Pokażę ci, jak skonfigurować uwierzytelnianie dwuskładnikowe w Yandex, pomoże ci to zabezpieczyć twoje konto Yandex przed włamaniem.

Przejdź do zarządzania hasłami na paszport.yandex.ru/profile/access. Tutaj możesz zmienić hasło lub włączyć dodatkową ochronę swojego konta - uwierzytelnianie dwuskładnikowe. Kliknij suwak Uwierzytelniania dwuskładnikowego, aby je włączyć.

Uwierzytelnianie dwuskładnikowe łączy się w kilku krokach. Będziesz musiał otworzyć Yandex.Passport równolegle i Aplikacja mobilna Yandex.Klucz. Po zakończeniu konfiguracji musisz ponownie zalogować się na wszystkich urządzeniach.

Kliknij Rozpocznij konfigurację.

Oto Twój numer telefonu, na który zostaną wysłane kody do konfiguracji. Tutaj możesz również zmienić numer telefonu powiązany z Twoim kontem Yandex.

Konfigurowanie uwierzytelniania dwuskładnikowego. Krok 1 z 5.

Zweryfikuj swój numer telefonu. To jest twój główny numer w Yandex. Będziesz go potrzebować, jeśli stracisz dostęp do swojego konta. Kliknij pobierz kod.

Na Twój numer zostanie wysłany kod SMS od Yandex.

Wpisz kod SMS z Yandex tutaj i kliknij potwierdź.

Konfigurowanie uwierzytelniania dwuskładnikowego. Krok 2 z 5.

Pobierz aplikację Yandex.Key. Teraz przejdź do AppStore na iPhonie lub iPadzie lub do Sklepu Play na Smartfon z Androidem lub tablet i poszukaj aplikacji Yandex.Key. Lub kliknij, aby uzyskać link do telefonu.

Będzie otwarte Sklep z aplikacjami lub Rynek zabaw kliknij pobierz, aby pobrać aplikację Yandex.Key i zainstalować ją na swoim smartfonie lub tablecie.

Jeśli musisz wprowadzić hasło Apple ID, wprowadź swoje hasło Apple ID.

Po 30 sekundach aplikacja zostanie pobrana na smartfon, uruchom ją, klikając ją.

Konfigurowanie uwierzytelniania dwuskładnikowego. Krok 3 z 5.

Skieruj aparat telefonu na kod QR, a Twoje konto zostanie automatycznie dodane do aplikacji. Jeśli odczyt kodu się nie powiedzie, spróbuj ponownie lub wprowadź tajny klucz.

Wróćmy do smartfona.

Aplikacja Yandex.Key tworzy jednorazowe hasła do logowania do Yandex. jeśli już zacząłeś konfigurować uwierzytelnianie dwuskładnikowe na swoim komputerze, kliknij przycisk „dodaj konto do aplikacji”.

Kliknij, aby dodać konto do aplikacji.

Program „Klucz” żąda dostępu do „kamery”. Kliknij Zezwól, aby zezwolić aplikacji na dostęp do aparatu w smartfonie w celu zeskanowania kodu QR z ekranu monitora komputera.

Skieruj aparat na kod QR wyświetlany na monitorze komputera i poczekaj na dodanie konta lub dodaj je ręcznie.

Gotowy. Zeskanowano kod QR. Aplikacja Yandex.Key jest gotowa do pracy.

Przejdźmy teraz do monitora komputera.

Kliknij Utwórz PIN.

Kod PIN jest potrzebny za każdym razem, gdy otrzymasz jednorazowe hasło w Yandex.Key, a także w celu przywrócenia dostępu do konta. Zachowaj prywatny kod PIN. Pracownicy serwisu Yandex nigdy go nie pytają.

Wymyślamy czterocyfrowy kod PIN i klikamy dalej.

Konfigurowanie uwierzytelniania dwuskładnikowego. Krok 4 z 5.

Weryfikacja kodu PIN. Pamiętaj, aby zapamiętać kod PIN. Po zakończeniu ustawień nie można ich zmienić. Jeśli wpiszesz w aplikacji błędny kod PIN, wygeneruje to nieprawidłowe hasła jednorazowe.

Wprowadź utworzony wcześniej kod PIN i kliknij Zweryfikuj.

Wracamy do smartfona i aplikacji Yandex.Key. Wprowadź kod PIN, aby otrzymać jednorazowe hasło.

Po wpisaniu kodu PIN otrzymasz jednorazowe hasło, które będzie ważne przez 20 sekund, w ciągu tych 20 sekund musisz wprowadzić je na komputerze w ustawieniu uwierzytelniania dwuskładnikowego. Jeśli nie masz czasu na wpisanie hasła za 20 sekund, zmieni się ono na inne i tak dalej. Wprowadź hasło, które będzie wyświetlane na ekranie Twojego smartfona.

Ostatni krok. Wprowadź hasło z Yandex.Key.

Użyj kodu PIN, aby uzyskać jednorazowe hasło w aplikacji. Upewnij się, że pamiętasz kod PIN, po zakończeniu konfiguracji nie będziesz mógł go zmienić.

Co się zmieni po włączeniu uwierzytelniania dwuskładnikowego:

• Stare hasło nie będzie już działać.
• Będziesz musiał ponownie zalogować się do Yandex na wszystkich urządzeniach (usługach internetowych i aplikacjach mobilnych).
• Dostęp do usług internetowych Yandex będzie możliwy za pomocą kodu QR bez wprowadzania hasła. Jeśli nie możesz odczytać kodu, użyj jednorazowego hasła z Yandex.Key.
• Dostęp do aplikacji mobilnych Yandex uzyskasz za pomocą jednorazowego hasła. Można go skopiować z Yandex.Key przez długie naciśnięcie.
• W przypadku innych programów powiązanych z Twoim kontem (na przykład klienci poczty lub kolektorów poczty), uzyskaj hasła aplikacji w Paszporcie.

Wprowadź hasło jednorazowe, które jest wyświetlane na ekranie smartfona i kliknij zakończ konfigurację.

Teraz po wprowadzeniu hasła jednorazowego należy wpisać Stare hasło z konta. Yandex musi upewnić się, że to właściciel konta dokonuje tak poważnej zmiany w ustawieniach bezpieczeństwa.

Wprowadź stare hasło z konta Yandex i kliknij OK.

Gotowy. Ukończono uwierzytelnianie dwuskładnikowe. Zabezpieczyłeś swoje konto hasłami jednorazowymi. Teraz musisz ponownie zalogować się do Yandex na wszystkich urządzeniach. Jeśli korzystasz na przykład z programów pocztowych, nie zapomnij zdobyć dla nich haseł do aplikacji.

Kliknij zamknij.

Teraz, jeśli używasz skrzynka pocztowa Konto Yandex w smartfonie, musisz utworzyć do niego hasło.

Wybierz typ aplikacji > Program pocztowy.

I wybierz system operacyjny Twój program pocztowy. Używam iPhone'a, więc wybieram iOS.

I kliknij utwórz hasło, aby utworzyć hasło do programu pocztowego na swoim smartfonie.

Twoje hasło do poczty na iOS zostało wygenerowane.

Jak używać hasła:

• Aby umożliwić aplikacji dostęp do swoich danych, określ to hasło w jej ustawieniach.
• Nie musisz pamiętać hasła: będziesz potrzebować go tylko raz. Zmieniając hasło w Yandex, będziesz musiał uzyskać nowe hasło Aplikacje.
• Hasło aplikacji jest wyświetlane tylko raz. Jeśli zamkniesz stronę i nie masz czasu z niej korzystać, po prostu zdobądź nową.

Hasło, które jest wyświetlane na monitorze komputera, wprowadzamy do aplikacji mobilnej Yandex mail na smartfonie.

Gotowy. Uwierzytelnianie dwuskładnikowe Yandex działa, możesz żyć dalej.

Teraz, jeśli wylogujesz się z konta Yandex i ponownie wpiszesz swoją nazwę użytkownika i hasło, napiszą do Ciebie:

Nieprawidłowa para login-hasło! Nie udało się zalogować. Możesz mieć wybrany inny układ klawiatury lub wciśnięty klawisz Caps Lock. Jeśli korzystasz z uwierzytelniania dwuskładnikowego, upewnij się, że wprowadzasz jednorazowe hasło z aplikacji Yandex.Key zamiast zwykłego. Spróbuj się zalogować ponownie.

Teraz musisz otworzyć aplikację Yandex.Key, wprowadzić kod PIN i skierować aparat smartfona na kod QR. Automatycznie zalogujesz się na swoje konto Yandex po tym, jak smartfon odczyta kod QR z ekranu monitora.

Inne wpisy dotyczące bezpieczeństwa i weryfikacji dwuetapowej:

Najpierw wchodzimy na główne konto Yandex, jeśli istnieje. Jeśli jeszcze nie istnieje, zawsze możesz go utworzyć po prostej rejestracji.

Włączanie i konfigurowanie uwierzytelniania dwuskładnikowego

Tak więc na swoim koncie Yandex kliknij konto i przejdź do sekcji Paszport. Następnie w sekcji Kontrola dostępu naciśnij Skonfiguruj uwierzytelnianie dwuskładnikowe.

Otworzy się okno o tej samej nazwie, w którym należy przejść przez kroki, aby włączyć i skonfigurować uwierzytelnianie dwuskładnikowe.

W pierwszym kroku podajemy numer telefonu, potwierdzamy odbierając kod w postaci SMS na telefon.

Następnym krokiem jest stworzenie kodu PIN. Wymagany jest dostęp do aplikacji Yandex.Key zainstalowanej na smartfonie lub tablecie.

Kod PIN może mieć od 4 do 16 cyfr. Wpisz je w pole i kliknij Tworzyć.

Otworzy się okno z kodem QR i propozycją dodania konta do aplikacji Yandex.Key.

Instalowanie aplikacji Yandex.Key

Uruchamiamy go i na dole okna, które się otworzy, pojawi się żółty przycisk z sugestią - Dodaj konto do aplikacji.

Naciskamy przycisk, na ekranie smartfona otworzy się okno, w którym należy wpisać wymyślony wcześniej kod PIN.

Po wprowadzeniu kodu PIN kamera włączy się automatycznie. Skieruj aparat na kod QR w oknie monitora i poczekaj na autoryzację.

Inna metoda autoryzacji

W przeciwnym razie, aby zorganizować uwierzytelnianie dwuskładnikowe po wprowadzeniu kodu PIN, można wybrać opcję uzyskania 30-sekundowego hasła jednorazowego.

W czwartym kroku konfiguracji uwierzytelniania dwuskładnikowego musisz połączyć program Yandex.Key z kontem Yandex. Aby to zrobić, wprowadź hasło jednorazowe otrzymane na smartfonie.

Jeśli okaże się, że nie da się go wpisać na czas, to trzeba poczekać na kolejne pojawienie się cyfr na smartfonie i już go wpisać.

Po wejściu naciśnij przycisk Włączyć i to wszystko, program Yandex.Key jest aktywowany i od tego momentu uwierzytelnianie dwuskładnikowe powinno działać.

Teraz na wszystkich urządzeniach - komputerze, smartfonie - musisz się wylogować i ponownie zalogować na swoje konto za pomocą istniejącego hasła jednorazowego lub kodu QR, korzystając z aplikacji mobilnej Yandex.Key.

W Yandex.Mail otrzymujemy list z powiadomieniem, że uwierzytelnianie dwuskładnikowe zadziałało.

W otrzymanej wiadomości e-mail możesz również zapoznać się z zaleceniami dotyczącymi ustawienia nowego dostępu i korzystania z uwierzytelniania dwuskładnikowego.

Dwuskładnikowe uwierzytelnianie Yandex dla innych usług

Dla Yandex.Mail, Ya.Disk i innych usług Yandex możliwe jest tworzenie różne hasła. To znacznie podniesie poziom bezpieczeństwa danych osobowych i konta jako całości. Możesz przeczytać o ich bezpiecznym przechowywaniu.

Aby to zrobić, wróć do sekcji Paszport - Kontrola dostępu. Wybierz program, w tym przypadku - Dostęp do dysku.

Dla wygody nazywamy to połączenie np. Mój dysk i naciśnij Stwórz hasło.

Hasło jest więc tworzone i zostanie wyświetlone tylko raz. Dlatego jeśli nie zostanie zachowany, lepiej usunąć go w przyszłości i ponownie utworzyć.

Teraz możesz połączyć się z dysk sieciowy Yandex. Przez dowolny menedżer plików uzyskaj dostęp do Yandex.Disk przy użyciu tego hasła.

W ten sposób Yandex.Disk i główne konto Yandex będą chronione oddzielnymi hasłami przy użyciu funkcji uwierzytelniania dwuskładnikowego.

Wyłączanie uwierzytelniania dwuskładnikowego

Jeśli w przyszłości pojawi się chęć odmowy korzystania z uwierzytelniania dwuskładnikowego, wystarczy przejść do sekcji Kontrola dostępu i przejdź przez proces odłączania.

Oznacza to, że naciskamy przełącznik Wyłączony wprowadź jednorazowe hasło wydane przez Yandex.Key, kliknij Potwierdzać.

W ten sposób uwierzytelnianie dwuskładnikowe konta Yandex jest wyłączone. Należy pamiętać, że hasła Yandex.Disk i innych usług, jeśli zostaną utworzone, również zostaną zresetowane.

Uwaga. Aplikacje opracowane w Yandex wymagają hasła jednorazowego - nawet poprawnie utworzone hasła aplikacji nie będą działać.

1. Zaloguj się za pomocą kodu QR
2. Przeniesienie Yandex.Key
3. Hasło główne

Zaloguj się do usługi lub aplikacji Yandex

Hasło jednorazowe możesz wprowadzić w dowolnym formularzu autoryzacyjnym Yandex lub aplikacjach opracowanych przez Yandex.

Notatka.

Hasło jednorazowe należy wprowadzić w czasie, gdy jest wyświetlane w aplikacji. Jeśli do aktualizacji pozostało zbyt mało czasu, poczekaj na nowe hasło.

Aby uzyskać jednorazowe hasło, uruchom Yandex.Key i wprowadź kod PIN ustawiony podczas konfigurowania uwierzytelniania dwuskładnikowego. Aplikacja zacznie generować hasła co 30 sekund.

Yandex.Key nie sprawdza wprowadzonego kodu PIN i generuje hasła jednorazowe, nawet jeśli wpisałeś kod PIN niepoprawnie. W takim przypadku utworzone hasła również okazują się niepoprawne i nie będziesz mógł się na nie zalogować. Aby wprowadzić poprawny kod PIN, po prostu wyjdź z aplikacji i uruchom ją ponownie.

Funkcje haseł jednorazowych:

Zaloguj się za pomocą kodu QR

Niektóre usługi (na przykład strona główna Yandex, Paszport i Poczta) umożliwiają logowanie się do Yandex poprzez skierowanie aparatu na kod QR. W tym samym czasie twój urządzenie przenośne musi być podłączony do Internetu, aby Yandex.Key mógł skontaktować się z serwerem autoryzacji.

Kliknij ikonę kodu QR w przeglądarce.

Jeśli w formularzu logowania nie ma takiej ikony, to ten serwis Możesz zalogować się tylko za pomocą hasła. W takim przypadku możesz dokonać autoryzacji za pomocą kodu QR w Paszporcie, a następnie przejść do właściwa usługa.

Wprowadź kod PIN w Yandex.Key i kliknij Zaloguj się przy użyciu kodu QR.

Skieruj aparat urządzenia na kod QR wyświetlany w przeglądarce.

Yandex.Key rozpoznaje kod QR i wysyła login i jednorazowe hasło do Yandex.Passport. Jeśli zdadzą test, automatycznie zalogujesz się do swojej przeglądarki. Jeśli przesłane hasło okaże się nieprawidłowe (na przykład z powodu nieprawidłowego wprowadzenia kodu PIN w Yandex.Key), przeglądarka wyświetli standardowy komunikat o nieprawidłowym haśle.

Logowanie się za pomocą konta Yandex do aplikacji lub strony internetowej innej firmy

Aplikacje lub witryny, które wymagają dostępu do danych Yandex, czasami wymagają podania hasła w celu zalogowania się na konto. W takich przypadkach hasła jednorazowe nie będą działać - dla każdej takiej aplikacji należy utworzyć osobne hasło aplikacji.

Uwaga. W aplikacjach i usługach Yandex działają tylko hasła jednorazowe. Nawet jeśli utworzysz hasło aplikacji, na przykład dla Yandex.Disk, nie będziesz mógł się za jego pomocą zalogować.

Przeniesienie Yandex.Key

Możesz przenieść generowanie haseł jednorazowych na inne urządzenie lub skonfigurować Yandex.Key na kilku urządzeniach jednocześnie. Aby to zrobić, otwórz stronę Kontrola dostępu i kliknij przycisk Wymiana urządzenia.

Kilka kont w Yandex.Key

Ten sam Yandex.Key może być używany do wielu kont z jednorazowymi hasłami. Aby dodać kolejne konto do aplikacji, podczas konfigurowania haseł jednorazowych w kroku 3 dotknij ikony w aplikacji. Ponadto możesz dodać generowanie haseł do Yandex.Key dla innych usług obsługujących takie uwierzytelnianie dwuskładnikowe. Instrukcje dotyczące najpopularniejszych usług znajdują się na stronie poświęconej tworzeniu kodów weryfikacyjnych innych niż Yandex.

Aby odłączyć konto od Yandex.Key, dotknij i przytrzymaj odpowiedni portret w aplikacji, aż po prawej stronie pojawi się krzyżyk. Po kliknięciu krzyżyka powiązanie Twojego konta z Yandex.Key zostanie usunięte.

Uwaga. Jeśli usuniesz konto z włączonymi hasłami jednorazowymi, nie będziesz w stanie uzyskać hasła jednorazowego, aby zalogować się do Yandex. W takim przypadku konieczne będzie przywrócenie dostępu.

Odcisk palca zamiast PIN

Odcisk palca zamiast kodu PIN może być używany na następujących urządzeniach:

smartfony pod Kontrola Androida 6.0 i skaner linii papilarnych;

iPhone od modelu 5s;

iPad zaczynający się od Air 2.

Notatka.

Na smartfonach i tabletach z systemem iOS odcisk palca można ominąć, wprowadzając hasło urządzenia. Aby się przed tym zabezpieczyć, włącz hasło główne lub zmień hasło na bardziej złożone: otwórz aplikację Ustawienia i wybierz Touch ID i hasło .

Aby użyć włącz weryfikację odciskiem palca:

Hasło główne

Aby dodatkowo chronić swoje hasła jednorazowe, utwórz hasło główne: → Hasło główne .

Za pomocą hasła głównego możesz:

upewnij się, że zamiast odcisku palca możesz wprowadzić tylko hasło główne Yandex.Key, a nie kod blokady urządzenia;

Kopia zapasowa danych Yandex.Key

Możesz utworzyć kopię zapasową danych Klucza na serwerze Yandex, aby móc ją przywrócić w przypadku utraty telefonu lub tabletu z aplikacją. Dane wszystkich kont dodanych do Klucza w momencie tworzenia kopii są kopiowane na serwer. Więcej niż jeden utworzyć kopię zapasową nie można utworzyć, każda kolejna kopia danych dla pewna liczba telefon zastępuje poprzedni.

Aby uzyskać dane z kopii zapasowej, musisz:

mieć dostęp do numeru telefonu, który podałeś podczas jego tworzenia;

zapamiętaj hasło ustawione do szyfrowania kopii zapasowej.

Uwaga. Kopia zapasowa zawiera tylko loginy i klucze tajne potrzebne do wygenerowania haseł jednorazowych. Kod PIN ustawiony podczas włączania haseł jednorazowych w Yandex musi zostać zapamiętany.

Nie ma jeszcze możliwości usunięcia kopii zapasowej z serwera Yandex. Zostanie on automatycznie usunięty, jeśli nie użyjesz go w ciągu roku od utworzenia.

Utwórz kopię zapasową

Wybierz przedmiot Utwórz kopię zapasową w ustawieniach aplikacji.

Wprowadź numer telefonu, z którym zostanie połączona kopia zapasowa (na przykład „71234567890” „380123456789”) i kliknij Dalej.

Yandex wyśle ​​kod potwierdzający na wprowadzony numer telefonu. Po otrzymaniu kodu wprowadź go w aplikacji.

Utwórz hasło, aby zaszyfrować kopię zapasową swoich danych. Tego hasła nie można odzyskać, więc upewnij się, że go nie zapomnisz ani nie zgubisz.

Wprowadź hasło dwukrotnie i kliknij przycisk Gotowe. Yandex.Key zaszyfruje kopię zapasową, wyśle ​​ją na serwer Yandex i powiadomi Cię o tym.

Przywracanie z kopii zapasowej

Wybierz przedmiot Przywróć z kopii zapasowej w ustawieniach aplikacji.

Wprowadź numer telefonu użyty podczas tworzenia kopii zapasowej (na przykład „71234567890” „380123456789”) i kliknij przycisk Dalej.

Jeśli dla określonego numeru zostanie znaleziona kopia zapasowa danych klucza, Yandex wyśle ​​kod potwierdzający na ten numer telefonu. Po otrzymaniu kodu wprowadź go w aplikacji.

Upewnij się, że data i godzina utworzenia kopii zapasowej oraz nazwa urządzenia są zgodne z kopią zapasową, której chcesz użyć. Następnie kliknij przycisk Przywróć.

Wprowadź hasło ustawione podczas tworzenia kopii zapasowej. Jeśli go nie pamiętasz, odszyfrowanie kopii zapasowej będzie niestety niemożliwe.

Yandex.Key odszyfruje dane kopii zapasowej i powiadomi Cię, że dane zostały przywrócone.

Jak hasła jednorazowe zależą od dokładnego czasu

Podczas generowania haseł jednorazowych Yandex.Key uwzględnia aktualny czas i strefę czasową ustawioną na urządzeniu. Gdy dostępne jest połączenie z Internetem, Klucz żąda również dokładnego czasu z serwera: jeśli czas na urządzeniu jest nieprawidłowy, aplikacja go skoryguje. Ale w niektórych sytuacjach, nawet po zmianie i przy prawidłowym kodzie PIN, jednorazowe hasło będzie nieprawidłowe.

To nie przypadek, że w Internecie jest wiele wskazówek, jak chronić swoje konto przed włamaniami, a być może najpopularniejszą z nich jest używanie skomplikowanych haseł i ich regularna zmiana. To oczywiście nie jest złe, ale ciągłe zapamiętywanie nowych skomplikowanych haseł może być dość męczące. Specjalnie dla tych, którzy martwią się o bezpieczeństwo swojego konta, Yandex uruchomił wersję beta uwierzytelniania dwuskładnikowego. Dzięki niemu klucz do Twojego konta będzie tylko w Twoich rękach. Dokładniej w Twoim smartfonie. Podczas autoryzacji w Yandex - lub w dowolnej innej witrynie - podajesz swoją nazwę użytkownika i hasło. System sprawdza, czy hasło pasuje do loginu i wpuszcza, czy wszystko jest w porządku. Ale hasło to tylko jeden czynnik weryfikacyjny. Są systemy, dla których jeden czynnik nie wystarczy. Oprócz hasła wymagają np. specjalnego kodu wysłanego SMS-em, czy klucza USB, który należy włożyć do komputera. Systemy te korzystają z uwierzytelniania dwuskładnikowego lub wieloskładnikowego. Dla naszego schematu uwierzytelniania dwuskładnikowego stworzyliśmy Yandex.Key - aplikację mobilną na iOS i Androida. Wystarczy uznać kod QR za aplikację na strona główna Yandex, w Paszporcie lub w polu Autoryzacja poczty - a znajdziesz się na swoim koncie. Aby użyć klucza, musisz włączyć uwierzytelnianie dwuskładnikowe, zainstalować aplikację i połączyć ją ze swoim kontem. Następnie ustawiasz w aplikacji czterocyfrowy kod PIN. Kod ten stanie się jednym z czynników wchodzących w skład „tajemnicy”, na podstawie którego algorytm będzie tworzył hasła jednorazowe. Drugi czynnik jest przechowywany w smartfonie. Gdy później odczytasz kod QR w formularzu autoryzacyjnym, aplikacja wyśle ​​Twój login i hasło jednorazowe na serwer Yandex. Serwer sprawdzi je i poinstruuje stronę, aby wpuściła lub nie wpuściła. Gdy nie można odczytać kodu QR, np. kamera smartfona nie działa lub nie ma dostępu do Internetu, hasło jednorazowe można wprowadzić ręcznie. Wpisanie hasła w tym przypadku zastępuje odczytanie kodu QR - jedyną różnicą jest to, że hasło nie jest automatycznie wysyłane na serwery, zamiast tego wpisujesz je w formularzu autoryzacji wraz z loginem. Hasło jednorazowe jest ważne tylko przez 30 sekund. Dzieje się tak, aby nie można go było ukraść z komputera (na przykład za pomocą programu, który zapamiętuje hasła wprowadzone do przeglądarki). Nikt poza Tobą nie będzie mógł użyć Klucza do wejścia na Twoje konto, ponieważ podczas generowania haseł Klucz używa utworzonego przez Ciebie kodu PIN. Bez prawidłowego kodu PIN aplikacja utworzy nieprawidłowe hasła, które nie będą działać na Twoim koncie. Jeśli masz smartfon lub tablet Apple z Touch ID, możesz użyć odcisku palca zamiast kodu PIN. Mechanizm uwierzytelniania dwuskładnikowego to kolejne narzędzie, które pomoże zwiększyć bezpieczeństwo pracy użytkowników Yandex w Internecie. Jeśli potrzebujesz dodatkowa ochrona twoje konto - czas zamknąć je na Yandex.Key.

Rzadki post na blogu Yandex, a zwłaszcza ten dotyczący bezpieczeństwa, nie wspominał o uwierzytelnianiu dwuskładnikowym. Długo zastanawialiśmy się, jak odpowiednio wzmocnić ochronę kont użytkowników, a nawet po to, aby mogli z niej korzystać bez wszystkich niedogodności, które obejmują najczęstsze dziś implementacje. I niestety są niewygodne. Według niektórych raportów w wielu dużych witrynach odsetek użytkowników, którzy włączyli dodatkowe narzędzia uwierzytelniające, nie przekracza 0,1%.

Wydaje się, że dzieje się tak, ponieważ powszechny schemat uwierzytelniania dwuskładnikowego jest zbyt skomplikowany i niewygodny. Próbowaliśmy wymyślić metodę, która byłaby wygodniejsza bez utraty poziomu ochrony, a dziś przedstawiamy jej wersję beta.

Mamy nadzieję, że stanie się bardziej rozpowszechniony. Z naszej strony jesteśmy gotowi do pracy nad jego udoskonaleniem i późniejszą standaryzacją.

Po włączeniu uwierzytelniania dwuskładnikowego w usłudze Passport musisz zainstalować aplikację Yandex.Key w App Store lub Google Play. Kody QR pojawiły się w formularzu autoryzacji na stronie głównej Yandex, w Poczcie i Paszporcie. Aby wejść rachunek musisz odczytać kod QR przez aplikację - i tyle. Jeśli nie można odczytać kodu QR, np. nie działa aparat smartfona lub nie ma dostępu do Internetu, aplikacja utworzy jednorazowe hasło, które będzie ważne tylko przez 30 sekund.

Powiem Ci, dlaczego zdecydowaliśmy się nie używać takich „standardowych” mechanizmów jak RFC 6238 czy RFC 4226. Jak działają typowe schematy uwierzytelniania dwuskładnikowego? Są dwustopniowe. Pierwszym etapem jest zwykłe uwierzytelnianie za pomocą nazwy użytkownika i hasła. Jeśli to się udało, witryna sprawdza, czy „lubi” tę sesję użytkownika, czy nie. A jeśli „nie podoba ci się”, prosi użytkownika o „ponowne uwierzytelnienie”. Istnieją dwie popularne metody „do-uwierzytelniania”: wysłanie SMS-a na numer telefonu powiązany z kontem i wygenerowanie drugiego hasła na smartfonie. Zasadniczo do wygenerowania drugiego hasła używany jest TOTP zgodnie z RFC 6238. Jeśli użytkownik wpisał drugie hasło poprawnie, sesja jest uważana za w pełni uwierzytelnioną, a jeśli nie, to sesja traci również „wstępne” uwierzytelnienie.

Obie metody ─ wysłanie SMS-a i wygenerowanie hasła ─ są dowodem posiadania telefonu, a zatem są czynnikiem dostępności. Hasło wpisane na pierwszym etapie jest czynnikiem wiedzy. Dlatego ten schemat uwierzytelniania jest nie tylko dwuetapowy, ale także dwuskładnikowy.

Co okazało się problematyczne w tym schemacie?

Zacznijmy od tego, że komputer przeciętnego użytkownika nie zawsze można nazwać modelem bezpieczeństwa: oto zamknięcie Aktualizacje systemu Windows, piracka kopia programu antywirusowego bez nowoczesnych sygnatur i oprogramowanie wątpliwego pochodzenia – wszystko to nie zwiększa poziomu ochrony. Według naszej oceny, włamanie się do komputera użytkownika jest najbardziej rozpowszechnionym sposobem „przejęcia” kont (a ostatnio było na to kolejne potwierdzenie) i chcemy się przed tym chronić. W przypadku uwierzytelniania dwuetapowego, zakładając, że komputer użytkownika jest zagrożony, wprowadzenie na nim hasła narusza samo hasło, co jest pierwszym czynnikiem. Oznacza to, że atakujący musi tylko wybrać drugi czynnik. W przypadku typowych implementacji RFC 6238, drugi czynnik to 6 cyfr dziesiętnych (a maksymalna specyfikacja to 8 cyfr). Według kalkulatora bruteforce dla OTP, w ciągu trzech dni atakujący jest w stanie wychwycić drugi czynnik, jeśli w jakiś sposób dowiedział się o pierwszym. Nie jest jasne, co usługa może przeciwdziałać temu atakowi bez zakłócania normalnego użytkowania. Jedynym możliwym dowodem pracy jest captcha, która naszym zdaniem jest ostatecznością.

Drugim problemem jest nieprzejrzystość oceny usługi o jakości sesji użytkownika i decyzji o potrzebie „up-uwierzytelniania”. Gorsze niż to, usługa nie jest zainteresowana tym, aby ten proces był przejrzysty, ─ w końcu ochrona przez ukrywanie faktycznie działa tutaj. Jeśli atakujący wie, o czym serwis decyduje o zasadności sesji, może spróbować sfałszować te dane. Z ogólnych rozważań możemy wywnioskować, że osąd dokonywany jest na podstawie historii uwierzytelnienia użytkownika, uwzględniającej adres IP (i wyprowadzone z niego liczby). System autonomiczny, lokalizacja identyfikująca dostawcę i oparta na geobazie) oraz dane przeglądarki, takie jak nagłówek i zestaw plików cookie klienta użytkownika, pamięć flash lso i html local storage. Oznacza to, że jeśli atakujący kontroluje komputer użytkownika, ma możliwość nie tylko kradzieży wszystkich niezbędnych danych, ale także wykorzystania adresu IP ofiary. Co więcej, jeśli decyzja jest podejmowana na podstawie ASN, to każde uwierzytelnienie od: publiczne wifi w kawiarni może doprowadzić do „zatrucia” pod względem bezpieczeństwa (i wybielenia pod względem obsługi) dostawcy tej kawiarni i np. wybielenia wszystkich kawiarni w mieście. Rozmawialiśmy o działaniu systemu wykrywania anomalii i można go zastosować, ale czas między pierwszym a drugim etapem uwierzytelniania może nie wystarczyć na pewną ocenę anomalii. Ponadto ten sam argument podważa ideę „zaufanych” komputerów: atakujący może ukraść wszelkie informacje, które wpływają na ocenę zaufania.

Wreszcie weryfikacja dwuetapowa jest po prostu niewygodna: nasze badania użyteczności pokazują, że nic nie irytuje użytkowników bardziej niż ekran pośredni, dodatkowe naciśnięcia przycisków i inne „nieistotne” czynności z jego punktu widzenia.
Na tej podstawie zdecydowaliśmy, że uwierzytelnianie powinno być jednoetapowe, a przestrzeń na hasła powinna być znacznie większa niż to, co jest możliwe w ramach „czystego” RFC 6238.
Jednocześnie chcieliśmy, aby uwierzytelnianie dwuskładnikowe było jak najbardziej możliwe.

Wieloczynnikowość w uwierzytelnianiu jest określana przez przypisanie elementów uwierzytelnienia (w rzeczywistości nazywa się je czynnikami) do jednej z trzech kategorii:

1. Czynniki wiedzy (są to tradycyjne hasła, kody PIN i wszystko, co do nich wygląda);
2. Czynniki własnościowe (w stosowanych schematach OTP jest to zwykle smartfon, ale może to być również token sprzętowy);
3. Czynniki biometryczne (odcisk palca – teraz najpopularniejszy, choć ktoś pamięta epizod z bohaterem Wesleya Snipesa w filmie Demolition Man).

Rozwój naszego systemu

Kiedy zaczęliśmy zajmować się problemem uwierzytelniania dwuskładnikowego (pierwsze strony korporacyjnej wiki na ten temat pochodzą z 2012 roku, ale było to omawiane za kulisami wcześniej), pierwszym pomysłem było podjęcie standardowe sposoby uwierzytelnienia i zastosuj je u nas. Zrozumieliśmy, że nie możemy liczyć na to, że miliony naszych użytkowników kupią token sprzętowy, więc ta opcja została odłożona w niektórych egzotycznych przypadkach (choć nie rezygnujemy z niej całkowicie, być może uda nam się wymyślić coś ciekawego). Metoda SMS również nie mogła być masowo produkowana: jest to bardzo zawodna metoda dostarczania (w najważniejszym momencie SMS może być opóźniony lub w ogóle nie dotrzeć) oraz wysyłanie SMS-ów kosztuje (a operatorzy zaczęli podnosić swoje ceny). Zdecydowaliśmy, że za pomocą SMS─ wiele banków i innych firm nietechnologicznych, a nasi użytkownicy chcą zaoferować coś wygodniejszego. Generalnie wybór był niewielki: użyć smartfona i programu w nim jako drugiego czynnika.

Ta forma jednoetapowego uwierzytelniania jest powszechna: użytkownik zapamiętuje kod PIN (pierwszy czynnik), ma sprzętowy lub programowy (w smartfonie) token, który generuje OTP (drugi czynnik). W polu wprowadzania hasła wpisuje kod PIN i aktualną wartość OTP.

W naszej opinii, główna wada Schemat ten jest taki sam, jak w przypadku uwierzytelniania dwuetapowego: jeśli założymy, że komputer użytkownika jest zagrożony, to jednokrotne wprowadzenie kodu PIN prowadzi do jego ujawnienia, a atakujący może wybrać tylko drugi czynnik.

Postanowiliśmy pójść w drugą stronę: hasło jest w całości generowane z sekretu, ale tylko część sekretu jest przechowywana w smartfonie, a część jest wprowadzana przez użytkownika za każdym razem, gdy generowane jest hasło. Tak więc sam smartfon jest czynnikiem własności, podczas gdy hasło pozostaje w głowie użytkownika i jest czynnikiem wiedzy.

Nonce może być licznikiem lub aktualnym czasem. Zdecydowaliśmy się na wybór aktualnego czasu, co pozwala nam nie bać się desynchronizacji w przypadku, gdy ktoś wygeneruje za dużo haseł i zwiększy licznik.

Mamy więc program na smartfona, w którym użytkownik wprowadza swoją część sekretu, jest on mieszany z częścią zapisaną, wynik jest używany jako klucz HMAC, który podpisuje aktualny czas, zaokrąglony do 30 sekund. Dane wyjściowe HMAC są renderowane w czytelnej formie i voila – oto hasło jednorazowe!

Jak już wspomniano, RFC 4226 sugeruje obcięcie wyniku HMAC do maksymalnie 8 cyfr dziesiętnych. Zdecydowaliśmy, że hasło tego rozmiaru nie nadaje się do uwierzytelniania jednoetapowego i powinno zostać zwiększone. Jednocześnie zależało nam na zachowaniu łatwości obsługi (bo pamiętajmy, że chcemy zrobić taki system, z którego będą korzystać zwykli ludzie, a nie tylko maniacy bezpieczeństwa), więc jako kompromis w obecnej wersji systemu, wybrał obcięcie do 8 znaków alfabetu łacińskiego. Wygląda na to, że 26^8 haseł ważnych przez 30 sekund jest całkiem do zaakceptowania, ale jeśli margines bezpieczeństwa nam nie odpowiada (lub na Habré pojawiają się cenne wskazówki, jak ulepszyć ten schemat), rozszerzymy np. do 10 znaków.

Dowiedz się więcej o sile takich haseł

Rzeczywiście, bo litery łacińskie bez rozróżniania wielkości liter, liczba opcji na znak wynosi 26, dla dużych i małych liter łacińskich plus cyfr liczba opcji wynosi 26+26+10=62. Następnie log 62 (26 10) ≈ 7,9, czyli hasło składające się z 10 losowych małych liter łacińskich jest prawie tak silne, jak hasło składające się z 8 losowych górnych i dolnych liter lub cyfr łacińskich. To zdecydowanie wystarczy na 30 sekund. Jeśli mówimy o 8-znakowym haśle z liter łacińskich, to jego siła to log 62 (26 8) ≈ 6,3, czyli trochę więcej niż 6-znakowe hasło z dużych, małych liter i cyfr. Uważamy, że jest to nadal akceptowalne przez 30-sekundowe okno.

Magia, brak hasła, aplikacje i kolejne kroki

Ogólnie moglibyśmy na tym poprzestać, ale chcieliśmy, aby system był jeszcze wygodniejszy. Gdy ktoś ma w ręku smartfon, nie chce wpisywać hasła z klawiatury!

Dlatego rozpoczęliśmy prace nad „magicznym logowaniem”. Dzięki tej metodzie uwierzytelniania użytkownik uruchamia aplikację na swoim smartfonie, wpisuje do niej swój kod PIN i skanuje kod QR na ekranie komputera. Jeśli kod PIN zostanie wprowadzony poprawnie, strona w przeglądarce zostanie ponownie załadowana, a użytkownik uwierzytelniony. Magia!

Jak to działa?

Numer sesji jest wszyty w kod QR, a gdy aplikacja go zeskanuje, numer ten jest przekazywany na serwer wraz z wygenerowanym w zwykły sposób hasłem i nazwą użytkownika. Nie jest to trudne, bo smartfon prawie zawsze jest online. W układzie strony pokazującej kod QR uruchomiony jest JavaScript, oczekujący na odpowiedź z serwera w celu sprawdzenia hasła przy tej sesji. Jeśli serwer odpowie, że hasło jest poprawne, z odpowiedzią zostanie ustawiony plik cookie sesji, a użytkownik zostanie uznany za uwierzytelnionego.

Polepszyło się, ale tutaj postanowiliśmy nie zatrzymywać się. Począwszy od iPhone'a 5S w telefonach i Tabletki jabłkowe Pojawił się skaner linii papilarnych TouchID, a w Wersje iOS 8 praca z nim jest dostępna i aplikacje stron trzecich. W rzeczywistości aplikacja nie uzyskuje dostępu do odcisku palca, ale jeśli odcisk jest poprawny, wówczas dodatkowa sekcja Keychain staje się dostępna dla aplikacji. Z tego skorzystaliśmy. Druga część sekretu jest umieszczona we wpisie pęku kluczy chronionym TouchID, tym, który użytkownik wprowadził z klawiatury w poprzednim scenariuszu. Podczas odblokowywania pęku kluczy dwie części sekretu są mieszane, a następnie proces przebiega tak, jak opisano powyżej.

Ale stało się to niezwykle wygodne dla użytkownika: otwiera aplikację, wkłada palec, skanuje kod QR na ekranie i uwierzytelnia się w przeglądarce na komputerze! Zastąpiliśmy więc czynnik wiedzy biometrycznym i całkowicie zrezygnowaliśmy z haseł z punktu widzenia użytkownika. Jesteśmy pewni, że zwykłym ludziom ten schemat będzie znacznie wygodniejszy niż ręczne wpisywanie dwóch haseł.

To dyskusyjne, jak technicznie jest uwierzytelnianie dwuskładnikowe, ale w rzeczywistości nadal musisz mieć telefon i ważny odcisk palca, aby go pomyślnie przekazać, więc uważamy, że całkiem nieźle pozbyliśmy się czynnika wiedzy, zastępując go z biometrią. Rozumiemy, że polegamy na bezpieczeństwie ARM TrustZone, które stanowi podstawę bezpiecznej enklawy iOS i wierzymy, że ten moment ten podsystem można uznać za zaufany w naszym modelu zagrożeń. Oczywiście zdajemy sobie sprawę z problemów związanych z uwierzytelnianiem biometrycznym: odcisk palca nie jest hasłem i nie można go zastąpić, jeśli zostanie złamany. Ale z drugiej strony każdy wie, że bezpieczeństwo jest odwrotnie proporcjonalne do wygody, a sam użytkownik ma prawo wybrać stosunek jednego do drugiego, który jest dla niego akceptowalny.

Przypomnę, że to wciąż wersja beta. Teraz, gdy włączysz uwierzytelnianie dwuskładnikowe, tymczasowo wyłączamy synchronizację haseł w Yandex Browser. Wynika to ze sposobu, w jaki zorganizowane jest szyfrowanie bazy haseł. Już teraz wymyślamy wygodny sposób uwierzytelnienia przeglądarki w przypadku 2FA. Wszystkie inne funkcje Yandex działają jak poprzednio.

Oto, co mamy. Wygląda na to, że wyszło dobrze, ale ty będziesz sędzią. Z przyjemnością wysłuchamy opinii i rekomendacji, a my sami będziemy nadal pracować nad poprawą bezpieczeństwa naszych usług: teraz razem z CSP, szyfrowaniem transportu poczty i wszystkim innym mamy również uwierzytelnianie dwuskładnikowe. Należy pamiętać, że usługi uwierzytelniania i aplikacje do generowania OTP mają krytyczne znaczenie, dlatego znalezione w nich błędy są wypłacane dwukrotnie jako bonus w ramach programu Bug Bounty.

Tagi: Dodaj tagi