Vă voi arăta cum să configurați autentificarea cu doi factori în Yandex, acest lucru vă va ajuta să vă protejați contul Yandex de hacking.

Accesați gestionarea parolelor la passport.yandex.ru/profile/access. Aici vă puteți schimba parola sau puteți activa o protecție suplimentară pentru contul dvs. - autentificare cu doi factori. Faceți clic pe glisorul pentru autentificarea în doi factori pentru ao activa.

Autentificarea cu doi factori este conectată în mai mulți pași. Va trebui să deschideți Yandex.Passport în paralel și aplicatie mobila Yandex.Key. După finalizarea configurării, trebuie să vă conectați din nou pe toate dispozitivele.

Faceți clic pe porniți configurarea.

Iată numărul dvs. de telefon la care vor fi trimise codurile pentru configurare. Aici puteți schimba și numărul de telefon asociat contului dvs. Yandex.

Configurarea autentificării cu doi factori. Pasul 1 din 5.

Verifică-ți numărul de telefon. Acesta este numărul tău principal pe Yandex. Veți avea nevoie de el dacă pierdeți accesul la contul dvs. Faceți clic pe obține codul.

Un cod SMS de la Yandex va fi trimis la numărul dvs.

Introduceți codul SMS de la Yandex aici și faceți clic pe confirmare.

Configurarea autentificării cu doi factori. Pasul 2 din 5.

Descărcați aplicația Yandex.Key. Acum accesați AppStore pe iPhone sau iPad sau pe Play Store Smartphone Android sau tabletă și căutați aplicația Yandex.Key. Sau faceți clic pentru a obține un link către telefon.

Se va deschide Magazin de aplicații sau Piața de joacă faceți clic pe descărcare pentru a descărca aplicația Yandex.Key și instalați-o pe smartphone sau tabletă.

Dacă trebuie să introduceți parola ID-ului Apple, atunci introduceți parola ID-ului Apple.

După 30 de secunde, aplicația va fi descărcată pe smartphone-ul tău, lansează-o făcând clic pe ea.

Configurarea autentificării cu doi factori. Pasul 3 din 5.

Îndreptați camera telefonului către codul QR și contul dvs. va fi adăugat automat în aplicație. Dacă citirea codului eșuează, încercați din nou sau introduceți cheia secretă.

Să revenim la smartphone.

Aplicația Yandex.Key creează parole unice pentru autentificarea la Yandex. dacă ați început deja să configurați autentificarea cu doi factori pe computer, apoi faceți clic pe butonul „adăugați un cont în aplicație”.

Faceți clic pentru a adăuga un cont la aplicație.

Programul „Key” solicită accesul la „camera”. Faceți clic pe Permite pentru a acorda aplicației acces la camera de pe smartphone-ul dvs. pentru a scana codul QR de pe ecranul monitorului computerului.

Îndreptați camera către codul QR afișat pe monitorul computerului și așteptați ca contul să fie adăugat sau adăugați-l manual.

Gata. Cod QR scanat. Aplicația Yandex.Key este gata de funcționare.

Acum să trecem la monitorul computerului.

Faceți clic pe Creare PIN.

Este necesar un cod PIN de fiecare dată când primiți o parolă unică în Yandex.Key, precum și pentru a restabili accesul la contul dvs. Păstrați codul PIN privat. Angajații serviciului Yandex nu-l întreabă niciodată.

Venim cu un cod PIN din patru cifre și facem clic pe Continuare.

Configurarea autentificării cu doi factori. Pasul 4 din 5.

Verificarea codului PIN. Asigurați-vă că vă amintiți codul PIN. Odată ce setarea este finalizată, aceasta nu poate fi modificată. Dacă introduceți codul PIN greșit în aplicație, atunci aceasta va genera parole unice incorecte.

Introduceți codul PIN pe care l-ați creat mai devreme și faceți clic pe Verificare.

Revenim la smartphone și la aplicația Yandex.Key. Introduceți codul PIN pentru a primi o parolă unică.

După introducerea codului pin, veți primi o parolă unică care va fi valabilă 20 de secunde, în aceste 20 de secunde trebuie să o introduceți pe computer în setarea de autentificare cu doi factori. Dacă nu aveți timp să introduceți parola în 20 de secunde, aceasta se va schimba cu alta și așa mai departe. Introduceți parola care va fi afișată pe ecranul smartphone-ului dvs.

Ultimul pas. Introduceți parola din Yandex.Key.

Utilizați codul PIN pentru a obține o parolă unică în aplicație. Asigurați-vă că vă amintiți codul PIN, după finalizarea configurării, nu îl veți putea schimba.

Ce se va schimba după activarea autentificării cu doi factori:

• Vechea parolă nu va mai funcționa.
• Va trebui să vă conectați din nou la Yandex pe toate dispozitivele (servicii web și aplicații mobile).
• Va fi posibil să accesați serviciile web Yandex folosind un cod QR fără a introduce o parolă. Dacă nu puteți citi codul, utilizați parola unică de la Yandex.Key.
• Veți accesa aplicațiile mobile Yandex folosind o parolă unică. Poate fi copiat de pe Yandex.Key prin apăsare lungă.
• Pentru alte programe asociate contului dvs. (de exemplu, clienti de mail sau colectori de corespondență), obțineți parolele aplicației în Passport.

Introduceți parola unică care este afișată pe ecranul smartphone-ului dvs. și faceți clic pe finalizare configurare.

Acum, după ce ați introdus parola unică, trebuie să introduceți Parola veche din cont. Yandex trebuie să se asigure că proprietarul contului este cel care face o schimbare atât de importantă în setările de securitate.

Introduceți vechea parolă din contul Yandex și faceți clic pe OK.

Gata. Autentificare cu doi factori finalizată. V-ați protejat contul cu parole unice. Acum trebuie să vă conectați din nou la Yandex pe toate dispozitivele. Dacă utilizați programe de e-mail, de exemplu, nu uitați să obțineți parole de aplicație pentru acestea.

Faceți clic pe închidere.

Acum, dacă utilizați cutie poștală Contul Yandex pe smartphone-ul dvs., trebuie să creați o parolă pentru acesta.

Selectați tipul de aplicație > Program de e-mail.

Și alegeți sistem de operare ta program de mail. Folosesc un iPhone, așa că aleg iOS.

Și faceți clic pe Creare parolă pentru a crea o parolă pentru programul de e-mail de pe smartphone.

Parola dvs. de e-mail iOS a fost generată.

Cum se utilizează parola:

• Pentru a oferi aplicației acces la datele dvs., specificați această parolă în setările acesteia.
• Nu trebuie să vă amintiți parola: veți avea nevoie de ea o singură dată. Când vă schimbați parola pe Yandex, va trebui să obțineți Parolă Nouă aplicatii.
• Parola aplicației este afișată o singură dată. Dacă închideți pagina și nu aveți timp să o utilizați, obțineți una nouă.

Introducem parola care este afișată pe monitorul computerului în aplicația mobilă Yandex mail de pe smartphone.

Gata. Autentificarea cu doi factori Yandex funcționează, puteți trăi mai departe.

Acum, dacă vă deconectați de la contul Yandex și vă introduceți din nou numele de utilizator și parola, vă vor scrie:

Perechea de conectare-parolă greșită! Eroare la autentificare. Este posibil să aveți selectat un alt aspect al tastaturii sau să fie apăsată tasta Caps Lock. Dacă utilizați autentificarea cu doi factori, asigurați-vă că introduceți o parolă unică din aplicația Yandex.Key în loc de cea obișnuită. Încercați să vă conectați din nou.

Acum trebuie să deschideți aplicația Yandex.Key, să introduceți codul PIN și să îndreptați camera smartphone-ului către codul QR. Vă veți conecta automat la contul Yandex după ce smartphone-ul citește codul QR de pe ecranul monitorului.

Alte intrări privind securitatea și verificarea în doi pași:

Mai întâi, introducem contul principal Yandex, dacă acesta există. Dacă nu există încă, atunci îl puteți crea oricând după o simplă înregistrare.

Activarea și configurarea autentificării cu doi factori

Deci, în contul Yandex, faceți clic pe cont și accesați secțiunea Pașaport. Apoi, în secțiune Controlul accesului presa Configurați autentificarea cu doi factori.

Se deschide o fereastră cu același nume, în care trebuie să parcurgeți pașii pentru a activa și configura autentificarea cu doi factori.

La primul pas, indicam numarul de telefon, il confirmam primind un cod sub forma de SMS prin telefon.

Următorul pas este crearea unui cod PIN. Este necesar să accesați aplicația Yandex.Key instalată pe smartphone sau tabletă.

Codul PIN poate fi de la 4 la 16 cifre. Introduceți-le în câmp și faceți clic Crea.

Se va deschide o fereastră cu un cod QR și se va oferi să vă adăugați contul în aplicația Yandex.Key.

Instalarea aplicației Yandex.Key

Îl lansăm și în partea de jos a ferestrei care se deschide, apare un buton galben cu o sugestie - Adăugați un cont în aplicație.

Apăsăm butonul, pe ecranul smartphone-ului se va deschide o fereastră în care trebuie să introduceți codul pin inventat anterior.

Imediat ce este introdus codul PIN, camera se va porni automat. Îndreptați camera către codul QR din fereastra monitorului și așteptați autorizarea.

O altă metodă de autorizare

În caz contrar, pentru a organiza autentificarea în doi factori după introducerea unui cod PIN, este posibil să alegeți opțiunea de a obține o parolă unică de 30 de secunde.

La al patrulea pas de configurare a autentificării cu doi factori, trebuie să conectați programul Yandex.Key cu contul Yandex. Pentru a face acest lucru, introduceți parola unică primită pe smartphone.

Dacă se dovedește că este imposibil să îl introduceți la timp, atunci trebuie să așteptați următoarea apariție a numerelor pe smartphone și să o introduceți deja.

După intrare, apăsați butonul Aprindeși gata, programul Yandex.Key este activat și din acel moment ar trebui să funcționeze autentificarea cu doi factori.

Acum, pe toate dispozitivele - un computer, un smartphone - trebuie să vă deconectați și să vă conectați din nou la contul dvs. cu o parolă unică existentă sau cu un cod QR, folosind aplicația mobilă Yandex.Key.

În Yandex.Mail, primim o scrisoare cu o notificare că autentificarea cu doi factori a funcționat.

În e-mailul primit, vă puteți familiariza și cu recomandările pentru configurarea unui nou acces și utilizarea autentificării cu doi factori.

Autentificare Yandex cu doi factori pentru alte servicii

Pentru Yandex.Mail, Ya.Disk și alte servicii Yandex, este posibil să se creeze parole diferite. Acest lucru va crește semnificativ nivelul de securitate al datelor cu caracter personal și al contului în ansamblu. Puteți citi despre depozitarea lor în siguranță.

Pentru a face acest lucru, reveniți la secțiune Pașaport - Control acces. Alegeți un program, în acest caz - Acces la disc.

Pentru comoditate, numim această conexiune, de exemplu, Discul meuși apăsați Creați o parolă.

Deci, parola este creată și va fi afișată o singură dată. Prin urmare, dacă nu este păstrat, atunci este mai bine să îl ștergeți în viitor și să îl creați din nou.

Acum vă puteți conecta la unitate de rețea Yandex. Prin orice manager de fișiere obțineți acces la Yandex.Disk folosind această parolă.

Astfel, Yandex.Disk și contul principal Yandex vor fi protejate prin parole separate folosind funcția de autentificare cu doi factori.

Dezactivează autentificarea cu doi factori

Dacă în viitor există dorința de a refuza utilizarea autentificării cu doi factori, atunci pentru aceasta este suficient să mergeți la secțiunea Controlul accesuluiși treceți prin procesul de deconectare.

Adică apăsăm comutatorul Off introduceți o parolă unică emisă de Yandex.Key, faceți clic A confirma.

Astfel, autentificarea în doi factori a contului Yandex este dezactivată. Trebuie avut în vedere că parolele Yandex.Disk și ale altor servicii, dacă sunt create, sunt de asemenea resetate.

Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.

1. Conectați-vă cu codul QR
2. Transferul Yandex.Key
3. Parola principala

Conectați-vă la un serviciu sau aplicație Yandex

Puteți introduce o parolă unică în orice formular de autorizare Yandex sau aplicații dezvoltate de Yandex.

Notă.

Parola unică trebuie introdusă la timp în timp ce este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați noua parolă.

Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați setat când configurați autentificarea cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.

Yandex.Key nu verifică codul PIN pe care l-ați introdus și generează parole unice, chiar dacă ați introdus codul PIN incorect. În acest caz, și parolele create se dovedesc a fi incorecte și nu vă veți putea autentifica cu ele. Pentru a introduce codul PIN corect, ieșiți din aplicație și porniți-o din nou.

Caracteristici ale parolelor unice:

Conectați-vă cu codul QR

Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În același timp, dvs dispozitiv mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.

Faceți clic pe pictograma codului QR din browser.

Dacă nu există o astfel de pictogramă în formularul de autentificare, atunci acest serviciu Vă puteți autentifica doar cu o parolă. În acest caz, vă puteți autoriza folosind codul QR din pașaport, apoi accesați serviciul potrivit.

Introduceți codul PIN în Yandex.Key și faceți clic pe Conectare folosind codul QR.

Îndreptați camera dispozitivului către codul QR afișat în browser.

Yandex.Key recunoaște codul QR și trimite numele dvs. de conectare și parola unică către Yandex.Passport. Dacă trec testul, vă veți conecta automat la browser. Dacă parola transmisă se dovedește a fi incorectă (de exemplu, deoarece ați introdus codul PIN incorect în Yandex.Key), browserul va afișa un mesaj standard despre o parolă incorectă.

Conectarea cu un cont Yandex la o aplicație sau un site web terță parte

Aplicațiile sau site-urile care au nevoie de acces la datele dvs. Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie creată o parolă separată pentru fiecare aplicație.

Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.

Transferul Yandex.Key

Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic pe butonul Înlocuirea dispozitivului.

Mai multe conturi în Yandex.Key

Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont în aplicație, atunci când configurați parole unice la pasul 3, atingeți pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt furnizate pe pagina despre crearea codurilor de verificare non-Yandex.

Pentru a deconecta un cont de Yandex.Key, atingeți și mențineți apăsat portretul corespunzător în aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, conectarea contului dvs. la Yandex.Key va fi eliminată.

Atenţie. Dacă ștergeți un cont care are parole unice activate, nu veți putea obține o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.

Amprenta digitală în loc de PIN

O amprentă digitală în loc de un cod PIN poate fi utilizată pe următoarele dispozitive:

smartphone-uri sub Control Android 6.0 și un scaner de amprente;

iPhone incepand de la modelul 5s;

iPad care începe cu Air 2.

Notă.

Pe smartphone-urile și tabletele iOS, amprenta digitală poate fi ocolită prin introducerea codului de acces al dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați parola principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID și parola .

Pentru a utiliza activarea verificării amprentei:

Parola principala

Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală .

Cu o parolă principală, puteți:

asigurați-vă că, în loc de amprentă, puteți introduce doar parola principală Yandex.Key și nu codul de blocare a dispozitivului;

Copie de rezervă a datelor Yandex.Key

Puteți face copii de rezervă ale datelor cheie pe serverul Yandex, astfel încât să le puteți restaura dacă vă pierdeți telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie la momentul creării copiei sunt copiate pe server. Mai mult de o backup nu poate fi creată, fiecare copie ulterioară a datelor pentru un anumit număr telefonul îl înlocuiește pe cel anterior.

Pentru a obține date dintr-o copie de rezervă, trebuie să:

aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;

amintiți-vă parola pe care ați setat-o ​​pentru a cripta backup-ul.

Atenţie. Backup-ul conține doar datele de conectare și secretele necesare pentru a genera parole unice. Codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex trebuie reținut.

Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi șters automat dacă nu îl utilizați în decurs de un an de la creare.

Creați o copie de rezervă

Selectați un articol Creați o copie de rezervăîn setările aplicației.

Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „71234567890” „380123456789”) și faceți clic pe Următorul.

Yandex va trimite un cod de confirmare la numărul de telefon introdus. După ce primiți codul, introduceți-l în aplicație.

Creați o parolă pentru a cripta backup-ul datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.

Introduceți parola de două ori și faceți clic pe butonul Efectuat. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și vă va anunța despre aceasta.

Restaurare dintr-o copie de rezervă

Selectați un articol A restabili din fisierul de backupîn setările aplicației.

Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „71234567890” „380123456789”) și faceți clic pe butonul Următorul.

Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. După ce primiți codul, introduceți-l în aplicație.

Asigurați-vă că data și ora copiei de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.

Introduceți parola pe care ați setat-o ​​la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați backup-ul.

Yandex.Key va decripta datele de rezervă și vă va anunța că datele au fost restaurate.

Modul în care parolele unice depind de ora exactă

Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora de pe dispozitiv este incorectă, aplicația o va corecta. Dar în unele situații, chiar și după modificare și cu codul PIN corect, parola unică va fi incorectă.

Nu este o coincidență că există multe sfaturi pe Internet despre cum să vă protejați contul de hacking, și poate cel mai popular dintre ele este să folosiți parole complexe și să le schimbați în mod regulat. Acest lucru, desigur, nu este rău, dar amintirea constantă a noilor parole complexe poate fi destul de obositoare. În special pentru cei care sunt îngrijorați de securitatea contului lor, Yandex a lansat o versiune beta de autentificare cu doi factori. Cu el, cheia contului tău va fi doar în mâinile tale. Mai exact, în smartphone-ul tău. Când autorizați pe Yandex - sau pe orice alt site - vă introduceți numele de utilizator și parola. Sistemul verifică dacă parola se potrivește cu datele de conectare și vă permite să intrați dacă totul este în ordine. Dar parola este doar un factor de verificare. Există sisteme pentru care un singur factor nu este suficient. Pe lângă parolă, acestea necesită, de exemplu, un cod special trimis prin SMS sau o cheie USB care trebuie introdusă în computer. Aceste sisteme folosesc autentificarea cu doi factori sau multifactor. Pentru schema noastră de autentificare cu doi factori, am creat Yandex.Key - o aplicație mobilă pentru iOS și Android. Este suficient să luați în considerare codul QR ca o aplicație pe pagina principala Yandex, în Pașaport sau în câmpul Autorizare e-mail - și vă veți găsi în contul dvs. Pentru a utiliza cheia, trebuie să activați autentificarea cu doi factori, să instalați aplicația și să o conectați la contul dvs. Apoi setați un cod PIN din patru cifre în aplicație. Acest cod va deveni unul dintre factorii, parte a „secretului”, pe baza căruia algoritmul va crea parole unice. Al doilea factor este stocat în smartphone. Când mai târziu citiți codul QR în formularul de autorizare, aplicația vă va trimite numele dvs. de conectare și parola unică serverului Yandex. Serverul le va verifica și va instrui pagina să vă lase sau să nu vă lase să intrați. Când este imposibil să citiți codul QR, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la internet, puteți introduce manual parola unică. Introducerea unei parole în acest caz înlocuiește citirea unui cod QR - singura diferență este că parola nu este trimisă automat la servere, ci o introduci în formularul de autorizare împreună cu autentificarea. Parola unică este valabilă doar 30 de secunde. Acest lucru se face astfel încât să nu poată fi furat de pe computer (de exemplu, folosind un program care își amintește parolele introduse în browser). Nimeni, cu excepția dvs., nu va putea folosi Cheia pentru a vă introduce contul, deoarece la generarea parolelor, Cheia folosește codul PIN pe care l-ați creat. Fără codul PIN corect, aplicația va crea parole incorecte care nu vor funcționa pentru contul dvs. Dacă aveți un smartphone sau o tabletă Apple cu Touch ID, vă puteți folosi amprenta în locul unui PIN. Mecanismul de autentificare cu doi factori este un alt instrument care va ajuta la securitatea muncii utilizatorilor Yandex pe Internet. Dacă aveți nevoie protectie suplimentara contul dvs. - este timpul să îl închideți pe Yandex.Key.

O postare rară de pe blogul Yandex, și mai ales una legată de securitate, nu menționa autentificarea cu doi factori. Ne gândim de multă vreme cum să întărim în mod corespunzător protecția conturilor de utilizator și chiar și astfel încât aceștia să o poată folosi fără toate inconvenientele care includ cele mai comune implementări în prezent. Și, din păcate, sunt incomozi. Potrivit unor rapoarte, pe multe site-uri mari, proporția utilizatorilor care au activat instrumente suplimentare de autentificare nu depășește 0,1%.

Acest lucru pare să se datoreze faptului că schema comună de autentificare cu doi factori este prea complicată și incomodă. Am încercat să venim cu o metodă care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi vă prezentăm versiunea beta.

Sperăm să se răspândească mai mult. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.

După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală a Yandex, în Mail și Passport. A intra cont trebuie să citiți codul QR prin aplicație - și atât. Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.

Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea obișnuită cu un nume de utilizator și o parolă. Dacă a avut succes, site-ul verifică dacă „i place” sau nu această sesiune de utilizator. Și, dacă „nu vă place”, cere utilizatorului să se „re-autentifice”. Există două metode comune de „do-authentication”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe smartphone. Practic, TOTP conform RFC 6238 este folosit pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea pierde și autentificarea „preliminară”.

Ambele metode ─ trimiterea unui SMS și generarea unei parole ─ sunt dovada deținerii telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în prima etapă este factorul de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în două etape, ci și cu doi factori.

Ce ni s-a părut problematic în această schemă?

Să începem cu faptul că computerul utilizatorului obișnuit nu poate fi numit întotdeauna un model de securitate: aici este oprirea Actualizări Windows, și o copie piratată a antivirusului fără semnături moderne și software de origine dubioasă ─ toate acestea nu măresc nivelul de protecție. Conform evaluării noastre, compromiterea computerului unui utilizator este cea mai răspândită modalitate de a „deturna” conturi (și a existat o altă confirmare a acestui lucru recent) și dorim să ne protejăm de aceasta în primul rând. În cazul autentificării în doi pași, presupunând că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie să aleagă doar al doilea factor. În cazul implementărilor comune RFC 6238, al doilea factor este de 6 cifre zecimale (iar specificația maximă este de 8 cifre). Conform calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să înțeleagă al doilea factor dacă a luat cumva conștient de primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.

A doua problemă este opacitatea judecății serviciului cu privire la calitatea sesiunii utilizator și decizia privind necesitatea „up-authentication”. Mai rău decât atât, serviciul nu este interesat să facă acest proces transparent, ─ până la urmă, securitatea prin obscuritate chiar funcționează aici. Dacă un atacator știe ce decide serviciul cu privire la legitimitatea sesiunii, el poate încerca să falsifice aceste date. Din considerente generale, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, luând în considerare adresa IP (și numerele derivate din aceasta). sistem autonom, identificarea furnizorului și locația bazată pe baze geografice) și date ale browserului, cum ar fi antetul User Agent și setul de module cookie, flash lso și stocarea locală html. Aceasta înseamnă că, dacă un atacator controlează computerul utilizatorului, atunci acesta are posibilitatea nu numai să fure toate datele necesare, ci și să folosească adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la wifi publicîntr-o cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirea în ceea ce privește serviciul) furnizorul acestei cafenele și, de exemplu, văruirea tuturor cafenelelor din oraș. Am vorbit despre funcționarea sistemului de detectare a anomaliilor și ar putea fi aplicat, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru o judecată încrezătoare despre anomalie. În plus, același argument subminează ideea de computere „de încredere”: un atacator poate fura orice informație care afectează judecata de încredere.

În sfârșit, verificarea în doi pași este pur și simplu incomod: studiile noastre de utilizare arată că nimic nu irită mai mult utilizatorii decât un ecran intermediar, apăsări suplimentare de butoane și alte acțiuni „neimportante”, din punctul lui de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei ar trebui să fie mult mai mare decât ceea ce este posibil în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.

Multifactorialitatea în autentificare este determinată prin atribuirea elementelor de autentificare (de fapt, se numesc factori) uneia dintre cele trei categorii:

1. Factori de cunoaștere (acestea sunt parolele tradiționale, codurile pin și tot ce seamănă cu ele);
2. Factori de proprietate (în schemele OTP utilizate, acesta este de obicei un smartphone, dar poate fi și un token hardware);
3. Factori biometrici (amprenta ─ cea mai frecventă acum, deși cineva își va aminti episodul cu eroul lui Wesley Snipes din filmul Demolition Man).

Dezvoltarea sistemului nostru

Când am început să ne ocupăm de problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a discutat înainte în culise), prima idee a fost să luăm moduri standard autentificare și aplicați-le cu noi. Am înțeles că nu ne putem baza pe milioane de utilizatori pentru a cumpăra un token hardware, așa că această opțiune a fost amânată pentru unele cazuri exotice (deși nu o renunțăm complet, s-ar putea să reușim să venim cu ceva interesant). Nici metoda SMS nu a putut fi produsă în serie: aceasta este o metodă de livrare foarte nesigură (în cel mai important moment, SMS-ul poate fi întârziat sau să nu ajungă deloc) și trimiterea de SMS-uri costă bani (iar operatorii au început să-și crească prețul). Noi am hotărât asta folosind SMS-uri─ multe bănci și alte companii netehnologice, iar utilizatorii noștri vor să ofere ceva mai convenabil. În general, alegerea a fost mică: să folosești un smartphone și programul din el ca al doilea factor.

Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul pin (primul factor), are un token hardware sau software (pe un smartphone) care generează OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.

În opinia noastră, dezavantaj principal Această schemă este aceeași ca și pentru autentificarea în doi pași: dacă presupunem că desktop-ul utilizatorului este compromis, atunci o singură introducere a codului PIN duce la dezvăluirea acestuia, iar atacatorul poate alege doar al doilea factor.

Am decis să mergem invers: parola este generată în întregime din secret, dar doar o parte din secret este stocată în smartphone, iar partea este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, în timp ce parola rămâne în capul utilizatorului și este un factor de cunoaștere.

Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.

Deci, avem un program pentru un smartphone, în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca cheie HMAC, care semnează ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC este redată într-o formă care poate fi citită și voila - iată parola unică!

După cum sa menționat deja, RFC 4226 sugerează trunchierea rezultatului HMAC la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, ne-am dorit să menținem ușurința în utilizare (pentru că, amintiți-vă, vrem să facem un astfel de sistem pe care să îl folosească oamenii obișnuiți, și nu doar tociarii securității), așa că, ca compromis în versiunea actuală a sistemului, am a ales trunchierea la 8 caractere ale alfabetului latin. Se pare că 26 ^ 8 parole valabile timp de 30 de secunde este destul de acceptabil, dar dacă marja de securitate nu ne convine (sau apar sfaturi prețioase pe Habré despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.

Aflați mai multe despre puterea unor astfel de parole

Într-adevăr, pentru litere latine Fără diferențiere între majuscule și minuscule, numărul de opțiuni pe caracter este 26, pentru litere mari și mici latine plus cifre, numărul de opțiuni este 26+26+10=62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatorii. Acest lucru este cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere din litere mari, mici și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.

Magie, lipsă de parolă, aplicații și pașii următori

În general, ne-am putea opri aici, dar am vrut să facem sistemul și mai convenabil. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!

Prin urmare, am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone, introduce codul PIN în ea și scanează codul QR pe ​​ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!

Cum functioneazã?

Numărul de sesiune este cusut în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând un răspuns de la server pentru a verifica parola cu această sesiune. Dacă serverul răspunde că parola este corectă, un cookie de sesiune este setat cu răspunsul și utilizatorul este considerat autentificat.

A fost mai bine, dar aici am decis să nu ne oprim. Începând cu iPhone 5S în telefoane și Tablete Apple A apărut scanerul de amprentă TouchID și a apărut versiuni iOS 8 lucru cu el este disponibil și aplicații terță parte. De fapt, aplicația nu are acces la amprentă, dar dacă amprenta este corectă, atunci secțiunea suplimentară Keychain devine disponibilă pentru aplicație. De asta am profitat. A doua parte a secretului este plasată în intrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scenariul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.

Dar a devenit incredibil de convenabil pentru utilizator: deschide aplicația, pune degetul, scanează codul QR de pe ecran și se autentifică în browserul de pe computer! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi această schemă mult mai convenabilă decât introducerea manuală a două parole.

Este discutabil cât de tehnic este autentificarea cu doi factori, dar, în realitate, trebuie totuși să ai un telefon și să ai o amprentă validă pentru a o trece cu succes, așa că credem că am fost destul de buni să scăpăm de factorul cunoaștere, înlocuindu-l. cu biometrie. Înțelegem că ne bazăm pe securitatea ARM TrustZone care stă la baza iOS Secure Enclave și credem că acest moment acest subsistem poate fi considerat de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele autentificării biometrice: o amprentă nu este o parolă și nu poate fi înlocuită dacă este compromisă. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu comoditatea, iar utilizatorul însuși are dreptul de a alege raportul dintre unul și celălalt care este acceptabil pentru el.

Permiteți-mi să vă reamintesc că acesta este încă beta. Acum, când activați autentificarea cu doi factori, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este aranjată criptarea bazei de date de parole. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.

Iată ce avem. Se pare că a ieșit bine, dar tu fii judecătorul. Vom fi bucuroși să auzim feedback și recomandări și noi înșine vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem și autentificarea cu doi factori. Rețineți că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, erorile găsite în ele sunt plătite de două ori ca bonus în cadrul programului Bug Bounty.

Etichete: Adăugați etichete