Sử dụng xác thực hai yếu tố. Xác thực hai yếu tố: phương pháp và huyền thoại. Không có quyền truy cập vào thiết bị từ danh sách đáng tin cậy

Đó là một bài đăng hiếm hoi trên blog Yandex, đặc biệt là một bài liên quan đến bảo mật mà không đề cập đến xác thực hai yếu tố. Chúng tôi đã suy nghĩ rất lâu về cách tăng cường bảo vệ tài khoản người dùng một cách hợp lý và theo cách mà nó có thể được sử dụng mà không gặp bất kỳ sự bất tiện nào bao gồm các cách triển khai phổ biến nhất hiện nay. Và than ôi, chúng thật bất tiện. Theo một số dữ liệu, trên nhiều trang web lớn tỷ lệ người dùng bật quỹ bổ sung xác thực, không vượt quá 0,1%.

Có vẻ như điều này là do sơ đồ xác thực hai yếu tố phổ biến quá phức tạp và bất tiện. Chúng tôi đã cố gắng tìm ra một phương pháp thuận tiện hơn mà không làm mất mức độ bảo vệ và hôm nay chúng tôi giới thiệu phiên bản beta của nó.

Chúng tôi hy vọng nó sẽ trở nên phổ biến hơn. Về phần mình, chúng tôi sẵn sàng nỗ lực cải tiến và tiêu chuẩn hóa nó.

Sau khi kích hoạt xác thực hai yếu tố trong Passport, bạn sẽ cần cài đặt ứng dụng Yandex.Key trong App Store hoặc Google Play. Mã QR đã xuất hiện trong biểu mẫu ủy quyền trên trang chính Yandex, trong Thư và Hộ chiếu. Để đăng nhập vào tài khoản của mình, bạn cần đọc mã QR thông qua ứng dụng - và thế là xong. Ví dụ: nếu không đọc được mã QR, camera của điện thoại thông minh không hoạt động hoặc không thể truy cập Internet, ứng dụng sẽ tạo mật khẩu một lần chỉ có hiệu lực trong 30 giây.

Tôi sẽ cho bạn biết lý do tại sao chúng tôi quyết định không sử dụng các cơ chế “tiêu chuẩn” như RFC 6238 hoặc RFC 4226. Các chương trình xác thực hai yếu tố phổ biến hoạt động như thế nào? Chúng có hai giai đoạn. Giai đoạn đầu tiên là xác thực thông thường bằng thông tin đăng nhập và mật khẩu. Nếu thành công, trang web sẽ kiểm tra xem nó có “thích” phiên người dùng này hay không. Và nếu bạn không thích, nó sẽ yêu cầu người dùng “xác thực lại”. Có hai phương pháp “xác thực trước” phổ biến: gửi SMS đến số điện thoại được liên kết với tài khoản và tạo mật khẩu thứ hai trên điện thoại thông minh. Về cơ bản, TOTP theo RFC 6238 được sử dụng để tạo mật khẩu thứ hai. Nếu người dùng nhập đúng mật khẩu thứ hai, phiên được coi là được xác thực hoàn toàn và nếu không thì phiên cũng mất tính năng “xác thực trước”.

Cả hai cách ─ gửi tin nhắn SMS và tạo mật khẩu ─ bằng chứng về quyền sở hữu điện thoại và do đó là một yếu tố có sẵn. Mật khẩu được nhập ở giai đoạn đầu tiên là yếu tố kiến thức. Do đó, sơ đồ xác thực này không chỉ có hai bước mà còn có hai yếu tố.

Điều gì có vẻ khó khăn đối với chúng tôi trong kế hoạch này?

Hãy bắt đầu với thực tế là máy tính của người dùng bình thường không phải lúc nào cũng được gọi là mô hình bảo mật: tắt các bản cập nhật Windows, bản sao lậu của phần mềm chống vi-rút không có chữ ký hiện đại và phần mềm có nguồn gốc không rõ ràng - tất cả những điều này không làm tăng mức độ bảo vệ. Theo đánh giá của chúng tôi, xâm phạm máy tính của người dùng là phương pháp "chiếm đoạt" tài khoản phổ biến nhất (và gần đây đã có một xác nhận khác về điều này) và đây là điều chúng tôi muốn bảo vệ mình trước hết. Trong trường hợp xác thực hai yếu tố, nếu bạn cho rằng máy tính của người dùng bị xâm phạm, việc nhập mật khẩu vào đó sẽ làm tổn hại chính mật khẩu đó, đây là yếu tố đầu tiên. Điều này có nghĩa là kẻ tấn công chỉ cần chọn yếu tố thứ hai. Trong trường hợp triển khai chung RFC 6238, hệ số thứ hai là 6 chữ số thập phân (và mức tối đa được thông số kỹ thuật cho phép là 8 chữ số). Theo máy tính bruteforce cho OTP, trong ba ngày, kẻ tấn công có thể tìm ra yếu tố thứ hai nếu bằng cách nào đó hắn biết được yếu tố đầu tiên. Hiện chưa rõ dịch vụ nào có thể chống lại cuộc tấn công này mà không làm gián đoạn trải nghiệm thông thường của người dùng. Bằng chứng khả thi duy nhất về công việc là hình ảnh xác thực, theo ý kiến của chúng tôi, đây là phương sách cuối cùng.

Vấn đề thứ hai là sự thiếu minh bạch trong đánh giá của dịch vụ về chất lượng phiên người dùng và đưa ra quyết định về nhu cầu “xác thực trước”. Tệ hơn nữa, dịch vụ không quan tâm đến việc làm cho quá trình này trở nên minh bạch vì tính năng bảo mật bằng cách che khuất thực sự hoạt động ở đây. Nếu kẻ tấn công biết dựa trên cơ sở nào mà dịch vụ đưa ra quyết định về tính hợp pháp của một phiên, thì hắn có thể cố gắng giả mạo dữ liệu này. Từ những cân nhắc chung, chúng tôi có thể kết luận rằng phán quyết được đưa ra dựa trên lịch sử xác thực của người dùng, có tính đến địa chỉ IP (và các số phái sinh của nó). hệ thống tự trị, xác định nhà cung cấp và vị trí dựa trên cơ sở địa lý) và dữ liệu trình duyệt, chẳng hạn như tiêu đề Tác nhân người dùng và bộ cookie, bộ nhớ cục bộ flash lso và html. Điều này có nghĩa là nếu kẻ tấn công điều khiển máy tính của người dùng, hắn không chỉ có thể đánh cắp tất cả dữ liệu cần thiết mà còn có thể sử dụng địa chỉ IP của nạn nhân. Hơn nữa, nếu quyết định được đưa ra dựa trên ASN thì bất kỳ xác thực nào từ Wi-Fi công cộng trong một quán cà phê có thể dẫn đến “đầu độc” từ quan điểm an ninh (và tẩy trắng từ quan điểm dịch vụ) của nhà cung cấp quán cà phê này và, chẳng hạn như tẩy trắng tất cả các quán cà phê trong thành phố. Chúng ta đã nói về cách hoạt động của hệ thống phát hiện điểm bất thường và hệ thống này có thể được sử dụng, nhưng khoảng thời gian giữa giai đoạn xác thực thứ nhất và thứ hai có thể không đủ để tự tin đánh giá điểm bất thường. Hơn nữa, lập luận tương tự đã phá hủy ý tưởng về máy tính "đáng tin cậy": kẻ tấn công có thể đánh cắp bất kỳ thông tin nào ảnh hưởng đến phán đoán về độ tin cậy.

Cuối cùng, xác thực hai yếu tốđơn giản là bất tiện: nghiên cứu về khả năng sử dụng của chúng tôi cho thấy rằng không có gì khiến người dùng khó chịu hơn màn hình trung gian, các lần nhấp nút bổ sung và các hành động “không quan trọng” khác theo quan điểm của họ.
Dựa trên điều này, chúng tôi đã quyết định rằng việc xác thực phải là một bước và không gian mật khẩu phải lớn hơn nhiều so với khả năng có thể trong khuôn khổ RFC 6238 “thuần túy”.
Đồng thời, chúng tôi muốn duy trì xác thực hai yếu tố nhiều nhất có thể.

Xác thực đa yếu tố được xác định bằng cách gán các phần tử xác thực (thực ra chúng được gọi là các yếu tố) cho một trong ba loại:

Yếu tố kiến thức (đây là mật khẩu truyền thống, mã PIN và mọi thứ trông giống chúng);
Yếu tố quyền sở hữu (trong các chương trình OTP được sử dụng, đây thường là điện thoại thông minh nhưng cũng có thể là mã thông báo phần cứng);
Yếu tố sinh trắc học (dấu vân tay là phổ biến nhất hiện nay, mặc dù ai đó sẽ nhớ đến tập phim có nhân vật Wesley Snipes trong phim Demolition Man).

Phát triển hệ thống của chúng tôi

Khi chúng tôi bắt đầu nghiên cứu vấn đề xác thực hai yếu tố (các trang đầu tiên của wiki công ty về vấn đề này có từ năm 2012, nhưng nó đã được thảo luận ở hậu trường trước đó), ý tưởng đầu tiên là sử dụng các phương pháp xác thực tiêu chuẩn và áp dụng chúng. cho chúng tôi. Chúng tôi hiểu rằng chúng tôi không thể tin tưởng vào hàng triệu người dùng của mình sẽ mua mã thông báo phần cứng, vì vậy chúng tôi đã hoãn tùy chọn này trong một số trường hợp kỳ lạ (mặc dù chúng tôi không hoàn toàn từ bỏ nó, nhưng có lẽ chúng tôi sẽ có thể nghĩ ra điều gì đó thú vị). Phương thức SMS cũng không thể phổ biến: đây là một phương thức gửi rất không đáng tin cậy (tại thời điểm quan trọng nhất, SMS có thể bị trì hoãn hoặc hoàn toàn không đến nơi) và gửi tin nhắn SMS tốn tiền (và các nhà khai thác đã bắt đầu tăng giá). Chúng tôi quyết định rằng việc sử dụng SMS là dành cho các ngân hàng và các công ty công nghệ thấp khác và chúng tôi muốn cung cấp cho người dùng thứ gì đó thuận tiện hơn. Nói chung, sự lựa chọn rất nhỏ: sử dụng điện thoại thông minh và chương trình trong đó làm yếu tố thứ hai.

Hình thức xác thực một bước này rất phổ biến: người dùng nhớ mã PIN (yếu tố đầu tiên) và có mã thông báo phần cứng hoặc phần mềm (trong điện thoại thông minh) tạo ra OTP (yếu tố thứ hai). Trong trường nhập mật khẩu, anh nhập mã PIN và giá trị OTP hiện tại.

Theo quan điểm của chúng tôi, nhược điểm chính Lược đồ này giống như lược đồ xác thực hai bước: nếu chúng tôi cho rằng máy tính để bàn của người dùng bị xâm phạm, thì việc nhập mã PIN một lần sẽ dẫn đến việc lộ mã và kẻ tấn công chỉ có thể chọn yếu tố thứ hai.

Chúng tôi quyết định đi một con đường khác: toàn bộ mật khẩu được tạo từ bí mật, nhưng chỉ một phần bí mật được lưu trữ trong điện thoại thông minh và một phần được người dùng nhập mỗi khi mật khẩu được tạo. Như vậy, bản thân điện thoại thông minh là yếu tố sở hữu, còn mật khẩu vẫn ở trong đầu người dùng và là yếu tố tri thức.

Nonce có thể là bộ đếm hoặc thời điểm hiện tại. Chúng tôi quyết định chọn thời điểm hiện tại, điều này cho phép chúng tôi không sợ đồng bộ hóa trong trường hợp ai đó tạo quá nhiều mật khẩu và tăng bộ đếm.

Vì vậy, chúng tôi có một chương trình dành cho điện thoại thông minh trong đó người dùng nhập phần bí mật của mình, nó được trộn với phần được lưu trữ, kết quả được sử dụng làm khóa HMAC, dùng để ký thời gian hiện tại, được làm tròn thành 30 giây. Đầu ra HMAC giảm xuống dạng có thể đọc được, và thì đấy ─ đây là mật khẩu dùng một lần!

Như đã nêu trước đó, RFC 4226 chỉ định rằng kết quả HMAC bị cắt bớt tối đa 8 chữ số thập phân. Chúng tôi quyết định rằng mật khẩu có kích thước này không phù hợp để xác thực một bước và cần được tăng lên. Đồng thời, chúng tôi muốn duy trì tính dễ sử dụng (xét cho cùng, xin nhắc bạn rằng, chúng tôi muốn tạo ra một hệ thống sẽ được người dân bình thường sử dụng chứ không chỉ những người đam mê bảo mật), vì vậy, như một sự thỏa hiệp trong Phiên bản hiện tại hệ thống, chúng tôi đã chọn cắt bớt bảng chữ cái Latinh xuống còn 8 ký tự. Có vẻ như 26^8 mật khẩu có hiệu lực trong 30 giây là khá chấp nhận được, nhưng nếu giới hạn bảo mật không phù hợp với chúng tôi (hoặc các mẹo có giá trị về cách cải thiện sơ đồ này xuất hiện trên Habré), chẳng hạn, chúng tôi sẽ mở rộng thành 10 ký tự.

Tìm hiểu thêm về độ mạnh của mật khẩu đó

Trên thực tế, đối với chữ cái Latinh không phân biệt chữ hoa chữ thường, số lượng tùy chọn cho mỗi ký tự là 26, đối với các chữ cái Latinh lớn và nhỏ cộng với số, số lượng tùy chọn là 26+26+10=62. Khi đó log 62 (26 10) ≈ 7.9, tức là mật khẩu gồm 10 chữ cái Latinh nhỏ ngẫu nhiên sẽ mạnh gần bằng mật khẩu gồm 8 chữ cái hoặc số Latinh lớn và nhỏ ngẫu nhiên. Điều này chắc chắn sẽ đủ trong 30 giây. Nếu chúng ta nói về mật khẩu 8 ký tự được làm bằng các chữ cái Latinh, thì độ mạnh của nó là log 62 (26 8) ≈ 6.3, tức là nhiều hơn một chút so với mật khẩu 6 ký tự được làm bằng chữ hoa, chữ thường và số. Chúng tôi cho rằng điều này vẫn có thể chấp nhận được đối với cửa sổ 30 giây.

Phép thuật, không mật khẩu, ứng dụng và các bước tiếp theo

Nói chung, lẽ ra chúng tôi có thể dừng lại ở đó, nhưng chúng tôi muốn làm cho hệ thống trở nên thuận tiện hơn nữa. Khi một người có điện thoại thông minh trong tay, anh ta không muốn nhập mật khẩu từ bàn phím!

Đó là lý do tại sao chúng tôi bắt đầu nghiên cứu “đăng nhập ma thuật”. Với phương thức xác thực này, người dùng khởi chạy ứng dụng trên điện thoại thông minh của mình, nhập mã PIN vào đó và quét mã QR trên màn hình máy tính. Nếu mã PIN được nhập chính xác, trang trong trình duyệt sẽ được tải lại và người dùng được xác thực. Ảo thuật!

Làm thế nào nó hoạt động?

Mã QR chứa số phiên và khi ứng dụng quét nó, số này sẽ được truyền đến máy chủ cùng với phiên được tạo theo cách thông thường mật khẩu và tên người dùng. Điều này không khó vì điện thoại thông minh hầu như luôn trực tuyến. Trong bố cục của trang hiển thị mã QR, JavaScript đang chạy, chờ phản hồi từ máy chủ để kiểm tra mật khẩu cho phiên này. Nếu máy chủ phản hồi rằng mật khẩu đúng, cookie phiên sẽ được đặt cùng với phản hồi và người dùng được coi là đã xác thực.

Mọi chuyện đã tốt hơn nhưng chúng tôi cũng quyết định không dừng lại ở đây. Kể từ iPhone 5S trong điện thoại và Máy tính bảng Apple máy quét dấu vân tay TouchID đã xuất hiện và trong phiên bản iOS 8, nó cũng có sẵn cho các ứng dụng của bên thứ ba. Trên thực tế, ứng dụng không có quyền truy cập vào dấu vân tay, nhưng nếu dấu vân tay chính xác thì ứng dụng sẽ có thể truy cập phần bổ sung Móc khóa. Đây là những gì chúng tôi đã tận dụng. Phần thứ hai của bí mật được đặt trong bản ghi Chuỗi khóa được bảo vệ bằng TouchID, phần mà người dùng đã nhập từ bàn phím trong kịch bản trước đó. Khi mở khóa Chuỗi khóa, hai phần bí mật được trộn lẫn và sau đó quy trình hoạt động như mô tả ở trên.

Nhưng nó đã trở nên vô cùng tiện lợi cho người dùng: anh ta mở ứng dụng, đặt ngón tay, quét mã QR trên màn hình và thấy mình được xác thực trong trình duyệt trên máy tính của mình! Vì vậy, chúng tôi đã thay thế yếu tố kiến thức bằng yếu tố sinh trắc học và theo quan điểm của người dùng, mật khẩu đã bị loại bỏ hoàn toàn. Chúng tôi chắc chắn rằng những người bình thường một kế hoạch như vậy sẽ có vẻ thuận tiện hơn nhiều so với nhập thủ công hai mật khẩu.

Còn tranh cãi về việc xác thực hai yếu tố này về mặt kỹ thuật như thế nào, nhưng trên thực tế, bạn vẫn cần có điện thoại và có dấu vân tay chính xác để hoàn thành thành công, vì vậy chúng tôi tin rằng mình đã khá thành công trong việc loại bỏ yếu tố kiến thức, thay thế bằng sinh trắc học . Chúng tôi hiểu rằng chúng tôi dựa vào tính bảo mật của ARM TrustZone hỗ trợ iOS Secure Enclave và tin rằng Hiện nay hệ thống con này có thể được coi là đáng tin cậy trong mô hình mối đe dọa của chúng tôi. Tất nhiên, chúng tôi nhận thức được các vấn đề với xác thực sinh trắc học: dấu vân tay không phải là mật khẩu và không thể thay thế nếu bị xâm phạm. Tuy nhiên, mặt khác, mọi người đều biết rằng tính bảo mật tỷ lệ nghịch với sự thuận tiện và bản thân người dùng có quyền lựa chọn tỷ lệ giữa cái này và cái kia mà mình chấp nhận được.

Hãy để tôi nhắc bạn rằng đây vẫn là bản beta. Bây giờ, khi xác thực hai yếu tố được bật, chúng tôi tạm thời tắt đồng bộ hóa mật khẩu trong Trình duyệt Yandex. Điều này là do cách cơ sở dữ liệu mật khẩu được mã hóa. Chúng tôi đã phát minh rồi Một cách thuận tiện Xác thực trình duyệt trong trường hợp 2FA. Tất cả các chức năng khác của Yandex đều hoạt động như trước.

Đây là những gì chúng tôi có. Mọi việc có vẻ diễn ra tốt đẹp nhưng bạn là người phán xét. Chúng tôi sẽ rất vui khi nghe phản hồi và đề xuất của bạn, đồng thời chúng tôi sẽ tiếp tục nỗ lực cải thiện tính bảo mật cho các dịch vụ của mình: giờ đây, cùng với CSP, mã hóa vận chuyển thư và mọi thứ khác, chúng tôi hiện có xác thực hai yếu tố. Đừng quên rằng các dịch vụ xác thực và ứng dụng tạo OTP rất quan trọng và do đó, phần thưởng gấp đôi sẽ được trả cho các lỗi được tìm thấy trong chúng như một phần của chương trình Bug Bounty.

Thẻ: Thêm thẻ

Chú ý. Các ứng dụng được phát triển trong Yandex yêu cầu mật khẩu một lần - ngay cả mật khẩu ứng dụng được tạo chính xác cũng sẽ không hoạt động.

Đăng nhập bằng mã QR
Chuyển Yandex.Key
Mật khẩu cấp cao

Đăng nhập vào dịch vụ hoặc ứng dụng Yandex

Bạn có thể nhập mật khẩu một lần dưới bất kỳ hình thức ủy quyền nào trên Yandex hoặc trong các ứng dụng do Yandex phát triển.

Ghi chú.

Bạn phải nhập mật khẩu một lần khi nó được hiển thị trong ứng dụng. Nếu còn quá ít thời gian trước khi cập nhật, bạn chỉ cần đợi mật khẩu mới.

Để nhận mật khẩu một lần, hãy khởi chạy Yandex.Key và nhập mã PIN mà bạn đã chỉ định khi thiết lập xác thực hai yếu tố. Ứng dụng sẽ bắt đầu tạo mật khẩu sau mỗi 30 giây.

Yandex.Key không kiểm tra mã PIN bạn đã nhập và tạo mật khẩu một lần, ngay cả khi bạn nhập sai mã PIN. Trong trường hợp này, mật khẩu đã tạo cũng không chính xác và bạn sẽ không thể đăng nhập bằng chúng. Để nhập mã PIN chính xác, chỉ cần thoát khỏi ứng dụng và khởi chạy lại.

Các tính năng của mật khẩu một lần:

Đăng nhập bằng mã QR

Một số dịch vụ (ví dụ: trang chủ Yandex, Passport và Mail) cho phép bạn đăng nhập vào Yandex bằng cách chỉ camera vào mã QR. Trong trường hợp này, thiết bị di động của bạn phải được kết nối với Internet để Yandex.Key có thể liên hệ với máy chủ ủy quyền.

Nhấp vào biểu tượng mã QR trong trình duyệt của bạn.

Nếu không có biểu tượng như vậy trong biểu mẫu đăng nhập, điều đó có nghĩa là dịch vụ này Bạn chỉ có thể đăng nhập bằng mật khẩu. Trong trường hợp này, bạn có thể đăng nhập bằng mã QR trong Hộ chiếu, sau đó truy cập dịch vụ mong muốn.

Nhập mã PIN của bạn vào Yandex.Key và nhấp vào Đăng nhập bằng mã QR.

Hướng camera của thiết bị vào mã QR được hiển thị trong trình duyệt.

Yandex.Key sẽ nhận dạng mã QR và gửi thông tin đăng nhập cũng như mật khẩu một lần của bạn tới Yandex.Passport. Nếu họ vượt qua quá trình xác minh, bạn sẽ tự động đăng nhập vào trình duyệt. Nếu mật khẩu truyền không chính xác (ví dụ: do bạn nhập sai mã PIN trong Yandex.Key), trình duyệt sẽ hiển thị tin nhắn chuẩn về việc nhập sai mật khẩu.

Đăng nhập bằng tài khoản Yandex vào ứng dụng hoặc trang web của bên thứ ba

Các ứng dụng hoặc trang web cần quyền truy cập vào dữ liệu Yandex của bạn đôi khi yêu cầu bạn nhập mật khẩu để đăng nhập vào tài khoản của mình. Trong những trường hợp như vậy, mật khẩu một lần sẽ không hoạt động - bạn cần tạo mật khẩu ứng dụng riêng cho từng ứng dụng đó.

Chú ý. Chỉ mật khẩu một lần mới hoạt động trong các ứng dụng và dịch vụ Yandex. Ngay cả khi bạn tạo mật khẩu ứng dụng, chẳng hạn như Yandex.Disk, bạn sẽ không thể đăng nhập bằng mật khẩu đó.

Chuyển Yandex.Key

Bạn có thể chuyển việc tạo mật khẩu một lần sang thiết bị khác hoặc định cấu hình Yandex.Key trên nhiều thiết bị cùng một lúc. Để thực hiện việc này, hãy mở trang Kiểm soát truy cập và nhấp vào nút Thay thế thiết bị.

Một số tài khoản trong Yandex.Key

Yandex.Key tương tự có thể được sử dụng cho nhiều tài khoản có mật khẩu một lần. Để thêm tài khoản khác vào ứng dụng, khi thiết lập mật khẩu dùng một lần ở bước 3, nhấn vào biểu tượng trong ứng dụng. Ngoài ra, bạn có thể thêm tính năng tạo mật khẩu vào Yandex.Key cho các dịch vụ khác hỗ trợ xác thực hai yếu tố như vậy. Hướng dẫn nhiều nhất dịch vụ phổ biếnđược cung cấp trên trang về cách tạo mã xác minh không dành cho Yandex.

Để xóa liên kết tài khoản đến Yandex.Key, hãy nhấn và giữ ảnh chân dung tương ứng trong ứng dụng cho đến khi dấu thập xuất hiện ở bên phải. Khi bạn nhấp vào dấu thập, liên kết tài khoản của bạn với Yandex.Key sẽ bị xóa.

Chú ý. Nếu bạn xóa tài khoản đã bật mật khẩu một lần, bạn sẽ không thể lấy mật khẩu một lần để đăng nhập vào Yandex. Trong trường hợp này, cần phải khôi phục quyền truy cập.

Dấu vân tay thay vì mã PIN

Có thể sử dụng dấu vân tay thay cho mã PIN trên các thiết bị sau:

điện thoại thông minh dưới Điều khiển Android 6.0 và máy quét dấu vân tay;

iPhone bắt đầu từ model 5s;

iPad bắt đầu từ Mô hình không khí 2.

Ghi chú.

Trên điện thoại thông minh và máy tính bảng có vân tay iOS ngón tay có thể được bỏ qua bằng cách nhập mật khẩu thiết bị. Để bảo vệ khỏi điều này, hãy bật mật khẩu chính hoặc thay đổi mật khẩu thành mật khẩu phức tạp hơn: mở ứng dụng Cài đặt và chọn Touch ID & Mật mã.

Để sử dụng kích hoạt xác minh dấu vân tay:

Mật khẩu cấp cao

Để bảo vệ hơn nữa mật khẩu dùng một lần của bạn, hãy tạo mật khẩu chính: → Mật khẩu chính.

Với mật khẩu chính, bạn có thể:

làm cho nó thay vì dấu vân tay, bạn chỉ có thể nhập mật khẩu chính Yandex.Key chứ không thể nhập mã khóa thiết bị;

Bản sao lưu dữ liệu Yandex.Key

Bạn có thể tạo bản sao lưu của Dữ liệu chính trên máy chủ Yandex để có thể khôi phục dữ liệu đó nếu bạn bị mất điện thoại hoặc máy tính bảng do ứng dụng này. Dữ liệu của tất cả các tài khoản được thêm vào Khóa tại thời điểm tạo bản sao sẽ được sao chép vào máy chủ. Bạn không thể tạo nhiều bản sao lưu, mỗi bản sao lưu bản sao tiếp theo dữ liệu cho con số cụ thểđiện thoại thay thế cái trước đó.

Để lấy dữ liệu từ bản sao lưu, bạn cần:

có quyền truy cập vào số điện thoại mà bạn đã chỉ định khi tạo số đó;

hãy nhớ mật khẩu bạn đã đặt để mã hóa bản sao lưu.

Chú ý. Bản sao lưu chỉ chứa thông tin đăng nhập và bí mật cần thiết để tạo mật khẩu một lần. Bạn phải nhớ mã PIN mà bạn đã đặt khi bật mật khẩu một lần trên Yandex.

Vẫn chưa thể xóa bản sao lưu khỏi máy chủ Yandex. Nó sẽ tự động bị xóa nếu bạn không sử dụng nó trong vòng một năm sau khi tạo.

Tạo bản sao lưu

Chọn một mục Tạo bản sao lưu trong cài đặt ứng dụng.

Nhập số điện thoại mà bản sao lưu sẽ được liên kết (ví dụ: "380123456789") và nhấp vào Tiếp theo.

Yandex sẽ gửi mã xác nhận đến số điện thoại đã nhập. Sau khi nhận được mã, hãy nhập mã đó vào ứng dụng.

Tạo mật khẩu sẽ mã hóa bản sao lưu dữ liệu của bạn. Mật khẩu này không thể khôi phục được nên hãy đảm bảo bạn không quên hoặc làm mất nó.

Nhập mật khẩu bạn đã tạo hai lần và nhấp vào Kết thúc. Yandex.Key sẽ mã hóa bản sao lưu, gửi đến máy chủ Yandex và báo cáo.

Khôi phục từ bản sao lưu

Chọn một mục Khôi phục lại từ bản sao lưu trong cài đặt ứng dụng.

Nhập số điện thoại bạn đã sử dụng khi tạo bản sao lưu (ví dụ: "380123456789") và nhấp vào Tiếp theo.

Nếu cho số được chỉ địnhđã tìm thấy bản sao lưu của Dữ liệu chính, Yandex sẽ gửi mã xác nhận đến số điện thoại này. Sau khi nhận được mã, hãy nhập mã đó vào ứng dụng.

Đảm bảo ngày và giờ tạo bản sao lưu cũng như tên thiết bị khớp với bản sao lưu bạn muốn sử dụng. Sau đó nhấp vào nút Khôi phục.

Nhập mật khẩu bạn đặt khi tạo bản sao lưu. Nếu bạn không nhớ thì thật không may, sẽ không thể giải mã được bản sao lưu.

Yandex.Key sẽ giải mã dữ liệu sao lưu và thông báo cho bạn rằng dữ liệu đã được khôi phục.

Mật khẩu một lần phụ thuộc vào thời gian chính xác như thế nào

Khi tạo mật khẩu một lần, Yandex.Key sẽ tính đến thời gian và múi giờ hiện tại được đặt trên thiết bị. Khi có kết nối Internet, Key cũng được nhắc thời gian chính xác từ máy chủ: nếu thời gian trên thiết bị được đặt không chính xác, ứng dụng sẽ thực hiện điều chỉnh cho việc này. Nhưng trong một số trường hợp, ngay cả sau khi sửa và nhập đúng mã PIN, mật khẩu một lần vẫn không chính xác.

Nếu bạn chắc chắn rằng mình nhập đúng mã PIN và mật khẩu nhưng không thể đăng nhập:

Đảm bảo thiết bị của bạn được đặt đúng múi giờ và thời gian. Sau đó, hãy thử đăng nhập bằng một cái mới. mật khẩu một lần.

Kết nối thiết bị của bạn với Internet để Yandex.Key có thể tự lấy thời gian chính xác. Sau đó khởi động lại ứng dụng và thử nhập mật khẩu dùng một lần mới.

Nếu sự cố không được giải quyết, vui lòng liên hệ với bộ phận hỗ trợ bằng cách sử dụng biểu mẫu bên dưới.

Để lại phản hồi về xác thực hai yếu tố

Người dùng. Hơn thế nữa Chúng ta đang nói về không chỉ về tài khoản, danh bạ và tin nhắn đã lưu mà còn về các tài liệu và tập tin cá nhân. Mức độ bảo vệ dữ liệu cao nhất được đảm bảo bởi hai yếu tố Xác thực của Apple, khi truy cập dữ liệu cá nhân bạn cần nhập liên tiếp hai mã số đặc biệt.

Làm thế nào nó hoạt động

Tính năng chính hệ thống mới Tính năng bảo mật của Apple đảm bảo rằng chỉ bạn mới có thể đăng nhập vào thiết bị của mình, ngay cả khi người khác biết mật khẩu của bạn. Với xác minh hai bước, bạn chỉ có thể đăng nhập vào tài khoản của mình từ iPhone, iPad hoặc Mac đáng tin cậy. Trong trường hợp này, xác thực hai yếu tố sẽ yêu cầu bạn nhập tuần tự hai loại mật khẩu: mật khẩu thông thường và mã xác minh gồm sáu chữ số, mã này sẽ tự động hiển thị trên tiện ích đã được xác minh.

Ví dụ: bạn có một máy tính xách tay Mac và muốn đăng nhập vào tài khoản của mình trên máy tính mới mua gần đây. máy tính bảng iPad. Để thực hiện việc này, trước tiên bạn nhập tên người dùng và mật khẩu, sau đó mã xác minh sẽ tự động xuất hiện trên màn hình máy tính xách tay của bạn.

Sau đó, xác thực hai yếu tố của Apple sẽ “ghi nhớ” thiết bị của bạn và cung cấp quyền truy cập vào dữ liệu cá nhân mà không cần kiểm tra bổ sung. Bạn cũng có thể làm cho trình duyệt của bất kỳ PC nào trở nên đáng tin cậy bằng cách đặt tùy chọn này khi đăng nhập vào tài khoản của bạn lần đầu tiên.

Thiết bị đáng tin cậy

Bạn chỉ có thể tạo một tiện ích được Apple tin cậy. Hơn nữa, được cài đặt trên nó hệ điều hànhít nhất phải có iOS 9 để thiêt bị di động và không thấp hơn OS X El Capitan dành cho máy tính xách tay và những máy tính cá nhân. “Xác thực hai yếu tố” giải thích điều này bằng cách nói rằng chỉ trong trường hợp này công ty táo có thể đảm bảo rằng chiếc laptop bạn đang sử dụng là của bạn.

Mã xác minh gồm sáu chữ số có thể được gửi không chỉ tới thiết bị đáng tin cậy, mà còn cả số thiết bị di động. Đồng thời, cách thức xác nhận số lượng, tiện ích cũng không khác. Cũng cần nhớ rằng trong mọi trường hợp, bất kể phương pháp nào để có được mã xác nhận Dù bạn sử dụng gì, xác thực hai yếu tố sẽ yêu cầu bạn biết ID Apple của chính mình. Hãy học thuộc lòng nó, nếu không bạn có nguy cơ không thể truy cập vào tài khoản của mình.

Cấp độ bảo vệ mới

Mỗi lần bạn đăng nhập vào tài khoản người dùng của mình, vị trí của bạn sẽ được gửi đến các thiết bị đáng tin cậy. Trong trường hợp trùng với vị trí thực tế của bạn, bạn có thể cho phép vào bằng cách nhấn nút được đánh dấu.

Nếu xác thực hai yếu tố nhắc bạn cho phép đăng nhập trên thiết bị khác, mặc dù khoảnh khắc này Vị trí thiết bị không khớp với vị trí của bạn thì bạn nên cấm nó hành động này. Điều này cho thấy truy cập trái phép vào tiện ích của bạn và cũng có thể đóng vai trò là tín hiệu về vị trí của kẻ tấn công đã lấy trộm điện thoại của bạn.

Vô hiệu hóa bảo vệ hai yếu tố

Chúng tôi đặc biệt khuyên bạn không nên thực hiện bất kỳ thao tác nào với thiết bị có thể vô hiệu hóa xác thực hai yếu tố của Apple; điều này sẽ làm giảm mức độ bảo mật cho tiện ích của bạn. Tuy nhiên, trong một số trường hợp, nó đơn giản là không cần thiết. Ví dụ: bạn liên tục sử dụng cả máy tính xách tay và điện thoại thông minh. Không cần phải xác nhận danh tính của bạn và hơn nữa, thủ tục rất mệt mỏi.

Có hai cách để vô hiệu hóa xác thực hai yếu tố của Apple. Trong trường hợp đầu tiên, bạn cần đăng nhập vào tài khoản của mình, chọn menu “Chỉnh sửa” và chọn tùy chọn thích hợp trong mục menu “Bảo mật”. Bằng cách xác nhận ngày sinh của bạn và trả lời câu hỏi bảo mật, bạn sẽ vô hiệu hóa bảo vệ hai yếu tố.

Vô hiệu hóa xác thực email

Nếu bạn nhận thấy tính năng bảo vệ hai bước được kích hoạt trên thiết bị của mình mà bạn không biết, bạn có thể tắt tính năng này từ xa bằng cách sử dụng e-mailđược chỉ định tại thời điểm đăng ký hoặc địa chỉ dự trữ. Làm cách nào để tắt xác thực hai yếu tố bằng email?

Để làm điều này, bạn cần mở bức thư sẽ đến hộp thư của bạn ngay sau khi kích hoạt hệ thống bảo vệ. Ở cuối tin nhắn, bạn sẽ thấy mục “Tắt…” quý giá. Bấm vào nó một lần và cài đặt trước đó việc bảo vệ dữ liệu cá nhân của bạn sẽ được khôi phục.

Bạn phải theo liên kết trong vòng hai tuần kể từ khi nhận được tin nhắn, nếu không nó sẽ không hợp lệ. Giờ đây, bạn sẽ không phải thắc mắc làm cách nào để tắt xác thực hai yếu tố và bạn biết thêm một số bí mật của Apple.

Bạn có thể không nhận ra nhưng bạn thường xuyên sử dụng xác thực hai yếu tố. Khi bạn chuyển tiền trực tuyến từ thẻ ghi nợ, bạn được yêu cầu nhập mật khẩu hoặc mã xác nhận từ SMS? Đây cũng là một hình thức xác thực hai yếu tố.

Xác thực hai yếu tố yêu cầu hai cách để xác minh danh tính của bạn và cũng có thể được sử dụng để bảo vệ nhiều danh tính trực tuyến khác nhau. Điều này không cung cấp bảo mật hoàn hảo và yêu cầu bước bổ sung khi đăng nhập vào tài khoản của bạn nhưng nó giúp dữ liệu của bạn trực tuyến an toàn hơn.

Xác thực hai yếu tố hoạt động như thế nào trên Internet?

Xác thực hai yếu tố (2FA), còn được gọi là xác minh hai bước hoặc xác thực đa yếu tố, được sử dụng rộng rãi để thêm một lớp bảo mật khác cho tài khoản trực tuyến của bạn. Hình thức xác thực hai yếu tố phổ biến nhất khi đăng nhập vào tài khoản là quá trình nhập mật khẩu rồi nhận mã qua SMS tới điện thoại của bạn, sau đó bạn nhập mã này vào trang web hoặc ứng dụng. Cấp độ xác thực hai yếu tố thứ hai có nghĩa là tin tặc hoặc người không trung thực khác sẽ phải đánh cắp mật khẩu cùng với điện thoại của bạn để có quyền truy cập vào tài khoản của bạn. tài khoản.

Có ba loại xác thực:

Những điều bạn biết: mật khẩu, mã PIN, mã bưu điện hoặc trả lời một câu hỏi (tên thời con gái của mẹ, tên thú cưng, v.v.)
Thứ bạn có: một chiếc điện thoại, thẻ tín dụng và như thế.
Một cái gì đó sinh trắc học: dấu vân tay, võng mạc, khuôn mặt hoặc giọng nói.

Yếu tố thứ hai hoạt động như thế nào?

Sau khi nhập mật khẩu (yếu tố xác thực đầu tiên), yếu tố thứ hai thường đến qua SMS. Tức là bạn sẽ nhận được một tin nhắn với mã số, mà bạn sẽ cần phải nhập để đăng nhập vào tài khoản của mình. Không giống như mã PIN thẻ ghi nợ, mã 2FA chỉ được sử dụng một lần. Mỗi lần bạn đăng nhập vào tài khoản này, bạn sẽ được gửi một mã mới.

Ngoài ra - bạn có thể sử dụng ứng dụng đặc biệt xác thực để nhận mã thay vì gửi chúng đến chế độ văn bản. Các ứng dụng xác thực phổ biến - Trình xác thực Google, Authy và DuoMobile.

Nên sử dụng SMS hay ứng dụng nào tốt hơn?

Nhiều trang web và dịch vụ, bao gồm Amazon, Dropbox, Google và Microsoft, cung cấp cho bạn tùy chọn sử dụng SMS hoặc ứng dụng để xác thực. Twitter là ví dụ nổi bật nhất về một trang web buộc bạn phải sử dụng SMS. Nếu bạn có lựa chọn, hãy sử dụng một ứng dụng xác thực.

Nhận mã từ qua tin nhắn SMS kém an toàn hơn so với sử dụng ứng dụng xác thực. Một hacker có thể chặn tin nhắn văn bản hoặc chặn số điện thoại bằng cách thuyết phục nhà cung cấp dịch vụ của bạn chuyển nó sang thiết bị khác. Hoặc nếu bạn đang đồng bộ hóa tin nhắn với máy tính, hacker có thể truy cập vào mã SMS bằng cách đánh cắp máy tính của bạn.

Ứng dụng xác thực có ưu điểm là không cần phải phụ thuộc vào nhà cung cấp dịch vụ của bạn. Các mã được gửi đến điện thoại của bạn dựa trên thuật toán mã hóa bí mật và thời gian hiện tại. Mã hết hạn nhanh chóng, thường sau 30 hoặc 60 giây.
Vì ứng dụng xác thực không cần câu lệnh Truyền thông di độngđể chuyển mã, chúng sẽ vẫn còn trong ứng dụng, ngay cả khi tin tặc chuyển số của bạn sang điện thoại mới. Ứng dụng xác thực cũng hoạt động khi bạn không có mạng di động- đây là một phần thưởng bổ sung.

Sử dụng ứng dụng xác thực yêu cầu một lượng nhỏ cài đặt thêm, nhưng cung cấp bảo vệ tốt hơn hơn tin nhắn SMS. Để thiết lập ứng dụng xác thực, bạn cần cài đặt ứng dụng trên điện thoại rồi thiết lập mã thông báo bí mật chung (một chuỗi mã dài) giữa ứng dụng và tài khoản của bạn. Điều này thường được thực hiện bằng cách quét mã QR bằng máy ảnh điện thoại của bạn. Tuy nhiên, sau khi thiết lập, ứng dụng xác thực sẽ loại bỏ việc bạn phải nhập mã; bạn chỉ cần nhấn vào thông báo ứng dụng để đăng nhập vào một trong các tài khoản của mình.

Nếu tôi không có điện thoại thì sao?

Nhiều dịch vụ trực tuyến, chẳng hạn như Dropbox, Facebook, Google và Instagram, cho phép bạn tạo mã dự phòng mà bạn có thể in hoặc chụp ảnh màn hình. Bằng cách này, nếu bạn bị mất điện thoại hoặc không thấy tín hiệu trạm di động, bạn có thể dùng mã dự phòng như một yếu tố xác thực thứ hai để đăng nhập. Chỉ cần đảm bảo bạn giữ bản in mã dự phòng ở nơi an toàn.

2FA có giúp tài khoản của tôi an toàn hơn không?

Không có sản phẩm bảo mật nào có thể khẳng định là hoàn hảo, bảo vệ đáng tin cậy, nhưng bằng cách kết hợp hai trong ba loại xác thực nêu trên, 2FA khiến mọi người khó có thể truy cập vào tài khoản của bạn. Bạn không chỉ gây khó khăn hơn cho các cuộc tấn công vào tài khoản của mình mà còn khiến tài khoản của bạn kém hấp dẫn hơn đối với tin tặc.

Hãy nghĩ về nó như bảo vệ ngôi nhà của bạn. nếu bạn có hệ thống nhà an ninh, bạn giảm khả năng bị trộm. Nếu bạn nuôi một con chó to, ồn ào thì khả năng bị trộm cũng giảm đi. Nếu bạn kết hợp hệ thống an ninh với một con chó lớn, thì ngôi nhà của bạn càng trở nên khó đột nhập hơn và sẽ trở thành mục tiêu kém hấp dẫn hơn. Hầu hết những tên cướp sẽ chỉ tìm thấy nhiều hơn lựa chọn dễ dàng, không có báo động và khả năng bị chó cắn.

Tương tự, xác thực hai yếu tố ngăn chặn hầu hết tin tặc nhắm mục tiêu vào tài khoản của bạn. Nhiều người sẽ tiếp tục và tìm những tài khoản dễ hack hơn. Và nếu họ đang nhắm mục tiêu vào bạn, họ sẽ cần nhiều thứ hơn là chỉ mật khẩu của bạn. Ngoài mật khẩu của bạn, hacker cũng sẽ cần điện thoại của bạn hoặc truy cập các mã thông báo được cài đặt trên điện thoại của bạn thông qua cơ chế xác thực bằng cách sử dụng cuộc tấn công lừa đảo. phần mềm độc hại hoặc kích hoạt khôi phục tài khoản, trong đó mật khẩu của bạn được đặt lại và 2FA sau đó bị vô hiệu hóa. Đây là công việc bổ sung và khó khăn.

Việc sử dụng 2FA còn rắc rối hơn thế nào?

Tôi không biết liệu tôi có gọi đây là rắc rối hay không, nhưng 2FA yêu cầu thêm một bước khi đăng nhập vào tài khoản của bạn. Bạn sẽ cần nhập mật khẩu của mình, đợi mã đến qua SMS, sau đó nhập mã. Hoặc, nếu bạn đang sử dụng một ứng dụng xác thực, bạn sẽ cần đợi thông báo mà bạn có thể nhấn để xác nhận rằng bạn là chính mình.

Tôi sử dụng xác thực 2FA trên nhiều tài khoản trực tuyến của mình và thấy nó ít rắc rối hơn so với sử dụng mật khẩu mạnh hoặc cụm mật khẩu kết hợp chữ hoa và chữ thường, số và ký hiệu. Và khi tôi đang nói về mật khẩu mạnh, hãy để tôi nói rõ rằng việc sử dụng 2FA như một cái cớ để sử dụng mật khẩu yếu hơn, dễ nhập hơn là một ý tưởng tồi. Đừng làm suy yếu yếu tố bảo vệ đầu tiên của bạn chỉ vì bạn đã thêm yếu tố thứ hai.

Làm cách nào để kích hoạt 2FA?

Nhiều trang web và dịch vụ cung cấp 2FA, nhưng gọi nó là tên khác nhau. Dưới đây là cách nhanh chóng cho phép xác thực hai yếu tố trong một số dịch vụ trực tuyến phổ biến nhất.

Dropbox.
Nhấp vào tên của bạn ở trên cùng bên phải tài khoản Dropbox của bạn và đi tới Cài đặt > Bảo mật và bạn sẽ thấy trạng thái được liệt kê ở đầu trang cho xác minh hai bước. Bên cạnh trạng thái "Đã tắt", hãy nhấp vào liên kết (nhấp để bật), sau đó nhấp vào nút "Bắt đầu từ đâu". Sau đó, bạn có thể thiết lập để nhận mã xác minh qua SMS trên điện thoại hoặc trong ứng dụng như Google Authenticator. Để biết thêm thông tin, hãy xem hướng dẫn Dropbox.

Facebook.
Bấm vào nút tam giác bên phải góc trên cùng, chọn Cài đặt > Bảo mật và nhấp vào Chỉnh sửa ở bên phải Xác minh đăng nhập. Sau đó nhấp vào "Bật" bên cạnh nơi ghi "Xác thực hai yếu tố hiện bị tắt". Để biết thêm thông tin xem