Yandex.Key vytváří jednorázová hesla (OTP), která poskytují bezpečnější přihlášení k Yandex, Facebook, Google, GitHub, Dropbox, VKontakte a dalším službám, které podporují dvoufaktorové ověřování (2FA). Pro přihlášení do služeb Yandex potřebujete pouze jednorázové heslo vytvořené klíčem, pro ostatní - jednorázové heslo a vaše obvyklé. - Několik čísel nebo otisk prstu Nemusíte vymýšlet složitá hesla, abyste bezpečně chránili své přihlašovací údaje Yandex. Stačí si zapamatovat 4 až 16 číslic - Yandex.Key je použije k vydání jedinečného jednorázového hesla platného méně než minutu. Pokud nechcete zadávat PIN kód, povolte v nastavení Touch ID Key a použijte otisk prstu. - Ochrana dat Yandex.Key navíc chrání váš účet před hackováním a krádeží osobních údajů: pouze vy budete dostávat jednorázová hesla na své mobilní zařízení. - Jednoduché připojení Účty můžete do aplikace přidat ručně - přepsáním dat ze stránky služby, ke které se připojujete, nebo automaticky - načtením QR kódu odtud. - Práce offline Chcete-li přidat účty do aplikace a vytvořit jednorázová hesla, Yandex.Key nepotřebuje internet. K získání hesel nepotřebujete ani SMS. - Další funkce Klíč může vytvářet šestimístné a osmimístné heslo - v závislosti na požadavcích služby. Klíč navíc podporuje různé doby pro aktualizaci jednorázových hesel, nejen 30 sekund (záleží na použité službě). - Bezpečnostní standardy Yandex.Key je vhodný pro dvoufaktorovou (nebo dvoukrokovou) autentizaci ve všech službách, které podporují bezpečnostní standardy RFC-6238 a RFC-4226 (kromě těch, které pracují pouze se SMS). - Záloha V případě, že se se zařízením něco stane, můžete vytvořit záložní kopii dat klíče na serveru Yandex. Je to bezpečné: každá kopie je zašifrována heslem, které zná pouze její vlastník. Přečtěte si více na stránce nápovědy - https://ya.cc/2fa

Snímky obrazovky

Recenze

• Skvělá aplikace

  Používám už dlouho, od 5s. Nyní na Xs nevidím žádné problémy. Nerozumím komentářům o nedostatečné adaptaci. Od starých do nový mobil je také dobře snášen.

• Pravidelné aktualizace úrovně

  Jak mnoho lidí píše: více než polovina roku 2019 již uplynula a stále neexistuje žádná adaptace pro X, XS, XR. A kluci s aktualizací nijak nespěchají, proč? Neexistují žádné alternativy, stále musíte používat to, co je. Nedostatek podpory FaceID je ale samozřejmě divokým přehlížením uživatelů. Pouze odhlásí "aktualizace je plánována někdy, ale nevíme kdy." Dobrá funkčnost, hrozná obsluha

• Dobrá funkčnost, hrozné UI/UX

  Kdo vůbec vymyslel tento kolotoč s účty... Když není ikona, nelze rozlišit dva účty a otáčet se tam a zpět je nepohodlně strašidelné.

• CHSV jde mimo stupnici

  Autor Yuyuygyffhdsgbfddes

  Možná by měl Yandex jednoho dne pochopit, že lidé, kteří na své účty dávají 2FA, jsou lidé, kteří se docela zajímají o bezpečnost svých dat a nejsou připraveni jen vzít a dát své telefonní číslo. Je ironií, že ačkoli samotnou aplikaci lze použít pro služby třetích stran (děkuji Yandexu za podrobné vysvětlení), její použití je pro Yandex nevhodné.

• Nefunguje

  Autor wrghbqjwjqjqnqtktqjtj

• iPhone X

  Proč neexistuje žádná adaptace pro iPhone X?

• Nefunguje

  Nefunguje! Zadávám dané heslo, ale stránka ho nepřijímá! Zadal jsem to 200krát bez úspěchu. Pokud nevíte, jak provést dvoufaktorové ověřování, pak se neobtěžujte!

• Dole

  Aplikace nebyla 2 roky aktualizována. Zbili ho. Žádné ID obličeje. Není optimalizováno pro obrazovky s vrubem. Rozhraní se nemění. Yandex zkrátka zabodoval.

• Zbytečný

  Aplikace funguje samostatně, aplikace Yandex money funguje samostatně. Spolu s touto aplikací Yandex Money nefunguje: ani s PIN kódem (zadaným správně), ani s otiskem prstu. Čas synchronizován - výsledek se neopravil. Zbouraný jako neužitečný.

• Není špatné

  Od Gordona Krantsa

  Dobrá aplikace, ale rozvržení ve vodorovném pořadí je extrémně nepohodlné: (Rád bych v budoucích aktualizacích viděl svislý sloupec se službami a možností vybrat ikonu pro každou z nich, jinak je těžké hledat požadovaný kód když máte několik účtů v jedné službě

• QR kód nebyl přečten

  Autor: Amir Gatin

  Kód na iPhone 6 nelze nainstalovat. Nečte se!

• Nefunguje!!!

  Nelze se přihlásit pomocí QR kódu nebo jednorázového hesla! Je to písař!!!

• Negeneruje

  Chybné jednorázové heslo! Neustále se neměnil čas na zařízení

• Není vhodné používat

  Šíleně nepohodlné...

• Účet

  Dobrý den, stala se mi nepříliš pohodlná situace ... vyměnil jsem telefon a neprovedl zálohu a nakonec jsem ztratil všechny přístupové kódy, které byly v aplikaci, strávil jsem spoustu času obnovou všeho. .. no tak to je to o čem mluvím) udělej aby sis mohl vytvořit účet a aby se vše automaticky ukládalo ... protože je strašně nepohodlné si po přidání nového hesla dělat záložní kopii na mobil atd. ....

• proč zrovna tvůj?

  Od 79522370021784380H

  Proč vymýšlet další aplikaci, když je tu Authy? Štve mě, že na PC je potřeba defaultně nastavit ~ 4 launchery, takže i na telefonu ~ 4 software pro 2fa. Není to pohodlné, i když klíč nemá 6 číslic, ale 2fa je 2fa, a není to vstup bez hesla. Je pro mě jednodušší vložit 6-8 čísel než zadávat sadu písmen

• Nelze se přihlásit k účtu

  Pomohla technická podpora

• ID obličeje? Ne, neslyšel

  Žádná podpora pro Face ID. Aplikace je roztažená, jako by byly dělané pro čtvrtý iPhone. Yandex, jsi to opravdu ty?

• ikony

  Od jiného uživatelského jména sc

  Cítím akutní nedostatek ikon pro různé služby. Udělali jste ikony pro ty nejoblíbenější, ale o mnoha dalších službách bohužel aplikace neví. Například mega, discord, EA origin, Ubisoft Uplay a to je přesně to, co jsem si hned zkraje zapamatoval.

• Nechutný

  Proč tuto aplikaci učinit povinnou a nezůstat u ní? Kde je podpora pro iphone x a vyšší? Aplikace se otevírá na polovinu obrazovky ... Jsou to 2 roky, co jsem z tohoto důvodu opustil Yandex. Myslel jsem, že je to normální společnost, ale ve skutečnosti byla kuchyně plná.

• Podpora skončila

  Aktualizujte pro nová zařízení

• Tak jsem nečekal

  Aplikace nebyla aktualizována pro nová zařízení.

• Přizpůsobování

  Od štěstí 5

  Přizpůsobte aplikaci pro XR

• Nesprávně fungující

  Od Castor888

  Po instalaci aplikace a dvoufaktorové autentizaci se při zadávání PIN kódu zobrazí chyba, že kód PIN je nesprávný

• Obnovit

  Od NIKOLA

  Nechápu, jak bylo možné vytvořit tak skvělou a pokročilou aplikaci v každém smyslu a pak ji vzít a opustit ji. Stále žádná adaptace pro iPhone X! Jak můžete udržet tak důležitou aplikaci bez aktualizací po dobu 2 let?

• Nečekejte na aktualizace

  Rok nejsou žádné aktualizace .. Není podpora pro iPhone XR, XS Neexistuje podpora pro Touch ID .. Nemohou říci, kdy bude aktualizace .. Yandex 🤦‍♂️

• Hrozný

  Autor: JinMariachi

  Nastavil jsem to na android, vše je v pořádku, zkouším to udělat na iPhone, nejde to, znovu se přihlaste na android, také přestal fungovat! Snažím se obnovit, zadal jsem vše, zadal jsem kód z telefonu, ne, stále to nestačí a používejte prohlížeč, na kterém pracujete častěji.. můžete ještě poskytnout otisky prstů? Tolik keců, jen něco k přihlášení do zasrané hudby Yandex. Vážně, je jednodušší pokaždé vytvořit nové účty, než se pokoušet obnovit přístup. Pokud to neumíte správně, tak to nedělejte.

• Konečně aktualizace

  Na iPhone X vypadá nechutně.

• Nelíbila se mi ergonomie

  Četl jsem váš článek o Habrém. Výborně. Proč je s takovou myslí a přístupem tak děsivé rozhraní a vše s tím spojené. Navrženo lidmi s převládajícími technickými dovednostmi. 8 buků dohromady - také ze stejné série. Použili někdy sami vývojáři/designéři tuto 2fa? Pamatovat si 2x3 je samozřejmě jednodušší. A 8 postav je všech pohromadě - je to prostě plechovka.

• -

  Od AndiŽdanova

  Funguje to nechutně, udělejte něco

• Hrůza!! Byl tam připojen svazek klíčů. Záloha provedena.

  A po výměně telefonu obnovuji ze zálohy a píšu nic !! jak to? Nechutný!!

• Děkuju

  Skvělá aplikace, ale chtěl jsem mít možnost změnit pohled na seznam účtů. Když je jich opravdu hodně, aktuální pohled nevyhovuje. Udělejte si prosím seznam!!

• Mut

  Od Antona Grigorjeva

  Těžké, hlavně vyměnit telefon. Nepřizpůsobené podlahové moderní zástěny.

• Potřebujete aktualizaci!

  Někdy se při startu zhroutí. Aktualizujte aplikaci pro podporu Nejnovější verze iOS a tmavé téma!!

• Super aplikace!

  Od George Efrona

  Mnohem pohodlnější než aplikace Google, ale 4 hvězdičky pro nedostatek podpora pro iPhone XS Max.

Pozornost. Aplikace vyvinuté v Yandexu vyžadují jednorázové heslo – ani správně vytvořená hesla aplikací nebudou fungovat.

1. Přihlaste se pomocí QR kódu
2. Převod Yandex.Key
3. Hlavní heslo
4. Jak jednorázová hesla závisí na přesném čase

Přihlaste se do služby nebo aplikace Yandex

Jednorázové heslo můžete zadat do jakéhokoli autorizačního formuláře Yandex nebo aplikací vyvinutých společností Yandex.

Poznámka.

Jednorázové heslo je nutné zadat včas, když je zobrazeno v aplikaci. Pokud do aktualizace zbývá příliš málo času, počkejte na nové heslo.

Chcete-li získat jednorázové heslo, spusťte Yandex.Key a zadejte PIN kód, který jste nastavili při nastavování dvoufaktorového ověřování. Aplikace začne generovat hesla každých 30 sekund.

Yandex.Key nekontroluje zadaný PIN a generuje jednorázová hesla, i když jste PIN zadali nesprávně. V tomto případě se také vytvořená hesla ukáží jako nesprávná a nebudete se s nimi moci přihlásit. Pro zadání správného PIN kódu stačí aplikaci opustit a znovu spustit.

Přihlaste se pomocí QR kódu

Některé služby (například domovská stránka Yandex, Passport a Mail) vám umožňují přihlásit se do Yandexu pouhým namířením fotoaparátu na QR kód. Zároveň musí být vaše mobilní zařízení připojeno k internetu, aby Yandex.Key mohl kontaktovat autorizační server.

Klikněte na ikonu QR kódu v prohlížeči.

Pokud taková ikona v přihlašovacím formuláři není, pak tuto službu Přihlásit se můžete pouze heslem. V takovém případě se můžete přihlásit pomocí QR kódu v Passportu a poté přejít na požadovanou službu.

Zadejte PIN kód do Yandex.Key a klikněte na Přihlásit se pomocí QR kódu.

Namiřte fotoaparát svého zařízení na QR kód zobrazený v prohlížeči.

Yandex.Key rozpozná QR kód a odešle vaše přihlašovací jméno a jednorázové heslo do Yandex.Passport. Pokud projdou testem, automaticky se přihlásíte do svého prohlížeče. Pokud se ukáže, že přenášené heslo je nesprávné (například proto, že jste nesprávně zadali svůj PIN v Yandex.Key), prohlížeč zobrazí standardní zprávu o nesprávném heslu.

Přihlášení pomocí účtu Yandex k aplikaci nebo webu třetí strany

Aplikace nebo stránky, které potřebují přístup k vašim datům Yandex, někdy vyžadují, abyste se přihlásili ke svému účtu zadáním hesla. V takových případech nebudou jednorázová hesla fungovat – pro každou takovou aplikaci je třeba vytvořit samostatné heslo aplikace.

Pozornost. V aplikacích a službách Yandex fungují pouze jednorázová hesla. I když vytvoříte heslo aplikace, například pro Yandex.Disk, nebudete se s ním moci přihlásit.

Převod Yandex.Key

Generování jednorázových hesel můžete přenést na jiné zařízení nebo nastavit Yandex.Key na několika zařízeních současně. Chcete-li to provést, otevřete stránku Řízení přístupu a klikněte na tlačítko Výměna zařízení.

Několik účtů v Yandex.Key

Stejný klíč Yandex.Key lze použít pro více účtů s jednorázovými hesly. Chcete-li do aplikace přidat další účet, při nastavování jednorázových hesel v kroku 3 klepněte na ikonu v aplikaci. Kromě toho můžete do Yandex.Key přidat generování hesla pro další služby, které takové dvoufaktorové ověřování podporují. Návod pro nej oblíbené služby jsou uvedeny na stránce o vytváření ověřovacích kódů nikoli pro Yandex.

Chcete-li zrušit propojení účtu s Yandex.Key, klepněte na odpovídající portrét v aplikaci a podržte jej, dokud se napravo od něj nezobrazí křížek. Když kliknete na křížek, propojení vašeho účtu s Yandex.Key bude odstraněno.

Pozornost. Pokud smažete účet, který má povolená jednorázová hesla, nebudete moci získat jednorázové heslo pro přihlášení do Yandexu. V tomto případě bude nutné obnovit přístup.

Otisk prstu místo PIN

Otisk prstu místo PIN kódu lze použít na následujících zařízeních:

chytré telefony pod Ovládání Android 6.0 a snímač otisků prstů;

iPhone od modelu 5s;

iPad počínaje Vzduchové modely 2.

Poznámka.

Na chytrých telefonech a tabletech se systémem iOS lze otisk prstu obejít zadáním přístupového kódu zařízení. Chcete-li se proti tomu chránit, zapněte hlavní heslo nebo změňte heslo na složitější: otevřete aplikaci Nastavení a vyberte Touch ID a heslo .

Chcete-li použít povolení ověřování otisků prstů:

Hlavní heslo

Chcete-li svá jednorázová hesla dále chránit, vytvořte si hlavní heslo: → Hlavní heslo .

Pomocí hlavního hesla můžete:

ujistěte se, že místo otisku prstu můžete zadat pouze hlavní heslo Yandex.Key, nikoli kód zámku zařízení;

Záložní kopie dat Yandex.Key

Můžete si vytvořit záložní kopii dat klíče na serveru Yandex, abyste je mohli obnovit, pokud ztratíte telefon nebo tablet s aplikací. Data všech účtů přidaných do Klíče v době vytvoření kopie se zkopírují na server. Nelze vytvořit více než jednu záložní kopii, každá další kopie dat pro konkrétní telefonní číslo nahrazuje předchozí.

Chcete-li získat data ze zálohy, musíte:

mít přístup k telefonnímu číslu, které jste uvedli při jeho vytváření;

zapamatujte si heslo, které jste nastavili pro šifrování zálohy.

Pozornost. Záložní kopie obsahuje pouze přihlašovací údaje a tajné informace potřebné pro generování jednorázových hesel. Musíte si zapamatovat PIN kód, který jste nastavili, když jste povolili jednorázová hesla na Yandex.

Zatím není možné odstranit záložní kopii ze serveru Yandex. Pokud jej nepoužijete do jednoho roku od vytvoření, bude automaticky smazán.

Vytvořte zálohu

Vyberte položku Vytvořte zálohu v nastavení aplikace.

Zadejte telefonní číslo, ke kterému bude záloha propojena (například "71234567890" "380123456789") a klikněte na Další.

Yandex zašle potvrzovací kód na zadané telefonní číslo. Jakmile obdržíte kód, zadejte jej do aplikace.

Vytvořte heslo pro šifrování zálohy vašich dat. Toto heslo nelze obnovit, proto se ujistěte, že jej nezapomenete nebo neztratíte.

Dvakrát zadejte heslo a klikněte na tlačítko Hotovo. Yandex.Key zálohu zašifruje, odešle ji na server Yandex a upozorní vás na to.

Otázka, jak získat nouzový kód Yandex Money bez SMS, vyvstává mezi uživateli v situacích, které se běžně nazývají vyšší moc. Pokud jste ztratili heslo, které jste pravidelně používali, z nějakého důvodu nedostáváte SMS s jednorázovou šifrou, nenajdete štítek se sadou kódových znaků, nemůžete si s tím dělat starosti. Právě pro takové případy služba poskytuje nouzovou možnost. Můžete požádat o nouzové kódy Yandex Money a dokončit platební transakci.

Hesla Money.yandex.ru pro všechny příležitosti

Ne všichni uživatelé služby vědí, jak široké její možnosti souvisí s peněžním oběhem. Aby bylo možné používat finanční služby Yandex, jsou poskytovány následující typy hesel:

• příchozí SMS;
• QR kódy relevantní pro aplikace;
• znakové sady používané v nouzových situacích.

Právě to druhé se budeme zabývat podrobněji. Nepleťte si je s běžnými čísly, na která čekáte v SMS pro dokončení převodu prostředků. Mají trochu jinou vlastnost než aktuálně módní QR hesla snímatelná fotoaparátem zařízení.

Co potřebujete vědět o nouzových kódech

Co jsou tedy nouzové kódy v Yandex Money, jak je získat a proč jsou potřeba? Situace, kdy chcete naléhavě vybrat část prostředků z peněženky, vyplnit všechna potřebná pole, ale nemůžete proces dokončit, protože SMS nepřichází, je každému známá. Nejčastěji se to děje v roamingu. Další variantou problému je mrtvý telefon, ve kterém je aplikace nainstalována. V obou případech, pokud by neexistoval žádný nouzový kód, uživatelé by nemohli provést platební transakci na Yandex Money. Šifry tohoto typu se liší od QR a fungují podobně jako běžné jednorázové znakové sady. Ať už provedete jakoukoli operaci, pomohou vám a umožní vám ji dokončit.

Pokyny pro získání nouzového kódu

Každý ví, jak vytvořit standardní šifru nebo QR kód. Můžete si také jednoduše objednat nouzovou znakovou sadu. Jeho rozdíl je pouze v počátečních důvodech požadavku, souvisejících s tím, že uživatel nemůže vybrat částku kvůli nemožnosti zadat požadovaná čísla v posledním okně.

Pokud se ocitnete v podobné situaci, algoritmus vašich akcí by měl být následující:

1. Hledejte odkaz „Získat nouzový kód“.
2. Zadejte heslo (jednorázové).
3. Vytiskněte si kódový list.

Pozor: i když je na počítači nainstalován moderní systém ochrany před viry a průniky neoprávněných osob, v žádném případě neukládejte kódy do jeho paměti. Po vytištění soubor ihned smažte.

Někteří uživatelé si jsou jisti, že výsledné šifry by měly být použity v jasném pořadí. Ve skutečnosti si je můžete vybrat podle svého uvážení.

Stává se, že přijatá stránka je náhodně uzavřena nebo ztracena. Nic špatného. Jak je popsáno výše, požádejte o nové kódy. Pokud se náhle část kódu se šiframi zmocnila neoprávněná osoba, v zájmu ochrany peněz si neprodleně objednejte nové kódy. Jakmile to uděláte, staré znakové sady se stanou neplatnými a nepoužitelnými. Bezpečnostní služba Yandex Money dělá vše pro ochranu finančních prostředků zákazníků. Úkolem druhé jmenované je být ve střehu a pomoci jí tento nelehký úkol splnit.

Potkat na internetu člověka, který o QR kódech alespoň koutkem ucha neslyšel, je nemožné. S rostoucí popularitou sítě v posledních desetiletích byli uživatelé povinni přenášet data mezi sebou. různé způsoby. QR kódy jsou právě tím „podomním obchodníkem“ informací, které tam uživatel zašifroval. Otázka je ale jiná – jak takové kódy rozluštit a získat, co v nich je?

Dříve musel uživatel hledat speciální aplikace které pomáhají dešifrovat QR kód, není nyní potřeba nic kromě připojení k internetu. Níže se podíváme na 3 způsoby, jak skenovat a dekódovat QR kódy online.

Metoda 1: IMGonline

Tato stránka je jeden velký zdroj, který má vše pro interakci s obrázky: zpracování, změna velikosti a tak dále. A samozřejmě je tu obrazový procesor s QR kódy, který nás zajímá, což nám umožňuje změnit obrázek pro rozpoznání, jak chceme.

Chcete-li naskenovat požadovaný obrázek, postupujte takto:

Metoda 2: Dekódujte to!

Na rozdíl od předchozího webu je tento zcela založen na pomoci uživatelům na webu dešifrovat obrovské množství dat, od znaků ASCII po soubory MD5. Má poměrně minimalistický design, který vám umožňuje používat jej s mobilní zařízení, ale postrádá jakékoli další funkce, které by pomohly dekódovat QR kódy.

Chcete-li dešifrovat QR kód na tomto webu, budete muset provést následující:

Metoda 3: Foxtools

Co do počtu funkcí a vlastností je online služba Foxtools velmi podobná předchozí stránce, má však i své výhody. Například, tento zdroj umožňuje číst QR kódy z odkazů na obrázky, a proto nemá smysl je ukládat do počítače, což je velmi pohodlné.

Chcete-li si přečíst QR kód v této online službě, musíte provést následující:

Výše prezentované online služby mají řadu pozitivních vlastností, ale mají také nevýhody. Každá z metod je dobrá svým vlastním způsobem, ale je nepravděpodobné, že by se mohly vzájemně doplňovat, pouze pokud používáte stránky s různá zařízení a pro různé účely.

Vzácný příspěvek na blogu Yandex, a zejména příspěvek související s bezpečností, se obešel bez zmínky o dvoufaktorové autentizaci. Dlouho jsme přemýšleli, jak správně posílit ochranu uživatelských účtů, a dokonce tak, aby ji mohli používat bez všech nepříjemností, které dnes nejběžnější implementace zahrnují. A bohužel jsou nepohodlné. Podle některých údajů na mnoha velkých webech podíl uživatelů, kteří zahrnuli dodatečné finanční prostředky autentizace nepřesahuje 0,1 %.

Zdá se, že je to proto, že běžné dvoufaktorové schéma ověřování je příliš komplikované a nepohodlné. Snažili jsme se vymyslet způsob, který by byl pohodlnější bez ztráty úrovně ochrany, a dnes představujeme jeho beta verzi.

Doufáme, že se to rozšíří. Z naší strany jsme připraveni pracovat na jeho vylepšení a následné standardizaci.

Po povolení dvoufaktorové autentizace v Passportu budete muset nainstalovat aplikaci Yandex.Key v App Store nebo Google Play. V autorizačním formuláři domovská stránka Yandex, QR kódy se objevily v Mail a Passport. Vstoupit účet musíte si přečíst QR kód prostřednictvím aplikace - a je to. Pokud QR kód nelze přečíst, například nefunguje fotoaparát chytrého telefonu nebo není přístup k internetu, aplikace vytvoří jednorázové heslo, které bude platné pouze 30 sekund.

Řeknu vám, proč jsme se rozhodli nepoužívat takové „standardní“ mechanismy jako RFC 6238 nebo RFC 4226. Jak fungují běžná dvoufaktorová autentizační schémata? Jsou dvoustupňové. První fází je obvyklá autentizace pomocí uživatelského jména a hesla. Pokud byla úspěšná, web zkontroluje, zda se mu tato uživatelská relace „líbí“ nebo ne. A pokud se vám to „nelíbí“, požádá uživatele o „znovu ověření“. Existují dva běžné způsoby „provedení ověření“: odeslání SMS na telefonní číslo spojené s účtem a vygenerování druhého hesla na smartphonu. Pro generování druhého hesla se v zásadě používá TOTP podle RFC 6238. Pokud uživatel zadal druhé heslo správně, je relace považována za plně autentizovanou, a pokud ne, pak relace ztratí i „předběžnou“ autentizaci.

Obě metody jsou odesílání SMS a vygenerování hesla jsou důkazem vlastnictví telefonu, a proto jsou faktorem dostupnosti. Heslo zadané v první fázi je faktorem znalostí. Proto je toto autentizační schéma nejen dvoufázové, ale také dvoufaktorové.

Co jsme na tomto schématu považovali za problematické?

Začněme tím, že počítač průměrného uživatele nelze vždy nazvat modelem zabezpečení: zde je vypnutí Aktualizace systému Windows, a pirátská kopie antiviru bez moderních podpisů a software pochybného původu ─ to vše nezvyšuje úroveň ochrany. Podle našeho hodnocení je kompromitace počítače uživatele nejrozšířenějším způsobem „ukradení“ účtů (a nedávno se to potvrdilo) a my se před ním chceme v první řadě chránit. V případě dvoufázového ověření, za předpokladu, že je počítač uživatele kompromitován, zadání hesla na něm ohrozí heslo samotné, což je první faktor. To znamená, že útočníkovi stačí zvolit druhý faktor. V případě běžných implementací RFC 6238 je druhým faktorem 6 dekadických číslic (a maximum specifikace je 8 číslic). Podle bruteforce kalkulačky pro OTP je útočník za tři dny schopen zachytit druhý faktor, pokud se nějakým způsobem dozvěděl o prvním. Není jasné, co může služba tomuto útoku čelit, aniž by narušila běžný uživatelský zážitek. Jediným možným dokladem o práci je captcha, což je podle nás až poslední možnost.

Druhým problémem je neprůhlednost úsudku služby o kvalitě uživatelské relace a rozhodnutí o nutnosti „up-autentication“. Horší než to, služba nemá zájem na tom, aby byl tento proces transparentní, ─ ostatně zabezpečení pomocí nejasností zde skutečně funguje. Pokud útočník ví, podle čeho služba rozhoduje o legitimitě relace, může se pokusit tato data zfalšovat. Z obecných úvah můžeme usoudit, že úsudek se provádí na základě historie autentizace uživatele s přihlédnutím k IP adrese (a z ní odvozenému číslu). autonomní systém, která identifikuje poskytovatele, a umístění na základě geobáze) a údaje prohlížeče, jako je název Uživatelský agent a sadu cookies, flash lso a html místní úložiště. To znamená, že pokud útočník ovládá počítač uživatele, pak má možnost nejen ukrást všechna potřebná data, ale také využít IP adresu oběti. Navíc, pokud se rozhoduje na základě ASN, pak jakákoliv autentizace z veřejné Wi-Fi v kavárně může vést k „otravě“ z hlediska bezpečnosti (a vybílení z hlediska služeb) poskytovatele této kavárny a , například vybílení všech kaváren ve městě. Mluvili jsme o fungování systému detekce anomálií a mohl by být aplikován, ale doba mezi první a druhou fází autentizace nemusí stačit k sebevědomému posouzení anomálie. Stejný argument navíc podkopává myšlenku „důvěryhodných“ počítačů: útočník může ukrást jakoukoli informaci, která ovlivňuje posouzení důvěry.

A konečně, dvoufázové ověření je prostě nepohodlné: naše studie použitelnosti ukazují, že nic uživatele nerozčiluje víc než přechodná obrazovka, další stisknutí tlačítka a další „nedůležité“ akce z jeho pohledu.
Na základě toho jsme se rozhodli, že autentizace by měla být jednokroková a prostor pro hesla by měl být mnohem větší, než jaký je možný pod „čistým“ RFC 6238.
Zároveň jsme chtěli zachovat dvoufaktorovou autentizaci.

Multifaktoriálnost v autentizaci je určena přiřazením autentizačních prvků (ve skutečnosti se jim říká faktory) do jedné ze tří kategorií:

1. Faktory znalostí (to jsou tradiční hesla, PIN kódy a vše, co se jim podobá);
2. Faktory vlastnictví (v použitých schématech OTP se obvykle jedná o smartphone, ale může to být i hardwarový token);
3. Biometrické faktory (otisk prstu ─ teď nejčastější, i když někdo si pamatuje epizodu s hrdinou Wesleyho Snipese ve filmu Demolition Man).

Vývoj našeho systému

Když jsme se začali zabývat problémem dvoufaktorové autentizace (první stránky korporátní wiki o tomto problému pocházejí z roku 2012, ale v zákulisí se o tom mluvilo už dříve), první nápad byl vzít standardní způsoby ověření a aplikujte je u nás. Pochopili jsme, že nemůžeme počítat s tím, že si hardwarový token koupí miliony našich uživatelů, a tak byla tato možnost pro některé exotické případy odložena (i když ji úplně neopouštíme, třeba se nám podaří vymyslet něco zajímavého). Hromadně se nepodařilo vyrobit ani SMS metodu: jedná se o velmi nespolehlivý způsob doručování (v nejkritičtějším okamžiku se SMS může zpozdit nebo vůbec nedosáhnou) a odesílání SMS stojí peníze (a operátoři začali zdražovat). Rozhodli jsme se, že používání SMS je údělem bank a dalších netechnologických společností a chceme našim uživatelům nabídnout něco pohodlnějšího. Obecně byl výběr malý: použít smartphone a program v něm jako druhý faktor.

Tato forma jednokrokové autentizace je rozšířená: uživatel si pamatuje PIN kód (první faktor), má hardwarový nebo softwarový (na chytrém telefonu) token, který generuje OTP (druhý faktor). Do pole pro zadání hesla zadá PIN kód a aktuální hodnotu OTP.

Podle našeho názoru, hlavní nevýhoda Toto schéma je stejné jako u dvoufázové autentizace: pokud předpokládáme, že je počítač uživatele kompromitován, pak jediné zadání PIN kódu vede k jeho prozrazení a útočník si může vybrat pouze druhý faktor.

Rozhodli jsme se jít jinou cestou: heslo je celé generováno z tajného klíče, ale pouze část tajemství je uložena ve smartphonu a část je zadávána uživatelem při každém vygenerování hesla. Samotný smartphone je tedy faktorem vlastnictví, zatímco heslo zůstává v hlavě uživatele a je faktorem znalostí.

Nonce může být buď počítadlo nebo aktuální čas. Rozhodli jsme se zvolit aktuální čas, což nám umožňuje nebát se desynchronizace v případě, že někdo vygeneruje příliš mnoho hesel a zvýší počítadlo.

Máme tedy program pro chytrý telefon, kde uživatel zadá svou část tajenky, ta se smíchá s uloženou částí, výsledek se použije jako klíč HMAC, který podepíše aktuální čas, zaokrouhlený na 30 sekund. Výstup HMAC je vykreslen v čitelné podobě a voila - zde je jednorázové heslo!

Jak již bylo zmíněno, RFC 4226 navrhuje zkrátit výsledek HMAC na maximálně 8 desetinných míst. Rozhodli jsme se, že heslo této velikosti není vhodné pro jednokrokové ověření a mělo by být navýšeno. Zároveň jsme chtěli zachovat snadnost použití (protože, pamatujte, chceme vytvořit systém, který budou používat obyčejní lidé, a ne jen bezpečnostní geekové), takže jako kompromis v současná verze systému jsme zvolili zkrácení na 8 znaků latinské abecedy. Zdá se, že 26 ^ 8 hesel platných 30 sekund je celkem přijatelné, ale pokud nám bezpečnostní rozpětí nebude vyhovovat (nebo se na Habrém objeví cenné rady, jak toto schéma vylepšit), rozšíříme například na 10 znaků.

Zjistěte více o síle takových hesel

U latinských písmen, u kterých se nerozlišují malá a velká písmena, je počet možností na znak 26, u velkých a malých latinských písmen plus číslic je počet možností 26+26+10=62. Pak log 62 (26 10) ≈ 7,9, tj. heslo 10 náhodných malých latinských písmen je téměř stejně silné jako heslo 8 náhodných velkých a malých latinských písmen nebo číslic. To určitě stačí na 30 sekund. Pokud mluvíme o 8místném hesle z latinských písmen, pak jeho síla je log 62 (26 8) ≈ 6,3, tedy o něco více než 6místné heslo z velkých, malých písmen a číslic. Myslíme si, že toto je stále přijatelné pro 30sekundové okno.

Magie, bez hesla, aplikace a další kroky

Obecně bychom se tam mohli zastavit, ale chtěli jsme, aby byl systém ještě pohodlnější. Když má člověk v ruce smartphone, nechce zadávat heslo z klávesnice!

Proto jsme začali pracovat na "magickém přihlášení". Při této metodě ověřování uživatel spustí aplikaci na chytrém telefonu, zadá do ní svůj PIN kód a naskenuje QR kód na obrazovce svého počítače. Pokud je PIN kód zadán správně, stránka v prohlížeči se znovu načte a uživatel je ověřen. Kouzlo!

Jak to funguje?

Číslo relace je všito do QR kódu, a když jej aplikace naskenuje, toto číslo se přenese na server spolu s heslem a uživatelským jménem vygenerovaným obvyklým způsobem. Není to těžké, protože smartphone je téměř vždy online. V rozvržení stránky zobrazující QR kód běží JavaScript a čeká na odpověď serveru pro kontrolu hesla s touto relací. Pokud server odpoví, že heslo je správné, je s odpovědí nastaven soubor cookie relace a uživatel je považován za ověřeného.

Zlepšilo se to, ale tady jsme se rozhodli nezastavovat. Počínaje iPhone 5S v telefonech a Tablety Apple Objevil se snímač otisků prstů TouchID a dovnitř verze pro iOS 8 práce s ním je k dispozici a aplikace třetích stran. Ve skutečnosti aplikace nezíská přístup k otisku prstu, ale pokud je otisk správný, aplikace bude mít k dispozici další sekci Keychain. Toho jsme využili. Druhá část tajemství je umístěna do položky Keychain chráněné TouchID, do té, kterou uživatel zadal z klávesnice v předchozím scénáři. Při odemykání Klíčenky se obě části tajemství smíchají a poté proces funguje tak, jak je popsáno výše.

Ale pro uživatele se to stalo neuvěřitelně pohodlným: otevře aplikaci, přiloží prst, naskenuje QR kód na obrazovce a ověří se v prohlížeči na počítači! Faktor znalostí jsme tedy nahradili biometrickým a z uživatelského hlediska zcela opustili hesla. Jsme si jisti, že takové schéma se bude zdát běžným lidem mnohem pohodlnější než ruční zadávání dvě hesla.

Je diskutabilní, jak technicky je dvoufaktorová autentizace, ale ve skutečnosti stále musíte mít telefon a mít platný otisk prstu, abyste jej úspěšně předali, takže si myslíme, že jsme byli docela dobří v tom, jak se zbavit faktoru znalostí a nahradit jej s biometrií. Chápeme, že se spoléháme na zabezpečení ARM TrustZone, která je základem iOS Secure Enclave, a věříme, že v současné době tento subsystém lze v rámci našeho modelu hrozeb považovat za důvěryhodný. Samozřejmě jsme si vědomi problémů biometrické autentizace: otisk prstu není heslo a nelze jej v případě kompromitace nahradit. Ale na druhou stranu každý ví, že bezpečnost je nepřímo úměrná pohodlí a uživatel sám má právo zvolit si poměr jednoho a druhého, který je pro něj přijatelný.

Dovolte mi připomenout, že toto je stále beta. Nyní, když povolíte dvoufaktorové ověřování, dočasně deaktivujeme synchronizaci hesel v Yandex.Browser. To je způsobeno tím, jak je uspořádáno šifrování databáze hesel. Už nyní přicházíme s pohodlným způsobem, jak ověřit Prohlížeč v případě 2FA. Všechny ostatní funkce Yandex fungují jako dříve.

Tady je to, co máme. Vypadá to, že to dopadlo dobře, ale posuďte sami. Rádi si vyslechneme zpětnou vazbu a doporučení a sami budeme i nadále pracovat na zlepšování zabezpečení našich služeb: nově máme spolu s CSP, šifrováním transportu pošty a vším dalším i dvoufaktorovou autentizaci. Mějte na paměti, že autentizační služby a aplikace pro generování OTP jsou kritické, a proto jsou v nich nalezené chyby vypláceny dvojnásobnou odměnou v rámci programu Bug Bounty.

Štítky: Přidat štítky