Meniul
AcasăBrowsere

Autentificare - ce este și de ce autentificarea cu doi factori este acum utilizată pe scară largă. Autentificare cu doi factori (Yandex). Cum să dezactivați autentificarea cu doi factori

Ca să-ți dai seama ce este autentificare cu doi factoriși cum este implementat de obicei, ar trebui să aflați ce este autentificarea în general. Pentru a rămâne simplu, autentificarea este procesul prin care un utilizator demonstrează că este exact cine a spus că este.

De exemplu, atunci când vă conectați la sistem, introduceți numele de utilizator și parola și, prin urmare, dovedesc că cunoașteți cheia secretă, ceea ce înseamnă că confirmați că sunteți dvs. și nu un străin. În acest caz, cunoașterea parolei este așa-numitul „factor de autentificare”.

Dar parola poate fi foarte simplă, iar un atacator o poate ghici cu ușurință sau poate fi pur și simplu pe o bucată de hârtie sub tastatură (ceea ce, desigur, este greșit). Introducerea unei parole va permite unui atacator să demonstreze sistemului că cunoaște parola și, prin urmare, are dreptul de a utiliza acest sistem.

Prin urmare, pentru a proteja sistemul de astfel de situații, se obișnuiește să se utilizeze simultan doi factori de autentificare: de exemplu, o parolă și un smart card. În acest caz, al doilea factor de autentificare va fi faptul de a deține un smart card. Sistemul vă va verifica parola și cardul inteligent și, dacă totul este corect, vă va permite să intrați în sistem.

Autentificare cu doi factori și semnătură digitală electronică

Destul de des, autentificarea cu doi factori este utilizată pentru semnăturile electronice. O semnătură digitală pe un document este de obicei similară cu o semnătură scrisă de mână pe un document pe hârtie, așa că este foarte important ca semnătura dvs. electronică să nu fie pusă de atacatori în locul dvs.

Cel mai adesea, pentru a vă securiza semnătura electronică, aceasta este scrisă (mai precis, un certificat de semnătură electronică) pe un token. Jeton este un dispozitiv special care este adesea folosit pentru stocarea certificatelor de semnătură electronică. Semnătura ta electronică de pe token este protejată prin parolă, așa că, chiar dacă este furată, atacatorii nu o vor putea folosi. În acest caz, primul factor de autentificare va fi faptul de a deține tokenul, iar al doilea va fi cunoașterea parolei de acces la semnătura electronică de pe token.

Pentru a stoca certificate de semnătură electronică, vă recomandăm următoarele modele de token:

Autentificare cu doi factori pentru autentificare

Adesea, organizațiile stochează pe computerele lor date foarte importante, care pot constitui un secret comercial, care, desigur, pot fi vânate de concurenți și alți atacatori. Și utilizarea parolelor obișnuite nu este suficientă pentru a garanta securitatea informațiilor.

Pentru a proteja datele de pe computerele angajaților dvs., sunt utilizate două abordări de autentificare:

  • protejați procesul de conectare

Ca parte a acestei abordări, pe computer este instalat un produs software, care începe să necesite un token atunci când se conectează și, de asemenea, asigură că tokenul este inserat în orice moment. Dacă eliminați jetonul, computerul se va bloca imediat.

Această metodă este bună de utilizat acolo unde spațiile sunt protejate și nimeni nu poate fura fizic computerul sau hard disk-ul acestuia.

  • protejați toate datele de pe computer

Există, de asemenea, o modalitate de a cripta toate datele de pe un computer și, atunci când computerul pornește, solicitați utilizatorului să introducă o parolă și să introducă un token. Dacă parola este incorectă sau simbolul este incorect, atunci datele pur și simplu nu vor fi decriptate și, chiar dacă sunt furate, atacatorul nu va putea folosi informațiile de pe computer.

Bună ziua, dragi cititori ai site-ului blogului. Aș dori să continui subiectul interpretării în cuvinte simple a termenilor uzuali care se găsesc peste tot în epoca noastră informatică. Puțin mai devreme deja, precum și despre și despre.

Astăzi avem o tură autentificare. Ce înseamna cuvantul asta? Este acest concept diferit de autorizare sau identificare? Ce metode de autentificare există, cât de sigure sunt, de ce pot apărea erori și de ce este mai bună autentificarea cu doi factori decât autentificarea cu un singur factor?

Interesant? Atunci haideți să continuăm și voi încerca să nu vă dezamăgesc.

Ce este autentificarea?

De fapt, aceasta este o procedură care este bine cunoscută nu numai nouă (locuitorii moderni), ci și strămoșilor noștri îndepărtați (aproape din timpuri imemoriale).

Ca să spun pe scurt, atunci autentificarea este procesul de verificare a autenticității(autenticitate). Și nu contează în ce fel (există cel puțin mai multe tipuri). Cel mai simplu exemplu. Intri în apartament folosind cheia pentru a deschide încuietoarea. Și dacă ușa se deschide, înseamnă că ați trecut cu succes autentificarea.

Să descompunem totul în acest exemplu:

  1. Cheia lacătului este identificatorul dvs. (introdusă și întoarsă - sunteți identificat). În lumea computerelor, acest lucru este analog cu faptul că ai spus sistemului al tău.
  2. Procesul de deschidere (potrivire cheie și lacăt) este autentificarea. În lumea computerelor, acest lucru este similar cu trecerea prin etapa de autentificare (verificarea parolei introduse).
  3. Deschiderea ușii și intrarea în apartament este deja autorizație (obținerea accesului). Online este o intrare la un site, serviciu, program sau aplicație.

După cum probabil ați înțeles deja, autentificarea cu doi factori în acest exemplu va primi răspunsul prin prezența unei a doua încuietori pe ușă (sau prezența unui câine în casă, care își va efectua deja propria autentificare pe baza semnelor biometrice - miros, aspect, prezență de bunătăți în buzunar) .

Încă un exemplu. Ștampilă pe un document (în pașaport, sigiliu de ceară pe litere vechi).

După cum puteți vedea, totul este extrem de simplu. Dar astăzi acest termen este cel mai adesea înțeles ca autentificare electronică, adică procesul de conectare la site-uri web, servicii, sisteme, programe și chiar conectarea la rețeaua WiFi de acasă. Dar, în esență, există puține diferențe față de exemplul dat.

În versiunea electronică, veți avea, de asemenea, un identificator (în cel mai simplu caz) și o parolă (analog cu o lacăt) necesare pentru autentificare (autentificare la sistem, obținerea accesului la Internet, autentificarea la un serviciu online etc.) .

După cum am spus mai sus, există mai multe tipuri de autentificatori:

După cum puteți vedea, nu există un ideal. Prin urmare, așa-numita autentificare în doi factori (în doi pași) este adesea folosită pentru a spori securitatea. Să ne uităm la un exemplu.

Autentificare în doi factori (2FA - în doi pași).

De exemplu, în și alte servicii legate de accesul la bani, autentificarea cu doi factori se reduce la următoarele:


Ce dă asta? Îmbunătățiți în mod semnificativ securitatea și reduceți riscul ca fraudatorii să se autentifice pentru dvs. Faptul este că interceptarea unei parole unice este mult mai dificilă decât găsirea unei parole cu mai multe utilizări. În plus, obținerea accesului la un telefon mobil (și pur și simplu aflarea numărului acestuia) este mult mai dificilă decât să caute prin computer sau e-mail.

Dar acesta este doar unul dintre exemple de autentificare cu doi factori (2FA). Să luăm cardurile bancare deja menționate mai sus. Și aici sunt folosite două etape - autentificarea cu ajutorul dispozitivului (codul de identificare pe card) și prin introducerea unei parole personale (cod PIN).

Un alt exemplu din filme este atunci când se introduce prima dată codul de acces, apoi se verifică retina sau amprenta. În teorie, puteți face trei etape, sau patru sau cinci. Totul este determinat de oportunitatea de a menține între paranoia crescută și un număr rezonabil de verificări, care în unele cazuri trebuie făcute destul de des.

În cele mai multe cazuri, combinarea a doi factori este suficientă și nu provoacă inconveniente foarte mari cu utilizarea frecventă.

Erori de autentificare

Când utilizați oricare dintre tipurile de autentificatoare menționate mai sus (parole, dispozitive și elemente biometrice), pot apărea erori. De unde vin și cum pot fi evitate și rezolvate? Să ne uităm la un exemplu.

Să presupunem că doriți să conectați un computer sau un smartphone la rețeaua wireless pe care o aveți în apartament. Pentru a face acest lucru, vi se va solicita să introduceți numele rețelei (identificatorul) și parola de acces (autentificatorul). Dacă totul este introdus corect, vei fi autorizat și vei avea acces la Internet de pe dispozitivul conectat.

Dar uneori poți afișează un mesaj de eroare de autentificare. Ce ar trebui să faci în acest caz?

  1. Ei bine, în primul rând, verificați dacă datele pe care le introduceți sunt corecte. Adesea, la introducere, parola este închisă cu asteriscuri, ceea ce face dificilă înțelegerea cauzei erorii.
  2. Deseori sunt folosite parole cu caractere în cazuri diferite (cu majuscule și mici), de care nu toată lumea le ia în considerare la tastare.
  3. Uneori, eroarea poate fi cauzată de un sistem de autentificare cu doi factori care nu este complet evident. De exemplu, routerul poate avea blocarea accesului activată. În acest caz, sistemul verifică nu numai dacă numele de utilizator și parola sunt introduse corect, ci și dacă adresa Mac a dispozitivului (de la care vă conectați) se potrivește cu lista de adrese permise. În acest caz, va trebui să intrați în setările routerului (prin intermediul unui browser de pe un computer conectat prin Lan) și să adăugați adresa acestui dispozitiv în setările de securitate a rețelei wireless.

Sistemele biometrice pot produce, de asemenea, erori de recunoaștere din cauza imperfecțiunilor lor sau din cauza modificărilor datelor dumneavoastră biometrice (răgușeală, umflare, ochi amorțiți, degetul tăiat). Același lucru se poate întâmpla cu aplicațiile utilizate pentru autentificarea cu doi factori. Pentru aceste cazuri un sistem de obținere accesul folosind coduri de rezervă. În esență, acestea sunt parole unice care vor trebui tipărite și stocate într-un sertar de birou (seif).

Dacă nu vă puteți autentifica folosind metoda obișnuită (este afișată o eroare), atunci codurile de rezervă vă vor permite să vă conectați. Pentru următoarea autentificare va trebui să utilizați un nou cod de rezervă. Dar acest salvator are și cealaltă față a monedei - dacă aceste coduri de rezervă sunt furate sau ademenite (cum mi s-a întâmplat mie), atunci ele vor funcționa ca o cheie principală (cheie principală universală) și toată protecția va dispărea.

Multă baftă! Ne vedem curând pe paginile site-ului blogului

Puteți viziona mai multe videoclipuri accesând
");">

S-ar putea să fiți interesat

Autentic - ce este, ce înseamnă autenticitate? Cont Yandex - înregistrare și modul de utilizare a serviciului Cum să vă ștergeți pagina de pe Odnoklassniki
Cum să restabiliți o pagină în Contact (dacă accesul este pierdut, șters sau blocat)
Cum să puneți o parolă într-un folder (arhivați sau protejați-o prin parolă în Windows) De ce VK nu se va încărca și browserul nu se va conecta la VKontakte Identificare - ce este și cum se confirmă identitatea

In prezent, unul dintre cele mai discutate si evidentiate subiecte in domeniul asigurarii protectiei maxime este protecție cu doi factori. Datorită numărului tot mai mare de servicii și atacuri asupra conturilor de utilizator, trebuie să ne uităm mai atent la ce este, cum funcționează și de ce merită să folosim acest tip de protecție.

Ce este protecția cu doi factori?

Protecție cu doi factori- metoda de identificare in orice serviciu, la solicitarea a doua tipuri diferite de autentificare. Această protecție pe două straturi va oferi o conectare mai sigură și va face mai dificilă interceptarea datelor dvs. de către terți. În practică, arată astfel: primul pas este autentificarea și parola; a doua etapă este un cod special care vine pe telefonul mobil sau pe e-mail (cheile USB speciale sau datele biometrice sunt folosite mai rar). Cu cuvinte simple: pentru a ajunge undeva, trebuie să confirmați faptul că faceți o autentificare autorizată la sistem. Știți cum funcționează un seif bancar cu seifuri individuale, unde aveți o cheie și cealaltă merge la un angajat al băncii? Așadar, aici, o cheie este în memoria ta, a doua vine pe telefon sau pe e-mail.

In orice caz, protecție cu doi factori nu este un panaceu pentru hacking, dar va complica foarte mult sarcina atacatorilor care doresc să obțină acces la contul tău; și va elimina, de asemenea, deficiențele sistemului clasic de protecție. Metoda de conectare folosind un login și o parolă provoacă următorul paradox: cu cât parola este mai lungă și mai complexă, cu atât este mai dificil de ghicit, dar în același timp mai greu de reținut; iar cu cât parola este mai simplă și mai banală, cu atât este mai ușor să o piratați; în plus, numărul copleșitor de utilizatori setează aceleași parole pentru autentificare în diverse servicii. Folosind protecție cu doi factori, chiar dacă un atacator ghicește, află sau îți fură parola, va trebui să-ți fure și telefonul mobil sau să obțină acces la căsuța poștală (care, de altfel, poate fi protejată și printr-o metodă de autentificare cu doi factori).

Deși omul modern, încercând să înlocuiască sistemul de autentificare prin parole înrădăcinate cu ceva mai interesant și mai de încredere, datorită simplității sale, nu a putut scăpa complet de paradigma cu care toată lumea este familiarizată. Și examinând diferitele opțiuni, trebuie să fim de acord că în timpul nostru protecție cu doi factori oferă cel mai înalt nivel de protecție. Un alt avantaj este faptul că, dacă încercați o conectare neautorizată la sistem, veți primi o notificare, iar dacă în acel moment nu urma să vă conectați la contul dvs., atunci este timpul să vă gândiți la puterea vechii parole și prezența programelor malware pe computerul personal.

Unde și în ce cazuri ar trebui activată protecția în doi pași?

Câte date de conectare și parole pentru diferite conturi și căsuțe poștale sunt disponibile public? Câte fotografii sincere și personale ale unor personalități celebre au ajuns la publicul? Chiar și un exemplu atât de simplu arată cât de nesigură este metoda unei parole permanente.

Dacă serviciul pe care îl utilizați conține date personale importante și vă solicită să îl instalați grad de protecție în două straturi, apoi fă-o fără ezitare. Cu toate acestea, dacă acesta este un fel de serviciu de găzduire a fișierelor sau forum, atunci cu greu aș complica totul. Dar în ceea ce privește rețelele sociale, online banking, căsuțele poștale sau serviciile de servicii, atunci cu siguranță da. Ați observat că băncile de vârf folosesc chiar și un nivel de protecție cu trei factori? Și anume: o parolă permanentă, o parolă temporară (pe un telefon mobil), precum și un apel de confirmare. La urma urmei, astfel de instituții suferă cele mai multe pierderi din cauza pătrunderii ilegale a serviciului.

Apropo, dacă aveți propriul site web și posibilitatea de a intra grad de protecție cu doi factori, apoi încearcă să-l folosești. La urma urmei, așa cum sa spus mai devreme: dacă prețuiești contul și conținutul acestuia, atunci consolidarea protecției va fi o decizie benefică pentru toată lumea.

Ce tipuri de protecție în doi pași există?

După cum am menționat mai devreme, resursele de internet care se respectă și rețelele VPN folosesc metode de protecție îmbunătățite, cum ar fi un cod prin SMS/apel către un telefon mobil, scrisori către e-mail, chei USB, carduri inteligente, apeluri. Dar, pe lângă ele, există și metode precum un generator de cod (un chei cu butoane și un ecran mic), tehnologia SecurID și alte metode specifice care sunt utilizate în principal de sectoarele corporative. Metodele de securitate mai vechi sunt de asemenea relevante, cum ar fi parolele TAN (Numărul de autentificare a tranzacției). Cel mai probabil, v-ați ocupat de această metodă atunci când, folosind Internet banking, vi s-a dat o bucată de hârtie cu parole pregenerate (parole de unică folosință). Apropo, chiar și nu cele mai progresive bănci folosesc protecție cu doi factori. Până la urmă, pentru a intra în serviciu folosești un card (prima cheie) și o parolă pe care le ai în cap (a doua cheie).

Să ne uităm la metodele de autentificare care sunt și mai neobișnuite pentru noi. Scanarea amprentelor, irisului, există chiar și acelea care sunt ghidate de „modelul” bătăilor inimii. Deși nu întâlnim astfel de metode în viața de zi cu zi, ele sunt totuși relevante și necesare în instituțiile foarte serioase. Sunt chiar testate tatuaje electromagnetice care, după exemplul cipurilor radio, pot servi drept element protecție cu doi factori. Sperăm că nu va dura mult de la idee până la implementare. Personal, nu m-ar deranja să fac asta.

Autentificarea cu doi factori Apple ID este o nouă tehnologie de securitate pentru contul dvs., asigurând că numai proprietarul îl poate accesa. Mai mult, chiar dacă altcineva cunoaște caracterele parolei pentru cont, tot nu se va putea conecta la sistem în locul proprietarului legal al ID-ului.

Utilizarea acestei tehnologii oferă acces la contul dvs. exclusiv de pe dispozitive de încredere - iPhone, tabletă sau MacBook. Când vă conectați pentru prima dată pe un gadget nou, va trebui să specificați două tipuri de date - caractere de parolă și un cod de verificare într-un format de 6 cifre. Simbolurile codurilor sunt actualizate automat pe aceste dispozitive. După introducerea acestuia, noul gadget va fi considerat de încredere. Să presupunem că, dacă aveți un iPhone, atunci când vă conectați pentru prima dată la contul dvs. pe un MacBook nou achiziționat, va trebui să introduceți caracterele parolei și un cod de verificare, care va apărea automat pe afișajul iPhone-ului.

Deoarece caracterele de parolă nu sunt suficiente pentru a accesa un cont, se folosesc și alte tipuri de verificare, indicatorul de securitate al numărului de identificare este crescut semnificativ.

După conectare, codul nu va mai fi solicitat pe acest dispozitiv până când vă deconectați și toate informațiile de pe gadget sunt șterse sau caracterele parolei trebuie schimbate (și din motive de securitate). Dacă vă conectați prin rețea, puteți face browserul de încredere și data viitoare când lucrați cu același dispozitiv nu va trebui să introduceți codul.

Gadget-uri dovedite: ce sunt acestea?

Acesta nu poate fi orice dispozitiv „Apple” - doar iPhone-uri, iPad-uri cu sistemul de operare Touch versiunea 9 sau mai nouă, precum și MacBook-uri cu sistemul de operare Capitan sau altele mai recente. Sistemele acestor gadgeturi trebuie să fie conectate utilizând verificarea în doi factori.

Pe scurt, acesta este un dispozitiv despre care Apple știe sigur cui aparține și prin care îți poți verifica identitatea afișând un cod de confirmare atunci când te conectezi din alt gadget sau browser.

Numere de telefon verificate

Acestea sunt cele care pot fi folosite pentru a primi coduri de confirmare prin mesaje text sau apeluri. Trebuie să confirmați cel puțin un număr pentru a accesa identificarea cu doi factori.

De asemenea, puteți confirma alte numere - acasă sau prieten/rudă. Când nu există temporar acces la cel principal, le puteți folosi.

Stabilirea regulilor

Dacă dispozitivul are versiunea de SO 10.3 sau mai veche, algoritmul acțiunilor va fi următorul:

  • Accesați secțiunea de setări, la elementul parolă și securitate.
  • Faceți clic pe secțiune pentru a activa identificarea cu doi factori.
  • Faceți clic pe opțiunea de continuare.

Dacă gadgetul are OS 10.2 sau o versiune anterioară, pașii vor fi următorii:

  • Accesați setările iCloud.
  • Selectați numărul dvs. de identificare și accesați secțiunea parole de securitate.
  • Faceți clic pe opțiunea pentru a activa autentificarea cu doi factori.
  • Făcând clic pe elementul de continuare.



Cum să dezactivezi autentificarea cu doi factori în ID-ul Apple?

Mulți oameni se întreabă dacă această tehnologie poate fi dezactivată. Desigur ca da. Dar amintiți-vă că, după oprire, contul va fi protejat slab - numai cu simboluri de parolă și întrebări.

Pentru a o dezactiva, va trebui să vă conectați la elementul de editare de pe pagina contului dvs. (în fila de securitate). Apoi faceți clic pe secțiune pentru a dezactiva identificarea cu doi factori. După ce ați adresat noi întrebări de securitate și sunteți de acord cu data de naștere specificată, tehnologia este dezactivată.

Dacă cineva îl reactivează pentru un ID fără știrea proprietarului de drept, va fi posibil să îl dezactiveze prin e-mail. Apoi, ca și înainte, trebuie să faceți clic pe secțiunea dezactivare autentificare din partea de jos a mesajului pe care l-ați primit mai devreme prin e-mail. Link-ul va fi activ încă două săptămâni. Făcând clic pe acesta, vă va permite să restabiliți setările anterioare de securitate a ID-ului și să controlați contul.

A fost o postare rară pe blogul Yandex, în special una legată de securitate, fără a menționa autentificarea cu doi factori. Ne gândim de mult timp la cum să întărim în mod corespunzător protecția conturilor de utilizator și în așa fel încât să poată fi folosit fără toate inconvenientele care includ cele mai comune implementări în prezent. Și ei, din păcate, sunt incomod. Potrivit unor date, pe multe site-uri mari procentul utilizatorilor care au activat mijloace suplimentare de autentificare nu depășește 0,1%.

Se pare că acest lucru se datorează faptului că schema comună de autentificare cu doi factori este prea complexă și incomodă. Am încercat să venim cu o metodă care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi vă prezentăm versiunea beta.

Sperăm să devină mai răspândit. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.

După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală Yandex, în Mail și Passport. Pentru a vă conecta la contul dvs., trebuie să citiți codul QR prin intermediul aplicației - și asta este tot. Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.

Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea normală cu autentificare și parolă. Dacă are succes, site-ul verifică dacă îi „place” această sesiune de utilizator sau nu. Și, dacă nu vă place, îi cere utilizatorului să se „re-autentifice”. Există două metode comune de „pre-autentificare”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe smartphone. Practic, TOTP conform RFC 6238 este folosit pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea pierde și „pre-autentificarea”.

Ambele metode ─ trimiterea de SMS-uri și generarea unei parole ─ sunt dovada dreptului de proprietate asupra telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în prima etapă este factorul de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în doi pași, ci și cu doi factori.

Ce ni s-a părut problematic în această schemă?

Să începem cu faptul că computerul utilizatorului obișnuit nu poate fi numit întotdeauna un model de securitate: dezactivarea actualizărilor Windows, o copie piratată a unui antivirus fără semnături moderne și software de origine dubioasă - toate acestea nu măresc nivelul de protecție. Conform evaluării noastre, compromiterea computerului unui utilizator este cea mai răspândită metodă de „deturpare” a conturilor (și recent a existat o altă confirmare a acestui lucru), și de asta vrem să ne protejăm în primul rând. În cazul autentificării cu doi factori, dacă presupuneți că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie să selecteze doar al doilea factor. În cazul implementărilor comune ale RFC 6238, al doilea factor este de 6 cifre zecimale (iar maximul permis de specificație este de 8 cifre). Conform calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să găsească al doilea factor dacă a luat cumva conștient de primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.

A doua problemă este opacitatea judecății serviciului cu privire la calitatea sesiunii utilizator și luarea unei decizii cu privire la necesitatea „pre-autentificării”. Și mai rău, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă un atacator știe pe ce bază ia serviciul o decizie cu privire la legitimitatea unei sesiuni, el poate încerca să falsifice aceste date. Ca regulă generală, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, ținând cont de adresa IP (și derivatele acesteia din numărul de sistem autonom care identifică furnizorul și locația pe baza geobazei) și datele browserului, de exemplu, antetul User Agent și un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul unui utilizator, el nu poate doar să fure toate datele necesare, ci și să folosească adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi public într-o cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirea din punct de vedere al serviciului) a furnizorului acestui serviciu. cafenea și, de exemplu, văruirea tuturor cafenelelor din oraș. Am vorbit despre cum funcționează un sistem de detectare a anomaliilor și ar putea fi folosit, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru a judeca cu încredere o anomalie. Mai mult, același argument distruge ideea de computere „de încredere”: un atacator poate fura orice informație care influențează judecata de încredere.

În cele din urmă, autentificarea în doi pași este pur și simplu incomod: cercetarea noastră de utilizare arată că nimic nu irită mai mult utilizatorii decât un ecran intermediar, clicuri suplimentare pe butoane și alte acțiuni „neimportante” din punctul lor de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei ar trebui să fie mult mai mare decât este posibil în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.

Autentificarea multifactorială este definită prin atribuirea elementelor de autentificare (de fapt, se numesc factori) uneia dintre cele trei categorii:

  1. Factori de cunoaștere (acestea sunt parolele tradiționale, codurile PIN și tot ce seamănă cu ele);
  2. Factori de proprietate (în schemele OTP utilizate, acesta este de obicei un smartphone, dar poate fi și un token hardware);
  3. Factori biometrici (amprenta este cea mai frecventă acum, deși cineva își va aminti episodul cu personajul lui Wesley Snipes din filmul Demolition Man).

Dezvoltarea sistemului nostru

Când am început să lucrăm la problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a mai discutat în culise), prima idee a fost să luăm metode standard de autentificare și să le aplicăm. pentru noi. Am înțeles că nu ne putem baza pe milioane de utilizatori pentru a cumpăra un token hardware, așa că am amânat această opțiune pentru unele cazuri exotice (deși nu o renunțăm complet, poate vom reuși să venim cu ceva interesant). Nici metoda SMS nu a putut fi răspândită: este o metodă de livrare foarte nesigură (în cel mai crucial moment, SMS-ul poate fi întârziat sau să nu ajungă deloc), iar trimiterea SMS-urilor costă bani (iar operatorii au început să-și mărească prețul) . Am decis că utilizarea SMS-urilor este pentru bănci și alte companii low-tech și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea a fost mică: folosiți smartphone-ul și programul din el ca al doilea factor.

Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul PIN (primul factor) și are un token hardware sau software (într-un smartphone) care generează un OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.

În opinia noastră, principalul dezavantaj al acestei scheme este același cu cel al autentificării în doi pași: dacă presupunem că desktopul utilizatorului este compromis, atunci introducerea codului PIN o dată va duce la dezvăluirea acestuia, iar atacatorul poate găsi doar al doilea. factor.

Am decis să mergem pe o altă cale: întreaga parolă este generată din secret, dar doar o parte din secret este stocată în smartphone, iar o parte este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, iar parola rămâne în capul utilizatorului și este un factor de cunoaștere.

Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.

Deci, avem un program pentru un smartphone în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca o cheie HMAC, care este folosită pentru a semna ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC este convertită într-o formă care poate fi citită și voilà ─ aici este parola unică!

După cum sa menționat mai devreme, RFC 4226 specifică că rezultatul HMAC trebuie trunchiat la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, ne-am dorit să menținem ușurința de utilizare (la urma urmei, amintiți-vă, vrem să facem un sistem care să fie folosit de oamenii obișnuiți, și nu doar de pasionații securității), ca un compromis în versiunea actuală a sistemului , am ales să trunchiem alfabetul latin la 8 caractere. Se pare că 26^8 parole valabile 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ni se potrivește (sau pe Habré apar sfaturi prețioase despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.

Aflați mai multe despre puterea unor astfel de parole

De fapt, pentru literele latine care nu țin cont de majuscule, numărul de opțiuni pe caracter este de 26; pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26+26+10=62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatoare. Acest lucru va fi cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere formată din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere formată din litere mari, minuscule și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.

Magie, lipsă de parolă, aplicații și pașii următori

În general, ne-am fi putut opri acolo, dar am vrut să facem sistemul și mai comod. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!

De aceea am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone-ul său, introduce codul PIN în ea și scanează codul QR pe ​​ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!

Cum functioneazã?

Numărul de sesiune este încorporat în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând un răspuns de la server pentru a verifica parola pentru această sesiune. Dacă serverul răspunde că parola este corectă, cookie-urile de sesiune sunt setate împreună cu răspunsul și utilizatorul este considerat autentificat.

A fost mai bine, dar am decis să nu ne oprim nici aici. Începând cu iPhone 5S, telefoanele și tabletele Apple au introdus scanerul de amprentă TouchID, iar în iOS versiunea 8, îl pot folosi și aplicațiile de la terți. În realitate, aplicația nu obține acces la amprentă, dar dacă amprenta este corectă, atunci secțiunea suplimentară Keychain devine disponibilă aplicației. Noi am profitat de asta. A doua parte a secretului este plasată în înregistrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scenariul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.

Dar a devenit incredibil de convenabil pentru utilizator: deschide aplicația, își plasează degetul, scanează codul QR de pe ecran și se trezește autentificat în browserul de pe computerul său! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi această schemă mult mai convenabilă decât introducerea manuală a două parole.

Este discutabil cât de tehnic este aceasta autentificare cu doi factori, dar în realitate trebuie totuși să ai un telefon și să ai amprenta corectă pentru a o finaliza cu succes, așa că credem că am avut destul de mult succes în eliminarea factorului cunoaștere, înlocuindu-l cu biometrice. . Înțelegem că ne bazăm pe securitatea ARM TrustZone care stă la baza iOS Secure Enclave și credem că acest subsistem poate fi considerat în prezent de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele legate de autentificarea biometrică: amprenta nu este o parolă și nu poate fi înlocuită dacă este compromisă. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu comoditatea, iar utilizatorul însuși are dreptul de a alege raportul dintre unul și celălalt care este acceptabil pentru el.

Permiteți-mi să vă reamintesc că aceasta este încă o versiune beta. Acum, când autentificarea cu doi factori este activată, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este criptată baza de date a parolelor. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.

Asta este ceea ce avem. Se pare că a ieșit bine, dar tu fii judecătorul. Vom fi bucuroși să auzim feedback-ul și recomandările dvs. și vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem acum autentificare cu doi factori. Nu uitați că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, se plătește un bonus dublu pentru erorile găsite în ele ca parte a programului Bug Bounty.

Etichete: Adăugați etichete