A "Yandex" elindított egy alkalmazást, amely lehetővé teszi, hogy ne emlékezzen összetett jelszavak, és csatlakozott a biztonságért folyó versenyhez
A könyvjelzőkhöz
A Yandex elindított egy kéttényezős hitelesítési mechanizmust és egy új Yandex.Key alkalmazást, amely hozzáférési kódot generál egy Yandex-fiókhoz egy mobileszközön. Ez megakadályozza, hogy biztonsági okokból emlékezzen egy bonyolult jelszóra. Erről TJ-t a cég képviselői tájékoztatták.
Frissítve: két órával a Yandex bejelentése után a kétfaktoros hitelesítés bevezetéséről számoltak be a Mail.Ru csoportban.
A "Yandex.Key" lehetővé teszi, hogy ne emlékezzen összetett jelszavakra
A Yandex.Key használatához még mindig ki kell találnia és emlékeznie kell egy négyjegyű PIN-kódra. A Yandex-fiókjába való bejelentkezéshez használt ideiglenes jelszavakat elküldjük mobileszközére, és 30 másodpercig érvényesek.
Azonban egyszeri jelszó megadása nélkül is bejelentkezhet. A QR-kódok megjelentek a Yandex engedélyezési űrlapján: okostelefon kamerájával a Yandex.Key-n keresztül olvashatók. Mobil felhasználók Apple eszközök előfordulhat, hogy nem emlékeznek a PIN-kódjukra: számukra az alkalmazáshoz a Touch ID szenzor segítségével történő ujjlenyomat-leolvasás révén lehet hozzáférni.
A két hitelesítési tényező ebben az esetben a PIN-kód (vagy ujjlenyomat), amellyel csak a felhasználó rendelkezik, valamint a Yandex-fiók és a mobileszköz közötti kapcsolat ismerete a Yandex.Key-vel - ez a cég szerverein tárolódik. Titkos kódok a PIN-kód és a Yandex szerverek „titka” használatával egyszerre jön létre. A cég azt is kifejtette, hogy a hitelesítési eljárás egylépéses: a bejelentkezés egyetlen műveletet igényel (egyszeri kód megadása vagy QR-kód beolvasása).
Nagyobb biztonság kell
Nem ez az első megjelenése a kéttényezős hitelesítésnek a Yandexben. Ezt megelőzően a Yandex.Money-ban és a cég belső szolgáltatásaiban használták – mondta a Yandex a TJ-nek.
A cég képviselői szerint a kéttényezős hitelesítési eljárásuk megbízhatóbb, mert az ideiglenes jelszavakat betűkből állítják elő, nem pedig számokból, ahogy a versenytársaknál. Ezenkívül a felhasználónak nem kell először megadnia bejelentkezési nevét és jelszavát: csak a bejelentkezési névvel és egy QR-kóddal vagy ideiglenes jelszóval van jogosultsága.
A kéttényezős hitelesítés általában arra kéri a felhasználót, hogy jelentkezzen be fiókot felhasználóneve és jelszava alatt, majd igazolja személyazonosságát – mondjuk ezzel SMS-ben. Nekünk még könnyebb. Elég engedélyezni a kéttényezős hitelesítést a „Passport”-ban, és telepíteni a Yandex.Key alkalmazást. Az engedélyezési űrlapon kezdőlap A Yandex, QR-kódok megjelentek a Mailben és az útlevélben. A fiókba való belépéshez a felhasználónak el kell olvasnia a QR-kódot az alkalmazáson keresztül - és ennyi.
Vladimir Ivanov, a Yandex műveleti osztályának helyettes vezetője
Ha a felhasználó egyidejűleg elfelejti PIN kódját, és elveszíti hozzáférését a fiókhoz kapcsolt SIM-kártyához, továbbra is lehetősége van fiókja visszaállítására. Ehhez egy szokásos eljáráson kell keresztülmennie: kitölt egy kérdőívet, és beszélni kell a támogatási szolgálattal - magyarázták a Yandexben.
Azok a felhasználók, akiknél engedélyezve van a kétlépcsős azonosítás, általában körültekintőbben járnak el az ilyesmiben – például feltüntetik a valódi vezeték- és keresztnevüket, amivel személyazonosító okmány segítségével vissza lehet állítani a hozzáférést. A Yandex.Key alkalmazásból pedig megnyithat egy speciális hozzáférés-helyreállítási űrlapot - abban az esetben, ha az okostelefont ellopták a hozzáférés érdekében, van egy titkos védelmi szint.
a "Yandex" sajtószolgálata
A kéttényezős hitelesítési eljárás béta verzióként indult. A cég azt közölte, hogy részt vesz a bug bounty programban - a sebezhetőségek feltárásáért pénzdíjat kaphat: a hirdetésből ítélve ez 5,5 és 170 ezer rubel között mozog.
A jelszavak tömeges "gyilkossága".
A felhasználók nem akarnak emlékezni az összetett jelszavakra, és általában nem használnak kétfaktoros hitelesítést, mivel túl bonyolultnak tartják. A statisztikák azt mutatják, hogy 2014 legnépszerűbb jelszavai továbbra is az „123456”, a „password” és a „qwerty”.
A Yandex a QR-kódok és a Touch ID használata mellett döntött, miután különféle tanulmányokat elemeztek, amelyek kimutatták, hogy a különféle szolgáltatások közönségének 0,02-1%-a használja a szabványos kéttényezős hitelesítési eljárást.
A Yandex nem az első vállalat, amely csatlakozik a felhasználói biztonság javításáért folytatott versenyhez, és egyúttal megtagadja az összetett jelszavak emlékezését. Októberben a Twitter hasonló a "Yandex.Key" platformhoz, az úgynevezett Digits-hez, és "jelszógyilkosként" helyezte el.
A Digits segítségével egyszerre több szolgáltatásba is bejelentkezhetnek majd a felhasználók: a Twitter az induláskor bejelentette, hogy együttműködést kötött a FitStar fitneszkövetővel, a Resy étteremfoglalási szolgáltatással, valamint a sportrajongóknak szánt OneFootball alkalmazással. A Digits platform is integrálva van új csomag Twitter Fabric fejlesztői szoftver.
A Yandex elmondta a TJ-nek, hogy megnyitják a lehetőséget, hogy más alkalmazásokba is bejelentkezhessen a Yandex.Key használatával – megjelenését a program következő frissítéseiben tervezik
A legtöbb szolgáltatáshoz hasonlóan a Digits mobiltelefont használ regisztrációhoz és ellenőrzéshez, kódot küld SMS-ben vagy a messengeren belüli kapcsolaton keresztül. Ezt a módszert például a WhatsApp és a Telegram messengerekben használják.
Mobilban Facebook alkalmazás saját szolgáltatás már régóta létezik Kódgenerátor, amely lehetővé teszi az ideiglenes kódok használatával történő bejelentkezést. A Google segítségével engedélyezheti fiókjában a kétfaktoros hitelesítést, és használhatja a Google Authentificator alkalmazást, amely QR-kóddal vagy biztonsági kód megadásával ad hozzáférést. A hírességek személyes fotóinak kiszivárogtatásával járó botrány után az Apple-ben is az iCloud-felhasználók biztonsága.
A Google-hoz hasonló funkcionalitás júniusban és a VKontakte-ban, azonban a közösségi hálózat azt mondta, hogy az ilyen biztonsági intézkedések a legtöbb felhasználó számára feleslegesek. A Mail.Ru levelezőszolgáltatásban nincs kétlépcsős hitelesítés.
Frissítve 15:34-kor: Néhány órával a Yandex bejelentése után a Mail.Ru portál kétfaktoros hitelesítést indított a Mail, a Cloud, a Calendar, a Game Center és más projektek esetében – mondták a cég képviselői a TJ-nek. A belépéshez a felhasználónak a jelszavát és az SMS-ben kapott kódot kell használnia mobiltelefonjára.
A cég hangsúlyozta, hogy a kéttényezős hitelesítés zárt béta tesztelése december végén kezdődött a Habrahabra közösség támogatásával.
Az internetes szolgáltatások korlátlanul növelhetik a biztonsági szintet, de a „gyenge láncszem” gyakran a felhasználó jelszavának biztonsága. Ha a második védelmi tényező engedélyezve van, akkor a fiókba való belépéshez a támadónak nemcsak a jelszót, hanem a jelszót is birtokba kell vennie. mobiltelefonáldozatokat, ami sokkal nehezebb.
Főleg haladó felhasználók kértek fel bennünket ennek a funkciónak a megvalósítására, de nagyon remélem, hogy szélesebb közönség körében is népszerű lesz.
Anna Artamonova, a Mail.Ru csoport alelnöke
A Yandex elindított egy kéttényezős engedélyezési rendszert, és kiadta a Yandex.Key alkalmazást, amellyel bejelentkezhet egy fiókba anélkül, hogy meg kellene emlékeznie és be kellett volna írnia egy összetett jelszót. Az alkalmazás már elérhető Androidon és iOS-en, a belépő pedig újon iPhone modellek ujjlenyomat-szkennerrel védhető.
A Yandex.Key-en keresztül többféleképpen is bejelentkezhet fiókjába, de először a yandex.ru/promo/2fa beállítási oldalra kell lépnie, és engedélyeznie kell a kéttényezős hitelesítést.
Erősítse meg telefonszámát az SMS-ben kapott kóddal.
Telepítse a Yandex.Key alkalmazást okostelefonjára vagy táblagépére.
Indítsa el az alkalmazást, és olvassa be a QR-kódot a Yandex webhelyén. Ha mobil eszköz nincs kamera, kattintson a "Show titkos kulcs" gombra, és írja be a megjelenített karaktereket az alkalmazásba.
Gondoljon egy PIN-kódra, és írja be a webhelyen vagy az alkalmazásban.
Adja meg a webhelyen található alkalmazás által generált egyszeri jelszót. Ez a jelszó csak 30 másodpercig érvényes, majd megjelenik egy új. A beállítás végén újra meg kell adnia a fiók állandó jelszavát.
Ezeket a lépéseket csak egyszer kell végrehajtani. A kéttényezős engedélyezés aktiválása után minden eszközön újra kell engedélyeznie a Yandex webhelyeket. Az alkalmazások eléréséhez külön jelszavakat hozhat létre.
Most egy QR-kód ikonnal ellátott gomb jelenik meg a Yandex-fiók bejelentkezési oldalán.
Megmutatom, hogyan állíthat be kéttényezős hitelesítést a Yandexben, ez segít megvédeni Yandex-fiókját a feltöréstől.
Nyissa meg a jelszókezelést a címen passport.yandex.ru/profile/access. Itt módosíthatja jelszavát, vagy engedélyezheti fiókja további védelmét - kéttényezős hitelesítést. Kattintson a kéttényezős hitelesítés csúszkájára az engedélyezéséhez.
A kéttényezős hitelesítés több lépésben kapcsolódik. Párhuzamosan meg kell nyitnia a Yandex.Passportot és a Yandex.Key mobilalkalmazást. A beállítás befejezése után minden eszközön újra be kell jelentkeznie.
Kattintson a beállítás indítása gombra.
Itt van a telefonszáma, amelyre a beállítási kódokat elküldjük. Itt módosíthatja a Yandex-fiókjához társított telefonszámot is.
Kéttényezős hitelesítés beállítása. 1. lépés az 5-ből.
Erősítsd meg a telefonszámod. Ez a fő szám a Yandexen. Szüksége lesz rá, ha elveszíti hozzáférését fiókjához. Kattintson a kód lekérése gombra.
A Yandex SMS-kódot küld a számára.
Ide írja be a Yandex SMS-kódját, majd kattintson a megerősítés gombra.
Kéttényezős hitelesítés beállítása. 2. lépés az 5-ből.
Töltse le a Yandex.Key alkalmazást. Most nyissa meg az AppStore-t iPhone-ján vagy iPadjén, vagy lépjen be a Play Áruházba Android okostelefon vagy táblagépen, és keresse meg a Yandex.Key alkalmazást. Vagy kattintson a linkre a telefonra.
Megnyílik Alkalmazásbolt vagy Játékpiac a letöltés gombra kattintva letöltheti a Yandex.Key alkalmazást, és telepítheti okostelefonjára vagy táblagépére.
Ha meg kell adnia Apple ID jelszavát, akkor írja be az Apple ID jelszavát.
30 másodperc elteltével az alkalmazás letöltődik okostelefonjára, kattintson rá kattintva.
Kéttényezős hitelesítés beállítása. 5/3. lépés.
Irányítsa telefonjának kameráját a QR-kódra, és fiókja automatikusan hozzáadódik az alkalmazáshoz. Ha a kód beolvasása sikertelen, próbálkozzon újra, vagy adja meg a titkos kulcsot.
Térjünk vissza az okostelefonhoz.
A Yandex.Key alkalmazás egyszeri jelszavakat hoz létre a Yandexbe való bejelentkezéshez. ha már megkezdte a kétfaktoros hitelesítés beállítását a számítógépén, akkor kattintson a "fiók hozzáadása az alkalmazáshoz" gombra.
Kattintson egy fiók hozzáadásához az alkalmazáshoz.
A "Kulcs" program hozzáférést kér a "kamerához". Kattintson az Engedélyezés gombra, hogy az alkalmazás hozzáférést biztosítson az okostelefon kamerájához, hogy beolvassa a QR-kódot a számítógép képernyőjén.
Irányítsa a kamerát a számítógép monitorán megjelenő QR-kódra, és várja meg a fiók hozzáadását, vagy adja hozzá manuálisan.
Kész. QR kód beolvasva. A Yandex.Key alkalmazás készen áll a használatra.
Most térjünk át a számítógép-monitorra.
Kattintson a PIN létrehozása gombra.
A PIN-kódra minden alkalommal szükség van, amikor egyszeri jelszót kap a Yandex.Key-ben, valamint a fiókjához való hozzáférés visszaállításához. Tartsa privátban PIN-kódját. A Yandex szolgáltatás alkalmazottai soha nem kérdezik meg tőle.
Kialakítunk egy négyjegyű PIN-kódot, és kattintson a Tovább gombra.
Kéttényezős hitelesítés beállítása. 4. lépés az 5-ből.
PIN kód ellenőrzés. Ügyeljen arra, hogy emlékezzen a pin kódra. A beállítás befejezése után nem módosítható. Ha rossz PIN kódot ad meg az alkalmazásban, az hibás egyszeri jelszavakat generál.
Írja be a korábban létrehozott PIN-kódot, majd kattintson az Ellenőrzés gombra.
Visszatérünk az okostelefonhoz és a Yandex.Key alkalmazáshoz. Adja meg PIN-kódját, hogy egyszeri jelszót kapjon.
A pin kód megadása után egy egyszeri jelszót kap, amely 20 másodpercig lesz érvényes, ezalatt a 20 másodperc alatt meg kell adnia a számítógépen a kétfaktoros hitelesítés beállításában. Ha nincs ideje 20 másodpercen belül megadni a jelszót, akkor az átváltozik egy másikra, és így tovább. Írja be az okostelefon képernyőjén megjelenő jelszót.
Utolsó lépés. Írja be a Yandex.Key jelszót.
Használja a PIN-kódot, hogy egyszeri jelszót kapjon az alkalmazásban. Ügyeljen arra, hogy emlékezzen a PIN-kódra, mivel a beállítás befejezése után nem tudja megváltoztatni.
Mi változik a kéttényezős hitelesítés engedélyezése után:
- A régi jelszó már nem fog működni.
- Minden eszközön (webes szolgáltatások és mobilalkalmazások) újra be kell jelentkeznie a Yandexbe.
- A Yandex webszolgáltatásaihoz QR-kóddal, jelszó megadása nélkül is hozzá lehet férni. Ha nem tudja elolvasni a kódot, használja a Yandex.Key egyszeri jelszavát.
- A Yandex mobilalkalmazásait egyszeri jelszóval érheti el. A Yandex.Key-ről hosszan lenyomva másolható.
- A fiókjához társított egyéb programok (például e-mail kliensek vagy levélgyűjtők) esetében szerezzen be alkalmazásjelszavakat a Passportban.
Írja be az okostelefon képernyőjén megjelenő egyszeri jelszót, és kattintson a beállítás befejezése gombra.
Most az egyszeri jelszó megadása után meg kell adnia régi jelszó fiókból. A Yandexnek meg kell győződnie arról, hogy a fiók tulajdonosa hajt végre ilyen jelentős változtatást a biztonsági beállításokban.
Írja be a Yandex-fiók régi jelszavát, és kattintson az OK gombra.
Kész. A kéttényezős hitelesítés befejeződött. Fiókját egyszeri jelszavakkal védte. Most minden eszközön újra be kell jelentkeznie a Yandexbe. Ha például levelezőprogramokat használ, ne felejtse el beszerezni az alkalmazások jelszavait.
Kattintson a Bezárás gombra.
Most, ha a Yandex-fiók postaládáját használja okostelefonján, létre kell hoznia egy jelszót.
Válassza ki az alkalmazás típusát > Levélprogram.
És válassz operációs rendszer a te levelező program. iPhone-t használok, ezért az iOS-t választom.
És kattintson a jelszó létrehozása gombra, hogy jelszót hozzon létre az e-mail programhoz az okostelefonon.
Az iOS levelezőjelszó létrehozva.
A jelszó használata:
- Ahhoz, hogy az alkalmazás hozzáférést biztosítson adataihoz, adja meg ezt a jelszót a beállításokban.
- Nem kell emlékeznie a jelszóra: csak egyszer lesz szüksége rá. Amikor megváltoztatja jelszavát a Yandexen, meg kell szereznie új jelszó alkalmazások.
- Az alkalmazás jelszava csak egyszer jelenik meg. Ha bezárja az oldalt, és nincs ideje használni, egyszerűen szerezzen be egy újat.
Beírjuk a számítógép monitorán megjelenő jelszót az okostelefon Yandex mail mobilalkalmazásába.
Kész. A Yandex kétfaktoros hitelesítés működik, élhet tovább.
Most, ha kijelentkezik Yandex-fiókjából, és újra megadja felhasználónevét és jelszavát, a következőt írják Önnek:
Rossz bejelentkezés-jelszó pár! Sikertelen bejelentkezés. Lehetséges, hogy más billentyűzetkiosztást választott, vagy lenyomta a Caps Lock billentyűt. Ha kéttényezős hitelesítést használ, győződjön meg arról, hogy egyszeri jelszót ad meg a Yandex.Key alkalmazásból a szokásos jelszó helyett. Próbáljon meg újra bejelentkezni.
Most meg kell nyitnia a Yandex.Key alkalmazást, be kell írnia a PIN-kódot, és az okostelefon kameráját a QR-kódra kell irányítania. Automatikusan bejelentkezik Yandex-fiókjába, miután az okostelefon beolvassa a QR-kódot a monitor képernyőjén.
A biztonsággal és a kétlépcsős azonosítással kapcsolatos egyéb bejegyzések:
Sziasztok kedves barátaim. Ma elmondom, hogyan állíthat be kétfaktoros hitelesítést a Yandex-fiókjához, és hogyan állíthat be jelszót a Yandex.Disk számára. Ez megvédi a fő fiókot, és javítja az egyes Yandex-alkalmazások biztonságát.
A személyes adatok védelme a legnagyobb probléma az interneten. A felhasználók gyakran figyelmen kívül hagyják a biztonsági szabályokat. Különböző internetes forrásokhoz egyszerű és azonos jelszavakat készítenek, elektronikus dobozokban tárolják, amelyek jelszavait más forrásokon is használják. Ez csak néhány a gyakori hibák közül.
Ha egy támadó hozzáfér az egyik fiókhoz, más felhasználói erőforrások is veszélybe kerülnek. És ha figyelembe vesszük azt a tényt, hogy a vírusok képesek megjegyezni a billentyűzetről beírt jelszavakat, akkor a helyzet még szomorúbbnak tűnik. Ezért minden internetezőnek be kell tartania az alapvető biztonsági szabályokat:
- Hozzon létre összetett jelszavakat.
- Ne használja ugyanazt a jelszavat a különböző internetes forrásokhoz.
- Rendszeresen cserélje ki a jelszavakat.
És használja is további módokon védelem. Az egyik ilyen módszer a Yandex-fiók kéttényezős hitelesítése.
Hogyan működik a kéttényezős hitelesítés?
Mint tudja, hogy hozzáférjen egy korlátozott területhez, mint pl Email, webhely adminisztrációs panelje, fiókok közösségi hálózatok bejelentkezés és jelszó szükséges. Ez azonban csak a védelem egyik szintje. A védelem fokozása érdekében számos szolgáltatás további hitelesítési módszereket vezet be, például sms megerősítést, USB-kulcsokat, mobilalkalmazásokat.
Már meséltem róla. Ahol a bejelentkezési név és jelszó mellett a mobilalkalmazás biztonsági kódot generál. Tehát a Yandex kéttényezős hitelesítés nagyjából ugyanúgy működik.
Vagyis egy további védelmi szint a Yandex.Key mobilalkalmazás, amely törli a régi Yandex-fiók jelszavát, és 30 másodpercenként generál egy új, egyszeri jelszót.
Ezzel a védelmi szinttel a fiókhoz való hozzáférés csak egyszeri jelszóval vagy QR-kóddal lehetséges.
Éppen elég teljesíteni bizonyos beállításokatés a jövőben az okostelefon kameráját a QR-kódra irányítja, és hozzáférhet Yandex-fiókjához.
Ha pedig nem tudja használni az okostelefon kameráját, vagy nincs internetkapcsolata, akkor internet nélkül is mindig használhatja a mobilalkalmazásban generált egyszeri jelszót.
A biztonság ugyanaz mobilos alkalmazás A Yandex.Key egy PIN-kódot biztosít, amelyet akkor hoz létre, amikor összekapcsolja fiókját az alkalmazással.
Nos, ha Apple okostelefonja vagy táblagépe van, használhatja a Touch ID-t PIN-kód helyett.
Így az adataihoz való hozzáférés biztonságosabban zárva lesz.
Kéttényezős hitelesítés beállítása.
A kezdéshez a Yandex főoldalán jelentkezzen be fiókjába a hagyományos módon. Ezután kattintson a fiók nevére postafiók) és válassza ki "Az útlevél".
Az újonnan megnyíló oldalon kattintson a szemközti grafikus kapcsolóra "Kétfaktoros hitelesítés", majd a gombot "Indítsa el a beállítást".
Maga a beállítási eljárás 4 lépésből áll, amelyeket számítógépen és mobileszközön kell végrehajtani.
1. lépés: Ellenőrizze telefonszámát.
Ha korábban összekapcsolt egy telefonszámot Yandex-fiókjával, azonnal kaphat egy megerősítő kódot. Ha nem, akkor lépjen be telefonszámés nyomja meg a gombot "A kód megszerzéséhez".
A kód elküldésre kerül a megadott számra. Be kell írnia egy speciális mezőbe, és kattintson a gombra "Megerősít".
2. lépés: A mobilalkalmazás PIN-kódja.
Ennél a lépésnél kétszer meg kell találnia és be kell írnia a mobilalkalmazás PIN-kódját. Ez a kód nyitja meg a hozzáférést az alkalmazáshoz okostelefonon vagy táblagépen.
Írja be a kódot, és kattintson a gombra "Teremt".
3. lépés: A Yandex.Key mobilalkalmazás telepítése és fiók hozzáadása.
Tehát okostelefonjáról vagy táblagépéről a következőre lép A Google Play(Androidhoz) és az App Store-hoz (alma kütyühöz). Ezután töltse le és telepítse a Yandex.Key alkalmazást.
Nyissa meg az alkalmazást, és kattintson a gombra "Fiók hozzáadása az alkalmazáshoz".
Fiók hozzáadása a Yandex.Key mobilalkalmazáshoz
Ezt követően a mobileszköz kameráját a monitor képernyőjére kell irányítania, ahol abban a pillanatban megjelenik egy QR-kód. Mutasson erre a kódra.
Tehát menjen vissza a számítógéphez, és kattintson a gombra "A következő lépés".
4. lépés: Adja meg a Yandex.Key mobilalkalmazás jelszavát.
Miután megvárta az új kulcsfrissítést a mobilalkalmazásban, írja be azt a számítógépen, és nyomja meg a gombot "Bekapcsol".
Ezt követően meg kell adnia Yandex-fiókjának régi jelszavát, és kattintson a gombra "Megerősít".
A kéttényezős hitelesítési kapcsolat befejezése
Minden készen áll. Fiókját kétlépcsős hitelesítéssel biztosította. Most minden eszközön újra be kell jelentkeznie fiókjába egyszeri jelszó vagy QR-kód használatával.
Hogyan jelentkezhet be fiókjába a Yandex.Key használatával.
Minden rendkívül egyszerű. A Yandex főoldalán a bejelentkezési és regisztrációs panelen kattintson az ellipszis ikonra (...), és válassza a Ya.Klyuch lehetőséget a menüben.
Vagy használhatja a hagyományos bejelentkezési módot, bejelentkezési (postafiókcím) és jelszó (egyszeri jelszó a Yandex.Key mobilalkalmazáshoz) használatával.
Hogyan állítsunk be jelszót a Yandex.Disk számára.
A kéttényezős hitelesítés engedélyezésével külön jelszavakat hozhat létre a fiókjához csatlakozó harmadik féltől származó alkalmazásokhoz. Ez a mechanizmus a csatlakozás után automatikusan bekapcsol.
Így olyan jelszót fog használni, amely csak a meghajtóhoz alkalmas.
Az alkalmazásokhoz különböző jelszavak használatával megerősíti adatai védelmének határait.
Jelszó létrehozásához lépjen a hozzáférés-vezérlési oldalra, válasszon ki egy alkalmazást, írjon be egy nevet, és kattintson a gombra "Hozzon létre egy jelszót".
A jelszó automatikusan generálódik, és csak egyszer jelenik meg. Ezért másolja ezt a jelszót egy biztonságos helyre. Ellenkező esetben ezt a jelszót törölni kell, és újat kell létrehozni.
Most, amikor a Yandex.Disket a következőn keresztül csatlakoztatja WebDAV protokoll ezt a jelszót fogja használni.
Megjegyzés: Az alkalmazásjelszavakat akkor is kell használni, ha letiltja a kéttényezős hitelesítést. Ez megóvja Önt attól, hogy felfedje Yandex-fiókja fő jelszavát.
A kéttényezős hitelesítés letiltása.
A kéttényezős hitelesítés letiltásához lépjen a hozzáférés-vezérlési oldalra, és kattintson a kapcsolóra (Be / Ki).
Ezután írjon be egy egyszeri jelszót a Yandex.Key mobilalkalmazásból, és nyomja meg a gombot "Megerősít".
Új jelszó létrehozása a Yandex-fiókhoz
Mostantól felhasználónevét és jelszavát fogja használni a fiókjába való bejelentkezéshez, ahogy korábban is tette.
Fontos: ha a hitelesítés le van tiltva, az alkalmazásokhoz létrehozott jelszavak alaphelyzetbe állnak. Újra kell teremteni őket.
És most azt javaslom, hogy nézze meg a videó bemutatót, ahol egyértelműen bemutatom az egész eljárást.
Mára ennyi, barátaim. Ha kérdése van, szívesen válaszolok rá a megjegyzésekben.
Sok sikert kívánok, találkozunk az új videós oktatóanyagokban és cikkekben.
Üdvözlettel: Maxim Zaitsev.
Egy ritka bejegyzés a Yandex blogon, és különösen a biztonsággal kapcsolatos, hitelesítés nélkül történt. Sokáig gondolkodtunk, hogyan lehetne megfelelően megerősíteni a felhasználói fiókok védelmét, sőt, hogy minden kellemetlenség nélkül használhassák, ami a manapság legelterjedtebb implementációkkal jár. És sajnos kényelmetlenek. Egyes jelentések szerint sok nagy webhelyen a további hitelesítési eszközöket engedélyező felhasználók aránya nem haladja meg a 0,1%-ot.
Úgy tűnik, hogy ennek az az oka, hogy a közös kéttényezős hitelesítési séma túl bonyolult és kényelmetlen. Megpróbáltunk olyan módszert kitalálni, amely kényelmesebb lenne a védelmi szint elvesztése nélkül, és ma bemutatjuk ennek béta verzióját.
Reméljük, hogy egyre szélesebb körben elterjed. A magunk részéről készek vagyunk dolgozni a javításán és az azt követő szabványosításon.
Miután engedélyezte a kéttényezős hitelesítést a Passportban, telepítenie kell a Yandex.Key alkalmazást az App Store vagy a Google Play áruházból. A QR-kódok megjelentek a Yandex főoldalán található engedélyezési űrlapon, a Mail és az útlevélben. A fiókba való belépéshez el kell olvasnia a QR-kódot az alkalmazáson keresztül - és ennyi. Ha a QR-kód nem olvasható, például nem működik az okostelefon kamerája, vagy nincs internet-hozzáférés, az alkalmazás létrehoz egy egyszeri jelszót, amely mindössze 30 másodpercig lesz érvényes.
Elmondom, miért döntöttünk úgy, hogy nem használunk olyan "szabványos" mechanizmusokat, mint az RFC 6238 vagy az RFC 4226. Hogyan működnek a gyakori kéttényezős hitelesítési sémák? Kétlépcsősek. Az első lépés a szokásos hitelesítés felhasználónévvel és jelszóval. Ha sikeres volt, a webhely ellenőrzi, hogy "tetszik-e" ez a felhasználói munkamenet vagy sem. És ha „nem tetszik”, megkéri a felhasználót, hogy „újra hitelesítsen”. Két elterjedt „azonosítási” módszer létezik: SMS küldése a fiókhoz társított telefonszámra, és egy második jelszó generálása az okostelefonon. A második jelszó generálására alapvetően az RFC 6238 szerinti TOTP szolgál, ha a felhasználó a második jelszót helyesen adta meg, a munkamenet teljesen hitelesítettnek minősül, ha pedig nem, akkor a munkamenet az „előzetes” hitelesítést is elveszíti.
Mindkét módszer – az SMS küldése és a jelszó generálása – a telefon birtoklásának bizonyítéka, és ezért a rendelkezésre állást befolyásolja. Az első lépésben megadott jelszó a tudástényező. Ezért ez a hitelesítési séma nemcsak kétlépcsős, hanem kéttényezős is.
Mit találtunk problémásnak ebben a rendszerben?
Kezdjük azzal a ténnyel, hogy az átlagfelhasználó számítógépe nem mindig nevezhető biztonsági modellnek: itt a leállás Windows frissítések, valamint a vírusirtó kalózmásolata modern aláírások nélkül, és kétes eredetű szoftverek ─ mindez nem növeli a védelem szintjét. Értékelésünk szerint a felhasználó számítógépének feltörése a legelterjedtebb módja a fiókok „eltérítésének” (és ez a közelmúltban történt), és elsősorban magunkat szeretnénk megvédeni ettől. Kétlépcsős azonosítás esetén, ha feltételezzük, hogy a felhasználó számítógépét feltörték, a jelszó megadása magát a jelszót veszélyezteti, ami az első tényező. Ez azt jelenti, hogy a támadónak csak a második tényezőt kell választania. Az általános RFC 6238 implementációk esetén a második tényező 6 tizedesjegy (és a specifikáció maximuma 8 számjegy). Az OTP bruteforce kalkulátora szerint a támadó három nap alatt képes felvenni a második faktort, ha az elsőről valahogy tudomást szerzett. Nem világos, hogy a szolgáltatás mit képes felvenni a támadást a normál felhasználói élmény megzavarása nélkül. A munka egyetlen lehetséges bizonyítéka a captcha, ami véleményünk szerint az utolsó lehetőség.A második probléma a szolgáltatás átláthatatlansága a felhasználói munkamenet minőségéről és az „up-autentication” szükségességéről szóló döntésben. Még ennél is rosszabb, hogy a szolgáltatás nem érdekelt abban, hogy ezt a folyamatot átláthatóvá tegye, mert a titkosítási biztonság itt valójában működik. Ha egy támadó tudja, hogy a szolgáltatás hogyan dönt a munkamenet legitimitását illetően, megpróbálhatja meghamisítani ezeket az adatokat. Általános megfontolások alapján megállapíthatjuk, hogy az ítélet a felhasználó hitelesítési előzményei alapján történik, figyelembe véve az IP-címet (és ebből származtatva a szolgáltatót azonosító autonóm rendszerszámot, valamint a földrajzi bázison alapuló helyet) és a böngésző adatait. , mint például a User Agent fejléce és egy cookie-készlet, a flash lso és a html helyi tárhely. Ez azt jelenti, hogy ha egy támadó irányítja a felhasználó számítógépét, akkor lehetősége van nemcsak az összes szükséges adat ellopására, hanem az áldozat IP-címének használatára is. Sőt, ha a döntés az ASN alapján történik, akkor a nyilvános Wi-Fi-ről történő bármilyen hitelesítés egy kávézóban biztonsági szempontból „mérgezéshez” (és szolgáltatási szempontból meszeléshez) vezethet a kávézó szolgáltatójának, ill. például a város összes kávézójának meszelése . Beszéltünk a munkáról, és alkalmazható is, de a hitelesítés első és második szakasza közötti idő nem biztos, hogy elegendő az anomália magabiztos megítéléséhez. Ezenkívül ugyanez az érv aláássa a "megbízható" számítógépek gondolatát: a támadó bármilyen információt ellophat, amely befolyásolja a bizalom megítélését.
Végül pedig a kétlépcsős azonosítás egyszerűen kényelmetlen: használhatósági tanulmányaink azt mutatják, hogy semmi sem irritálja jobban a felhasználókat, mint egy közbenső képernyő, a további gombnyomások és egyéb, az ő szemszögéből nézve „nem fontos” műveletek.
Ez alapján úgy döntöttünk, hogy a hitelesítés egylépéses legyen, a jelszótér pedig jóval nagyobb legyen, mint ami a "tiszta" RFC 6238 alatt lehetséges.
Ugyanakkor meg akartuk tartani a kéttényezős hitelesítést, amennyire csak lehetséges.
A hitelesítés többtényezősségét úgy határozzák meg, hogy a hitelesítési elemeket (valójában tényezőknek nevezik) a három kategória egyikébe rendelik:
- Tudástényezők (ezek hagyományos jelszavak, pin kódok és minden, ami rájuk hasonlít);
- Tulajdonosi tényezők (a használt OTP-sémákban ez általában egy okostelefon, de lehet hardveres token is);
- Biometrikus tényezők (ujjlenyomat ─ most a leggyakoribb, bár valaki emlékezni fog a Wesley Snipes hősével készült epizódra a Demolition Man című filmben).
Rendszerünk fejlesztése
Amikor elkezdtünk foglalkozni a kéttényezős hitelesítés problémájával (a céges wiki első oldalai erről a kérdésről 2012-ből származnak, de a színfalak mögött már korábban is szó volt róla), az első ötlet az volt, hogy szabványos módokon hitelesítést, és alkalmazza azokat nálunk. Megértettük, hogy nem számíthatunk arra, hogy több millió felhasználónk vásárol majd hardveres tokent, ezért ezt a lehetőséget néhány egzotikus esetre elhalasztottuk (bár nem hagyjuk el teljesen, lehet, hogy sikerül valami érdekeset kitalálni) . Az SMS-módszert sem lehetett tömegesen gyártani: ez egy nagyon megbízhatatlan kézbesítési mód (a legdöntőbb pillanatban előfordulhat, hogy az SMS-ek késnek, vagy egyáltalán nem kézbesítik), az SMS-küldés pedig pénzbe kerül (és a szolgáltatók elkezdték emelni az árat) . Úgy döntöttünk, hogy az SMS-használat a bankok és más nem technológiai cégek sorsa, és szeretnénk valami kényelmesebbet kínálni felhasználóinknak. Általában kicsi volt a választás: második tényezőként egy okostelefont és a benne lévő programot használni.Az egylépcsős azonosításnak ez a formája elterjedt: a felhasználó emlékszik a pin kódra (első faktor), van egy hardveres vagy szoftveres (okostelefonon) tokenje, amely OTP-t generál (második faktor). A jelszó beviteli mezőbe írja be a pin kódot és az aktuális OTP értéket.
Véleményünk szerint ennek a sémának a fő hátránya ugyanaz, mint a kétlépcsős azonosításé: ha feltételezzük, hogy a felhasználó asztala kompromittálódott, akkor a pin kód egyszeri bevitele a nyilvánosságra hozatalhoz vezet, és a támadónak csak válassza ki a második tényezőt.
A másik út mellett döntöttünk: a jelszót teljes egészében a titokból állítják elő, de a titoknak csak egy része tárolódik az okostelefonban, és a részét a felhasználó adja meg minden jelszó generálásakor. Így maga az okostelefon tulajdonjogi tényező, míg a jelszó a felhasználó fejében marad és tudástényező.
A Nonce lehet számláló vagy aktuális idő. Úgy döntöttünk, hogy az aktuális időt választjuk, ez lehetővé teszi, hogy ne féljünk a deszinkronizálástól, ha valaki túl sok jelszót generál és növeli a számlálót.
Tehát van egy okostelefonra való programunk, ahol a felhasználó beírja a titok részét, összekeverik a tárolt résszel, az eredményt HMAC kulcsként használjuk, ami az aktuális időt 30 másodpercre kerekítve írja alá. A HMAC kimenet olvasható formában jelenik meg, és íme, itt az egyszeri jelszó!
Ahogy már említettük, az RFC 4226 azt javasolja, hogy a HMAC eredményt legfeljebb 8 tizedesjegyre csökkentsék. Úgy döntöttünk, hogy egy ekkora jelszó nem alkalmas egylépcsős azonosításra, ezért növelni kell. Ugyanakkor meg akartuk őrizni a könnyű használhatóságot (mert ne feledje, olyan rendszert akarunk létrehozni, amelyet a hétköznapi emberek is fognak használni, és nem csak a biztonsági geekek), így kompromisszumként jelenlegi verzió rendszerben a csonkolást a latin ábécé 8 karakterére választottuk. Úgy tűnik, 26 ^ 8 30 másodpercig érvényes jelszó teljesen elfogadható, de ha a biztonsági ráhagyás nem felel meg nekünk (vagy értékes tippek jelennek meg a Habrén a séma javítására), bővítjük például 10 karakterre.
Tudjon meg többet az ilyen jelszavak erősségéről
Valóban, a kis- és nagybetűket nem érző latin betűknél az opciók száma karakterenként 26, a nagy és kis latin betűk plusz számok esetén 26+26+10=62. Ekkor log 62 (26 10) ≈ 7,9, azaz egy 10 véletlenszerű kis latin betűből álló jelszó majdnem olyan erős, mint egy 8 véletlenszerű nagy- és kisbetűs latin betűből vagy számból álló jelszó. Ez biztosan elég 30 másodpercre. Ha egy 8 karakteres jelszóról beszélünk latin betűkből, akkor erőssége log 62 (26 8) ≈ 6,3, vagyis valamivel több, mint egy 6 karakteres jelszó nagy, kis betűkből és számokból. Úgy gondoljuk, hogy ez még mindig elfogadható egy 30 másodperces ablaknál.Varázslat, jelszó nélküliség, alkalmazások és a következő lépések
Általában megállhatnánk itt, de szerettük volna még kényelmesebbé tenni a rendszert. Ha valakinek okostelefon van a kezében, nem akarja beírni a jelszót a billentyűzetről!
Ezért elkezdtük a munkát a "mágikus bejelentkezéssel". Ezzel a hitelesítési módszerrel a felhasználó elindítja az alkalmazást az okostelefonon, beírja abba a pin kódját, majd beolvassa a QR-kódot a számítógépe képernyőjén. Ha a PIN-kódot helyesen adta meg, a böngészőben lévő oldal újra betöltődik, és a felhasználó hitelesítésre kerül. Varázslat!
Hogyan működik?
A QR-kódba belevarrjuk a munkamenet számát, és amikor az alkalmazás beolvassa, ez a szám a szokásos módon generált jelszóval és felhasználónévvel együtt kerül a szerverre. Ez nem nehéz, mert az okostelefon szinte mindig online van. A QR-kódot mutató oldal elrendezésében a JavaScript fut, és a szerver válaszára vár, hogy ezzel a munkamenettel ellenőrizze a jelszót. Ha a szerver azt válaszolja, hogy a jelszó helyes, a válaszhoz munkamenet-cookie-t állítanak be, és a felhasználó hitelesítettnek minősül.Jobb lett, de itt úgy döntöttünk, hogy nem állunk meg. Az iPhone 5S-től kezdve a telefonokban és Apple tabletek A TouchID ujjlenyomat-szkenner megjelent, és be iOS verziók 8 működik vele harmadik féltől származó alkalmazások számára. Valójában az alkalmazás nem fér hozzá az ujjlenyomathoz, de ha az ujjlenyomat megfelelő, akkor az alkalmazás számára elérhetővé válik a további Kulcstartó rész. Ezt használtuk ki. A titok második része a TouchID-vel védett kulcstartó bejegyzésbe kerül, amelybe a felhasználó az előző forgatókönyvben a billentyűzetről adott be. A kulcstartó feloldásakor a titok két része összekeveredik, majd a folyamat a fent leírtak szerint működik.
De hihetetlenül kényelmes lett a felhasználó számára: megnyitja az alkalmazást, behelyezi az ujját, beolvassa a QR-kódot a képernyőn, és a számítógép böngészőjében hitelesítik! Így a tudástényezőt biometrikusra cseréltük, és a felhasználó szempontjából teljesen elhagytuk a jelszavakat. Biztosak vagyunk benne, hogy a hétköznapi emberek sokkal kényelmesebbnek találják ezt a sémát, mint két jelszó manuális beírását.
Az vitatható, hogy technikailag mennyire a kéttényezős hitelesítés, de a valóságban továbbra is szükség van egy telefonra és egy érvényes ujjlenyomatra a sikeres átadáshoz, ezért úgy gondoljuk, elég jól sikerült megszabadulni a tudásfaktortól, lecserélni. biometrikus adatokkal. Megértjük, hogy az iOS Secure Enclave alapját képező ARM TrustZone biztonságára támaszkodunk, és úgy gondoljuk, hogy Ebben a pillanatban ez az alrendszer a fenyegetési modellünkön belül megbízhatónak tekinthető. Természetesen tisztában vagyunk a biometrikus azonosítás problémáival: az ujjlenyomat nem jelszó, és nem cserélhető ki, ha veszélybe kerül. De másrészt mindenki tudja, hogy a biztonság fordítottan arányos a kényelemmel, és a felhasználónak magának van joga kiválasztani az egyik és a másik számára elfogadható arányt.
Hadd emlékeztesselek arra, hogy ez még mindig béta. Most, amikor engedélyezi a kéttényezős hitelesítést, ideiglenesen letiltjuk a jelszavak szinkronizálását a Yandex böngészőben. Ennek oka a jelszóadatbázis titkosításának elrendezése. Már most előállunk egy kényelmes módszerrel a Böngésző hitelesítésére a 2FA esetében. A Yandex összes többi funkciója ugyanúgy működik, mint korábban.
Íme, amit kaptunk. Úgy tűnik, jól sikerült, de te legyen a bíró. Örömmel fogadjuk a visszajelzéseket, javaslatokat, és mi magunk is tovább dolgozunk szolgáltatásaink biztonságának javításán: most és minden mással együtt kétlépcsős hitelesítést is alkalmazunk. Ne feledje, hogy a hitelesítési szolgáltatások és az OTP-generáló alkalmazások kritikusak, ezért a bennük talált hibákat kétszer fizetik ki bónuszként a Bug Bounty program keretében.
Címkék:
- biztonság
- hitelesítés
- 2FA
