Yandex-მა გაუშვა აპლიკაცია, რომელიც საშუალებას გაძლევთ არ დაიმახსოვროთ რთული პაროლები და შეუერთდით უსაფრთხოების რბოლას
სანიშნეებისკენ
Yandex-მა გამოუშვა ორფაქტორიანი ავთენტიფიკაციის მექანიზმი და ახალი Yandex.Key აპლიკაცია, რომელიც აგენერირებს წვდომის კოდს Yandex-ის ანგარიშზე მობილურ მოწყობილობაზე. ეს ხელს შეგიშლით უსაფრთხოების მიზნით რთული პაროლის დამახსოვრებაში. ამის შესახებ TJ-ს კომპანიის წარმომადგენლებმა აცნობეს.
განახლებულია: Yandex-ის განცხადებიდან ორი საათის შემდეგ, Mail.Ru Group-ში გამოცხადდა ორფაქტორიანი ავტორიზაციის დანერგვა.
"Yandex.Key" საშუალებას გაძლევთ არ დაიმახსოვროთ რთული პაროლები
Yandex.Key-ის გამოსაყენებლად ჯერ კიდევ უნდა მოიფიქროთ და დაიმახსოვროთ ოთხნიშნა PIN კოდი. დროებითი პაროლები, რომლებიც გამოყენებული იქნება თქვენს Yandex ანგარიშში შესასვლელად, გადაეგზავნება თქვენს მობილურ მოწყობილობას და იქნება მოქმედი 30 წამის განმავლობაში.
თუმცა, თქვენ შეგიძლიათ შეხვიდეთ ერთჯერადი პაროლის შეყვანის გარეშე. QR კოდები გამოჩნდა ავტორიზაციის ფორმაში Yandex-ზე: მათი წაკითხვა შესაძლებელია სმარტფონის კამერის გამოყენებით Yandex.Key-ის საშუალებით. Apple-ის მობილური მოწყობილობების მომხმარებლებს არ სჭირდებათ PIN კოდის დამახსოვრება: მათთვის აპლიკაციაში წვდომა შესაძლებელია თითის ანაბეჭდის წაკითხვით Touch ID სენსორის გამოყენებით.
ავთენტიფიკაციის ორი ფაქტორი ამ შემთხვევაში არის PIN კოდი (ან თითის ანაბეჭდი), რომელიც მხოლოდ მომხმარებელს აქვს და Yandex.Key-ით Yandex-ის ანგარიშსა და მობილურ მოწყობილობას შორის კავშირის ცოდნა - ის ინახება კომპანიის სერვერებზე. საიდუმლო კოდები გენერირდება ერთდროულად როგორც PIN-ის, ასევე Yandex სერვერებიდან „საიდუმლოების“ გამოყენებით. კომპანიამ ასევე განმარტა, რომ ავთენტიფიკაციის პროცედურა არის ერთსაფეხურიანი: შესვლა მოითხოვს მხოლოდ ერთ მოქმედებას (ერთჯერადი კოდის შეყვანა ან QR კოდის სკანირება).
მეტი უსაფრთხოება სჭირდება
ეს არ არის Yandex-ში ორფაქტორიანი ავთენტიფიკაციის პირველი გამოჩენა. მანამდე ის გამოიყენებოდა Yandex.Money-ში და კომპანიის შიდა სერვისებში, განუცხადა Yandex-მა TJ-ს.
კომპანიის წარმომადგენლები აცხადებენ, რომ მათი ორფაქტორიანი ავთენტიფიკაციის პროცედურა უფრო საიმედოა, რადგან დროებითი პაროლები წარმოიქმნება ასოებიდან და არა ციფრებისგან, როგორც ეს კონკურენტების შემთხვევაშია. გარდა ამისა, მომხმარებელს ჯერ არ სჭირდება შესვლისა და პაროლის შეყვანა: ის უფლებამოსილია მხოლოდ შესვლის და QR კოდის ან დროებითი პაროლის გამოყენებით.
როგორც წესი, ორფაქტორიანი ავთენტიფიკაციით, მომხმარებელს სთხოვენ შევიდეს ანგარიშში თავისი მომხმარებლის სახელით და პაროლით და შემდეგ დაადასტუროს მათი ვინაობა - ვთქვათ, SMS-ის გამოყენებით. ჩვენთვის ეს კიდევ უფრო ადვილია. საკმარისია ჩართოთ ორფაქტორიანი ავთენტიფიკაცია "პასპორტში" და დააინსტალიროთ Yandex.Key აპლიკაცია. QR კოდები გამოჩნდა ავტორიზაციის ფორმაში Yandex-ის მთავარ გვერდზე, ფოსტასა და პასპორტში. ანგარიშში შესასვლელად, მომხმარებელმა უნდა წაიკითხოს QR კოდი აპლიკაციის საშუალებით - და ეს არის ის.
ვლადიმერ ივანოვი, Yandex-ის ოპერაციების დეპარტამენტის უფროსის მოადგილე
თუ მომხმარებელი ერთდროულად დაივიწყებს PIN-ს და დაკარგავს წვდომას ანგარიშთან დაკავშირებულ SIM ბარათზე, მას კვლავ ექნება შესაძლებლობა აღადგინოს თავისი ანგარიში. ამისათვის მას მოუწევს გაიაროს სტანდარტული პროცედურა: შეავსოს კითხვარი და ისაუბროს დამხმარე სამსახურთან, განმარტეს მათ Yandex-ში.
მომხმარებლები, რომლებსაც ჩართული აქვთ ორფაქტორიანი ავთენტიფიკაცია, ჩვეულებრივ, უფრო ფრთხილად არიან ასეთ საკითხებთან დაკავშირებით - მაგალითად, მიუთითებენ თავიანთ ნამდვილ სახელსა და გვარს, რომლითაც წვდომა შეიძლება აღდგეს პირადობის დამადასტურებელი დოკუმენტის გამოყენებით. და Yandex.Key აპლიკაციიდან შეგიძლიათ გახსნათ წვდომის აღდგენის სპეციალური ფორმა - იმ შემთხვევაში, თუ სმარტფონი მოიპარეს წვდომის მისაღებად, არსებობს დაცვის საიდუმლო დონე.
Yandex-ის პრესსამსახური
ორფაქტორიანი ავთენტიფიკაციის პროცედურა ამოქმედდა როგორც ბეტა ვერსია. კომპანიამ განაცხადა, რომ ის მონაწილეობს bug bounty-ის პროგრამაში - შეგიძლიათ მიიღოთ ფულადი პრიზი მოწყვლადობის აღმოსაჩენად: რეკლამის მიხედვით თუ ვიმსჯელებთ, ის მერყეობს 5,5-დან 170 ათას რუბლამდე.
პაროლების მასიური „მკვლელობა“.
მომხმარებლებს არ სურთ რთული პაროლების დამახსოვრება და ზოგადად არ იყენებენ ორფაქტორიან ავთენტიფიკაციას, იმის გათვალისწინებით, რომ ეს ძალიან რთულია. სტატისტიკა აჩვენებს, რომ 2014 წლის ყველაზე პოპულარული პაროლები კვლავ არის "123456", "password" და "qwerty".
Yandex-მა გადაწყვიტა გამოიყენოს QR კოდები და Touch ID სხვადასხვა კვლევების გაანალიზების შემდეგ, რომლებმაც აჩვენეს, რომ სხვადასხვა სერვისების აუდიტორიის 0.02%-დან 1%-მდე იყენებს სტანდარტულ ორფაქტორიან ავტორიზაციის პროცედურას.
Yandex არ არის პირველი კომპანია, რომელიც შეუერთდება რბოლას მომხმარებლის უსაფრთხოების გასაუმჯობესებლად და ამავე დროს უარს ამბობს რთული პაროლების დამახსოვრებაზე. ოქტომბერში Twitter-მა მსგავსი პლატფორმა "Yandex.Key" უწოდა Digits და პოზიციონირებდა როგორც "პაროლის მკვლელი".
Digits-ის დახმარებით მომხმარებლებს შეეძლებათ ერთდროულად რამდენიმე სერვისში შესვლა: დასაწყისში Twitter-მა გამოაცხადა პარტნიორობა FitStar ფიტნეს ტრეკერთან, Resy რესტორნის დაჯავშნის სერვისთან და OneFootball აპლიკაციასთან სპორტის მოყვარულებისთვის. Digits პლატფორმა ასევე ინტეგრირებულია ახალ Twitter Fabric Developer Suite-ში.
Yandex-მა განუცხადა TJ-ს, რომ ისინი აპირებდნენ სხვა აპლიკაციებში შესვლის შესაძლებლობას Yandex.Key-ის გამოყენებით - მისი გამოჩენა დაგეგმილია პროგრამის შემდეგ განახლებებში.
სერვისების უმეტესობის მსგავსად, Digits იყენებს მობილურ ტელეფონს რეგისტრაციისა და გადამოწმებისთვის, აგზავნის კოდს SMS-ით ან მესინჯერის შიგნით კონტაქტის საშუალებით. ეს მეთოდი გამოიყენება, მაგალითად, WhatsApp და Telegram მესინჯერებში.
Facebook-ის მობილურ აპლიკაციას დიდი ხანია აქვს საკუთარი Code Generator სერვისი, რომელიც საშუალებას გაძლევთ შეხვიდეთ დროებითი კოდების გამოყენებით. Google-ით შეგიძლიათ ჩართოთ ორფაქტორიანი ავთენტიფიკაცია თქვენი ანგარიშისთვის და გამოიყენოთ Google Authentificator აპი, რომელიც იძლევა წვდომას QR კოდით ან უსაფრთხოების კოდის შეყვანით. Apple-ში ცნობილი ადამიანების პერსონალური ფოტოების გაჟონვით სკანდალის შემდეგ, iCloud-ის მომხმარებლების უსაფრთხოებაც.
Google-ის მსგავსი ფუნქციონირება ივნისში და VKontakte-ში, თუმცა, სოციალურ ქსელში ნათქვამია, რომ ასეთი უსაფრთხოების ზომები მომხმარებლების უმეტესობისთვის არასაჭიროა. Mail.Ru საფოსტო სერვისში არ არის ორეტაპიანი ავტორიზაცია.
განახლებულია 15:34 საათზე Yandex-ის განცხადებიდან რამდენიმე საათის შემდეგ, Mail.Ru პორტალმა დაიწყო ფოსტის, ღრუბლის, კალენდრის, თამაშის ცენტრისა და სხვა პროექტების ორფაქტორიანი ავთენტიფიკაცია, განუცხადეს TJ-ს კომპანიის წარმომადგენლებმა. შესვლისთვის მომხმარებელმა უნდა გამოიყენოს თავისი პაროლი და SMS-ით მიღებული კოდი მობილურ ტელეფონზე.
კომპანიამ ხაზგასმით აღნიშნა, რომ ორფაქტორიანი ავთენტიფიკაციის დახურული ბეტა ტესტირება დაიწყო დეკემბრის ბოლოს ჰაბრაჰაბრას საზოგადოების მხარდაჭერით.
ინტერნეტ სერვისებს შეუძლიათ გაზარდონ უსაფრთხოების დონე განუსაზღვრელი ვადით, თუმცა „სუსტი რგოლი“ ხშირად მომხმარებლის პაროლის უსაფრთხოებაა. თუ მეორე დამცავი ფაქტორი ჩართულია, მაშინ ანგარიშში შესასვლელად თავდამსხმელს მოუწევს ფლობდეს არა მხოლოდ პაროლს, არამედ მსხვერპლის მობილურ ტელეფონსაც, რაც გაცილებით რთულია.
ამ ფუნქციის დანერგვა ძირითადად მოწინავე მომხმარებლებმა გვთხოვეს, მაგრამ იმედი მაქვს, რომ ის პოპულარული გახდება ფართო აუდიტორიაში.
ანა არტამონოვა, Mail.Ru ჯგუფის ვიცე პრეზიდენტი
Yandex-მა გაუშვა ორფაქტორიანი ავთენტიფიკაციის სისტემა და გამოუშვა Yandex.Key აპლიკაცია ანგარიშში შესვლისთვის რთული პაროლის დამახსოვრებისა და შეყვანის გარეშე. აპი უკვე ხელმისაწვდომია Android-სა და iOS-ზე და მისი დაცვა შესაძლებელია თითის ანაბეჭდის სკანერით iPhone-ის ახალ მოდელებზე.
თქვენს ანგარიშში Yandex.Key-ით შესვლის რამდენიმე გზა არსებობს, მაგრამ ჯერ უნდა გადახვიდეთ პარამეტრების გვერდზე yandex.ru/promo/2fa და ჩართოთ ორფაქტორიანი ავტორიზაცია.
დაადასტურეთ თქვენი ტელეფონის ნომერი SMS-ით მიღებული კოდით.
დააინსტალირეთ Yandex.Key აპლიკაცია თქვენს სმარტფონზე ან ტაბლეტზე.
გაუშვით აპლიკაცია და დაასკანირეთ QR კოდი Yandex-ის ვებსაიტზე. თუ მობილურ მოწყობილობას არ აქვს კამერა, დააწკაპუნეთ „საიდუმლო გასაღების ჩვენება“ და შეიყვანეთ აპლიკაციაში ნაჩვენები სიმბოლოები.
მოიფიქრეთ PIN და შეიყვანეთ იგი ვებსაიტზე ან აპლიკაციაში.
შეიყვანეთ საიტზე აპლიკაციის მიერ გენერირებული ერთჯერადი პაროლი. ეს პაროლი მოქმედებს მხოლოდ 30 წამის განმავლობაში და შემდეგ გამოჩნდება ახალი. დაყენების დასასრულს, თქვენ კვლავ უნდა შეიყვანოთ ანგარიშის მუდმივი პაროლი.
ეს ნაბიჯები მხოლოდ ერთხელ უნდა შესრულდეს. ორფაქტორიანი ავტორიზაციის გააქტიურების შემდეგ, თქვენ დაგჭირდებათ ხელახლა ავტორიზაცია Yandex-ის საიტებზე ყველა მოწყობილობაზე. თქვენ შეგიძლიათ შექმნათ ცალკე პაროლები აპლიკაციებზე წვდომისთვის.
ახლა Yandex-ის ანგარიშის შესვლის გვერდზე გამოჩნდება ღილაკი QR კოდის ხატულაზე.
მე გაჩვენებთ, თუ როგორ უნდა დააყენოთ ორფაქტორიანი ავთენტიფიკაცია Yandex-ში, ეს დაგეხმარებათ დაიცვათ თქვენი Yandex ანგარიში ჰაკერებისგან.
გადადით პაროლის მენეჯმენტზე passport.yandex.ru/profile/access. აქ შეგიძლიათ შეცვალოთ პაროლი ან ჩართოთ დამატებითი დაცვა თქვენი ანგარიშისთვის - ორფაქტორიანი ავტორიზაცია. დააწკაპუნეთ სლაიდერზე ორფაქტორიანი ავთენტიფიკაციის ჩასართავად.
ორფაქტორიანი ავთენტიფიკაცია დაკავშირებულია რამდენიმე ეტაპად. პარალელურად უნდა გახსნათ Yandex.Passport და Yandex.Key მობილური აპლიკაცია. დაყენების დასრულების შემდეგ, თქვენ კვლავ უნდა შეხვიდეთ ყველა მოწყობილობაზე.
დააწკაპუნეთ დაყენების დაწყებაზე.
აქ არის თქვენი ტელეფონის ნომერი, რომელზეც გაიგზავნება დაყენების კოდები. აქ ასევე შეგიძლიათ შეცვალოთ ტელეფონის ნომერი, რომელიც დაკავშირებულია თქვენს Yandex ანგარიშთან.
ორფაქტორიანი ავთენტიფიკაციის დაყენება. ნაბიჯი 1 5-დან.
დაადასტურეთ თქვენი ტელეფონის ნომერი. ეს არის თქვენი მთავარი ნომერი Yandex-ზე. ის დაგჭირდებათ, თუ თქვენს ანგარიშზე წვდომას დაკარგავთ. დააჭირეთ კოდის მიღებას.
SMS კოდი Yandex-დან გაიგზავნება თქვენს ნომერზე.
აქ შეიყვანეთ Yandex-ის SMS კოდი და დააჭირეთ დადასტურებას.
ორფაქტორიანი ავთენტიფიკაციის დაყენება. ნაბიჯი 2 5-დან.
ჩამოტვირთეთ Yandex.Key აპი. ახლა ჩვენ მივდივართ AppStore-ში თქვენს iPhone-ზე ან iPad-ზე ან Play Store-ში თქვენს Android სმარტფონზე ან ტაბლეტზე და ვეძებთ Yandex.Key აპლიკაციას. ან დააწკაპუნეთ ტელეფონის ბმულის მისაღებად.
გაიხსნება App Store ან Play Market, დააწკაპუნეთ ჩამოტვირთვაზე Yandex.Key აპლიკაციის ჩამოსატვირთად და დააინსტალირეთ თქვენს სმარტფონზე ან ტაბლეტზე.
თუ გჭირდებათ თქვენი Apple ID პაროლის შეყვანა, მაშინ შეიყვანეთ თქვენი Apple ID პაროლი.
30 წამის შემდეგ აპლიკაცია ჩამოიტვირთება თქვენს სმარტფონში, გაუშვით მასზე დაწკაპუნებით.
ორფაქტორიანი ავთენტიფიკაციის დაყენება. ნაბიჯი 3 5-დან.
მიუთითეთ თქვენი ტელეფონის კამერა QR კოდზე და თქვენი ანგარიში ავტომატურად დაემატება აპს. თუ კოდის წაკითხვა ვერ მოხერხდა, სცადეთ ხელახლა ან შეიყვანეთ საიდუმლო გასაღები.
დავუბრუნდეთ სმარტფონს.
Yandex.Key აპლიკაცია ქმნის ერთჯერად პაროლებს Yandex-ში შესასვლელად. თუ უკვე დაიწყეთ ორფაქტორიანი ავთენტიფიკაციის დაყენება თქვენს კომპიუტერში, დააჭირეთ ღილაკს „აპლიკაციის ანგარიშის დამატება“.
დააწკაპუნეთ აპლიკაციაში ანგარიშის დასამატებლად.
პროგრამა "Key" ითხოვს წვდომას "კამერაზე". დააწკაპუნეთ ნებაზე, რათა აპს მისცეთ წვდომა თქვენი სმარტფონის კამერაზე QR კოდის სკანირებისთვის კომპიუტერის მონიტორის ეკრანიდან.
მიმართეთ კამერა თქვენს კომპიუტერის მონიტორზე გამოსახულ QR კოდს და დაელოდეთ ანგარიშის დამატებას ან ხელით დაამატეთ.
მზადაა. QR კოდი დასკანირებულია. Yandex.Key აპლიკაცია მზად არის გამოსასვლელად.
ახლა მოდით გადავიდეთ კომპიუტერის მონიტორზე.
დააწკაპუნეთ PIN-ის შექმნაზე.
PIN კოდი საჭიროა ყოველ ჯერზე, როდესაც მიიღებთ ერთჯერად პაროლს Yandex.Key-ში, ასევე თქვენს ანგარიშზე წვდომის აღსადგენად. შეინახეთ თქვენი PIN კონფიდენციალური. Yandex-ის სამსახურის თანამშრომლები მას არასოდეს ეკითხებიან.
ჩვენ ვიღებთ ოთხნიშნა პინ-კოდს და დააჭირეთ გაგრძელებას.
ორფაქტორიანი ავთენტიფიკაციის დაყენება. ნაბიჯი 4 / 5.
PIN კოდის დადასტურება. აუცილებლად დაიმახსოვრეთ პინის კოდი. პარამეტრის დასრულების შემდეგ, მისი შეცვლა შეუძლებელია. თუ აპლიკაციაში არასწორ პინ კოდს შეიყვანთ, ის წარმოქმნის არასწორ ერთჯერად პაროლებს.
შეიყვანეთ ადრე შექმნილი PIN კოდი და დააწკაპუნეთ Verify.
ჩვენ ვუბრუნდებით სმარტფონს და Yandex.Key აპლიკაციას. შეიყვანეთ თქვენი PIN ერთჯერადი პაროლის მისაღებად.
პინის კოდის შეყვანის შემდეგ მიიღებთ ერთჯერად პაროლს, რომელიც მოქმედებს 20 წამის განმავლობაში, ამ 20 წამის განმავლობაში თქვენ უნდა შეიყვანოთ იგი კომპიუტერში ორფაქტორიანი ავტორიზაციის პარამეტრში. თუ 20 წამში პაროლის შეყვანის დრო არ გექნებათ, ის შეიცვლება სხვაზე და ა.შ. შეიყვანეთ პაროლი, რომელიც გამოჩნდება თქვენი სმარტფონის ეკრანზე.
ბოლო ნაბიჯი. შეიყვანეთ პაროლი Yandex.Key-დან.
გამოიყენეთ პინის კოდი აპში ერთჯერადი პაროლის მისაღებად. დარწმუნდით, რომ გახსოვთ პინის კოდი, დაყენების დასრულების შემდეგ თქვენ ვერ შეძლებთ მის შეცვლას.
რა შეიცვლება ორფაქტორიანი ავთენტიფიკაციის ჩართვის შემდეგ:
- ძველი პაროლი აღარ იმუშავებს.
- თქვენ კვლავ მოგიწევთ Yandex-ში შესვლა ყველა მოწყობილობაზე (ვებ სერვისები და მობილური აპლიკაციები).
- Yandex-ის ვებ სერვისებზე წვდომა QR კოდის გამოყენებით პაროლის შეყვანის გარეშე იქნება შესაძლებელი. თუ კოდს ვერ კითხულობთ, გამოიყენეთ ერთჯერადი პაროლი Yandex.Key-დან.
- თქვენ შეხვალთ Yandex-ის მობილურ აპლიკაციებზე ერთჯერადი პაროლის გამოყენებით. მისი კოპირება შესაძლებელია Yandex.Key-დან ხანგრძლივი დაჭერით.
- თქვენს ანგარიშთან დაკავშირებული სხვა პროგრამებისთვის (მაგალითად, ელფოსტის კლიენტები ან ფოსტის შემგროვებლები), მიიღეთ აპლიკაციის პაროლები პასპორტში.
შეიყვანეთ ერთჯერადი პაროლი, რომელიც გამოჩნდება თქვენი სმარტფონის ეკრანზე და დააწკაპუნეთ დაყენების დასრულებაზე.
ახლა, ერთჯერადი პაროლის შეყვანის შემდეგ, თქვენ უნდა შეიყვანოთ ძველი ანგარიშის პაროლი. Yandex უნდა დარწმუნდეს, რომ ეს არის ანგარიშის მფლობელი, რომელიც ასრულებს ასეთ მნიშვნელოვან ცვლილებას უსაფრთხოების პარამეტრებში.
შეიყვანეთ ძველი პაროლი Yandex ანგარიშიდან და დააჭირეთ OK.
მზადაა. ორფაქტორიანი ავთენტიფიკაცია დასრულდა. თქვენ დაიცავით თქვენი ანგარიში ერთჯერადი პაროლებით. ახლა თქვენ კვლავ უნდა შეხვიდეთ Yandex-ში ყველა მოწყობილობაზე. თუ იყენებთ ელ.ფოსტის პროგრამებს, მაგალითად, არ დაგავიწყდეთ მათთვის აპლიკაციის პაროლების მიღება.
დააწკაპუნეთ დახურვა.
ახლა, თუ იყენებთ Yandex ანგარიშის საფოსტო ყუთს თქვენს სმარტფონზე, თქვენ უნდა შექმნათ პაროლი.
აირჩიეთ აპლიკაციის ტიპი > ფოსტის პროგრამა.
და აირჩიეთ თქვენი ფოსტის პროგრამის ოპერაციული სისტემა. მე ვიყენებ iPhone-ს, ამიტომ ვირჩევ iOS-ს.
და დააწკაპუნეთ პაროლის შექმნაზე თქვენს სმარტფონზე ელ.ფოსტის პროგრამის პაროლის შესაქმნელად.
თქვენი iOS მეილერის პაროლი გენერირებულია.
როგორ გამოვიყენოთ პაროლი:
- აპლიკაციას თქვენს მონაცემებზე წვდომის მისაცემად, მიუთითეთ ეს პაროლი მის პარამეტრებში.
- თქვენ არ გჭირდებათ პაროლის დამახსოვრება: ის მხოლოდ ერთხელ დაგჭირდებათ. Yandex-ზე პაროლის შეცვლისას დაგჭირდებათ აპლიკაციის ახალი პაროლის მიღება.
- განაცხადის პაროლი ნაჩვენებია მხოლოდ ერთხელ. თუ დახურავთ გვერდს და არ გაქვთ მისი გამოყენების დრო, უბრალოდ მიიღეთ ახალი.
ჩვენ ვწერთ პაროლს, რომელიც ნაჩვენებია თქვენს კომპიუტერის მონიტორზე, თქვენს სმარტფონზე Yandex mail-ის მობილურ აპლიკაციაში.
მზადაა. Yandex-ის ორფაქტორიანი ავთენტიფიკაცია მუშაობს, შეგიძლიათ იცხოვროთ.
ახლა, თუ გამოხვალთ თქვენი Yandex ანგარიშიდან და კვლავ შეიყვანთ მომხმარებლის სახელსა და პაროლს, ისინი მოგწერენ:
არასწორი შესვლა-პაროლის წყვილი!შესვლა ვერ მოხერხდა. შეიძლება არჩეული გქონდეთ კლავიატურის სხვა განლაგება ან დააჭიროთ Caps Lock ღილაკს. თუ იყენებთ ორფაქტორიან ავთენტიფიკაციას, დარწმუნდით, რომ შეიყვანთ ერთჯერად პაროლს Yandex.Key აპლიკაციიდან ჩვეულებრივის ნაცვლად. სცადეთ ხელახლა შესვლა.
ახლა თქვენ უნდა გახსნათ Yandex.Key აპლიკაცია, შეიყვანოთ თქვენი პინ კოდი და მიუთითოთ თქვენი სმარტფონის კამერა QR კოდზე. თქვენ ავტომატურად შეხვალთ თქვენს Yandex ანგარიშში მას შემდეგ, რაც სმარტფონი წაიკითხავს QR კოდს მონიტორის ეკრანიდან.
სხვა ჩანაწერები უსაფრთხოებისა და 2-ფაზიანი დადასტურების შესახებ:
გამარჯობა ძვირფასო მეგობრებო. დღეს მე გეტყვით, თუ როგორ უნდა დააყენოთ ორფაქტორიანი ავთენტიფიკაცია თქვენი Yandex ანგარიშისთვის და დააყენოთ პაროლი Yandex.Disk-ისთვის. ეს დაიცავს მთავარ ანგარიშს და გააუმჯობესებს ინდივიდუალური Yandex აპლიკაციების უსაფრთხოებას.
პერსონალური მონაცემების დაცვა ყველაზე დიდი პრობლემაა ინტერნეტში. მომხმარებლები ხშირად უგულებელყოფენ უსაფრთხოების წესებს. ისინი ქმნიან მარტივ და იდენტურ პაროლებს სხვადასხვა ინტერნეტ რესურსებისთვის, ინახავენ მათ ელექტრონულ ყუთებში, საიდანაც პაროლები გამოიყენება სხვა რესურსებზეც. ეს მხოლოდ რამდენიმე გავრცელებული შეცდომაა.
თუ თავდამსხმელი მოიპოვებს წვდომას ერთ-ერთ ანგარიშზე, სხვა მომხმარებლის რესურსებიც იქნება რისკის ქვეშ. და თუ გავითვალისწინებთ იმ ფაქტს, რომ ვირუსებს შეუძლიათ კლავიატურიდან შეყვანილი პაროლების დამახსოვრება, მაშინ სიტუაცია კიდევ უფრო სამწუხარო მოგეჩვენებათ. ამიტომ ინტერნეტის ყველა მომხმარებელმა უნდა დაიცვას უსაფრთხოების ელემენტარული წესები:
- შექმენით რთული პაროლები.
- არ გამოიყენოთ ერთი და იგივე პაროლები სხვადასხვა ინტერნეტ რესურსებისთვის.
- რეგულარულად შეცვალეთ პაროლები.
ასევე გამოიყენეთ დაცვის დამატებითი მეთოდები. ერთ-ერთი ასეთი მეთოდია Yandex ანგარიშის ორფაქტორიანი ავთენტიფიკაცია.
როგორ მუშაობს ორფაქტორიანი ავთენტიფიკაცია?
მოგეხსენებათ, შეზღუდულ ზონაში წვდომა, როგორიცაა ელექტრონული ფოსტა, საიტის ადმინისტრაციული პანელი, სოციალური ქსელის ანგარიშები, მოითხოვს მომხმარებლის სახელსა და პაროლს. მაგრამ ეს არის დაცვის მხოლოდ ერთი დონე. დაცვის გაძლიერების მიზნით, ბევრ სერვისს შემოაქვს ავთენტიფიკაციის დამატებითი მეთოდები, როგორიცაა sms დადასტურება, USB კლავიშები, მობილური აპლიკაციები.
მე უკვე გითხარი ამის შესახებ. სადაც, შესვლისა და პაროლის გარდა, მობილური აპლიკაცია უსაფრთხოების კოდს წარმოქმნის. ასე რომ, Yandex-ის ორფაქტორიანი ავთენტიფიკაცია დაახლოებით იგივენაირად მუშაობს.
ანუ დაცვის დამატებით დონეს წარმოადგენს Yandex.Key მობილური აპლიკაცია, რომელიც აუქმებს Yandex ანგარიშის ძველ პაროლს და ყოველ 30 წამში ერთხელ ქმნის ახალ, ერთჯერად პაროლს.
დაცვის ამ დონით, ანგარიშზე წვდომა შესაძლებელია მხოლოდ ერთჯერადი პაროლით ან QR კოდით.
საკმარისია გარკვეული პარამეტრების გაკეთება და მომავალში თქვენი სმარტფონის კამერას QR კოდისკენ მიმართავთ და თქვენს Yandex ანგარიშზე წვდომას მიიღებთ.
ხოლო თუ ვერ იყენებთ სმარტფონის კამერას ან არ გაქვთ წვდომა ინტერნეტზე, ყოველთვის შეგიძლიათ გამოიყენოთ მობილური აპლიკაციაში გენერირებული ერთჯერადი პაროლი ინტერნეტის გარეშეც.
თავად Yandex.Key მობილური აპლიკაციის უსაფრთხოება უზრუნველყოფილია PIN კოდით, რომელსაც ქმნით თქვენი ანგარიშის აპლიკაციასთან დაკავშირებისას.
თუ თქვენ გაქვთ Apple სმარტფონი ან პლანშეტი, შეგიძლიათ გამოიყენოთ Touch ID პინ კოდის ნაცვლად.
ამრიგად, თქვენს მონაცემებზე წვდომა უფრო უსაფრთხოდ დაიხურება.
ორფაქტორიანი ავთენტიფიკაციის დაყენება.
დასაწყებად, Yandex-ის მთავარ გვერდზე შედით თქვენს ანგარიშში ტრადიციული გზით. შემდეგ დააწკაპუნეთ თქვენი ანგარიშის სახელზე (ფოსტის ყუთის სახელი) და აირჩიეთ "პასპორტი".
ახლად გახსნილ გვერდზე დააწკაპუნეთ გრაფიკულ გადამრთველზე, მოპირდაპირე მხარეს "ორი ფაქტორიანი ავთენტიფიკაცია"და შემდეგ ღილაკზე "დაყენების დაწყება".
დაყენების პროცედურა თავისთავად შედგება 4 ნაბიჯისგან, რომელიც უნდა დასრულდეს კომპიუტერზე და მობილურ მოწყობილობაზე.
ნაბიჯი 1: დაადასტურეთ თქვენი ტელეფონის ნომერი.
თუ ადრე დაუკავშირეთ ტელეფონის ნომერი თქვენს Yandex ანგარიშს, შეგიძლიათ დაუყოვნებლივ მიიღოთ დადასტურების კოდი. თუ არა, მაშინ შეიყვანეთ ტელეფონის ნომერი და დააჭირეთ ღილაკს "კოდის მისაღებად".
კოდი გაიგზავნება მითითებულ ნომერზე. თქვენ უნდა შეიყვანოთ იგი სპეციალურ ველში და დააჭიროთ ღილაკს "დაადასტურე".
ნაბიჯი 2. PIN კოდი მობილური აპლიკაციისთვის.
ამ ეტაპზე, თქვენ უნდა შეიყვანოთ და შეიყვანოთ პინ კოდი მობილური აპლიკაციისთვის ორჯერ. სწორედ ეს კოდი გახსნის აპლიკაციაზე წვდომას სმარტფონზე ან პლანშეტზე.
შეიყვანეთ კოდი და დააჭირეთ ღილაკს "Შექმნა".
ნაბიჯი 3. Yandex.Key მობილური აპლიკაციის დაყენება და ანგარიშის დამატება.
ასე რომ, თქვენი სმარტფონიდან ან პლანშეტიდან გადადიხართ Google Play-ზე (Android-ისთვის) და App Store-ში (ვაშლის გაჯეტებისთვის). შემდეგი, ჩამოტვირთეთ და დააინსტალირეთ Yandex.Key აპი.
გახსენით აპლიკაცია და დააჭირეთ ღილაკს "ანგარიშის დამატება აპლიკაციაში".
ანგარიშის დამატება Yandex.Key მობილური აპლიკაციაში
ამის შემდეგ, თქვენ მოგიწევთ მობილური მოწყობილობის კამერა მონიტორის ეკრანზე მიმართოთ, სადაც იმ მომენტში გამოჩნდება QR კოდი. მიუთითეთ ამ კოდზე.
ასე რომ, დაუბრუნდით კომპიუტერს და დააჭირეთ ღილაკს "Შემდეგი ნაბიჯი".
ნაბიჯი 4. Yandex.Key მობილური აპლიკაციის პაროლის შეყვანა.
მობილურ აპლიკაციაში ახალი გასაღების განახლების მოლოდინში, შეიტანეთ იგი კომპიუტერში და დააჭირეთ ღილაკს "Ჩართვა".
ამის შემდეგ, თქვენ უნდა შეიყვანოთ ძველი პაროლი თქვენი Yandex ანგარიშისთვის და დააჭიროთ ღილაკს "დაადასტურე".
ორფაქტორიანი ავთენტიფიკაციის კავშირის დასრულება
Ყველაფერი მზადაა. თქვენ დაიცავით თქვენი ანგარიში ორფაქტორიანი ავთენტიფიკაციით. ახლა თქვენ უნდა ხელახლა შეხვიდეთ თქვენს ანგარიშში ყველა მოწყობილობაზე ერთჯერადი პაროლის ან QR კოდის გამოყენებით.
როგორ შეხვიდეთ თქვენს ანგარიშში Yandex.Key-ის გამოყენებით.
ყველაფერი უკიდურესად მარტივია. Yandex-ის მთავარ გვერდზე, შესვლისა და რეგისტრაციის პანელში დააწკაპუნეთ ელიფსის ხატულაზე (...) და მენიუში აირჩიეთ Ya.Klyuch.
ან, შეგიძლიათ გამოიყენოთ შესვლის ტრადიციული მეთოდი, თქვენი შესვლის (ფოსტის ყუთის მისამართი) და პაროლის (ერთჯერადი პაროლი Yandex.Key მობილური აპლიკაციისთვის) გამოყენებით.
როგორ დავაყენოთ პაროლი Yandex.Disk-ისთვის.
ორფაქტორიანი ავთენტიფიკაციის ჩართვით, შეგიძლიათ შექმნათ ცალკე პაროლები მესამე მხარის აპლიკაციებისთვის, რომლებიც დაკავშირებულია თქვენს ანგარიშთან. ეს მექანიზმი ავტომატურად ჩაირთვება დაკავშირების შემდეგ.
ამ გზით თქვენ გამოიყენებთ პაროლს, რომელიც მხოლოდ დისკისთვის არის შესაფერისი.
აპლიკაციებისთვის სხვადასხვა პაროლების გამოყენებით, თქვენ აძლიერებთ თქვენი მონაცემების დაცვის ზღვარს.
პაროლის შესაქმნელად, თქვენ უნდა გადახვიდეთ წვდომის კონტროლის გვერდზე, აირჩიოთ აპლიკაცია, შეიყვანოთ სახელი და დააჭიროთ ღილაკს "Შექმენი პაროლი".
პაროლი ავტომატურად გენერირებული იქნება და გამოჩნდება მხოლოდ ერთხელ. ამიტომ, დააკოპირეთ ეს პაროლი უსაფრთხო ადგილას. წინააღმდეგ შემთხვევაში, ეს პაროლი უნდა წაიშალოს და შეიქმნას ახალი.
ახლა, როდესაც აკავშირებთ Yandex.Disk-ს WebDAV პროტოკოლით, თქვენ გამოიყენებთ ამ პაროლს.
შენიშვნა: აპლიკაციის პაროლები უნდა იქნას გამოყენებული მაშინაც კი, თუ გამორთავთ ორფაქტორიანი ავთენტიფიკაციას. ეს დაგიცავთ თქვენი Yandex ანგარიშის მთავარი პაროლის გამოვლენისგან.
როგორ გამორთოთ ორფაქტორიანი ავთენტიფიკაცია.
ორფაქტორიანი ავთენტიფიკაციის გამორთვისთვის, თქვენ უნდა გადახვიდეთ წვდომის კონტროლის გვერდზე და დააჭიროთ შეცვლას (ჩართვა / გამორთვა).
შემდეგ შეიყვანეთ ერთჯერადი პაროლი Yandex.Key მობილური აპლიკაციიდან და დააჭირეთ ღილაკს "დაადასტურე".
ახალი პაროლის შექმნა Yandex ანგარიშისთვის
ახლა თქვენ გამოიყენებთ თქვენს მომხმარებლის სახელს და პაროლს თქვენს ანგარიშში შესასვლელად, როგორც ამას აკეთებდით ადრე.
მნიშვნელოვანია: როდესაც ავტორიზაცია გამორთულია, აპლიკაციებისთვის შექმნილი პაროლები აღდგება. ისინი ხელახლა უნდა შეიქმნას.
ახლა კი მე ვთავაზობ ვიდეო გაკვეთილის ყურებას, სადაც ნათლად ვაჩვენებ მთელ პროცედურას.
დღეისთვის სულ ესაა მეგობრებო. თუ თქვენ გაქვთ რაიმე შეკითხვები, სიამოვნებით ვუპასუხებ მათ კომენტარებში.
გისურვებთ წარმატებებს, შევხვდებით ახალ ვიდეო გაკვეთილებსა და სტატიებში.
პატივისცემით, მაქსიმ ზაიცევი.
იშვიათი პოსტი Yandex-ის ბლოგზე, განსაკუთრებით უსაფრთხოებასთან დაკავშირებული, ავტორიზაციის გარეშე. ჩვენ დიდი ხანია ვფიქრობთ, როგორ სწორად გავაძლიეროთ მომხმარებლის ანგარიშების დაცვა და თუნდაც ისე, რომ მათ შეძლონ მისი გამოყენება ყველა იმ უხერხულობის გარეშე, რაც მოიცავს დღეს ყველაზე გავრცელებულ განხორციელებას. და, სამწუხაროდ, ისინი არასასიამოვნოა. ზოგიერთი ცნობით, ბევრ დიდ საიტზე, მომხმარებელთა წილი, რომლებმაც ჩართოთ დამატებითი ავტორიზაციის ინსტრუმენტები, არ აღემატება 0,1%-ს.
როგორც ჩანს, ეს იმიტომ ხდება, რომ ორფაქტორიანი ავთენტიფიკაციის საერთო სქემა ძალიან რთული და მოუხერხებელია. ჩვენ შევეცადეთ შეგვექმნა მეთოდი, რომელიც უფრო მოსახერხებელი იქნებოდა დაცვის დონის დაკარგვის გარეშე და დღეს წარმოგიდგენთ მის ბეტა ვერსიას.
ვიმედოვნებთ, რომ ის უფრო ფართოდ გავრცელდება. ჩვენი მხრივ, ჩვენ მზად ვართ ვიმუშაოთ მის გაუმჯობესებაზე და შემდგომ სტანდარტიზაციაზე.
პასპორტში ორფაქტორიანი ავთენტიფიკაციის ჩართვის შემდეგ, თქვენ უნდა დააინსტალიროთ Yandex.Key აპლიკაცია App Store-ში ან Google Play-ში. QR კოდები გამოჩნდა ავტორიზაციის ფორმაში Yandex-ის მთავარ გვერდზე, ფოსტასა და პასპორტში. ანგარიშში შესასვლელად, თქვენ უნდა წაიკითხოთ QR კოდი აპლიკაციის საშუალებით - და ეს არის ის. თუ QR კოდის წაკითხვა შეუძლებელია, მაგალითად, სმარტფონის კამერა არ მუშაობს ან არ არის ინტერნეტთან წვდომა, აპლიკაცია შექმნის ერთჯერად პაროლს, რომელიც მოქმედებს მხოლოდ 30 წამის განმავლობაში.
მე გეტყვით, რატომ გადავწყვიტეთ არ გამოვიყენოთ ისეთი „სტანდარტული“ მექანიზმები, როგორიცაა RFC 6238 ან RFC 4226. როგორ მუშაობს ორფაქტორიანი ავთენტიფიკაციის ჩვეულებრივი სქემები? ისინი ორეტაპიანია. პირველი ეტაპი არის ჩვეულებრივი ავტორიზაცია მომხმარებლის სახელით და პაროლით. თუ ის წარმატებული იყო, საიტი ამოწმებს „მოწონს“ თუ არა მომხმარებლის ეს სესია. და, თუ "არ მოგწონთ", სთხოვს მომხმარებელს "ხელახლა ავთენტიფიკაცია". არსებობს „გადამოწმების“ ორი გავრცელებული მეთოდი: SMS-ის გაგზავნა ანგარიშთან დაკავშირებულ ტელეფონის ნომერზე და სმარტფონზე მეორე პაროლის გენერირება. ძირითადად მეორე პაროლის გენერირებისთვის გამოიყენება TOTP RFC 6238. თუ მომხმარებელმა სწორად შეიყვანა მეორე პაროლი, სესია ითვლება სრულად ავთენტიფიცირებულად, ხოლო თუ არა, მაშინ სესია ასევე კარგავს „წინასწარ“ ავთენტიფიკაციას.
ორივე მეთოდი - SMS-ის გაგზავნა და პაროლის გენერირება - ტელეფონის ფლობის დამადასტურებელია და, შესაბამისად, ხელმისაწვდომობის ფაქტორია. პირველ ეტაპზე შეყვანილი პაროლი არის ცოდნის ფაქტორი. ამრიგად, ავტორიზაციის ეს სქემა არა მხოლოდ ორეტაპიანი, არამედ ორფაქტორიანია.
რა აღმოვაჩინეთ პრობლემური ამ სქემაში?
დავიწყოთ იმით, რომ საშუალო მომხმარებლის კომპიუტერს ყოველთვის არ შეიძლება ეწოდოს უსაფრთხოების მოდელი: Windows განახლებების გამორთვა, ანტივირუსის პირატული ასლი თანამედროვე ხელმოწერების გარეშე და საეჭვო წარმოშობის პროგრამული უზრუნველყოფა - ეს ყველაფერი არ ზრდის დონეს. დაცვა. ჩვენი შეფასებით, მომხმარებლის კომპიუტერის კომპრომეტირება არის ანგარიშების „გატაცების“ ყველაზე გავრცელებული გზა (და ეს ცოტა ხნის წინ მოხდა) და პირველ რიგში გსურთ მისგან თავის დაცვა. ორეტაპიანი ავთენტიფიკაციის შემთხვევაში, თუ ვივარაუდებთ, რომ მომხმარებლის კომპიუტერი დაზიანებულია, მასზე პაროლის შეყვანა არღვევს თავად პაროლს, რაც პირველი ფაქტორია. ეს ნიშნავს, რომ თავდამსხმელს მხოლოდ მეორე ფაქტორის არჩევა სჭირდება. საერთო RFC 6238 განხორციელების შემთხვევაში, მეორე ფაქტორი არის 6 ათობითი ციფრი (და სპეციფიკაციის მაქსიმალური არის 8 ციფრი). OTP-ის უხეში ძალის კალკულატორის მიხედვით, სამ დღეში თავდამსხმელს შეუძლია აირჩიოს მეორე ფაქტორი, თუ როგორმე გაიგო პირველის შესახებ. გაურკვეველია, რა შეუძლია სერვისს დაუპირისპირდეს ამ შეტევას მომხმარებლის ნორმალური გამოცდილების შეფერხების გარეშე. მუშაობის ერთადერთი შესაძლო მტკიცებულება არის კაპჩა, რომელიც, ჩვენი აზრით, უკანასკნელი საშუალებაა.მეორე პრობლემა არის სერვისის მსჯელობის გაუმჭვირვალობა მომხმარებლის სესიის ხარისხთან დაკავშირებით და გადაწყვეტილება "up-authentification"-ის აუცილებლობის შესახებ. კიდევ უფრო უარესი, სამსახური არ არის დაინტერესებული ამ პროცესის გამჭვირვალობით, რადგან გაურკვევლობის უსაფრთხოება აქ რეალურად მუშაობს. თუ თავდამსხმელმა იცის, რას წყვეტს სერვისი სესიის ლეგიტიმურობის შესახებ, მას შეუძლია სცადოს ამ მონაცემების გაყალბება. ზოგადი მოსაზრებებიდან შეგვიძლია დავასკვნათ, რომ გადაწყვეტილება მიიღება მომხმარებლის ავთენტიფიკაციის ისტორიის საფუძველზე, IP მისამართის (და მისგან მიღებული ავტონომიური სისტემის ნომრის, რომელიც განსაზღვრავს პროვაიდერს და მდებარეობა გეობაზაზე დაფუძნებული) და ბრაუზერის მონაცემების გათვალისწინებით. , როგორიცაა მომხმარებლის აგენტის სათაური და ქუქიების ნაკრები, ფლეშ lso და html ლოკალური მეხსიერება. ეს ნიშნავს, რომ თუ თავდამსხმელი აკონტროლებს მომხმარებლის კომპიუტერს, მაშინ მას აქვს შესაძლებლობა არა მხოლოდ მოიპაროს ყველა საჭირო მონაცემი, არამედ გამოიყენოს მსხვერპლის IP მისამართი. უფრო მეტიც, თუ გადაწყვეტილება მიიღება ASN-ის საფუძველზე, მაშინ ნებისმიერმა ავთენტიფიკაციამ საჯარო Wi-Fi-დან ყავის მაღაზიაში შეიძლება გამოიწვიოს „მოწამვლა“ უსაფრთხოების თვალსაზრისით (და გათეთრება სერვისის თვალსაზრისით) ამ ყავის მაღაზიის მიმწოდებლისა და მაგალითად, ქალაქში ყველა ყავის მაღაზიის გათეთრება. ჩვენ ვისაუბრეთ ნამუშევარზე და მისი გამოყენებაც შეიძლებოდა, მაგრამ ავტორიზაციის პირველ და მეორე ეტაპებს შორის დრო შეიძლება არ იყოს საკმარისი ანომალიის შესახებ დარწმუნებული გადაწყვეტილების მისაღებად. გარდა ამისა, იგივე არგუმენტი ძირს უთხრის "სანდო" კომპიუტერების იდეას: თავდამსხმელს შეუძლია მოიპაროს ნებისმიერი ინფორმაცია, რომელიც გავლენას ახდენს ნდობის შეფასებაზე.
დაბოლოს, ორეტაპიანი გადამოწმება უბრალოდ მოუხერხებელია: ჩვენი გამოყენებადობის კვლევები აჩვენებს, რომ არაფერი აღიზიანებს მომხმარებლებს ისე, როგორც შუალედური ეკრანი, დამატებითი ღილაკების დაჭერა და სხვა „არამნიშვნელოვანი“ ქმედებები, მისი თვალსაზრისით.
ამის საფუძველზე, ჩვენ გადავწყვიტეთ, რომ ავტორიზაცია უნდა იყოს ერთსაფეხურიანი და პაროლის სივრცე გაცილებით დიდი უნდა იყოს, ვიდრე ეს შესაძლებელია "სუფთა" RFC 6238-ში.
ამავდროულად, გვინდოდა შენარჩუნებულიყო ორფაქტორიანი ავთენტიფიკაცია რაც შეიძლება.
ავთენტიფიკაციაში მრავალფაქტორულობა განისაზღვრება ავთენტიფიკაციის ელემენტების მინიჭებით (ფაქტობრივად, მათ უწოდებენ ფაქტორებს) სამი კატეგორიიდან ერთ-ერთს:
- ცოდნის ფაქტორები (ეს არის ტრადიციული პაროლები, პინის კოდები და ყველაფერი, რაც მათ ჰგავს);
- საკუთრების ფაქტორები (გამოყენებულ OTP სქემებში ეს ჩვეულებრივ სმარტფონია, მაგრამ ის ასევე შეიძლება იყოს ტექნიკის ნიშანი);
- ბიომეტრიული ფაქტორები (თითის ანაბეჭდი - ყველაზე გავრცელებული ახლა, თუმცა ვინმეს ემახსოვრება ეპიზოდი უესლი სნაიპსის გმირთან ფილმში "Demolition Man").
ჩვენი სისტემის განვითარება
როდესაც ჩვენ დავიწყეთ ორფაქტორიანი ავთენტიფიკაციის პრობლემასთან გამკლავება (კორპორატიული ვიკის პირველი გვერდები ამ საკითხთან დაკავშირებით 2012 წლით თარიღდება, მაგრამ მანამდე კულისებში იყო განხილული), პირველი იდეა იყო სტანდარტული ავთენტიფიკაციის მეთოდების მიღება და გამოყენება. ისინი აქ. ჩვენ გვესმოდა, რომ არ შეგვეძლო ჩვენი მილიონობით მომხმარებლის იმედი ვიქონიოთ ტექნიკის ჟეტონის შესაძენად, ამიტომ ეს ვარიანტი გადაიდო ზოგიერთი ეგზოტიკური შემთხვევისთვის (თუმცა სრულებით არ ვტოვებთ მას, შესაძლოა რაღაც საინტერესო მოვიფიქროთ). SMS მეთოდის მასობრივი წარმოებაც ვერ მოხერხდა: ეს არის ძალიან არასანდო მიწოდების მეთოდი (ყველაზე გადამწყვეტ მომენტში SMS შეიძლება დაგვიანდეს ან საერთოდ არ მიეწოდება), SMS-ის გაგზავნა კი ფული ღირს (და ოპერატორებმა დაიწყეს ფასის გაზრდა) . ჩვენ გადავწყვიტეთ, რომ SMS-ის გამოყენება ბანკებისა და სხვა არატექნოლოგიური კომპანიების ბევრია და გვინდა, რომ ჩვენს მომხმარებლებს შევთავაზოთ რაღაც უფრო მოსახერხებელი. ზოგადად არჩევანი მცირე იყო: მეორე ფაქტორად სმარტფონის და მასში არსებული პროგრამის გამოყენება.ერთსაფეხურიანი ავთენტიფიკაციის ეს ფორმა ფართოდაა გავრცელებული: მომხმარებელს ახსოვს პინის კოდი (პირველი ფაქტორი), აქვს აპარატურა ან პროგრამული უზრუნველყოფა (სმარტფონზე) ჟეტონი, რომელიც ქმნის OTP (მეორე ფაქტორი). პაროლის შეყვანის ველში ის შეაქვს პინის კოდს და მიმდინარე OTP მნიშვნელობას.
ჩვენი აზრით, ამ სქემის მთავარი მინუსი იგივეა, რაც ორეტაპიანი ავთენტიფიკაციის: თუ ვივარაუდებთ, რომ მომხმარებლის სამუშაო მაგიდა დაზიანებულია, მაშინ პინის კოდის ერთჯერადი ჩანაწერი იწვევს მის გამჟღავნებას და თავდამსხმელს მხოლოდ უნდა აირჩიეთ მეორე ფაქტორი.
ჩვენ გადავწყვიტეთ სხვა გზით წავსულიყავით: პაროლი მთლიანად გენერირდება საიდუმლოდან, მაგრამ საიდუმლოს მხოლოდ ნაწილი ინახება სმარტფონში და ის ნაწილი შეიყვანება მომხმარებლის მიერ პაროლის გენერირებისას. ამრიგად, სმარტფონი თავად არის საკუთრების ფაქტორი, ხოლო პაროლი მომხმარებლის თავში რჩება და ცოდნის ფაქტორია.
Nonce შეიძლება იყოს მრიცხველი ან მიმდინარე დრო. ჩვენ გადავწყვიტეთ ავირჩიოთ მიმდინარე დრო, ეს საშუალებას გვაძლევს არ შეგვეშინდეს დესინქრონიზაციისა იმ შემთხვევაში, თუ ვინმე ძალიან ბევრ პაროლს გამოიმუშავებს და გაზრდის მრიცხველს.
ამრიგად, ჩვენ გვაქვს პროგრამა სმარტფონისთვის, სადაც მომხმარებელი შეაქვს საიდუმლოს თავის ნაწილს, მას ურევენ შენახულ ნაწილს, შედეგი გამოიყენება როგორც HMAC გასაღები, რომელიც ხელს აწერს მიმდინარე დროს, დამრგვალებულია 30 წამამდე. HMAC გამომავალი გამოტანილია იკითხებადი ფორმით, და voila - აქ არის ერთჯერადი პაროლი!
როგორც უკვე აღვნიშნეთ, RFC 4226 გვთავაზობს HMAC შედეგის შეკვეცას მაქსიმუმ 8 ათობითი ციფრამდე. ჩვენ გადავწყვიტეთ, რომ ამ ზომის პაროლი არ არის შესაფერისი ერთსაფეხურიანი ავთენტიფიკაციისთვის და უნდა გაიზარდოს. ამავდროულად, ჩვენ გვინდოდა შეგვენარჩუნებინა გამოყენების სიმარტივე (რადგან, გახსოვდეთ, ჩვენ გვსურს შევქმნათ ისეთი სისტემა, რომელსაც გამოიყენებენ ჩვეულებრივი ადამიანები და არა მხოლოდ უსაფრთხოების გეიკები), ასე რომ, როგორც კომპრომისი სისტემის ამჟამინდელ ვერსიაში, ჩვენ აირჩია შეკვეცა ლათინური ანბანის 8 სიმბოლოზე. როგორც ჩანს, 30 წამის განმავლობაში მოქმედი 26 ^ 8 პაროლი საკმაოდ მისაღებია, მაგრამ თუ უსაფრთხოების ზღვარი არ ჯდება (ან Habré-ზე გამოჩნდება ღირებული რჩევები, თუ როგორ გავაუმჯობესოთ ეს სქემა), ჩვენ გავაფართოვებთ, მაგალითად, 10 სიმბოლომდე.
შეიტყვეთ მეტი ასეთი პაროლების სიძლიერის შესახებ
მართლაც, დიდი და პატარა ლათინური ასოებისთვის, ვარიანტების რაოდენობა სიმბოლოზე არის 26, დიდი და პატარა ლათინური ასოებისთვის პლუს რიცხვებისთვის, ვარიანტების რაოდენობაა 26+26+10=62. შემდეგ log 62 (26 10) ≈ 7.9, ანუ 10 შემთხვევითი პატარა ლათინური ასოების პაროლი თითქმის ისეთივე ძლიერია, როგორც 8 შემთხვევითი ზედა და ქვედა ლათინური ასოების ან რიცხვების პაროლი. ეს ნამდვილად საკმარისია 30 წამისთვის. თუ ვსაუბრობთ 8-სიმბოლოიან პაროლზე ლათინური ასოებიდან, მაშინ მისი სიძლიერეა log 62 (26 8) ≈ 6.3, ანუ ცოტა მეტი, ვიდრე 6-სიმბოლოიანი პაროლი დიდი, პატარა ასოებიდან და რიცხვებიდან. ჩვენ ვფიქრობთ, რომ ეს ჯერ კიდევ მისაღებია 30 წამიანი ფანჯრისთვის.მაგია, პაროლის უქონლობა, აპლიკაციები და შემდეგი ნაბიჯები
ზოგადად, შეგვეძლო იქ გაჩერება, მაგრამ გვინდოდა სისტემა კიდევ უფრო მოსახერხებელი გაგვეხადა. როცა ადამიანს ხელში სმარტფონი უჭირავს, კლავიატურიდან პაროლის შეყვანა არ უნდა!
ამიტომ დავიწყეთ მუშაობა „ჯადოსნურ შესვლაზე“. ავტორიზაციის ამ მეთოდით მომხმარებელი უშვებს აპს თავის სმარტფონზე, შეიყვანს მასში პინ-კოდს და სკანირებს QR კოდს კომპიუტერის ეკრანზე. თუ პინის კოდი სწორად არის შეყვანილი, ბრაუზერში გვერდი ხელახლა იტვირთება და მომხმარებლის ავტორიზაცია ხდება. მაგია!
Როგორ მუშაობს?
სესიის ნომერი იკერება QR კოდში და როდესაც აპლიკაცია მას სკანირებს, ეს ნომერი გადაეცემა სერვერს ჩვეული წესით გენერირებულ პაროლთან და მომხმარებლის სახელთან ერთად. ეს არ არის რთული, რადგან სმარტფონი თითქმის ყოველთვის ონლაინ რეჟიმშია. გვერდის განლაგებაში, სადაც ნაჩვენებია QR კოდი, მუშაობს JavaScript, რომელიც ელოდება სერვერის პასუხს ამ სესიით პაროლის შესამოწმებლად. თუ სერვერი უპასუხებს, რომ პაროლი სწორია, სესიის ქუქი-ფაილი დაყენებულია პასუხთან ერთად და მომხმარებელი ითვლება ავტორიზებულად.გაუმჯობესდა, მაგრამ აქ გადავწყვიტეთ არ გავჩერებულიყავით. iPhone 5S-ით დაწყებული, TouchID თითის ანაბეჭდის სკანერი გამოჩნდა Apple-ის ტელეფონებსა და ტაბლეტებში, ხოლო iOS 8 ვერსიაში ის ასევე ხელმისაწვდომია მესამე მხარის აპლიკაციებისთვის. სინამდვილეში, აპლიკაციას არ აქვს წვდომა თითის ანაბეჭდზე, მაგრამ თუ თითის ანაბეჭდი სწორია, მაშინ აპლიკაციისთვის ხელმისაწვდომი გახდება დამატებითი Keychain განყოფილება. ეს არის ის, რითაც ვისარგებლეთ. საიდუმლოს მეორე ნაწილი მოთავსებულია TouchID-ით დაცულ Keychain ჩანაწერში, რომელიც მომხმარებელმა შეიყვანა კლავიატურიდან წინა სცენარში. Keychain-ის განბლოკვისას საიდუმლოს ორი ნაწილი ერევა და შემდეგ პროცესი მუშაობს ისე, როგორც ზემოთ იყო აღწერილი.
მაგრამ ეს მომხმარებლისთვის წარმოუდგენლად მოსახერხებელი გახდა: ის ხსნის აპლიკაციას, დებს თითს, ასკანირებს QR კოდს ეკრანზე და ავთენტიფიცირებულია კომპიუტერის ბრაუზერში! ასე რომ, ჩვენ შევცვალეთ ცოდნის ფაქტორი ბიომეტრიულით და, მომხმარებლის თვალსაზრისით, სრულიად მიტოვებული პაროლები. დარწმუნებულები ვართ, რომ უბრალო ადამიანებს ეს სქემა ბევრად უფრო მოსახერხებელი აღმოაჩენთ, ვიდრე ორი პაროლის ხელით შეყვანა.
სადავოა, რამდენად ტექნიკურად არის ორფაქტორიანი ავთენტიფიკაცია, მაგრამ სინამდვილეში, თქვენ ჯერ კიდევ გჭირდებათ ტელეფონი და გქონდეთ მოქმედი თითის ანაბეჭდი, რომ წარმატებით გაიაროთ იგი, ასე რომ, ვფიქრობთ, ჩვენ საკმაოდ კარგად მოვიშორეთ ცოდნის ფაქტორი და ჩავანაცვლეთ იგი. ბიომეტრიით. ჩვენ გვესმის, რომ ჩვენ ვეყრდნობით ARM TrustZone უსაფრთხოებას, რომელიც საფუძვლად უდევს iOS უსაფრთხო ანკლავს და გვჯერა, რომ ეს ქვესისტემა ამ დროისთვის შეიძლება ჩაითვალოს სანდოად ჩვენს საფრთხის მოდელში. რა თქმა უნდა, ჩვენ ვიცით ბიომეტრიული ავთენტიფიკაციის პრობლემები: თითის ანაბეჭდი არ არის პაროლი და არ შეიძლება შეიცვალოს, თუ დაზიანებულია. მაგრამ, მეორე მხრივ, ყველამ იცის, რომ უსაფრთხოება უკუპროპორციულია მოხერხებულობისა და მომხმარებელს თავად აქვს უფლება აირჩიოს ერთისა და მეორის მისთვის მისაღები თანაფარდობა.
შეგახსენებთ, რომ ეს ჯერ კიდევ ბეტა რეჟიმშია. ახლა, როდესაც ჩართავთ ორფაქტორიან ავთენტიფიკაციას, ჩვენ დროებით ვთიშავთ პაროლის სინქრონიზაციას Yandex.Browser-ში. ეს არის იმის გამო, თუ როგორ არის მოწყობილი პაროლის მონაცემთა ბაზის დაშიფვრა. ჩვენ უკვე ვიპოვით მოსახერხებელ გზას ბრაუზერის ავთენტიფიკაციისთვის 2FA-ს შემთხვევაში. Yandex-ის ყველა სხვა ფუნქცია მუშაობს ისე, როგორც ადრე.
აი რა მივიღეთ. როგორც ჩანს, კარგად გამოვიდა, მაგრამ შენ იყავი მოსამართლე. მოხარული ვიქნებით მოვისმინოთ გამოხმაურება და რეკომენდაციები და ჩვენ თვითონ გავაგრძელებთ მუშაობას ჩვენი სერვისების უსაფრთხოების გაუმჯობესებაზე: ახლა, ყველაფერთან ერთად, გვაქვს ორფაქტორიანი ავთენტიფიკაცია. გაითვალისწინეთ, რომ ავტორიზაციის სერვისები და OTP თაობის აპლიკაციები გადამწყვეტია და, შესაბამისად, მათში აღმოჩენილი შეცდომები ორჯერ იხდიან ბონუსად Bug Bounty პროგრამის ფარგლებში.
ტეგები:
- უსაფრთხოება
- ავთენტიფიკაცია
- 2FA
