Yandex lanzó una aplicación que le permite no recordar contraseñas complejas y se unió a la carrera por la seguridad
A marcadores
Yandex ha lanzado un mecanismo de autenticación de dos factores y una nueva aplicación Yandex.Key que genera un código de acceso para una cuenta Yandex en un dispositivo móvil. Esto evitará tener que recordar una contraseña compleja por motivos de seguridad. TJ fue informado sobre esto por representantes de la empresa.
Actualizado por: Dos horas después de que Yandex anunciara la introducción de la autenticación de dos factores, informó Mail.Ru Group.
Yandex.Klyuch le permite no recordar contraseñas complejas
Para usar Yandex.Key, aún debe crear y recordar un código PIN de cuatro dígitos. Las contraseñas temporales, con las que podrá iniciar sesión en su cuenta Yandex, serán enviadas a su dispositivo móvil y serán válidas por 30 segundos.
Sin embargo, puede iniciar sesión sin ingresar una contraseña de un solo uso. Los códigos QR aparecieron en forma de autorización en Yandex: se pueden leer con la cámara de un teléfono inteligente a través de Yandex.Key. Es posible que los usuarios de dispositivos móviles de Apple no recuerden su código PIN: para ellos, el acceso a la aplicación es posible a través de una lectura de huellas dactilares utilizando el sensor Touch ID.
Los dos factores de autenticación en este caso son el PIN (o huella digital), que solo tiene el usuario, y el conocimiento de la conexión entre la cuenta Yandex y el dispositivo móvil con Yandex.Key: se almacena en los servidores de la empresa. Los códigos secretos se generan simultáneamente utilizando tanto el PIN como el "secreto" de los servidores de Yandex. La compañía también explicó que el procedimiento de autenticación es un proceso de un solo paso: solo se requiere una acción para iniciar sesión (ingresar un código de un solo uso o escanear un código QR).
Necesita mas seguridad
Esta no es la primera aparición en Yandex de autenticación de dos factores. Antes de eso, se usaba en Yandex.Money y en los servicios internos de la compañía, dijo Yandex a TJ.
La compañía dice que su proceso de autenticación de dos factores es más seguro porque las contraseñas temporales se generan a partir de letras, no de números, como es el caso de la competencia. Además, el usuario no necesita ingresar primero su nombre de usuario y contraseña: está autorizado usando solo un nombre de usuario y un código QR o una contraseña temporal.
Por lo general, con la autenticación de dos factores, se le pide al usuario que inicie sesión en la cuenta con su nombre de usuario y contraseña, y luego verifique su identidad, por ejemplo, mediante SMS. Aún es más fácil con nosotros. Es suficiente habilitar la autenticación de dos factores en Passport e instalar la aplicación Yandex.Key. Los códigos QR han aparecido en el formulario de autorización en la página principal de Yandex, en Mail y Passport. Para ingresar a la cuenta, el usuario debe escanear el código QR a través de la aplicación, y eso es todo.
Vladimir Ivanov, subdirector del Departamento de Operaciones de Yandex
Si el usuario olvida simultáneamente su código PIN y pierde el acceso a la tarjeta SIM vinculada a la cuenta, aún tendrá la oportunidad de restaurar su cuenta. Para hacer esto, deberá seguir el procedimiento estándar: completar un cuestionario y hablar con el servicio de soporte, explicado en Yandex.
Los usuarios que tienen habilitada la autenticación de dos factores suelen ser más cuidadosos con estas cosas; por ejemplo, indican su nombre y apellido reales, mediante los cuales se puede restaurar el acceso mediante un documento de identidad. Y desde la aplicación Yandex.Key puede abrir un cuestionario de recuperación de acceso especial; en caso de que le roben un teléfono inteligente para obtener acceso, existe un nivel secreto de protección.
servicio de prensa de "Yandex"
La autenticación de dos factores se lanzó en versión beta. La compañía dijo que participa en el programa de recompensas por errores: puede obtener una bonificación monetaria por buscar vulnerabilidades: a juzgar por el anuncio, oscila entre 5,5 y 170 mil rublos.
Contraseñas de asesinato masivo
Los usuarios no quieren recordar contraseñas complejas y, en su mayor parte, no utilizan la autenticación de dos factores, ya que la consideran demasiado complicada. Como muestran las estadísticas, en las contraseñas más populares en 2014, "123456", "contraseña" y "qwerty" siguen a la cabeza.
Yandex decidió usar códigos QR y Touch ID después de analizar varios estudios que mostraron que del 0.02% al 1% de la audiencia de varios servicios usa el procedimiento estándar de autenticación de dos factores.
Yandex no es la primera empresa en unirse a la carrera para mejorar la seguridad del usuario y, al mismo tiempo, abstenerse de recordar contraseñas complejas. En octubre Twitter una plataforma similar a Yandex.Key denominó Digits, posicionándola como un "asesino de contraseñas".
Con la ayuda de Digits, los usuarios podrán iniciar sesión en varios servicios a la vez: al principio, Twitter anunció una asociación con el rastreador de ejercicios FitStar, el servicio de reserva de restaurantes Resy y la aplicación OneFootball para fanáticos del deporte. La plataforma Digits también está integrada en la nueva suite de desarrolladores de Twitter Fabric.
Yandex le dijo a TJ que van a abrir la posibilidad de iniciar sesión en otras aplicaciones utilizando Yandex.Key; está previsto que aparezca en las próximas actualizaciones del programa.
Como la mayoría de los servicios, Digits utiliza un teléfono móvil para el registro y la verificación, enviando un código por SMS o por medio de un contacto dentro del mensajero. Este método se utiliza, por ejemplo, en los mensajeros de WhatsApp y Telegram.
La aplicación móvil de Facebook ha tenido su propio servicio Generador de código durante mucho tiempo, lo que le permite iniciar sesión utilizando códigos de tiempo. En Google, puede habilitar la autenticación de dos factores para su cuenta y usar la aplicación Google Authentificator, que le brinda acceso mediante un código QR o ingresando un código de seguridad. Tras el escándalo con la filtración de fotos personales de famosos en Apple, también, la seguridad de los usuarios de iCloud.
Funcionalidad similar a Google en junio y en VKontakte, sin embargo, la red social dijo que tales medidas de seguridad para la mayoría de los usuarios son redundantes. No hay autenticación de dos pasos en el servicio de correo Mail.Ru.
Actualizado a las 15:34: Unas horas después del anuncio de Yandex, el portal Mail.Ru lanzó la autenticación de dos factores para Mail, Cloud, Calendar, Game Center y otros proyectos, dijeron representantes de la compañía a TJ. Para iniciar sesión, el usuario debe utilizar su contraseña y código recibido vía SMS a su teléfono móvil.
La compañía enfatizó que la prueba beta cerrada de la autenticación de dos factores comenzó a fines de diciembre con el apoyo de la comunidad Habrahabra.
Los servicios de Internet pueden aumentar el nivel de seguridad de forma indefinida, pero el "eslabón débil" suele ser la seguridad de la contraseña del usuario. Si el segundo factor de protección está habilitado, para ingresar a la cuenta, el atacante tendrá que tomar posesión no solo de la contraseña, sino también del teléfono móvil de la víctima, lo cual es mucho más difícil.
La mayoría de los usuarios avanzados nos han pedido que implementemos esta función, pero realmente espero que se vuelva popular entre una audiencia más amplia.
Anna Artamonova, vicepresidenta de Mail.Ru Group
Yandex lanzó un sistema de autenticación de dos factores y lanzó la aplicación Yandex.Key para iniciar sesión en una cuenta sin tener que recordar e ingresar una contraseña compleja. La aplicación ya está disponible en Android e iOS, y el inicio de sesión en iPhones más nuevos se puede asegurar con un lector de huellas digitales.
Hay varias formas de iniciar sesión en su cuenta a través de Yandex.Key, pero primero debe ir a la página de configuración en yandex.ru/promo/2fa y habilitar la autorización de dos factores.
Confirma tu número de teléfono con el código recibido por SMS.
Instale la aplicación Yandex.Klyuch en su teléfono inteligente o tableta.
Inicie la aplicación y escanee el código QR en el sitio web de Yandex. Si su dispositivo móvil no tiene una cámara, haga clic en Mostrar clave secreta e ingrese los caracteres que se muestran en la aplicación.
Cree un PIN e introdúzcalo en el sitio web o la aplicación.
Ingrese la contraseña de un solo uso generada por la aplicación en el sitio web. Esta contraseña es válida solo por 30 segundos y luego aparece una nueva. Al final de la configuración, deberá ingresar la contraseña permanente para la cuenta nuevamente.
Estos pasos solo deben realizarse una vez. Después de activar la autorización de dos factores, deberá volver a autorizar en los sitios de Yandex en todos los dispositivos. Se pueden crear contraseñas independientes para acceder a las aplicaciones.
Ahora aparecerá un botón con un ícono de código QR en la página de inicio de sesión de la cuenta Yandex.
Le mostraré cómo configurar la autenticación de dos factores en Yandex, esto lo ayudará a proteger su cuenta de Yandex contra la piratería.
Entramos en la gestión de contraseñas en passport.yandex.ru/profile/access... Aquí puede cambiar su contraseña o habilitar protección adicional para su cuenta: autenticación de dos factores. Haga clic en el control deslizante Autenticación de dos factores para habilitarlo.
La conexión de la autenticación de dos factores se lleva a cabo en varios pasos. Deberá abrir Yandex.Passport y la aplicación móvil Yandex.Key en paralelo. Después de completar la configuración, debe volver a autorizar en todos los dispositivos.
Haga clic en iniciar configuración.
Aquí está su número de teléfono en el que se recibirán los códigos de configuración. Aquí también puede cambiar el número de teléfono asociado con su cuenta de Yandex.
Configuración de la autenticación de dos factores. Paso 1 de 5.
Confirma tu número de teléfono. Este es su número principal de Yandex. Lo necesitará si pierde el acceso a su cuenta. Haz click para obtener el codigo.
Recibirá un código SMS de Yandex a su número.
Ingrese el código SMS de Yandex aquí y haga clic en confirmar.
Configuración de la autenticación de dos factores. Paso 2 de 5.
Descargue la aplicación Yandex.Key. Ahora vamos a la AppStore en su iPhone o iPad o en la Play Store en un teléfono inteligente o tableta Android y buscamos la aplicación Yandex.Key. O haga clic para obtener un enlace al teléfono.
Se abrirá la App Store o Play Market, haga clic en descargar para descargar la aplicación Yandex.Key e instálela en su teléfono inteligente o tableta.
Si necesita ingresar la contraseña de su ID de Apple, ingrese la contraseña de su ID de Apple.
Después de 30 segundos, la aplicación se descargará en su teléfono inteligente, iníciela haciendo clic en ella.
Configuración de la autenticación de dos factores. Paso 3 de 5.
Apunte la cámara de su teléfono al código QR y su cuenta se agregará automáticamente a la aplicación. Si no se puede leer el código, intente nuevamente o ingrese la clave secreta.
Pasemos nuevamente al teléfono inteligente.
La aplicación Yandex.Key crea contraseñas de un solo uso para iniciar sesión en Yandex. Si ya ha comenzado a configurar la autenticación de dos factores en su computadora, haga clic en el botón "Agregar cuenta a la aplicación".
Haga clic para agregar una cuenta a la aplicación.
El programa "Clave" solicita acceso a la "cámara". Haga clic en permitir para que la aplicación acceda a la cámara de su teléfono inteligente para escanear el código QR desde la pantalla de su computadora.
Apunte la cámara al código QR que se muestra en el monitor de su computadora y espere a que se agregue la cuenta o agréguela manualmente.
Listo. Se escaneó el código QR. La aplicación Yandex.Key está lista para funcionar.
Ahora pasamos al monitor de la computadora.
Haga clic en crear un código pin.
Necesita un código PIN cada vez que recibe una contraseña de un solo uso en Yandex.Key, así como para restaurar el acceso a su cuenta. Mantenga su PIN confidencial. Los empleados de servicio de Yandex nunca le preguntan.
Crea un código PIN de cuatro dígitos y haz clic en Continuar.
Configuración de la autenticación de dos factores. Paso 4 de 5.
Comprobando el código pin. Asegúrese de recordar el código pin. Una vez que se completa la configuración, no se puede cambiar. Si ingresa un código PIN incorrecto en la aplicación, generará contraseñas de un solo uso incorrectas.
Ingrese el código PIN que inventó anteriormente y haga clic en verificar.
Regresamos al teléfono inteligente y a la aplicación Yandex.Key. Ingrese el código pin para obtener una contraseña de un solo uso.
Después de ingresar el código pin, recibirá una contraseña de un solo uso que será válida por 20 segundos, durante estos 20 segundos debe ingresarla en su computadora en la configuración de autenticación de dos factores. Si no tiene tiempo para ingresar la contraseña en 20 segundos, cambiará a otra, y así sucesivamente. Ingrese la contraseña que se mostrará en la pantalla de su teléfono inteligente.
Último paso. Ingrese su contraseña de Yandex.Key.
Utilice el código PIN para obtener una contraseña de un solo uso en la aplicación. Asegúrese de memorizar el código PIN, después de completar la configuración, no podrá cambiarlo.
Qué cambiará después de habilitar la autenticación de dos factores:
- La contraseña anterior ya no funcionará.
- Deberá volver a autorizar en Yandex en todos los dispositivos (servicios web y aplicaciones móviles).
- Puede acceder a los servicios web de Yandex utilizando un código QR sin ingresar una contraseña. Si no puede leer el código, use la contraseña de un solo uso de Yandex.Key.
- Se le dirigirá a las aplicaciones móviles de Yandex mediante una contraseña de un solo uso. Se puede copiar de Yandex.Key presionando prolongadamente.
- Para otros programas asociados con su cuenta (por ejemplo, clientes de correo o recolectores de correo), obtenga las contraseñas de la aplicación en Passport.
Ingrese la contraseña de un solo uso que se muestra en la pantalla de su teléfono inteligente y haga clic en completar la configuración.
Ahora, después de ingresar la contraseña de un solo uso, debe ingresar la contraseña anterior de la cuenta. Yandex debe asegurarse de que el propietario de la cuenta realice un cambio tan importante en la configuración de seguridad.
Ingrese la contraseña anterior de la cuenta Yandex y haga clic en Aceptar.
Listo. La autenticación de dos factores está completa. Ha protegido su cuenta con contraseñas de un solo uso. Ahora debe iniciar sesión en Yandex nuevamente en todos los dispositivos. Si utiliza programas de correo electrónico, por ejemplo, no olvide obtener las contraseñas de aplicación para ellos.
Haga clic en cerrar.
Ahora, si usa un buzón de cuenta de Yandex en su teléfono inteligente, debe crear una contraseña para él.
Seleccione el tipo de aplicación> Programa de correo.
Y seleccionamos el sistema operativo de su programa de correo. Yo uso un iPhone, así que elijo iOS.
Y haga clic en Crear contraseña para crear una contraseña para el programa de correo electrónico en su teléfono inteligente.
Se ha generado su contraseña de correo de iOS.
Cómo usar la contraseña:
- Para que la aplicación acceda a sus datos, especifique esta contraseña en su configuración.
- No es necesario que recuerde su contraseña: solo la necesita una vez. Cuando cambie su contraseña de Yandex, deberá obtener una nueva contraseña de aplicación.
- La contraseña de la aplicación se muestra solo una vez. Si cierra la página y no tiene tiempo para usarla, simplemente obtenga una nueva.
Ingresamos la contraseña que se muestra en el monitor de su computadora en la aplicación móvil de correo Yandex en su teléfono inteligente.
Listo. La autenticación de dos factores de Yandex funciona, puede seguir adelante.
Ahora, si cierra sesión en su cuenta de Yandex y vuelve a ingresar su nombre de usuario y contraseña, le escribirán:
¡Par de nombre de usuario y contraseña no válido! Error de inicio de sesion. Quizás tenga un diseño de teclado diferente o haya presionado la tecla "Bloq Mayús". Si está utilizando autenticación de dos factores, asegúrese de ingresar la contraseña de un solo uso de la aplicación Yandex.Key en lugar de la habitual. Intente iniciar sesión nuevamente.
Ahora debe abrir la aplicación Yandex.Key, ingresar su código PIN y apuntar con la cámara del teléfono inteligente al código QR. Ingresará automáticamente a su cuenta Yandex después de que el teléfono inteligente lea el código QR en la pantalla del monitor.
Otras publicaciones sobre el tema de la seguridad y la verificación en dos pasos:
Hola queridos amigos. Hoy le diré cómo configurar la autenticación de dos factores para una cuenta Yandex y establecer una contraseña en Yandex.Disk. Esto protegerá la cuenta principal y mejorará la seguridad de las aplicaciones individuales de Yandex.
La protección de datos personales es el mayor problema en Internet. Los usuarios a menudo descuidan las reglas de seguridad. Crean contraseñas simples e idénticas para diferentes recursos de Internet, las almacenan en buzones de correo electrónico, cuyas contraseñas también se utilizan en otros recursos. Estos son solo algunos de los errores más comunes.
Si un atacante obtiene acceso a una de las cuentas, otros recursos del usuario estarán en riesgo. Y si tenemos en cuenta el hecho de que los virus pueden recordar haber ingresado contraseñas desde el teclado, entonces la situación parecerá aún más triste. Es por eso que todo usuario de Internet debe seguir las reglas básicas de seguridad:
- Crea contraseñas complejas.
- No utilice las mismas contraseñas para diferentes recursos de Internet.
- Cambie las contraseñas con regularidad.
Y también use métodos de protección adicionales. Uno de estos métodos es la autenticación de dos factores de Yandex.
¿Cómo funciona la autenticación de dos factores?
Como sabe, para acceder a un área restringida como el correo electrónico, el panel de administración del sitio, las cuentas de redes sociales, necesita un nombre de usuario y una contraseña. Pero este es solo un nivel de protección. Para fortalecer la protección, muchos servicios introducen métodos de autenticación adicionales, como confirmación por SMS, llaves USB, aplicaciones móviles.
Ya te lo he contado. Donde, además del nombre de usuario y la contraseña, la aplicación móvil genera un código de seguridad. Entonces, la autenticación de dos factores de Yandex funciona de la misma manera.
Es decir, un nivel adicional de protección es la aplicación móvil Yandex.Key, que cancela la contraseña anterior de la cuenta Yandex y genera una nueva contraseña de un solo uso cada 30 segundos.
Con este nivel de protección, solo es posible iniciar sesión en su cuenta con una contraseña de un solo uso o un código QR.
Es suficiente para hacer ciertas configuraciones y en el futuro apunte la cámara de su teléfono inteligente al código QR y obtenga acceso a su cuenta de Yandex.
Y si no puede usar la cámara del teléfono inteligente o no hay acceso a Internet, siempre puede usar la contraseña de un solo uso que se genera en la aplicación móvil incluso sin Internet.
La seguridad de la propia aplicación móvil Yandex.Key está garantizada por el código PIN que crea cuando conecta su cuenta a la aplicación.
Bueno, si tiene un teléfono inteligente o tableta de Apple, puede usar Touch ID en lugar de un código PIN.
Por lo tanto, el acceso a sus datos estará cerrado de forma más segura.
Configuración de la autenticación de dos factores.
Para empezar, en la página principal de Yandex, inicie sesión en su cuenta de la forma tradicional. Luego haga clic en el nombre de su cuenta (nombre del buzón) y seleccione "El pasaporte".
En la página recién abierta, haga clic en el interruptor gráfico, opuesto "Autenticación de dos factores", y luego en el botón "Iniciar configuración".
El procedimiento de configuración en sí consta de 4 pasos que deberán realizarse en una computadora y un dispositivo móvil.
Paso 1. Confirmación del número de teléfono.
Si ha vinculado previamente su número de teléfono a su cuenta de Yandex, puede recibir inmediatamente un código de confirmación. Si no es así, ingrese el número de teléfono y presione el botón "Para obtener el código".
El código llegará al número especificado. Debe ingresarlo en un campo especial y hacer clic en el botón "Confirmar".
Paso 2. Código PIN de la aplicación móvil.
En este paso, debe crear e ingresar un código PIN para la aplicación móvil dos veces. Es este código el que abrirá el acceso a la aplicación en un teléfono inteligente o tableta.
Ingrese el código y haga clic en el botón "Crear".
Paso 3. Instalar la aplicación móvil Yandex.Key y agregar una cuenta.
Entonces, desde su teléfono inteligente o tableta, vaya a Google Play (para Android) y a la App Store (para dispositivos de Apple). A continuación, descargue e instale la aplicación Yandex.Key.
Abra la aplicación y haga clic en el botón "Agregar una cuenta a la aplicación".
Agregar una cuenta a la aplicación móvil Yandex.Key
Después de eso, deberá apuntar la cámara del dispositivo móvil a la pantalla del monitor, donde en ese momento se mostrará un código QR. Coloca el cursor sobre este código.
Entonces, regrese a la computadora y haga clic en el botón "Próximo paso".
Paso 4. Ingresar la contraseña para la aplicación móvil Yandex.Keyboard.
Después de esperar la actualización de la nueva clave en la aplicación móvil, ingrésela en la computadora y presione el botón "Encender".
Luego deberá ingresar la contraseña anterior de su cuenta Yandex y hacer clic en el botón "Confirmar".
Finalizar una conexión de autenticación de dos factores
Todo está listo. Aseguró su cuenta con autenticación de dos factores. Ahora debe volver a ingresar a su cuenta en todos los dispositivos usando una contraseña de un solo uso o un código QR.
Cómo iniciar sesión en su cuenta usando Yandex.Key.
Todo es sumamente sencillo. En la página principal de Yandex, en el panel de inicio de sesión y registro, haga clic en el icono de puntos suspensivos (...) y seleccione Ya.Klyuch en el menú.
O puede utilizar el método de inicio de sesión tradicional con su inicio de sesión (dirección de buzón) y contraseña (contraseña de un solo uso para la aplicación móvil Yandex.Key).
Cómo configurar una contraseña en Yandex.Disk.
Al conectar la autenticación de dos factores, puede crear contraseñas independientes para aplicaciones de terceros que se conectan a su cuenta. Este mecanismo se enciende automáticamente después de la conexión.
De esta forma, utilizará una contraseña que solo sea adecuada para la unidad.
Al utilizar diferentes contraseñas para las aplicaciones, refuerza la línea de protección de sus datos.
Para crear una contraseña, debe ir a la página de control de acceso, seleccionar una aplicación, ingresar un nombre y presionar el botón "Crear una contraseña".
La contraseña se generará automáticamente y se mostrará solo una vez. Por lo tanto, copie esta contraseña en un lugar seguro. De lo contrario, será necesario eliminar esta contraseña y crear una nueva.
Ahora, cuando conecte Yandex.Disk a través del protocolo WebDAV, usará esta contraseña en particular.
Nota: Las contraseñas de aplicaciones deben usarse incluso si deshabilita la autenticación de dos factores. Esto le evitará revelar la contraseña principal de su Yandex.
Cómo deshabilitar la autenticación de dos factores.
Para deshabilitar la autenticación de dos factores, debe ir a la página de control de acceso y presionar el interruptor (Encendido / Apagado).
Luego ingrese la contraseña de un solo uso de la aplicación móvil Yandex.Key y presione el botón "Confirmar".
Creando una nueva contraseña para su cuenta Yandex
Ahora, para ingresar a su cuenta, utilizará su nombre de usuario y contraseña, como lo hizo anteriormente.
Importante: si desactiva la autenticación, se restablecen las contraseñas creadas para las aplicaciones. Deben recrearse.
Y ahora propongo ver un video tutorial, donde muestro claramente todo el procedimiento.
Eso es todo para mí hoy, amigos. Si tiene alguna pregunta, estaré encantado de responderla en los comentarios.
Les deseo éxito, nos vemos en nuevos videos tutoriales y artículos.
Saludos cordiales, Maxim Zaitsev.
Una publicación poco común en el blog de Yandex, y especialmente una relacionada con la seguridad, prescindió de la autenticación. Pensamos durante mucho tiempo cómo fortalecer adecuadamente la protección de las cuentas de los usuarios, e incluso para que pudiera usarla sin todos los inconvenientes que incluyen las implementaciones más comunes en la actualidad. Y, por desgracia, son inconvenientes. Según algunos informes, en muchos sitios grandes, la proporción de usuarios que han habilitado medios adicionales de autenticación no supera el 0,1%.
Esto parece deberse a que el esquema común de autenticación de dos factores es demasiado complejo e inconveniente. Intentamos idear una forma que fuera más conveniente sin perder el nivel de protección, y hoy la presentamos en versión beta.
Ojalá se generalice más. Por nuestra parte, estamos dispuestos a trabajar en su mejora y posterior estandarización.
Después de habilitar la autenticación de dos factores en Passport, deberá instalar la aplicación Yandex.Key en App Store o Google Play. Los códigos QR han aparecido en el formulario de autorización en la página principal de Yandex, Mail and Passport. Para ingresar a su cuenta, debe escanear el código QR a través de la aplicación, y eso es todo. Si no puede leer el código QR, por ejemplo, la cámara del teléfono inteligente no funciona o no hay acceso a Internet, la aplicación creará una contraseña de un solo uso que será válida por solo 30 segundos.
Le diré por qué decidimos no utilizar mecanismos "estándar" como RFC 6238 o RFC 4226. ¿Cómo funcionan los esquemas de autenticación de dos factores comunes? Son de dos etapas. La primera etapa es la autenticación habitual de nombre de usuario y contraseña. Si tiene éxito, el sitio verifica si le "gusta" esta sesión de usuario o no. Y, si no le gusta, le pide al usuario que se "vuelva a autenticar". Hay dos métodos comunes de "autenticación previa": enviar un SMS al número de teléfono asociado con la cuenta y generar una segunda contraseña en un teléfono inteligente. Básicamente, para generar la segunda contraseña se usa TOTP de acuerdo con RFC 6238. Si el usuario ingresó la segunda contraseña correctamente, la sesión se considera completamente autenticada, y si no, la sesión también pierde su autenticación "preliminar".
Ambos métodos, enviar SMS y generar una contraseña, prueban la propiedad del teléfono y, por lo tanto, son un factor de disponibilidad. La contraseña ingresada en el primer paso es un factor de conocimiento. Por lo tanto, este esquema de autenticación no es solo de dos pasos, sino también de dos factores.
¿Qué nos pareció problemático en este esquema?
Comencemos con el hecho de que la computadora de un usuario promedio no siempre puede llamarse un modelo de seguridad: aquí puede desactivar las actualizaciones de Windows, una copia pirateada de un antivirus sin firmas modernas y software de origen dudoso, todo esto no aumenta el nivel de protección. En nuestra opinión, comprometer la computadora de un usuario es el método más extendido de "secuestro" de cuentas (y recientemente lo fue), y queremos protegernos de él en primer lugar. En el caso de la autenticación de dos pasos, si asumimos que la computadora del usuario está comprometida, ingresar una contraseña compromete la contraseña en sí, que es el primer factor. Esto significa que el atacante solo necesita seleccionar el segundo factor. En el caso de implementaciones comunes de RFC 6238, el segundo factor es de 6 dígitos decimales (y el máximo estipulado por la especificación es de 8 dígitos). Según la calculadora de fuerza bruta para OTP, en tres días un atacante puede detectar el segundo factor si de alguna manera conoce el primero. No está claro qué servicio puede contrarrestar este ataque sin interrumpir la experiencia normal del usuario. La única prueba posible de trabajo es el captcha, que, en nuestra opinión, es el último recurso.El segundo problema es la falta de transparencia en el juicio del servicio sobre la calidad de la sesión del usuario y la toma de decisiones sobre la necesidad de una "autenticación previa". Peor aún, el servicio no está interesado en hacer que este proceso sea transparente, porque la seguridad por oscuridad realmente funciona aquí. Si el atacante sabe, sobre la base de lo cual el servicio toma una decisión sobre la legitimidad de la sesión, puede intentar falsificar estos datos. A partir de consideraciones generales, podemos concluir que el juicio se realiza en base al historial de autenticación del usuario, teniendo en cuenta la dirección IP (y derivado de ella el número de sistema autónomo que identifica al proveedor y la ubicación en base a la geobase) y navegador. datos, por ejemplo, el encabezado del agente de usuario y un conjunto de cookies, flash lso y almacenamiento local html. Esto significa que si un atacante controla la computadora de un usuario, entonces tiene la capacidad no solo de robar todos los datos necesarios, sino también de usar la dirección IP de la víctima. Además, si la decisión se toma sobre la base de ASN, cualquier autenticación del Wi-Fi público en la cafetería puede provocar un "envenenamiento" en términos de seguridad (y blanqueo en términos de servicio) del proveedor de este café. comprar y, por ejemplo, blanquear todas las cafeterías de la ciudad. ... Hablamos sobre el trabajo y podría aplicarse, pero el tiempo entre la primera y la segunda etapa de autenticación puede no ser suficiente para un juicio seguro sobre la anomalía. Además, este mismo argumento destruye la idea de computadoras "confiables": un atacante puede robar cualquier información que afecte el juicio de confianza.
Finalmente, la autenticación en dos pasos es simplemente un inconveniente: nuestros estudios de usabilidad muestran que nada molesta tanto a los usuarios como una pantalla intermedia, presionar botones adicionales y otras acciones "sin importancia" desde su punto de vista.
Basándonos en esto, decidimos que la autenticación debería ser de un solo paso y el espacio de la contraseña debería ser mucho mayor de lo que es posible hacer en el marco de RFC 6238 "puro".
Al mismo tiempo, queríamos mantener la autenticación de dos factores tanto como fuera posible.
La multifactorialidad en la autenticación se determina asignando elementos de autenticación (de hecho, se denominan factores) en una de tres categorías:
- Factores de conocimiento (estos son contraseñas tradicionales, códigos pin y todo lo que se les parezca);
- Factores de propiedad (en los esquemas OTP usados, por regla general, se trata de un teléfono inteligente, pero también puede ser un token de hardware);
- Factores biométricos (la huella digital es la más común ahora, aunque alguien recordará el episodio con el héroe de Wesley Snipes en la película Demolition Man).
Desarrollo de nuestro sistema
Cuando comenzamos a abordar el problema de la autenticación de dos factores (las primeras páginas de la wiki corporativa sobre este tema se remontan a 2012, pero se discutió entre bastidores antes), la primera idea fue tomar métodos de autenticación estándar y aplicarlos aquí. . Entendimos que no podemos esperar que millones de nuestros usuarios compren un token de hardware, por lo que esta opción se pospuso para algunos casos exóticos (aunque no la abandonemos por completo, quizás podamos llegar a algo interesante). El método con SMS tampoco podría estar muy extendido: es un método de entrega muy poco confiable (en el momento más crucial, los SMS pueden retrasarse o no recibirse), y enviar SMS cuesta dinero (y los operadores comenzaron a subir su precio). Decidimos que el uso de SMS es cosa de bancos y otras empresas de baja tecnología, y queremos ofrecer a nuestros usuarios algo más conveniente. En general, la elección no fue muy buena: usar el teléfono inteligente y el programa que contiene como segundo factor.Esta forma de autenticación en un solo paso está muy extendida: el usuario recuerda el código pin (el primer factor), tiene un token de hardware o software (en el teléfono inteligente) que genera OTP (el segundo factor). En el campo de entrada de contraseña, ingresa el código pin y el valor actual de OTP.
En nuestra opinión, el principal inconveniente de este esquema es el mismo que el de la autenticación en dos pasos: si asumimos que el escritorio del usuario está comprometido, entonces una sola entrada del código PIN conduce a su divulgación y el atacante solo puede elegir el segundo. factor.
Decidimos ir al revés: la contraseña se genera completamente a partir del secreto, pero solo una parte del secreto se almacena en el teléfono inteligente, y el usuario ingresa una parte cada vez que se genera la contraseña. Por lo tanto, el teléfono inteligente en sí es un factor de propiedad y la contraseña permanece en la cabeza del usuario y es un factor de conocimiento.
El Nonce puede ser un contador o la hora actual. Decidimos elegir la hora actual, esto nos permite no tener miedo a la desincronización en caso de que alguien genere demasiadas contraseñas y aumente el contador.
Entonces, tenemos un programa de teléfono inteligente, donde el usuario ingresa su parte del secreto, se mezcla con la parte almacenada, el resultado se usa como una clave HMAC, que firma la hora actual, redondeada a 30 segundos. La salida de HMAC se hace legible por humanos, y listo, ¡aquí está la contraseña de un solo uso!
Como se mencionó, RFC 4226 sugiere truncar la salida HMAC a un máximo de 8 dígitos decimales. Decidimos que una contraseña de este tamaño no es adecuada para la autenticación en un solo paso y debería aumentarse. Al mismo tiempo, queríamos preservar la facilidad de uso (después de todo, recuerde, quiero hacer un sistema que lo use la gente común, y no solo los fanáticos de la seguridad), como un compromiso en la versión actual del sistema, Elegimos el truncamiento a 8 caracteres del alfabeto latino. Parece que 26 ^ 8 contraseñas válidas durante 30 segundos es bastante aceptable, pero si el margen de seguridad no nos conviene (o aparecen valiosos consejos sobre cómo mejorar este esquema en Habré), las ampliaremos, por ejemplo, a 10 caracteres.
Obtenga más información sobre la solidez de dichas contraseñas.
De hecho, para letras latinas que no distinguen entre mayúsculas y minúsculas, el número de opciones por signo es 26, para letras latinas mayúsculas y minúsculas más números, el número de opciones es 26 + 26 + 10 = 62. Luego, log 62 (26 10) ≈ 7.9, es decir, una contraseña de 10 letras latinas pequeñas al azar es casi tan fuerte como una contraseña de 8 números o letras latinas grandes y pequeñas al azar. Definitivamente, esto es suficiente para 30 segundos. Si hablamos de una contraseña de 8 caracteres formada por letras latinas, entonces su fuerza es log 62 (26 8) ≈ 6,3, es decir, un poco más de una contraseña de 6 caracteres formada por letras grandes, minúsculas y números. Creemos que esto sigue siendo aceptable durante una ventana de 30 segundos.Magia, falta de contraseña, aplicaciones y el camino a seguir
En general, podríamos habernos detenido en esto, pero queríamos que el sistema fuera aún más conveniente. Cuando una persona tiene un teléfono inteligente en la mano, ¡no quiere ingresar la contraseña desde el teclado!
Por lo tanto, comenzamos a trabajar en el "inicio de sesión mágico". Con este método de autenticación, el usuario inicia la aplicación en el teléfono inteligente, ingresa su código PIN y escanea el código QR en la pantalla de su computadora. Si el código PIN se ingresa correctamente, la página en el navegador se vuelve a cargar y el usuario se autentica. ¡Magia!
¿Como funciona?
El número de sesión está codificado en el código QR y, cuando la aplicación lo escanea, este número se transmite al servidor junto con la contraseña y el nombre de usuario generados de la forma habitual. Esto no es difícil, porque el teléfono inteligente casi siempre está en línea. En el diseño de la página que muestra el código QR, JavaScript se está ejecutando, esperando desde el lado del servidor una respuesta para verificar la contraseña con la sesión dada. Si el servidor responde que la contraseña es correcta, se establece una cookie de sesión junto con la respuesta y el usuario se considera autenticado.Mejoró, pero incluso aquí decidimos no parar. A partir del iPhone 5S, el escáner de huellas dactilares TouchID ha aparecido en teléfonos y tabletas de Apple, y en la versión 8 de iOS, las aplicaciones de terceros también están disponibles para trabajar con él. De hecho, la aplicación no tiene acceso a la huella dactilar, pero si la huella dactilar es correcta, la aplicación dispone de una sección adicional de Llavero. Aprovechamos esto. La segunda parte del secreto se coloca en la entrada Keychain protegida con TouchID, la que el usuario ingresó desde el teclado en el script anterior. Al desbloquear el llavero, las dos partes del secreto se mezclan y luego el proceso funciona como se describe anteriormente.
Pero el usuario se ha vuelto increíblemente conveniente: abre la aplicación, coloca el dedo, escanea el código QR en la pantalla y se autentica en el navegador de la computadora. Entonces reemplazamos el factor de conocimiento por uno biométrico y, desde el punto de vista del usuario, las contraseñas completamente abandonadas. Estamos seguros de que la gente común encontrará este esquema mucho más conveniente que ingresar manualmente dos contraseñas.
Es posible debatir qué tan formalmente es dicha autenticación de dos factores, pero de hecho, para aprobarla con éxito, aún es necesario tener un teléfono y tener la huella digital correcta, por lo que creemos que hemos logrado abandonar por completo el factor de conocimiento. reemplazándolo con biometría. Entendemos que confiamos en la seguridad de ARM TrustZone en el corazón de iOS Secure Enclave, y creemos que actualmente se confía en nuestro modelo de amenazas. Por supuesto, somos conscientes de los problemas de la autenticación biométrica: una huella dactilar no es una contraseña y no se puede reemplazar en caso de compromiso. Pero, por otro lado, todo el mundo sabe que la seguridad es inversamente proporcional a la conveniencia, y el propio usuario tiene derecho a elegir una proporción aceptable de una a otra.
Déjame recordarte que esto todavía es beta. Ahora, cuando habilita la autenticación de dos factores, deshabilitamos temporalmente la sincronización de contraseñas en el navegador Yandex. Esto se debe a la forma en que se organiza el cifrado de la base de datos de contraseñas. Ya estamos ideando una forma conveniente de autenticar el navegador en el caso de 2FA. Todas las demás funciones de Yandex funcionan como antes.
Esto es lo que tenemos. Parece que ha funcionado bien, pero usted debe juzgarlo. Estaremos encantados de escuchar comentarios y recomendaciones, y nosotros mismos continuaremos trabajando para mejorar la seguridad de nuestros servicios: ahora, junto con, y todo lo demás, tenemos autenticación de dos factores. Tenga en cuenta que los servicios de autenticación y las aplicaciones de generación de OTP son fundamentales y, por lo tanto, duplican la bonificación de Bug Bounty por los errores que se encuentran en ellos.
Etiquetas:
- seguridad
- autenticación
- 2FA
