Yandex.Key generira jednokratne lozinke (OTP) za sigurniju prijavu na Yandex, Facebook, Google, GitHub, Dropbox, VKontakte i druge usluge koje podržavaju dvofaktornu autentifikaciju (2FA). Da biste se prijavili na usluge Yandexa, potrebna vam je samo jednokratna lozinka koju je kreirao Ključ, za ostale - jednokratna i vaša uobičajena lozinka. - Nekoliko brojeva ili otisak prsta Ne morate smišljati složene lozinke da biste pouzdano zaštitili svoju Yandex prijavu. Dovoljno je zapamtiti od 4 do 16 cifara - koristeći ih Yandex.Key će vam dati jedinstvenu jednokratnu lozinku s periodom valjanosti kraćim od jedne minute. Ako ne želite da unesete svoj PIN, omogućite Touch ID u postavkama ključa i koristite otisak prsta. - Zaštita podataka Yandex.Key dodatno štiti vaš račun od hakovanja i krađe ličnih podataka: samo vi ćete dobiti jednokratne lozinke na svom mobilnom uređaju. - Jednostavno povezivanje Možete dodati račune u aplikaciju ručno - ponovnim ispisom podataka sa web stranice usluge koju povezujete ili automatski - čitanjem QR koda odatle. - Radi van mreže Za dodavanje naloga u aplikaciju i kreiranje jednokratnih lozinki, Yandex.Key ne treba internet. Ne trebate čak ni SMS da biste dobili lozinke. - Dodatne mogućnosti Ključ može kreirati šestocifrenu i osmocifrenu šifru - ovisno o zahtjevima usluge. Osim toga, ključ podržava različite periode za ažuriranje jednokratnih lozinki, a ne samo 30 sekundi (zavisi od usluge koja se koristi). - Sigurnosni standardi Yandex.Key je pogodan za autentifikaciju u dva (ili dva koraka) na svim servisima koji podržavaju sigurnosne standarde RFC-6238 i RFC-4226 (osim onih koji rade samo sa SMS-om). - Sigurnosna kopija U slučaju da se nešto dogodi vašem uređaju, možete napraviti rezervnu kopiju podataka ključa na Yandex serveru. Sigurno je: svaka kopija je šifrirana lozinkom koju zna samo njen vlasnik. Pročitajte više na stranici za pomoć - https://ya.cc/2fa

Screenshots

Recenzije

• Odlična aplikacija

  Koristim ga dugo, od 5s. Sada ne vidim nikakve probleme na X-ovima. Ne razumijem povratne informacije o nedostatku adaptacije. Od starog do novi telefon takođe, sve se dobro podnosi.

• Redovno ažuriranje nivoa

  Kao što mnogi pišu: prošlo je više od pola 2019. godine, a još nema adaptacije za X, XS, XR. A momci se ne žure sa ažuriranjem, zašto? Nema alternative, i dalje morate koristiti ono što imate. Ali nedostatak FaceID podrške je naravno divlje zanemarivanje korisnika. Samo otkažite pretplatu "ažuriranja su planirana jednom, ali ne znamo kada." Funkcionalnost je dobra, a usluga užasna

• Pristojna funkcionalnost, užasan UI/UX

  Ko je uopće smislio ovaj vrtuljak sa računima... Kada nema ikone, dva naloga se ne mogu razlikovati, a neugodno je okretati se naprijed-natrag.

• ChSV prelazi skalu

  Od Yuyuygyffhdsgbfddes

  Možda bi Yandex jednog dana trebao shvatiti da su ljudi koji stavljaju 2FA na svoje račune ljudi koji su prilično zabrinuti za sigurnost svojih podataka i nisu spremni samo uzeti i dati svoj broj telefona. Ironično, iako se sama aplikacija može koristiti za usluge trećih strana (ATP za Yandex za detaljno objašnjenje), njena upotreba je nepraktična za Yandex.

• Ne radi

  Autor wrghbqjwjqjqnqtktqjtj

• iPhone X

  Zašto nema adaptacije za iPhone X??

• Ne radi

  Ne radi! Unosim izdatu lozinku, ali sajt je ne prihvata! Jednom kada se unese 200 je beskorisno. Ako ne znate kako napraviti dvofaktorsku autentifikaciju, nemojte se miješati!

• Na dnu

  Aplikacija nije ažurirana 2 godine. Zabili su mu gol. Ne postoji identifikacija lica. Nije optimizirano za ekrane sa zarezima. Interfejs se ne mijenja. Ukratko, Yandex je postigao gol.

• Beskorisno

  Aplikacija radi odvojeno, aplikacija Yandex-money radi odvojeno. Yandex-money ne radi sa ovom aplikacijom: ni sa PIN kodom (ispravno unetim), ni sa otiskom prsta. Vrijeme sinkronizirano - rezultat nije ispravljen. Odbacio ga je kao beskorisno.

• Nije loše

  Od Gordona Krantsa

  Dobra aplikacija, ali horizontalni raspored je izuzetno nezgodan: (Volio bih da u budućim ažuriranjima vidim vertikalni stupac sa uslugama i mogućnošću odabira ikone za svaku, inače je teško pretraživati potreban kod kada imate više naloga na jednom servisu

• QR kod se ne može pročitati

  Od Amira Gatina

  Nisam mogao da instaliram kod na iPhone 6. Ne čita!

• Ne radi!!!

  Ne ulazi ni putem QR koda ni jednokratne lozinke! Ovo je pisar !!!

• Generiše pogrešno

  Neispravna jednokratna lozinka! Nisam stalno mijenjao vrijeme na uređaju

• Nije zgodno za korištenje

  Ludo nezgodno hu...

• Račun

  Zdravo, imao sam ne baš zgodnu situaciju... Promijenio sam telefon ali nisam napravio sigurnosnu kopiju, i kao rezultat toga, izgubio sam sve pristupne kodove koji su bili u aplikaciji, potrošio sam dosta vremena da sve vratim. .. pa na to mislim) uradite tako da mozete kreirati nalog i da se sve automatski sprema... uostalom uzasno je nezgodno nakon dodavanja nove lozinke napraviti rezervnu kopiju da vozite svoj telefon itd.. .

• Zašto tvoj?

  Od 79522370021784380H

  Zašto smisliti drugu aplikaciju kada imate Authy? Smeta mi što je na PC-u potrebno postaviti ~4 lansera po defaultu, tako i na telefonu ~4 softvera za 2fa. Nije zgodno, čak i ako ključ nije 6 cifara, ali 2fa je 2fa, a ne ulaz bez lozinke. Lakše mi je da unesem 6-8 brojeva nego da unesem skup slova

• Ne mogu se prijaviti na svoj račun

  Tehnička podrška je pomogla

• Face ID? Ne, nisam čuo

  Nema podrške za Face ID. Aplikacija je razvučena, kao da je napravljena za četvrti iPhone. Yandex, jesi li to stvarno ti?

• Ikone

  Od drugog korisničkog imena sc

  Osjećam akutni nedostatak ikona za različite usluge. Napravili ste ikone za najpopularnije, ali aplikacija nažalost ne poznaje mnoge druge servise. Na primjer o mega, discordu, EA originu, Ubisoft Uplayu i to je samo ono čega sam se odmah sjetio.

• Odvratno

  Zašto ovu aplikaciju učiniti obaveznom, a ne držati je? Gdje je podrška za iPhone x i novije verzije? Aplikacija se otvara do poda ekrana... Prošle su 2 godine otkako sam se povukao iz Yandexa iz tog razloga. Mislio sam da je to normalno društvo, a zapravo je kuhinja puna.

• Podrška je prekinuta

  Ažurirajte čak i za nove uređaje

• Nisam čekao

  Nismo ažurirali aplikaciju za nove uređaje.

• Adaptacija

  Od sreće5

  Molimo prilagodite aplikaciju za XR

• Ne radi ispravno

  Od Castor888

  Nakon instaliranja aplikacije i dvofaktorske autentifikacije, prilikom unosa pin koda, daje grešku da je pincode netačan

• Ažuriraj

  Od NIKOLAI

  Ne razumijem kako je bilo moguće napraviti tako kul i naprednu aplikaciju u svakom smislu, a onda je uzeti i napustiti. Još uvijek nema adaptacije za iPhone X! Kako možete zadržati tako važnu aplikaciju 2 godine bez ažuriranja?

• Ne čekajte ažuriranja

  Nema ažuriranja godinu dana.. Nema podrške za iPhone XR, XS. Nema podrške za Touch ID.. Ne mogu reći kada će biti ažuriranje.. Yandex 🤦‍♂️

• Užasno

  Od JinMariachija

  Podesio sam ga na androidu, sve je ok, pokusavam da uradim na ajfonu, ne radi, relogovanje na androidu, isto prestalo da radi! Pokušavam da restauriram, uneo sam sve, uneo šifru sa telefona, ne, ionako nije dovoljno i češće koristi pretraživač na kome radiš.. da li još možeš da daš otiske prstiju? Toliko sranja da se samo prijavite na jebenu Yandex muziku. Ozbiljno, lakše je svaki put kreirati nove naloge nego pokušati povratiti pristup. Ako to ne možete raditi normalno, nemojte

• Ažurirajte već konačno

  Izgleda odvratno na iPhone X.

• Ergonomija se nije svidjela

  Pročitao sam vaš članak na Habréu. Dobro urađeno. Ali zašto je interfejs i sve što je s njim povezano tako grozno sa takvim umom i pristupom? Dizajniran od strane ljudi s prevladavajućim tehničkim vještinama. 8 bukva zajedno - također iz iste serije. Da li su sami programeri/dizajneri ikada koristili ovaj 2fa? Naravno, pamćenje 2x3 je lakše. A 8 znakova zajedno je samo kalaj.

• -

  Od AndiZhdanova

  Radi odvratno, uradi nešto

• Horror!! Bila je vezana hrpa ključeva. BACKAP made.

  I nakon promjene telefona, vraćam ga sa bekapa i pišem, nema ništa!! Kako je? Odvratno!!

• Hvala ti

  Cool aplikacija, ali sam želio da mogu promijeniti prikaz liste računa. Kada ih ima zaista mnogo, trenutni pogled nije zgodan. Molimo napravite listu!!)

• Zamućenost

  Od Antona Grigorijeva

  Teško, posebno mijenjanje telefona. Nije prilagođen podu modernih paravana.

• Potrebno ažuriranje!

  Ponekad se ruši pri pokretanju. Ažurirajte aplikaciju za podršku najnoviju verziju iOS i tamna tema !!

• Aplikacija je super!

  Od Georgea Efrona

  Mnogo praktičnije od google aplikacije, ali 4 zvjezdice zbog nedostatka Podrška za iPhone XS Max.

Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.

1. Prijavite se s QR kodom
2. Prijenos Yandex.Key
3. Glavna lozinka
4. Kako jednokratne lozinke zavise od tačnog vremena

Prijavite se na uslugu ili aplikaciju Yandex

Jednokratnu lozinku možete unijeti u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.

Bilješka.

Jednokratnu lozinku morate unijeti na vrijeme dok je prikazana u aplikaciji. Ako je ostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.

Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite pin kod koji ste postavili prilikom postavljanja dvofaktorske autentifikacije. Aplikacija će početi generirati lozinke svakih 30 sekundi.

Yandex.Key ne potvrđuje PIN kod koji ste uneli i generiše jednokratne lozinke, čak i ako ste uneli pogrešan PIN kod. U tom slučaju se ispostavi da su kreirane lozinke netačne i nećete se moći s njima prijaviti. Da unesete ispravan PIN kod, potrebno je samo da izađete iz aplikacije i ponovo je pokrenete.

Prijavite se s QR kodom

Neke usluge (na primjer, početna stranica Yandexa, pasoš i pošta) omogućavaju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere na QR kod. U tom slučaju, vaš mobilni uređaj mora biti povezan na internet kako bi Yandex.Key mogao kontaktirati server za autorizaciju.

Kliknite na ikonu QR koda u vašem pretraživaču.

Ako ne postoji takva ikona u obrascu za prijavu, onda uključite ovu uslugu možete se prijaviti samo sa lozinkom. U tom slučaju možete se prijaviti pomoću QR koda u Pasošu, a zatim otići na željenu uslugu.

Unesite PIN kod u Yandex.Key i kliknite Prijavi se pomoću QR koda.

Usmjerite kameru vašeg uređaja na QR kod prikazan u pretraživaču.

Yandex.Key prepoznaje QR kod i šalje vaše korisničko ime i jednokratnu lozinku u Yandex.Passport. Ako prođu test, automatski ćete biti prijavljeni u svoj pretraživač. Ako se ispostavi da je prenesena lozinka netačna (na primjer, zbog činjenice da ste pogrešno unijeli PIN kod u Yandex.Key), pretraživač će prikazati standardnu ​​poruku o neispravnoj lozinki.

Prijavite se pomoću Yandex računa na aplikaciju ili web stranicu treće strane

Aplikacije ili web lokacije koje trebaju pristup vašim podacima na Yandexu ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima, jednokratne lozinke neće raditi - potrebno je kreirati posebnu lozinku za aplikaciju za svaku takvu aplikaciju.

Pažnja. Samo jednokratne lozinke rade u Yandex aplikacijama i uslugama. Čak i ako kreirate lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.

Prijenos Yandex.Key

Možete prenijeti generiranje jednokratnih lozinki na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja u isto vrijeme. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite Zamjena uređaja.

Nekoliko naloga u Yandex.Key

Isti Yandex.Key se može koristiti za više naloga sa jednokratnim lozinkama. Da dodate još jedan nalog u aplikaciju, kada postavljate jednokratne lozinke u koraku 3, kliknite na ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu dvofaktorsku autentifikaciju. Uputstva za većinu popularne usluge su dati na stranici o kreiranju verifikacionih kodova ne za Yandex.

Da biste uklonili vezivanje naloga za Yandex.Key, pritisnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križ. Kada kliknete na križić, veza vašeg računa sa Yandex.Key će biti uklonjena.

Pažnja. Ako izbrišete nalog za koji su omogućene jednokratne lozinke, nećete moći primiti jednokratnu lozinku za prijavu na Yandex. U tom slučaju bit će potrebno vratiti pristup.

Otisak prsta umjesto PIN koda

Možete koristiti svoj otisak prsta umjesto PIN koda na sljedećim uređajima:

pametni telefoni ispod Android 6.0 i skener otiska prsta;

iPhone od 5s;

iPad počevši od Zračni modeli 2.

Bilješka.

Na pametnim telefonima i tabletima sa iOS-om, otisak prsta se može zaobići unosom lozinke uređaja. Da biste se zaštitili od ovoga, uključite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID & Password.

Za korištenje omogućavanja provjere otiskom prsta:

Glavna lozinka

Da biste dodatno zaštitili svoje jednokratne lozinke, kreirajte glavnu lozinku: → Glavna lozinka.

Sa glavnom lozinkom možete:

omogućavaju unos samo glavne lozinke Yandex.Key umjesto otiska prsta, a ne koda za zaključavanje uređaja;

Sigurnosna kopija podataka Yandex.Key

Možete kreirati rezervnu kopiju podataka ključa na Yandex serveru kako biste je mogli vratiti ako ste izgubili telefon ili tablet s aplikacijom. Podaci svih naloga dodatih ključu u trenutku kreiranja kopije kopiraju se na server. Ne možete kreirati više od jedne rezervne kopije, svaka naredna kopija podataka za određeni telefonski broj zamjenjuje prethodnu.

Za preuzimanje podataka iz sigurnosne kopije potrebno vam je:

imati pristup broju telefona koji ste naveli prilikom kreiranja;

zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.

Pažnja. Rezervna kopija sadrži samo prijave i tajne potrebne za generiranje jednokratnih lozinki. Morate zapamtiti PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu.

Još nije moguće izbrisati rezervnu kopiju sa Yandex servera. Automatski će se ukloniti ako ga ne koristite u roku od godinu dana nakon kreiranja.

Pravljenje rezervne kopije

Odaberite stavku Napravite rezervnu kopiju u postavkama aplikacije.

Unesite telefonski broj na koji će rezervna kopija biti povezana (na primjer, "71234567890" "380123456789") i kliknite Dalje.

Yandex će poslati kod za potvrdu na uneseni broj telefona. Kada primite kod, unesite ga u aplikaciju.

Kreirajte lozinku za šifriranje sigurnosne kopije vaših podataka. Ova lozinka se ne može povratiti, stoga pazite da je ne zaboravite ili izgubite.

Unesite lozinku dvaput i kliknite na Završi. Yandex.Key će šifrirati rezervnu kopiju, poslati je Yandex serveru i obavijestiti o tome.

Pitanje kako dobiti Yandex Money kod za hitne slučajeve bez SMS-a postavlja se među korisnicima u situacijama koje se obično nazivaju višom silom. Ako ste izgubili lozinku koju ste redovno koristili, iz nekog razloga ne dobijete SMS sa jednokratnom šifrom, ne pronađete ploču sa setom kodnih simbola, ne brinite o tome. Upravo za takve slučajeve služba je obezbijedila hitnu opciju. Moći ćete zatražiti Yandex Money kodove za hitne slučajeve i završiti operaciju plaćanja.

Money.yandex.ru lozinke za sve prilike

Ne znaju svi korisnici usluge koliko su široke njene mogućnosti vezane za promet novca. Da biste koristili Yandex finansijske usluge, dostupne su sljedeće vrste lozinki:

• dolazni SMS;
• QR kodovi relevantni za aplikacije;
• skupovi znakova koji se koriste u hitnim situacijama.

Potonje ćemo detaljnije razmotriti. Nemojte ih brkati sa uobičajenim brojevima od kojih očekujete u SMS-u da dovršite prijenos sredstava. Imaju nešto drugačije svojstvo od trenutno modernih QR lozinki koje se mogu skenirati kamerom uređaja.

Šta trebate znati o šiframa za hitne slučajeve

Dakle, šta su kodovi za hitne slučajeve u Yandex Money-u, kako ih dobiti i zašto su potrebni? Situacija kada želite hitno povući dio sredstava iz novčanika, popuniti sva potrebna polja, ali ne možete završiti proces, jer SMS ne dolazi, svima je poznata. Najčešće se to dešava u romingu. Druga varijanta problema je mrtav telefon u koji je instalirana aplikacija. U oba slučaja, da ne postoji šifra za hitne slučajeve, korisnici ne bi mogli izvršiti operaciju plaćanja na Yandex Money-u. Šifre ovog tipa razlikuju se od QR i djeluju na isti način kao obični jednokratni skupovi znakova. Koju god operaciju izvršite, oni će vam pomoći i omogućiti vam da je dovršite.

Upute za dobijanje koda za hitne slučajeve

Svi znaju kako doći do standardne šifre ili QR koda. Također možete jednostavno naručiti set simbola za hitne slučajeve. Njegova razlika je samo u početnim razlozima zahtjeva, vezano za činjenicu da korisnik ne može podići iznos zbog nemogućnosti unosa traženih brojeva u posljednji prozor.

Ako se nađete u sličnoj situaciji, algoritam vaših radnji trebao bi biti sljedeći:

1. Pronađite vezu "Preuzmite šifru za hitne slučajeve".
2. Unesite lozinku (jednokratno).
3. Odštampajte šifru.

Pažnja: čak i ako vaš računar ima moderan sistem zaštite od virusa i upada neovlašćenih osoba, ni u kom slučaju ne spremajte kodove u njegovu memoriju. Nakon štampanja, odmah izbrišite datoteku.

Neki korisnici su sigurni da primljene šifre treba koristiti u jasnom nizu. U stvari, možete ih odabrati kako želite.

Dešava se da se rezultirajuća stranica slučajno zatvori ili izgubi. Ništa loše. Tačno kao što je gore opisano, zatražite nove kodove. Ako su neovlašćene osobe iznenada zauzele list sa šiframa radi zaštite novca, bez odlaganja naručite nove šifre. Kada to učinite, stari skupovi znakova će postati nevažeći i beskorisni. Usluga sigurnosti Yandex Money čini sve da zaštiti sredstva klijenata. Zadatak potonje je da bude na oprezu i pomogne joj da izvrši ovaj težak zadatak.

Ne možete na internetu sresti osobu koja nije čula za QR kodove barem kraj uha. Sa povećanom popularnošću mreže u posljednjih nekoliko desetljeća, korisnici su morali međusobno prenositi podatke Različiti putevi... QR kodovi su samo "nosač" informacija koje je korisnik tamo šifrirao. Ali pitanje je drugačije - kako dešifrirati takve kodove i dobiti ono što je u njima?

Ako je ranije korisnik morao pretraživati posebne aplikacije koji pomažu dešifriranju QR koda, sada nije potrebno ništa osim internetske veze. U nastavku ćemo pogledati 3 načina za skeniranje i dekodiranje QR kodova na mreži.

Metoda 1: IMGonline

Ova stranica je jedan veliki izvor koji ima sve za interakciju sa slikama: obradu, promjenu veličine i tako dalje. I, naravno, tu je procesor slika sa QR kodovima koji nas zanimaju, koji nam omogućava da promijenimo sliku za prepoznavanje po želji.

Da biste skenirali sliku od interesa, slijedite ove korake:

Metoda 2: Dešifrirajte!

Za razliku od prethodne stranice, ova je u potpunosti zasnovana na pomaganju korisnicima na webu da dešifriraju ogromnu količinu podataka, od ASCII znakova do MD5 datoteka. Ima prilično minimalistički dizajn koji omogućava da se koristi sa njim mobilnih uređaja, ali mu nedostaju druge funkcije koje bi pomogle dešifriranju QR kodova.

Za dešifriranje QR koda na ovoj stranici, morat ćete učiniti sljedeće:

Metoda 3: Foxtools

Po broju funkcija i mogućnosti, online servis Foxtools je veoma sličan prethodnom sajtu, ali ima i svoje prednosti. Na primjer, ovaj resurs omogućava čitanje QR kodova sa linka na slike, te stoga nema smisla da ih spremate na računar, što je vrlo zgodno.

Da biste pročitali QR kod u ovoj online usluzi, morate učiniti sljedeće:

Gore navedene online usluge imaju niz pozitivnih karakteristika, ali imaju i nedostatke. Svaka od metoda je dobra na svoj način, ali malo je vjerovatno da će se moći nadopunjavati, samo ako koristite stranice sa različiti uređaji i za razne svrhe.

Rijetka objava na Yandex blogu, a posebno ona vezana za sigurnost, nije spominjala dvofaktorsku autentifikaciju. Dugo smo razmišljali kako da pravilno pojačamo zaštitu korisničkih naloga, pa čak i da je može koristiti bez svih neugodnosti koje uključuju najčešće implementacije danas. A oni su, nažalost, nezgodni. Prema nekim izvještajima, na mnogim velikim stranicama, udio korisnika koji su uključeni dodatna sredstva autentifikacija ne prelazi 0,1%.

Čini se da je to zato što je uobičajena dvofaktorska šema autentifikacije previše složena i nezgodna. Pokušali smo da smislimo način koji bi bio praktičniji bez gubljenja nivoa zaštite, a danas ga predstavljamo u beta verziji.

Nadamo se da će postati rašireniji. Sa svoje strane, spremni smo da radimo na njegovom unapređenju i naknadnoj standardizaciji.

Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. U obrascu ovlaštenja na početna stranica Yandex, QR kodovi su se pojavili u pošti i pasošu. Ući račun trebate pročitati QR kod kroz aplikaciju - i to je to. Ako ne možete pročitati QR kod, na primjer, kamera pametnog telefona ne radi ili nema pristup internetu, aplikacija će kreirati jednokratnu lozinku koja će važiti samo 30 sekundi.

Reći ću vam zašto smo odlučili da ne koristimo takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcionišu uobičajene dvofaktorske šeme autentifikacije? Oni su dvostepeni. Prva faza je uobičajena provjera autentičnosti korisničkog imena i lozinke. Ako je uspješna, stranica provjerava da li joj se ova korisnička sesija "sviđa" ili ne. I, ako vam se ne sviđa, traži od korisnika da se “ponovno provjerava autentičnost”. Postoje dvije uobičajene metode "prethodne autentifikacije": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, onda sesija gubi i svoju "preliminarnu" autentifikaciju.

Oba načina ─ slanje SMS-a a generisanje lozinke je dokaz vlasništva nad telefonom i stoga je faktor dostupnosti. Lozinka unesena u prvom koraku je faktor znanja. Stoga, ova šema autentifikacije nije samo dvostepena, već i dvofaktorna.

Šta nam se činilo problematičnim u ovoj šemi?

Počnimo s činjenicom da se računar prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: ovdje i gašenje Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa, i softver sumnjivog porijekla ─ sve to ne povećava nivo zaštite. Kompromitovanje računara korisnika je, po našem mišljenju, najrašireniji način „otme“ naloga (a nedavno je za to bila još jedna potvrda) i želim da se od toga zaštitim pre svega. U slučaju autentifikacije u dva koraka, ako pretpostavimo da je računar korisnika kompromitovan, unošenje lozinke na njega kompromituje samu lozinku, što je prvi faktor. To znači da napadač treba da odabere samo drugi faktor. U slučaju uobičajenih implementacija RFC 6238, drugi faktor je 6 decimalnih cifara (a maksimum predviđen specifikacijom je 8 cifara). Prema bruteforce kalkulatoru za OTP, napadač za tri dana može pokupiti drugi faktor ako na neki način poznaje prvi. Nije jasno šta servis može da se suprotstavi ovom napadu bez ometanja normalnog korisničkog iskustva. Jedini mogući dokaz rada je captcha, koji je, po našem mišljenju, krajnja opcija.

Drugi problem je nedostatak transparentnosti u prosudbi servisa o kvalitetu korisničke sesije i donošenju odluke o potrebi „pre-autentifikacije“. Još gore, servis nije zainteresiran da ovaj proces bude transparentan, jer sigurnost od opskurnosti ovdje zapravo radi. Ako napadač zna na osnovu čega servis donosi odluku o legitimnosti sesije, može pokušati krivotvoriti ove podatke. Iz općih razmatranja, možemo zaključiti da se prosudba donosi na osnovu istorije autentifikacije korisnika, uzimajući u obzir IP adresu (i broj izveden iz nje). autonomni sistem koji identifikuje provajdera i lokaciju na osnovu geobaze podataka) i podataka pretraživača, kao što je naslov Korisnički agent i set kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontroliše računar korisnika, onda ima mogućnost ne samo da ukrade sve potrebne podatke, već i da koristi IP adresu žrtve. Štaviše, ako se odluka donese na osnovu ASN-a, onda svaka autentifikacija sa javnog Wi-Fi-ja u kafiću može dovesti do "trovanja" u smislu sigurnosti (i bijeljenja u pogledu usluge) isporučioca ove kafe. shop i npr. krečenje svih kafića u gradu.... Razgovarali smo o radu sistema za detekciju anomalija, i on bi se mogao primijeniti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za siguran sud o anomaliji. Osim toga, ovaj isti argument uništava ideju o "pouzdanim" računarima: napadač može ukrasti bilo koju informaciju koja utiče na procjenu povjerenja.

Konačno, autentifikacija u dva koraka je jednostavno nezgodna: naše studije upotrebljivosti pokazuju da ništa ne nervira korisnike toliko kao srednji ekran, dodatni pritisci na dugme i druge „nevažne“ radnje sa njegove tačke gledišta.
Na osnovu toga, odlučili smo da autentifikacija bude u jednom koraku i da prostor za lozinku bude mnogo veći nego što je to moguće u okviru „čistog“ RFC 6238.
U isto vrijeme, željeli smo zadržati dvofaktorsku autentifikaciju što je više moguće.

Multifaktornost u autentifikaciji određuje se dodjeljivanjem elemenata autentikacije (u stvari, oni se nazivaju faktori) u jednu od tri kategorije:

1. Faktori znanja (to su tradicionalne lozinke, pin kodovi i sve što liči na njih);
2. Faktori vlasništva (u korištenim OTP shemama, u pravilu se radi o pametnom telefonu, ali može biti i hardverski token);
3. Biometrijski faktori (sada je najčešći otisak prsta, mada će se neko sjetiti epizode sa junakom Wesleya Snipesa u filmu Demolition Man).

Razvoj našeg sistema

Kada smo počeli da se bavimo problemom dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju još iz 2012. godine, ali se o tome raspravljalo iza kulisa i ranije), prva ideja je bila da uzmemo standardne metode autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo očekivati ​​da milioni naših korisnika kupe hardverski token, pa je ova opcija odložena za neke egzotične slučajeve (iako je ne odustajemo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). Ni metoda sa SMS-om ne bi mogla biti masivna: ovo je vrlo nepouzdan način dostave (u najbitnijem trenutku SMS može kasniti ili uopće nije primljen), a slanje SMS-a košta (a operateri su počeli da povećavaju cenu). Odlučili smo da je korištenje SMS-a dio banaka i drugih niskotehnoloških kompanija, a našim korisnicima želimo ponuditi nešto praktičnije. Općenito, izbor nije bio veliki: koristiti pametni telefon i program u njemu kao drugi faktor.

Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti pin kod (prvi faktor), ima hardverski ili softverski (u pametnom telefonu) token koji generiše OTP (drugi faktor). U polje za unos lozinke unosi pin kod i trenutnu OTP vrijednost.

po našem mišljenju, glavni nedostatak Ova šema je ista kao i za autentifikaciju u dva koraka: ako smatramo da je radna površina korisnika kompromitovana, onda jedan unos PIN koda dovodi do njegovog otkrivanja i napadač treba samo da odabere drugi faktor.

Odlučili smo da idemo drugim putem: lozinka se u potpunosti generira iz tajne, ali samo dio tajne je pohranjen u pametnom telefonu, a dio korisnik unosi svaki put kada se lozinka generiše. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.

Nonce može biti brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućava da se ne bojimo desinhronizacije u slučaju da neko generiše previše lozinki i poveća brojač.

Dakle, imamo program za pametni telefon, gdje korisnik unosi svoj dio tajne, miješa se sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, koji potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je čitljiv i voila - evo jednokratne lozinke!

Kao što je spomenuto, RFC 4226 predlaže skraćivanje HMAC izlaza na najviše 8 decimalnih cifara. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. Istovremeno, željeli smo sačuvati jednostavnost korištenja (na kraju krajeva, podsjetimo, želim napraviti takav sistem koji će koristiti obični ljudi, a ne samo sigurnosni štreberi), tako da kao kompromis u trenutna verzija sistem smo odabrali da skratimo na 8 znakova latinice. Čini se da je 26 ^ 8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojave vrijedni savjeti kako da poboljšamo ovu šemu), proširit ćemo, na primjer, na 10 znakova.

Saznajte više o snazi ​​takvih lozinki

Zaista, za latinična slova koja ne razlikuju velika i mala slova, broj opcija po znaku je 26, za velika i mala latinična slova plus brojevi, broj opcija je 26 + 26 + 10 = 62. Zatim log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je skoro jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo je definitivno dovoljno za 30 sekundi. Ako govorimo o lozinki od 8 znakova napravljenoj od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je ovo i dalje prihvatljivo za period od 30 sekundi.

Magija, bez lozinke, aplikacije i put naprijed

U principu, mogli smo stati na ovome, ali smo htjeli da sistem učinimo još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi da unese lozinku sa tastature!

Stoga smo započeli rad na "magičnom logiranju". Ovom metodom autentifikacije korisnik pokreće aplikaciju na pametnom telefonu, unosi svoj PIN kod i skenira QR kod na ekranu svog računara. Ako se PIN kod unese ispravno, stranica u pretraživaču se ponovo učitava i korisnik se autentifikuje. Magic!

Kako to radi?

Broj sesije je tvrdo kodiran u QR kod, a kada ga aplikacija skenira, ovaj broj se prenosi na server zajedno sa lozinkom i korisničkim imenom generisanim na uobičajen način. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući od strane servera odgovor da potvrdi lozinku za datu sesiju. Ako server odgovori da je lozinka ispravna, kolačić sesije se postavlja zajedno s odgovorom, a korisnik se smatra autentificiranim.

Bilo je bolje, ali i ovdje smo odlučili da ne stanemo. Počevši od iPhonea 5S u telefonima i Apple tableti pojavio se TouchID skener otiska prsta i unutra iOS verzija 8 rad sa njim je dostupan i aplikacije trećih strana... U stvari, aplikacija nema pristup otisku prsta, ali ako je otisak ispravan, dodatni odjeljak Keychain postaje dostupan aplikaciji. Mi smo to iskoristili. Drugi dio tajne nalazi se u TouchID-om zaštićenom Keychain unosu, onom koji je korisnik unio sa tastature u prethodnoj skripti. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kako je gore opisano.

Ali korisnik je postao nevjerovatno zgodan: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i autentifikuje se u pretraživaču na računaru! Tako smo faktor znanja zamijenili biometrijskim i, sa stanovišta korisnika, potpuno napustili lozinke. Sigurni smo da će običnim ljudima ovakva šema biti mnogo zgodnija od ručni unos dvije lozinke.

Može se raspravljati o tome koliko je formalno dvofaktorska takva autentifikacija, ali u stvari, da biste je uspješno prošli, još uvijek morate imati telefon i imati ispravan otisak prsta, tako da vjerujemo da smo u potpunosti uspjeli napustiti faktor znanja, zamijenivši ga biometrijom. Razumijemo da se oslanjamo na ARM TrustZone sigurnost u srcu iOS Secure Enclave i vjerujemo da trenutno ovaj podsistem se može smatrati pouzdanim unutar našeg modela prijetnji. Naravno, svjesni smo problema biometrijske autentifikacije: otisak prsta nije lozinka i ne može se zamijeniti u slučaju kompromisa. Ali, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna pogodnostima, a sam korisnik ima pravo izabrati prihvatljiv odnos jednog prema drugom.

Da vas podsjetim da je ovo još uvijek beta. Sada, kada omogućite dvofaktorsku autentifikaciju, privremeno onemogućavamo sinhronizaciju lozinke u Yandex pretraživaču. To je zbog načina na koji je uređeno šifriranje baze podataka lozinki. Već dolazimo do pogodnog načina za autentifikaciju pretraživača u slučaju 2FA. Sve ostale Yandex funkcionalnosti rade kao i prije.

Evo šta smo dobili. Čini se da je dobro ispalo, ali na vama je da procijenite. Bit će nam drago čuti povratne informacije i preporuke, a i sami ćemo nastaviti raditi na poboljšanju sigurnosti naših usluga: sada, uz CSP, enkripciju transporta pošte i sve ostalo, imamo i dvofaktorsku autentifikaciju. Imajte na umu da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga udvostručuju Bug Bounty bonus za greške pronađene u njima.

Oznake: Dodaj oznake