Yandex meluncurkan aplikasi yang memungkinkan Anda untuk tidak mengingat kata sandi yang rumit, dan bergabung dalam perlombaan untuk keamanan
Ke bookmark
Yandex telah meluncurkan mekanisme otentikasi dua faktor dan aplikasi Yandex.Key baru yang menghasilkan kode akses ke akun Yandex di perangkat seluler. Ini akan mencegah Anda mengingat kata sandi yang rumit untuk tujuan keamanan. TJ diberitahu tentang hal ini oleh perwakilan perusahaan.
Diperbarui: dua jam setelah pengumuman dari Yandex, pengenalan otentikasi dua faktor dilaporkan di Grup Mail.Ru.
"Yandex.Key" memungkinkan Anda untuk tidak mengingat kata sandi yang rumit
Untuk menggunakan Yandex.Key, Anda masih harus membuat dan mengingat kode PIN empat digit. Kata sandi sementara yang akan digunakan untuk masuk ke akun Yandex Anda akan dikirim ke perangkat seluler Anda dan akan berlaku selama 30 detik.
Namun, Anda dapat masuk tanpa memasukkan kata sandi satu kali. Kode QR muncul dalam formulir otorisasi di Yandex: kode tersebut dapat dibaca menggunakan kamera ponsel cerdas melalui Yandex.Key. Pengguna perangkat seluler Apple tidak perlu mengingat kode PIN mereka: bagi mereka, akses ke aplikasi dimungkinkan melalui pembacaan sidik jari menggunakan sensor Touch ID.
Dua faktor otentikasi dalam hal ini adalah kode PIN (atau sidik jari), yang hanya dimiliki pengguna, dan pengetahuan tentang koneksi antara akun Yandex dan perangkat seluler dengan Yandex.Key - disimpan di server perusahaan. Kode rahasia dibuat secara bersamaan menggunakan PIN dan "rahasia" dari server Yandex. Perusahaan juga menjelaskan bahwa prosedur otentikasi adalah satu langkah: login hanya memerlukan satu tindakan (memasukkan kode satu kali atau memindai kode QR).
Butuh lebih banyak keamanan
Ini bukan penampilan pertama dari otentikasi dua faktor di Yandex. Sebelumnya, itu digunakan di Yandex.Money dan di layanan internal perusahaan, kata Yandex kepada TJ.
Perwakilan perusahaan mengatakan bahwa prosedur otentikasi dua faktor mereka lebih dapat diandalkan, karena kata sandi sementara dibuat dari huruf, dan bukan dari angka, seperti halnya dengan pesaing. Selain itu, pengguna tidak perlu memasukkan login dan kata sandinya terlebih dahulu: dia hanya diizinkan menggunakan login dan kode QR atau kata sandi sementara.
Biasanya, dengan otentikasi dua faktor, pengguna diminta untuk masuk ke akun dengan nama pengguna dan kata sandi mereka, dan kemudian mengkonfirmasi identitas mereka - katakanlah, menggunakan SMS. Ini bahkan lebih mudah bagi kami. Cukup mengaktifkan otentikasi dua faktor di "Paspor" dan menginstal aplikasi Yandex.Key. Kode QR muncul dalam formulir otorisasi di halaman utama Yandex, di Surat dan Paspor. Untuk masuk ke akun, pengguna perlu membaca kode QR melalui aplikasi - dan hanya itu.
Vladimir Ivanov, Wakil Kepala Departemen Operasi Yandex
Jika pengguna secara bersamaan lupa PIN dan kehilangan akses ke kartu SIM yang ditautkan ke akun, ia masih memiliki kesempatan untuk memulihkan akunnya. Untuk melakukan ini, ia harus melalui prosedur standar: mengisi kuesioner dan berbicara dengan layanan dukungan, mereka menjelaskan di Yandex.
Pengguna yang mengaktifkan otentikasi dua faktor biasanya lebih berhati-hati tentang hal-hal seperti itu - misalnya, mereka menunjukkan nama depan dan belakang mereka yang sebenarnya, yang dengannya akses dapat dipulihkan menggunakan dokumen identitas. Dan dari aplikasi Yandex.Key, Anda dapat membuka formulir pemulihan akses khusus - jika ponsel cerdas dicuri untuk mendapatkan akses, ada tingkat perlindungan rahasia.
layanan pers "Yandex"
Prosedur otentikasi dua faktor telah diluncurkan sebagai versi beta. Perusahaan mengatakan bahwa itu berpartisipasi dalam program hadiah bug - Anda bisa mendapatkan hadiah uang tunai untuk menemukan kerentanan: dilihat dari iklannya, berkisar antara 5,5 hingga 170 ribu rubel.
"Pembunuhan" massal kata sandi
Pengguna tidak ingin mengingat kata sandi yang rumit dan umumnya tidak menggunakan otentikasi dua faktor, mengingat itu terlalu rumit. Statistik menunjukkan bahwa kata sandi paling populer tahun 2014 masih "123456", "password" dan "qwerty".
Yandex memutuskan untuk menggunakan kode QR dan Touch ID setelah menganalisis berbagai penelitian yang menunjukkan bahwa dari 0,02% hingga 1% audiens dari berbagai layanan menggunakan prosedur otentikasi dua faktor standar.
Yandex bukanlah perusahaan pertama yang bergabung dalam perlombaan untuk meningkatkan keamanan pengguna dan pada saat yang sama menolak untuk mengingat kata sandi yang rumit. Pada bulan Oktober, Twitter mirip dengan platform "Yandex.Key" yang disebut Digits, memposisikannya sebagai "pembunuh kata sandi".
Dengan bantuan Digits, pengguna akan dapat masuk ke beberapa layanan sekaligus: pada awalnya, Twitter mengumumkan kemitraan dengan pelacak kebugaran FitStar, layanan reservasi restoran Resy, dan aplikasi OneFootball untuk penggemar olahraga. Platform Digits juga terintegrasi ke dalam Twitter Fabric Developer Suite baru.
Yandex memberi tahu TJ bahwa mereka akan membuka kemampuan untuk masuk ke aplikasi lain menggunakan Yandex.Key - penampilannya direncanakan dalam pembaruan program berikutnya
Seperti kebanyakan layanan, Digits menggunakan ponsel untuk pendaftaran dan verifikasi, mengirim kode melalui SMS atau melalui kontak di dalam messenger. Metode ini digunakan, misalnya, di messenger WhatsApp dan Telegram.
Aplikasi seluler Facebook telah lama memiliki layanan Generator Kode sendiri, yang memungkinkan Anda untuk masuk menggunakan kode sementara. Dengan Google, Anda dapat mengaktifkan otentikasi dua faktor untuk akun Anda dan menggunakan aplikasi Google Authenticator, yang memberikan akses melalui kode QR atau dengan memasukkan kode keamanan. Setelah skandal dengan bocornya foto pribadi selebriti di Apple, juga keamanan pengguna iCloud.
Fungsi serupa dengan Google pada bulan Juni dan di VKontakte, bagaimanapun, jejaring sosial mengatakan bahwa langkah-langkah keamanan seperti itu untuk sebagian besar pengguna tidak diperlukan. Tidak ada otentikasi dua langkah di layanan surat Mail.Ru.
Diperbarui pada 15:34: Beberapa jam setelah pengumuman dari Yandex, portal Mail.Ru meluncurkan otentikasi dua faktor untuk Mail, Cloud, Calendar, Game Center, dan proyek lainnya, kata perwakilan perusahaan kepada TJ. Untuk masuk, pengguna harus menggunakan kata sandi dan kode yang diterima melalui SMS ke ponselnya.
Perusahaan menekankan bahwa pengujian beta tertutup otentikasi dua faktor dimulai pada akhir Desember dengan dukungan komunitas Habrahabra.
Layanan internet dapat meningkatkan tingkat keamanan tanpa batas, tetapi "tautan lemah" sering kali merupakan keamanan kata sandi pengguna. Jika faktor perlindungan kedua diaktifkan, maka untuk masuk ke akun, penyerang harus memiliki tidak hanya kata sandi, tetapi juga ponsel korban, yang jauh lebih sulit.
Kami telah diminta untuk menerapkan fitur ini terutama oleh pengguna tingkat lanjut, tetapi saya sangat berharap fitur ini akan menjadi populer di kalangan khalayak yang lebih luas.
Anna Artamonova, Wakil Presiden Grup Mail.Ru
Yandex meluncurkan sistem otorisasi dua faktor dan merilis aplikasi Yandex.Key untuk masuk ke akun tanpa harus mengingat dan memasukkan kata sandi yang rumit. Aplikasi ini sudah tersedia di Android dan iOS dan dapat diamankan dengan pemindai sidik jari pada model iPhone yang lebih baru.
Ada beberapa cara untuk masuk ke akun Anda melalui Yandex.Key, tetapi pertama-tama Anda harus pergi ke halaman pengaturan yandex.ru/promo/2fa dan mengaktifkan otentikasi dua faktor.
Konfirmasikan nomor telepon Anda dengan kode yang diterima melalui SMS.
Instal aplikasi Yandex.Key di ponsel cerdas atau tablet Anda.
Luncurkan aplikasi dan pindai kode QR di situs web Yandex. Jika perangkat seluler tidak memiliki kamera, klik "Tampilkan kunci rahasia" dan masukkan karakter yang ditampilkan dalam aplikasi.
Pikirkan PIN dan masukkan di situs web atau aplikasi.
Masukkan kata sandi satu kali yang dihasilkan oleh aplikasi di situs. Kata sandi ini hanya berlaku selama 30 detik dan kemudian yang baru muncul. Di akhir penyiapan, Anda harus memasukkan kembali kata sandi permanen untuk akun tersebut.
Langkah-langkah ini hanya perlu dilakukan sekali. Setelah mengaktifkan otorisasi dua faktor, Anda harus mengotorisasi ulang di situs Yandex di semua perangkat. Anda dapat membuat kata sandi terpisah untuk mengakses aplikasi.
Sekarang tombol dengan ikon kode QR akan muncul di halaman login akun Yandex.
Saya akan menunjukkan kepada Anda cara mengatur otentikasi dua faktor di Yandex, ini akan membantu Anda mengamankan akun Yandex Anda dari peretasan.
Buka manajemen kata sandi di passport.yandex.ru/profile/access. Di sini Anda dapat mengubah kata sandi atau mengaktifkan perlindungan tambahan untuk akun Anda - otentikasi dua faktor. Klik pada penggeser untuk Otentikasi Dua Faktor untuk mengaktifkannya.
Otentikasi dua faktor terhubung dalam beberapa langkah. Anda harus membuka Yandex.Passport dan aplikasi seluler Yandex.Key secara paralel. Setelah menyelesaikan penyiapan, Anda harus masuk lagi di semua perangkat.
Klik mulai pengaturan.
Berikut adalah nomor telepon Anda yang akan dikirimi kode untuk penyiapan. Di sini Anda juga dapat mengubah nomor telepon yang terkait dengan akun Yandex Anda.
Menyiapkan otentikasi dua faktor. Langkah 1 dari 5.
Verifikasi nomor telepon Anda. Ini adalah nomor utama Anda di Yandex. Anda akan membutuhkannya jika Anda kehilangan akses ke akun Anda. Klik dapatkan kode.
Kode SMS dari Yandex akan dikirim ke nomor Anda.
Masukkan kode SMS dari Yandex di sini dan klik konfirmasi.
Menyiapkan otentikasi dua faktor. Langkah 2 dari 5.
Unduh aplikasi Yandex.Key. Sekarang kita pergi ke AppStore di iPhone atau iPad atau Play Store di smartphone atau tablet Android Anda dan mencari aplikasi Yandex.Key. Atau klik untuk mendapatkan tautan ke telepon.
App Store atau Play Market akan terbuka, klik unduh untuk mengunduh aplikasi Yandex.Key dan instal di ponsel cerdas atau tablet Anda.
Jika Anda perlu memasukkan kata sandi ID Apple Anda, masukkan kata sandi ID Apple Anda.
Setelah 30 detik, aplikasi akan diunduh ke ponsel cerdas Anda, luncurkan dengan mengkliknya.
Menyiapkan otentikasi dua faktor. Langkah 3 dari 5.
Arahkan kamera ponsel Anda ke kode QR dan akun Anda akan otomatis ditambahkan ke aplikasi. Jika pembacaan kode gagal, coba lagi atau masukkan kunci rahasia.
Mari kembali ke smartphone.
Aplikasi Yandex.Key membuat kata sandi satu kali untuk masuk ke Yandex. jika Anda sudah mulai menyiapkan otentikasi dua faktor di komputer Anda, lalu klik tombol "tambahkan akun ke aplikasi".
Klik untuk menambahkan akun ke aplikasi.
Program "Kunci" meminta akses ke "kamera". Klik Izinkan untuk memberikan akses aplikasi ke kamera pada ponsel cerdas Anda untuk memindai kode QR dari layar monitor komputer.
Arahkan kamera ke kode QR yang ditampilkan di monitor komputer Anda dan tunggu hingga akun ditambahkan atau ditambahkan secara manual.
Siap. Kode QR dipindai. Aplikasi Yandex.Key siap digunakan.
Sekarang mari kita beralih ke monitor komputer.
Klik Buat PIN.
Kode PIN diperlukan setiap kali Anda menerima kata sandi satu kali di Yandex.Key, serta untuk memulihkan akses ke akun Anda. Jaga kerahasiaan PIN Anda. Karyawan layanan Yandex tidak pernah bertanya padanya.
Kami datang dengan kode pin empat digit dan klik lanjutkan.
Menyiapkan otentikasi dua faktor. Langkah 4 dari 5.
verifikasi kode PIN. Pastikan untuk mengingat kode pin. Setelah pengaturan selesai, itu tidak dapat diubah. Jika Anda memasukkan kode pin yang salah di aplikasi, maka itu akan menghasilkan kata sandi satu kali yang salah.
Masukkan kode PIN yang Anda buat sebelumnya dan klik Verifikasi.
Kami kembali ke smartphone dan aplikasi Yandex.Key. Masukkan PIN Anda untuk menerima kata sandi satu kali.
Setelah memasukkan kode pin, Anda akan menerima kata sandi satu kali yang akan berlaku selama 20 detik, selama 20 detik ini Anda harus memasukkannya di komputer dalam pengaturan otentikasi dua faktor. Jika Anda tidak punya waktu untuk memasukkan kata sandi dalam 20 detik, itu akan berubah menjadi yang lain dan seterusnya. Masukkan kata sandi yang akan ditampilkan di layar ponsel cerdas Anda.
Langkah terakhir. Masukkan kata sandi dari Yandex.Key.
Gunakan kode pin untuk mendapatkan kata sandi satu kali di aplikasi. Pastikan Anda mengingat kode pin, setelah pengaturan selesai Anda tidak akan dapat mengubahnya.
Apa yang akan berubah setelah mengaktifkan otentikasi dua faktor:
- Kata sandi lama tidak akan berfungsi lagi.
- Anda harus masuk ke Yandex lagi di semua perangkat (layanan web dan aplikasi seluler).
- Dimungkinkan untuk mengakses layanan web Yandex menggunakan kode QR tanpa memasukkan kata sandi. Jika Anda tidak dapat membaca kodenya, gunakan kata sandi satu kali dari Yandex.Key.
- Anda akan mengakses aplikasi seluler Yandex menggunakan kata sandi satu kali. Itu dapat disalin dari Yandex.Key dengan menekan lama.
- Untuk program lain yang terkait dengan akun Anda (misalnya, klien email atau pengumpul surat), dapatkan kata sandi aplikasi di Passport.
Masukkan kata sandi satu kali yang ditampilkan di layar ponsel cerdas Anda dan klik lengkapi pengaturan.
Sekarang, setelah memasukkan kata sandi satu kali, Anda harus memasukkan kata sandi akun lama. Yandex perlu memastikan bahwa pemilik akunlah yang membuat perubahan besar dalam pengaturan keamanan.
Masukkan kata sandi lama dari akun Yandex dan klik OK.
Siap. Otentikasi dua faktor selesai. Anda telah melindungi akun Anda dengan kata sandi satu kali. Sekarang Anda perlu masuk ke Yandex lagi di semua perangkat. Jika Anda menggunakan program email, misalnya, jangan lupa untuk mendapatkan kata sandi aplikasi untuk program tersebut.
Klik tutup.
Sekarang, jika Anda menggunakan kotak surat akun Yandex di ponsel cerdas Anda, Anda perlu membuat kata sandi untuknya.
Pilih jenis aplikasi > Program email.
Dan pilih sistem operasi program email Anda. Saya menggunakan iPhone, jadi saya memilih iOS.
Dan klik buat kata sandi untuk membuat kata sandi untuk program email di ponsel cerdas Anda.
Kata sandi mailer iOS Anda telah dibuat.
Cara menggunakan kata sandi:
- Untuk memberikan akses aplikasi ke data Anda, tentukan kata sandi ini di pengaturannya.
- Anda tidak perlu mengingat kata sandinya: Anda hanya perlu sekali. Saat mengubah kata sandi Anda di Yandex, Anda harus mendapatkan kata sandi aplikasi baru.
- Kata sandi aplikasi hanya ditampilkan sekali. Jika Anda menutup halaman dan tidak punya waktu untuk menggunakannya, dapatkan yang baru saja.
Kami memasukkan kata sandi yang ditampilkan di monitor komputer Anda ke dalam aplikasi seluler surat Yandex di ponsel cerdas Anda.
Siap. Otentikasi dua faktor Yandex berfungsi, Anda dapat terus hidup.
Sekarang, jika Anda keluar dari akun Yandex Anda dan memasukkan nama pengguna dan kata sandi Anda lagi, mereka akan menulis kepada Anda:
Pasangan kata sandi login yang salah! Gagal untuk masuk. Anda mungkin memilih tata letak keyboard yang berbeda atau tombol Caps Lock ditekan. Jika Anda menggunakan otentikasi dua faktor, pastikan Anda memasukkan kata sandi satu kali dari aplikasi Yandex.Key, bukan yang biasa. Coba masuk lagi.
Sekarang Anda perlu membuka aplikasi Yandex.Key, masukkan kode pin Anda dan arahkan kamera ponsel cerdas Anda ke kode QR. Anda akan secara otomatis masuk ke akun Yandex Anda setelah ponsel cerdas membaca kode QR dari layar monitor.
Entri lain tentang keamanan dan Verifikasi 2 Langkah:
Halo teman-teman terkasih. Hari ini saya akan memberi tahu Anda cara mengatur otentikasi dua faktor untuk akun Yandex Anda dan mengatur kata sandi untuk Yandex.Disk. Ini akan melindungi akun utama dan meningkatkan keamanan aplikasi Yandex individu.
Melindungi data pribadi adalah masalah terbesar di Internet. Pengguna sering mengabaikan aturan keamanan. Mereka membuat kata sandi yang sederhana dan identik untuk sumber daya Internet yang berbeda, menyimpannya dalam kotak elektronik, kata sandi yang juga digunakan pada sumber daya lain. Ini hanya beberapa kesalahan umum.
Jika penyerang mendapatkan akses ke salah satu akun, sumber daya pengguna lain juga akan berisiko. Dan jika kita memperhitungkan fakta bahwa virus dapat mengingat kata sandi yang dimasukkan dari keyboard, maka situasinya akan tampak lebih menyedihkan. Itulah sebabnya setiap pengguna Internet harus mengikuti aturan keamanan dasar:
- Buat kata sandi yang rumit.
- Jangan gunakan kata sandi yang sama untuk sumber daya Internet yang berbeda.
- Ubah kata sandi secara teratur.
Dan juga menggunakan metode perlindungan tambahan. Salah satu metode ini adalah otentikasi dua faktor dari akun Yandex.
Bagaimana cara kerja otentikasi dua faktor?
Seperti yang Anda ketahui, akses ke area terlarang, seperti email, panel admin situs, akun jejaring sosial, memerlukan nama pengguna dan kata sandi. Tapi, ini hanya satu tingkat perlindungan. Untuk meningkatkan perlindungan, banyak layanan memperkenalkan metode otentikasi tambahan, seperti konfirmasi sms, kunci usb, aplikasi seluler.
Saya sudah memberitahu Anda tentang. Di mana, selain login dan kata sandi, aplikasi seluler menghasilkan kode keamanan. Jadi otentikasi dua faktor Yandex bekerja dengan cara yang hampir sama.
Artinya, tingkat perlindungan tambahan adalah aplikasi seluler Yandex.Key, yang membatalkan kata sandi akun Yandex lama dan menghasilkan kata sandi baru satu kali setiap 30 detik.
Dengan tingkat perlindungan ini, akses ke akun hanya dimungkinkan dengan kata sandi satu kali atau kode QR.
Cukup dengan membuat pengaturan tertentu dan di masa depan Anda mengarahkan kamera ponsel cerdas Anda ke kode QR dan mendapatkan akses ke akun Yandex Anda.
Dan jika Anda tidak dapat menggunakan kamera ponsel cerdas Anda atau tidak memiliki akses ke Internet, Anda selalu dapat menggunakan kata sandi satu kali yang dibuat di aplikasi seluler bahkan tanpa Internet.
Keamanan aplikasi seluler Yandex.Key itu sendiri dipastikan oleh kode PIN yang Anda buat saat menghubungkan akun Anda ke aplikasi.
Nah, jika Anda memiliki smartphone atau tablet Apple, Anda dapat menggunakan Touch ID sebagai pengganti kode pin.
Dengan demikian, akses data Anda akan lebih tertutup dengan aman.
Menyiapkan otentikasi dua faktor.
Untuk memulai, di halaman utama Yandex, masuk ke akun Anda dengan cara tradisional. Kemudian klik nama akun Anda (nama kotak surat) dan pilih "Paspor".
Pada halaman yang baru dibuka, klik tombol grafik, sebaliknya "Otentikasi Dua Faktor", dan kemudian pada tombol "Mulai penyiapan".
Prosedur penyiapan itu sendiri terdiri dari 4 langkah yang harus diselesaikan di komputer dan perangkat seluler.
Langkah 1: Verifikasi nomor telepon Anda.
Jika sebelumnya Anda menautkan nomor telepon ke akun Yandex Anda, Anda dapat segera menerima kode konfirmasi. Jika tidak, masukkan nomor telepon dan tekan tombol "Untuk mendapatkan kode".
Kode akan dikirim ke nomor yang ditentukan. Anda harus memasukkannya di bidang khusus dan klik tombol "Mengonfirmasi".
Langkah 2. Kode pin untuk aplikasi seluler.
Pada langkah ini, Anda harus membuat dan memasukkan kode pin untuk aplikasi seluler dua kali. Kode inilah yang akan membuka akses ke aplikasi di smartphone atau tablet.
Masukkan kode dan klik tombol "Membuat".
Langkah 3. Menginstal aplikasi seluler Yandex.Key dan menambahkan akun.
Jadi, dari smartphone atau tablet Anda, Anda pergi ke Google Play (untuk Android) dan App Store (untuk gadget apple). Selanjutnya, unduh dan instal aplikasi Yandex.Key.
Buka aplikasi dan klik tombol "Tambahkan Akun ke Aplikasi".
Menambahkan akun ke aplikasi seluler Yandex.Key
Setelah itu, Anda perlu mengarahkan kamera perangkat seluler ke layar monitor, di mana pada saat itu Anda akan menampilkan kode QR. Arahkan ke kode ini.
Jadi, kembali ke komputer, dan klik tombol "Langkah berikutnya".
Langkah 4. Memasukkan kata sandi untuk aplikasi seluler Yandex.Key.
Setelah menunggu pembaruan kunci baru di aplikasi seluler, masukkan di komputer dan tekan tombol "Nyalakan".
Setelah itu, Anda harus memasukkan kata sandi lama untuk akun Yandex Anda dan klik tombol "Mengonfirmasi".
Menyelesaikan koneksi otentikasi dua faktor
Semuanya sudah siap. Anda telah mengamankan akun Anda dengan otentikasi dua faktor. Sekarang Anda perlu masuk kembali ke akun Anda di semua perangkat menggunakan kata sandi satu kali atau kode QR.
Cara masuk ke akun Anda menggunakan Yandex.Key.
Semuanya sangat sederhana. Di halaman utama Yandex, di panel login dan registrasi, klik ikon elipsis (...), dan pilih Ya.Klyuch di menu.
Atau, Anda dapat menggunakan metode login tradisional, menggunakan login (alamat kotak surat) dan kata sandi (kata sandi satu kali untuk aplikasi seluler Yandex.Key).
Cara mengatur kata sandi untuk Yandex.Disk.
Dengan mengaktifkan otentikasi dua faktor, Anda dapat membuat kata sandi terpisah untuk aplikasi pihak ketiga yang terhubung ke akun Anda. Mekanisme ini menyala secara otomatis setelah koneksi.
Dengan cara ini Anda akan menggunakan kata sandi yang hanya cocok untuk drive.
Dengan menggunakan kata sandi yang berbeda untuk aplikasi, Anda memperkuat batas perlindungan data Anda.
Untuk membuat kata sandi, Anda harus pergi ke halaman kontrol akses, pilih aplikasi, masukkan nama dan klik tombol "Buat sebuah kata sandi".
Kata sandi akan dibuat secara otomatis dan hanya ditampilkan sekali. Oleh karena itu, salin kata sandi ini ke tempat yang aman. Jika tidak, kata sandi ini perlu dihapus dan yang baru dibuat.
Sekarang, ketika Anda menghubungkan Yandex.Disk melalui protokol WebDAV, Anda akan menggunakan kata sandi ini.
Catatan: Kata sandi aplikasi harus digunakan meskipun Anda menonaktifkan autentikasi dua faktor. Ini akan melindungi Anda dari mengungkapkan kata sandi utama ke akun Yandex Anda.
Cara menonaktifkan otentikasi dua faktor.
Untuk menonaktifkan otentikasi dua faktor, Anda harus pergi ke halaman kontrol akses dan klik tombol (On / Off).
Kemudian masukkan kata sandi satu kali dari aplikasi seluler Yandex.Key dan tekan tombol "Mengonfirmasi".
Membuat kata sandi baru untuk akun Yandex
Sekarang Anda akan menggunakan nama pengguna dan kata sandi untuk masuk ke akun Anda, seperti yang Anda lakukan sebelumnya.
Penting: saat autentikasi dinonaktifkan, kata sandi yang dibuat untuk aplikasi akan diatur ulang. Mereka harus diciptakan kembali.
Dan sekarang saya mengusulkan untuk menonton video tutorial, di mana saya dengan jelas menunjukkan seluruh prosedur.
Itu saja untuk hari ini, teman-teman. Jika Anda memiliki pertanyaan, saya akan dengan senang hati menjawabnya di komentar.
Saya berharap Anda sukses, sampai jumpa di video tutorial dan artikel baru.
Hormat kami, Maxim Zaitsev.
Posting langka di blog Yandex, dan terutama yang terkait dengan keamanan, dilakukan tanpa autentikasi. Kami telah lama memikirkan cara memperkuat perlindungan akun pengguna dengan benar, dan bahkan agar mereka dapat menggunakannya tanpa semua ketidaknyamanan yang mencakup implementasi paling umum saat ini. Dan, sayangnya, mereka tidak nyaman. Menurut beberapa laporan, di banyak situs besar, proporsi pengguna yang telah mengaktifkan alat otentikasi tambahan tidak melebihi 0,1%.
Ini tampaknya karena skema otentikasi dua faktor yang umum terlalu rumit dan tidak nyaman. Kami mencoba menemukan metode yang akan lebih nyaman tanpa kehilangan tingkat perlindungan, dan hari ini kami menghadirkan versi beta-nya.
Kami berharap semakin meluas. Untuk bagian kami, kami siap untuk bekerja pada perbaikan dan standardisasi selanjutnya.
Setelah mengaktifkan otentikasi dua faktor di Paspor, Anda harus menginstal aplikasi Yandex.Key di App Store atau Google Play. Kode QR muncul dalam formulir otorisasi di halaman utama Yandex, di Surat dan Paspor. Untuk masuk ke akun, Anda perlu membaca kode QR melalui aplikasi - dan hanya itu. Jika kode QR tidak dapat dibaca, misalnya, kamera ponsel cerdas tidak berfungsi atau tidak ada akses ke Internet, aplikasi akan membuat kata sandi satu kali yang hanya berlaku selama 30 detik.
Saya akan memberi tahu Anda mengapa kami memutuskan untuk tidak menggunakan mekanisme "standar" seperti RFC 6238 atau RFC 4226. Bagaimana cara kerja skema otentikasi dua faktor yang umum? Mereka dua tahap. Tahap pertama adalah otentikasi biasa dengan nama pengguna dan kata sandi. Jika berhasil, situs memeriksa apakah "menyukai" sesi pengguna ini atau tidak. Dan, jika Anda "tidak menyukainya", meminta pengguna untuk "mengotentikasi ulang". Ada dua metode umum "otentikasi": mengirim SMS ke nomor telepon yang terkait dengan akun dan membuat kata sandi kedua di ponsel cerdas. Pada dasarnya, TOTP menurut RFC 6238 digunakan untuk menghasilkan kata sandi kedua.Jika pengguna memasukkan kata sandi kedua dengan benar, sesi dianggap sepenuhnya diautentikasi, dan jika tidak, sesi juga kehilangan otentikasi "awal".
Kedua metode mengirim SMS dan membuat kata sandi adalah bukti kepemilikan telepon dan oleh karena itu merupakan faktor ketersediaan. Password yang dimasukkan pada tahap pertama adalah faktor pengetahuan. Oleh karena itu, skema otentikasi ini tidak hanya dua tahap, tetapi juga dua faktor.
Apa yang kami temukan bermasalah dalam skema ini?
Mari kita mulai dengan fakta bahwa komputer pengguna rata-rata tidak selalu dapat disebut sebagai model keamanan: mematikan pembaruan Windows, salinan antivirus bajakan tanpa tanda tangan modern, dan perangkat lunak asal yang meragukan semua ini tidak meningkatkan level perlindungan. Menurut penilaian kami, mengkompromikan komputer pengguna adalah cara yang paling umum untuk "membajak" akun (dan itu terjadi baru-baru ini), dan Anda ingin melindungi diri Anda dari itu sejak awal. Dalam kasus otentikasi dua langkah, dengan asumsi bahwa komputer pengguna disusupi, memasukkan kata sandi di dalamnya membahayakan kata sandi itu sendiri, yang merupakan faktor pertama. Artinya penyerang hanya perlu memilih faktor kedua. Dalam kasus implementasi RFC 6238 umum, faktor kedua adalah 6 digit desimal (dan spesifikasi maksimum adalah 8 digit). Menurut kalkulator bruteforce untuk OTP, dalam tiga hari penyerang dapat mengambil faktor kedua jika dia entah bagaimana menyadari yang pertama. Tidak jelas layanan apa yang dapat melawan serangan ini tanpa mengganggu pengalaman pengguna normal. Satu-satunya bukti kerja yang mungkin adalah captcha, yang menurut kami adalah pilihan terakhir.Masalah kedua adalah opasitas penilaian layanan tentang kualitas sesi pengguna dan keputusan tentang perlunya "otentikasi ke atas". Lebih buruk lagi, layanan tidak tertarik untuk membuat proses ini transparan, karena keamanan oleh ketidakjelasan benar-benar berfungsi di sini. Jika penyerang mengetahui apa yang diputuskan layanan tentang keabsahan sesi, ia dapat mencoba memalsukan data ini. Dari pertimbangan umum, kita dapat menyimpulkan bahwa penilaian dibuat berdasarkan riwayat otentikasi pengguna, dengan mempertimbangkan alamat IP (dan berasal darinya nomor sistem otonom yang mengidentifikasi penyedia, dan lokasi berdasarkan geobase) dan data browser , seperti header Agen Pengguna dan satu set cookie, flash lso, dan penyimpanan lokal html. Ini berarti bahwa jika penyerang mengontrol komputer pengguna, maka ia memiliki kesempatan tidak hanya untuk mencuri semua data yang diperlukan, tetapi juga untuk menggunakan alamat IP korban. Apalagi jika keputusan dibuat berdasarkan ASN, maka otentikasi apa pun dari Wi-Fi publik di kedai kopi dapat menyebabkan "keracunan" dalam hal keamanan (dan pengapuran dalam hal layanan) penyedia kedai kopi ini dan , misalnya, mengapur semua kedai kopi di kota . Kami berbicara tentang pekerjaan, dan itu dapat diterapkan, tetapi waktu antara tahap otentikasi pertama dan kedua mungkin tidak cukup untuk penilaian yang meyakinkan tentang anomali. Selain itu, argumen yang sama ini merusak gagasan komputer "tepercaya": penyerang dapat mencuri informasi apa pun yang memengaruhi penilaian kepercayaan.
Terakhir, verifikasi dua langkah cukup merepotkan: studi kegunaan kami menunjukkan bahwa tidak ada yang lebih mengganggu pengguna selain layar perantara, penekanan tombol ekstra, dan tindakan "tidak penting" lainnya, dari sudut pandangnya.
Berdasarkan ini, kami memutuskan bahwa otentikasi harus satu langkah dan ruang kata sandi harus jauh lebih besar daripada yang mungkin dilakukan di bawah RFC 6238 "murni".
Pada saat yang sama, kami ingin menjaga otentikasi dua faktor semaksimal mungkin.
Multifaktor dalam otentikasi ditentukan dengan menetapkan elemen otentikasi (pada kenyataannya, mereka disebut faktor) ke salah satu dari tiga kategori:
- Faktor pengetahuan (ini adalah kata sandi tradisional, kode pin, dan semua yang terlihat seperti itu);
- Faktor kepemilikan (dalam skema OTP yang digunakan biasanya smartphone, tetapi bisa juga berupa hardware token);
- Faktor biometrik (sidik jari yang paling umum sekarang, meskipun seseorang akan mengingat episode dengan pahlawan Wesley Snipes dalam film Demolition Man).
Pengembangan sistem kami
Ketika kami mulai menangani masalah autentikasi dua faktor (halaman pertama wiki korporat pada edisi ini berasal dari tahun 2012, tetapi telah dibahas di belakang layar sebelumnya), ide pertama adalah menggunakan metode autentikasi standar dan menerapkannya mereka di sini. Kami memahami bahwa kami tidak dapat mengandalkan jutaan pengguna kami untuk membeli token perangkat keras, jadi opsi ini ditunda untuk beberapa kasus eksotis (walaupun kami tidak sepenuhnya mengabaikannya, kami mungkin dapat menemukan sesuatu yang menarik). Metode SMS juga tidak dapat diproduksi secara massal: ini adalah metode pengiriman yang sangat tidak dapat diandalkan (pada saat yang paling penting, SMS mungkin tertunda atau tidak terkirim sama sekali), dan pengiriman SMS memerlukan biaya (dan operator mulai menaikkan harganya) . Kami memutuskan bahwa penggunaan SMS adalah banyak bank dan perusahaan non-teknologi lainnya, dan kami ingin menawarkan pengguna kami sesuatu yang lebih nyaman. Secara umum, pilihannya kecil: menggunakan smartphone dan program di dalamnya sebagai faktor kedua.Bentuk otentikasi satu langkah ini tersebar luas: pengguna mengingat kode pin (faktor pertama), memiliki token perangkat keras atau perangkat lunak (pada ponsel cerdas) yang menghasilkan OTP (faktor kedua). Di bidang entri kata sandi, ia memasukkan kode pin dan nilai OTP saat ini.
Menurut pendapat kami, kelemahan utama skema ini sama dengan otentikasi dua langkah: jika kami berasumsi bahwa desktop pengguna dikompromikan, maka satu entri kode pin mengarah ke pengungkapannya, dan penyerang hanya perlu memilih faktor kedua.
Kami memutuskan untuk pergi ke arah lain: kata sandi sepenuhnya dihasilkan dari rahasia, tetapi hanya sebagian rahasia yang disimpan di ponsel cerdas, dan bagian itu dimasukkan oleh pengguna setiap kali kata sandi dibuat. Dengan demikian, smartphone itu sendiri merupakan faktor kepemilikan, sedangkan password tetap berada di kepala pengguna dan merupakan faktor pengetahuan.
Nonce dapat berupa penghitung atau waktu saat ini. Kami memutuskan untuk memilih waktu saat ini, ini memungkinkan kami untuk tidak takut akan desinkronisasi jika seseorang membuat terlalu banyak kata sandi dan meningkatkan penghitung.
Jadi, kami memiliki program untuk smartphone, di mana pengguna memasukkan bagian rahasianya, itu dicampur dengan bagian yang disimpan, hasilnya digunakan sebagai kunci HMAC, yang menandai waktu saat ini, dibulatkan menjadi 30 detik. Output HMAC ditampilkan dalam bentuk yang dapat dibaca, dan voila - inilah kata sandi satu kali!
Seperti yang telah disebutkan, RFC 4226 menyarankan untuk memotong hasil HMAC hingga maksimum 8 digit desimal. Kami memutuskan bahwa kata sandi dengan ukuran ini tidak cocok untuk otentikasi satu langkah dan harus ditingkatkan. Pada saat yang sama, kami ingin mempertahankan kemudahan penggunaan (karena, ingat, kami ingin membuat sistem yang akan digunakan oleh orang biasa, dan bukan hanya pakar keamanan), jadi sebagai kompromi dalam versi sistem saat ini, kami memilih pemotongan menjadi 8 karakter alfabet Latin. Tampaknya 26 ^ 8 kata sandi yang valid selama 30 detik cukup dapat diterima, tetapi jika margin keamanan tidak sesuai dengan kami (atau tip berharga muncul di Habré tentang cara meningkatkan skema ini), kami akan memperluas, misalnya, hingga 10 karakter.
Pelajari lebih lanjut tentang kekuatan kata sandi tersebut
Memang, untuk huruf Latin yang tidak peka huruf besar/kecil, jumlah opsi per karakter adalah 26, untuk huruf Latin besar dan kecil ditambah angka, jumlah opsi adalah 26+26+10=62. Kemudian log 62 (26 10) 7.9 yaitu kata sandi 10 huruf latin kecil acak hampir sekuat kata sandi 8 huruf atau angka latin huruf besar dan kecil acak. Ini pasti cukup untuk 30 detik. Jika kita berbicara tentang kata sandi 8 karakter dari huruf Latin, maka kekuatannya adalah log 62 (26 8) 6.3, yaitu, sedikit lebih dari kata sandi 6 karakter dari huruf dan angka besar, kecil. Kami pikir ini masih dapat diterima untuk jendela 30 detik.Sihir, tanpa kata sandi, aplikasi, dan langkah selanjutnya
Secara umum, kami dapat berhenti di situ, tetapi kami ingin membuat sistem lebih nyaman. Ketika seseorang memiliki smartphone di tangannya, dia tidak ingin memasukkan kata sandi dari keyboard!
Oleh karena itu, kami mulai mengerjakan "login ajaib". Dengan metode otentikasi ini, pengguna meluncurkan aplikasi di smartphone, memasukkan kode pin mereka ke dalamnya, dan memindai kode QR di layar komputer mereka. Jika kode pin dimasukkan dengan benar, halaman di browser dimuat ulang dan pengguna diautentikasi. Sihir!
Bagaimana cara kerjanya?
Nomor sesi dijahit ke dalam kode QR, dan ketika aplikasi memindai, nomor ini dikirimkan ke server bersama dengan kata sandi dan nama pengguna yang dibuat dengan cara biasa. Ini tidak sulit, karena smartphone hampir selalu online. Dalam tata letak halaman yang menunjukkan kode QR, JavaScript sedang berjalan, menunggu respons dari server untuk memeriksa kata sandi dengan sesi ini. Jika server merespons bahwa kata sandinya benar, cookie sesi diatur dengan respons dan pengguna dianggap diautentikasi.Itu menjadi lebih baik, tetapi di sini kami memutuskan untuk tidak berhenti. Dimulai dengan iPhone 5S, pemindai sidik jari TouchID muncul di ponsel dan tablet Apple, dan di iOS versi 8, pemindai ini juga tersedia untuk aplikasi pihak ketiga. Sebenarnya aplikasi tidak mendapatkan akses sidik jari, tetapi jika sidik jarinya benar, maka tersedia bagian Keychain tambahan untuk aplikasi tersebut. Ini yang kami manfaatkan. Bagian kedua dari rahasia ditempatkan di entri Keychain yang dilindungi TouchID, yang dimasukkan pengguna dari keyboard dalam skenario sebelumnya. Saat membuka kunci Gantungan Kunci, kedua bagian rahasia itu dicampur, dan kemudian prosesnya bekerja seperti yang dijelaskan di atas.
Tetapi itu menjadi sangat nyaman bagi pengguna: dia membuka aplikasi, meletakkan jarinya, memindai kode QR di layar dan diautentikasi di browser di komputer! Jadi kami mengganti faktor pengetahuan dengan faktor biometrik dan, dari sudut pandang pengguna, kata sandi yang benar-benar ditinggalkan. Kami yakin bahwa orang biasa akan menemukan skema ini jauh lebih nyaman daripada memasukkan dua kata sandi secara manual.
Masih bisa diperdebatkan seberapa teknis otentikasi dua faktor, tetapi pada kenyataannya, Anda masih perlu memiliki telepon dan memiliki sidik jari yang valid untuk berhasil melewatinya, jadi kami pikir kami sudah cukup baik dalam menyingkirkan faktor pengetahuan, menggantinya dengan biometrik. Kami memahami bahwa kami mengandalkan keamanan ARM TrustZone yang mendukung iOS Secure Enclave dan percaya bahwa subsistem ini dapat dianggap tepercaya dalam model ancaman kami untuk saat ini. Tentu saja, kami menyadari masalah otentikasi biometrik: sidik jari bukanlah kata sandi dan tidak dapat diganti jika disusupi. Tetapi, di sisi lain, semua orang tahu bahwa keamanan berbanding terbalik dengan kenyamanan, dan pengguna sendiri berhak memilih rasio satu dan yang lain yang dapat diterimanya.
Biarkan saya mengingatkan Anda bahwa ini masih beta. Sekarang, ketika Anda mengaktifkan otentikasi dua faktor, kami menonaktifkan sementara sinkronisasi kata sandi di Yandex.Browser. Hal ini disebabkan bagaimana enkripsi database password diatur. Kami telah menemukan cara mudah untuk mengautentikasi Browser dalam kasus 2FA. Semua fungsi Yandex lainnya berfungsi seperti sebelumnya.
Inilah yang kami dapatkan. Sepertinya hasilnya bagus, tetapi Andalah yang menilai. Kami akan senang mendengar umpan balik dan rekomendasi, dan kami sendiri akan terus berupaya meningkatkan keamanan layanan kami: sekarang, bersama dengan, dan yang lainnya, kami memiliki otentikasi dua faktor. Ingatlah bahwa layanan otentikasi dan aplikasi pembuatan OTP sangat penting, dan oleh karena itu, bug yang ditemukan di dalamnya adalah hadiah ganda yang dibayarkan di bawah program Bug Bounty.
Tag:
- keamanan
- autentikasi
- 2FA
