Çdo përdorues pak a shumë me përvojë të internetit ka hasur në 2FA. Por pak njerëz e kuptojnë se si funksionon vërtetimi me dy faktorë. Për të përfituar sa më shumë nga ky mjet i fuqishëm i mbrojtjes së të dhënave, ia vlen të mësoni më shumë rreth tij.
Faktori i parë është një fjalëkalim i përhershëm
Autentifikimi me dy faktorë fillon me një fjalëkalim të rregullt, të njohur nga regjistrimi në çdo faqe interneti. Zakonisht zgjidhet nga vetë përdoruesi kur krijon llogarinë e tij. Në vetvete, një fjalëkalim i ripërdorshëm nuk është shumë i sigurt dhe mund të sigurojë vetëm një nivel bazë të mbrojtjes së llogarisë. Në vërtetimin me dy faktorë, ai shërben si faktori i parë, "çelësi" i parë që zhbllokon llogarinë.
Megjithatë, një fjalëkalim i ripërdorshëm, veçanërisht nëse zgjidhet me mençuri, është një pjesë e rëndësishme e procesit të vërtetimit me dy faktorë, sepse është një faktor njohurish. Kodet PIN gjithashtu mund të klasifikohen si faktorë njohurish.
Çfarë vijon pas futjes së një fjalëkalimi? Këtu mund të ketë opsione të ndryshme.
Tre faktorë të vërtetimit: çfarë dimë; atë që kemi; ajo që është e natyrshme për ne.
Faktori numër dy - varietetet e mundshme
Si faktori i dytë i vërtetimit me dy faktorë, mund të përdoren dy lloje të metodave të vërtetimit:
- Ajo që kemi.
Identifikuesit e harduerit në formën e kartave inteligjente, certifikatave të nënshkruara dixhitale, shenjave që gjenerojnë fjalëkalime një herë. Këto mjete të vërtetimit të përdoruesit kërkojnë një lidhje fizike dhe zakonisht njohuri të një kodi PIN. Dhe në kompjuterin nga i cili identifikoheni, duhet të instaloni softuer special për të bashkëvepruar me një identifikues të tillë. Kjo metodë duket jo shumë e përshtatshme për disa përdorues, sepse vërtetuesit e këtij lloji duhet të jenë gjithmonë me vete dhe të monitorohen për sigurinë e tyre. Nëse karta inteligjente ose token OTP vidhet ose humbet, vërtetimi i klientit do të bëhet i pamundur.
- Ajo që është e natyrshme për ne.
Ky grup përfshin karakteristikat e natyrshme biometrike të një personi. Këto mund të jenë shenja gishtash, një model i retinës, skica e një fytyre ose tingulli i një zëri. Identifikuesit e këtij lloji nuk përdorin metoda ose mjete kriptografike. Më shpesh, vërtetimi i bazuar në biometrikë përdoret për të kontrolluar hyrjen në ambiente ose pajisje - për shembull, në hyrjet e ndërmarrjeve dhe organizatave.
Për përdorim në mjedise të largëta midis personit që kontrollohet dhe personit që kontrollon (siç ndodh në internet), fjalëkalimet e njëhershme të mbrojtura nga një kod PIN janë më të përshtatshmet dhe më të besueshmet. E mira e një fjalëkalimi të përkohshëm është se ai është i vlefshëm vetëm për një seancë. Edhe nëse sulmuesit përgjojnë fjalëkalimin OTP, do të jetë i padobishëm nëse përpiqen ta ripërdorin atë.
Metodat për gjenerimin e fjalëkalimeve një herë
Për të kuptuar se si funksionon vërtetimi me dy faktorë, është e rëndësishme të kuptoni se nga vijnë fjalëkalimet e përkohshme dhe si bëhen të njohura për një përdorues legjitim që hyn në sistem.
Ka disa mënyra për t'i dorëzuar fjalëkalimin marrësit:
- dërgoni me email;
- dërgoni SMS në telefon;
- lëshoni paraprakisht një listë të fjalëkalimeve për përdorim një herë të secilit prej tyre;
- gjeneroni "në vend" duke përdorur argumente softuerësh ose harduerësh.
Stabiliteti i një fjalëkalimi një herë arrihet kryesisht duke përdorur algoritme komplekse për gjenerimin e tij, të cilat vazhdimisht përmirësohen. Tre prej tyre janë kryesoret në zgjidhjet e ofruara nga kompania.
- HOTP - sipas ngjarjes. Baza për krijimin e një OTP është numri i procedurave të vërtetimit të kaluara nga një përdorues specifik dhe çelësi sekret i njohur paraprakisht për të dyja palët. Të njëjtat vlera merren parasysh kur vërtetohet me server.
- TOTP - sipas kohës. Ky algoritëm vërtetimi gjeneron një fjalëkalim të dhënë një parametër kohor. Në mënyrë tipike, nuk është një numër specifik që përdoret, por një interval aktual me kufij të paracaktuar.
- OCRA është një sistem i përgjigjes ndaj sfidave. Ky algoritëm gjeneron fjalëkalime një herë duke përdorur një vlerë të rastësishme të marrë nga serveri si hyrje. Ai gjithashtu mund të plotësohet me një funksion të nënshkrimit të të dhënave, i cili ndihmon në forcimin e sigurisë së procedurës së vërtetimit. Ky funksion ju lejon të përfshini në llogaritjet parametra specifikë të transaksionit aktual kur krijoni dhe kontrolloni një fjalëkalim, duke përfshirë jo vetëm kohën, por edhe marrësin, monedhën dhe shumën e transferimit. Për shkak të besueshmërisë së tij të lartë, algoritmi OCRA është më i përshtatshmi për përdorim në zonat më kritike të një sistemi të transmetimit dhe ruajtjes së të dhënave.
Si krijohen fjalëkalimet një herë
Algoritmet HOTP dhe TOTP shërbejnë për vërtetimin e njëanshëm - domethënë, serveri verifikon vërtetësinë e klientit. Kur përdorni OCRA, mund të kryhet vërtetimi i ndërsjellë i dyanshëm i përdoruesit dhe i faqes në të cilën ai po akseson. Kjo pikë është shumë e rëndësishme për të eliminuar kërcënimin e zëvendësimit të të dhënave dhe auto-përmbytjes, të cilat janë veçanërisht të rrezikshme në transaksionet bankare.
Përfitimet e vërtetimit me dy faktorë
Avantazhi kryesor i vërtetimit me dy faktorë është mbështetja e ndërsjellë e një faktori nga një tjetër. Nëse sulmuesit arrijnë të posedojnë hyrjen dhe fjalëkalimin e përhershëm, pamundësia për të futur një fjalëkalim të përkohshëm mund të parandalojë hyrjen e paautorizuar në llogari. Nëse token OTP përfundon në duart e mashtruesve, atëherë vërtetimi nuk do të ndodhë pa ditur fjalëkalimin kryesor. Ky lloj vërtetimi është i fuqishëm pikërisht sepse disavantazhet e një faktori mund të kompensohen nga avantazhet e një tjetri. Dhe kjo është ajo që e bën vërtetimin me dy faktorë kaq të fuqishëm dhe të besueshëm.
Kujdes. Aplikacionet e zhvilluara në Yandex kërkojnë një fjalëkalim një herë - edhe fjalëkalimet e aplikacioneve të krijuara saktë nuk do të funksionojnë.
- Hyni duke përdorur kodin QR
- Transferimi i Yandex.Key
- Fjalëkalimi kryesor
Hyni në një shërbim ose aplikacion Yandex
Ju mund të vendosni një fjalëkalim një herë në çdo formë autorizimi në Yandex ose në aplikacionet e zhvilluara nga Yandex.
Shënim.
Duhet të futni fjalëkalimin një herë kur ai shfaqet në aplikacion. Nëse ka mbetur shumë pak kohë përpara përditësimit, thjesht prisni për fjalëkalimin e ri.
Për të marrë një fjalëkalim një herë, hapni Yandex.Key dhe futni kodin PIN që specifikuat kur konfiguroni vërtetimin me dy faktorë. Aplikacioni do të fillojë të gjenerojë fjalëkalime çdo 30 sekonda.
Yandex.Key nuk kontrollon kodin PIN që keni futur dhe gjeneron fjalëkalime një herë, edhe nëse e keni futur gabim kodin PIN. Në këtë rast, edhe fjalëkalimet e krijuara rezultojnë të pasakta dhe nuk do të mund të identifikoheni me to. Për të futur kodin PIN të saktë, thjesht dilni nga aplikacioni dhe hapeni përsëri.
Karakteristikat e fjalëkalimeve një herë:
Hyni duke përdorur kodin QR
Disa shërbime (për shembull, faqja kryesore e Yandex, Pasaporta dhe Mail) ju lejojnë të identifikoheni në Yandex thjesht duke e drejtuar kamerën në kodin QR. Në këtë rast, pajisja juaj celulare duhet të lidhet me internetin në mënyrë që Yandex.Key të mund të kontaktojë serverin e autorizimit.
Klikoni në ikonën e kodit QR në shfletuesin tuaj.
Nëse nuk ka një ikonë të tillë në formën e hyrjes, atëherë mund të identifikoheni në këtë shërbim vetëm duke përdorur një fjalëkalim. Në këtë rast, mund të identifikoheni duke përdorur kodin QR në Pasaportë dhe më pas të shkoni te shërbimi i dëshiruar.
Futni kodin PIN në Yandex.Key dhe klikoni Identifikohu duke përdorur kodin QR.
Drejtojeni kamerën e pajisjes tuaj drejt kodit QR të shfaqur në shfletues.
Yandex.Key do të njohë kodin QR dhe do të dërgojë hyrjen tuaj dhe fjalëkalimin një herë në Yandex.Passport. Nëse ata e kalojnë verifikimin, ju hyni automatikisht në shfletues. Nëse fjalëkalimi i transmetuar është i pasaktë (për shembull, sepse keni futur gabim kodin PIN në Yandex.Key), shfletuesi do të shfaqë një mesazh standard në lidhje me fjalëkalimin e pasaktë.
Hyrja me një llogari Yandex në një aplikacion ose faqe interneti të palëve të treta
Aplikacionet ose faqet që kanë nevojë për qasje në të dhënat tuaja në Yandex ndonjëherë kërkojnë që ju të vendosni një fjalëkalim për të hyrë në llogarinë tuaj. Në raste të tilla, fjalëkalimet një herë nuk do të funksionojnë - duhet të krijoni një fjalëkalim të veçantë aplikacioni për secilin aplikacion të tillë.
Kujdes. Vetëm fjalëkalimet një herë funksionojnë në aplikacionet dhe shërbimet Yandex. Edhe nëse krijoni një fjalëkalim aplikacioni, për shembull, për Yandex.Disk, nuk do të mund të identifikoheni me të.
Transferimi i Yandex.Key
Ju mund të transferoni gjenerimin e fjalëkalimeve një herë në një pajisje tjetër ose të konfiguroni Yandex.Key në disa pajisje në të njëjtën kohë. Për ta bërë këtë, hapni faqen e Access Control dhe klikoni butonin Zëvendësimi i pajisjes.
Disa llogari në Yandex.Key
I njëjti Yandex.Key mund të përdoret për disa llogari me fjalëkalime një herë. Për të shtuar një llogari tjetër në aplikacion, kur vendosni fjalëkalime një herë në hapin 3, klikoni ikonën në aplikacion. Përveç kësaj, mund të shtoni gjenerimin e fjalëkalimit në Yandex.Key për shërbime të tjera që mbështesin vërtetimin e tillë me dy faktorë. Udhëzimet për shërbimet më të njohura ofrohen në faqen në lidhje me krijimin e kodeve të verifikimit jo për Yandex.
Për të hequr një lidhje llogarie në Yandex.Key, shtypni dhe mbani portretin përkatës në aplikacion derisa të shfaqet një kryq në të djathtë të tij. Kur klikoni në kryq, lidhja e llogarisë tuaj me Yandex.Key do të fshihet.
Kujdes. Nëse fshini një llogari për të cilën janë aktivizuar fjalëkalimet një herë, nuk do të jeni në gjendje të merrni një fjalëkalim një herë për të hyrë në Yandex. Në këtë rast, do të jetë e nevojshme të rivendosni aksesin.
Gjurmët e gishtit në vend të kodit PIN
Mund të përdorni gjurmën e gishtit tuaj në vend të një kodi PIN në pajisjet e mëposhtme:
telefonat inteligjentë që përdorin Android 6.0 dhe një skaner të gjurmëve të gishtërinjve;
iPhone duke filluar nga modeli 5s;
iPad duke filluar me Air 2.
Shënim.
Në telefonat inteligjentë dhe tabletët iOS, gjurmët e gishtave mund të anashkalohen duke futur fjalëkalimin e pajisjes. Për t'u mbrojtur nga kjo, aktivizoni një fjalëkalim kryesor ose ndryshoni fjalëkalimin në një më kompleks: hapni aplikacionin Cilësimet dhe zgjidhni Touch ID & Passcode.
Për të aktivizuar verifikimin e gjurmës së gishtit:
Fjalëkalimi kryesor
Për të mbrojtur më tej fjalëkalimet tuaja një herë, krijoni një fjalëkalim kryesor: → Fjalëkalimi kryesor.
Me një fjalëkalim kryesor mund të:
bëjeni në mënyrë që në vend të gjurmës së gishtit, të mund të futni vetëm fjalëkalimin kryesor Yandex.Key, dhe jo kodin e kyçjes së pajisjes;
Kopje rezervë e të dhënave Yandex.Key
Mund të krijoni një kopje rezervë të të dhënave kryesore në serverin Yandex, në mënyrë që të mund t'i rivendosni nëse humbni telefonin ose tabletin tuaj me aplikacionin. Të dhënat e të gjitha llogarive të shtuara në çelës në momentin e krijimit të kopjes kopjohen në server. Nuk mund të krijoni më shumë se një kopje rezervë; çdo kopje e mëpasshme e të dhënave për një numër telefoni specifik zëvendëson atë të mëparshmin.
Për të marrë të dhëna nga një kopje rezervë, duhet:
keni akses në numrin e telefonit që keni specifikuar gjatë krijimit të tij;
mbani mend fjalëkalimin që keni vendosur për të enkriptuar kopjen rezervë.
Kujdes. Kopja rezervë përmban vetëm hyrjet dhe sekretet e nevojshme për të krijuar fjalëkalime një herë. Duhet të mbani mend kodin PIN që keni vendosur kur keni aktivizuar fjalëkalimet një herë në Yandex.
Nuk është ende e mundur të fshini një kopje rezervë nga serveri Yandex. Do të fshihet automatikisht nëse nuk e përdorni brenda një viti pas krijimit.
Krijimi i një kopje rezervë
Zgjidhni një artikull Krijo një kopje rezervë në cilësimet e aplikacionit.
Futni numrin e telefonit me të cilin do të lidhet rezervimi (për shembull, "380123456789") dhe klikoni Next.
Yandex do të dërgojë një kod konfirmimi në numrin e telefonit të futur. Pasi të keni marrë kodin, futeni atë në aplikacion.
Krijoni një fjalëkalim që do të kodojë kopjen rezervë të të dhënave tuaja. Ky fjalëkalim nuk mund të rikuperohet, prandaj sigurohuni që të mos e harroni ose ta humbni.
Futni fjalëkalimin që keni krijuar dy herë dhe klikoni Finish. Yandex.Key do të kodojë kopjen rezervë, do ta dërgojë në serverin Yandex dhe do ta raportojë atë.
Rivendosja nga një kopje rezervë
Zgjidhni një artikull Rivendosja nga rezervimi në cilësimet e aplikacionit.
Futni numrin e telefonit që keni përdorur gjatë krijimit të kopjes rezervë (për shembull, "380123456789") dhe klikoni Next.
Nëse gjendet një kopje rezervë e të dhënave kryesore për numrin e specifikuar, Yandex do të dërgojë një kod konfirmimi në këtë numër telefoni. Pasi të keni marrë kodin, futeni atë në aplikacion.
Sigurohuni që data dhe ora e krijimit të kopjes rezervë, si dhe emri i pajisjes, përputhen me kopjen rezervë që dëshironi të përdorni. Pastaj klikoni butonin Rivendos.
Futni fjalëkalimin që keni vendosur kur krijoni kopjen rezervë. Nëse nuk e mbani mend, për fat të keq, do të jetë e pamundur të deshifroni kopjen rezervë.
Yandex.Key do të deshifrojë të dhënat rezervë dhe do t'ju njoftojë se të dhënat janë restauruar.
Si varen fjalëkalimet e njëhershme nga koha e saktë
Kur krijoni fjalëkalime një herë, Yandex.Key merr parasysh kohën aktuale dhe zonën kohore të vendosur në pajisje. Kur disponohet një lidhje interneti, çelësi kërkon gjithashtu kohën e saktë nga serveri: nëse ora në pajisje është vendosur gabimisht, aplikacioni do të bëjë një rregullim për këtë. Por në disa situata, edhe pas korrigjimit dhe me kodin e saktë PIN, fjalëkalimi një herë do të jetë i pasaktë.
Nëse jeni të sigurt se po futni saktë kodin PIN dhe fjalëkalimin, por nuk mund të identifikoheni:
Sigurohuni që pajisja juaj të jetë vendosur në orarin dhe zonën e duhur kohore. Pas kësaj, provoni të identifikoheni me një fjalëkalim të ri një herë.
Lidheni pajisjen tuaj me internetin në mënyrë që Yandex.Key të marrë vetë kohën e saktë. Më pas rinisni aplikacionin dhe provoni të futni një fjalëkalim të ri një herë.
Nëse problemi nuk zgjidhet, ju lutemi kontaktoni mbështetjen duke përdorur formularin e mëposhtëm.
Lini komente rreth vërtetimit me dy faktorë
Për të kuptuar se çfarë është vërtetimi me dy faktorë dhe si zbatohet zakonisht, duhet të zbuloni se çfarë është vërtetimi në përgjithësi. Për ta mbajtur të thjeshtë, vërtetimi është procesi ku një përdorues dëshmon se është pikërisht ai që tha se është.
Për shembull, kur hyni në sistem, ju shkruani emrin e përdoruesit dhe fjalëkalimin tuaj dhe në këtë mënyrë vërtetoni se e dini çelësin sekret, që do të thotë se ju konfirmoni se jeni ju dhe jo një i huaj. Në këtë rast, njohja e fjalëkalimit është i ashtuquajturi "faktor i vërtetimit".
Por fjalëkalimi mund të jetë shumë i thjeshtë, dhe një sulmues mund ta marrë me mend lehtësisht, ose thjesht mund të jetë në një copë letre nën tastierë (që, natyrisht, është e gabuar). Futja e një fjalëkalimi do t'i lejojë një sulmuesi t'i dëshmojë sistemit se ai e njeh fjalëkalimin, dhe për këtë arsye ka të drejtë të përdorë këtë sistem.
Prandaj, për të mbrojtur sistemin nga situata të tilla, është zakon që të përdoren njëkohësisht dy faktorë vërtetimi: për shembull, një fjalëkalim dhe një kartë inteligjente. Në këtë rast, faktori i dytë i vërtetimit do të jetë fakti i posedimit të një karte smart. Sistemi do të kontrollojë fjalëkalimin dhe kartën tuaj inteligjente dhe nëse gjithçka është e saktë, do t'ju lejojë të hyni në sistem.
Autentifikimi me dy faktorë dhe nënshkrimi elektronik dixhital
Shumë shpesh, vërtetimi me dy faktorë përdoret për nënshkrimet elektronike. Një nënshkrim dixhital në një dokument është zakonisht i ngjashëm me një nënshkrim të shkruar me dorë në një dokument letre, kështu që është shumë e rëndësishme që nënshkrimi juaj elektronik të mos vendoset nga sulmuesit në vend të jush.
Më shpesh, për të siguruar nënshkrimin tuaj elektronik, ai shkruhet (më saktë, një certifikatë nënshkrimi elektronik) në një shenjë. Tokenështë një pajisje e veçantë që përdoret shpesh për të ruajtur certifikatat e nënshkrimit elektronik. Nënshkrimi juaj elektronik në token është i mbrojtur me fjalëkalim, kështu që edhe nëse vidhet, sulmuesit nuk do të mund ta përdorin atë. Në këtë rast, faktori i parë i vërtetimit do të jetë fakti i zotërimit të tokenit dhe i dyti do të jetë njohja e fjalëkalimit për të hyrë në nënshkrimin elektronik në token.
Për të ruajtur certifikatat e nënshkrimit elektronik, ne rekomandojmë modelet e mëposhtme të shenjave:
Autentifikimi me dy faktorë për hyrje
Shpesh, organizatat ruajnë të dhëna shumë të rëndësishme në kompjuterët e tyre, të cilat mund të përbëjnë një sekret tregtar, i cili, natyrisht, mund të gjurmohet nga konkurrentët dhe sulmuesit e tjerë. Dhe përdorimi i fjalëkalimeve të rregullta nuk mjafton për të garantuar sigurinë e informacionit.
Për të mbrojtur të dhënat në kompjuterët e punonjësve tuaj, përdoren dy qasje të vërtetimit:
- mbrojnë procesin e hyrjes
Si pjesë e kësaj qasjeje, një produkt softuer është instaluar në kompjuter, i cili fillon të kërkojë një shenjë kur identifikohet, dhe gjithashtu siguron që token të futet në çdo kohë. Nëse hiqni shenjën, kompjuteri do të bllokohet menjëherë.
Kjo metodë është e mirë për t'u përdorur aty ku ambientet janë të mbrojtura dhe askush nuk mund të vjedhë fizikisht kompjuterin ose hard diskun e tij.
- mbrojnë të gjitha të dhënat në kompjuterin tuaj
Ekziston gjithashtu një mënyrë për të enkriptuar të gjitha të dhënat në një kompjuter dhe, kur kompjuteri nis, kërkohet që përdoruesi të fusë një fjalëkalim dhe të fusë një shenjë. Nëse fjalëkalimi është i pasaktë ose shenja është e pasaktë, atëherë të dhënat thjesht nuk do të deshifrohen, dhe edhe nëse vidhen, sulmuesi nuk do të jetë në gjendje të përdorë informacionin nga kompjuteri.
Përdoruesi. Për më tepër, ne po flasim jo vetëm për llogarinë, kontaktet dhe mesazhet e ruajtura, por edhe për dokumentet dhe skedarët personalë. Niveli më i lartë i mbrojtjes së të dhënave garantohet nga vërtetimi me dy faktorë i Apple, kur për të hyrë në të dhënat personale duhet të futni dy kode numerike speciale me radhë.
Si punon
Karakteristika kryesore e sistemit të ri të sigurisë së Apple është të sigurojë që vetëm ju mund të hyni në pajisjen tuaj, edhe nëse fjalëkalimi është i njohur për të tjerët. Me verifikimin me dy hapa, mund të identifikoheni në llogarinë tuaj vetëm nga pajisjet e besuara iPhone, iPad ose Mac. Në këtë rast, vërtetimi me dy faktorë do t'ju kërkojë të vendosni në mënyrë sekuenciale dy lloje fjalëkalimesh: një kod të rregullt dhe një kod verifikimi me gjashtë shifra, të cilat do të shfaqen automatikisht në vegël e verifikuar.
Për shembull, le të themi se keni një kompjuter portativ Mac dhe dëshironi të identifikoheni në llogarinë tuaj në iPad-in tuaj të blerë së fundmi. Për ta bërë këtë, së pari futni emrin e përdoruesit dhe fjalëkalimin, dhe më pas një kod verifikimi që shfaqet automatikisht në ekranin e laptopit tuaj.
Pas kësaj, vërtetimi me dy faktorë i Apple do të "kujtojë" pajisjen tuaj dhe do të lejojë aksesin në të dhënat personale pa verifikim shtesë. Ju gjithashtu mund ta bëni shfletuesin e çdo kompjuteri të besuar duke vendosur këtë opsion kur hyni në llogarinë tuaj për herë të parë.
Pajisjet e besuara
Mund të bësh vetëm një vegël të besuar nga Apple. Për më tepër, sistemi operativ i instaluar në të nuk duhet të jetë më i ulët se iOS 9 për pajisjet celulare dhe jo më i ulët se OS X El Capitan për laptopët dhe kompjuterët personalë. “Autentifikimi me dy faktorë” e shpjegon këtë duke thënë se vetëm në këtë rast Apple mund të garantojë që laptopi që po përdorni ju takon.
Kodet e verifikimit me gjashtë shifra mund të dërgohen jo vetëm në pajisjet e besuara, por edhe në numrat e pajisjeve celulare. Në të njëjtën kohë, metoda e konfirmimit të numrit dhe vegël nuk është e ndryshme. Vlen gjithashtu të mbani mend se në çdo rast, pavarësisht se çfarë metode përdorni për të marrë një kod verifikimi, vërtetimi me dy faktorë do t'ju kërkojë të dini ID-në tuaj të Apple. Mësoni përmendësh, përndryshe rrezikoni të mos jeni në gjendje të hyni në llogarinë tuaj.
Niveli i ri i mbrojtjes
Sa herë që identifikoheni në llogarinë tuaj të përdoruesit, vendndodhja juaj dërgohet te pajisjet e besuara. Në rastet kur përkon me vendndodhjen tuaj aktuale, mund të lejoni hyrjen duke shtypur butonin e theksuar.
Nëse vërtetimi me dy faktorë ofron të lejojë hyrjen në një pajisje tjetër, megjithëse vendndodhja aktuale e pajisjes nuk përkon me tuajën, atëherë duhet ta ndaloni këtë veprim. Kjo tregon qasje të paautorizuar në vegël tuaj dhe mund të shërbejë gjithashtu si një sinjal për vendndodhjen e sulmuesit që vodhi telefonin tuaj.
Çaktivizimi i mbrojtjes me dy faktorë
Rekomandohet fuqimisht të mos kryeni asnjë manipulim me pajisjen që mund të çaktivizojë vërtetimin me dy faktorë të Apple; kjo do të zvogëlojë nivelin e sigurisë së veglës tuaj. Sidoqoftë, në disa raste thjesht nuk kërkohet. Për shembull, ju vazhdimisht përdorni një laptop dhe një smartphone. Nuk ka nevojë të konfirmoni identitetin tuaj dhe, për më tepër, procedura është shumë e lodhshme.
Ka dy mënyra për të çaktivizuar vërtetimin me dy faktorë të Apple. Në rastin e parë, duhet të identifikoheni në llogarinë tuaj, të zgjidhni menunë "Ndrysho" dhe të zgjidhni opsionin e duhur në artikullin e menusë "Siguria". Duke konfirmuar datën e lindjes dhe duke iu përgjigjur pyetjeve të sigurisë, do të çaktivizoni mbrojtjen me dy faktorë.
Çaktivizo vërtetimin e emailit
Nëse zbuloni se mbrojtja me dy hapa është aktivizuar në pajisjen tuaj pa dijeninë tuaj, mund ta çaktivizoni atë nga distanca duke përdorur emailin që keni dhënë në kohën e regjistrimit ose një adresë rezervë. Si të çaktivizoni vërtetimin me dy faktorë duke përdorur email?
Për ta bërë këtë, duhet të hapni letrën që do të mbërrijë në kutinë tuaj postare menjëherë pas aktivizimit të sistemit të mbrojtjes. Në fund të mesazhit do të shihni artikullin e çmuar "Turn off...". Klikoni mbi të një herë dhe cilësimet e mëparshme për mbrojtjen e të dhënave tuaja personale do të rikthehen.
Ju duhet të ndiqni lidhjen brenda dy javësh nga marrja e mesazhit, përndryshe ai do të bëhet i pavlefshëm. Tani nuk do t'ju duhet të pyesni veten se si të çaktivizoni vërtetimin me dy faktorë dhe dini disa sekrete të tjera të Apple.
Vetëm dembelët nuk thyejnë fjalëkalime. Rrjedhja masive e fundit e llogarive nga Yahoo vetëm konfirmon faktin se vetëm një fjalëkalim - pa marrë parasysh sa i gjatë apo kompleks është - nuk është më i mjaftueshëm për mbrojtje të besueshme. Autentifikimi me dy faktorë është ajo që premton të sigurojë atë mbrojtje, duke shtuar një shtresë shtesë sigurie.
Në teori, gjithçka duket mirë, dhe në praktikë, në përgjithësi, funksionon. Autentifikimi me dy faktorë e bën më të vështirë hakimin e një llogarie. Tani nuk mjafton që një sulmues të joshë, të vjedhë ose të thyejë fjalëkalimin kryesor. Për të hyrë në llogarinë tuaj, duhet të vendosni edhe një kod një herë, i cili... Por saktësisht se si merret ky kod një herë është gjëja më interesante.
Ju keni hasur shumë herë vërtetimin me dy faktorë, edhe nëse nuk keni dëgjuar kurrë për të. A keni futur ndonjëherë një kod një herë që ju është dërguar me SMS? Ky është një rast i veçantë i vërtetimit me dy faktorë. A ndihmon? Për të qenë i sinqertë, jo në të vërtetë: sulmuesit tashmë kanë mësuar se si ta anashkalojnë këtë lloj mbrojtjeje.
Sot do të shikojmë të gjitha llojet e vërtetimit me dy faktorë të përdorur për të mbrojtur llogarinë Google, Apple ID dhe llogarinë Microsoft në platformat Android, iOS dhe Windows 10 Mobile.
Apple
Autentifikimi me dy faktorë u shfaq për herë të parë në pajisjet Apple në 2013. Në ato ditë, bindja e përdoruesve për nevojën për mbrojtje shtesë nuk ishte e lehtë. Apple as nuk u përpoq: vërtetimi me dy faktorë (i quajtur verifikim me dy hapa, ose verifikim me dy hapa) u përdor vetëm për t'u mbrojtur nga dëmtimi i drejtpërdrejtë financiar. Për shembull, kërkohej një kod një herë kur bëni një blerje nga një pajisje e re, ndryshoni një fjalëkalim dhe komunikoni me mbështetjen rreth temave që lidhen me një llogari Apple ID.
Nuk përfundoi mirë. Në gusht 2014, pati një rrjedhje masive të fotove të të famshmëve. Hakerët arritën të fitojnë akses në llogaritë e viktimave dhe të shkarkojnë foto nga iCloud. Një skandal shpërtheu, duke bërë që Apple të zgjerojë shpejt mbështetjen për verifikimin me dy hapa për të hyrë në kopjet rezervë dhe fotot e iCloud. Në të njëjtën kohë, kompania vazhdoi të punojë në një gjeneratë të re të metodës së vërtetimit me dy faktorë.
Verifikimi me dy hapa
Për të dhënë kode, verifikimi me dy hapa përdor mekanizmin "Gjej telefonin tim", i cili fillimisht ishte krijuar për të dhënë njoftime shtytëse dhe komanda të bllokimit në rast të një telefoni të humbur ose të vjedhur. Kodi shfaqet në krye të ekranit të kyçjes, kështu që nëse një sulmues merr një pajisje të besuar, ai do të jetë në gjendje të marrë një kod një herë dhe ta përdorë atë pa e ditur as fjalëkalimin e pajisjes. Ky mekanizëm shpërndarjeje është sinqerisht një hallkë e dobët.
Ju gjithashtu mund të merrni kodin me SMS ose thirrje zanore në numrin tuaj të telefonit të regjistruar. Kjo metodë nuk është më e sigurt. Karta SIM mund të hiqet nga një iPhone i mbrojtur mirë dhe të futet në çdo pajisje tjetër, pas së cilës mund të merret një kod në të. Më në fund, një kartë SIM mund të klonohet ose merret nga një operator celular duke përdorur një autorizim të rremë - ky lloj mashtrimi tani është bërë thjesht epidemi.
Nëse nuk keni akses as në një iPhone të besuar, as në një numër telefoni të besuar, atëherë për të hyrë në llogarinë tuaj duhet të përdorni një çelës të veçantë 14-shifror (i cili, nga rruga, rekomandohet të printoni dhe ruani në një vend të sigurt , dhe mbajeni me vete kur udhëtoni). Nëse e humbisni edhe atë, nuk do të duket keq: qasja në llogarinë tuaj mund të mbyllet përgjithmonë.
Sa i sigurt është?
Për të qenë i sinqertë, jo në të vërtetë. Verifikimi me dy hapa zbatohet jashtëzakonisht dobët dhe me meritë ka fituar një reputacion si sistemi më i keq i vërtetimit me dy faktorë nga të gjithë tre lojtarët e mëdhenj. Nëse nuk ka zgjidhje tjetër, atëherë verifikimi me dy hapa është akoma më mirë se asgjë. Por ka një zgjedhje: me lëshimin e iOS 9, Apple prezantoi një sistem krejtësisht të ri sigurie, të cilit iu dha emri i thjeshtë "autentifikimi me dy faktorë".
Cila është saktësisht dobësia e këtij sistemi? Së pari, kodet një herë të dorëzuar përmes mekanizmit Find My Phone shfaqen drejtpërdrejt në ekranin e kyçjes. Së dyti, vërtetimi i bazuar në numrat e telefonit është i pasigurt: SMS-të mund të përgjohen si në nivelin e ofruesit, ashtu edhe duke zëvendësuar ose klonuar kartën SIM. Nëse keni akses fizik në kartën SIM, atëherë thjesht mund ta instaloni në një pajisje tjetër dhe të merrni kodin në baza plotësisht ligjore.
Gjithashtu mbani në mend se kriminelët kanë mësuar të marrin karta SIM për të zëvendësuar ato "të humbura" duke përdorur prokura false. Nëse fjalëkalimi juaj është vjedhur, atëherë zbulimi i numrit tuaj të telefonit është një copë tortë. Prokura është falsifikuar, merret një kartë SIM e re - në fakt, asgjë tjetër nuk kërkohet për të hyrë në llogarinë tuaj.
Si të hakoni vërtetimin e Apple
Ky version i vërtetimit me dy faktorë është mjaft i lehtë për t'u hakuar. Ka disa opsione:
- lexoni një kod një herë nga një pajisje e besuar - zhbllokimi nuk është i nevojshëm;
- zhvendosni kartën SIM në një pajisje tjetër, merrni SMS;
- klononi një kartë SIM, merrni një kod për të;
- përdorni një shenjë vërtetimi binar të kopjuar nga kompjuteri i përdoruesit.
Si të mbroheni
Mbrojtja përmes verifikimit me dy hapa nuk është serioze. Mos e përdorni fare. Në vend të kësaj, aktivizoni vërtetimin e vërtetë me dy faktorë.
Autentifikimi me dy faktorë
Përpjekja e dytë e Apple quhet zyrtarisht "autentifikimi me dy faktorë". Në vend që të zëvendësohet skema e mëparshme e verifikimit me dy hapa, të dy sistemet ekzistojnë paralelisht (megjithatë, vetëm një nga dy skemat mund të përdoret brenda së njëjtës llogari).
Autentifikimi me dy faktorë u shfaq si pjesë e iOS 9 dhe versioni i macOS u lëshua njëkohësisht me të. Metoda e re përfshin verifikim shtesë sa herë që përpiqeni të identifikoheni në llogarinë tuaj Apple ID nga një pajisje e re: të gjitha pajisjet e besuara (iPhone, iPad, iPod Touch dhe kompjuterët që përdorin versionet më të fundit të macOS) marrin menjëherë një njoftim interaktiv. Për të hyrë në njoftim, duhet të zhbllokoni pajisjen (me një fjalëkalim ose sensor gjurmë gishtash) dhe për të marrë një kod një herë, duhet të klikoni në butonin e konfirmimit në kutinë e dialogut.
Ashtu si në metodën e mëparshme, në skemën e re është e mundur të merrni një fjalëkalim një herë në formën e një SMS ose një thirrje zanore në një numër telefoni të besuar. Megjithatë, ndryshe nga verifikimi me dy hapa, njoftimet push do t'i dërgohen përdoruesit në çdo rast dhe përdoruesi mund të bllokojë një përpjekje të paautorizuar për t'u identifikuar në llogari nga çdo pajisje e tij.
Fjalëkalimet e aplikacionit mbështeten gjithashtu. Por Apple braktisi kodin e rikuperimit të aksesit: nëse humbni iPhone-in tuaj të vetëm së bashku me një kartë SIM të besuar (të cilën për ndonjë arsye nuk mund ta rivendosni), për të rivendosur aksesin në llogarinë tuaj, do t'ju duhet të kaloni një kërkim të vërtetë me konfirmimin e identitetit (dhe jo, një skanim i një pasaporte nuk është një konfirmim i tillë ... dhe origjinali, siç thonë ata, "nuk funksionon").
Por në sistemin e ri të sigurisë kishte një vend për një skemë të përshtatshme dhe të njohur offline për gjenerimin e kodeve një herë. Ai përdor një mekanizëm plotësisht standard TOTP (fjalëkalim një herë i bazuar në kohë), i cili gjeneron kode gjashtëshifrore një herë në çdo tridhjetë sekonda. Këto kode janë të lidhura me kohën e saktë, dhe vetë pajisja e besuar vepron si një gjenerues (autentifikues). Kodet merren nga thellësia e cilësimeve të sistemit të iPhone ose iPad përmes Apple ID -> Fjalëkalimi dhe Siguria.
Ne nuk do të shpjegojmë në detaje se çfarë është TOTP dhe me çfarë përdoret, por ende do të duhet të flasim për ndryshimet kryesore midis zbatimit të kësaj metode në iOS dhe një skeme të ngjashme në Android dhe Windows.
Ndryshe nga konkurrentët e saj kryesorë, Apple lejon që vetëm pajisjet e veta të përdoren si autentikues. Roli i tyre mund të luhet nga një iPhone, iPad ose iPod Touch i besuar me iOS 9 ose 10. Për më tepër, çdo pajisje inicializohet me një sekret unik, i cili ju lejon të revokoni lehtësisht dhe pa dhimbje statusin e besuar prej tij (dhe vetëm prej tij) nëse humbet. Nëse vërtetuesi nga Google është i rrezikuar, atëherë statusi i të gjithë vërtetuesve të inicializuar do të duhet të revokohet (dhe të rifillohet), pasi Google vendosi të përdorë një sekret të vetëm për inicializimin.
Sa i sigurt është
Krahasuar me zbatimin e mëparshëm, skema e re është ende më e sigurt. Falë mbështetjes nga sistemi operativ, skema e re është më e qëndrueshme, logjike dhe e lehtë për t'u përdorur, gjë që është e rëndësishme nga pikëpamja e tërheqjes së përdoruesve. Sistemi i dorëzimit të fjalëkalimeve një herë është gjithashtu ridizajnuar ndjeshëm; e vetmja hallkë e dobët e mbetur është dërgimi në një numër telefoni të besuar, të cilin përdoruesi duhet të verifikojë ende pa dështuar.
Tani, kur përpiqet të identifikohet në një llogari, përdoruesi merr menjëherë njoftime shtytëse për të gjitha pajisjet e besuara dhe ka mundësinë të refuzojë përpjekjen. Megjithatë, nëse sulmuesi vepron mjaft shpejt, ai mund të jetë në gjendje të fitojë akses në llogari.
Si të hakoni vërtetimin me dy faktorë
Ashtu si në skemën e mëparshme, vërtetimi me dy faktorë mund të hakohet duke përdorur një shenjë vërtetimi të kopjuar nga kompjuteri i përdoruesit. Një sulm në kartën SIM do të funksionojë gjithashtu, por një përpjekje për të marrë kodin me SMS do të vazhdojë të shkaktojë njoftime në të gjitha pajisjet e besuara të përdoruesit dhe ai mund të ketë kohë për të refuzuar hyrjen. Por nuk do të jeni në gjendje të spiunoni kodin në ekranin e një pajisjeje të kyçur: do t'ju duhet të zhbllokoni pajisjen dhe të jepni konfirmimin në kutinë e dialogut.
Si të mbroheni
Nuk kanë mbetur shumë dobësi në sistemin e ri. Nëse Apple do të braktiste shtimin e detyrueshëm të një numri telefoni të besuar (dhe për të aktivizuar vërtetimin me dy faktorë, të paktën një numër telefoni do të duhej të verifikohej), ai mund të quhet ideal. Fatkeqësisht, nevoja për të verifikuar një numër telefoni shton një cenueshmëri serioze. Mund të përpiqeni të mbroni veten në të njëjtën mënyrë siç mbroni numrin në të cilin dërgohen fjalëkalimet një herë nga banka.
Vazhdimi është i disponueshëm vetëm për abonentët
Opsioni 1. Regjistrohu në Hacker për të lexuar të gjitha materialet në sit
Abonimi do t'ju lejojë të lexoni TË GJITHA materialet me pagesë në faqe brenda periudhës së caktuar. Ne pranojmë pagesa me karta bankare, para elektronike dhe transferta nga llogaritë e operatorit celular.
