yandex pentru a o putea restaura dacă v-ați pierdut telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie în momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă, fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.
Pentru a obține date dintr-o copie de rezervă, aveți nevoie de:
aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;
amintiți-vă parola pe care ați setat-o pentru a cripta backup-ul.
Atenţie. Backup-ul conține doar datele de conectare și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.
Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi eliminat automat dacă nu îl utilizați în decurs de un an de la crearea sa.
Făcând o copie de rezervă
Selectați elementul Creați o copie de rezervăîn setările aplicației.
Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.
Yandex va trimite un cod de confirmare la numărul de telefon introdus. După ce primiți codul, introduceți-l în aplicație.
Creați o parolă pentru a cripta backup-ul datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.
Introduceți parola de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și va notifica despre aceasta.
Restaurare dintr-o copie de rezervă
Selectați elementul A restabili din fisierul de backupîn setările aplicației.
Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.
Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. După ce primiți codul, introduceți-l în aplicație.
Asigurați-vă că data și ora copiei de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.
Introduceți parola pe care ați setat-o la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați copia de rezervă.
Yandex.Key va decripta datele de rezervă și vă va informa că datele au fost restaurate.
Modul în care parolele unice depind de ora exactă
Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora este setată incorect pe dispozitiv, aplicația o va corecta. Dar în unele situații, chiar și după modificare și cu codul PIN corect, parola unică va fi incorectă.
Dacă sunteți sigur că introduceți corect codul PIN și parola, dar nu vă puteți autentifica:
Asigurați-vă că dispozitivul este setat la ora și fusul orar corect. După aceea, încercați să vă conectați cu o nouă parolă unică.
Conectați dispozitivul la internet, astfel încât Yandex.Key să poată obține singur ora exactă. Apoi reporniți aplicația și încercați să introduceți o nouă parolă unică.
Dacă problema persistă, vă rugăm să contactați asistența folosind formularul de mai jos.
Oferiți feedback cu privire la autentificarea cu doi factori
Pe această pagină veți găsi informații despre cum să dezactivați sau să activați autentificarea cu doi factori pe iPhone, care oferă o protecție ridicată a informațiilor personale de pe telefon. Dacă sunteți enervat de notificările constante despre autentificarea cu doi factori de pe iPhone și doriți să dezactivați această funcție, dar nu vă amintiți unde să o dezactivați în setări, atunci acest articol va fi și relevant pentru dvs.
Să vedem ce este autentificare cu doi factori pe iPhone si pentru ce este. Autentificarea cu doi factori este nivelul maxim de securitate pentru un ID Apple și îi garantează proprietarului smartphone-ului că doar proprietarul poate avea acces la contul de pe iPhone, chiar dacă parola a devenit cumva cunoscută de altcineva. Când activați autentificarea cu doi factori, contul dvs. poate fi accesat numai de pe iPhone, iPad, Mac, iPod touch de încredere cu iOS 9 și versiuni ulterioare sau Mac cu OS X El Capitan și versiuni ulterioare. Când vă conectați pentru prima dată de pe un dispozitiv nou, va trebui să furnizați o parolă și un cod de verificare din șase cifre; după introducerea corectă a codului, dispozitivul este considerat de încredere. De exemplu, sunteți proprietarul unui iPhone și trebuie să vă conectați pentru prima dată la contul dvs. pe un nou computer Mac, vi se va solicita să introduceți parola și codul de verificare, care vor fi afișate imediat pe ecranul dvs. iPhone.
Să vedem unde în setările iPhone, iPad sau iPod touch se activează și se dezactivează această funcție de protecție.
Pe un dispozitiv cu iOS 10.3 sau o versiune ulterioară.
„Setări”> [numele tău]>
Pe un dispozitiv cu iOS 10.2 sau o versiune anterioară.
Setări> iCloud. Accesați Apple ID> Parolă și securitate, faceți clic pe Activați autentificarea în doi factori și continuați.
Pentru a confirma numărul de telefon de încredere la care dorim să primim coduri de verificare, indicăm numărul de telefon după care se trimite un cod de verificare la numărul specificat. introduceți codul de verificare pe care l-ați primit pe numărul specificat pentru a activa autentificarea cu doi factori.
Pe un Mac cu OS X El Capitan sau o versiune ulterioară, urmați pașii de mai jos pentru a activa autentificarea cu doi factori.
deschideți meniul Apple> „Preferințe de sistem”> iCloud> și „Cont”, faceți clic pe pictograma „Securitate” și „Activați autentificarea cu doi factori”.
Ce se întâmplă dacă mi-am uitat parola de autentificare cu doi factori? Puteți încerca să vă resetați parola sau să vă schimbați parola de pe un dispozitiv de încredere în felul următor.
Pe iPhone, iPad sau iPod touch, accesați Setări> [numele dvs.]. Dacă dispozitivul folosește iOS 10.2 sau o versiune anterioară, apoi „Setări”> iCloud> și ID-ul tău Apple, apoi „Parolă și securitate”, apoi „Schimbare parolă” și apoi introduceți o nouă parolă. Pe un Mac, resetați sau modificați parola de autentificare cu doi factori.
Deschideți meniul> următorul „Preferințe de sistem”, apoi iCloud și selectați elementul „Cont. Dacă trebuie să introduceți parola ID-ului Apple, apoi selectați” V-ați uitat ID-ul Apple sau parola? „Și apoi urmați instrucțiunile de pe ecran. Puteți sări peste pașii următori. Apoi, selectați Securitate> și Resetare parolă, dar înainte de a vă putea reseta parola ID-ului Apple, trebuie să introduceți parola pe care o utilizați de obicei pentru a debloca Mac-ul.
Articolul a fost trimis de A. Chernov Stadiul verificării și plății articolului: Verificat și plătit.
- Sper că informațiile de autentificare cu doi factori pentru iPhone au fost utile.
- Ne-ar plăcea să auzim de la dvs. dacă adăugați feedback sau sfaturi utile pe tema paginii.
- Poate că feedback-ul sau sfaturile dvs. vor fi cele mai utile.
- Vă mulțumim pentru receptivitate, ajutor reciproc și sfaturi utile!
Salutare dragi prieteni. Astăzi vă voi spune cum să configurați autentificarea cu doi factori pentru un cont Yandex și să setați o parolă pe Yandex.Disk. Acest lucru va proteja contul principal și va îmbunătăți securitatea aplicațiilor individuale Yandex.
Protecția datelor cu caracter personal este cea mai mare problemă de pe internet. Utilizatorii neglijează adesea regulile de securitate. Ei creează parole simple și identice pentru diferite resurse de Internet, le stochează în cutii de e-mail, parolele din care sunt folosite și pe alte resurse. Acestea sunt doar câteva dintre greșelile comune.
Dacă un atacator obține acces la unul dintre conturi, alte resurse ale utilizatorului vor fi în pericol. Și dacă luăm în considerare faptul că virușii sunt capabili să-și amintească introducerea parolelor de la tastatură, atunci situația va părea și mai tristă. De aceea, fiecare utilizator de internet trebuie să respecte regulile de bază de siguranță:
- Creați parole complexe.
- Nu utilizați aceleași parole pentru diferite resurse de Internet.
- Schimbați parolele în mod regulat.
Și, de asemenea, utilizați metode de protecție suplimentare. Una dintre aceste metode este autentificarea cu doi factori a Yandex.
Cum funcționează autentificarea cu doi factori?
După cum știți, pentru a accesa o zonă restricționată, cum ar fi e-mailul, panoul de administrare a site-ului, conturile de rețele sociale, aveți nevoie de un login și o parolă. Dar acesta este doar un nivel de protecție. Pentru a consolida protecția, multe servicii introduc metode suplimentare de autentificare, precum confirmarea prin sms, chei usb, aplicații mobile.
Ți-am spus deja despre. Unde, pe lângă login și parolă, aplicația mobilă generează un cod de securitate. Deci, autentificarea cu doi factori a Yandex funcționează în același mod.
Adică, un nivel suplimentar de protecție este aplicația mobilă Yandex.Key, care anulează vechea parolă din contul Yandex și generează o nouă parolă unică la fiecare 30 de secunde.
Cu acest nivel de protecție, autentificarea la contul dvs. este posibilă doar cu o parolă unică sau un cod QR.
Este suficient să faceți anumite setări și, în viitor, îndreptați camera smartphone-ului către codul QR și obțineți acces la contul Yandex.
Și dacă nu puteți folosi camera smartphone-ului sau nu există acces la Internet, puteți utiliza întotdeauna parola unică care este generată în aplicația mobilă chiar și fără Internet.
Securitatea aplicației mobile Yandex.Key în sine este asigurată de codul PIN pe care îl creați atunci când vă conectați contul la aplicație.
Ei bine, dacă aveți un smartphone sau o tabletă Apple, puteți utiliza Touch ID în loc de un cod PIN.
Astfel, accesul la datele dumneavoastră va fi închis mai sigur.
Configurarea autentificării cu doi factori.
Pentru început, pe pagina principală Yandex, conectați-vă la contul dvs. în mod tradițional. Apoi faceți clic pe numele contului dvs. (numele căsuței poștale) și selectați "Pasaportul".
Pe pagina nou deschisă, faceți clic pe comutatorul grafic, vizavi „Autentificare cu doi factori”, apoi pe butonul „Începe configurarea”.
Procedura de configurare în sine constă din 4 pași care vor trebui efectuate pe un computer și un dispozitiv mobil.
Pasul 1. Confirmarea numărului de telefon.
Dacă ați conectat anterior numărul de telefon la contul Yandex, puteți primi imediat un cod de confirmare. Dacă nu, introduceți numărul de telefon și apăsați butonul „Pentru a obține codul”.
Codul va ajunge la numărul specificat. Trebuie să îl introduceți într-un câmp special și să faceți clic pe butonul "A confirma".
Pasul 2. Codul PIN pentru aplicația mobilă.
La acest pas, trebuie să veniți cu și să introduceți un cod PIN pentru aplicația mobilă de două ori. Acesta este codul care va deschide accesul la aplicație de pe un smartphone sau tabletă.
Introduceți codul și faceți clic pe butonul "Crea".
Pasul 3. Instalarea aplicației mobile Yandex.Key și adăugarea unui cont.
Deci, de pe smartphone sau tabletă, accesați Google Play (pentru Android) și App Store (pentru gadget-uri Apple). Apoi, descărcați și instalați aplicația Yandex.Key.
Deschideți aplicația și faceți clic pe butonul „Adăugați un cont la aplicație”.
Adăugarea unui cont la aplicația mobilă Yandex.Key
După aceea, va trebui să îndreptați camera dispozitivului mobil spre ecranul monitorului, unde în acel moment veți avea afișat un cod QR. Plasați cursorul peste acest cod.
Deci, reveniți la computer și faceți clic pe butonul "Urmatorul pas".
Pasul 4. Introducerea parolei pentru aplicația mobilă Yandex.Keyboard.
După ce așteptați noua actualizare a cheii în aplicația mobilă, introduceți-o pe computer și apăsați butonul "Porniți".
După aceea, va trebui să introduceți vechea parolă din contul Yandex și să faceți clic pe butonul "A confirma".
Încheierea unei conexiuni de autentificare cu doi factori
Totul este gata. V-ați asigurat contul cu autentificare în doi factori. Acum trebuie să vă reintroduceți contul pe toate dispozitivele folosind o parolă unică sau un cod QR.
Cum să vă conectați la contul dvs. folosind Yandex.Key.
Totul este extrem de simplu. Pe pagina principală Yandex, în panoul de conectare și înregistrare, faceți clic pe pictograma puncte suspensie (...) și selectați Ya.Klyuch din meniu.
Sau puteți utiliza metoda tradițională de conectare folosind datele de conectare (adresa căsuței poștale) și parola (parola unică pentru aplicația mobilă Yandex.Key).
Cum să setați o parolă pe Yandex.Disk.
Conectând autentificarea cu doi factori, puteți crea parole separate pentru aplicațiile terțe care se conectează la contul dvs. Acest mecanism se pornește automat după conectare.
În acest fel, veți folosi o parolă care este potrivită doar pentru unitate.
Folosind parole diferite pentru aplicații, consolidați linia de protecție a datelor dvs.
Pentru a crea o parolă, trebuie să accesați pagina de control acces, să selectați o aplicație, să introduceți un nume și să apăsați butonul "Crează o parolă".
Parola va fi generată automat și va fi afișată o singură dată. Prin urmare, copiați această parolă într-un loc sigur. În caz contrar, această parolă va trebui eliminată și creată una nouă.
Acum, când vă conectați Yandex.Disk prin protocolul WebDAV, veți folosi această parolă specială.
Notă: Parolele aplicației ar trebui folosite chiar dacă dezactivați autentificarea cu doi factori. Acest lucru vă va scuti de dezvăluirea parolei principale pentru Yandex.
Cum să dezactivați autentificarea cu doi factori.
Pentru a dezactiva autentificarea cu doi factori, trebuie să accesați pagina de control al accesului și să apăsați comutatorul (Pornit / Oprit).
Apoi introduceți parola unică din aplicația mobilă Yandex.Key și apăsați butonul "A confirma".
Crearea unei noi parole pentru contul Yandex
Acum, pentru a vă introduce contul, veți folosi numele de utilizator și parola, așa cum ați făcut mai devreme.
Important: dacă dezactivați autentificarea, parolele create pentru aplicații sunt resetate. Ar trebui recreate.
Și acum îmi propun să urmăresc un tutorial video, unde vă arăt clar întreaga procedură.
Asta e tot pentru mine astăzi, prieteni. Dacă aveți întrebări, vă voi răspunde cu plăcere în comentarii.
Vă doresc succes, ne vedem în noi tutoriale video și articole.
Salutări, Maxim Zaitsev.
O postare rară de pe blogul Yandex, și mai ales una legată de securitate, nu menționa autentificarea cu doi factori. Ne-am gândit multă vreme cum să întărim în mod corespunzător protecția conturilor de utilizator și chiar și astfel încât să o poată folosi fără toate inconvenientele care includ cele mai comune implementări de astăzi. Și ei, din păcate, sunt incomod. Potrivit unor rapoarte, pe multe site-uri mari ponderea utilizatorilor care au activat mijloace suplimentare de autentificare nu depășește 0,1%.
Acest lucru pare să se datoreze faptului că schema comună de autentificare cu doi factori este prea complexă și incomodă. Am încercat să venim cu o modalitate care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi o prezentăm în versiune beta.
Să sperăm că va deveni mai răspândit. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.
După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală Yandex, Mail and Passport. Pentru a vă intra în cont, trebuie să scanați codul QR prin aplicație - și atât. Dacă nu puteți citi codul QR, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.
Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea obișnuită a numelui de utilizator și a parolei. Dacă are succes, site-ul verifică dacă îi „place” sau nu această sesiune de utilizator. Și, dacă nu vă place, îi cere utilizatorului să se „re-autentifice”. Există două metode comune de „pre-autentificare”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe un smartphone. Practic se folosește TOTP conform RFC 6238 pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea își pierde și autentificarea „preliminară”.
Ambele metode ─ trimiterea de SMS-uri și generarea unei parole ─ dovada deținerii telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în primul pas este un factor de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în doi pași, ci și cu doi factori.
Ce ni s-a părut problematic în această schemă?
Să începem cu faptul că computerul unui utilizator obișnuit nu poate fi numit întotdeauna un model de securitate: aici puteți dezactiva actualizările Windows, o copie piratată a unui antivirus fără semnături moderne și software-ul de origine dubioasă ─ toate acestea nu măresc nivelul. de protectie. În opinia noastră, compromiterea computerului unui utilizator este cea mai răspândită metodă de „deturpare” a conturilor (și recent a existat încă o confirmare în acest sens) și vreau să mă protejez de aceasta în primul rând. În cazul autentificării în doi pași, dacă presupunem că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie doar să selecteze al doilea factor. În cazul implementărilor comune RFC 6238, al doilea factor este de 6 cifre zecimale (iar maximul stipulat de specificație este de 8 cifre). Potrivit calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să înțeleagă al doilea factor dacă îl cunoaște cumva pe primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.A doua problemă este lipsa de transparență în aprecierea serviciului cu privire la calitatea sesiunii utilizator și luarea unei decizii cu privire la necesitatea „pre-autentificării”. Mai rău, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă atacatorul știe, pe baza căreia serviciul ia o decizie cu privire la legitimitatea sesiunii, el poate încerca să falsifice aceste date. Din considerente generale, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, ținând cont de adresa IP (și derivat din aceasta numărul de sistem autonom care identifică furnizorul și locația pe baza geobazei) și browser. date, de exemplu, antetul User Agent și un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul unui utilizator, atunci el are capacitatea nu numai de a fura toate datele necesare, ci și de a folosi adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi-ul public din cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirii din punct de vedere al serviciului) a furnizorului acestei cafele. magazin și, de exemplu, văruire toate cafenelele din oraș. ... Am vorbit despre funcționarea sistemului de detectare a anomaliilor și ar putea fi aplicat, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru o judecată încrezătoare despre anomalie. În plus, același argument distruge ideea de computere „de încredere”: un atacator poate fura orice informație care afectează judecata de încredere.
În cele din urmă, autentificarea în doi pași este pur și simplu incomod: studiile noastre de uzabilitate arată că nimic nu deranjează la fel de mult utilizatorii ca un ecran intermediar, apăsări suplimentare de butoane și alte acțiuni „neimportante” din punctul lui de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei să fie mult mai mare decât este posibil să facem în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.
Multifactorialitatea în autentificare este determinată prin atribuirea elementelor de autentificare (de fapt, se numesc factori) într-una din trei categorii:
- Factori de cunoaștere (acestea sunt parolele tradiționale, codurile pin și tot ce seamănă cu ele);
- Factori de proprietate (în schemele OTP utilizate, de regulă, acesta este un smartphone, dar poate fi și un token hardware);
- Factori biometrici (amprenta este cea mai frecventă acum, deși cineva își va aminti episodul cu eroul lui Wesley Snipes din filmul Demolition Man).
Dezvoltarea sistemului nostru
Când am început să abordăm problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a discutat în culise înainte), prima idee a fost să luăm metode standard de autentificare și să le aplicăm aici. . Am înțeles că nu ne putem aștepta ca milioane de utilizatori ai noștri să cumpere un token hardware, așa că această opțiune a fost amânată pentru unele cazuri exotice (deși nu o abandonăm complet, poate vom reuși să venim cu ceva interesant). Nici metoda cu SMS-uri nu putea fi răspândită: este o metodă de livrare foarte nesigură (în cel mai crucial moment, SMS-urile pot fi întârziate sau să nu fie primite deloc), iar trimiterea SMS-urilor costă bani (iar operatorii au început să-și mărească prețul). Am decis că folosirea SMS-urilor este o mulțime de bănci și alte companii low-tech și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea nu a fost grozavă: să folosești smartphone-ul și programul din el ca al doilea factor.Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul pin (primul factor), are un token hardware sau software (în smartphone) care generează OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.
În opinia noastră, principalul dezavantaj al acestei scheme este același cu cel al autentificării în doi pași: dacă presupunem că desktopul utilizatorului este compromis, atunci o singură introducere a codului PIN duce la dezvăluirea acesteia, iar atacatorul poate alege doar a doua. factor.
Am decis să mergem în altă direcție: parola este generată în întregime din secret, dar doar o parte din secret este stocată în smartphone, iar o parte este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, iar parola rămâne în capul utilizatorului și este un factor de cunoaștere.
Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.
Deci, avem un program pentru smartphone, în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca o cheie HMAC, care semnează ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC devine ușor de citit de om și voila - iată parola unică!
După cum sa menționat, RFC 4226 sugerează trunchierea ieșirii HMAC la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, am vrut să păstrăm ușurința de utilizare (la urma urmei, reamintim, vreau să fac un astfel de sistem pe care oamenii obișnuiți să-l folosească, și nu doar tociarii securității), astfel încât să fie un compromis în versiunea actuală a sistemului, am ales trunchierea la 8 caractere ale alfabetului latin. Se pare că 26 ^ 8 parole valabile 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ni se potrivește (sau pe Habré apar sfaturi prețioase despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.
Aflați mai multe despre puterea unor astfel de parole
Într-adevăr, pentru literele latine care nu țin seama de majuscule, numărul de opțiuni pe semn este 26, pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26 + 26 + 10 = 62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatoare. Acest lucru este cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere făcută din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere formată din litere mari, mici și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.Magie, lipsă de parolă, aplicații și calea de urmat
În general, ne-am fi putut opri la asta, dar am vrut să facem sistemul și mai convenabil. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!
Prin urmare, am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone, introduce codul PIN în ea și scanează codul QR pe ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!
Cum functioneazã?
Numărul sesiunii este codificat în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând din partea serverului un răspuns pentru a verifica parola cu sesiunea dată. Dacă serverul răspunde că parola este corectă, împreună cu răspunsul este setat un cookie de sesiune, iar utilizatorul este considerat autentificat.A fost mai bine, dar chiar și aici am decis să nu ne oprim. Începând cu iPhone 5S, scanerul de amprente TouchID a apărut pe telefoanele și tabletele Apple, iar în iOS versiunea 8 sunt disponibile și aplicații de la terți pentru a lucra cu el. De fapt, aplicația nu are acces la amprentă, dar dacă amprenta este corectă, atunci o secțiune suplimentară Keychain devine disponibilă pentru aplicație. Noi am profitat de asta. A doua parte a secretului este plasată în intrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scriptul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.
Dar utilizatorul a devenit incredibil de convenabil: deschide aplicația, pune degetul, scanează codul QR de pe ecran și se autentifică în browserul computerului! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi o astfel de schemă mult mai convenabilă decât introducerea manuală a două parole.
Este posibil să dezbatem cât de formal este o astfel de autentificare cu doi factori, dar, de fapt, pentru a o trece cu succes, mai trebuie să aveți un telefon și să aveți amprenta corectă, așa că credem că am reușit complet să renunțăm la factorul cunoaștere, înlocuindu-l cu biometrie. Înțelegem că ne bazăm pe securitatea ARM TrustZone din inima iOS Secure Enclave și credem că este în prezent de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele autentificării biometrice: o amprentă nu este o parolă și nu poate fi înlocuită în caz de compromis. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu confortul, iar utilizatorul însuși are dreptul de a alege un raport acceptabil între unul și celălalt.
Permiteți-mi să vă reamintesc că acesta este încă beta. Acum, când activați autentificarea cu doi factori, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este aranjată criptarea bazei de date de parole. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.
Iată ce avem. Se pare că a funcționat bine, dar ține de tine să judeci. Vom fi bucuroși să auzim feedback și recomandări, iar noi înșine vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem autentificare cu doi factori. Rețineți că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, dublează bonusul Bug Bounty pentru erorile găsite în ele.
Etichete: Adăugați etichete
