Autentificare cu doi factori în Yandex. Autentificare în doi factori Yandex - protecție suplimentară a contului
Yandex a lansat un sistem de autorizare cu doi factori și a lansat aplicația Yandex.Key pentru a vă conecta la contul dvs. fără a fi nevoie să vă amintiți și să introduceți o parolă complexă. Aplicația este deja disponibilă pe Android și iOS, iar conectarea la ea pe modelele noi de iPhone poate fi protejată cu un scaner de amprente.
Există mai multe moduri de a vă conecta la contul dvs. prin Yandex.Key, dar mai întâi trebuie să mergeți la pagina de setări yandex.ru/promo/2fa și să activați autentificarea cu doi factori.
Confirmați numărul de telefon cu codul primit prin SMS.
Instalați aplicația Yandex.Key pe smartphone sau tabletă.
Lansați aplicația și scanați codul QR pe site-ul Yandex. Dacă dispozitivul dvs. mobil nu are cameră, faceți clic pe „Afișați cheia secretă” și introduceți caracterele afișate în aplicație.
Creați un cod PIN și introduceți-l pe site sau aplicație.
Introduceți parola unică generată de aplicație pe site. Această parolă este valabilă doar 30 de secunde, apoi apare una nouă. Pentru a finaliza configurarea, va trebui să introduceți din nou parola permanentă a contului.
Acești pași trebuie finalizați o singură dată. După activarea autentificării cu doi factori, va trebui să reautorizați pe site-urile web Yandex pe toate dispozitivele. Puteți crea parole separate pentru a accesa aplicațiile.
Acum va apărea un buton cu o pictogramă de cod QR pe pagina de conectare a contului Yandex.
Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.
- Conectați-vă folosind codul QR
- Transferul Yandex.Key
- Parola principala
Conectați-vă la un serviciu sau aplicație Yandex
Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.
Notă.
Trebuie să introduceți parola unică în timp ce aceasta este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați noua parolă.
Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați specificat la configurarea autentificării cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.
Yandex.Key nu verifică codul PIN introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, parolele create se dovedesc a fi incorecte și nu vă veți putea conecta cu ele. Pentru a introduce PIN-ul corect, ieșiți din aplicație și lansați-o din nou.
Caracteristici ale parolelor unice:
Conectați-vă folosind codul QR
Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.
Faceți clic pe pictograma codului QR din browser.
Dacă nu există o astfel de pictogramă în formularul de autentificare, atunci vă puteți conecta la acest serviciu numai folosind o parolă. În acest caz, vă puteți autentifica folosind codul QR din pașaport, apoi mergeți la serviciul dorit.
Introduceți codul PIN în Yandex.Key și faceți clic pe Conectare folosind codul QR.
Îndreptați camera dispozitivului către codul QR afișat în browser.
Yandex.Key va recunoaște codul QR și va trimite datele de conectare și parola unică către Yandex.Passport. Dacă trec verificarea, ești automat conectat la browser. Dacă parola transmisă este incorectă (de exemplu, deoarece ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre parola incorectă.
Conectarea cu un cont Yandex la o aplicație sau un site web terță parte
Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă separată pentru fiecare aplicație.
Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.
Transferul Yandex.Key
Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic pe butonul Înlocuirea dispozitivului.
Mai multe conturi în Yandex.Key
Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt furnizate pe pagina despre crearea codurilor de verificare care nu sunt pentru Yandex.
Pentru a elimina un link de cont către Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, contul care se leagă la Yandex.Key va fi șters.
Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea obține o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.
Amprenta digitală în loc de codul PIN
Puteți utiliza amprenta digitală în loc de codul PIN pe următoarele dispozitive:
smartphone-uri care rulează Android 6.0 și un scaner de amprente;
iPhone incepand de la modelul 5s;
iPad care începe cu Air 2.
Notă.
Pe smartphone-urile și tabletele iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați o parolă principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Passcode.
Pentru a utiliza activarea verificării amprentei:
Parola principala
Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.
Cu o parolă principală puteți:
faceți astfel încât, în loc de amprentă, să puteți introduce doar parola principală Yandex.Key și nu codul de blocare a dispozitivului;
Copie de rezervă a datelor Yandex.Key
Puteți crea o copie de rezervă a datelor cheii pe serverul Yandex, astfel încât să o puteți restaura dacă vă pierdeți telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie la momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă; fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.
Pentru a prelua date dintr-o copie de rezervă, trebuie să:
aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;
amintiți-vă parola pe care ați setat-o pentru a cripta backup-ul.
Atenţie. Copia de rezervă conține doar datele de conectare și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.
Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi șters automat dacă nu îl utilizați în decurs de un an de la creare.
Crearea unei copii de rezervă
Selectați un articol Creați o copie de rezervăîn setările aplicației.
Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „71234567890” „380123456789”) și faceți clic pe Următorul.
Yandex va trimite un cod de confirmare la numărul de telefon introdus. Odată ce ați primit codul, introduceți-l în aplicație.
Creați o parolă care va cripta copia de rezervă a datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.
Introduceți parola pe care ați creat-o de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și o va raporta.
Restaurare dintr-o copie de rezervă
Selectați un articol A restabili din fisierul de backupîn setările aplicației.
Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „71234567890” „380123456789”) și faceți clic pe Următorul.
Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. Odată ce ați primit codul, introduceți-l în aplicație.
Asigurați-vă că data și ora la care a fost creată copierea de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.
Introduceți parola pe care ați setat-o la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați backup-ul.
Yandex.Key va decripta datele de rezervă și vă va anunța că datele au fost restaurate.
Modul în care parolele unice depind de timpul precis
Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora de pe dispozitiv este setată incorect, aplicația va face o ajustare pentru aceasta. Dar în unele situații, chiar și după corectare și cu codul PIN corect, parola unică va fi incorectă.
Vă voi arăta cum să configurați autentificarea cu doi factori în Yandex, acest lucru vă va ajuta să vă protejați contul Yandex de hacking.
Accesați gestionarea parolelor la passport.yandex.ru/profile/access. Aici vă puteți schimba parola sau puteți activa o protecție suplimentară pentru contul dvs. - autentificare cu doi factori. Faceți clic pe glisorul de autentificare cu doi factori pentru a-l activa.
Activarea autentificării cu doi factori are loc în mai mulți pași. Va trebui să deschideți simultan Yandex.Passport și aplicația mobilă Yandex.Key. După finalizarea configurării, trebuie să vă conectați din nou pe toate dispozitivele.
Faceți clic pe porniți configurarea.
Iată numărul dvs. de telefon către care vor fi trimise codurile pentru configurare. Aici puteți schimba numărul de telefon asociat contului dvs. Yandex.
Configurarea autentificării cu doi factori. Pasul 1 din 5.
Confirmați numărul dvs. de telefon. Acesta este numărul tău principal pe Yandex. Veți avea nevoie de el dacă pierdeți accesul la contul dvs. Faceți clic pe obține codul.
Un cod SMS de la Yandex va fi trimis la numărul dvs.
Introduceți codul SMS de la Yandex aici și faceți clic pe confirmare.
Configurarea autentificării cu doi factori. Pasul 2 din 5.
Descărcați aplicația Yandex.Key. Acum accesați AppStore de pe iPhone sau iPad sau Play Store de pe smartphone-ul sau tableta Android și căutați aplicația Yandex.Key. Sau faceți clic pentru a primi un link către telefonul dvs.
Se va deschide App Store sau Play Market, faceți clic pe descărcare pentru a descărca aplicația Yandex.Key și a o instala pe smartphone sau tabletă.
Dacă trebuie să introduceți parola ID-ului Apple, introduceți parola ID-ului Apple.
După 30 de secunde aplicația va fi descărcată pe smartphone-ul tău, lansează-o făcând clic pe ea.
Configurarea autentificării cu doi factori. Pasul 3 din 5.
Îndreptați camera telefonului către codul QR și contul dvs. va fi adăugat automat în aplicație. Dacă codul nu reușește să citească, încercați din nou sau introduceți cheia secretă.
Să trecem din nou la smartphone.
Aplicația Yandex.Key creează parole unice pentru autentificarea la Yandex. Dacă ați început deja să configurați autentificarea cu doi factori pe computer, atunci faceți clic pe butonul „adăugați cont în aplicație”.
Faceți clic pe adăugați cont la aplicație.
Programul „Key” solicită accesul la „camera”. Faceți clic pe Permite pentru a acorda aplicației acces la camera de pe smartphone-ul dvs. pentru a scana codul QR de pe ecranul monitorului computerului.
Îndreptați camera către codul QR care este afișat pe monitorul computerului și așteptați ca contul să fie adăugat sau adăugați-l manual.
Gata. Codul QR a fost scanat. Aplicația Yandex.Key este gata de utilizare.
Acum să trecem la monitorul computerului.
Faceți clic pe Creați codul PIN.
Este necesar un cod PIN de fiecare dată când primiți o parolă unică în Yandex.Key, precum și pentru a restabili accesul la contul dvs. Păstrați codul PIN secret. Angajații serviciului Yandex nu-l întreabă niciodată.
Venim cu un cod PIN din patru cifre și facem clic pe Continuare.
Configurarea autentificării cu doi factori. Pasul 4 din 5.
Verificarea codului PIN. Asigurați-vă că vă amintiți codul PIN. Odată ce setarea este finalizată, aceasta nu poate fi modificată. Dacă introduceți codul PIN greșit în aplicație, aceasta va genera parole unice incorecte.
Introduceți codul PIN pe care l-ați creat mai devreme și faceți clic pe Verificare.
Să revenim la smartphone și la aplicația Yandex.Key. Introdu codul PIN pentru a primi o parolă unică.
După introducerea codului PIN, veți primi o parolă unică care va fi valabilă timp de 20 de secunde; în aceste 20 de secunde trebuie să o introduceți pe computer pentru a configura autentificarea cu doi factori. Dacă nu aveți timp să introduceți parola în 20 de secunde, aceasta se va schimba cu alta și așa mai departe. Introduceți parola care va fi afișată pe ecranul smartphone-ului dvs.
Ultimul pas. Introduceți parola din Yandex.Key.
Folosind codul PIN, veți primi o parolă unică în aplicație. Asigurați-vă că vă amintiți codul PIN; după finalizarea configurării, nu îl veți putea schimba.
Ce se va schimba după activarea autentificării cu doi factori:
- Vechea parolă nu va mai funcționa.
- Va trebui să reautorizați pe Yandex pe toate dispozitivele (servicii web și aplicații mobile).
- Va fi posibil să accesați serviciile web Yandex folosind un cod QR fără a introduce o parolă. Dacă nu puteți citi codul, utilizați o parolă unică de la Yandex.Key.
- Veți putea accesa aplicațiile mobile Yandex folosind o parolă unică. Îl puteți copia de pe Yandex.Key cu o apăsare lungă.
- Pentru alte programe asociate contului dvs. (de exemplu, clienți de e-mail sau colectori de corespondență), obțineți parole de aplicație în Pașaportul dvs.
Introduceți parola unică care se afișează pe ecranul smartphone-ului dvs. și faceți clic pe finalizare configurare.
Acum, după ce ați introdus parola unică, trebuie să introduceți parola veche a contului. Yandex trebuie să se asigure că o astfel de modificare serioasă a setărilor de securitate este făcută de proprietarul contului.
Introduceți vechea parolă pentru contul Yandex și faceți clic pe OK.
Gata. Autentificarea cu doi factori este completă. V-ați protejat contul cu parole unice. Acum trebuie să reautorizați pe Yandex pe toate dispozitivele. Dacă utilizați programe de e-mail, de exemplu, asigurați-vă că obțineți parole de aplicație pentru acestea.
Faceți clic pe închidere.
Acum, dacă utilizați o cutie poștală a contului Yandex pe smartphone, trebuie să creați o parolă pentru aceasta.
Selectați tipul de aplicație > Program de e-mail.
Și selectați sistemul de operare al programului dvs. de e-mail. Folosesc un iPhone, așa că aleg iOS.
Și faceți clic pe Creare parolă pentru a crea o parolă pentru programul de e-mail de pe smartphone.
Parola dvs. de e-mail iOS a fost generată.
Cum se utilizează parola:
- Pentru a oferi unei aplicații acces la datele dvs., specificați această parolă în setările acesteia.
- Nu este nevoie să vă amintiți parola: veți avea nevoie de ea o singură dată. Când vă schimbați parola pe Yandex, va trebui să obțineți o nouă parolă pentru aplicație.
- Parola aplicației este afișată o singură dată. Dacă închideți pagina și nu aveți timp să o utilizați, obțineți una nouă.
Introducem parola care este afișată pe monitorul computerului în aplicația mobilă Yandex mail de pe smartphone.
Gata. Autentificarea în doi factori Yandex funcționează, puteți continua cu viața.
Acum, dacă vă deconectați de la contul Yandex și vă introduceți din nou numele de utilizator și parola, vă vor scrie:
Perechea de conectare-parolă incorectă! Autentificare eșuată. Este posibil să fi selectat un alt aspect al tastaturii sau să fi apăsat tasta Caps Lock. Dacă utilizați autentificarea cu doi factori, asigurați-vă că introduceți parola unică din aplicația Yandex.Key în loc de cea obișnuită. Încercați să vă conectați din nou.
Acum trebuie să deschideți aplicația Yandex.Key, să introduceți codul PIN și să îndreptați camera smartphone-ului către codul QR. Vă veți conecta automat la contul Yandex după ce smartphone-ul citește codul QR de pe ecranul monitorului.
Alte postări despre securitate și verificare în doi pași:
A fost o postare rară pe blogul Yandex, în special una legată de securitate, fără a menționa autentificarea cu doi factori. Ne gândim de mult timp la cum să întărim în mod corespunzător protecția conturilor de utilizator și în așa fel încât să poată fi folosit fără toate inconvenientele care includ cele mai comune implementări în prezent. Și ei, din păcate, sunt incomod. Potrivit unor date, pe multe site-uri mari procentul utilizatorilor care au activat mijloace suplimentare de autentificare nu depășește 0,1%.
Se pare că acest lucru se datorează faptului că schema comună de autentificare cu doi factori este prea complexă și incomodă. Am încercat să venim cu o metodă care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi vă prezentăm versiunea beta.
Sperăm să devină mai răspândit. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.
După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală Yandex, în Mail și Passport. Pentru a vă conecta la contul dvs., trebuie să citiți codul QR prin intermediul aplicației - și asta este tot. Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.
Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea normală cu autentificare și parolă. Dacă are succes, site-ul verifică dacă îi „place” această sesiune de utilizator sau nu. Și, dacă nu vă place, îi cere utilizatorului să se „re-autentifice”. Există două metode comune de „pre-autentificare”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe smartphone. Practic, TOTP conform RFC 6238 este folosit pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea pierde și „pre-autentificarea”.
Ambele metode ─ trimiterea de SMS-uri și generarea unei parole ─ sunt dovada dreptului de proprietate asupra telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în prima etapă este factorul de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în doi pași, ci și cu doi factori.
Ce ni s-a părut problematic în această schemă?
Să începem cu faptul că computerul utilizatorului obișnuit nu poate fi numit întotdeauna un model de securitate: dezactivarea actualizărilor Windows, o copie piratată a unui antivirus fără semnături moderne și software de origine dubioasă - toate acestea nu măresc nivelul de protecție. Conform evaluării noastre, compromiterea computerului unui utilizator este cea mai răspândită metodă de „deturpare” a conturilor (și recent a existat o altă confirmare a acestui lucru), și de asta vrem să ne protejăm în primul rând. În cazul autentificării cu doi factori, dacă presupuneți că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie să selecteze doar al doilea factor. În cazul implementărilor comune ale RFC 6238, al doilea factor este de 6 cifre zecimale (iar maximul permis de specificație este de 8 cifre). Conform calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să găsească al doilea factor dacă a luat cumva conștient de primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.A doua problemă este opacitatea judecății serviciului cu privire la calitatea sesiunii utilizator și luarea unei decizii cu privire la necesitatea „pre-autentificării”. Și mai rău, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă un atacator știe pe ce bază ia serviciul o decizie cu privire la legitimitatea unei sesiuni, el poate încerca să falsifice aceste date. Ca regulă generală, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, ținând cont de adresa IP (și derivatele acesteia din numărul de sistem autonom care identifică furnizorul și locația pe baza geobazei) și datele browserului, de exemplu, antetul User Agent și un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul unui utilizator, el nu poate doar să fure toate datele necesare, ci și să folosească adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi public într-o cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirea din punct de vedere al serviciului) a furnizorului acestui serviciu. cafenea și, de exemplu, văruirea tuturor cafenelelor din oraș. Am vorbit despre cum funcționează un sistem de detectare a anomaliilor și ar putea fi folosit, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru a judeca cu încredere o anomalie. Mai mult, același argument distruge ideea de computere „de încredere”: un atacator poate fura orice informație care influențează judecata de încredere.
În cele din urmă, autentificarea în doi pași este pur și simplu incomod: cercetarea noastră de utilizare arată că nimic nu irită mai mult utilizatorii decât un ecran intermediar, clicuri suplimentare pe butoane și alte acțiuni „neimportante” din punctul lor de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei ar trebui să fie mult mai mare decât este posibil în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.
Autentificarea multifactorială este definită prin atribuirea elementelor de autentificare (de fapt, se numesc factori) uneia dintre cele trei categorii:
- Factori de cunoaștere (acestea sunt parolele tradiționale, codurile PIN și tot ce seamănă cu ele);
- Factori de proprietate (în schemele OTP utilizate, acesta este de obicei un smartphone, dar poate fi și un token hardware);
- Factori biometrici (amprenta este cea mai frecventă acum, deși cineva își va aminti episodul cu personajul lui Wesley Snipes din filmul Demolition Man).
Dezvoltarea sistemului nostru
Când am început să lucrăm la problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a mai discutat în culise), prima idee a fost să luăm metode standard de autentificare și să le aplicăm. pentru noi. Am înțeles că nu ne putem baza pe milioane de utilizatori pentru a cumpăra un token hardware, așa că am amânat această opțiune pentru unele cazuri exotice (deși nu o renunțăm complet, poate vom reuși să venim cu ceva interesant). Nici metoda SMS nu a putut fi răspândită: este o metodă de livrare foarte nesigură (în cel mai crucial moment, SMS-ul poate fi întârziat sau să nu ajungă deloc), iar trimiterea SMS-urilor costă bani (iar operatorii au început să-și mărească prețul) . Am decis că utilizarea SMS-urilor este pentru bănci și alte companii low-tech și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea a fost mică: folosiți smartphone-ul și programul din el ca al doilea factor.Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul PIN (primul factor) și are un token hardware sau software (într-un smartphone) care generează un OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.
În opinia noastră, principalul dezavantaj al acestei scheme este același cu cel al autentificării în doi pași: dacă presupunem că desktopul utilizatorului este compromis, atunci introducerea codului PIN o dată va duce la dezvăluirea acestuia, iar atacatorul poate găsi doar al doilea. factor.
Am decis să mergem pe o altă cale: întreaga parolă este generată din secret, dar doar o parte din secret este stocată în smartphone, iar o parte este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, iar parola rămâne în capul utilizatorului și este un factor de cunoaștere.
Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.
Deci, avem un program pentru un smartphone în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca o cheie HMAC, care este folosită pentru a semna ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC este convertită într-o formă care poate fi citită și voilà ─ aici este parola unică!
După cum sa menționat mai devreme, RFC 4226 specifică că rezultatul HMAC trebuie trunchiat la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, ne-am dorit să menținem ușurința de utilizare (la urma urmei, amintiți-vă, vrem să facem un sistem care să fie folosit de oamenii obișnuiți, și nu doar de pasionații securității), ca un compromis în versiunea actuală a sistemului , am ales să trunchiem alfabetul latin la 8 caractere. Se pare că 26^8 parole valabile 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ni se potrivește (sau pe Habré apar sfaturi prețioase despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.
Aflați mai multe despre puterea unor astfel de parole
De fapt, pentru literele latine care nu țin cont de majuscule, numărul de opțiuni pe caracter este de 26; pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26+26+10=62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatoare. Acest lucru va fi cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere formată din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere formată din litere mari, minuscule și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.Magie, lipsă de parolă, aplicații și pașii următori
În general, ne-am fi putut opri acolo, dar am vrut să facem sistemul și mai comod. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!
De aceea am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone-ul său, introduce codul PIN în ea și scanează codul QR pe ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!
Cum functioneazã?
Numărul de sesiune este încorporat în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând un răspuns de la server pentru a verifica parola pentru această sesiune. Dacă serverul răspunde că parola este corectă, cookie-urile de sesiune sunt setate împreună cu răspunsul și utilizatorul este considerat autentificat.A fost mai bine, dar am decis să nu ne oprim nici aici. Începând cu iPhone 5S, telefoanele și tabletele Apple au introdus scanerul de amprentă TouchID, iar în iOS versiunea 8, îl pot folosi și aplicațiile de la terți. În realitate, aplicația nu obține acces la amprentă, dar dacă amprenta este corectă, atunci secțiunea suplimentară Keychain devine disponibilă aplicației. Noi am profitat de asta. A doua parte a secretului este plasată în înregistrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scenariul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.
Dar a devenit incredibil de convenabil pentru utilizator: deschide aplicația, își plasează degetul, scanează codul QR de pe ecran și se trezește autentificat în browserul de pe computerul său! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi această schemă mult mai convenabilă decât introducerea manuală a două parole.
Este discutabil cât de tehnic este aceasta autentificare cu doi factori, dar în realitate trebuie totuși să ai un telefon și să ai amprenta corectă pentru a o finaliza cu succes, așa că credem că am avut destul de mult succes în eliminarea factorului cunoaștere, înlocuindu-l cu biometrice. . Înțelegem că ne bazăm pe securitatea ARM TrustZone care stă la baza iOS Secure Enclave și credem că acest subsistem poate fi considerat în prezent de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele legate de autentificarea biometrică: amprenta nu este o parolă și nu poate fi înlocuită dacă este compromisă. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu comoditatea, iar utilizatorul însuși are dreptul de a alege raportul dintre unul și celălalt care este acceptabil pentru el.
Permiteți-mi să vă reamintesc că aceasta este încă o versiune beta. Acum, când autentificarea cu doi factori este activată, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este criptată baza de date a parolelor. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.
Asta este ceea ce avem. Se pare că a ieșit bine, dar tu fii judecătorul. Vom fi bucuroși să auzim feedback-ul și recomandările dvs. și vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem acum autentificare cu doi factori. Nu uitați că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, se plătește un bonus dublu pentru erorile găsite în ele ca parte a programului Bug Bounty.
Etichete: Adăugați etichete
Yandex a lansat o aplicație care vă permite să evitați amintirea parolelor complexe și sa alăturat cursei pentru securitate
La marcaje
Yandex a lansat un mecanism de autentificare cu doi factori și o nouă aplicație Yandex.Key, care generează un cod de acces pentru un cont Yandex pe un dispozitiv mobil. Acest lucru vă va împiedica să vă amintiți o parolă complexă din motive de securitate. Reprezentanții companiei au informat TJ despre acest lucru.
Actualizat: la două ore după anunțul de la Yandex, Mail.Ru Group a anunțat introducerea autentificării cu doi factori.
Yandex.Key vă permite să evitați amintirea parolelor complexe
Pentru a utiliza Yandex.Key, trebuie să găsiți și să vă amintiți un cod PIN din patru cifre. Parolele temporare, cu care vă puteți conecta la contul Yandex, vor fi trimise pe dispozitivul dvs. mobil și sunt valabile timp de 30 de secunde.
Cu toate acestea, vă puteți autentifica fără a introduce o parolă unică. Codurile QR au apărut în formularul de autorizare de pe Yandex: ele pot fi citite folosind o cameră a smartphone-ului prin Yandex.Key. Utilizatorii dispozitivelor mobile Apple nu trebuie să-și amintească codul PIN: pentru ei, accesul la aplicație este posibil printr-o citire a amprentei folosind senzorul Touch ID.
Cei doi factori de autentificare în acest caz sunt un cod PIN (sau amprenta digitală), pe care doar utilizatorul o are și cunoașterea conexiunii dintre contul Yandex și dispozitivul mobil cu Yandex.Key - este stocat pe serverele companiei. Codurile secrete sunt generate simultan folosind atât PIN-ul, cât și „secretul” de pe serverele Yandex. Compania a mai explicat că procedura de autentificare este într-un singur pas: autentificarea necesită o singură acțiune (introducerea unui cod unic sau scanarea unui cod QR).
Am nevoie de mai multă securitate
Nu este prima dată când autentificarea cu doi factori apare în Yandex. Înainte de aceasta, a fost folosit în Yandex.Money și în serviciile interne ale companiei, a spus Yandex pentru TJ.
Reprezentanții companiei spun că procedura lor de autentificare în doi factori este mai sigură, deoarece parolele temporare sunt generate mai degrabă din litere decât din cifre, așa cum fac concurenții. În plus, utilizatorul nu trebuie să-și introducă mai întâi autentificarea și parola: el este autorizat folosind doar un login și un cod QR sau o parolă temporară.
De obicei, cu autentificarea cu doi factori, utilizatorului i se cere să se conecteze la cont folosind numele de utilizator și parola și apoi să-și confirme identitatea - să zicem, folosind SMS-uri. La noi este și mai simplu. Tot ce trebuie să faceți este să activați autentificarea cu doi factori în Passport și să instalați aplicația Yandex.Key. Codurile QR au apărut în formularul de autorizare de pe pagina principală a Yandex, în Mail și Passport. Pentru a se conecta la cont, utilizatorul trebuie să citească codul QR prin aplicație - și asta este tot.
Vladimir Ivanov, șef adjunct al Departamentului de operațiuni Yandex
Dacă utilizatorul își uită simultan codul PIN și pierde accesul la cartela SIM asociată contului său, va avea în continuare posibilitatea de a-și restabili contul. Pentru a face acest lucru, va trebui să treacă prin procedura standard: completați un formular și discutați cu serviciul de asistență, a explicat Yandex.
Utilizatorii care au activată autentificarea cu doi factori sunt de obicei mai atenți la astfel de lucruri - de exemplu, își indică numele și prenumele real, care pot fi folosite pentru a restabili accesul folosind un document de identificare. De asemenea, puteți deschide un formular special de restabilire a accesului din aplicația Yandex.Key - în cazul în care smartphone-ul dvs. este furat pentru a obține acces, există un nivel secret de protecție acolo.
Serviciul de presă Yandex
Procedura de autentificare cu doi factori a fost lansată ca versiune beta. Compania a raportat că participă la programul de recompensă pentru erori - pentru căutarea vulnerabilităților, puteți primi un bonus în numerar: judecând după anunț, acesta variază de la 5,5 la 170 de mii de ruble.
„Uciderea” în masă a parolelor
Utilizatorii nu doresc să-și amintească parole complexe și, în cea mai mare parte, nu folosesc autentificarea cu doi factori, considerând-o prea complicată. Statisticile arată că cele mai populare parole din 2014 sunt încă dominate de „123456”, „parolă” și „qwerty”.
Yandex a decis să folosească coduri QR și Touch ID după ce a analizat diverse studii care arată că procedura standard de autentificare cu doi factori este utilizată de 0,02% până la 1% din audiența diferitelor servicii.
Yandex nu este prima companie care se alătură cursei de îmbunătățire a securității utilizatorilor și, în același timp, de a evita amintirea parolelor complexe. În octombrie, Twitter a lansat o platformă asemănătoare Yandex.Key numită Digits, poziționând-o drept „ucigaș de parole”.
Cu ajutorul Digits, utilizatorii se vor putea autentifica la mai multe servicii deodată: la început, Twitter a anunțat un parteneriat cu trackerul de fitness FitStar, serviciul de rezervări de restaurante Resy și aplicația pentru fanii sportului OneFootball. Platforma Digits este, de asemenea, integrată în noua suită de software pentru dezvoltatori Twitter Fabric.
Yandex a spus lui TJ că vor deschide posibilitatea de a se conecta la alte aplicații folosind Yandex.Key - apariția sa este planificată în următoarele actualizări ale programului
La fel ca majoritatea serviciilor, Digits folosește un telefon mobil pentru înregistrare și verificare, trimițând un cod prin SMS sau printr-un contact din messenger. Această metodă este folosită, de exemplu, în mesajele WhatsApp și Telegram.
Aplicația mobilă Facebook are de mult timp propriul serviciu Code Generator, care vă permite să vă conectați folosind coduri temporare. La Google, puteți activa autentificarea în doi factori pentru contul dvs. și puteți utiliza aplicația Google Authentificator, care vă oferă acces prin cod QR sau prin introducerea unui cod de securitate. După scandalul cu scurgerea de fotografii personale ale vedetelor la Apple, securitatea utilizatorilor iCloud este de asemenea importantă.
O funcționalitate similară cu Google a fost introdusă în iunie pe VKontakte, dar rețeaua de socializare a spus că astfel de măsuri de securitate nu sunt necesare pentru majoritatea utilizatorilor. Nu există o autentificare în doi pași în serviciul de e-mail Mail.Ru.
Actualizat la 15:34: La câteva ore după anunțul de la Yandex, portalul Mail.Ru a lansat autentificarea cu doi factori pentru Mail, Cloud, Calendar, Game Center și alte proiecte, au declarat reprezentanții companiei pentru TJ. Pentru a se autentifica, utilizatorul trebuie să folosească parola și codul primit prin SMS pe telefonul său mobil.
Compania a subliniat că testarea beta închisă a autentificării cu doi factori a început la sfârșitul lunii decembrie cu sprijinul comunității Habrakhabra.
Serviciile de internet pot crește la nesfârșit nivelul de securitate, dar „veriga slabă” este adesea securitatea parolei utilizatorului. Dacă al doilea factor de securitate este activat, atunci pentru a se conecta la cont atacatorul va trebui să ia în posesia nu numai parola, ci și telefonul mobil al victimei, ceea ce este mult mai dificil.
Ni s-a cerut să implementăm această caracteristică în principal de către utilizatori avansați, dar sper cu adevărat că va deveni populară în rândul unui public mai larg.
Anna Artamonova, vicepreședinte al Grupului Mail.Ru
