Thực đơn
trang chủSự liên quan

Xác thực hai yếu tố của Apple: tính năng, nguyên tắc bảo vệ, vô hiệu hóa. Xác thực hai yếu tố dễ sử dụng

Nói cách khác, xác thực hai yếu tố là chìa khóa thứ hai cho tài khoản của bạn. Ví dụ: nếu bạn kích hoạt tùy chọn này trong Evernote (có một tùy chọn như vậy), thì kẻ tấn công đoán được mật khẩu cho dịch vụ ghi chú này sẽ gặp phải một vấn đề khác - yêu cầu chỉ định mã một lần được gửi tới số điện thoại của bạn. Điều đáng lưu ý là nếu có ý định hack tài khoản của bạn, bạn sẽ nhận được một tin nhắn SMS và bạn có thể thay đổi mật khẩu của mình ngay lập tức.

Đồng ý rằng đây là một lựa chọn rất thuận tiện, sử dụng nó bạn sẽ bớt lo lắng hơn về việc mất thông tin cá nhân.

Đâu là nơi tốt nhất để sử dụng nó?

Tất nhiên, một số người dùng có thể phản đối, cho rằng xác thực hai bước là quá nhiều “bước không cần thiết” và nhìn chung, nó dành cho những người hoang tưởng luôn nghĩ rằng có ai đó đang theo dõi họ.

Có lẽ họ đúng ở một khía cạnh nào đó. Ví dụ, đối với mạng xã hội, không cần thiết phải sử dụng phương pháp bảo vệ này. Mặc dù ở đây người ta có thể tranh luận. Theo quy định, những kẻ tấn công cố gắng hack tài khoản của quản trị viên của “công chúng” nổi tiếng. Và rất có thể, bạn cũng sẽ không muốn một ngày nào đó nhận ra rằng tài khoản của bạn trên một trong những “mạng xã hội” đã bị hack và những bức ảnh hoàn toàn không đứng đắn đã được đăng trên “Bức tường”.

Ví dụ: đối với các dịch vụ khác, xác thực hai yếu tố Yandex sẽ cho phép bạn lưu trữ an toàn dữ liệu đăng ký của mình từ các hệ thống thanh toán (PayPal, WebMoney và các dịch vụ khác) hoặc các thư chứa thông tin bí mật.

Bảo vệ Tài khoản Google

Một trong những dịch vụ phổ biến nhất hiện nay là Google. Đây là nơi bạn có thể đăng ký tài khoản email, lưu trữ tài liệu trên Google Drive, tạo blog hoặc kênh trên YouTube miễn phí, sau này có thể mang lại lợi nhuận cho bạn.

Để người dùng có thể tin tưởng vào sự an toàn của tài liệu được lưu trữ trên thư hoặc đĩa, Google đã cung cấp xác thực hai yếu tố. Để kích hoạt nó, bạn phải đăng nhập vào tài khoản của mình.

Bây giờ, chẳng hạn như khi đã mở hộp thư của bạn, hãy chú ý đến hình đại diện ở góc trên bên phải. Nhấp vào nó và đi đến “Tài khoản của tôi”. Tại đây, bạn cần có phần “Bảo mật và đăng nhập”, cụ thể là liên kết “Đăng nhập vào tài khoản Google”.

Ở bên phải, bạn sẽ thấy tùy chọn “Xác minh hai bước”, tại đây bạn cần nhấp vào mũi tên để kích hoạt nó. Một cửa sổ sẽ mở ra trong đó bạn quan tâm đến nút "Tiếp tục thiết lập". Nhập mật khẩu của bạn và làm theo hướng dẫn thêm.

Xác thực hai yếu tố "Yandex"

Yandex cũng cung cấp cho người dùng khá nhiều dịch vụ hữu ích. Ngoài việc lưu trữ thông tin trên đám mây trên Yandex.Disk, bạn có thể có cho mình một ví điện tử để rút số tiền bạn kiếm được trên Internet.

Và tất nhiên, Yandex không đứng ngoài cuộc và còn đề nghị người dùng sử dụng xác thực hai yếu tố để bảo vệ tài liệu được lưu trữ trong hộp thư.

Để kích hoạt nó, bạn sẽ cần phải làm theo một vài bước đơn giản. Đăng nhập vào tài khoản của bạn và nhấp vào LMB trên ảnh hồ sơ của bạn (góc trên cùng bên phải). Chọn "Hộ chiếu" từ menu thả xuống. Một cửa sổ sẽ mở ra trong đó bạn cần nhấp vào liên kết “Kiểm soát truy cập”. Đặt “thanh trượt” sang vị trí “BẬT”. Bạn sẽ được chuyển hướng đến một trang nơi bạn cần nhấp vào nút “Bắt đầu thiết lập”. Bây giờ hãy thực hiện 4 bước để kích hoạt bảo vệ hai yếu tố.

Mạng xã hội VKontakte"

Như đã đề cập ở trên, những kẻ tấn công thường cố gắng giành quyền truy cập vào tài khoản của “quản trị viên” của các nhóm phổ biến. Nhưng điều này không phải lúc nào cũng đúng, vì đơn giản thư từ cá nhân của một số người nổi tiếng trên Internet cũng có thể được quan tâm.

Điều đáng chú ý là đối với một số người dùng, phương pháp bảo vệ tài khoản này bắt đầu gây khó chịu theo thời gian, vì nó yêu cầu nhập mã bí mật liên tục, ngoài thông tin đăng nhập và mật khẩu. Trong những trường hợp như vậy, bạn cần biết cách tắt xác thực hai yếu tố. Tuy nhiên, trước tiên chúng ta sẽ giải quyết việc kích hoạt tùy chọn này.

Trên thực tế, việc kích hoạt xác minh hai bước rất đơn giản. Chọn "Cài đặt của tôi" và sau đó chuyển đến tab "Bảo mật". Trong phần “Xác nhận đăng nhập”, nhấp vào nút “Kết nối”. Bây giờ hãy làm theo tất cả các yêu cầu từng cái một.

Vô hiệu hóa xác thực hai yếu tố

Để tắt tính năng bảo vệ hai bước trong Yandex, bạn cần quay lại “Hộ chiếu” bằng cách nhấp vào hình đại diện của mình. Sau đó, mở phần “Kiểm soát truy cập” và đặt thanh trượt về vị trí “Tắt”.

Phần kết luận

Bây giờ bạn đã biết xác thực hai vòng là gì và tại sao nó lại cần thiết. Khi sử dụng một dịch vụ cụ thể, bạn có thể kích hoạt tính năng bảo vệ bổ sung này hoặc từ chối tính năng này.

Tất nhiên, trong một số trường hợp, bạn nên bật xác minh hai bước. Ví dụ: khi đăng ký trên WebMoney, bạn đã chỉ ra email của mình từ Yandex. Khi làm việc trên Internet, bạn có thể trở thành nạn nhân của những hacker sẽ hack hộp thư của bạn và giành quyền truy cập vào ví điện tử của bạn. Để ngăn điều này xảy ra, tốt hơn hết bạn nên đặt mật khẩu mạnh và liên kết e-mail với điện thoại của mình. Bằng cách này, bạn có thể phản ứng nhanh chóng nếu họ cố gắng hack bạn.

Xác thực hai yếu tố cung cấp mức độ bảo mật cao hơn so với mật khẩu truyền thống. Ngay cả một mật khẩu phức tạp và hiệu quả cũng có thể dễ bị vi rút, keylogger và các cuộc tấn công lừa đảo.

Bạn có thể kích hoạt xác thực hai yếu tố trên trang quản lý tài khoản Yandex. Để thiết lập quyền truy cập Yandex.Key, bạn sẽ cần có thiết bị di động Android hoặc iOS.

Sau khi kích hoạt xác thực hai yếu tố:

  • Thay vì sử dụng mật khẩu tiêu chuẩn để truy cập các dịch vụ và ứng dụng Yandex, bạn sẽ cần nhập mật khẩu một lần (ví dụ: để đăng nhập vào tài khoản hoặc thay đổi số điện thoại của bạn). Khi sử dụng mã QR, bạn không cần phải nhập thông tin đăng nhập hoặc mật khẩu để đăng nhập vào tài khoản Yandex của mình.
  • Đối với các ứng dụng di động, chương trình máy tính và ứng dụng email của bên thứ ba, bạn sẽ cần sử dụng mật khẩu ứng dụng riêng.
  • Trang khôi phục cho tài khoản Yandex của bạn sẽ được thay đổi.

Để bật xác thực hai yếu tố, hãy nhấp vào liên kết “Thiết lập xác thực hai yếu tố” trên trang “Thông tin cá nhân” trong phần “Quản lý quyền truy cập” và làm theo một số bước:

Nếu số điện thoại của bạn đã được liên kết với tài khoản của bạn, hãy xác nhận hoặc thay đổi số đó. Nếu số điện thoại không được chỉ định, bạn cần thêm số đó, nếu không bạn sẽ không thể khôi phục quyền truy cập vào tài khoản của mình.

Để liên kết một số mới hoặc xác minh một số điện thoại, hãy yêu cầu mã rồi nhập mã đó vào trường thích hợp. Sau đó nhấp vào nút “Xác nhận” và chuyển sang bước tiếp theo.

2. Tạo mã PIN.

Tạo mã PIN gồm 4 chữ số và nhập mã đó để xác thực hai yếu tố.

Quan trọng: Bạn không được chia sẻ mã PIN của mình với người khác. Không thể thay đổi mã PIN. Nếu bạn quên mã PIN, ứng dụng Yandex.Key sẽ không thể tạo mật khẩu một lần; bạn chỉ có thể khôi phục quyền truy cập vào tài khoản của mình với sự trợ giúp của chuyên gia hỗ trợ kỹ thuật.

Sau khi nhập mã PIN, nhấp vào nút “Tạo”.

Cần có ứng dụng Yandex.Key để tạo mật khẩu một lần cho tài khoản của bạn. Bạn có thể gửi liên kết để cài đặt ứng dụng trực tiếp trên màn hình thiết lập xác thực hai yếu tố hoặc bạn có thể tải xuống ứng dụng từ App Store hoặc Google Play.

Lưu ý: để Yandex.Key hoạt động, bạn có thể cần truy cập vào camera của thiết bị để nhận dạng mã vạch (mã QR).

Trong ứng dụng Yandex.Key, hãy nhấp vào nút “Thêm tài khoản vào ứng dụng”. Sau đó camera của thiết bị sẽ khởi chạy. Quét mã vạch xuất hiện trong trình duyệt của bạn.

Nếu không thể nhận dạng mã QR, hãy nhấp vào nút “Hiển thị khóa bí mật” và nhấp vào “Thêm khóa thủ công” trong ứng dụng. Thay vì mã QR, trình duyệt sẽ hiển thị một chuỗi ký tự bắt buộc phải nhập vào ứng dụng.

Sau khi nhận diện tài khoản, thiết bị sẽ yêu cầu bạn nhập mã PIN đã tạo ở bước trước.

Để xác minh rằng thiết lập thành công, hãy nhập mật khẩu một lần được tạo ở bước trước. Xác thực hai yếu tố sẽ chỉ được kích hoạt nếu bạn nhập đúng mật khẩu.

Chỉ cần nhập mã PIN được tạo ở bước 2 vào ứng dụng Yandex.Key. Ứng dụng sẽ tạo mật khẩu một lần. Nhập nó bên cạnh nút “Bật”, sau đó nhấp vào nút.

Lưu ý: Bạn cần nhập OTP trước khi nó thay đổi trên màn hình. Đôi khi tốt hơn là đợi cho đến khi mật khẩu mới được tạo và nhập nó.

Nếu bạn nhập đúng mật khẩu, xác thực hai yếu tố sẽ được bật cho tài khoản Yandex.Passport của bạn.

Cách tắt xác thực hai yếu tố trong Yandex

  1. Chuyển đến tab “Quản lý quyền truy cập” trong tài khoản Yandex.Passport của bạn.
  2. Di chuyển công tắc sang vị trí “Tắt”.
  3. Một trang sẽ mở ra nơi bạn cần nhập mật khẩu một lần từ ứng dụng Yandex.Key.
  4. Nếu nhập đúng mật khẩu, người dùng sẽ được nhắc đặt mật khẩu chính mới cho tài khoản.

Lưu ý: Sau khi bạn tắt xác thực 2 yếu tố, mật khẩu ứng dụng cũ của bạn sẽ không còn hoạt động. Bạn sẽ cần tạo mật khẩu ứng dụng mới để khôi phục chức năng của các dịch vụ và ứng dụng liên quan, chẳng hạn như ứng dụng email.

Người dùng có thể định cấu hình quyền truy cập của các ứng dụng của bên thứ ba vào tài khoản Yandex bằng mật khẩu ứng dụng. Xin lưu ý rằng mỗi mật khẩu ứng dụng riêng lẻ sẽ cấp quyền truy cập vào một dịch vụ cụ thể. Ví dụ: mật khẩu được tạo cho ứng dụng email sẽ không cho phép truy cập vào bộ lưu trữ đám mây Yandex.Disk.

Bạn có thể tạo mật khẩu ứng dụng trên tab “Quản lý quyền truy cập” trong bảng điều khiển tài khoản Yandex.Passport. Trượt nút chuyển “Mật khẩu ứng dụng” sang vị trí “Bật”. Nếu xác thực hai yếu tố được bật, mật khẩu ứng dụng sẽ được thực thi và không thể tắt được.

Bạn sẽ cần tạo mật khẩu ứng dụng riêng cho từng chương trình của bên thứ ba yêu cầu mật khẩu Yandex, bao gồm:

  • Ứng dụng thư khách (Mozilla Thunderbird, Microsoft Outlook, The Bat!, v.v.)
  • Máy khách WebDAV cho Yandex.Disk
  • Ứng dụng khách CalDAV cho Yandex.Calendar
  • Khách hàng của Jabber
  • Ứng dụng để nhập từ các dịch vụ email khác

Để tạo mật khẩu ứng dụng:

  1. Chuyển đến tab “Quản lý quyền truy cập” trong bảng điều khiển tài khoản Yandex.Passport.
  2. Bật tùy chọn “Mật khẩu ứng dụng” nếu tùy chọn này bị tắt (chuyển đổi sẽ không xuất hiện nếu bạn chưa bật xác thực hai yếu tố).
  3. Nhấp vào "Nhận mật khẩu ứng dụng"
  4. Chọn dịch vụ Yandex mà bạn muốn truy cập trong ứng dụng và hệ điều hành.
  5. Nhập tên của ứng dụng mà bạn đang tạo mật khẩu và nhấp vào "Thêm".
  6. Mật khẩu sẽ được hiển thị trên tab tiếp theo. Nhấp vào "Xong".

Lưu ý: bạn chỉ có thể xem mật khẩu đã tạo một lần. Nếu bạn nhập sai mật khẩu và đã đóng cửa sổ, hãy xóa mật khẩu hiện tại và tạo mật khẩu mới.

Đó là một bài đăng hiếm hoi trên blog Yandex, đặc biệt là một bài liên quan đến bảo mật mà không đề cập đến xác thực hai yếu tố. Chúng tôi đã suy nghĩ rất lâu về cách tăng cường bảo vệ tài khoản người dùng một cách hợp lý và theo cách mà nó có thể được sử dụng mà không gặp bất kỳ sự bất tiện nào bao gồm các cách triển khai phổ biến nhất hiện nay. Và than ôi, chúng thật bất tiện. Theo một số dữ liệu, trên nhiều trang web lớn, tỷ lệ người dùng đã kích hoạt các phương tiện xác thực bổ sung không vượt quá 0,1%.

Có vẻ như điều này là do sơ đồ xác thực hai yếu tố phổ biến quá phức tạp và bất tiện. Chúng tôi đã cố gắng tìm ra một phương pháp thuận tiện hơn mà không làm mất mức độ bảo vệ và hôm nay chúng tôi giới thiệu phiên bản beta của nó.

Chúng tôi hy vọng nó sẽ trở nên phổ biến hơn. Về phần mình, chúng tôi sẵn sàng nỗ lực cải tiến và tiêu chuẩn hóa nó.

Sau khi kích hoạt xác thực hai yếu tố trong Passport, bạn sẽ cần cài đặt ứng dụng Yandex.Key trong App Store hoặc Google Play. Mã QR đã xuất hiện trong biểu mẫu ủy quyền trên trang chính Yandex, trong Thư và Hộ chiếu. Để đăng nhập vào tài khoản của mình, bạn cần đọc mã QR thông qua ứng dụng - và thế là xong. Ví dụ: nếu không đọc được mã QR, camera của điện thoại thông minh không hoạt động hoặc không thể truy cập Internet, ứng dụng sẽ tạo mật khẩu một lần chỉ có hiệu lực trong 30 giây.

Tôi sẽ cho bạn biết lý do tại sao chúng tôi quyết định không sử dụng các cơ chế “tiêu chuẩn” như RFC 6238 hoặc RFC 4226. Các chương trình xác thực hai yếu tố phổ biến hoạt động như thế nào? Chúng có hai giai đoạn. Giai đoạn đầu tiên là xác thực thông thường bằng thông tin đăng nhập và mật khẩu. Nếu thành công, trang web sẽ kiểm tra xem nó có “thích” phiên người dùng này hay không. Và nếu bạn không thích, nó sẽ yêu cầu người dùng “xác thực lại”. Có hai phương pháp “xác thực trước” phổ biến: gửi SMS đến số điện thoại được liên kết với tài khoản và tạo mật khẩu thứ hai trên điện thoại thông minh. Về cơ bản, TOTP theo RFC 6238 được sử dụng để tạo mật khẩu thứ 2. Nếu người dùng nhập đúng mật khẩu thứ 2 thì phiên được coi là xác thực hoàn toàn, còn nếu không thì phiên cũng mất tính năng “xác thực trước”.

Cả hai phương pháp ─ gửi SMS và tạo mật khẩu ─ đều là bằng chứng về quyền sở hữu điện thoại và do đó là một yếu tố khả dụng. Mật khẩu được nhập ở giai đoạn đầu tiên là yếu tố kiến ​​thức. Do đó, sơ đồ xác thực này không chỉ có hai bước mà còn có hai yếu tố.

Điều gì có vẻ khó khăn đối với chúng tôi trong kế hoạch này?

Hãy bắt đầu với thực tế là máy tính của người dùng bình thường không phải lúc nào cũng được gọi là mô hình bảo mật: tắt các bản cập nhật Windows, bản sao lậu của phần mềm chống vi-rút không có chữ ký hiện đại và phần mềm có nguồn gốc không rõ ràng - tất cả những điều này không làm tăng mức độ bảo vệ. Theo đánh giá của chúng tôi, xâm phạm máy tính của người dùng là phương pháp "chiếm đoạt" tài khoản phổ biến nhất (và gần đây đã có một xác nhận khác về điều này) và đây là điều chúng tôi muốn bảo vệ mình trước hết. Trong trường hợp xác thực hai yếu tố, nếu bạn cho rằng máy tính của người dùng bị xâm phạm, việc nhập mật khẩu vào đó sẽ làm tổn hại chính mật khẩu đó, đây là yếu tố đầu tiên. Điều này có nghĩa là kẻ tấn công chỉ cần chọn yếu tố thứ hai. Trong trường hợp triển khai chung RFC 6238, hệ số thứ hai là 6 chữ số thập phân (và mức tối đa được thông số kỹ thuật cho phép là 8 chữ số). Theo máy tính bruteforce cho OTP, trong ba ngày, kẻ tấn công có thể tìm ra yếu tố thứ hai nếu bằng cách nào đó hắn biết được yếu tố đầu tiên. Hiện chưa rõ dịch vụ nào có thể chống lại cuộc tấn công này mà không làm gián đoạn trải nghiệm thông thường của người dùng. Bằng chứng khả thi duy nhất về công việc là hình ảnh xác thực, theo ý kiến ​​​​của chúng tôi, đây là phương sách cuối cùng.

Vấn đề thứ hai là sự thiếu minh bạch trong đánh giá của dịch vụ về chất lượng phiên người dùng và đưa ra quyết định về nhu cầu “xác thực trước”. Tệ hơn nữa, dịch vụ này không quan tâm đến việc làm cho quá trình này trở nên minh bạch, bởi vì bảo mật bằng cách che khuất thực sự hoạt động ở đây. Nếu kẻ tấn công biết dựa trên cơ sở nào mà dịch vụ đưa ra quyết định về tính hợp pháp của một phiên, thì hắn có thể cố gắng giả mạo dữ liệu này. Theo nguyên tắc chung, chúng tôi có thể kết luận rằng phán quyết được đưa ra dựa trên lịch sử xác thực của người dùng, có tính đến địa chỉ IP (và các dẫn xuất của số hệ thống tự trị xác định nhà cung cấp và vị trí dựa trên cơ sở địa lý) và dữ liệu trình duyệt, ví dụ: tiêu đề Tác nhân người dùng và một bộ cookie, bộ nhớ cục bộ flash lso và html. Điều này có nghĩa là nếu kẻ tấn công điều khiển máy tính của người dùng, hắn không chỉ có thể đánh cắp tất cả dữ liệu cần thiết mà còn có thể sử dụng địa chỉ IP của nạn nhân. Hơn nữa, nếu quyết định được đưa ra dựa trên ASN, thì bất kỳ xác thực nào từ Wi-Fi công cộng trong quán cà phê đều có thể dẫn đến “đầu độc” từ quan điểm bảo mật (và tẩy trắng từ quan điểm dịch vụ) của nhà cung cấp điều này. quán cà phê và ví dụ như tẩy trắng tất cả các quán cà phê trong thành phố. Chúng ta đã nói về cách hoạt động của hệ thống phát hiện điểm bất thường và hệ thống này có thể được sử dụng, nhưng khoảng thời gian giữa giai đoạn xác thực thứ nhất và thứ hai có thể không đủ để tự tin đánh giá điểm bất thường. Hơn nữa, lập luận tương tự đã phá hủy ý tưởng về máy tính "đáng tin cậy": kẻ tấn công có thể đánh cắp bất kỳ thông tin nào ảnh hưởng đến phán đoán về độ tin cậy.

Cuối cùng, xác thực hai bước đơn giản là bất tiện: nghiên cứu về khả năng sử dụng của chúng tôi cho thấy không có gì khiến người dùng khó chịu hơn màn hình trung gian, các lần nhấp nút bổ sung và các hành động “không quan trọng” khác theo quan điểm của họ.
Dựa trên điều này, chúng tôi đã quyết định rằng việc xác thực phải là một bước và không gian mật khẩu phải lớn hơn nhiều so với khả năng có thể trong khuôn khổ RFC 6238 “thuần túy”.
Đồng thời, chúng tôi muốn duy trì xác thực hai yếu tố nhiều nhất có thể.

Xác thực đa yếu tố được xác định bằng cách gán các phần tử xác thực (thực ra chúng được gọi là các yếu tố) cho một trong ba loại:

  1. Yếu tố kiến ​​thức (đây là mật khẩu truyền thống, mã PIN và mọi thứ trông giống chúng);
  2. Yếu tố quyền sở hữu (trong các chương trình OTP được sử dụng, đây thường là điện thoại thông minh nhưng cũng có thể là mã thông báo phần cứng);
  3. Yếu tố sinh trắc học (dấu vân tay là phổ biến nhất hiện nay, mặc dù ai đó sẽ nhớ đến tập phim có nhân vật Wesley Snipes trong phim Demolition Man).

Phát triển hệ thống của chúng tôi

Khi chúng tôi bắt đầu nghiên cứu vấn đề xác thực hai yếu tố (các trang đầu tiên của wiki công ty về vấn đề này có từ năm 2012, nhưng nó đã được thảo luận ở hậu trường trước đó), ý tưởng đầu tiên là sử dụng các phương pháp xác thực tiêu chuẩn và áp dụng chúng. cho chúng tôi. Chúng tôi hiểu rằng chúng tôi không thể tin tưởng vào hàng triệu người dùng của mình sẽ mua mã thông báo phần cứng, vì vậy chúng tôi đã hoãn tùy chọn này trong một số trường hợp kỳ lạ (mặc dù chúng tôi không hoàn toàn từ bỏ nó, nhưng có lẽ chúng tôi sẽ có thể nghĩ ra điều gì đó thú vị). Phương thức SMS cũng không thể phổ biến: đây là một phương thức gửi rất không đáng tin cậy (tại thời điểm quan trọng nhất, SMS có thể bị trì hoãn hoặc không đến nơi) và gửi SMS sẽ tốn tiền (và các nhà khai thác đã bắt đầu tăng giá) . Chúng tôi quyết định rằng việc sử dụng SMS là dành cho các ngân hàng và các công ty công nghệ thấp khác và chúng tôi muốn cung cấp cho người dùng thứ gì đó thuận tiện hơn. Nói chung, sự lựa chọn rất nhỏ: sử dụng điện thoại thông minh và chương trình trong đó làm yếu tố thứ hai.

Hình thức xác thực một bước này rất phổ biến: người dùng nhớ mã PIN (yếu tố đầu tiên) và có mã thông báo phần cứng hoặc phần mềm (trong điện thoại thông minh) tạo ra OTP (yếu tố thứ hai). Trong trường nhập mật khẩu, anh nhập mã PIN và giá trị OTP hiện tại.

Theo chúng tôi, nhược điểm chính của sơ đồ này cũng giống như nhược điểm của xác thực hai bước: nếu chúng tôi cho rằng máy tính để bàn của người dùng bị xâm phạm, thì việc nhập mã PIN một lần sẽ dẫn đến việc lộ mã và kẻ tấn công chỉ có thể tìm thấy mã PIN thứ hai. nhân tố.

Chúng tôi quyết định đi một con đường khác: toàn bộ mật khẩu được tạo từ bí mật, nhưng chỉ một phần bí mật được lưu trữ trong điện thoại thông minh và một phần được người dùng nhập mỗi khi mật khẩu được tạo. Như vậy, bản thân điện thoại thông minh là yếu tố sở hữu, còn mật khẩu vẫn ở trong đầu người dùng và là yếu tố tri thức.

Nonce có thể là bộ đếm hoặc thời gian hiện tại. Chúng tôi quyết định chọn thời điểm hiện tại, điều này cho phép chúng tôi không sợ đồng bộ hóa trong trường hợp ai đó tạo quá nhiều mật khẩu và tăng bộ đếm.

Vì vậy, chúng tôi có một chương trình dành cho điện thoại thông minh trong đó người dùng nhập phần bí mật của mình, nó được trộn với phần được lưu trữ, kết quả được sử dụng làm khóa HMAC, dùng để ký thời gian hiện tại, được làm tròn thành 30 giây. Đầu ra HMAC được chuyển đổi thành dạng có thể đọc được và thì đấy ─ đây là mật khẩu một lần!

Như đã nêu trước đó, RFC 4226 chỉ định rằng kết quả HMAC bị cắt bớt tối đa 8 chữ số thập phân. Chúng tôi quyết định rằng mật khẩu có kích thước này không phù hợp để xác thực một bước và cần được tăng lên. Đồng thời, chúng tôi muốn duy trì tính dễ sử dụng (xét cho cùng, hãy nhớ rằng chúng tôi muốn tạo ra một hệ thống sẽ được người dân bình thường sử dụng chứ không chỉ những người đam mê bảo mật), vì vậy, như một sự thỏa hiệp trong phiên bản hiện tại của hệ thống , chúng tôi đã chọn cắt bớt bảng chữ cái Latinh xuống còn 8 ký tự. Có vẻ như 26^8 mật khẩu có hiệu lực trong 30 giây là khá chấp nhận được, nhưng nếu giới hạn bảo mật không phù hợp với chúng tôi (hoặc các mẹo có giá trị về cách cải thiện sơ đồ này xuất hiện trên Habré), chẳng hạn, chúng tôi sẽ mở rộng thành 10 ký tự.

Tìm hiểu thêm về độ mạnh của mật khẩu đó

Trên thực tế, đối với các chữ cái Latinh không phân biệt chữ hoa chữ thường, số lượng tùy chọn cho mỗi ký tự là 26; đối với các chữ cái Latinh lớn và nhỏ cộng với số, số lượng tùy chọn là 26+26+10=62. Khi đó log 62 (26 10) ≈ 7.9, tức là mật khẩu gồm 10 chữ cái Latinh nhỏ ngẫu nhiên sẽ mạnh gần bằng mật khẩu gồm 8 chữ cái hoặc số Latinh lớn và nhỏ ngẫu nhiên. Điều này chắc chắn sẽ đủ trong 30 giây. Nếu chúng ta nói về mật khẩu 8 ký tự được làm bằng các chữ cái Latinh, thì độ mạnh của nó là log 62 (26 8) ≈ 6.3, tức là nhiều hơn một chút so với mật khẩu 6 ký tự được làm bằng chữ hoa, chữ thường và số. Chúng tôi cho rằng điều này vẫn có thể chấp nhận được đối với cửa sổ 30 giây.

Phép thuật, không mật khẩu, ứng dụng và các bước tiếp theo

Nói chung, lẽ ra chúng tôi có thể dừng lại ở đó, nhưng chúng tôi muốn làm cho hệ thống trở nên thuận tiện hơn nữa. Khi một người có điện thoại thông minh trong tay, anh ta không muốn nhập mật khẩu từ bàn phím!

Đó là lý do tại sao chúng tôi bắt đầu nghiên cứu “đăng nhập ma thuật”. Với phương thức xác thực này, người dùng khởi chạy ứng dụng trên điện thoại thông minh của mình, nhập mã PIN vào đó và quét mã QR trên màn hình máy tính. Nếu mã PIN được nhập chính xác, trang trong trình duyệt sẽ được tải lại và người dùng được xác thực. Ảo thuật!

Làm thế nào nó hoạt động?

Số phiên được nhúng trong mã QR và khi ứng dụng quét nó, số này sẽ được truyền đến máy chủ cùng với mật khẩu và tên người dùng được tạo theo cách thông thường. Điều này không khó vì điện thoại thông minh hầu như luôn trực tuyến. Trong bố cục của trang hiển thị mã QR, JavaScript đang chạy, chờ phản hồi từ máy chủ để kiểm tra mật khẩu cho phiên này. Nếu máy chủ phản hồi rằng mật khẩu đúng, cookie phiên sẽ được đặt cùng với phản hồi và người dùng được coi là đã xác thực.

Mọi chuyện đã khá hơn nhưng chúng tôi cũng quyết định không dừng lại ở đây. Bắt đầu với iPhone 5S, điện thoại và máy tính bảng Apple đã giới thiệu máy quét dấu vân tay TouchID và trong phiên bản iOS 8, các ứng dụng của bên thứ ba cũng có thể sử dụng nó. Trên thực tế, ứng dụng không có quyền truy cập vào dấu vân tay, nhưng nếu dấu vân tay chính xác thì phần Móc khóa bổ sung sẽ có sẵn cho ứng dụng. Chúng tôi đã tận dụng điều này. Phần thứ hai của bí mật được đặt trong bản ghi Chuỗi khóa được bảo vệ bằng TouchID, phần mà người dùng đã nhập từ bàn phím trong kịch bản trước. Khi mở khóa Chuỗi khóa, hai phần bí mật được trộn lẫn và sau đó quy trình hoạt động như mô tả ở trên.

Nhưng nó đã trở nên vô cùng tiện lợi cho người dùng: anh ta mở ứng dụng, đặt ngón tay, quét mã QR trên màn hình và thấy mình được xác thực trong trình duyệt trên máy tính của mình! Vì vậy, chúng tôi đã thay thế yếu tố kiến ​​thức bằng yếu tố sinh trắc học và theo quan điểm của người dùng, mật khẩu đã bị loại bỏ hoàn toàn. Chúng tôi chắc chắn rằng những người bình thường sẽ thấy chương trình này thuận tiện hơn nhiều so với việc nhập hai mật khẩu theo cách thủ công.

Còn tranh cãi về việc xác thực hai yếu tố này về mặt kỹ thuật như thế nào, nhưng trên thực tế, bạn vẫn cần phải có điện thoại và có dấu vân tay chính xác để hoàn thành thành công, vì vậy chúng tôi tin rằng mình đã khá thành công trong việc loại bỏ yếu tố kiến ​​thức, thay thế bằng sinh trắc học . Chúng tôi hiểu rằng chúng tôi dựa vào tính bảo mật của ARM TrustZone làm nền tảng cho iOS Secure Enclave và chúng tôi tin rằng hệ thống con này hiện có thể được coi là đáng tin cậy trong mô hình mối đe dọa của chúng tôi. Tất nhiên, chúng tôi nhận thức được các vấn đề với xác thực sinh trắc học: dấu vân tay không phải là mật khẩu và không thể thay thế nếu bị xâm phạm. Tuy nhiên, mặt khác, mọi người đều biết rằng tính bảo mật tỷ lệ nghịch với sự thuận tiện và bản thân người dùng có quyền lựa chọn tỷ lệ giữa cái này và cái kia mà mình chấp nhận được.

Hãy để tôi nhắc bạn rằng đây vẫn là bản beta. Bây giờ, khi xác thực hai yếu tố được bật, chúng tôi tạm thời tắt đồng bộ hóa mật khẩu trong Trình duyệt Yandex. Điều này là do cách mã hóa cơ sở dữ liệu mật khẩu. Chúng tôi đã đưa ra một cách thuận tiện để xác thực Trình duyệt trong trường hợp 2FA. Tất cả các chức năng khác của Yandex đều hoạt động như trước.

Đây là những gì chúng tôi có. Mọi việc có vẻ diễn ra tốt đẹp nhưng bạn là người phán xét. Chúng tôi sẽ rất vui khi nghe phản hồi và đề xuất của bạn, đồng thời chúng tôi sẽ tiếp tục nỗ lực cải thiện tính bảo mật cho các dịch vụ của mình: giờ đây, cùng với CSP, mã hóa vận chuyển thư và mọi thứ khác, chúng tôi hiện có xác thực hai yếu tố. Đừng quên rằng các dịch vụ xác thực và ứng dụng tạo OTP rất quan trọng và do đó, phần thưởng gấp đôi sẽ được trả cho các lỗi được tìm thấy trong chúng như một phần của chương trình Bug Bounty.

Thẻ: Thêm thẻ

Xác minh tài khoản hai bước cho phép bạn bảo vệ tài khoản của mình khỏi bị kẻ tấn công hack. Chức năng này đang được triển khai bởi các công ty quan tâm đến sự an toàn của người dùng. Chúng ta hãy xem xét kỹ hơn cách bật và tắt xác thực hai yếu tố trong Apple ID.

Làm thế nào nó hoạt động

Nếu xác minh hai bước được bật trên tài khoản của bạn, hồ sơ của bạn chỉ có thể được sử dụng trên các thiết bị đáng tin cậy. Nếu bạn cố gắng đăng nhập Apple ID trên một tiện ích mới, bạn sẽ phải nhập mật khẩu và mã gồm 16 chữ số sẽ được hiển thị trên thiết bị đáng tin cậy.

Ghi chú! Sau khi đăng nhập, thiết bị mới sẽ tự động được xác minh.


Những điểm quan trọng cần nhớ:
  • Hãy chắc chắn ghi nhớ thông tin tài khoản của bạn.

    Quan trọng! Để khôi phục nó, bạn cần liên hệ với Apple và chứng minh việc mua thiết bị hợp pháp từ các đại diện chính thức của công ty.

  • Cung cấp bảo mật (vật lý) cho các thiết bị đã được xác minh.
  • Sử dụng mật khẩu khóa trên tất cả các tiện ích.

Kích hoạt xác thực hai yếu tố

Bạn có thể kích hoạt chức năng này thông qua cài đặt hệ thống của điện thoại thông minh.

Ghi chú! Ví dụ: chúng tôi đã sử dụng iPhone chạy iOS 11. Nếu bạn có phiên bản 10.2 trở xuống thì quá trình thiết lập sẽ được thực hiện thông qua mục iCloud.

Vô hiệu hóa tính năng

Việc vô hiệu hóa xác minh hai bước xảy ra thông qua trình duyệt.

Ghi chú! Việc trả lời các câu hỏi bảo mật có thể được yêu cầu để xác minh danh tính của bạn.


kết luận

Xác minh kép cho phép bạn bảo vệ thiết bị của mình khỏi bị kẻ xâm nhập hack. Khi sử dụng chức năng, đừng quên một số quy tắc an toàn. Việc thiết lập hoặc vô hiệu hóa xác thực không mất nhiều thời gian.

Chú ý. Các ứng dụng được phát triển trong Yandex yêu cầu mật khẩu một lần - ngay cả mật khẩu ứng dụng được tạo chính xác cũng sẽ không hoạt động.

  1. Đăng nhập bằng mã QR
  2. Chuyển Yandex.Key
  3. Mật khẩu cấp cao

Đăng nhập vào dịch vụ hoặc ứng dụng Yandex

Bạn có thể nhập mật khẩu một lần dưới bất kỳ hình thức ủy quyền nào trên Yandex hoặc trong các ứng dụng do Yandex phát triển.

Ghi chú.

Bạn phải nhập mật khẩu một lần khi nó được hiển thị trong ứng dụng. Nếu còn quá ít thời gian trước khi cập nhật, bạn chỉ cần đợi mật khẩu mới.

Để nhận mật khẩu một lần, hãy khởi chạy Yandex.Key và nhập mã PIN mà bạn đã chỉ định khi thiết lập xác thực hai yếu tố. Ứng dụng sẽ bắt đầu tạo mật khẩu sau mỗi 30 giây.

Yandex.Key không kiểm tra mã PIN bạn đã nhập và tạo mật khẩu một lần, ngay cả khi bạn nhập sai mã PIN. Trong trường hợp này, mật khẩu đã tạo cũng không chính xác và bạn sẽ không thể đăng nhập bằng chúng. Để nhập mã PIN chính xác, chỉ cần thoát khỏi ứng dụng và khởi chạy lại.

Các tính năng của mật khẩu một lần:

Đăng nhập bằng mã QR

Một số dịch vụ (ví dụ: trang chủ Yandex, Hộ chiếu và Thư) cho phép bạn đăng nhập vào Yandex bằng cách chỉ máy ảnh vào mã QR. Trong trường hợp này, thiết bị di động của bạn phải được kết nối với Internet để Yandex.Key có thể liên hệ với máy chủ ủy quyền.

    Nhấp vào biểu tượng mã QR trong trình duyệt của bạn.

    Nếu không có biểu tượng như vậy trong biểu mẫu đăng nhập thì bạn chỉ có thể đăng nhập vào dịch vụ này bằng mật khẩu. Trong trường hợp này, bạn có thể đăng nhập bằng mã QR trong Hộ chiếu, sau đó truy cập dịch vụ mong muốn.

    Nhập mã PIN của bạn vào Yandex.Key và nhấp vào Đăng nhập bằng mã QR.

    Hướng camera của thiết bị vào mã QR được hiển thị trong trình duyệt.

Yandex.Key sẽ nhận dạng mã QR và gửi thông tin đăng nhập cũng như mật khẩu một lần của bạn tới Yandex.Passport. Nếu họ vượt qua quá trình xác minh, bạn sẽ tự động đăng nhập vào trình duyệt. Nếu mật khẩu được truyền không chính xác (ví dụ: do bạn nhập sai mã PIN trong Yandex.Key), trình duyệt sẽ hiển thị thông báo tiêu chuẩn về mật khẩu không chính xác.

Đăng nhập bằng tài khoản Yandex vào ứng dụng hoặc trang web của bên thứ ba

Các ứng dụng hoặc trang web cần truy cập vào dữ liệu của bạn trên Yandex đôi khi yêu cầu bạn nhập mật khẩu để đăng nhập vào tài khoản của mình. Trong những trường hợp như vậy, mật khẩu một lần sẽ không hoạt động - bạn cần tạo mật khẩu ứng dụng riêng cho từng ứng dụng đó.

Chú ý. Chỉ mật khẩu một lần mới hoạt động trong các ứng dụng và dịch vụ Yandex. Ngay cả khi bạn tạo mật khẩu ứng dụng, chẳng hạn như Yandex.Disk, bạn sẽ không thể đăng nhập bằng mật khẩu đó.

Chuyển Yandex.Key

Bạn có thể chuyển việc tạo mật khẩu một lần sang thiết bị khác hoặc định cấu hình Yandex.Key trên nhiều thiết bị cùng một lúc. Để thực hiện việc này, hãy mở trang Kiểm soát truy cập và nhấp vào nút Thay thế thiết bị.

Một số tài khoản trong Yandex.Key

Yandex.Key tương tự có thể được sử dụng cho nhiều tài khoản có mật khẩu một lần. Để thêm tài khoản khác vào ứng dụng, khi thiết lập mật khẩu dùng một lần ở bước 3, nhấn vào biểu tượng trong ứng dụng. Ngoài ra, bạn có thể thêm tính năng tạo mật khẩu vào Yandex.Key cho các dịch vụ khác hỗ trợ xác thực hai yếu tố như vậy. Hướng dẫn cho các dịch vụ phổ biến nhất được cung cấp trên trang về cách tạo mã xác minh không dành cho Yandex.

Để xóa liên kết tài khoản đến Yandex.Key, hãy nhấn và giữ ảnh chân dung tương ứng trong ứng dụng cho đến khi dấu thập xuất hiện ở bên phải. Khi nhấn vào dấu thập thì tài khoản liên kết với Yandex.Key sẽ bị xóa.

Chú ý. Nếu bạn xóa tài khoản đã bật mật khẩu một lần, bạn sẽ không thể lấy mật khẩu một lần để đăng nhập vào Yandex. Trong trường hợp này, cần phải khôi phục quyền truy cập.

Dấu vân tay thay vì mã PIN

Bạn có thể sử dụng dấu vân tay của mình thay vì mã PIN trên các thiết bị sau:

    điện thoại thông minh chạy Android 6.0 và máy quét dấu vân tay;

    iPhone bắt đầu từ model 5s;

    iPad bắt đầu với Air 2.

Ghi chú.

Trên điện thoại thông minh và máy tính bảng iOS, dấu vân tay có thể bị bỏ qua bằng cách nhập mật khẩu thiết bị. Để bảo vệ khỏi điều này, hãy bật mật khẩu chính hoặc thay đổi mật khẩu thành mật khẩu phức tạp hơn: mở ứng dụng Cài đặt và chọn Touch ID & Mật mã.

Để sử dụng kích hoạt xác minh dấu vân tay:

Mật khẩu cấp cao

Để bảo vệ hơn nữa mật khẩu dùng một lần của bạn, hãy tạo mật khẩu chính: → Mật khẩu chính.

Với mật khẩu chính, bạn có thể:

    làm cho nó thay vì dấu vân tay, bạn chỉ có thể nhập mật khẩu chính Yandex.Key chứ không thể nhập mã khóa thiết bị;

Bản sao lưu dữ liệu Yandex.Key

Bạn có thể tạo bản sao lưu của Dữ liệu chính trên máy chủ Yandex để có thể khôi phục dữ liệu đó nếu bạn bị mất điện thoại hoặc máy tính bảng do ứng dụng này. Dữ liệu của tất cả các tài khoản được thêm vào Khóa tại thời điểm tạo bản sao sẽ được sao chép vào máy chủ. Bạn không thể tạo nhiều bản sao lưu; mỗi bản sao dữ liệu tiếp theo cho một số điện thoại cụ thể sẽ thay thế bản sao trước đó.

Để lấy dữ liệu từ bản sao lưu, bạn cần:

    có quyền truy cập vào số điện thoại mà bạn đã chỉ định khi tạo số đó;

    hãy nhớ mật khẩu bạn đã đặt để mã hóa bản sao lưu.

Chú ý. Bản sao lưu chỉ chứa thông tin đăng nhập và bí mật cần thiết để tạo mật khẩu một lần. Bạn phải nhớ mã PIN mà bạn đã đặt khi bật mật khẩu một lần trên Yandex.

Vẫn chưa thể xóa bản sao lưu khỏi máy chủ Yandex. Nó sẽ tự động bị xóa nếu bạn không sử dụng nó trong vòng một năm sau khi tạo.

Tạo bản sao lưu

    Chọn một mục Tạo bản sao lưu trong cài đặt ứng dụng.

    Nhập số điện thoại mà bản sao lưu sẽ được liên kết (ví dụ: "380123456789") và nhấp vào Tiếp theo.

    Yandex sẽ gửi mã xác nhận đến số điện thoại đã nhập. Sau khi nhận được mã, hãy nhập mã đó vào ứng dụng.

    Tạo mật khẩu sẽ mã hóa bản sao lưu dữ liệu của bạn. Mật khẩu này không thể khôi phục được nên hãy đảm bảo bạn không quên hoặc làm mất nó.

    Nhập mật khẩu bạn đã tạo hai lần và nhấp vào Kết thúc. Yandex.Key sẽ mã hóa bản sao lưu, gửi đến máy chủ Yandex và báo cáo.

Khôi phục từ bản sao lưu

    Chọn một mục Khôi phục lại từ bản sao lưu trong cài đặt ứng dụng.

    Nhập số điện thoại bạn đã sử dụng khi tạo bản sao lưu (ví dụ: "380123456789") và nhấp vào Tiếp theo.

    Nếu tìm thấy bản sao lưu của Dữ liệu chính cho số được chỉ định, Yandex sẽ gửi mã xác nhận đến số điện thoại này. Sau khi nhận được mã, hãy nhập mã đó vào ứng dụng.

    Đảm bảo ngày và giờ tạo bản sao lưu cũng như tên thiết bị khớp với bản sao lưu bạn muốn sử dụng. Sau đó nhấp vào nút Khôi phục.

    Nhập mật khẩu bạn đặt khi tạo bản sao lưu. Nếu bạn không nhớ thì thật không may, sẽ không thể giải mã được bản sao lưu.

    Yandex.Key sẽ giải mã dữ liệu sao lưu và thông báo cho bạn rằng dữ liệu đã được khôi phục.

Mật khẩu một lần phụ thuộc vào thời gian chính xác như thế nào

Khi tạo mật khẩu một lần, Yandex.Key sẽ tính đến thời gian và múi giờ hiện tại được đặt trên thiết bị. Khi có kết nối Internet, Key cũng yêu cầu thời gian chính xác từ máy chủ: nếu thời gian trên thiết bị được đặt không chính xác, ứng dụng sẽ thực hiện điều chỉnh cho việc này. Nhưng trong một số trường hợp, ngay cả sau khi sửa và nhập đúng mã PIN, mật khẩu một lần vẫn không chính xác.

Nếu bạn chắc chắn rằng mình nhập đúng mã PIN và mật khẩu nhưng không thể đăng nhập:

    Đảm bảo thiết bị của bạn được đặt đúng múi giờ và thời gian. Sau đó, hãy thử đăng nhập bằng mật khẩu dùng một lần mới.

    Kết nối thiết bị của bạn với Internet để Yandex.Key có thể tự lấy thời gian chính xác. Sau đó khởi động lại ứng dụng và thử nhập mật khẩu dùng một lần mới.

Nếu sự cố không được giải quyết, vui lòng liên hệ với bộ phận hỗ trợ bằng cách sử dụng biểu mẫu bên dưới.

Để lại phản hồi về xác thực hai yếu tố