Si të shtoni një aplikacion në çelësin Yandex. Rrjeti social VKontakte"

Mund të ndizni vërtetimi me dy faktorë v. Do t'ju duhet aplikacioni Yandex.Key, i cili mund të instalohet pajisje celulare bazuar në iOS ose Android. Një pajisje që nuk mbështet instalimin e aplikacioneve (p.sh. Amazon Kindle Fire) nuk mund të përdoret.

Pasi të aktivizoni 2FA:

Të gjitha aplikacionet, programet dhe shërbimet Yandex do të kërkojnë saktësisht fjalëkalim një herë... Do t'ju duhet gjithashtu një fjalëkalim një herë kur hyni në një rrjet social dhe hyni në Mail for Domains.

Nuk keni nevojë të futni hyrjen dhe fjalëkalimin nëse hyni në Yandex duke përdorur një kod QR.

Për aplikacionet celulare të palëve të treta, programet kompjuterike dhe mbledhësit e postës do të duhet të përdorin fjalëkalime individuale të aplikacioneve.

Shënim. Për të transferuar llogarinë tuaj në një smartphone ose tablet tjetër, hapni faqen dhe klikoni butonin Zëvendësimi i pajisjes.

Instalimi kryhet në disa hapa. Autentifikimi me dy faktorë aktivizohet vetëm pasi të klikoni butonin Konfigurimi i plotë në hapi i fundit.

1. Hapi 2. Krijoni një kod pin
2. Hapi 3. Konfiguro Yandex.Key

Hapi 1. Konfirmoni numrin tuaj të telefonit

Nëse një numër telefoni është i lidhur me llogarinë tuaj, shfletuesi do ta shfaqë këtë numër dhe do t'ju kërkojë ta konfirmoni ose ndryshoni atë. Nëse numri juaj aktual i telefonit nuk është i lidhur me llogarinë tuaj, do t'ju duhet ta lidhni atë, përndryshe nuk do të mund të rivendosni vetë aksesin në llogarinë tuaj.

Për të lidhur ose konfirmuar një numër, kërkoni një kod me SMS dhe futeni atë në formular. Nëse kodi është futur saktë, klikoni butonin Konfirmo për të vazhduar në hapin tjetër.

Hapi 2. Krijoni një kod pin

Krijoni dhe vendosni një PIN me katër shifra për vërtetimin me dy faktorë.

Kujdes. Si me shumë karta bankare, kodi pin është i njohur vetëm për ju dhe nuk mund të ndryshohet. Nëse harroni kodin PIN, Yandex.Key nuk do të jetë në gjendje të gjenerojë fjalëkalimin e duhur një herë, dhe ju mund të rivendosni aksesin në llogarinë tuaj vetëm me ndihmën e shërbimit mbështetës.

Klikoni butonin Krijo për të konfirmuar kodin PIN të futur.

Hapi 3. Konfiguro Yandex.Key

Yandex.Key kërkohet për të krijuar fjalëkalime një herë për llogarinë tuaj. Mund të merrni një lidhje me aplikacionin drejtpërdrejt në telefonin tuaj ose ta instaloni atë nga App Store ose Google Play.

Shënim. Yandex.Key mund të kërkojë qasje në kamerë për të njohur kodet QR kur shton llogari ose kur autorizon përdorimin e një kodi QR.

Klikoni butonin në Yandex.Key Shtoni llogarinë në aplikacion... Yandex.Key do të ndezë kamerën për të skanuar kodin QR të treguar në shfletues.

Nëse nuk mund ta lexoni kodin QR, klikoni lidhjen në shfletuesin tuaj Shfaq çelësin sekret, dhe në aplikacion - një lidhje ose shtojeni manualisht... Në vend të kodit QR, shfletuesi do të shfaqë një sekuencë karakteresh që duhet të futen në aplikacion.

Pas njohjes së llogarisë, aplikacioni do të kërkojë kodin pin që keni krijuar në hapin e mëparshëm të konfigurimit të 2FA.

Hapi 4. Kontrolloni fjalëkalimin një herë

Për t'u siguruar që gjithçka është konfiguruar saktë, duhet të vendosni një fjalëkalim një herë në hapin e fundit - vërtetimi me dy faktorë do të aktivizohet vetëm kur futni fjalëkalimin e saktë.

Për ta bërë këtë, në Yandex.Key duhet të futni saktë kodin PIN që keni krijuar në hapin e dytë. Aplikacioni do të shfaqë një fjalëkalim një herë. Fusni atë pranë butonit Aktivizo dhe klikoni këtë buton.

Yandex nisi sistemin vërtetimi me dy faktorë dhe lëshoi ​​aplikacionin Yandex.Key për të hyrë në llogarinë tuaj pa pasur nevojë të mbani mend dhe të futni fjalëkalim kompleks... Aplikacioni është tashmë i disponueshëm në Android dhe iOS, dhe hyrja në të në të reja Modelet e iPhone mund të mbrohet me një skaner të gjurmëve të gishtërinjve.

Ka disa mënyra për të hyrë në llogarinë tuaj përmes Yandex.Key, por së pari duhet të shkoni në faqen e cilësimeve në yandex.ru/promo/2fa dhe të aktivizoni autorizimin me dy faktorë.

Konfirmoni numrin tuaj të telefonit me kodin e marrë me SMS.

Instaloni aplikacionin Yandex.Klyuch në smartphone ose tablet.

Hapni aplikacionin dhe skanoni kodin QR në faqen e internetit Yandex. Nëse pajisja juaj celulare nuk ka kamerë, klikoni Shfaq çelësin sekret dhe futni karakteret e shfaqura në aplikacion.

Dilni me një PIN dhe futeni atë në faqen e internetit ose aplikacionin.

Futni fjalëkalimin një herë të krijuar nga aplikacioni në faqen e internetit. Ky fjalëkalim është i vlefshëm për vetëm 30 sekonda dhe më pas shfaqet një i ri. Në fund të konfigurimit, do t'ju duhet të vendosni përsëri fjalëkalimin e përhershëm për llogarinë.

Këto hapa duhet të kryhen vetëm një herë. Pas aktivizimit të autorizimit me dy faktorë, do t'ju duhet të ri-autorizoni në faqet Yandex në të gjitha pajisjet. Mund të krijohen fjalëkalime të veçanta për të hyrë në aplikacione.

Një buton me një ikonë të kodit QR do të shfaqet tani në faqen e hyrjes në llogarinë Yandex.

Autentifikimi me dy faktorë siguron nivel i ngritur siguri mbi fjalëkalimin tradicional. Madje komplekse dhe fjalëkalim efektiv mund të jetë i prekshëm ndaj viruseve, keyloggers dhe sulmeve phishing.

Mund të aktivizoni vërtetimin me dy faktorë në faqen e menaxhimit të llogarisë Yandex. Për të konfiguruar aksesin Yandex.Key, ju nevojitet një celular pajisje android ose iOS.

Pas aktivizimit të 2FA:

• Në vend të përdorimit fjalëkalim standard për të hyrë në shërbimet dhe aplikacionet Yandex, do t'ju duhet të vendosni një fjalëkalim një herë (për shembull, për të hyrë në llogarinë tuaj ose për të ndryshuar numrin tuaj të telefonit). Kur përdorni një kod QR, nuk keni nevojë të futni emrin e përdoruesit ose fjalëkalimet për t'u identifikuar në Yandex tuaj.
• Aplikacionet celulare të palëve të treta, programet kompjuterike dhe klientët e postës elektronike do të duhet të përdorin fjalëkalime të veçanta të aplikacioneve.
• Faqja e rikuperimit për llogarinë Yandex do të ndryshohet.

Për të aktivizuar vërtetimin me dy faktorë, klikoni në lidhjen "Konfiguro vërtetimin me dy faktorë" në faqen "Informacionet personale" në seksionin "Kontrolli i hyrjes" dhe ndiqni disa hapa:

Nëse numri juaj i telefonit është i lidhur tashmë me llogarinë tuaj, ju lutemi konfirmoni ose ndryshoni atë. Nëse numri i telefonit nuk është specifikuar, duhet ta shtoni, përndryshe nuk do të mund të rivendosni aksesin në llogarinë tuaj.

Për të lidhur numër i ri ose konfirmoni një numër telefoni, kërkoni një kod dhe më pas futeni në fushën përkatëse. Pastaj klikoni në butonin "Konfirmo" dhe shkoni në hapin tjetër.

2. Krijoni një PIN.

Dilni me një PIN 4-shifror dhe futeni atë për vërtetim me dy faktorë.

E rëndësishme: nuk duhet të ndani kodin tuaj PIN me të tjerët. PIN-i nuk mund të ndryshohet. Nëse harroni kodin PIN, aplikacioni Yandex.Key nuk do të jetë në gjendje të gjenerojë një fjalëkalim një herë; ju mund të rivendosni aksesin në llogarinë tuaj vetëm me ndihmën e një specialisti të mbështetjes teknike.

Pasi të keni futur kodin PIN, klikoni në butonin "Krijo".

Aplikacioni Yandex.Key kërkohet për të gjeneruar fjalëkalime një herë për një llogari. Mund të dërgoni një lidhje për të instaluar aplikacionin drejtpërdrejt nga ekrani i konfigurimit të vërtetimit me dy faktorë, ose mund ta shkarkoni aplikacionin nga App Store ose Google Play.

Shënim: që Yandex.Key të funksionojë, mund t'ju duhet të përdorni kamerën e pajisjes për të njohur barkodet (kodet QR).

Në aplikacionin Yandex.Key, klikoni butonin Shto llogari në aplikacion. Pastaj kamera e pajisjes do të fillojë. Skanoni barkodin që shfaqet në shfletues.

Nëse kodi QR nuk mund të njihet, klikoni butonin Trego çelësin sekret dhe klikoni Shto çelësin manualisht në aplikacion. Në vend të një kodi QR, shfletuesi do të shfaqë një sekuencë karakteresh që duhet të futen në aplikacion.

Pas njohjes së llogarisë, pajisja do t'ju kërkojë të vendosni kodin PIN të krijuar në hapin e mëparshëm.

Për të verifikuar që konfigurimi ishte i suksesshëm, futni fjalëkalimin një herë të krijuar në hapin e mëparshëm. Autentifikimi me dy faktorë do të aktivizohet vetëm nëse futni fjalëkalimin e saktë.

Thjesht futni kodin PIN të krijuar në hapin 2 në aplikacionin Yandex.Key. Aplikacioni do të gjenerojë një fjalëkalim një herë. Fusni atë pranë butonit Aktivizo dhe më pas klikoni butonin.

Shënim: duhet të futni fjalëkalimin një herë përpara se të ndryshohet në ekran. Ndonjëherë është më mirë të prisni që të krijohet një fjalëkalim i ri dhe ta vendosni atë.

Nëse keni futur fjalëkalimin e saktë, do të aktivizohet vërtetimi me dy faktorë për llogarinë tuaj Yandex.Passport.

Si të çaktivizoni vërtetimin me dy faktorë në Yandex

1. Shkoni te skeda "Kontrolli i hyrjes" në llogarinë tuaj Yandex.Passport.
2. Rrëshqitni çelësin në pozicionin e fikur.
3. Do të hapet një faqe ku duhet të futni një fjalëkalim një herë nga aplikacioni Yandex.Key.
4. Nëse fjalëkalimi është futur saktë, përdoruesi do t'i kërkohet të vendosë një fjalëkalim të ri kryesor për llogarinë.

Shënim: Pas çaktivizimit të vërtetimit me dy faktorë, fjalëkalimet e vjetra të aplikacioneve nuk do të funksionojnë. Do t'ju duhet të krijoni fjalëkalime të reja të aplikacionit në mënyrë që të rivendosni funksionalitetin e shërbimeve dhe aplikacioneve të lidhura, për shembull, klientët e postës.

Përdoruesi mund të konfigurojë hyrjen e aplikacioneve të palëve të treta në llogarinë Yandex duke përdorur fjalëkalimet e aplikacionit. Ju lutemi vini re se secili fjalëkalim të veçantë një aplikacion ofron akses në një shërbim specifik. Për shembull, një fjalëkalim i krijuar për një klient email nuk do të lejojë aksesin në ruajtja në renë kompjuterike Yandex.Disk.

Ju mund të krijoni fjalëkalime të aplikacionit në skedën "Kontrolli i hyrjes" në panelin e kontrollit të llogarisë Yandex.Passport. Rrëshqitni çelësin "Fjalëkalimet e aplikacionit" në pozicionin "Aktiv". Nëse aktivizohet vërtetimi me dy faktorë, fjalëkalimet e aplikacionit do të riaktivizohen me forcë dhe nuk mund të çaktivizohen.

Do t'ju duhet të krijoni një fjalëkalim të veçantë aplikacioni për secilin program i palës së tretë që kërkon një fjalëkalim Yandex, duke përfshirë:

• Klientët e postës ( Mozilla thunderbird, Microsoft Outlook, Lakuriqin e natës! dhe etj.)
• Klientët WebDAV për Yandex.Disk
• Klientët CalDAV për Yandex.Calendar
• Klientët Jabber
• Aplikime për import nga shërbime të tjera postare

Për të krijuar një fjalëkalim aplikacioni:

1. Shkoni te skeda "Kontrolli i hyrjes" në panelin e kontrollit të llogarisë tuaj Yandex.Passport.
2. Aktivizoni opsionin "Fjalëkalimet e aplikacionit" nëse është i çaktivizuar (ndërrimi nuk do të shfaqet nëse nuk keni aktivizuar vërtetimin me dy faktorë).
3. Kliko "Merr fjalëkalimin e aplikacionit"
4. Zgjidhni shërbimin Yandex që dëshironi të përdorni në aplikacion dhe sistemi operativ.
5. Futni emrin e aplikacionit për të cilin po krijoni një fjalëkalim dhe klikoni Shto.
6. Fjalëkalimi do të shfaqet në skedën tjetër. Klikoni Finish.

Shënim: mund ta shikoni fjalëkalimin e krijuar vetëm një herë. Nëse e keni futur gabim fjalëkalimin dhe e keni mbyllur tashmë dritaren, fshini fjalëkalimin aktual dhe krijoni një të ri.

Një postim i rrallë në blogun Yandex, dhe veçanërisht ai që lidhet me sigurinë, bëri pa përmendur vërtetimin me dy faktorë. Ne menduam për një kohë të gjatë se si të forconim siç duhet mbrojtjen Llogaritë e përdoruesve, dhe madje që të mund të përdoret pa të gjitha shqetësimet që përfshijnë implementimet më të zakonshme në ditët e sotme. Dhe ata, mjerisht, janë të papërshtatshëm. Sipas disa raporteve, në shumë faqe të mëdha, përqindja e përdoruesve që kanë përfshirë fonde shtesë vërtetimi nuk kalon 0.1%.

Kjo duket se është për shkak se skema e zakonshme e vërtetimit me dy faktorë është shumë komplekse dhe e papërshtatshme. Ne u përpoqëm të gjenim një mënyrë që do të ishte më e përshtatshme pa humbur nivelin e mbrojtjes dhe sot e prezantojmë atë në versionin beta.

Shpresojmë se do të bëhet më e përhapur. Nga ana jonë, ne jemi të gatshëm të punojmë për përmirësimin e tij dhe standardizimin e mëvonshëm.

Pasi të keni aktivizuar vërtetimin me dy faktorë në Pasaportë, do t'ju duhet të instaloni aplikacionin Yandex.Key në App Store ose Google Play. Në formularin e autorizimit në faqja kryesore Yandex, kodet QR u shfaqën në Mail dhe Pasaport. Të hysh llogari ju duhet të lexoni kodin QR përmes aplikacionit - dhe kaq. Nëse nuk mund ta lexoni kodin QR, për shembull, kamera e smartfonit nuk funksionon ose nuk ka qasje në internet, aplikacioni do të krijojë një fjalëkalim një herë që do të jetë i vlefshëm vetëm për 30 sekonda.

Unë do t'ju them pse vendosëm të mos përdorim mekanizma të tillë "standard" si RFC 6238 ose RFC 4226. Si funksionojnë skemat e zakonshme të vërtetimit me dy faktorë? Ato janë me dy faza. Faza e parë është vërtetimi i zakonshëm i emrit të përdoruesit dhe fjalëkalimit. Nëse është i suksesshëm, faqja kontrollon nëse "i pëlqen" ky sesion i përdoruesit apo jo. Dhe, nëse nuk ju pëlqen, ai i kërkon përdoruesit të "ri-autentifikojë". Ekzistojnë dy metoda të zakonshme të "autentifikimit paraprak": dërgimi i një SMS në numrin e telefonit të lidhur me llogarinë dhe gjenerimi i një fjalëkalimi të dytë në një smartphone. Në thelb, TOTP sipas RFC 6238 përdoret për të gjeneruar fjalëkalimin e dytë. Nëse përdoruesi e ka futur saktë fjalëkalimin e dytë, sesioni konsiderohet i vërtetuar plotësisht, dhe nëse jo, atëherë sesioni humbet edhe autentifikimin "paraprak".

Të dyja mënyrat ─ duke dërguar SMS dhe gjenerimi i fjalëkalimit është provë e pronësisë së telefonit dhe për këtë arsye është një faktor disponueshmërie. Fjalëkalimi i futur në hapin e parë është një faktor njohurish. Prandaj, kjo skemë vërtetimi nuk është vetëm me dy hapa, por edhe me dy faktorë.

Çfarë na dukej problematike në këtë skemë?

Le të fillojmë me faktin se kompjuteri i përdoruesit mesatar nuk mund të quhet gjithmonë një model sigurie: këtu dhe mbyllja Përditësimet e Windows, dhe një kopje pirate e një antivirus pa nënshkrime moderne, dhe softuer me origjinë të dyshimtë - e gjithë kjo nuk rrit nivelin e mbrojtjes. Sipas mendimit tonë, komprometimi i kompjuterit të një përdoruesi është më i madhi mënyrë masive"Rrëmbimi" i llogarisë (dhe së fundmi ka pasur një konfirmim tjetër për këtë), në radhë të parë, dhe unë dua të mbroj veten nga kjo. Kur vërtetimi me dy hapa nëse marrim parasysh se kompjuteri i përdoruesit është i dëmtuar, futja e një fjalëkalimi në të komprometon vetë fjalëkalimin, i cili është faktori i parë. Kjo do të thotë që sulmuesi duhet të zgjedhë vetëm faktorin e dytë. Në rastin e zbatimeve të zakonshme të RFC 6238, faktori i dytë është 6 shifra dhjetore (dhe maksimumi i përcaktuar nga specifikimi është 8 shifra). Sipas kalkulatorit bruteforce për OTP, në tre ditë një sulmues është në gjendje të marrë faktorin e dytë nëse e njeh disi të parin. Nuk është e qartë se çfarë shërbimi mund ta kundërshtojë këtë sulm pa ndërprerë punë normale përdorues. E vetmja provë e mundshme e punës është captcha, e cila, për mendimin tonë, është zgjidhja e fundit.

Problemi i dytë është mungesa e transparencës në gjykimin e shërbimit për cilësinë e sesionit të përdoruesit dhe marrjen e një vendimi për nevojën e "autentifikimit paraprak". Edhe më keq, shërbimi nuk është i interesuar ta bëjë këtë proces transparent, sepse këtu funksionon në fakt siguria nga errësira. Nëse sulmuesi e di, në bazë të të cilit shërbimi merr një vendim për legjitimitetin e seancës, ai mund të përpiqet të falsifikojë këto të dhëna. Nga konsideratat e përgjithshme, mund të konkludojmë se gjykimi është bërë në bazë të historisë së vërtetimit të përdoruesit, duke marrë parasysh adresën IP (dhe numrin që rrjedh prej saj sistem autonom që identifikon ofruesin dhe vendndodhjen bazuar në bazën e gjeodatabases) dhe të dhënat e shfletuesit, siç është titulli Agjenti i përdoruesit dhe një grup cookie-sh, flash lso dhe html ruajtje lokale. Kjo do të thotë që nëse një sulmues kontrollon kompjuterin e një përdoruesi, atëherë ai ka aftësinë jo vetëm të vjedhë të gjitha të dhënat e nevojshme, por edhe të përdorë adresën IP të viktimës. Për më tepër, nëse vendimi merret bazuar në ASN, atëherë çdo vërtetim nga Wi-Fi publik në një kafene mund të çojë në "helmim" për sa i përket sigurisë (dhe zbardhjen për sa i përket shërbimit) të ofruesit të kësaj kafeneje dhe, për shembull, zbardhjen e të gjitha kafeneve në qytet. Ne folëm për punën e sistemit të zbulimit të anomalive dhe mund të zbatohej, por koha midis fazës së parë dhe të dytë të vërtetimit mund të mos jetë e mjaftueshme për një gjykim të sigurt në lidhje me anomalinë. Për më tepër, i njëjti argument shkatërron idenë e kompjuterëve "të besuar": një sulmues mund të vjedhë çdo informacion që ndikon në gjykimin e besimit.

Më në fund, vërtetimi me dy hapa është thjesht i papërshtatshëm: studimet tona të përdorshmërisë tregojnë se asgjë nuk i bezdis përdoruesit aq sa një ekran i ndërmjetëm, shtypja e butonave shtesë dhe veprime të tjera "të parëndësishme" nga këndvështrimi i tij.
Bazuar në këtë, vendosëm që vërtetimi të jetë me një hap dhe hapësira e fjalëkalimit të jetë shumë më e madhe se sa është e mundur të bëhet në kuadrin e RFC 6238 "të pastër".
Në të njëjtën kohë, ne donim të ruanim vërtetimin me dy faktorë sa më shumë që të ishte e mundur.

Multifaktorialiteti në autentikim përcaktohet duke caktuar elementet e vërtetimit (në fakt, ata quhen faktorë) në një nga tre kategoritë:

1. Faktorët e njohurive (këto janë fjalëkalime tradicionale, kode pin dhe gjithçka që duket si ato);
2. Faktorët e pronësisë (në skemat e përdorura OTP, si rregull, ky është një smartphone, por mund të jetë gjithashtu një shenjë harduerike);
3. Faktorët biometrikë (gjurmët e gishtërinjve janë më të zakonshmet tani, megjithëse dikush do të kujtojë episodin me heroin e Wesley Snipes në filmin Demolition Man).

Zhvillimi i sistemit tonë

Kur filluam të trajtonim problemin e vërtetimit me dy faktorë (faqet e para të wiki-t të korporatës për këtë çështje datojnë në vitin 2012, por u diskutua prapa skenave më parë), ideja e parë ishte të merrej metoda standarde autentifikimin dhe t'i zbatoni ato me ne. Kuptuam që nuk mund të presim që miliona përdorues tanë të blejnë një shenjë harduerike, kështu që ky opsion u shty për disa raste ekzotike (megjithëse nuk e braktisim plotësisht, mbase do të jemi në gjendje të dalim me diçka interesante). As metoda me SMS nuk mund të ishte masive: kjo është një metodë shumë e pasigurt e dërgimit (në momentin më vendimtar, SMS mund të vonohet ose të mos merret fare), dhe duke dërguar SMS kushton para (dhe operatorët filluan të rrisin çmimin e tyre). Ne e vendosëm atë duke përdorur SMS─ shumë banka dhe kompani të tjera të teknologjisë së ulët, por përdoruesit tanë dëshirojnë të ofrojnë diçka më të përshtatshme. Në përgjithësi, zgjedhja nuk ishte e madhe: përdorimi i telefonit inteligjent dhe programi në të si faktori i dytë.

Kjo formë e vërtetimit me një hap është e përhapur: përdoruesi kujton kodin pin (faktori i parë), ka një token harduer ose softuer (në një smartphone) që gjeneron OTP (faktori i dytë). Në fushën e futjes së fjalëkalimit, ai fut kodin pin dhe vlerën aktuale OTP.

Sipas mendimit tonë, pengesa kryesore Kjo skemë është e njëjtë si për vërtetimin me dy hapa: nëse marrim parasysh se desktopi i përdoruesit është i rrezikuar, atëherë një hyrje e vetme e kodit PIN çon në zbulimin e tij dhe sulmuesi duhet vetëm të zgjedhë faktorin e dytë.

Ne vendosëm të shkojmë në anën tjetër: fjalëkalimi gjenerohet tërësisht nga sekreti, por vetëm një pjesë e sekretit ruhet në smartphone dhe një pjesë futet nga përdoruesi sa herë që gjenerohet fjalëkalimi. Kështu, vetë telefoni inteligjent është një faktor pronësie dhe fjalëkalimi mbetet në kokën e përdoruesit dhe është një faktor njohurish.

Nonce mund të jetë ose një numërues ose koha aktuale... Ne vendosëm të zgjedhim kohën aktuale, kjo na lejon të mos kemi frikë nga desinkronizimi në rast se dikush gjeneron shumë fjalëkalime dhe rrit numëruesin.

Pra, ne kemi një program smartphone, ku përdoruesi fut pjesën e tij të sekretit, përzihet me pjesën e ruajtur, rezultati përdoret si një çelës HMAC, i cili shënon kohën aktuale, të rrumbullakosur në 30 sekonda. Dalja HMAC konvertohet në formë e lexueshme dhe voila - këtu është fjalëkalimi një herë!

Siç u përmend, RFC 4226 sugjeron shkurtimin e daljes HMAC në një maksimum prej 8 shifrash dhjetore. Ne vendosëm që një fjalëkalim i kësaj madhësie është i papërshtatshëm për vërtetimin me një hap dhe duhet të rritet. Në të njëjtën kohë, ne donim të ruanim lehtësinë e përdorimit (në fund të fundit, kujtojmë, unë dua të krijoj një sistem të tillë që njerëzit e zakonshëm do ta përdorin, dhe jo vetëm mjeshtrit e sigurisë), kështu që si një kompromis në versioni aktual sistemi ne zgjodhëm ta shkurtojmë në 8 karaktere Alfabeti latin... Duket se 26 ^ 8 fjalëkalime të vlefshme për 30 sekonda janë mjaft të pranueshme, por nëse kufiri i sigurisë nuk na përshtatet (ose këshilla të vlefshme se si ta përmirësojmë këtë skemë shfaqen në Habré), ne do të zgjerojmë, për shembull, në 10 karaktere.

Mësoni më shumë rreth fuqisë së fjalëkalimeve të tilla

Në të vërtetë, për shkronja latine ka pandjeshmëri, numri i opsioneve për shenjë është 26, për shkronjat latine të mëdha dhe të vogla plus numrat, numri i opsioneve është 26 + 26 + 10 = 62. Pastaj log 62 (26 10) ≈ 7.9 domethënë, një fjalëkalim me 10 shkronja të vogla latine të rastësishme është pothuajse po aq i fortë sa një fjalëkalim me 8 shkronja ose numra latine të rastësishme të mëdha dhe të vogla. Kjo është padyshim e mjaftueshme për 30 sekonda. Nëse flasim për një fjalëkalim me 8 karaktere të bërë nga shkronja latine, atëherë forca e tij është log 62 (26 8) ≈ 6.3, domethënë pak më shumë se një fjalëkalim me 6 karaktere i bërë nga shkronja dhe numra të mëdhenj, të vegjël. Ne mendojmë se kjo është ende e pranueshme për një dritare prej 30 sekondash.

Magjia, pafjalëkalimi, aplikacionet dhe rruga përpara

Në përgjithësi, ne mund të ndaleshim në këtë, por ne donim ta bënim sistemin edhe më të përshtatshëm. Kur një person ka një smartphone në dorë, ai nuk dëshiron të fusë fjalëkalimin nga tastiera!

Prandaj, filluam punën për "hyrjen magjike". Me këtë metodë vërtetimi, përdoruesi lëshon aplikacionin në smartphone, fut kodin e tij PIN në të dhe skanon kodin QR në ekranin e kompjuterit të tij. Nëse kodi PIN është futur saktë, faqja në shfletues ngarkohet përsëri dhe përdoruesi vërtetohet. Magjike!

Si punon?

Numri i sesionit është i koduar në kodin QR dhe kur aplikacioni e skanon atë, ky numër transmetohet në server së bashku me atë të gjeneruar. mënyra e zakonshme fjalëkalimin dhe emrin e përdoruesit. Kjo nuk është e vështirë, sepse smartphone është pothuajse gjithmonë online. Në paraqitjen e faqes që tregon kodin QR, JavaScript po funksionon, duke pritur nga ana e serverit për një përgjigje për të verifikuar fjalëkalimin me seancën e dhënë. Nëse serveri përgjigjet se fjalëkalimi është i saktë, bashkë me përgjigjen vendoset një skedar sesioni dhe përdoruesi konsiderohet i vërtetuar.

U bë më mirë, por edhe këtu vendosëm të mos ndalemi. Duke filluar me iPhone 5S në telefona dhe Tabletat e Apple u shfaq skaneri i gjurmëve të gishtërinjve TouchID dhe në version iOS 8 puna me të është në dispozicion dhe aplikacionet e palëve të treta... Në fakt, aplikacioni nuk ka akses në gjurmën e gishtit, por nëse gjurma e gishtit është e saktë, atëherë një seksion shtesë Keychain bëhet i disponueshëm për aplikacionin. Ne përfituam nga kjo. Pjesa e dytë e sekretit vendoset në hyrjen e Keychain të mbrojtur me TouchID, ajo që përdoruesi ka futur nga tastiera në skriptin e mëparshëm. Kur zhbllokoni zinxhirin e çelësave, dy pjesët e sekretit përzihen dhe më pas procesi funksionon siç përshkruhet më sipër.

Por përdoruesi është bërë tepër i përshtatshëm: ai hap aplikacionin, vendos gishtin, skanon kodin QR në ekran dhe vërtetohet në shfletuesin në kompjuter! Pra, ne zëvendësuam faktorin e njohurive me një biometrik dhe, nga këndvështrimi i përdoruesit, fjalëkalime të braktisura plotësisht. Ne kemi besim se njerëzit e zakonshëm një skemë e tillë do të duket shumë më e përshtatshme se hyrje manuale dy fjalëkalime.

Është e mundur të debatohet se sa formalisht është një vërtetim i tillë me dy faktorë, por në fakt, për ta kaluar me sukses, duhet ende të kesh një telefon dhe të kesh gjurmën e saktë të gishtit, kështu që ne besojmë se kemi arritur të braktisim plotësisht faktorin e njohurive. duke e zëvendësuar me biometrikë. Ne e kuptojmë se mbështetemi në sigurinë e ARM TrustZone në zemër të Enklave të Sigurt të iOS dhe besojmë se aktualisht ky nënsistem mund të konsiderohet i besuar brenda modelit tonë të kërcënimit. Sigurisht që ne i dimë problemet vërtetimi biometrik: një gjurmë gishti nuk është një fjalëkalim dhe nuk mund të ndryshohet në rast të një kompromisi. Por, nga ana tjetër, të gjithë e dinë se siguria është në përpjesëtim të zhdrejtë me komoditetin, dhe vetë përdoruesi ka të drejtë të zgjedhë një raport të pranueshëm të njërit me tjetrin.

Më lejoni t'ju kujtoj se kjo është ende beta. Tani, kur aktivizoni vërtetimin me dy faktorë, ne çaktivizojmë përkohësisht sinkronizimin e fjalëkalimit në shfletuesin Yandex. Kjo është për shkak të mënyrës se si është rregulluar kriptimi i bazës së të dhënave të fjalëkalimeve. Tashmë jemi duke u grimuar mënyrë e përshtatshme Autentifikimi i shfletuesit në rast të 2FA. Të gjitha funksionet e tjera Yandex funksionojnë si më parë.

Ja çfarë kemi. Duket se ka funksionuar mirë, por ju takon të gjykoni. Do të jemi të lumtur të dëgjojmë komente dhe rekomandime dhe ne vetë do të vazhdojmë të punojmë për përmirësimin e sigurisë së shërbimeve tona: tani, së bashku me CSP, kriptimin e transportit të postës dhe gjithçka tjetër, ne kemi vërtetimin me dy faktorë. Mbani në mend se shërbimet e vërtetimit dhe aplikacionet e gjenerimit OTP janë kritike dhe për këtë arsye dyfishojnë bonusin e Bug Bounty për defektet që gjenden në to.

Etiketa: Shto etiketa

Unë do t'ju tregoj se si të vendosni vërtetimin me dy faktorë në Yandex, kjo do t'ju ndihmojë të siguroni llogarinë tuaj Yandex nga hakerimi.

Ne shkojmë në menaxhimin e fjalëkalimeve në passport.yandex.ru/profile/access... Këtu mund të ndryshoni ose aktivizoni fjalëkalimin tuaj mbrojtje shtesë për llogarinë tuaj - vërtetimi me dy faktorë. Klikoni në rrëshqitësin e vërtetimit me dy faktorë për ta aktivizuar atë.

Lidhja e vërtetimit me dy faktorë ndodh në disa hapa. Ju do të duhet të hapni Yandex.Passport paralelisht dhe aplikacioni celular Yandex.Key. Pas përfundimit të konfigurimit, duhet të ri-autorizosh të gjitha pajisjet.

Kliko fillimin e konfigurimit.

Këtu është numri juaj i telefonit në të cilin do të merren kodet për konfigurimin. Këtu mund të ndryshoni gjithashtu numrin e telefonit të lidhur me llogarinë tuaj Yandex.

Vendosja e vërtetimit me dy faktorë. Hapi 1 nga 5.

Konfirmoni numrin tuaj të telefonit. Ky është numri juaj kryesor i Yandex. Do t'ju duhet nëse humbni aksesin në llogarinë tuaj. Klikoni për të marrë kodin.

Do të merrni një kod SMS nga Yandex në numrin tuaj.

Vendosni kodin SMS nga Yandex këtu dhe klikoni konfirmoni.

Vendosja e vërtetimit me dy faktorë. Hapi 2 nga 5.

Shkarkoni aplikacionin Yandex.Key. Tani shkoni në AppStore në iPhone ose iPad tuaj ose në Dyqan Lojërash në Smartphone Android ose tabletë dhe kërkoni aplikacionin Yandex.Key. Ose klikoni për të marrë një lidhje me telefonin.

Do të hapet Dyqani i Aplikacioneve ose Play Market klikoni shkarkimin për të shkarkuar aplikacionin Yandex.Key dhe instaloni atë në smartphone ose tablet.

Nëse duhet të futni fjalëkalimin tuaj të Apple ID, atëherë futni fjalëkalimin tuaj të Apple ID.

Pas 30 sekondash, aplikacioni do të shkarkohet në smartphone tuaj, hapeni duke klikuar mbi të.

Vendosja e vërtetimit me dy faktorë. Hapi 3 nga 5.

Drejtoje kamerën e telefonit drejt kodit QR dhe llogaria jote do të shtohet automatikisht në aplikacion. Nëse kodi nuk mund të lexohet, provoni përsëri ose futni çelësin sekret.

Le të kalojmë përsëri te smartphone.

Aplikacioni Yandex.Key krijon fjalëkalime një herë për t'u identifikuar në Yandex. nëse tashmë keni filluar konfigurimin e vërtetimit me dy faktorë në kompjuterin tuaj, atëherë klikoni butonin "shtoni llogarinë në aplikacion".

Klikoni për të shtuar një llogari në aplikacion.

Programi "Key" kërkon qasje në "kamerën". Klikoni "Lejo" për t'i dhënë aplikacionit qasje në kamerën e telefonit inteligjent për të skanuar kodin QR nga ekrani i kompjuterit tuaj.

Drejtojeni kamerën drejt kodit QR të shfaqur në monitorin e kompjuterit tuaj dhe prisni që llogaria të shtohet ose shtojeni manualisht.

Gati. Kodi QR është skanuar. Aplikacioni Yandex.Key është gati për të punuar.

Tani i drejtohemi monitorit të kompjuterit.

Klikoni për të krijuar një kod pin.

Ju duhet një kod PIN sa herë që merrni një fjalëkalim një herë në Yandex.Key, si dhe për të rivendosur aksesin në llogarinë tuaj. Ju lutemi mbajeni PIN-in tuaj konfidencial. Punonjësit e shërbimit Yandex nuk e pyesin kurrë.

Dilni me një kod pin katërshifror dhe klikoni "Vazhdo".

Vendosja e vërtetimit me dy faktorë. Hapi 4 nga 5.

Kontrollimi i kodit pin. Sigurohuni që të mbani mend kodin pin. Pasi të përfundojë cilësimi, ai nuk mund të ndryshohet. Nëse futni një kod PIN të pasaktë në aplikacion, atëherë ai do të gjenerojë fjalëkalime të pasakta një herë.

Futni kodin PIN që keni shpikur më parë dhe klikoni kontrolloni.

Ne kthehemi te telefoni inteligjent dhe aplikacioni Yandex.Key. Futni kodin pin për të marrë një fjalëkalim një herë.

Pas futjes së kodit pin, do të merrni një fjalëkalim një herë që do të jetë i vlefshëm për 20 sekonda, gjatë këtyre 20 sekondave duhet ta vendosni në kompjuterin tuaj në cilësimin e vërtetimit me dy faktorë. Nëse nuk keni kohë për të futur fjalëkalimin për 20 sekonda, ai do të ndryshojë në një tjetër, e kështu me radhë. Futni fjalëkalimin që do të shfaqet në ekranin e telefonit inteligjent.

Hapi i fundit. Futni fjalëkalimin tuaj nga Yandex.Key.

Përdor kodin PIN për të marrë një fjalëkalim një herë në aplikacion. Sigurohuni që të mësoni përmendësh kodin pin, pasi të keni përfunduar cilësimin, nuk do të mund ta ndryshoni atë.

Çfarë do të ndryshojë pas aktivizimit të vërtetimit me dy faktorë:

• Fjalëkalimi i vjetër nuk do të funksionojë më.
• Do t'ju duhet të ri-autorizoni Yandex në të gjitha pajisjet (shërbimet në internet dhe aplikacionet celulare).
• Ju mund të përdorni shërbimet në internet Yandex duke përdorur një kod QR pa futur një fjalëkalim. Nëse nuk mund ta lexoni kodin, përdorni fjalëkalimin një herë nga Yandex.Key.
• Do të drejtoheni te aplikacionet celulare Yandex duke përdorur një fjalëkalim një herë. Mund të kopjohet nga Yandex.Key duke shtypur gjatë.
• Për programe të tjera të lidhura me llogarinë tuaj (për shembull, klientët e postës ose mbledhësit e postës), merrni fjalëkalimet e aplikacionit në Passport.

Futni fjalëkalimin një herë që shfaqet në ekranin e telefonit inteligjent dhe klikoni për të përfunduar konfigurimin.

Tani, pasi të keni futur fjalëkalimin një herë, duhet të futni Fjalëkalimi i vjetër nga llogaria. Yandex duhet të sigurohet që një ndryshim kaq i madh në cilësimet e sigurisë të bëhet nga pronari i llogarisë.

Futni fjalëkalimin e vjetër nga llogaria Yandex dhe klikoni OK.

Gati. Autentifikimi me dy faktorë ka përfunduar. Ju e keni mbrojtur llogarinë tuaj me fjalëkalime një herë. Tani duhet të identifikoheni përsëri në Yandex në të gjitha pajisjet. Nëse përdorni programe emaili, për shembull, mos harroni të merrni fjalëkalimet e aplikacionit për to.

Kliko mbyll.

Tani nëse përdorni kuti postare Llogaria Yandex në smartphone tuaj, duhet të krijoni një fjalëkalim për të.

Zgjidhni llojin e aplikacionit> Programi i postës.

Dhe zgjidhni sistemin tuaj operativ programi i postës... Unë përdor një iPhone, ndaj zgjedh iOS.

Dhe klikoni Krijo fjalëkalimin për të krijuar një fjalëkalim për programin e postës elektronike në smartphone tuaj.

Fjalëkalimi juaj i postës iOS është krijuar.

Si të përdorni fjalëkalimin:

• Për t'i dhënë aplikacionit qasje në të dhënat tuaja, specifikoni këtë fjalëkalim në cilësimet e tij.
• Ju nuk keni nevojë të mbani mend fjalëkalimin tuaj: ju duhet vetëm një herë. Kur ndryshoni fjalëkalimin tuaj në Yandex, duhet të merrni Fjalëkalim i ri aplikacionet.
• Fjalëkalimi i aplikacionit shfaqet vetëm një herë. Nëse e mbyllni faqen dhe nuk keni kohë ta përdorni, thjesht merrni një të re.

Ne futim fjalëkalimin që shfaqet në monitorin e kompjuterit tuaj në aplikacionin celular të postës Yandex në smartphone tuaj.

Gati. Autentifikimi me dy faktorë të Yandex funksionon, mund të vazhdoni.

Tani, nëse dilni nga llogaria juaj Yandex dhe rifutni emrin e përdoruesit dhe fjalëkalimin, ata do t'ju shkruajnë:

Çift i pavlefshëm hyrje-fjalëkalim! Identifikimi dështoi. Ndoshta ju keni zgjedhur një paraqitje të ndryshme të tastierës ose keni shtypur " Mbyllja me kapele". Nëse jeni duke përdorur vërtetimin me dy faktorë, sigurohuni që të futni fjalëkalimin një herë nga aplikacioni Yandex.Key në vend të atij të zakonshëm. Provoni të identifikoheni përsëri.

Tani duhet të hapni aplikacionin Yandex.Key, të futni kodin PIN dhe ta drejtoni kamerën e smartfonit te kodi QR. Do të futni automatikisht llogarinë tuaj Yandex pasi smartphone të lexojë kodin QR nga ekrani i monitorit.

Postime të tjera mbi temën e sigurisë dhe verifikimit me 2 hapa: