Përshëndetje përsëri të gjithëve. Pajtohem, gjëja më e rëndësishme gjatë punës në internet është siguria. Ajo duhet të japë Vëmendje e veçantë. Kur regjistroheni për një sajt të rëndësishëm, duhet të krijoni fjalëkalim i fortë ose përdorni. Meqenëse sa më kompleks të jetë kombinimi i shkronjave dhe numrave, aq më e vështirë do të jetë për sulmuesit që ta thyejnë atë. Sidoqoftë, ka raste kur hakerët arrijnë të kenë akses në llogarinë tuaj, për shembull, në llogarinë tuaj postë personale. Kjo është shumë e trishtueshme: informacion i rendesishem mund të përfundojë në duar jo të mira dhe mund të përdoret kundër jush, korrespodenca me partnerët tuaj mund të fshihet plotësisht, etj. Me një fjalë, llogaria juaj duhet të mbrohet si bebja e syrit.
Për të përmirësuar sigurinë, ofrojnë shumë shërbime vërtetimi me dy faktorë. Sot do të shikojmë se çfarë po përdor postën Yandex si shembull.
Kur kjo veçori është e aktivizuar, një sulmues, edhe nëse ai zgjedh saktë fjalëkalimin tuaj kryesor, nuk do të jetë në gjendje të hyjë në kutinë tuaj postare. Meqenëse kjo do të kërkonte një rastësi fjalëkalim një herë, e cila gjeneron aplikim të veçantë në smartfonin ose tabletin tuaj. Tani do të përpiqemi të përshkruajmë në detaje se si të aktivizojmë vërtetimin me dy faktorë në Yandex. Në të ardhmen, një rishikim i ngjashëm do të jetë Google mail dhe Mail.ru.
Pra, për të lidhur këtë funksion, na duhet një smartphone ose tablet. Ne shkojmë në postën tonë të kutisë postare Yandex. Nëse nuk e keni një të tillë, krijoni atë. Si? Lexoni në.
Pasi të kemi hyrë në llogari, klikoni në llogarinë tuaj dhe zgjidhni artikullin " Menaxhimi i llogarisë»
Pasaporta Yandex do të hapet me të gjitha llojet e cilësimeve. Në bllok " Kontrolli i aksesit"shkoni te lidhja" Konfiguro vërtetimin me dy faktorë»
Tani duhet të kalojmë 4 hapa.
1 hap. Verifikoni numrin tuaj të telefonit.
Llogaria juaj pas aktivizimit veçori e re do të lidhet me numrin tuaj të telefonit. Prandaj, tregoni numrin në të cilin keni Qasje falas. Pas kësaj, klikoni në butonin " për të marrë kodin»
Pas disa sekondash, do të vijë një mesazh SMS, ku do të tregohet kodi që futim në fushë ...
... dhe shtypni " Konfirmo»
Hapi 2. Kodi PIN.
Në mënyrë që aplikacioni të jetë në gjendje të gjenerojë një fjalëkalim një herë, duhet të vendosni një kod pin, atë që do të tregojmë tani. Kujdes!!! Mbani mend këtë kod dhe mos e ndani me askënd. Edhe nëse telefoni juaj është vjedhur, pa e ditur kodin tuaj pin, sulmuesit nuk do të mund ta përdorin këtë aplikacion.
Futni kodin PIN dhe më pas përsërisni. Për të hapur simbolet, klikoni në sy. Në këtë mënyrë mund të siguroheni që keni shkruar gjithçka në mënyrë korrekte. Dhe shtypni " Krijo».
Hapi 3. Aplikacioni celular Yandex Key.
Në këtë fazë, duhet të instalojmë vetë aplikacionin që do të krijojë fjalëkalime një herë. Ne shtypim butonin " Merrni lidhjen me telefonin».
Le ta kalojmë. Telefoni i ndezur Bazuar në Android hapni automatikisht shërbimin Google Play me një propozim për të instaluar aplikacionin Yandex Key. Ne e instalojmë atë.
Hapni çelësin Yandex. Pas disa faqeve hyrëse, do t'ju kërkohet të skanoni një kod QR. Aplikacioni do të kërkojë leje për të hyrë në kamerën tuaj. Ne jemi dakord. Më pas, drejtojeni kamerën drejt ekranit të monitorit në mënyrë që katrori me kodin QR të godasë lentet e kamerës. Aplikacioni do të skanojë dhe shtojë automatikisht llogarinë tuaj. Nëse skanimi dështon, mund ta mbani çelësin sekret. Për ta parë, klikoni në lidhjen Shfaq çelësin privat» sipas kodit QR. Në aplikacion zgjidhni edhe metodën për futjen e çelësit sekret.
Tani le të kalojmë në hapin tjetër.
Hapi 4. Futja e një fjalëkalimi një herë nga çelësi Yandex.
Ne hapim aplikacionin tonë në vegël tonë. Tani do t'ju duhet të vendosni kodin tuaj pin. Dhe pas kësaj do të shihni të njëjtin fjalëkalim të rastësishëm një herë.
Fjalëkalimi përditësohet çdo 30 sekonda. Prandaj, keni kohë për ta futur atë në fushë përpara përditësimit dhe klikoni " Ndez».
Kjo është e gjitha, ne kemi aktivizuar vërtetimin me dy faktorë për Yandex-in tonë.
Le të kontrollojmë se si funksionon. Dilni nga llogaria rrjedhëse.
Tani mund të hyni në llogarinë tuaj në 2 mënyra. 1) shkruani hyrjen tuaj (ose adresën Email Yandex) dhe më pas ne futim JO fjalëkalimin që kemi përdorur më parë, të përhershëm, por atë që marrim në çelësin e aplikacionit celular Yandex pasi kemi futur kodin pin. Dhe shtypni butonin Hyrja. Mënyra e dytë do të thotë të identifikohesh me Kodi QR. Klikoni në ikonën në formën e një kodi qr (në të djathtë të butonit Hyrja).
Pastaj arrijmë në këtë faqe
Ne ndjekim udhëzimet: hapim çelësin Yandex, futni kodin tonë pin dhe më pas zgjidhni " Hyni me kodin QR»
Më pas e drejtojmë kamerën e tabletit ose telefonit te kodi QR. Aplikacioni skanon kodin dhe ne kemi akses në postën tonë.
Si të çaktivizoni vërtetimin me dy faktorë në Yandex
Nëse për ndonjë arsye vendosni të çaktivizoni vërtetimin me dy faktorë, atëherë kjo mund të bëhet shpejt dhe lehtë. Ne futemi në kutinë tuaj postare, shkojmë te Menaxhimi i Llogarisë (ku dhe si ta bëjmë këtë, shihni në fillim të këtij artikulli) dhe çaktivizojmë këtë veçori.
Në hapi tjeter duhet të fusim një fjalëkalim një herë nga aplikacioni Yandex Key
Fusni atë dhe konfirmoni.
Ne krijojmë Fjalëkalim i ri(kjo konstante kohore), përsërisni dhe kurseni.
Kjo është e gjitha, tani vërtetimi ynë me dy faktorë është i çaktivizuar. Fjalëkalimi i përhershëm i krijuar në hapin e mëparshëm do të përdoret për t'u identifikuar.
Pra, sot ne shikuam se si ta bëjmë llogarinë tonë të postës Yandex më të sigurt duke lidhur vërtetimin me dy faktorë me të. A e përdorni këtë veçori? Ndani në komente.
Dhe kjo është e gjitha për sot. Shihemi se shpejti!
Çdo person duhet të ketë një ëndërr. Një ëndërr është ajo që drejton një person. Kur je i vogël, ëndërron të rritesh. Ëndrra duhet së pari të bëhet qëllim. Atëherë ju duhet të arrini qëllimin tuaj. Dhe duhet të keni një ëndërr të re!
Një postim i rrallë në blogun Yandex, dhe veçanërisht ai që lidhet me sigurinë, bëri pa përmendur vërtetimin me dy faktorë. Ne kemi menduar për një kohë të gjatë se si të forcojmë siç duhet mbrojtjen Llogaritë e përdoruesve, dhe madje në mënyrë që të mund të përdoret pa të gjitha shqetësimet që përfshijnë implementimet më të zakonshme sot. Dhe, mjerisht, ata janë të pakëndshëm. Sipas disa të dhënave, në shumë faqe të mëdha, përqindja e përdoruesve që kanë përfshirë fonde shtesë vërtetimi nuk kalon 0.1%.
Kjo duket se është për shkak se skema e zakonshme e vërtetimit me dy faktorë është shumë e ndërlikuar dhe e papërshtatshme. Ne u përpoqëm të gjenim një metodë që do të ishte më e përshtatshme pa humbur nivelin e mbrojtjes dhe sot prezantojmë versionin e saj beta.
Shpresojmë që të bëhet më e përhapur. Nga ana jonë, ne jemi të gatshëm të punojmë për përmirësimin e tij dhe standardizimin e mëvonshëm.
Pasi të keni aktivizuar vërtetimin me dy faktorë në Pasaportë, do t'ju duhet të instaloni aplikacionin Yandex.Key në App Store ose Google Play. Në formularin e autorizimit faqja kryesore Yandex, kodet QR u shfaqën në Mail dhe Pasaport. Të hysh llogari ju duhet të lexoni kodin QR përmes aplikacionit - dhe kaq. Nëse kodi QR nuk mund të lexohet, për shembull, kamera e smartfonit nuk funksionon ose nuk ka qasje në internet, aplikacioni do të krijojë një fjalëkalim një herë që do të jetë i vlefshëm vetëm për 30 sekonda.
Unë do t'ju them pse vendosëm të mos përdorim mekanizma të tillë "standard" si RFC 6238 ose RFC 4226. Si funksionojnë skemat e zakonshme të vërtetimit me dy faktorë? Ato janë me dy faza. Faza e parë është vërtetimi i zakonshëm me një emër përdoruesi dhe fjalëkalim. Nëse ishte i suksesshëm, faqja kontrollon nëse "i pëlqen" ky sesion i përdoruesit apo jo. Dhe, nëse "nuk ju pëlqen", i kërkon përdoruesit të "ri-autentifikojë". Ekzistojnë dy metoda të zakonshme të "bërjes së vërtetimit": dërgimi i një SMS në numrin e telefonit të lidhur me llogarinë dhe gjenerimi i një fjalëkalimi të dytë në smartphone. Në thelb, TOTP sipas RFC 6238 përdoret për të gjeneruar fjalëkalimin e dytë. Nëse përdoruesi e ka futur saktë fjalëkalimin e dytë, sesioni konsiderohet i vërtetuar plotësisht, dhe nëse jo, atëherë sesioni humbet edhe autentifikimin "paraprak".
Të dyja metodat - dërgimi i një SMS dhe gjenerimi i një fjalëkalimi - janë dëshmi e posedimit të telefonit dhe për këtë arsye janë një faktor në disponueshmëri. Fjalëkalimi i futur në fazën e parë është faktori i njohurive. Prandaj, kjo skemë vërtetimi nuk është vetëm me dy faza, por edhe me dy faktorë.
Çfarë kemi gjetur problematike në këtë skemë?
Le të fillojmë me faktin se kompjuteri i përdoruesit mesatar nuk mund të quhet gjithmonë një model sigurie: këtu është mbyllja Përditësimet e Windows, dhe një kopje pirate e antivirusit pa nënshkrime moderne, dhe softuer me origjinë të dyshimtë - e gjithë kjo nuk rrit nivelin e mbrojtjes. Sipas vlerësimit tonë, kompromisi i kompjuterit të një përdoruesi është më i madhi mënyrë pjesa më e madhe"Rrëmbimi" i llogarive (dhe së fundmi ka pasur një tjetër konfirmim për këtë), është gjëja e parë që dëshironi të mbroheni prej saj. Kur vërtetimi me dy faktorë, nëse supozojmë se kompjuteri i përdoruesit është i dëmtuar, futja e një fjalëkalimi në të komprometon vetë fjalëkalimin, i cili është faktori i parë. Kjo do të thotë se sulmuesi duhet të zgjedhë vetëm faktorin e dytë. Në rastin e zbatimeve të zakonshme të RFC 6238, faktori i dytë është 6 shifra dhjetore (dhe maksimumi i specifikimit është 8 shifra). Sipas kalkulatorit bruteforce për OTP, në tre ditë një sulmues është në gjendje të kap faktorin e dytë nëse disi bëhet i vetëdijshëm për të parin. Nuk është e qartë se çfarë shërbimi mund ta kundërshtojë këtë sulm pa shkelur punë normale përdorues. E vetmja provë e mundshme e punës është captcha, e cila, për mendimin tonë, është zgjidhja e fundit.Problemi i dytë është paqartësia e gjykimit të shërbimit për cilësinë e sesionit të përdoruesit dhe vendimi për nevojën për "up-autentication". Më keq se kaq, shërbimi nuk është i interesuar ta bëjë këtë proces transparent, ─ në fund të fundit, siguria nga errësira në fakt këtu funksionon. Nëse një sulmues e di se çfarë vendos shërbimi për legjitimitetin e seancës, ai mund të përpiqet të falsifikojë këto të dhëna. Nga konsideratat e përgjithshme, mund të konkludojmë se gjykimi bëhet në bazë të historisë së vërtetimit të përdoruesit, duke marrë parasysh adresën IP (dhe numrat që rrjedhin prej saj). sistem autonom, i cili identifikon ofruesin dhe një vendndodhje të bazuar në një gjeobazë) dhe të dhënat e shfletuesit, siç është titulli Agjenti i përdoruesit dhe një grup cookie-sh, flash lso dhe html ruajtje lokale. Kjo do të thotë që nëse një sulmues kontrollon kompjuterin e përdoruesit, atëherë ai ka mundësinë jo vetëm të vjedhë të gjitha të dhënat e nevojshme, por edhe të përdorë adresën IP të viktimës. Për më tepër, nëse vendimi merret bazuar në ASN, atëherë çdo vërtetim nga wifi publik në një kafene mund të çojë në "helmim" për sa i përket sigurisë (dhe zbardhjen për sa i përket shërbimit) ofruesit të kësaj kafeneje dhe, për shembull, zbardhjen e të gjitha kafeneve në qytet. Ne folëm për funksionimin e sistemit të zbulimit të anomalive dhe mund të zbatohej, por koha midis fazës së parë dhe të dytë të vërtetimit mund të mos jetë e mjaftueshme për një gjykim të sigurt në lidhje me anomalinë. Për më tepër, i njëjti argument minon idenë e kompjuterëve "të besuar": një sulmues mund të vjedhë çdo informacion që ndikon në gjykimin e besimit.
Më në fund, verifikimi me dy hapa është thjesht i papërshtatshëm: studimet tona të përdorshmërisë tregojnë se asgjë nuk i irriton përdoruesit më shumë sesa një ekran i ndërmjetëm, shtypje shtesë të butonave dhe veprime të tjera "të parëndësishme", nga këndvështrimi i tij.
Bazuar në këtë, vendosëm që vërtetimi të jetë me një hap dhe hapësira e fjalëkalimit duhet të jetë shumë më e madhe se ajo që është e mundur në RFC 6238 "të pastër".
Në të njëjtën kohë, ne donim të ruanim vërtetimin me dy faktorë sa më shumë që të ishte e mundur.Multifaktorialiteti në vërtetim përcaktohet duke caktuar elementet e vërtetimit (në fakt, ata quhen faktorë) në një nga tre kategoritë:
- Faktorët e njohurive (këto janë fjalëkalime tradicionale, kode pin dhe gjithçka që duket si ato);
- Faktorët e pronësisë (në skemat OTP të përdorura, ky është zakonisht një smartphone, por mund të jetë gjithashtu një shenjë harduerike);
- Faktorët biometrikë (gjurmë gishtash - më e zakonshme tani, megjithëse dikush do të kujtojë episodin me heroin e Wesley Snipes në filmin Demolition Man).
Zhvillimi i sistemit tonë
Kur filluam të merreshim me problemin e vërtetimit me dy faktorë (faqet e para të wiki-t të korporatës për këtë çështje datojnë në vitin 2012, por u diskutua prapa skenave më parë), ideja e parë ishte të merrej mënyra standarde autentifikimin dhe t'i zbatoni ato me ne. Kuptuam që nuk mund të mbështeteshim në miliona përdorues tanë për të blerë një shenjë harduerike, kështu që ky opsion u shty për disa raste ekzotike (megjithëse nuk e braktisim plotësisht, mund të arrijmë të dalim me diçka interesante). As metoda SMS nuk mund të prodhohej në masë: kjo është një metodë shumë jo e besueshme e dërgesës (në momentin më vendimtar, SMS mund të vonohet ose të mos arrihet fare) dhe duke dërguar SMS kushton para (dhe operatorët kanë filluar të rrisin çmimin e tyre). Ne e vendosëm atë duke përdorur SMS─ shumë banka dhe kompani të tjera jo-teknologjike, dhe përdoruesit tanë duan të ofrojnë diçka më të përshtatshme. Në përgjithësi, zgjedhja ishte e vogël: përdorimi i një smartphone dhe programi në të si një faktor i dytë.Kjo formë e vërtetimit me një hap është e përhapur: përdoruesi kujton kodin pin (faktori i parë), ka një token harduer ose softuer (në një smartphone) që gjeneron OTP (faktori i dytë). Në fushën e futjes së fjalëkalimit, ai fut kodin pin dhe vlerën aktuale OTP.
Sipas mendimit tonë, disavantazhi kryesor Kjo skemë është e njëjtë si për vërtetimin me dy hapa: nëse supozojmë se desktopi i përdoruesit është i rrezikuar, atëherë një hyrje e vetme e kodit pin çon në zbulimin e tij dhe sulmuesi mund të zgjedhë vetëm faktorin e dytë.
Ne vendosëm të shkojmë në anën tjetër: fjalëkalimi gjenerohet tërësisht nga sekreti, por vetëm një pjesë e sekretit ruhet në smartphone, dhe pjesa futet nga përdoruesi sa herë që gjenerohet fjalëkalimi. Kështu, vetë telefoni inteligjent është faktor pronësie, ndërsa fjalëkalimi mbetet në kokën e përdoruesit dhe është faktor dijeje.
Nonce mund të jetë ose një numërues ose koha aktuale. Ne vendosëm të zgjedhim kohën aktuale, kjo na lejon të mos kemi frikë nga desinkronizimi në rast se dikush gjeneron shumë fjalëkalime dhe rrit numëruesin.
Pra, ne kemi një program për një smartphone, ku përdoruesi fut pjesën e tij të sekretit, përzihet me pjesën e ruajtur, rezultati përdoret si çelësi HMAC, i cili nënshkruan kohën aktuale, të rrumbullakosur në 30 sekonda. Dalja HMAC drejtohet në formë e lexueshme, dhe voila - këtu është fjalëkalimi një herë!
Siç është përmendur tashmë, RFC 4226 sugjeron shkurtimin e rezultatit HMAC në një maksimum prej 8 shifrash dhjetore. Ne vendosëm që një fjalëkalim i kësaj madhësie nuk është i përshtatshëm për vërtetimin me një hap dhe duhet të rritet. Në të njëjtën kohë, ne donim të ruanim lehtësinë e përdorimit (sepse, mbani mend, ne duam të krijojmë një sistem që do ta përdorin njerëzit e zakonshëm, dhe jo vetëm mjeshtrit e sigurisë), kështu që si një kompromis në versioni aktual sistemi, ne zgjodhëm shkurtimin në 8 karaktere të alfabetit latin. Duket se 26 ^ 8 fjalëkalime të vlefshme për 30 sekonda janë mjaft të pranueshme, por nëse kufiri i sigurisë nuk na përshtatet (ose këshilla të vlefshme shfaqen në Habré se si ta përmirësojmë këtë skemë), ne do të zgjerojmë, për shembull, në 10 karaktere.
Mësoni më shumë rreth fuqisë së fjalëkalimeve të tilla
Në të vërtetë, për shkronjat latine të pandjeshme, numri i opsioneve për karakter është 26, për shkronjat latine të mëdha dhe të vogla plus numrat, numri i opsioneve është 26+26+10=62. Pastaj log 62 (26 10) ≈ 7.9 d.m.th. një fjalëkalim me 10 shkronja të vogla latine të rastësishme është pothuajse po aq i fortë sa një fjalëkalim me 8 shkronja ose numra latine të rastësishme të sipërme dhe të poshtme. Kjo është padyshim e mjaftueshme për 30 sekonda. Nëse flasim për një fjalëkalim me 8 karaktere nga shkronja latine, atëherë forca e tij është log 62 (26 8) ≈ 6.3, domethënë pak më shumë se një fjalëkalim me 6 karaktere nga shkronja të mëdha, të vogla dhe numra. Ne mendojmë se kjo është ende e pranueshme për një dritare 30 sekondash.Magjia, pafjalëkalimi, aplikacionet dhe hapat e mëtejshëm
Në përgjithësi, ne mund të ndaleshim këtu, por donim ta bënim sistemin edhe më të përshtatshëm. Kur një person ka një smartphone në dorë, ai nuk dëshiron të fusë fjalëkalimin nga tastiera!
Prandaj, filluam punën për "hyrjen magjike". Me këtë metodë vërtetimi, përdoruesi lëshon aplikacionin në smartfonin e tij, fut kodin e tij pin në të dhe skanon kodin QR në ekranin e kompjuterit të tij. Nëse kodi pin është futur saktë, faqja në shfletues ringarkohet dhe përdoruesi vërtetohet. Magjike!
Si punon?
Numri i seancës futet në kodin QR dhe kur aplikacioni e skanon atë, ky numër transmetohet në server së bashku me atë të gjeneruar. në mënyrën e zakonshme fjalëkalimin dhe emrin e përdoruesit. Kjo nuk është e vështirë, sepse telefoni inteligjent është pothuajse gjithmonë në linjë. Në paraqitjen e faqes që tregon kodin QR, JavaScript po funksionon, duke pritur për një përgjigje nga serveri për të kontrolluar fjalëkalimin me këtë sesion. Nëse serveri përgjigjet se fjalëkalimi është i saktë, një skedar sesioni vendoset me përgjigjen dhe përdoruesi konsiderohet i vërtetuar.U bë më mirë, por këtu vendosëm të mos ndalemi. Duke filluar me iPhone 5S në telefona dhe Tabletat e Apple U shfaq skaneri i gjurmëve të gishtërinjve TouchID dhe brenda versionet e iOS 8 puna me të është në dispozicion dhe aplikacionet e palëve të treta. Në fakt, aplikacioni nuk ka akses në gjurmën e gishtit, por nëse shenja e gishtit është e saktë, atëherë seksioni shtesë Keychain bëhet i disponueshëm për aplikacionin. Kjo është ajo që ne kemi përfituar. Pjesa e dytë e sekretit vendoset në hyrjen e Keychain të mbrojtur me TouchID, ajo që përdoruesi ka futur nga tastiera në skenarin e mëparshëm. Kur zhbllokoni zinxhirin e çelësave, dy pjesët e sekretit përzihen dhe më pas procesi funksionon siç përshkruhet më sipër.
Por është bërë tepër i përshtatshëm për përdoruesin: ai hap aplikacionin, vendos gishtin, skanon kodin QR në ekran dhe vërtetohet në shfletuesin në kompjuter! Pra, ne zëvendësuam faktorin e njohurive me një biometrik dhe, nga këndvështrimi i përdoruesit, fjalëkalime të braktisura plotësisht. Ne jemi të sigurt se njerëzit e zakonshëm një skemë e tillë do të duket shumë më e përshtatshme se hyrje manuale dy fjalëkalime.
Është e diskutueshme se sa teknikisht është vërtetimi me dy faktorë, por në realitet, ju ende duhet të keni një telefon dhe të keni një gjurmë gishti të vlefshëm për ta kaluar me sukses, kështu që ne mendojmë se kemi qenë mjaft të mirë në heqjen e faktorit të njohurive, duke e zëvendësuar atë. me biometrike. Ne e kuptojmë se mbështetemi në sigurinë e ARM TrustZone që mbështet Enklava e Sigurt iOS dhe besojmë se aktualisht ky nënsistem mund të konsiderohet i besuar brenda modelit tonë të kërcënimit. Sigurisht, ne jemi të vetëdijshëm për problemet vërtetimi biometrik: Gjurma e gishtit nuk është një fjalëkalim dhe nuk mund të zëvendësohet nëse rrezikohet. Por, nga ana tjetër, të gjithë e dinë se siguria është në përpjesëtim të zhdrejtë me komoditetin, dhe vetë përdoruesi ka të drejtë të zgjedhë raportin e njërës dhe tjetrës që është i pranueshëm për të.
Më lejoni t'ju kujtoj se kjo është ende beta. Tani, kur aktivizoni vërtetimin me dy faktorë, ne çaktivizojmë përkohësisht sinkronizimin e fjalëkalimit në Yandex.Browser. Kjo është për shkak të mënyrës sesi është rregulluar kriptimi i bazës së të dhënave të fjalëkalimeve. Tashmë jemi duke menduar mënyrë e përshtatshme Autentifikimi i shfletuesit në rast të 2FA. Të gjitha funksionet e tjera Yandex funksionojnë si më parë.
Ja çfarë kemi. Duket se doli mirë, por ju bëhuni gjyqtari. Do të jemi të lumtur të dëgjojmë komente dhe rekomandime, dhe ne vetë do të vazhdojmë të punojmë për përmirësimin e sigurisë së shërbimeve tona: tani, së bashku me CSP, kriptimin e transportit të postës dhe gjithçka tjetër, kemi edhe vërtetimin me dy faktorë. Mbani në mend se shërbimet e vërtetimit dhe aplikacionet e gjenerimit të OTP janë kritike, dhe për këtë arsye, gabimet e gjetura në to janë një shpërblim i dyfishtë i paguar sipas programit Bug Bounty.
Etiketa: Shtoni etiketa
Ne vazhdojmë vështrimin tonë për vërtetuesit për Android. Më lejoni t'ju kujtoj se në artikullin e fundit, jo vetëm aplikacione eminente për vërtetimi me dy faktorë – Google Authenticator dhe Azure Authenticator, por gjithashtu zgjidhje me një ndalesë zhvilluesi i profilit - Authentication 2-Factor Authy. Kjo është ajo që u bë optimale.
Tani do të flasim për vërtetuesin vendas - "Yandex.Key", i krijuar për të zëvendësuar Google Authenticator. Aplikacioni duket interesant, ofron dy lloje autorizimi dhe mbrojtjen e vet. Megjithatë, ne nuk do ta vendosim atë paraprakisht vlerësime pozitive dhe kontrolloni gjithçka tërësisht.
Pjesëmarrësi i dytë do të jetë FreeOTP Authenticator, një program me një të hapur Kodi i burimit, e cila nga ana tjetër mund të bëhet pikë referimi për zgjidhje të tilla. Por këto janë vetëm supozimet e para, kështu që le të mos rrahim rreth shkurret dhe të fillojmë.
Si pajisje testimi, ne përdorëm një tabletë DEXP Ursus 8EV2 3G (Android 4.4.2, procesor MT8382, 4 x Cortex-A7 1.3 GHz, bërthamë video Mali-400 MP2, 1 GB RAM, bateri 4000 mAh, modul 3G, Wi-Fi 802.11 b/g/n) dhe smartphone HT3 Pro (Android 5.1 Lollipop, procesor MT6735P, 4 x Cortex-A53 1.0 GHz, 64-bit, Mali-T720 GPU, 2 GB RAM, bateri 3000 mAh, modul 4G, Wi-Fi 802.11b/g/n)
"Yandex.Key"
Njohja
"Ky është një vërtetues që krijon fjalëkalime një herë (OTP) për t'u identifikuar në Yandex, Facebook, Google, GitHub, Dropbox, VKontakte dhe shërbime të tjera që mbështesin vërtetimin me dy faktorë (2FA). Në Yandex, do të futni fjalëkalimin e krijuar nga "Çelësi" në vend të fjalëkalimit të zakonshëm, dhe në shërbimet e tjera - së bashku me atë të zakonshëm.
Përshkrimi në Google Play flet vetë dhe nuk ka shumë për të shtuar, përveç faktit që disa përdorues preferojnë këtë aplikacion
Për aplikacionet celulare të palëve të treta, programet kompjuterike dhe importuesit e postës, duhet të përdorni fjalëkalime individuale të aplikacioneve.
Hapi 1. Konfirmoni numrin tuaj të telefonit
Nëse e keni lidhur tashmë numrin tuaj të telefonit me llogarinë tuaj, shfletuesi do ta shfaq këtë numër dhe do të pyesë nëse ti deshiron për ta konfirmuar ose ndryshuar atë. Nëse numri juaj aktual i telefonit nuk është i lidhur me llogarinë tuaj, duhet ta lidhni atë ose përndryshe nuk do të jeni në gjendje të rivendosni vetë aksesin në llogarinë tuaj.
Për të lidhur ose konfirmuar një numër, kërkoni që një kod të dërgohet me SMS dhe më pas futeni atë në formular. Pasi të keni futur saktë kodin, klikoni Konfirmo për të vazhduar në hapin tjetër.
Hapi 2. Krijoni një kod PIN
Mendoni për një kod PIN me katër shifra dhe futeni atë për vërtetimin me dy faktorë.
Kujdes. Ashtu si me kartat bankare, nuk duhet të ndani kodin tuaj PIN me askënd dhe ai nuk mund të ndryshohet. Nëse harroni kodin PIN, Yandex.Key nuk mund të gjenerojë një fjalëkalim të saktë një herë dhe qasja në llogarinë tuaj mund të rikthehet vetëm nga duke kontaktuar Departamentin tonë të Mbështetjes.
Klikoni Krijo për të konfirmuar kodin tuaj PIN.
Hapi 3. Vendosni Yandex.Key
Aplikacioni Yandex.Key kërkohet për të gjeneruar fjalëkalime një herë për ty llogari. Ju mund të merrni një lidhje për aplikacionin direkt në telefonin tuaj ose mund ta instaloni nga App Store ose Google Play.
shënim. Yandex.Key mund të kërkojë qasje në kamerën tuaj për të njohur kodet QR kur shtohen llogaritë ose kur identifikoheni duke përdorur një kod QR.
Në Yandex.Key, trokitni lehtë mbi butonin Shto llogarinë. Yandex.Key do të ndezë kamerën tuaj për të skanuar kodin QR të shfaqur në shfletues.
Nëse kodi QR nuk mund të lexohet, klikoni Shfaq çelësin sekret në shfletues ose Shto manualisht në aplikacion. Në vend të kodit QR, shfletuesi do të shfaqë një sekuencë karakteresh që duhet të futen në aplikacion.
Kur të njohë llogarinë tuaj, pajisja juaj do të kërkojë kodin PIN që keni krijuar gjatë hapit të dytë.
Hapi 4. Kontrolloni fjalëkalimin tuaj një herë
Për t'u siguruar që keni konfiguruar gjithçka në mënyrë korrekte, futni fjalëkalimin tuaj një herë. Autentifikimi me dy faktorë do të funksionojë vetëm nëse futni fjalëkalimin e saktë.
Unë do t'ju tregoj se si të vendosni vërtetimin me dy faktorë në Yandex, kjo do t'ju ndihmojë të siguroni llogarinë tuaj Yandex nga hakerimi.
Shkoni te menaxhimi i fjalëkalimit në passport.yandex.ru/profile/access. Këtu mund të ndryshoni ose aktivizoni fjalëkalimin mbrojtje shtesë për llogarinë tuaj - vërtetimi me dy faktorë. Klikoni në rrëshqitësin për Autentifikimin me Dy Faktorë për ta aktivizuar atë.
Autentifikimi me dy faktorë lidhet në disa hapa. Ju do të duhet të hapni Yandex.Passport paralelisht dhe aplikacioni celular Yandex.Key. Pas përfundimit të konfigurimit, duhet të identifikoheni përsëri në të gjitha pajisjet.
Kliko fillimin e konfigurimit.
Këtu është numri juaj i telefonit në të cilin do të dërgohen kodet për konfigurim. Këtu mund të ndryshoni gjithashtu numrin e telefonit të lidhur me llogarinë tuaj Yandex.
Vendosja e vërtetimit me dy faktorë. Hapi 1 nga 5.
Verifikoni numrin tuaj të telefonit. Ky është numri juaj kryesor në Yandex. Do t'ju duhet nëse humbni aksesin në llogarinë tuaj. Klikoni për të marrë kodin.
Një kod SMS nga Yandex do të dërgohet në numrin tuaj.
Vendosni kodin SMS nga Yandex këtu dhe klikoni konfirmoni.
Vendosja e vërtetimit me dy faktorë. Hapi 2 nga 5.
Shkarkoni aplikacionin Yandex.Key. Tani shkoni te AppStore në iPhone ose iPad ose në Play Store Smartphone Android ose tabletë dhe kërkoni aplikacionin Yandex.Key. Ose klikoni për të marrë një lidhje me telefonin.
Do të hapet Dyqani i Aplikacioneve ose Tregu i lojës klikoni shkarkimin për të shkarkuar aplikacionin Yandex.Key dhe instaloni atë në smartphone ose tablet.
Nëse duhet të futni fjalëkalimin tuaj të Apple ID, atëherë futni fjalëkalimin tuaj të Apple ID.
Pas 30 sekondash, aplikacioni do të shkarkohet në smartphone tuaj, hapeni duke klikuar mbi të.
Vendosja e vërtetimit me dy faktorë. Hapi 3 nga 5.
Drejtojeni kamerën e telefonit tuaj te kodi QR dhe llogaria juaj do të shtohet automatikisht në aplikacion. Nëse leximi i kodit dështon, provoni përsëri ose futni çelësin sekret.
Le të kthehemi te smartfoni.
Aplikacioni Yandex.Key krijon fjalëkalime një herë për t'u identifikuar në Yandex. nëse tashmë keni filluar konfigurimin e vërtetimit me dy faktorë në kompjuterin tuaj, atëherë klikoni butonin "shtoni një llogari në aplikacion".
Klikoni për të shtuar një llogari në aplikacion.
Programi "Key" kërkon qasje në "kamerën". Kliko "Lejo" për t'i dhënë aplikacionit qasje në kamerën e telefonit inteligjent për të skanuar kodin QR nga ekrani i monitorit të kompjuterit.
Drejtojeni kamerën drejt kodit QR të shfaqur në monitorin e kompjuterit tuaj dhe prisni që llogaria të shtohet ose shtojeni manualisht.
Gati. Kodi QR u skanua. Aplikacioni Yandex.Key është gati për përdorim.
Tani le të kalojmë te monitori i kompjuterit.
Klikoni mbi Krijo PIN.
Një kod PIN nevojitet sa herë që merrni një fjalëkalim një herë në Yandex.Key, si dhe për të rivendosur aksesin në llogarinë tuaj. Mbaje PIN-in tënd privat. Punonjësit e shërbimit Yandex kurrë nuk e pyesin atë.
Ne dalim me një kod pin katërshifror dhe klikojmë vazhdim.
Vendosja e vërtetimit me dy faktorë. Hapi 4 nga 5.
Verifikimi i kodit PIN. Sigurohuni që të mbani mend kodin pin. Pasi të ketë përfunduar cilësimi, ai nuk mund të ndryshohet. Nëse futni kodin e gabuar pin në aplikacion, atëherë ai do të gjenerojë fjalëkalime të pasakta një herë.
Futni kodin PIN që keni krijuar më parë dhe klikoni Verifiko.
Ne kthehemi te telefoni inteligjent dhe aplikacioni Yandex.Key. Futni PIN-in tuaj për të marrë një fjalëkalim një herë.
Pas futjes së kodit pin, do të merrni një fjalëkalim një herë që do të jetë i vlefshëm për 20 sekonda, gjatë këtyre 20 sekondave duhet ta vendosni në kompjuter në cilësimin e vërtetimit me dy faktorë. Nëse nuk keni kohë për të futur fjalëkalimin në 20 sekonda, ai do të ndryshojë në një tjetër dhe kështu me radhë. Futni fjalëkalimin që do të shfaqet në ekranin e telefonit inteligjent.
Hapi i fundit. Futni fjalëkalimin nga Yandex.Key.
Përdorni kodin pin për të marrë një fjalëkalim një herë në aplikacion. Sigurohuni që të mbani mend kodin pin, pasi të përfundojë konfigurimi, nuk do të mund ta ndryshoni atë.
Çfarë do të ndryshojë pas aktivizimit të vërtetimit me dy faktorë:
- Fjalëkalimi i vjetër nuk do të funksionojë më.
- Do t'ju duhet të identifikoheni përsëri në Yandex në të gjitha pajisjet (shërbimet në internet dhe aplikacionet celulare).
- Do të jetë e mundur të hyni në shërbimet në internet Yandex duke përdorur një kod QR pa futur një fjalëkalim. Nëse nuk mund ta lexoni kodin, përdorni fjalëkalimin një herë nga Yandex.Key.
- Ju do të hyni në aplikacionet celulare Yandex duke përdorur një fjalëkalim një herë. Mund të kopjohet nga Yandex.Key duke shtypur gjatë.
- Për programe të tjera të lidhura me llogarinë tuaj (për shembull, klientët e postës ose mbledhësit e postës), merrni fjalëkalimet e aplikacionit në Pasaportë.
Futni fjalëkalimin një herë që shfaqet në ekranin e telefonit inteligjent dhe klikoni konfigurimin e plotë.
Tani pasi të keni futur fjalëkalimin një herë, duhet të futni Fjalëkalimi i vjetër nga llogaria. Yandex duhet të sigurohet që është pronari i llogarisë që bën një ndryshim kaq të madh në cilësimet e sigurisë.
Futni fjalëkalimin e vjetër nga llogaria Yandex dhe klikoni OK.
Gati. Autentifikimi me dy faktorë përfundoi. Ju e keni mbrojtur llogarinë tuaj me fjalëkalime një herë. Tani duhet të identifikoheni përsëri në Yandex në të gjitha pajisjet. Nëse përdorni programe e-mail, për shembull, mos harroni të merrni fjalëkalimet e aplikacioneve për to.
Kliko mbyll.
Tani nëse jeni duke përdorur kuti postare Llogaria Yandex në smartphone tuaj, duhet të krijoni një fjalëkalim për të.
Zgjidhni llojin e aplikacionit > Programi i postës.
Dhe zgjidhni sistemi operativ e juaja programi i postës. Unë përdor një iPhone, ndaj zgjedh iOS.
Dhe klikoni "krijo fjalëkalimin" për të krijuar një fjalëkalim për programin e postës elektronike në smartphone tuaj.
Fjalëkalimi juaj i postës iOS është krijuar.
Si të përdorni fjalëkalimin:
- Për t'i dhënë aplikacionit qasje në të dhënat tuaja, specifikoni këtë fjalëkalim në cilësimet e tij.
- Ju nuk keni nevojë të mbani mend fjalëkalimin: do t'ju duhet vetëm një herë. Kur ndryshoni fjalëkalimin tuaj në Yandex, do t'ju duhet të merrni një fjalëkalim të ri të aplikacionit.
- Fjalëkalimi i aplikacionit shfaqet vetëm një herë. Nëse e mbyllni faqen dhe nuk keni kohë ta përdorni, thjesht merrni një të re.
Ne futim fjalëkalimin që shfaqet në monitorin e kompjuterit tuaj në aplikacionin celular të postës Yandex në smartphone tuaj.
Gati. Autentifikimi me dy faktorë Yandex funksionon, mund të jetoni.
Tani, nëse dilni nga llogaria juaj Yandex dhe futni përsëri emrin e përdoruesit dhe fjalëkalimin, ata do t'ju shkruajnë:
Çift i gabuar hyrje-fjalëkalim! Identifikimi dështoi. Ju mund të keni zgjedhur një strukturë tjetër të tastierës ose të keni shtypur " kapaku". Nëse jeni duke përdorur vërtetimin me dy faktorë, sigurohuni që po futni një fjalëkalim një herë nga aplikacioni Yandex.Key në vend të atij të zakonshëm. Provoni të identifikoheni përsëri.
Tani duhet të hapni aplikacionin Yandex.Key, të futni kodin tuaj pin dhe ta drejtoni kamerën e telefonit inteligjent në kodin QR. Do të regjistroheni automatikisht në llogarinë tuaj Yandex pasi smartphone të lexojë kodin QR nga ekrani i monitorit.
Regjistrime të tjera mbi sigurinë dhe verifikimin me 2 hapa:
