Yandex a lansat o aplicație care vă permite să nu vă amintiți parole complexe și s-a alăturat cursei pentru securitate
La marcaje
Yandex a lansat un mecanism de autentificare cu doi factori și o nouă aplicație Yandex.Key care generează un cod de acces la un cont Yandex pe un dispozitiv mobil. Acest lucru vă va împiedica să vă amintiți o parolă complicată din motive de securitate. TJ a fost informat despre acest lucru de către reprezentanții companiei.
La curent: la două ore după anunțul de la Yandex, introducerea autentificării cu doi factori a fost raportată în Grupul Mail.Ru.
„Yandex.Key” vă permite să nu vă amintiți parolele complexe
Pentru a utiliza Yandex.Key, trebuie să găsiți și să vă amintiți un cod PIN din patru cifre. Parolele temporare care vor fi folosite pentru a vă conecta la contul Yandex vor fi trimise pe dispozitivul dvs. mobil și vor fi valabile timp de 30 de secunde.
Cu toate acestea, vă puteți autentifica fără a introduce o parolă unică. Codurile QR au apărut în formularul de autorizare de pe Yandex: ele pot fi citite folosind o cameră a smartphone-ului prin Yandex.Key. Utilizatorii dispozitivelor mobile Apple nu trebuie să-și amintească codul PIN: pentru ei, accesul la aplicație este posibil printr-o citire a amprentei folosind senzorul Touch ID.
Cei doi factori de autentificare în acest caz sunt un cod PIN (sau amprentă), pe care doar utilizatorul o are și cunoașterea conexiunii dintre contul Yandex și dispozitivul mobil cu Yandex.Key - este stocat pe serverele companiei. Codurile secrete sunt generate simultan folosind atât PIN-ul, cât și „secretul” de pe serverele Yandex. Compania a mai explicat că procedura de autentificare este într-un singur pas: autentificarea necesită o singură acțiune (introducerea unui cod unic sau scanarea unui cod QR).
Am nevoie de mai multă securitate
Aceasta nu este prima apariție a autentificării cu doi factori în Yandex. Înainte de aceasta, a fost folosit în Yandex.Money și în serviciile interne ale companiei, a spus Yandex pentru TJ.
Reprezentanții companiei spun că procedura lor de autentificare în doi factori este mai fiabilă, deoarece parolele temporare sunt generate din litere, și nu din cifre, așa cum este cazul concurenților. În plus, utilizatorul nu trebuie să-și introducă mai întâi autentificarea și parola: el este autorizat folosind doar autentificarea și un cod QR sau o parolă temporară.
De obicei, cu autentificarea cu doi factori, utilizatorului i se cere să se conecteze la un cont cu numele de utilizator și parola și apoi să-și confirme identitatea - să zicem, folosind SMS-uri. Ne este și mai ușor. Este suficient să activați autentificarea cu doi factori în „Pașaport” și să instalați aplicația Yandex.Key. Codurile QR au apărut în formularul de autorizare de pe pagina principală a Yandex, în Mail și Passport. Pentru a intra în cont, utilizatorul trebuie să citească codul QR prin aplicație - și atât.
Vladimir Ivanov, șef adjunct al Departamentului de operațiuni Yandex
Dacă utilizatorul își uită simultan PIN-ul și pierde accesul la cartela SIM conectată la cont, va avea în continuare posibilitatea de a-și restabili contul. Pentru a face acest lucru, va trebui să treacă printr-o procedură standard: să completeze un chestionar și să discute cu serviciul de asistență, au explicat ei în Yandex.
Utilizatorii care au activată autentificarea cu doi factori sunt de obicei mai atenți la astfel de lucruri - de exemplu, își indică numele și prenumele real, prin care accesul poate fi restabilit folosind un document de identitate. Și din aplicația Yandex.Key, puteți deschide un formular special de recuperare a accesului - în cazul în care smartphone-ul a fost furat pentru a obține acces, există un nivel secret de protecție.
serviciul de presă al „Yandex”
Procedura de autentificare cu doi factori a fost lansată ca versiune beta. Compania a spus că participă la programul de recompense pentru erori - puteți obține un premiu în numerar pentru găsirea vulnerabilităților: judecând după anunț, acesta variază de la 5,5 la 170 de mii de ruble.
„Uciderea” în masă a parolelor
Utilizatorii nu doresc să-și amintească parole complexe și, în general, nu folosesc autentificarea cu doi factori, considerând-o prea complicată. Statisticile arată că cele mai populare parole din 2014 sunt încă „123456”, „parolă” și „qwerty”.
Yandex a decis să folosească coduri QR și Touch ID după ce a analizat diverse studii care au arătat că de la 0,02% la 1% din audiența diferitelor servicii utilizează procedura standard de autentificare cu doi factori.
Yandex nu este prima companie care se alătură cursei pentru îmbunătățirea securității utilizatorilor și, în același timp, refuză să-și amintească parolele complexe. În octombrie, Twitter similar cu platforma „Yandex.Key” numită Digits, poziționând-o drept „ucigaș de parole”.
Cu ajutorul Digits, utilizatorii se vor putea autentifica la mai multe servicii deodată: la început, Twitter a anunțat un parteneriat cu trackerul de fitness FitStar, serviciul de rezervare restaurant Resy și aplicația OneFootball pentru fanii sportului. Platforma Digits este, de asemenea, integrată în noua suită Twitter Fabric Developer.
Yandex a spus lui TJ că vor deschide posibilitatea de a se conecta la alte aplicații folosind Yandex.Key - apariția sa este planificată în următoarele actualizări ale programului
La fel ca majoritatea serviciilor, Digits folosește un telefon mobil pentru înregistrare și verificare, trimițând un cod prin SMS sau printr-un contact din interiorul messengerului. Această metodă este folosită, de exemplu, în mesajele WhatsApp și Telegram.
Aplicația mobilă Facebook are de mult timp propriul serviciu Code Generator, care vă permite să vă conectați folosind coduri temporare. Cu Google, puteți activa autentificarea în doi factori pentru contul dvs. și puteți utiliza aplicația Google Authentificator, care vă oferă acces prin codul QR sau prin introducerea unui cod de securitate. După scandalul cu scurgerea de fotografii personale ale vedetelor din Apple, de asemenea, securitatea utilizatorilor iCloud.
Funcționalitate similară cu Google în iunie și în VKontakte, totuși, rețeaua de socializare a spus că astfel de măsuri de securitate pentru majoritatea utilizatorilor sunt inutile. Nu există o autentificare în doi pași în serviciul de e-mail Mail.Ru.
Actualizat la 15:34: La câteva ore după anunțul de la Yandex, portalul Mail.Ru a lansat autentificarea cu doi factori pentru Mail, Cloud, Calendar, Game Center și alte proiecte, au declarat reprezentanții companiei pentru TJ. Pentru a intra, utilizatorul trebuie să-și folosească parola și codul primit prin SMS pe telefonul său mobil.
Compania a subliniat că testarea beta închisă a autentificării cu doi factori a început la sfârșitul lunii decembrie, cu sprijinul comunității Habrahabra.
Serviciile de internet pot crește nivelul de securitate pe termen nelimitat, cu toate acestea, „veriga slabă” este adesea siguranța parolei utilizatorului. Dacă al doilea factor de protecție este activat, atunci pentru a intra în cont, atacatorul va trebui să ia în posesia nu numai parola, ci și telefonul mobil al victimei, ceea ce este mult mai dificil.
Ni s-a cerut să implementăm această caracteristică în principal de către utilizatori avansați, dar sper cu adevărat că va deveni populară în rândul unui public mai larg.
Anna Artamonova, Vicepreședinte al Grupului Mail.Ru
Yandex a lansat un sistem de autorizare cu doi factori și a lansat aplicația Yandex.Key pentru a vă conecta la un cont fără a fi nevoie să vă amintiți și să introduceți o parolă complexă. Aplicația este deja disponibilă pe Android și iOS și poate fi securizată cu un scaner de amprente pe modelele mai noi de iPhone.
Există mai multe modalități de a vă conecta la contul dvs. prin Yandex.Key, dar mai întâi trebuie să mergeți la pagina de setări yandex.ru/promo/2fa și să activați autentificarea cu doi factori.
Confirmați numărul de telefon cu codul primit prin SMS.
Instalați aplicația Yandex.Key pe smartphone sau tabletă.
Lansați aplicația și scanați codul QR pe site-ul Yandex. Dacă dispozitivul mobil nu are cameră, faceți clic pe „Afișați cheia secretă” și introduceți caracterele afișate în aplicație.
Gândiți-vă la un PIN și introduceți-l pe site sau aplicație.
Introduceți parola unică generată de aplicație pe site. Această parolă este valabilă doar 30 de secunde și apoi apare una nouă. La sfârșitul configurării, va trebui să introduceți din nou parola permanentă pentru cont.
Acești pași trebuie efectuati o singură dată. După activarea autorizației cu doi factori, va trebui să reautorizați pe site-urile Yandex pe toate dispozitivele. Puteți crea parole separate pentru a accesa aplicațiile.
Acum va apărea un buton cu o pictogramă de cod QR pe pagina de conectare a contului Yandex.
Vă voi arăta cum să configurați autentificarea cu doi factori în Yandex, acest lucru vă va ajuta să vă protejați contul Yandex de hacking.
Accesați gestionarea parolelor la passport.yandex.ru/profile/access. Aici vă puteți schimba parola sau puteți activa o protecție suplimentară pentru contul dvs. - autentificare cu doi factori. Faceți clic pe glisorul pentru autentificarea în doi factori pentru ao activa.
Autentificarea cu doi factori este conectată în mai mulți pași. Va trebui să deschideți Yandex.Passport și aplicația mobilă Yandex.Key în paralel. După finalizarea configurării, trebuie să vă conectați din nou pe toate dispozitivele.
Faceți clic pe porniți configurarea.
Iată numărul dvs. de telefon la care vor fi trimise codurile pentru configurare. Aici puteți schimba și numărul de telefon asociat contului dvs. Yandex.
Configurarea autentificării cu doi factori. Pasul 1 din 5.
Verifică-ți numărul de telefon. Acesta este numărul tău principal pe Yandex. Veți avea nevoie de el dacă pierdeți accesul la contul dvs. Faceți clic pe obține codul.
Un cod SMS de la Yandex va fi trimis la numărul dvs.
Introduceți codul SMS de la Yandex aici și faceți clic pe confirmare.
Configurarea autentificării cu doi factori. Pasul 2 din 5.
Descărcați aplicația Yandex.Key. Acum mergem la AppStore de pe iPhone sau iPad sau Play Store de pe smartphone-ul sau tableta Android și căutăm aplicația Yandex.Key. Sau faceți clic pentru a obține un link către telefon.
Se va deschide App Store sau Play Market, faceți clic pe descărcare pentru a descărca aplicația Yandex.Key și a o instala pe smartphone sau tabletă.
Dacă trebuie să introduceți parola ID-ului Apple, atunci introduceți parola ID-ului Apple.
După 30 de secunde, aplicația va fi descărcată pe smartphone-ul tău, lansează-o făcând clic pe ea.
Configurarea autentificării cu doi factori. Pasul 3 din 5.
Îndreptați camera telefonului către codul QR și contul dvs. va fi adăugat automat în aplicație. Dacă citirea codului eșuează, încercați din nou sau introduceți cheia secretă.
Să revenim la smartphone.
Aplicația Yandex.Key creează parole unice pentru autentificarea la Yandex. dacă ați început deja să configurați autentificarea cu doi factori pe computer, apoi faceți clic pe butonul „adăugați un cont în aplicație”.
Faceți clic pentru a adăuga un cont la aplicație.
Programul „Key” solicită accesul la „camera”. Faceți clic pe Permite pentru a acorda aplicației acces la camera de pe smartphone-ul dvs. pentru a scana codul QR de pe ecranul monitorului computerului.
Îndreptați camera către codul QR afișat pe monitorul computerului și așteptați ca contul să fie adăugat sau adăugați-l manual.
Gata. Cod QR scanat. Aplicația Yandex.Key este gata de funcționare.
Acum să trecem la monitorul computerului.
Faceți clic pe Creare PIN.
Este necesar un cod PIN de fiecare dată când primiți o parolă unică în Yandex.Key, precum și pentru a restabili accesul la contul dvs. Păstrați codul PIN privat. Angajații serviciului Yandex nu-l întreabă niciodată.
Venim cu un cod PIN din patru cifre și facem clic pe Continuare.
Configurarea autentificării cu doi factori. Pasul 4 din 5.
Verificarea codului PIN. Asigurați-vă că vă amintiți codul PIN. Odată ce setarea este finalizată, aceasta nu poate fi modificată. Dacă introduceți codul PIN greșit în aplicație, atunci aceasta va genera parole unice incorecte.
Introduceți codul PIN pe care l-ați creat mai devreme și faceți clic pe Verificare.
Revenim la smartphone și la aplicația Yandex.Key. Introduceți codul PIN pentru a primi o parolă unică.
După introducerea codului pin, veți primi o parolă unică care va fi valabilă 20 de secunde, în aceste 20 de secunde trebuie să o introduceți pe computer în setarea de autentificare cu doi factori. Dacă nu aveți timp să introduceți parola în 20 de secunde, aceasta se va schimba cu alta și așa mai departe. Introduceți parola care va fi afișată pe ecranul smartphone-ului dvs.
Ultimul pas. Introduceți parola din Yandex.Key.
Utilizați codul PIN pentru a obține o parolă unică în aplicație. Asigurați-vă că vă amintiți codul PIN, după finalizarea configurării, nu îl veți putea schimba.
Ce se va schimba după activarea autentificării cu doi factori:
- Vechea parolă nu va mai funcționa.
- Va trebui să vă conectați din nou la Yandex pe toate dispozitivele (servicii web și aplicații mobile).
- Va fi posibil să accesați serviciile web Yandex folosind un cod QR fără a introduce o parolă. Dacă nu puteți citi codul, utilizați parola unică de la Yandex.Key.
- Veți accesa aplicațiile mobile Yandex folosind o parolă unică. Poate fi copiat de pe Yandex.Key prin apăsare lungă.
- Pentru alte programe asociate contului dvs. (de exemplu, clienți de e-mail sau colectori de corespondență), obțineți parole pentru aplicații în Passport.
Introduceți parola unică care este afișată pe ecranul smartphone-ului dvs. și faceți clic pe finalizare configurare.
Acum, după ce ați introdus parola unică, trebuie să introduceți parola veche a contului. Yandex trebuie să se asigure că proprietarul contului este cel care face o schimbare atât de importantă în setările de securitate.
Introduceți vechea parolă din contul Yandex și faceți clic pe OK.
Gata. Autentificare cu doi factori finalizată. V-ați protejat contul cu parole unice. Acum trebuie să vă conectați din nou la Yandex pe toate dispozitivele. Dacă utilizați programe de e-mail, de exemplu, nu uitați să obțineți parole de aplicație pentru acestea.
Faceți clic pe închidere.
Acum, dacă utilizați cutia poștală a contului Yandex pe smartphone, trebuie să creați o parolă pentru aceasta.
Selectați tipul de aplicație > Program de e-mail.
Și alegeți sistemul de operare al programului dvs. de e-mail. Folosesc un iPhone, așa că aleg iOS.
Și faceți clic pe Creare parolă pentru a crea o parolă pentru programul de e-mail de pe smartphone.
Parola dvs. de e-mail iOS a fost generată.
Cum se utilizează parola:
- Pentru a oferi aplicației acces la datele dvs., specificați această parolă în setările acesteia.
- Nu trebuie să vă amintiți parola: veți avea nevoie de ea o singură dată. Când vă schimbați parola pe Yandex, va trebui să obțineți o nouă parolă pentru aplicație.
- Parola aplicației este afișată o singură dată. Dacă închideți pagina și nu aveți timp să o utilizați, obțineți una nouă.
Introducem parola care este afișată pe monitorul computerului în aplicația mobilă Yandex mail de pe smartphone.
Gata. Autentificarea cu doi factori Yandex funcționează, puteți trăi mai departe.
Acum, dacă vă deconectați de la contul Yandex și vă introduceți din nou numele de utilizator și parola, vă vor scrie:
Perechea de conectare-parolă greșită! Eroare la autentificare. Este posibil să aveți selectat un alt aspect al tastaturii sau să fie apăsată tasta Caps Lock. Dacă utilizați autentificarea cu doi factori, asigurați-vă că introduceți o parolă unică din aplicația Yandex.Key în loc de cea obișnuită. Încercați să vă conectați din nou.
Acum trebuie să deschideți aplicația Yandex.Key, să introduceți codul PIN și să îndreptați camera smartphone-ului către codul QR. Vă veți conecta automat la contul Yandex după ce smartphone-ul citește codul QR de pe ecranul monitorului.
Alte intrări privind securitatea și verificarea în doi pași:
Salutare dragi prieteni. Astăzi vă voi spune cum să configurați autentificarea cu doi factori pentru contul Yandex și să setați o parolă pentru Yandex.Disk. Acest lucru va proteja contul principal și va îmbunătăți securitatea aplicațiilor individuale Yandex.
Protejarea datelor cu caracter personal este cea mai mare problemă de pe Internet. Utilizatorii neglijează adesea regulile de securitate. Ei creează parole simple și identice pentru diferite resurse de Internet, le stochează în cutii electronice, parole din care sunt folosite și pe alte resurse. Acestea sunt doar câteva dintre greșelile comune.
Dacă un atacator obține acces la unul dintre conturi, alte resurse ale utilizatorilor vor fi, de asemenea, în pericol. Și dacă luăm în considerare faptul că virușii sunt capabili să-și amintească parolele introduse de la tastatură, atunci situația va părea și mai tristă. De aceea, fiecare utilizator de internet trebuie să respecte reguli elementare de securitate:
- Creați parole complexe.
- Nu utilizați aceleași parole pentru diferite resurse de Internet.
- Schimbați parolele în mod regulat.
Și, de asemenea, utilizați metode suplimentare de protecție. Una dintre aceste metode este autentificarea în doi factori a unui cont Yandex.
Cum funcționează autentificarea cu doi factori?
După cum știți, accesul la o zonă restricționată, cum ar fi e-mailul, panoul de administrare al site-ului, conturile de rețele sociale, necesită un nume de utilizator și o parolă. Dar acesta este doar un nivel de protecție. Pentru a spori protecția, multe servicii introduc metode suplimentare de autentificare, cum ar fi confirmarea prin sms, cheile usb, aplicațiile mobile.
Ți-am spus deja despre. Unde, pe lângă login și parolă, aplicația mobilă generează un cod de securitate. Deci, autentificarea cu doi factori Yandex funcționează în același mod.
Adică, un nivel suplimentar de protecție este aplicația mobilă Yandex.Key, care anulează vechea parolă a contului Yandex și generează o nouă parolă unică la fiecare 30 de secunde.
Cu acest nivel de protecție, accesul la cont este posibil doar cu o parolă unică sau un cod QR.
Este suficient să faceți anumite setări și, în viitor, îndreptați camera smartphone-ului către codul QR și obțineți acces la contul Yandex.
Iar dacă nu poți folosi camera smartphone-ului tău sau nu ai acces la internet, poți oricând să folosești parola unică care este generată în aplicația mobilă chiar și fără internet.
Securitatea aplicației mobile Yandex.Key în sine este asigurată de codul PIN pe care îl creați atunci când vă conectați contul la aplicație.
Ei bine, dacă aveți un smartphone sau o tabletă Apple, puteți utiliza Touch ID în loc de un cod PIN.
Astfel, accesul la datele dumneavoastră va fi închis mai sigur.
Configurarea autentificării cu doi factori.
Pentru a începe, pe pagina principală Yandex, conectați-vă la contul dvs. în mod tradițional. Apoi faceți clic pe numele contului dvs. (numele căsuței poștale) și selectați "Pasaportul".
Pe pagina nou deschisă, faceți clic pe comutatorul grafic, vizavi „Autentificare cu doi factori”, apoi pe butonul „Începe configurarea”.
Procedura de configurare în sine constă din 4 pași care vor trebui parcurși pe un computer și pe un dispozitiv mobil.
Pasul 1: verificați numărul dvs. de telefon.
Dacă ați conectat anterior un număr de telefon la contul Yandex, puteți primi imediat un cod de confirmare. Dacă nu, atunci introduceți numărul de telefon și apăsați butonul „Pentru a obține codul”.
Codul va fi trimis la numărul specificat. Trebuie să îl introduceți într-un câmp special și să faceți clic pe butonul "A confirma".
Pasul 2. Codul PIN pentru aplicația mobilă.
La acest pas, trebuie să veniți și să introduceți un cod PIN pentru aplicația mobilă de două ori. Acesta este codul care va deschide accesul la aplicație de pe un smartphone sau tabletă.
Introduceți codul și faceți clic pe butonul "Crea".
Pasul 3. Instalarea aplicației mobile Yandex.Key și adăugarea unui cont.
Deci, de pe smartphone sau tabletă, accesați Google Play (pentru Android) și App Store (pentru gadget-uri Apple). Apoi, descărcați și instalați aplicația Yandex.Key.
Deschideți aplicația și faceți clic pe butonul „Adăugați un cont în aplicație”.
Adăugarea unui cont la aplicația mobilă Yandex.Key
După aceea, va trebui să îndreptați camera dispozitivului mobil spre ecranul monitorului, unde în acel moment veți avea afișat un cod QR. Indicați acest cod.
Deci, reveniți la computer și faceți clic pe butonul "Urmatorul pas".
Pasul 4. Introducerea parolei pentru aplicația mobilă Yandex.Key.
După ce așteptați o nouă actualizare a cheii în aplicația mobilă, introduceți-o pe computer și apăsați butonul "Porniți".
După aceea, va trebui să introduceți vechea parolă pentru contul Yandex și să faceți clic pe butonul "A confirma".
Finalizarea conexiunii de autentificare cu doi factori
Totul este gata. V-ați asigurat contul cu autentificare în doi factori. Acum trebuie să vă reconectați la contul dvs. pe toate dispozitivele folosind o parolă unică sau un cod QR.
Cum să vă conectați la contul dvs. utilizând Yandex.Key.
Totul este extrem de simplu. Pe pagina principală a Yandex, în panoul de conectare și înregistrare, faceți clic pe pictograma puncte suspensie (...) și selectați Ya.Klyuch în meniu.
Sau, puteți utiliza metoda tradițională de conectare, folosind o autentificare (adresa căsuței poștale) și o parolă (parolă unică pentru aplicația mobilă Yandex.Key).
Cum să setați o parolă pentru Yandex.Disk.
Prin activarea autentificării cu doi factori, puteți crea parole separate pentru aplicațiile terțe care se conectează la contul dvs. Acest mecanism se pornește automat după conectare.
În acest fel, veți folosi o parolă care este potrivită doar pentru unitate.
Folosind parole diferite pentru aplicații, întăriți frontiera protejării datelor dumneavoastră.
Pentru a crea o parolă, trebuie să accesați pagina de control acces, să selectați o aplicație, să introduceți un nume și să faceți clic pe butonul "Crează o parolă".
Parola va fi generată automat și afișată o singură dată. Prin urmare, copiați această parolă într-un loc sigur. În caz contrar, această parolă va trebui ștearsă și creată una nouă.
Acum, când vă conectați Yandex.Disk prin protocolul WebDAV, veți folosi această parolă.
Notă: Parolele pentru aplicații ar trebui folosite chiar dacă dezactivați autentificarea cu doi factori. Acest lucru vă va proteja de dezvăluirea parolei principale în contul Yandex.
Cum să dezactivați autentificarea cu doi factori.
Pentru a dezactiva autentificarea cu doi factori, trebuie să accesați pagina de control al accesului și să faceți clic pe comutator (Pornit / Oprit).
Apoi introduceți o parolă unică din aplicația mobilă Yandex.Key și apăsați butonul "A confirma".
Crearea unei noi parole pentru contul Yandex
Acum veți folosi numele de utilizator și parola pentru a vă conecta la cont, așa cum ați făcut înainte.
Important: când autentificarea este dezactivată, parolele create pentru aplicații sunt resetate. Ele trebuie recreate.
Și acum îmi propun să urmăresc tutorialul video, unde vă arăt clar întreaga procedură.
Asta e tot pentru azi, prieteni. Dacă aveți întrebări, vă voi răspunde cu plăcere în comentarii.
Vă doresc succes, ne vedem în noi tutoriale video și articole.
Cu stimă, Maxim Zaitsev.
O postare rară pe blogul Yandex, și mai ales una legată de securitate, a făcut fără autentificare. Ne gândim de multă vreme cum să întărim în mod corespunzător protecția conturilor de utilizator și chiar și astfel încât aceștia să o poată folosi fără toate inconvenientele care includ cele mai comune implementări în prezent. Și, din păcate, sunt incomozi. Potrivit unor rapoarte, pe multe site-uri mari, proporția utilizatorilor care au activat instrumente suplimentare de autentificare nu depășește 0,1%.
Acest lucru pare să se datoreze faptului că schema comună de autentificare cu doi factori este prea complicată și incomodă. Am încercat să venim cu o metodă care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi vă prezentăm versiunea beta.
Sperăm să se răspândească mai mult. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.
După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. Codurile QR au apărut în formularul de autorizare de pe pagina principală a Yandex, în Mail și Passport. Pentru a intra în cont, trebuie să citiți codul QR prin aplicație - și atât. Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.
Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea obișnuită cu un nume de utilizator și o parolă. Dacă a avut succes, site-ul verifică dacă „i place” sau nu această sesiune de utilizator. Și, dacă „nu vă place”, cere utilizatorului să se „re-autentifice”. Există două metode comune de „do-authentication”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe smartphone. Practic, TOTP conform RFC 6238 este folosit pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea pierde și autentificarea „preliminară”.
Ambele metode ─ trimiterea unui SMS și generarea unei parole ─ sunt dovada deținerii telefonului și, prin urmare, sunt un factor de disponibilitate. Parola introdusă în prima etapă este factorul de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în două etape, ci și cu doi factori.
Ce ni s-a părut problematic în această schemă?
Să începem cu faptul că computerul unui utilizator obișnuit nu poate fi numit întotdeauna un model de securitate: dezactivarea actualizărilor Windows, o copie piratată a unui antivirus fără semnături moderne și software de origine îndoielnică ─ toate acestea nu măresc nivelul de protecţie. Conform evaluării noastre, compromiterea computerului unui utilizator este cea mai răspândită modalitate de a „deturna” conturi (și s-a întâmplat recent) și doriți să vă protejați de aceasta în primul rând. În cazul autentificării în doi pași, presupunând că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie să aleagă doar al doilea factor. În cazul implementărilor comune RFC 6238, al doilea factor este de 6 cifre zecimale (iar specificația maximă este de 8 cifre). Potrivit calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să înțeleagă al doilea factor dacă a luat cumva cunoștință de primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.A doua problemă este opacitatea judecății serviciului cu privire la calitatea sesiunii utilizator și decizia privind necesitatea „up-authentication”. Și mai rău, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă un atacator știe ce decide serviciul cu privire la legitimitatea sesiunii, el poate încerca să falsifice aceste date. Din considerente generale, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, luând în considerare adresa IP (și derivat din aceasta numărul de sistem autonom care identifică furnizorul, precum și locația pe baza geobazei) și datele browserului. , cum ar fi antetul User Agent și un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul utilizatorului, atunci acesta are posibilitatea nu numai să fure toate datele necesare, ci și să folosească adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi public dintr-o cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirea în ceea ce privește serviciul) furnizorul acestei cafenele și , de exemplu, văruind toate cafenelele din oraș . Am vorbit despre lucrare și ar putea fi aplicată, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru o judecată încrezătoare despre anomalie. În plus, același argument subminează ideea de computere „de încredere”: un atacator poate fura orice informație care afectează judecata de încredere.
În sfârșit, verificarea în doi pași este pur și simplu incomod: studiile noastre de utilizare arată că nimic nu irită mai mult utilizatorii decât un ecran intermediar, apăsări suplimentare de butoane și alte acțiuni „neimportante”, din punctul său de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei ar trebui să fie mult mai mare decât ceea ce este posibil în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.
Multifactorialitatea în autentificare este determinată prin atribuirea elementelor de autentificare (de fapt, se numesc factori) uneia dintre cele trei categorii:
- Factori de cunoaștere (acestea sunt parolele tradiționale, codurile pin și tot ce seamănă cu ele);
- Factori de proprietate (în schemele OTP utilizate, acesta este de obicei un smartphone, dar poate fi și un token hardware);
- Factori biometrici (amprenta ─ cea mai frecventă acum, deși cineva își va aminti episodul cu eroul lui Wesley Snipes din filmul Demolition Man).
Dezvoltarea sistemului nostru
Când am început să ne ocupăm de problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a mai discutat în culise), prima idee a fost să luăm metode standard de autentificare și să aplicăm ei aici. Am înțeles că nu ne putem baza pe milioane de utilizatori pentru a cumpăra un token hardware, așa că această opțiune a fost amânată pentru unele cazuri exotice (deși nu o renunțăm complet, s-ar putea să reușim să venim cu ceva interesant). Nici metoda SMS nu a putut fi produsă în serie: aceasta este o metodă de livrare foarte nesigură (în cel mai important moment, SMS-urile pot fi întârziate sau să nu fie livrate deloc), iar trimiterea SMS-urilor costă bani (iar operatorii au început să-și mărească prețul) . Am decis că folosirea SMS-urilor este o mulțime de bănci și alte companii non-tehnologice și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea a fost mică: să folosești un smartphone și programul din el ca al doilea factor.Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul pin (primul factor), are un token hardware sau software (pe un smartphone) care generează OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.
În opinia noastră, principalul dezavantaj al acestei scheme este același cu cel al autentificării în doi pași: dacă presupunem că desktopul utilizatorului este compromis, atunci o singură introducere a codului PIN duce la dezvăluirea acestuia, iar atacatorul trebuie doar să alege al doilea factor.
Am decis să mergem în altă direcție: parola este generată în întregime din secret, dar doar o parte din secret este stocată în smartphone, iar partea este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, în timp ce parola rămâne în capul utilizatorului și este un factor de cunoaștere.
Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.
Deci, avem un program pentru un smartphone, în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca cheie HMAC, care semnează ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC este redată într-o formă care poate fi citită și voila - iată parola unică!
După cum sa menționat deja, RFC 4226 sugerează trunchierea rezultatului HMAC la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, ne-am dorit să menținem ușurința de utilizare (pentru că, amintiți-vă, vrem să facem un astfel de sistem pe care să îl folosească oamenii obișnuiți, și nu doar pacienții de securitate), așa că, ca compromis în versiunea actuală a sistemului, am a ales trunchierea la 8 caractere ale alfabetului latin. Se pare că 26 ^ 8 parole valabile timp de 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ne convine (sau apar sfaturi valoroase pe Habré despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.
Aflați mai multe despre puterea unor astfel de parole
Într-adevăr, pentru literele latine care nu țin cont de majuscule, numărul de opțiuni pe caracter este de 26, pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26+26+10=62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatorii. Acest lucru este cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere din litere mari, mici și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.Magie, lipsă de parolă, aplicații și pașii următori
În general, ne-am putea opri aici, dar am vrut să facem sistemul și mai convenabil. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!
Prin urmare, am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone, introduce codul PIN în ea și scanează codul QR pe ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!
Cum functioneazã?
Numărul de sesiune este cusut în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând un răspuns de la server pentru a verifica parola cu această sesiune. Dacă serverul răspunde că parola este corectă, un cookie de sesiune este setat cu răspunsul și utilizatorul este considerat autentificat.A fost mai bine, dar aici am decis să nu ne oprim. Începând cu iPhone 5S, scanerul de amprente TouchID a apărut pe telefoanele și tabletele Apple, iar în iOS versiunea 8, este disponibil și pentru aplicațiile terțe. De fapt, aplicația nu are acces la amprentă, dar dacă amprenta este corectă, atunci secțiunea suplimentară Keychain devine disponibilă pentru aplicație. De asta am profitat. A doua parte a secretului este plasată în intrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scenariul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.
Dar a devenit incredibil de convenabil pentru utilizator: deschide aplicația, pune degetul, scanează codul QR de pe ecran și se autentifică în browserul de pe computer! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi această schemă mult mai convenabilă decât introducerea manuală a două parole.
Este discutabil cât de tehnic este autentificarea cu doi factori, dar, în realitate, trebuie totuși să ai un telefon și să ai o amprentă validă pentru a o trece cu succes, așa că credem că am fost destul de buni să scăpăm de factorul cunoaștere, înlocuindu-l. cu biometrie. Înțelegem că ne bazăm pe securitatea ARM TrustZone care stă la baza iOS Secure Enclave și credem că acest subsistem poate fi considerat de încredere în modelul nostru de amenințare pentru moment. Desigur, suntem conștienți de problemele autentificării biometrice: o amprentă nu este o parolă și nu poate fi înlocuită dacă este compromisă. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu comoditatea, iar utilizatorul însuși are dreptul de a alege raportul dintre unul și celălalt care este acceptabil pentru el.
Permiteți-mi să vă reamintesc că acesta este încă beta. Acum, când activați autentificarea cu doi factori, dezactivăm temporar sincronizarea parolei în Yandex.Browser. Acest lucru se datorează modului în care este aranjată criptarea bazei de date de parole. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.
Iată ce avem. Se pare că a ieșit bine, dar tu fii judecătorul. Vom fi bucuroși să auzim feedback și recomandări și noi înșine vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu și orice altceva, avem autentificare cu doi factori. Rețineți că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, erorile găsite în ele sunt plătite de două ori ca bonus în cadrul programului Bug Bounty.
Etichete:
- Siguranță
- autentificare
- 2FA
