Meniu
AcasăCuvânt

Activați autentificarea cu doi factori. Conectați-vă cu autentificare cu doi factori

Yandex a lansat o aplicație care vă permite să evitați amintirea parolelor complexe și sa alăturat cursei pentru securitate

Marcaje

Yandex a lansat un mecanism de autentificare cu doi factori și o nouă aplicație Yandex.Key, care generează un cod de acces pentru un cont Yandex pe un dispozitiv mobil. Acest lucru vă va împiedica să vă amintiți o parolă complexă din motive de securitate. Reprezentanții companiei au informat TJ despre acest lucru.

Actualizat: la două ore după anunțul de la Yandex, Mail.Ru Group a anunțat introducerea autentificării cu doi factori.

Yandex.Key vă permite să evitați amintirea parolelor complexe

Pentru a utiliza Yandex.Key, trebuie să găsiți și să vă amintiți un cod PIN din patru cifre. Parolele temporare, cu care vă puteți conecta la contul Yandex, vor fi trimise pe dispozitivul dvs. mobil și sunt valabile timp de 30 de secunde.

Cu toate acestea, vă puteți autentifica fără a introduce o parolă unică. Codurile QR au apărut în formularul de autorizare de pe Yandex: ele pot fi citite folosind o cameră pentru smartphone prin Yandex.Key. Utilizatorii dispozitivelor mobile Apple nu trebuie să-și amintească codul PIN: pentru ei, accesul la aplicație este posibil printr-o citire a amprentei folosind senzorul Touch ID.

Cei doi factori de autentificare în acest caz sunt un cod PIN (sau amprenta digitală), pe care doar utilizatorul o are și cunoașterea conexiunii dintre contul Yandex și dispozitivul mobil cu Yandex.Key - este stocat pe serverele companiei. Codurile secrete sunt generate simultan folosind atât PIN-ul, cât și „secretul” de pe serverele Yandex. Compania a mai explicat că procedura de autentificare este într-un singur pas: autentificarea necesită o singură acțiune (introducerea unui cod unic sau scanarea unui cod QR).

Am nevoie de mai multă securitate

Nu este prima dată când autentificarea cu doi factori apare în Yandex. Înainte de aceasta, a fost folosit în Yandex.Money și în serviciile interne ale companiei, a spus Yandex pentru TJ.

Reprezentanții companiei spun că procedura lor de autentificare cu doi factori este mai sigură, deoarece parolele temporare sunt generate mai degrabă din litere decât din cifre, așa cum fac concurenții. În plus, utilizatorul nu trebuie să-și introducă mai întâi autentificarea și parola: el este autorizat folosind doar un login și un cod QR sau o parolă temporară.

De obicei, cu autentificarea cu doi factori, utilizatorului i se cere să se conecteze la cont folosind numele de utilizator și parola și apoi să-și confirme identitatea - să zicem, folosind SMS-uri. La noi este și mai simplu. Tot ce trebuie să faceți este să activați autentificarea cu doi factori în Passport și să instalați aplicația Yandex.Key. Codurile QR au apărut în formularul de autorizare de pe pagina principală a Yandex, în Mail și Passport. Pentru a se conecta la cont, utilizatorul trebuie să citească codul QR prin aplicație - și asta este tot.

Vladimir Ivanov, șef adjunct al Departamentului de operațiuni Yandex

Dacă utilizatorul își uită simultan codul PIN și pierde accesul la cartela SIM asociată contului său, va avea în continuare posibilitatea de a-și restabili contul. Pentru a face acest lucru, va trebui să parcurgă procedura standard: completați un formular și discutați cu serviciul de asistență, a explicat Yandex.

Utilizatorii care au activată autentificarea cu doi factori sunt de obicei mai atenți la astfel de lucruri - de exemplu, își indică numele și prenumele real, care pot fi folosite pentru a restabili accesul folosind un document de identificare. De asemenea, puteți deschide un formular special de restabilire a accesului din aplicația Yandex.Key - în cazul în care smartphone-ul dvs. este furat pentru a obține acces, există un nivel secret de protecție acolo.

Serviciul de presă Yandex

Procedura de autentificare cu doi factori a fost lansată ca versiune beta. Compania a raportat că participă la programul de recompensă pentru erori - pentru căutarea vulnerabilităților, puteți primi un bonus în numerar: judecând după anunț, acesta variază de la 5,5 la 170 de mii de ruble.

„Uciderea” în masă a parolelor

Utilizatorii nu doresc să-și amintească parole complexe și, în cea mai mare parte, nu folosesc autentificarea cu doi factori, considerând-o prea complicată. Statisticile arată că cele mai populare parole din 2014 sunt încă dominate de „123456”, „parolă” și „qwerty”.

Yandex a decis să folosească coduri QR și Touch ID după ce a analizat diferite studii care arată că procedura standard de autentificare cu doi factori este utilizată de 0,02% până la 1% din audiența diferitelor servicii.

Yandex nu este prima companie care se alătură cursei pentru a îmbunătăți securitatea utilizatorilor și, în același timp, a evita amintirea parolelor complexe. În octombrie, Twitter a lansat o platformă asemănătoare Yandex.Key numită Digits, poziționând-o drept „ucigaș de parole”.

Cu ajutorul Digits, utilizatorii se vor putea autentifica la mai multe servicii deodată: la început, Twitter a anunțat un parteneriat cu trackerul de fitness FitStar, serviciul de rezervări de restaurante Resy și aplicația pentru fanii sportului OneFootball. Platforma Digits este, de asemenea, integrată în noua suită de software pentru dezvoltatori Twitter Fabric.

Yandex a spus lui TJ că vor deschide posibilitatea de a se conecta la alte aplicații folosind Yandex.Key - apariția sa este planificată în următoarele actualizări ale programului

La fel ca majoritatea serviciilor, Digits folosește un telefon mobil pentru înregistrare și verificare, trimițând un cod prin SMS sau printr-un contact din messenger. Această metodă este folosită, de exemplu, în mesajele WhatsApp și Telegram.

Aplicația mobilă Facebook are de mult timp propriul serviciu Code Generator, care vă permite să vă conectați folosind coduri temporare. La Google, puteți activa autentificarea în doi factori pentru contul dvs. și puteți utiliza aplicația Google Authentificator, care vă oferă acces prin cod QR sau prin introducerea unui cod de securitate. După scandalul cu scurgerea de fotografii personale ale vedetelor de la Apple, este importantă și securitatea utilizatorilor iCloud.

O funcționalitate similară cu Google a fost introdusă în iunie pe VKontakte, dar rețeaua de socializare a spus că astfel de măsuri de securitate nu sunt necesare pentru majoritatea utilizatorilor. Nu există o autentificare în doi pași în serviciul de e-mail Mail.Ru.

Actualizat la 15:34: La câteva ore după anunțul de la Yandex, portalul Mail.Ru a lansat autentificarea cu doi factori pentru Mail, Cloud, Calendar, Game Center și alte proiecte, au declarat reprezentanții companiei pentru TJ. Pentru a se autentifica, utilizatorul trebuie să folosească parola și codul primit prin SMS pe telefonul său mobil.

Compania a subliniat că testarea beta închisă a autentificării cu doi factori a început la sfârșitul lunii decembrie cu sprijinul comunității Habrakhabra.

Serviciile de internet pot crește la nesfârșit nivelul de securitate, dar „veriga slabă” este adesea securitatea parolei utilizatorului. Dacă al doilea factor de securitate este activat, atunci pentru a se conecta la cont atacatorul va trebui să ia în posesia nu numai parola, ci și telefonul mobil al victimei, ceea ce este mult mai dificil.

Ni s-a cerut să implementăm această caracteristică în principal de către utilizatori avansați, dar sper cu adevărat că va deveni populară în rândul unui public mai larg.

Anna Artamonova, Vicepreședinte al Grupului Mail.Ru

Mai întâi, conectați-vă la contul principal Yandex, dacă aveți unul. Dacă nu există încă, îl puteți crea oricând după simpla înregistrare.

Activați și configurați autentificarea cu doi factori

Deci, în contul Yandex, faceți clic pe cont și accesați secțiunea Paşaport. Apoi - în secțiune Control acces presa Configurați autentificarea cu doi factori.

Se deschide o fereastră cu același nume, în care trebuie să parcurgeți pașii de activare și configurare a autentificării cu doi factori.

În primul pas, indicăm numărul de telefon și îl confirmăm prin primirea unui cod prin SMS prin telefon.

Următorul pas este crearea unui cod PIN. Este necesar să accesați aplicația Yandex.Key, instalată pe smartphone sau tabletă.

Codul PIN poate fi format din 4 până la 16 cifre. Introduceți-le în câmp și faceți clic Crea.

Se va deschide o fereastră cu un cod QR și o propunere de adăugare a contului în aplicația Yandex.Key.

Instalarea aplicației Yandex.Key

Îl lansăm și apare un buton galben în partea de jos a ferestrei care se deschide cu o sugestie - Adăugați un cont în aplicație.

Apăsăm butonul, pe ecranul smartphone-ului se va deschide o fereastră în care trebuie să introduceți codul PIN inventat anterior.

Odată ce este introdus codul PIN, camera se va porni automat. Îndreptăm camera către codul QR din fereastra monitorului și așteptăm autorizarea.

O altă modalitate de a vă autentifica

În caz contrar, pentru a organiza autentificarea în doi factori după introducerea codului PIN, puteți alege opțiunea de a primi o parolă unică de 30 de secunde.

În al patrulea pas de configurare a autentificării cu doi factori, trebuie să conectați programul Yandex.Key la contul dvs. Yandex. Pentru a face acest lucru, introduceți parola unică primită pe smartphone.

Dacă se dovedește că este imposibil să îl introduceți la timp, atunci trebuie să așteptați data viitoare când numerele apar pe smartphone și să îl introduceți.

După intrare, apăsați butonul Pornițiși asta este tot, programul Yandex.Key este activat și de acum înainte ar trebui să funcționeze autentificarea cu doi factori.

Acum, pe toate dispozitivele - computer, smartphone - trebuie să vă deconectați și să vă conectați din nou la cont cu parola unică existentă sau cu un cod QR, folosind aplicația Yandex.Key de pe telefonul mobil.

În Yandex.Mail primim o scrisoare care anunță că autentificarea cu doi factori funcționează.

În scrisoarea primită puteți găsi și recomandări pentru configurarea unui nou acces și utilizarea autentificării cu doi factori.

Autentificare Yandex cu doi factori pentru alte servicii

Pentru Yandex.Mail, Ya.Disk și alte servicii Yandex, este posibil să creați parole diferite. Acest lucru va crește semnificativ nivelul de securitate al datelor cu caracter personal și al contului în ansamblu. Puteți citi despre depozitarea lor în siguranță.

Pentru a face acest lucru, mergeți din nou la secțiune Pașaport - Control acces. Selectăm programul, în acest caz - Acces la disc.

Pentru comoditate, numim această conexiune, de exemplu, Conducerea meași apăsați Creați o parolă.

Deci, parola a fost creată și va fi afișată o singură dată. Prin urmare, dacă nu este salvat, atunci este mai bine să îl ștergeți în viitor și să îl creați din nou.

Acum vă puteți conecta la o unitate de rețea Yandex. Prin orice manager de fișiere obținem acces la Yandex.Disk folosind această parolă.

Astfel, Yandex.Disk și contul principal Yandex vor fi protejate cu parole separate folosind funcția de autentificare cu doi factori.

Dezactivați autentificarea cu doi factori

Dacă pe viitor doriți să nu mai utilizați autentificarea cu doi factori, atunci mergeți la secțiune Control accesși parcurgeți procedura de oprire.

Adică apăsăm comutatorul Oprit introduceți parola unică emisă de Yandex.Key, faceți clic Confirma.

Astfel, autentificarea în doi factori a contului Yandex este dezactivată. Trebuie reținut că, în acest caz, parolele pentru Yandex.Disk și alte servicii, dacă sunt create, sunt de asemenea resetate.

A fost o postare rară pe blogul Yandex, în special una legată de securitate, fără a menționa autentificarea cu doi factori. Ne gândim de mult timp la cum să întărim în mod corespunzător protecția conturilor de utilizator și în așa fel încât să poată fi folosit fără toate inconvenientele care includ cele mai comune implementări în prezent. Și ei, din păcate, sunt incomozi. Potrivit unor date, pe multe site-uri mari procentul utilizatorilor care au activat mijloace suplimentare de autentificare nu depășește 0,1%.

Se pare că acest lucru se datorează faptului că schema comună de autentificare cu doi factori este prea complexă și incomodă. Am încercat să venim cu o metodă care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi vă prezentăm versiunea beta.

Sperăm să devină mai răspândit. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.

După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală Yandex, în Mail și în Passport. Pentru a vă conecta la contul dvs., trebuie să citiți codul QR prin intermediul aplicației - și asta este tot. Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.

Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea normală cu autentificare și parolă. Dacă are succes, site-ul verifică dacă îi „place” această sesiune de utilizator sau nu. Și, dacă „nu-mi place”, acesta îi cere utilizatorului să se „re-autentifice”. Există două metode comune de „pre-autentificare”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe smartphone. Practic, TOTP conform RFC 6238 este folosit pentru a genera a doua parolă Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea pierde și „pre-autentificarea”.

Ambele metode ─ trimiterea de SMS-uri și generarea unei parole ─ sunt dovada dreptului de proprietate asupra telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în prima etapă este factorul de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în doi pași, ci și cu doi factori.

Ce ni s-a părut problematic în această schemă?

Să începem cu faptul că computerul utilizatorului obișnuit nu poate fi numit întotdeauna un model de securitate: dezactivarea actualizărilor Windows, o copie piratată a unui antivirus fără semnături moderne și software de origine dubioasă - toate acestea nu măresc nivelul de protecție. Conform evaluării noastre, compromiterea computerului unui utilizator este cea mai răspândită metodă de „deturpare” a conturilor (și recent a existat o altă confirmare a acestui lucru), și de care dorim mai întâi să ne protejăm. În cazul autentificării cu doi factori, dacă presupuneți că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie doar să selecteze al doilea factor. În cazul implementărilor comune ale RFC 6238, al doilea factor este de 6 cifre zecimale (iar maximul permis de specificație este de 8 cifre). Conform calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să găsească al doilea factor dacă a luat cumva conștient de primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.

A doua problemă este opacitatea judecății serviciului cu privire la calitatea sesiunii utilizator și luarea unei decizii cu privire la necesitatea „pre-autentificării”. Și mai rău, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă un atacator știe pe ce bază ia serviciul o decizie cu privire la legitimitatea unei sesiuni, el poate încerca să falsifice aceste date. Ca aspect general, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, luând în considerare adresa IP (și derivatele sale din numărul de sistem autonom care identifică furnizorul și locația pe baza geobazei) și datele browserului, de exemplu, antetul User Agent și un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul unui utilizator, el nu poate doar să fure toate datele necesare, ci și să folosească adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi public într-o cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirea din punct de vedere al serviciului) a furnizorului acestui serviciu. cafenea și, de exemplu, văruirea tuturor cafenelelor din oraș. Am vorbit despre cum funcționează un sistem de detectare a anomaliilor și ar putea fi folosit, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru a judeca cu încredere anomalia. Mai mult, același argument distruge ideea de computere „de încredere”: un atacator poate fura orice informație care influențează judecata de încredere.

În cele din urmă, autentificarea în doi pași este pur și simplu incomod: cercetarea noastră de utilizare arată că nimic nu irită mai mult utilizatorii decât un ecran intermediar, clicuri suplimentare pe butoane și alte acțiuni „neimportante” din punctul lor de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei ar trebui să fie mult mai mare decât este posibil în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.

Autentificarea multifactorială este definită prin atribuirea elementelor de autentificare (de fapt, se numesc factori) uneia dintre cele trei categorii:

  1. Factori de cunoaștere (acestea sunt parolele tradiționale, codurile PIN și tot ce seamănă cu ele);
  2. Factori de proprietate (în schemele OTP utilizate, acesta este de obicei un smartphone, dar poate fi și un token hardware);
  3. Factori biometrici (amprenta este cea mai frecventă acum, deși cineva își va aminti episodul cu personajul lui Wesley Snipes din filmul Demolition Man).

Dezvoltarea sistemului nostru

Când am început să lucrăm la problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a mai discutat în culise), prima idee a fost să luăm metode standard de autentificare și să le aplicăm. la noi. Am înțeles că nu ne putem baza pe milioane de utilizatori pentru a cumpăra un token hardware, așa că am amânat această opțiune pentru unele cazuri exotice (deși nu o renunțăm complet, poate vom reuși să venim cu ceva interesant). Nici metoda SMS nu a putut fi răspândită: este o metodă de livrare foarte nesigură (în cel mai important moment, SMS-ul poate fi întârziat sau să nu ajungă deloc), iar trimiterea SMS-urilor costă bani (iar operatorii au început să-și mărească prețul) . Am decis că utilizarea SMS-urilor este pentru bănci și alte companii low-tech și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea a fost mică: folosiți smartphone-ul și programul din el ca al doilea factor.

Această formă de autentificare într-un singur pas este larg răspândită: utilizatorul își amintește codul PIN (primul factor) și are un token hardware sau software (într-un smartphone) care generează un OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.

În opinia noastră, principalul dezavantaj al acestei scheme este același cu cel al autentificării în doi pași: dacă presupunem că desktopul utilizatorului este compromis, atunci introducerea codului PIN o dată va duce la dezvăluirea acestuia, iar atacatorul poate găsi doar al doilea. factor.

Am decis să mergem pe o altă cale: întreaga parolă este generată din secret, dar doar o parte din secret este stocată în smartphone, iar o parte este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, iar parola rămâne în capul utilizatorului și este un factor de cunoaștere.

Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.

Deci, avem un program pentru un smartphone în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca o cheie HMAC, care este folosită pentru a semna ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC este convertită într-o formă care poate fi citită și voilà ─ aici este parola unică!

După cum sa menționat mai devreme, RFC 4226 specifică că rezultatul HMAC trebuie trunchiat la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, ne-am dorit să menținem ușurința de utilizare (la urma urmei, amintiți-vă, vrem să facem un sistem care să fie folosit de oamenii obișnuiți, și nu doar de pasionații securității), ca un compromis în versiunea actuală a sistemului , am ales să trunchiem alfabetul latin la 8 caractere. Se pare că 26^8 parole valabile 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ni se potrivește (sau pe Habré apar sfaturi prețioase despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.

Aflați mai multe despre puterea unor astfel de parole

De fapt, pentru literele latine care nu țin cont de majuscule, numărul de opțiuni pe caracter este de 26, pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26+26+10=62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatoare. Acest lucru va fi cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere formată din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere formată din litere mari, minuscule și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.

Magie, lipsă de parolă, aplicații și pașii următori

În general, ne-am fi putut opri aici, dar am vrut să facem sistemul și mai comod. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!

De aceea am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone-ul său, introduce codul PIN în ea și scanează codul QR pe ​​ecranul computerului. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!

Cum funcționează?

Codul QR conține un număr de sesiune, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând un răspuns de la server pentru a verifica parola pentru această sesiune. Dacă serverul răspunde că parola este corectă, cookie-urile de sesiune sunt setate împreună cu răspunsul și utilizatorul este considerat autentificat.

A fost mai bine, dar am decis să nu ne oprim nici aici. Începând cu iPhone 5S, telefoanele și tabletele Apple au introdus scanerul de amprentă TouchID, iar în iOS versiunea 8, îl pot folosi și aplicațiile de la terți. În realitate, aplicația nu obține acces la amprentă, dar dacă amprenta este corectă, atunci secțiunea suplimentară Keychain devine disponibilă aplicației. Noi am profitat de asta. A doua parte a secretului este plasată în înregistrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scenariul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.

Dar a devenit incredibil de convenabil pentru utilizator: deschide aplicația, își plasează degetul, scanează codul QR de pe ecran și se trezește autentificat în browserul de pe computerul său! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi această schemă mult mai convenabilă decât introducerea manuală a două parole.

Este discutabil cât de tehnic este aceasta autentificare cu doi factori, dar în realitate trebuie totuși să ai un telefon și să ai amprenta corectă pentru a o finaliza cu succes, așa că credem că am avut destul de mult succes în eliminarea factorului cunoaștere, înlocuindu-l cu biometrice. . Înțelegem că ne bazăm pe securitatea ARM TrustZone care stă la baza iOS Secure Enclave și credem că acest subsistem poate fi considerat în prezent de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele legate de autentificarea biometrică: amprenta nu este o parolă și nu poate fi înlocuită dacă este compromisă. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu comoditatea, iar utilizatorul însuși are dreptul de a alege raportul dintre unul și celălalt care este acceptabil pentru el.

Permiteți-mi să vă reamintesc că aceasta este încă o versiune beta. Acum, când autentificarea cu doi factori este activată, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este criptată baza de date a parolelor. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.

Aceasta este ceea ce avem. Se pare că a ieșit bine, dar tu fii judecătorul. Vom fi bucuroși să auzim feedback-ul și recomandările dvs. și vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem acum autentificare cu doi factori. Nu uitați că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, se plătește un bonus dublu pentru erorile găsite în ele ca parte a programului Bug Bounty.

Etichete: Adăugați etichete

Pentru aplicațiile mobile, programele de calculator și importatorii de corespondență terță parte, trebuie să utilizați parole individuale pentru aplicații.

  • Pasul 1. Confirmați numărul dvs. de telefon

    Dacă v-ați conectat deja numărul de telefon la contul dvs., browserul va afișa acest număr și vă va întreba dacă doriți să îl confirmați sau să îl modificați. Dacă numărul dvs. de telefon actual nu este conectat la contul dvs., trebuie să îl conectați, altfel nu veți putea restabili accesul la contul dvs. pe cont propriu.

    Pentru a lega sau a confirma un număr, solicitați trimiterea unui cod prin SMS și apoi introduceți-l în formular. După ce ați introdus corect codul, faceți clic pe Confirmare pentru a trece la pasul următor.

    Pasul 2. Creați un cod PIN

    Gândiți-vă la un cod PIN din patru cifre și introduceți-l pentru autentificare cu doi factori.

    Atenţie. Ca și în cazul cardurilor bancare, nu ar trebui să partajați codul PIN cu nimeni și nu poate fi schimbat dacă uitați codul PIN, Yandex.Key nu poate genera o parolă unică corectă, iar accesul la contul dvs. poate fi restabilit numai de către. contactând departamentul nostru de asistență.

    Faceți clic pe Creare pentru a confirma codul PIN.


    Pasul 3. Configurați Yandex.Key

    Aplicația Yandex.Key este necesară pentru a genera parole unice pentru contul dvs. Puteți obține un link către aplicație direct pe telefon sau o puteți instala din App Store sau Google Play.

    Nota. Yandex.Key poate solicita acces la camera dvs. pentru a recunoaște codurile QR atunci când sunt adăugate conturi sau când vă conectați folosind un cod QR.

    În Yandex.Key, atingeți butonul Adăugați cont. Yandex.Key va porni camera dvs. pentru a scana codul QR afișat în browser.

    Dacă codul QR nu poate fi citit, faceți clic pe Afișați cheia secretă în browser sau pe Adăugați-l manual în aplicație. În loc de codul QR, browserul va afișa o secvență de caractere care trebuie introduse în aplicație.

    Când vă recunoaște contul, dispozitivul va solicita codul PIN pe care l-ați creat în timpul pasului doi.


    Pasul 4. Verificați-vă parola unică

    Pentru a vă asigura că ați configurat totul corect, introduceți parola dvs. unică. Autentificarea cu doi factori va funcționa numai dacă introduceți parola corectă.

    • Yandex a lansat un sistem de autorizare cu doi factori și a lansat aplicația Yandex.Key pentru a vă conecta la contul dvs. fără a fi nevoie să vă amintiți și să introduceți o parolă complexă. Aplicația este deja disponibilă pe Android și iOS, iar conectarea la ea pe modelele noi de iPhone poate fi protejată cu un scaner de amprente.

    Există mai multe moduri de a vă conecta la contul dvs. prin Yandex.Key, dar mai întâi trebuie să mergeți la pagina de setări yandex.ru/promo/2fa și să activați autentificarea cu doi factori.

    Confirmați numărul de telefon cu codul primit prin SMS.

    Instalați aplicația Yandex.Key pe smartphone sau tabletă.

    Lansați aplicația și scanați codul QR pe ​​site-ul Yandex. Dacă dispozitivul dvs. mobil nu are cameră, faceți clic pe „Afișați cheia secretă” și introduceți caracterele afișate în aplicație.

    Creați un cod PIN și introduceți-l pe site sau aplicație.

    Introduceți parola unică generată de aplicație pe site. Această parolă este valabilă doar 30 de secunde, apoi apare una nouă. Pentru a finaliza configurarea, va trebui să introduceți din nou parola permanentă a contului.

    Acești pași trebuie finalizați o singură dată. După activarea autentificării cu doi factori, va trebui să reautorizați pe site-urile web Yandex pe toate dispozitivele. Puteți crea parole separate pentru a accesa aplicațiile.

    Acum va apărea un buton cu o pictogramă de cod QR pe ​​pagina de conectare a contului Yandex.