Thực đơn
trang chủTrình duyệt

Xác thực - nó là gì và tại sao xác thực hai yếu tố hiện được sử dụng rộng rãi. Xác thực hai yếu tố (Yandex). Cách tắt xác thực hai yếu tố

Để tìm ra nó là gì xác thực hai yếu tố và nó thường được triển khai như thế nào, bạn nên tìm hiểu xác thực nói chung là gì. Nói một cách đơn giản, xác thực là quá trình người dùng chứng minh rằng anh ta chính xác là người như anh ta đã nói.

Ví dụ: khi bạn đăng nhập vào hệ thống, bạn nhập tên người dùng và mật khẩu và qua đó chứng minh rằng bạn biết khóa bí mật, nghĩa là bạn xác nhận rằng bạn là bạn chứ không phải người lạ. Trong trường hợp này, việc biết mật khẩu được gọi là “yếu tố xác thực”.

Nhưng mật khẩu có thể rất đơn giản và kẻ tấn công có thể dễ dàng đoán được hoặc nó có thể chỉ nằm trên một mảnh giấy dưới bàn phím (tất nhiên là sai). Nhập mật khẩu sẽ cho phép kẻ tấn công chứng minh với hệ thống rằng hắn biết mật khẩu và do đó có quyền sử dụng hệ thống này.

Do đó, để bảo vệ hệ thống khỏi những tình huống như vậy, người ta thường sử dụng đồng thời hai yếu tố xác thực: ví dụ: mật khẩu và thẻ thông minh. Trong trường hợp này, yếu tố xác thực thứ hai sẽ là việc sở hữu thẻ thông minh. Hệ thống sẽ kiểm tra mật khẩu và thẻ thông minh của bạn và nếu mọi thứ đều chính xác, nó sẽ cho phép bạn vào hệ thống.

Xác thực hai yếu tố và chữ ký số điện tử

Khá thường xuyên, xác thực hai yếu tố được sử dụng cho chữ ký điện tử. Chữ ký số trên tài liệu thường giống với chữ ký viết tay trên tài liệu giấy, vì vậy điều quan trọng là chữ ký điện tử của bạn không thể bị kẻ tấn công đặt thay vì bạn.

Thông thường, để bảo mật chữ ký điện tử của bạn, nó được viết (chính xác hơn là chứng chỉ chữ ký điện tử) trên một mã thông báo. Mã thông báo là một thiết bị đặc biệt thường được sử dụng để lưu trữ chứng chỉ chữ ký điện tử. Chữ ký điện tử của bạn trên mã thông báo được bảo vệ bằng mật khẩu, vì vậy ngay cả khi bị đánh cắp, kẻ tấn công sẽ không thể sử dụng nó. Trong trường hợp này, yếu tố xác thực đầu tiên sẽ là việc sở hữu mã thông báo và yếu tố thứ hai sẽ là kiến ​​thức về mật khẩu để truy cập chữ ký điện tử trên mã thông báo.

Để lưu trữ chứng chỉ chữ ký điện tử, chúng tôi khuyên dùng các mẫu mã thông báo sau:

Xác thực hai yếu tố để đăng nhập

Thông thường, các tổ chức lưu trữ dữ liệu rất quan trọng trên máy tính của họ, dữ liệu này có thể cấu thành bí mật thương mại, tất nhiên có thể bị các đối thủ cạnh tranh và những kẻ tấn công khác săn lùng. Và việc sử dụng mật khẩu thông thường thôi là chưa đủ để đảm bảo tính bảo mật thông tin.

Để bảo vệ dữ liệu trên máy tính của nhân viên, hai phương pháp xác thực được sử dụng:

  • bảo vệ quá trình đăng nhập

Là một phần của phương pháp này, một sản phẩm phần mềm được cài đặt trên máy tính, sản phẩm này bắt đầu yêu cầu mã thông báo khi đăng nhập và cũng đảm bảo rằng mã thông báo luôn được chèn vào. Nếu bỏ token ra thì máy tính sẽ khóa ngay.

Phương pháp này phù hợp để sử dụng ở những nơi cơ sở được bảo vệ và không ai có thể đánh cắp máy tính hoặc ổ cứng của nó một cách vật lý.

  • bảo vệ mọi dữ liệu trên máy tính của bạn

Ngoài ra còn có một cách để mã hóa tất cả dữ liệu trên máy tính và khi máy tính khởi động, yêu cầu người dùng nhập mật khẩu và chèn mã thông báo. Nếu mật khẩu không chính xác hoặc mã thông báo không chính xác thì dữ liệu sẽ không được giải mã và ngay cả khi bị đánh cắp, kẻ tấn công sẽ không thể sử dụng thông tin từ máy tính.

Xin chào các độc giả thân mến của trang blog. Tôi muốn tiếp tục chủ đề diễn giải bằng những từ đơn giản, những thuật ngữ phổ biến có thể tìm thấy ở mọi nơi trong thời đại máy tính của chúng ta. Chúng tôi đã sớm hơn một chút, cũng như về và về.

Hôm nay chúng ta có lượt xác thực. Từ này có nghĩa là gì? Khái niệm này có khác với sự ủy quyền hoặc nhận dạng không? Có những phương thức xác thực nào, mức độ an toàn của chúng, tại sao có thể xảy ra lỗi và tại sao xác thực hai yếu tố lại tốt hơn xác thực một yếu tố?

Hấp dẫn? Vậy thì hãy tiếp tục và tôi sẽ cố gắng không làm bạn thất vọng.

Xác thực là gì?

Trên thực tế, đây là một thủ tục không chỉ được biết đến với chúng ta (cư dân hiện đại) mà còn với tổ tiên xa xôi của chúng ta (gần như từ thời xa xưa).

Nói ngắn gọn thì xác thực là quá trình xác minh tính xác thực(tính xác thực). Và nó không quan trọng theo cách nào (có ít nhất một số loại). Ví dụ đơn giản nhất. Bạn vào căn hộ của mình bằng chìa khóa để mở ổ khóa. Và nếu cửa mở nghĩa là bạn đã xác thực thành công.

Hãy chia nhỏ mọi thứ trong ví dụ này:

  1. Chìa khóa của ổ khóa là mã nhận dạng của bạn (cắm và xoay - bạn đã được nhận dạng). Trong thế giới máy tính, điều này tương tự như việc bạn cho hệ thống biết thông tin của mình.
  2. Quá trình mở (khớp chìa và khóa) là xác thực. Trong thế giới máy tính, điều này tương tự như việc trải qua giai đoạn xác thực (xác minh mật khẩu đã nhập).
  3. Mở cửa và vào căn hộ đã được ủy quyền (có quyền truy cập). Trực tuyến là lối vào một trang web, dịch vụ, chương trình hoặc ứng dụng.

Như bạn có thể đã hiểu, xác thực hai yếu tố trong ví dụ này sẽ được trả lời bằng sự hiện diện của khóa thứ hai trên cửa (hoặc sự hiện diện của một con chó trong nhà, nó sẽ tự thực hiện xác thực dựa trên dấu hiệu sinh trắc học - mùi, hình thức, sự hiện diện của đồ ăn vặt trong túi của bạn) .

Một ví dụ nữa. Đóng dấu vào tài liệu (trong hộ chiếu, đóng dấu sáp trên thư cũ).

Như bạn có thể thấy, mọi thứ cực kỳ đơn giản. Nhưng ngày nay thuật ngữ này thường được hiểu là xác thực điện tử, I E. quá trình đăng nhập vào các trang web, dịch vụ, hệ thống, chương trình và thậm chí cả kết nối với mạng WiFi tại nhà của bạn. Nhưng về bản chất, có rất ít điểm khác biệt so với ví dụ được đưa ra.

Trong phiên bản điện tử, bạn cũng sẽ có mã định danh (trong trường hợp đơn giản nhất) và mật khẩu (tương tự như khóa) cần thiết để xác thực (đăng nhập vào hệ thống, truy cập Internet, đăng nhập vào dịch vụ trực tuyến, v.v.) .

Như tôi đã nói ở trên, có một số loại xác thực:

Như bạn có thể thấy, không có lý tưởng. Vì vậy, cái gọi là xác thực hai yếu tố (hai bước) thường được sử dụng để tăng cường bảo mật. Hãy xem một ví dụ.

Xác thực hai yếu tố (2FA - hai bước)

Ví dụ: trong và các dịch vụ khác liên quan đến khả năng tiếp cận tiền, xác thực hai yếu tố bao gồm các yếu tố sau:


Điều này mang lại điều gì? Cải thiện đáng kể tính bảo mật và giảm nguy cơ kẻ lừa đảo xác thực cho bạn. Thực tế là việc chặn mật khẩu dùng một lần khó hơn nhiều so với việc tìm ra mật khẩu dùng nhiều lần. Ngoài ra, việc truy cập vào điện thoại di động (và chỉ cần tìm ra số của nó) khó hơn nhiều so với việc tìm kiếm trên máy tính hoặc email của bạn.

Nhưng đây chỉ là một trong ví dụ về xác thực hai yếu tố (2FA). Hãy lấy các thẻ ngân hàng đã được đề cập ở trên. Ở đây cũng vậy, hai giai đoạn được sử dụng - xác thực bằng thiết bị (mã nhận dạng trên thẻ) và bằng cách nhập mật khẩu cá nhân (mã PIN).

Một ví dụ khác từ phim là khi mã truy cập được nhập lần đầu tiên, sau đó võng mạc hoặc dấu vân tay sẽ được kiểm tra. Về lý thuyết, bạn có thể thực hiện ba giai đoạn, bốn hoặc năm giai đoạn. Mọi thứ được quyết định bởi tính phù hợp của việc duy trì giữa mức độ hoang tưởng tăng cao và số lần kiểm tra hợp lý, điều này trong một số trường hợp phải được thực hiện khá thường xuyên.

Trong hầu hết các trường hợp, việc kết hợp hai yếu tố là đủ và không gây ra bất tiện quá lớn khi sử dụng thường xuyên.

Lỗi xác thực

Khi sử dụng bất kỳ loại xác thực nào được đề cập ở trên (mật khẩu, thiết bị và sinh trắc học), lỗi có thể xảy ra. Chúng đến từ đâu và làm thế nào để tránh và giải quyết chúng? Hãy xem một ví dụ.

Giả sử bạn muốn kết nối máy tính hoặc điện thoại thông minh với mạng không dây trong căn hộ của mình. Để thực hiện việc này, bạn sẽ được yêu cầu nhập tên mạng (mã định danh) ​​và mật khẩu truy cập (trình xác thực). Nếu mọi thứ được nhập chính xác, bạn sẽ được ủy quyền và bạn sẽ có quyền truy cập Internet từ thiết bị được kết nối.

Nhưng đôi khi bạn có thể hiển thị thông báo lỗi xác thực. Bạn nên làm gì trong trường hợp này?

  1. Vâng, trước hết hãy kiểm tra xem dữ liệu bạn đang nhập có chính xác không. Thông thường, khi nhập mật khẩu được đóng bằng dấu hoa thị, khiến bạn khó hiểu nguyên nhân lỗi.
  2. Mật khẩu có các ký tự trong các trường hợp khác nhau (có chữ in hoa và chữ nhỏ) thường được sử dụng, điều này không phải ai cũng tính đến khi gõ.
  3. Đôi khi lỗi có thể do hệ thống xác thực hai yếu tố không hoàn toàn rõ ràng gây ra. Ví dụ: bộ định tuyến có thể đã bật tính năng chặn truy cập. Trong trường hợp này, hệ thống không chỉ kiểm tra xem tên người dùng và mật khẩu có được nhập chính xác hay không mà còn kiểm tra xem địa chỉ Mac của thiết bị (mà bạn đang đăng nhập) có khớp với danh sách địa chỉ được phép hay không. Trong trường hợp này, bạn sẽ phải vào cài đặt bộ định tuyến (thông qua trình duyệt từ máy tính được kết nối qua Lan) và thêm địa chỉ của thiết bị này vào cài đặt bảo mật mạng không dây.

Hệ thống sinh trắc học cũng có thể tạo ra lỗi nhận dạng do sự không hoàn hảo của chúng hoặc do những thay đổi trong dữ liệu sinh trắc học của bạn (khàn giọng, sưng tấy, tê mắt, đứt ngón tay). Điều tương tự có thể xảy ra với các ứng dụng được sử dụng để xác thực hai yếu tố. Đối với những trường hợp này, một hệ thống để có được truy cập bằng mã dự phòng. Về cơ bản, đây là những mật khẩu dùng một lần sẽ cần được in và cất trong ngăn bàn (két an toàn).

Nếu bạn không thể xác thực bằng phương pháp thông thường (lỗi được hiển thị), thì mã dự phòng sẽ cho phép bạn đăng nhập. Đối với lần đăng nhập tiếp theo, bạn sẽ cần sử dụng mã dự phòng mới. Nhưng chiếc phao cứu sinh này cũng có mặt khác - nếu những mã dự phòng này bị đánh cắp hoặc bị dụ dỗ (như đã xảy ra với tôi), thì chúng sẽ hoạt động như một khóa chính (khóa chính chung) và mọi biện pháp bảo vệ sẽ trở nên lãng phí.

Chúc bạn may mắn! Hẹn gặp lại bạn sớm trên các trang của trang blog

Bạn có thể xem thêm video bằng cách vào
");">

Bạn có thể quan tâm

Xác thực - nó là gì, tính xác thực có nghĩa là gì? Tài khoản Yandex - đăng ký và cách sử dụng dịch vụ Cách xóa trang của bạn trên Odnoklassniki
Cách khôi phục một trang trong Liên hệ (nếu quyền truy cập bị mất, bị xóa hoặc bị chặn)
Cách đặt mật khẩu vào một thư mục (kho lưu trữ hoặc mật khẩu bảo vệ nó trong Windows) Tại sao VK không tải và trình duyệt không đăng nhập vào VKontakte Nhận dạng - nó là gì và danh tính được xác nhận như thế nào

Hiện nay, một trong những chủ đề được thảo luận và nhấn mạnh nhiều nhất trong lĩnh vực đảm bảo sự bảo vệ tối đa là bảo vệ hai yếu tố. Do số lượng dịch vụ và các cuộc tấn công vào tài khoản người dùng ngày càng tăng, chúng ta phải xem xét kỹ hơn nó là gì, hoạt động như thế nào và tại sao lại đáng sử dụng loại bảo vệ này.

Bảo vệ hai yếu tố là gì?

Bảo vệ hai yếu tố- phương pháp nhận dạng trong bất kỳ dịch vụ nào, khi yêu cầu hai loại xác thực khác nhau. Bảo vệ hai lớp này sẽ cung cấp thông tin đăng nhập an toàn hơn và khiến các bên thứ ba gặp khó khăn hơn trong việc chặn dữ liệu của bạn. Trong thực tế, nó trông như thế này: bước đầu tiên là thông tin đăng nhập và mật khẩu của bạn; giai đoạn thứ hai là một mã đặc biệt gửi đến điện thoại di động hoặc email của bạn (các khóa USB hoặc dữ liệu sinh trắc học đặc biệt ít được sử dụng hơn). Nói một cách đơn giản: để đến được một nơi nào đó, bạn cần xác nhận thực tế rằng bạn đang thực hiện đăng nhập được ủy quyền vào hệ thống. Bạn có biết kho tiền ngân hàng với két an toàn cá nhân hoạt động như thế nào không, nơi bạn có một chìa khóa và chiếc còn lại chuyển cho nhân viên ngân hàng? Vì vậy, ở đây, một phím nằm trong bộ nhớ của bạn, phím thứ hai sẽ dành cho điện thoại hoặc thư của bạn.

Tuy nhiên, bảo vệ hai yếu tố không phải là thuốc chữa bách bệnh cho việc hack, nhưng nó sẽ làm phức tạp đáng kể nhiệm vụ của những kẻ tấn công muốn giành quyền truy cập vào tài khoản của bạn; và cũng sẽ loại bỏ những thiếu sót của hệ thống bảo vệ cổ điển. Cách đăng nhập bằng thông tin đăng nhập và mật khẩu gây ra nghịch lý sau: mật khẩu càng dài và phức tạp thì càng khó đoán nhưng đồng thời cũng khó nhớ; và mật khẩu càng đơn giản và tầm thường thì càng dễ bị hack, hơn nữa, số lượng người dùng áp đảo đặt cùng một mật khẩu để xác thực trong các dịch vụ khác nhau. sử dụng bảo vệ hai yếu tố, ngay cả khi kẻ tấn công đoán, tìm ra hoặc đánh cắp mật khẩu của bạn, hắn cũng sẽ phải lấy trộm điện thoại di động của bạn hoặc giành quyền truy cập vào hộp thư của bạn (nhân tiện, hộp thư này cũng có thể được bảo vệ bằng phương thức xác thực hai yếu tố).

Mặc dù con người hiện đại, khi cố gắng thay thế hệ thống xác thực mật khẩu cố thủ bằng một thứ gì đó thú vị và đáng tin cậy hơn, nhưng vì tính đơn giản của nó, anh ta không thể hoàn toàn thoát khỏi mô hình quen thuộc với mọi người. Và khi xem xét các lựa chọn khác nhau, chúng ta phải đồng ý rằng trong thời đại của chúng ta bảo vệ hai yếu tố cung cấp mức độ bảo vệ cao nhất. Một ưu điểm khác là nếu bạn cố gắng đăng nhập trái phép vào hệ thống, bạn sẽ nhận được thông báo và nếu tại thời điểm đó bạn không đăng nhập vào tài khoản của mình thì đã đến lúc bạn phải suy nghĩ về độ tin cậy của mật khẩu cũ của mình và sự hiện diện của phần mềm độc hại trên máy tính cá nhân của bạn.

Bảo vệ hai bước nên được kích hoạt ở đâu và trong trường hợp nào?

Có bao nhiêu thông tin đăng nhập và mật khẩu cho các tài khoản và hộp thư khác nhau được công khai? Có bao nhiêu bức ảnh chân thực, cá nhân của những nhân vật nổi tiếng đã được công chúng xem? Ngay cả một ví dụ đơn giản như vậy cũng cho thấy phương pháp sử dụng một mật khẩu vĩnh viễn không đáng tin cậy đến mức nào.

Nếu dịch vụ bạn đang sử dụng chứa dữ liệu cá nhân quan trọng và yêu cầu bạn cài đặt mức độ bảo vệ hai lớp, sau đó làm điều đó mà không do dự. Tuy nhiên, nếu đây là một loại dịch vụ hoặc diễn đàn lưu trữ tệp nào đó, thì tôi khó có thể làm phức tạp mọi thứ. Nhưng liên quan đến mạng xã hội, ngân hàng trực tuyến, hộp thư hoặc dịch vụ dịch vụ thì chắc chắn là có. Bạn có nhận thấy rằng các ngân hàng hàng đầu thậm chí còn sử dụng mức bảo vệ ba yếu tố không? Cụ thể: mật khẩu vĩnh viễn, mật khẩu tạm thời (trên điện thoại di động), cũng như cuộc gọi xác nhận. Xét cho cùng, những tổ chức như vậy chịu thiệt hại nặng nề nhất từ ​​việc thâm nhập dịch vụ một cách bất hợp pháp.

Nhân tiện, nếu bạn có trang web của riêng mình và khả năng truy cập mức độ bảo vệ hai yếu tố, sau đó thử sử dụng nó. Suy cho cùng, như đã nói trước đó: nếu bạn coi trọng tài khoản của mình và nội dung trong đó thì việc tăng cường bảo vệ sẽ là một quyết định có lợi cho mọi người.

Có những loại bảo vệ hai bước nào?

Như đã đề cập trước đó, các tài nguyên Internet và mạng VPN tự tôn trọng sử dụng các phương pháp bảo vệ nâng cao như mã qua SMS/cuộc gọi đến điện thoại di động, gửi thư đến thư, khóa USB, thẻ thông minh, cuộc gọi. Nhưng bên cạnh chúng, còn có các phương pháp như trình tạo mã (chìa khóa điện tử có nút bấm và màn hình nhỏ), công nghệ SecurID và các phương pháp cụ thể khác được sử dụng chủ yếu bởi các khu vực doanh nghiệp. Các phương pháp bảo mật cũ hơn cũng có liên quan, chẳng hạn như mật khẩu TAN (Số xác thực giao dịch). Rất có thể, bạn đã xử lý phương pháp này khi sử dụng Internet Banking, bạn được cấp một mảnh giấy có mật khẩu được tạo trước (mật khẩu một lần). Nhân tiện, ngay cả những ngân hàng tiến bộ nhất cũng không sử dụng bảo vệ hai yếu tố. Rốt cuộc, để vào dịch vụ, bạn sử dụng thẻ (khóa đầu tiên) và mật khẩu mà bạn có trong đầu (khóa thứ hai).

Hãy xem xét các phương pháp xác thực thậm chí còn khác thường hơn đối với chúng tôi. Quét dấu vân tay, mống mắt, thậm chí có những loại được hướng dẫn bởi “mô hình” của nhịp tim. Mặc dù chúng ta không gặp những phương pháp như vậy trong cuộc sống hàng ngày, nhưng chúng vẫn phù hợp và cần thiết trong những cơ sở rất nghiêm túc. Hình xăm điện từ thậm chí còn đang được thử nghiệm, theo ví dụ về chip vô tuyến, có thể đóng vai trò là một phần tử bảo vệ hai yếu tố. Chúng tôi hy vọng rằng sẽ không mất nhiều thời gian từ lúc lên ý tưởng đến khi thực hiện. Cá nhân tôi không ngại làm điều này.

Xác thực hai yếu tố Apple ID là công nghệ bảo mật mới cho tài khoản của bạn, đảm bảo rằng chỉ chủ sở hữu mới có thể truy cập được. Hơn nữa, ngay cả khi người khác biết ký tự mật khẩu của tài khoản, người đó vẫn không thể đăng nhập vào hệ thống thay vì chủ sở hữu hợp pháp của ID.

Việc sử dụng công nghệ này cung cấp quyền truy cập vào tài khoản của bạn độc quyền từ các thiết bị đáng tin cậy - iPhone, máy tính bảng hoặc MacBook. Khi đăng nhập lần đầu tiên trên một tiện ích mới, bạn sẽ cần chỉ định hai loại dữ liệu - ký tự mật khẩu và mã xác minh ở định dạng 6 chữ số. Ký hiệu mã được tự động cập nhật trên các thiết bị này. Sau khi nhập nó, tiện ích mới sẽ được coi là đáng tin cậy. Giả sử, nếu bạn có iPhone, khi đăng nhập lần đầu vào tài khoản của mình trên MacBook mới mua, bạn sẽ cần nhập các ký tự mật khẩu và mã xác minh, mã này sẽ tự động bật lên trên màn hình của iPhone.

Vì ký tự mật khẩu không đủ để truy cập tài khoản nên các loại xác minh khác cũng được sử dụng, chỉ báo bảo mật số ID được tăng lên đáng kể.

Sau khi đăng nhập, mã sẽ không còn được yêu cầu trên thiết bị này cho đến khi bạn đăng xuất và mọi thông tin trên tiện ích bị xóa hoặc các ký tự mật khẩu cần được thay đổi (cũng vì mục đích bảo mật). Nếu đăng nhập qua mạng, bạn có thể làm cho trình duyệt trở nên đáng tin cậy và lần sau khi làm việc với cùng một thiết bị, bạn sẽ không cần phải nhập mã.

Các tiện ích đã được chứng minh: chúng là gì?

Đây không thể là bất kỳ thiết bị “Apple” nào - chỉ iPhone, iPad có hệ điều hành Touch phiên bản 9 trở lên, cũng như MacBook có hệ điều hành Capitan hoặc những thiết bị mới hơn. Hệ thống của các tiện ích này phải được đăng nhập bằng xác minh 2 yếu tố.

Nói tóm lại, đây là một thiết bị mà Apple biết chắc chắn nó thuộc về ai và qua đó bạn có thể xác minh danh tính của mình bằng cách hiển thị mã xác nhận khi đăng nhập từ một tiện ích hoặc trình duyệt khác.

Số điện thoại đã được xác minh

Đây là những cái có thể được sử dụng để nhận mã xác nhận qua tin nhắn văn bản hoặc cuộc gọi. Bạn phải xác nhận ít nhất một số để truy cập nhận dạng 2 yếu tố.

Bạn cũng có thể xác nhận các số khác - nhà riêng hoặc bạn bè/người thân. Khi tạm thời không có quyền truy cập vào cái chính, bạn có thể sử dụng chúng.

Đặt quy tắc

Nếu thiết bị có hệ điều hành phiên bản 10.3 trở lên, thuật toán hành động sẽ như sau:

  • Đi tới phần cài đặt, đến mục mật khẩu và bảo mật.
  • Bấm vào phần để kích hoạt nhận dạng 2 yếu tố.
  • Bấm vào tùy chọn tiếp tục.

Nếu tiện ích có OS 10.2 trở xuống, các bước sẽ như sau:

  • Đi tới cài đặt iCloud.
  • Chọn số ID của bạn và đi đến phần mật khẩu bảo mật.
  • Nhấp vào tùy chọn để kích hoạt xác thực 2 yếu tố.
  • Nhấp vào phần tử tiếp tục.



Làm cách nào để tắt xác thực hai yếu tố trong Apple ID?

Nhiều người thắc mắc liệu công nghệ này có thể tắt được không. Tất nhiên là có. Nhưng hãy nhớ rằng sau khi tắt, tài khoản sẽ được bảo vệ yếu - chỉ bằng các ký hiệu mật khẩu và câu hỏi.

Để tắt nó, bạn cần đăng nhập vào mục chỉnh sửa trên trang tài khoản của mình (trong tab bảo mật). Sau đó bấm vào phần để tắt nhận dạng 2 yếu tố. Sau khi đặt các câu hỏi bảo mật mới và đồng ý với ngày sinh được chỉ định, công nghệ sẽ ngừng hoạt động.

Nếu ai đó kích hoạt lại nó để lấy ID mà chủ sở hữu hợp pháp không biết, thì có thể vô hiệu hóa nó qua e-mail. Tiếp theo, như trước đây, bạn cần nhấp vào phần tắt xác thực ở cuối tin nhắn mà bạn nhận được trước đó qua e-mail. Liên kết sẽ hoạt động trong hai tuần nữa. Nhấp vào nó sẽ cho phép bạn khôi phục cài đặt bảo mật ID trước đó và kiểm soát tài khoản của mình.

Đó là một bài đăng hiếm hoi trên blog Yandex, đặc biệt là một bài liên quan đến bảo mật mà không đề cập đến xác thực hai yếu tố. Chúng tôi đã suy nghĩ rất lâu về cách tăng cường bảo vệ tài khoản người dùng một cách hợp lý và theo cách mà nó có thể được sử dụng mà không gặp bất kỳ sự bất tiện nào bao gồm các cách triển khai phổ biến nhất hiện nay. Và than ôi, chúng thật bất tiện. Theo một số dữ liệu, trên nhiều trang web lớn, tỷ lệ người dùng đã kích hoạt các phương tiện xác thực bổ sung không vượt quá 0,1%.

Có vẻ như điều này là do sơ đồ xác thực hai yếu tố phổ biến quá phức tạp và bất tiện. Chúng tôi đã cố gắng tìm ra một phương pháp thuận tiện hơn mà không làm mất mức độ bảo vệ và hôm nay chúng tôi giới thiệu phiên bản beta của nó.

Chúng tôi hy vọng nó sẽ trở nên phổ biến hơn. Về phần mình, chúng tôi sẵn sàng nỗ lực cải tiến và tiêu chuẩn hóa nó.

Sau khi kích hoạt xác thực hai yếu tố trong Passport, bạn sẽ cần cài đặt ứng dụng Yandex.Key trong App Store hoặc Google Play. Mã QR đã xuất hiện trong biểu mẫu ủy quyền trên trang chính Yandex, trong Thư và Hộ chiếu. Để đăng nhập vào tài khoản của mình, bạn cần đọc mã QR thông qua ứng dụng - và thế là xong. Ví dụ: nếu không đọc được mã QR, camera của điện thoại thông minh không hoạt động hoặc không có quyền truy cập Internet, ứng dụng sẽ tạo mật khẩu một lần chỉ có hiệu lực trong 30 giây.

Tôi sẽ cho bạn biết lý do tại sao chúng tôi quyết định không sử dụng các cơ chế “tiêu chuẩn” như RFC 6238 hoặc RFC 4226. Các chương trình xác thực hai yếu tố phổ biến hoạt động như thế nào? Chúng có hai giai đoạn. Giai đoạn đầu tiên là xác thực thông thường bằng thông tin đăng nhập và mật khẩu. Nếu thành công, trang web sẽ kiểm tra xem nó có “thích” phiên người dùng này hay không. Và nếu “Tôi không thích nó”, nó sẽ yêu cầu người dùng “xác thực lại”. Có hai phương pháp “xác thực trước” phổ biến: gửi SMS đến số điện thoại được liên kết với tài khoản và tạo mật khẩu thứ hai trên điện thoại thông minh. Về cơ bản, TOTP theo RFC 6238 được sử dụng để tạo mật khẩu thứ 2. Nếu người dùng nhập đúng mật khẩu thứ 2 thì phiên được coi là xác thực hoàn toàn, còn nếu không thì phiên cũng mất tính năng “xác thực trước”.

Cả hai phương pháp ─ gửi SMS và tạo mật khẩu ─ đều là bằng chứng về quyền sở hữu điện thoại và do đó là một yếu tố khả dụng. Mật khẩu được nhập ở giai đoạn đầu tiên là yếu tố kiến ​​thức. Do đó, sơ đồ xác thực này không chỉ có hai bước mà còn có hai yếu tố.

Điều gì có vẻ khó khăn đối với chúng tôi trong kế hoạch này?

Hãy bắt đầu với thực tế là máy tính của người dùng bình thường không phải lúc nào cũng được gọi là mô hình bảo mật: tắt các bản cập nhật Windows, bản sao lậu của phần mềm chống vi-rút không có chữ ký hiện đại và phần mềm có nguồn gốc không rõ ràng - tất cả những điều này không làm tăng mức độ bảo vệ. Theo đánh giá của chúng tôi, xâm phạm máy tính của người dùng là phương pháp "chiếm đoạt" tài khoản phổ biến nhất (và gần đây đã có một xác nhận khác về điều này) và đây là điều chúng tôi muốn bảo vệ mình trước hết. Trong trường hợp xác thực hai yếu tố, nếu bạn cho rằng máy tính của người dùng bị xâm phạm, việc nhập mật khẩu vào đó sẽ làm tổn hại chính mật khẩu đó, đây là yếu tố đầu tiên. Điều này có nghĩa là kẻ tấn công chỉ cần chọn yếu tố thứ hai. Trong trường hợp triển khai chung RFC 6238, hệ số thứ hai là 6 chữ số thập phân (và mức tối đa được thông số kỹ thuật cho phép là 8 chữ số). Theo máy tính bruteforce cho OTP, trong ba ngày, kẻ tấn công có thể tìm ra yếu tố thứ hai nếu bằng cách nào đó hắn biết được yếu tố đầu tiên. Hiện chưa rõ dịch vụ nào có thể chống lại cuộc tấn công này mà không làm gián đoạn trải nghiệm thông thường của người dùng. Bằng chứng khả thi duy nhất về công việc là hình ảnh xác thực, theo ý kiến ​​​​của chúng tôi, đây là phương sách cuối cùng.

Vấn đề thứ hai là sự thiếu minh bạch trong đánh giá của dịch vụ về chất lượng phiên người dùng và đưa ra quyết định về nhu cầu “xác thực trước”. Tệ hơn nữa, dịch vụ này không quan tâm đến việc làm cho quá trình này trở nên minh bạch, bởi vì bảo mật bằng cách che khuất thực sự hoạt động ở đây. Nếu kẻ tấn công biết dựa trên cơ sở nào mà dịch vụ đưa ra quyết định về tính hợp pháp của một phiên, thì hắn có thể cố gắng giả mạo dữ liệu này. Theo nguyên tắc chung, chúng tôi có thể kết luận rằng phán quyết được đưa ra dựa trên lịch sử xác thực của người dùng, có tính đến địa chỉ IP (và các dẫn xuất của số hệ thống tự trị xác định nhà cung cấp và vị trí dựa trên cơ sở địa lý) và dữ liệu trình duyệt, ví dụ: tiêu đề Tác nhân người dùng và một bộ cookie, bộ nhớ cục bộ flash lso và html. Điều này có nghĩa là nếu kẻ tấn công điều khiển máy tính của người dùng, hắn không chỉ có thể đánh cắp tất cả dữ liệu cần thiết mà còn có thể sử dụng địa chỉ IP của nạn nhân. Hơn nữa, nếu quyết định được đưa ra dựa trên ASN, thì bất kỳ xác thực nào từ Wi-Fi công cộng trong quán cà phê đều có thể dẫn đến “đầu độc” từ quan điểm bảo mật (và tẩy trắng từ quan điểm dịch vụ) của nhà cung cấp điều này. quán cà phê và ví dụ như tẩy trắng tất cả các quán cà phê trong thành phố. Chúng ta đã nói về cách hoạt động của hệ thống phát hiện điểm bất thường và hệ thống này có thể được sử dụng, nhưng khoảng thời gian giữa giai đoạn xác thực thứ nhất và thứ hai có thể không đủ để tự tin đánh giá điểm bất thường. Hơn nữa, lập luận tương tự đã phá hủy ý tưởng về máy tính "đáng tin cậy": kẻ tấn công có thể đánh cắp bất kỳ thông tin nào ảnh hưởng đến phán đoán về độ tin cậy.

Cuối cùng, xác thực hai bước đơn giản là bất tiện: nghiên cứu về khả năng sử dụng của chúng tôi cho thấy không có gì khiến người dùng khó chịu hơn màn hình trung gian, các lần nhấp nút bổ sung và các hành động “không quan trọng” khác theo quan điểm của họ.
Dựa trên điều này, chúng tôi đã quyết định rằng việc xác thực phải là một bước và không gian mật khẩu phải lớn hơn nhiều so với khả năng có thể trong khuôn khổ RFC 6238 “thuần túy”.
Đồng thời, chúng tôi muốn duy trì xác thực hai yếu tố nhiều nhất có thể.

Xác thực đa yếu tố được xác định bằng cách gán các phần tử xác thực (thực ra chúng được gọi là các yếu tố) cho một trong ba loại:

  1. Yếu tố kiến ​​thức (đây là mật khẩu truyền thống, mã PIN và mọi thứ trông giống chúng);
  2. Yếu tố quyền sở hữu (trong các chương trình OTP được sử dụng, đây thường là điện thoại thông minh nhưng cũng có thể là mã thông báo phần cứng);
  3. Yếu tố sinh trắc học (dấu vân tay là phổ biến nhất hiện nay, mặc dù ai đó sẽ nhớ đến tập phim có nhân vật Wesley Snipes trong phim Demolition Man).

Phát triển hệ thống của chúng tôi

Khi chúng tôi bắt đầu nghiên cứu vấn đề xác thực hai yếu tố (các trang đầu tiên của wiki công ty về vấn đề này có từ năm 2012, nhưng nó đã được thảo luận ở hậu trường trước đó), ý tưởng đầu tiên là sử dụng các phương pháp xác thực tiêu chuẩn và áp dụng chúng. cho chúng tôi. Chúng tôi hiểu rằng chúng tôi không thể tin tưởng vào hàng triệu người dùng của mình sẽ mua mã thông báo phần cứng, vì vậy chúng tôi đã hoãn tùy chọn này trong một số trường hợp kỳ lạ (mặc dù chúng tôi không hoàn toàn từ bỏ nó, nhưng có lẽ chúng tôi sẽ có thể nghĩ ra điều gì đó thú vị). Phương thức SMS cũng không thể phổ biến: đây là một phương thức gửi rất không đáng tin cậy (tại thời điểm quan trọng nhất, SMS có thể bị trì hoãn hoặc không đến nơi) và gửi SMS sẽ tốn tiền (và các nhà khai thác đã bắt đầu tăng giá) . Chúng tôi quyết định rằng việc sử dụng SMS là dành cho các ngân hàng và các công ty công nghệ thấp khác và chúng tôi muốn cung cấp cho người dùng thứ gì đó thuận tiện hơn. Nói chung, sự lựa chọn rất nhỏ: sử dụng điện thoại thông minh và chương trình trong đó làm yếu tố thứ hai.

Hình thức xác thực một bước này rất phổ biến: người dùng nhớ mã PIN (yếu tố đầu tiên) và có mã thông báo phần cứng hoặc phần mềm (trong điện thoại thông minh) tạo ra OTP (yếu tố thứ hai). Trong trường nhập mật khẩu, anh nhập mã PIN và giá trị OTP hiện tại.

Theo chúng tôi, nhược điểm chính của sơ đồ này cũng giống như nhược điểm của xác thực hai bước: nếu chúng tôi cho rằng máy tính để bàn của người dùng bị xâm phạm, thì việc nhập mã PIN một lần sẽ dẫn đến việc lộ mã và kẻ tấn công chỉ có thể tìm thấy mã PIN thứ hai. nhân tố.

Chúng tôi quyết định đi một con đường khác: toàn bộ mật khẩu được tạo từ bí mật, nhưng chỉ một phần bí mật được lưu trữ trong điện thoại thông minh và một phần được người dùng nhập mỗi khi mật khẩu được tạo. Như vậy, bản thân điện thoại thông minh là yếu tố sở hữu, còn mật khẩu vẫn ở trong đầu người dùng và là yếu tố tri thức.

Nonce có thể là bộ đếm hoặc thời gian hiện tại. Chúng tôi quyết định chọn thời điểm hiện tại, điều này cho phép chúng tôi không sợ đồng bộ hóa trong trường hợp ai đó tạo quá nhiều mật khẩu và tăng bộ đếm.

Vì vậy, chúng tôi có một chương trình dành cho điện thoại thông minh trong đó người dùng nhập phần bí mật của mình, nó được trộn với phần được lưu trữ, kết quả được sử dụng làm khóa HMAC, dùng để ký thời gian hiện tại, được làm tròn thành 30 giây. Đầu ra HMAC được chuyển đổi thành dạng có thể đọc được và thì đấy ─ đây là mật khẩu một lần!

Như đã nêu trước đó, RFC 4226 chỉ định rằng kết quả HMAC bị cắt bớt tối đa 8 chữ số thập phân. Chúng tôi quyết định rằng mật khẩu có kích thước này không phù hợp để xác thực một bước và cần được tăng lên. Đồng thời, chúng tôi muốn duy trì tính dễ sử dụng (xét cho cùng, hãy nhớ rằng chúng tôi muốn tạo ra một hệ thống sẽ được sử dụng bởi những người bình thường chứ không chỉ những người đam mê bảo mật), vì vậy, như một sự thỏa hiệp trong phiên bản hiện tại của hệ thống , chúng tôi đã chọn cắt bớt bảng chữ cái Latinh xuống còn 8 ký tự. Có vẻ như 26^8 mật khẩu có hiệu lực trong 30 giây là khá chấp nhận được, nhưng nếu giới hạn bảo mật không phù hợp với chúng tôi (hoặc các mẹo có giá trị về cách cải thiện sơ đồ này xuất hiện trên Habré), chẳng hạn, chúng tôi sẽ mở rộng thành 10 ký tự.

Tìm hiểu thêm về độ mạnh của mật khẩu đó

Trên thực tế, đối với các chữ cái Latinh không phân biệt chữ hoa chữ thường, số lượng tùy chọn cho mỗi ký tự là 26, đối với các chữ cái Latinh lớn và nhỏ cộng với số, số lượng tùy chọn là 26+26+10=62. Khi đó log 62 (26 10) ≈ 7.9, tức là mật khẩu gồm 10 chữ cái Latinh nhỏ ngẫu nhiên sẽ mạnh gần bằng mật khẩu gồm 8 chữ cái hoặc số Latinh lớn và nhỏ ngẫu nhiên. Điều này chắc chắn sẽ đủ trong 30 giây. Nếu chúng ta nói về mật khẩu 8 ký tự được làm bằng các chữ cái Latinh, thì độ mạnh của nó là log 62 (26 8) ≈ 6.3, tức là nhiều hơn một chút so với mật khẩu 6 ký tự được làm bằng chữ hoa, chữ thường và số. Chúng tôi cho rằng điều này vẫn có thể chấp nhận được đối với cửa sổ 30 giây.

Phép thuật, không mật khẩu, ứng dụng và các bước tiếp theo

Nói chung, lẽ ra chúng tôi có thể dừng lại ở đó, nhưng chúng tôi muốn làm cho hệ thống trở nên thuận tiện hơn nữa. Khi một người có điện thoại thông minh trong tay, anh ta không muốn nhập mật khẩu từ bàn phím!

Đó là lý do tại sao chúng tôi bắt đầu nghiên cứu “đăng nhập ma thuật”. Với phương thức xác thực này, người dùng khởi chạy ứng dụng trên điện thoại thông minh của mình, nhập mã PIN vào đó và quét mã QR trên màn hình máy tính. Nếu mã PIN được nhập chính xác, trang trong trình duyệt sẽ được tải lại và người dùng được xác thực. Ảo thuật!

Làm thế nào nó hoạt động?

Số phiên được nhúng trong mã QR và khi ứng dụng quét nó, số này sẽ được truyền đến máy chủ cùng với mật khẩu và tên người dùng được tạo theo cách thông thường. Điều này không khó vì điện thoại thông minh hầu như luôn trực tuyến. Trong bố cục của trang hiển thị mã QR, JavaScript đang chạy, chờ phản hồi từ máy chủ để kiểm tra mật khẩu cho phiên này. Nếu máy chủ phản hồi rằng mật khẩu đúng, cookie phiên sẽ được đặt cùng với phản hồi và người dùng được coi là đã xác thực.

Mọi chuyện đã khá hơn nhưng chúng tôi cũng quyết định không dừng lại ở đây. Bắt đầu với iPhone 5S, điện thoại và máy tính bảng Apple đã giới thiệu máy quét dấu vân tay TouchID và trong phiên bản iOS 8, các ứng dụng của bên thứ ba cũng có thể sử dụng nó. Trên thực tế, ứng dụng không có quyền truy cập vào dấu vân tay, nhưng nếu dấu vân tay chính xác thì phần Móc khóa bổ sung sẽ có sẵn cho ứng dụng. Chúng tôi đã tận dụng điều này. Phần thứ hai của bí mật được đặt trong bản ghi Chuỗi khóa được bảo vệ bằng TouchID, phần mà người dùng đã nhập từ bàn phím trong kịch bản trước. Khi mở khóa Chuỗi khóa, hai phần bí mật được trộn lẫn và sau đó quy trình hoạt động như mô tả ở trên.

Nhưng nó đã trở nên vô cùng tiện lợi cho người dùng: anh ta mở ứng dụng, đặt ngón tay, quét mã QR trên màn hình và thấy mình được xác thực trong trình duyệt trên máy tính của mình! Vì vậy, chúng tôi đã thay thế yếu tố kiến ​​thức bằng yếu tố sinh trắc học và theo quan điểm của người dùng, mật khẩu đã bị loại bỏ hoàn toàn. Chúng tôi chắc chắn rằng những người bình thường sẽ thấy chương trình này thuận tiện hơn nhiều so với việc nhập hai mật khẩu theo cách thủ công.

Còn tranh cãi về việc xác thực hai yếu tố này về mặt kỹ thuật như thế nào, nhưng trên thực tế, bạn vẫn cần phải có điện thoại và có dấu vân tay chính xác để hoàn thành thành công, vì vậy chúng tôi tin rằng mình đã khá thành công trong việc loại bỏ yếu tố kiến ​​thức, thay thế bằng sinh trắc học . Chúng tôi hiểu rằng chúng tôi dựa vào tính bảo mật của ARM TrustZone làm nền tảng cho iOS Secure Enclave và chúng tôi tin rằng hệ thống con này hiện có thể được coi là đáng tin cậy trong mô hình mối đe dọa của chúng tôi. Tất nhiên, chúng tôi nhận thức được các vấn đề với xác thực sinh trắc học: dấu vân tay không phải là mật khẩu và không thể thay thế nếu bị xâm phạm. Tuy nhiên, mặt khác, mọi người đều biết rằng tính bảo mật tỷ lệ nghịch với sự thuận tiện và bản thân người dùng có quyền lựa chọn tỷ lệ giữa cái này và cái kia mà mình chấp nhận được.

Hãy để tôi nhắc bạn rằng đây vẫn là bản beta. Bây giờ, khi xác thực hai yếu tố được bật, chúng tôi tạm thời tắt đồng bộ hóa mật khẩu trong Trình duyệt Yandex. Điều này là do cách cơ sở dữ liệu mật khẩu được mã hóa. Chúng tôi đã đưa ra một cách thuận tiện để xác thực Trình duyệt trong trường hợp 2FA. Tất cả các chức năng khác của Yandex đều hoạt động như trước.

Đây là những gì chúng tôi có. Mọi việc có vẻ diễn ra tốt đẹp nhưng bạn là người phán xét. Chúng tôi sẽ rất vui khi nghe phản hồi và đề xuất của bạn, đồng thời chúng tôi sẽ tiếp tục nỗ lực cải thiện tính bảo mật cho các dịch vụ của mình: giờ đây, cùng với CSP, mã hóa vận chuyển thư và mọi thứ khác, chúng tôi hiện có xác thực hai yếu tố. Đừng quên rằng các dịch vụ xác thực và ứng dụng tạo OTP rất quan trọng và do đó, phần thưởng gấp đôi sẽ được trả cho các lỗi được tìm thấy trong chúng như một phần của chương trình Bug Bounty.

Thẻ: Thêm thẻ