Yandex.Key loob ühekordseid paroole (OTP), et tagada turvalisem sisselogimine Yandexi, Facebooki, Google'i, GitHubi, Dropboxi, VKontakte'i ja muudesse kahefaktorilist autentimist (2FA) toetavatesse teenustesse. Yandexi teenustesse sisselogimiseks vajate ainult võtme poolt loodud ühekordset parooli, teiste jaoks - ühekordset ja tavalist parooli. - Mõned numbrid või sõrmejälg Yandexi sisselogimise turvaliseks kaitsmiseks ei pea te välja mõtlema keerulisi paroole. Piisab meeles pidada 4 kuni 16 numbrit – Yandex.Key kasutab neid teile kordumatu ühekordse parooli väljastamiseks, mis kehtib vähem kui minuti. Kui te ei soovi PIN-koodi sisestada, lubage seadetes Touch ID Key ja kasutage sõrmejälge. - Andmekaitse Yandex.Key kaitseb teie kontot lisaks häkkimise ja isikliku teabe varguse eest: ainult teie saate oma mobiilseadmesse ühekordseid paroole. - Lihtne ühendus Rakendusse saate kontosid lisada käsitsi – sisestades andmed uuesti ühendatud teenuse saidilt või automaatselt – lugedes sealt QR-koodi. - Töötage võrguühenduseta Rakendusesse kontode lisamiseks ja ühekordsete paroolide loomiseks ei vaja Yandex.Key internetti. Paroolide hankimiseks pole vaja isegi SMS-i. - Lisafunktsioonid Võtmega saab luua kuuekohalisi ja kaheksakohalisi paroole – olenevalt teenuse nõuetest. Lisaks toetab võti ühekordsete paroolide värskendamiseks erinevaid perioode, mitte ainult 30 sekundit (see oleneb kasutatavast teenusest). - Turvastandardid Yandex.Key sobib kahefaktoriliseks (või kaheastmeliseks) autentimiseks kõigis teenustes, mis toetavad RFC-6238 ja RFC-4226 turvastandardeid (välja arvatud need, mis töötavad ainult SMS-iga). - Varundamine Kui seadmega peaks midagi juhtuma, saate Yandexi serveris luua võtmeandmetest varukoopia. See on turvaline: iga koopia krüpteeritakse parooliga, mida teab ainult selle omanik. Lisateavet leiate abilehelt - https://ya.cc/2fa

Ekraanipildid

Arvustused

• Suurepärane rakendus

  Olen kasutanud seda pikka aega, alates 5-st. Nüüd ma ei näe Xs-il probleeme. Ma ei saa aru kommentaaridest kohanematuse kohta. Vanast kuni uus telefon on samuti hästi talutav.

• Regulaarsed tasemevärskendused

  Nagu paljud kirjutavad: üle poole 2019. aastast on juba möödas ning X, XS, XR jaoks pole ikka veel kohandust. Ja poisid ei kiirusta värskendamisega, miks? Alternatiive pole, tuleb ikka kasutada seda, mis on. Kuid FaceID toe puudumine on loomulikult kasutajate metsik hoolimatus. Loobub ainult "värskendus on plaanis kunagi, kuid me ei tea, millal." Hea funktsionaalsus, kohutav teenindus

• Hea funktsionaalsus, kohutav kasutajaliides/UX

  Kes selle kontodega karusselli üldse välja mõtles ... Kui ikooni pole, ei saa kahte kontot eristada ja edasi-tagasi keerata on ebamugavalt jube.

• CHSV läheb mõõtkavast välja

  Autor: Yuyuygyffhdsgbfddes

  Võib-olla peaks Yandex kunagi aru saama, et inimesed, kes panevad oma kontodele 2FA, on inimesed, kes on oma andmete turvalisuse pärast üsna mures ega ole valmis lihtsalt oma telefoninumbrit võtma ja andma. On irooniline, et kuigi rakendust ennast saab kasutada kolmandate osapoolte teenuste jaoks (tänan Yandexi üksikasjaliku selgituse eest), on selle kasutamine Yandexi jaoks sobimatu.

• Ei tööta

  Autor: wrghbqjwjqjqnqtktqjtj

• iPhone X

  Miks pole iPhone X jaoks kohandamist?

• Ei tööta

  Ei tööta! Sisestan antud parooli, kuid sait ei aktsepteeri seda! Sisestasin selle 200 korda tulutult. Kui te ei tea, kuidas kahefaktorilist autentimist teha, siis ärge viitsige!

• Põhjas

  Rakendust pole 2 aastat uuendatud. Nad peksid ta läbi. Näo ID puudub. Pole optimeeritud sälkudega ekraanide jaoks. Liides ei muutu. Ühesõnaga, Yandex tegi skoori.

• Kasutu

  Rakendus töötab eraldi, Yandexi raharakendus töötab eraldi. Koos selle rakendusega Yandex Money ei tööta: ei PIN-koodiga (õigesti sisestatud) ega ka sõrmejäljega. Aeg sünkroniseeritud – tulemus ei paranenud. Lammutatud kui kasutu.

• Pole paha

  Autor Gordon Krants

  Hea rakendus, kuid horisontaalses järjestuses paigutus on äärmiselt ebamugav: (tahaksin näha vertikaalset veergu teenustega ja võimalusega valida tulevastes värskendustes igaühe jaoks ikoon, muidu on raske otsida soovitud kood kui teil on ühes teenuses mitu kontot

• QR-koodi ei lugenud

  Autor Amir Gatin

  Koodi ei saanud installida iPhone 6-le. Ei loe!

• Ei tööta!!!

  Ei saa sisse logida QR-koodi ega ühekordse parooliga! See on kirjatundja!!!

• Ei tekita

  Vale ühekordne parool! Pidevalt ei muutnud kellaaega seadmes

• Pole mugav kasutada

  Meeletult ebamugav...

• Konto

  Tere, mul oli mitte eriti mugav olukord ... Vahetasin telefoni ja ei teinud varukoopiat ning lõpuks kaotasin kõik rakenduses olevad pääsukoodid, kulutasin palju aega kõige taastamiseks . .. noh, sellest ma räägin) tehke selleks, et saaksite konto luua ja kõik automaatselt salvestatakse ... kuna see on jube ebamugav peale uue parooli lisamist telefoniga sõitmiseks varukoopiat teha jne ... ...

• Miks sinu oma?

  Alates 79522370021784380H

  Miks leiutada teist rakendust, kui Authy on olemas? Mind häirib see, et PC-l on vaja vaikimisi seada ~ 4 käivitajat, seega ka telefonis ~ 4 tarkvara 2fa jaoks. See pole mugav, isegi kui võti pole 6-kohaline, vaid 2fa on 2fa, mitte paroolita sisend. Minu jaoks on lihtsam sisestada 6-8 numbrit kui sisestada tähtede komplekt

• Ei saanud kontole sisse logida

  Aitas tehnilist tuge

• näo ID? Ei, pole kuulnud

  Face ID tugi puudub. Rakendus on venitatud, nagu oleks need tehtud neljanda iPhone'i jaoks. Yandex, kas see oled tõesti sina?

• Ikoonid

  Teiselt kasutajanimelt sc

  Tunnen erinevate teenuste jaoks teravat puudust ikoonidest. Olete teinud kõige populaarsematele ikoonid, kuid kahjuks ei tea rakendus paljudest muudest teenustest. Näiteks mega, discord, EA päritolu, Ubisoft Uplay ja just see meenus mulle kohe.

• Vastik

  Miks teha see rakendus kohustuslikuks ja mitte sellest kinni pidada? Kus on iphone x ja uuemate versioonide tugi? Rakendus avaneb poolele ekraanile ... Sellest on möödunud 2 aastat, kui sel põhjusel Yandexist lahkusin. Arvasin, et tavaline seltskond, aga tegelikult oli kambüüs täis.

• Toetus lõppes

  Uuendage uute seadmete jaoks

• Nii et ma ei oodanud

  Rakendust pole uute seadmete jaoks värskendatud.

• Kohanemine

  Õnnest 5

  Kohandage rakendust XR-i jaoks

• Töötab valesti

  Castor888-st

  Peale rakenduse installimist ja kahefaktorilist autentimist annab PIN-koodi sisestamisel veateate, et pin-kood on vale

• Värskenda

  NIKOLA-lt

  Ma ei saa aru, kuidas oli võimalik teha nii lahe ja igas mõttes täiustatud rakendus ja siis see võtta ja sellest loobuda. Ikka pole iPhone X jaoks kohandatud! Kuidas hoida nii olulist rakendust ilma uuendusteta 2 aastat?

• Ärge oodake värskendusi

  Aasta jooksul pole värskendusi .. iPhone XR, XS ei toeta Touch ID-d ei toeta .. Nad ei oska öelda, millal värskendus tuleb .. Yandex 🤦‍♂️

• Kohutav

  Autor: JinMariachi

  Seadistasin selle androidis, kõik on korras, proovin seda teha iPhone'is, see ei tööta, logige uuesti androidile sisse, see lakkas ka töötamast! Üritan taastada, sisestasin kõik, sisestasin telefonist koodi, ei, ikka ei piisa ja kasutage sagedamini brauserit, millega töötate.. kas saate ikka anda sõrmejälgi? Nii palju jama, lihtsalt midagi, mida kuradi Yandexi muusikasse sisse logida. Tõsiselt öeldes on lihtsam iga kord uusi kontosid luua kui proovida juurdepääsu taastada. Kui sa ei saa seda õigesti teha, siis ära tee seda.

• Värskenda lõpuks

  iPhone X-is näeb vastik välja.

• Ergonoomika ei meeldinud

  Lugesin teie artiklit Habré kohta. Hästi tehtud. Miks just sellise meele ja lähenemisega on nii painajalik liides ja kõik sellega seonduv. Disainitud valdavate tehniliste oskustega inimeste poolt. 8 pööki koos - ka samast sarjast. Kas arendajad/disainerid ise on seda 2fa-d kunagi kasutanud? Muidugi on 2x3 meeldejätmine lihtsam. Ja 8 tegelast on kõik koos – see on lihtsalt tina.

• -

  AndiŽdanovi poolt

  Töötab vastik, tee midagi

• Õudus!! Seal oli hunnik võtmeid küljes. VARUNDUS tehtud.

  Ja pärast telefoni vahetamist taastan varukoopiast ja kirjutan, pole midagi !! Kuidas see on? vastik!!

• Aitäh

  Lahe rakendus, aga tahtsin, et oleks võimalik kontode loendi vaadet muuta. Kui neid on tõesti palju, pole praegune vaade mugav. Palun tehke nimekiri!!

• Mut

  Anton Grigorjevilt

  Raske, eriti telefoni vahetamine. Pole kohandatud põrandale kaasaegsed ekraanid.

• Vajad värskendust!

  Mõnikord jookseb see käivitamisel kokku. Toe saamiseks värskendage rakendust Uusim versioon iOS ja tume teema!!

• Super rakendus!

  George Efronilt

  Palju mugavam kui Google'i rakendus, kuid selle puudumisel 4 tärni iPhone'i tugi XS max.

Tähelepanu. Yandexis arendatud rakendused nõuavad ühekordset parooli - isegi õigesti loodud rakenduste paroolid ei tööta.

1. Logige sisse QR-koodiga
2. Yandex.Key ülekandmine
3. Peaparool
4. Kuidas ühekordsed paroolid sõltuvad täpsest ajast

Logige sisse Yandexi teenusesse või rakendusse

Saate sisestada ühekordse parooli mis tahes Yandexi autoriseerimisvormi või Yandexi välja töötatud rakendustes.

Märge.

Ühekordne parool tuleb sisestada õigeaegselt, kuni see on rakenduses kuvatud. Kui värskenduseni on jäänud liiga vähe aega, oodake lihtsalt uut parooli.

Ühekordse parooli saamiseks käivitage Yandex.Key ja sisestage PIN-kood, mille määrasite kahefaktorilise autentimise seadistamisel. Rakendus hakkab paroole genereerima iga 30 sekundi järel.

Yandex.Key ei kontrolli sisestatud PIN-koodi ja genereerib ühekordseid paroole isegi siis, kui sisestasite PIN-koodi valesti. Sel juhul osutuvad ka loodud paroolid valedeks ja nendega ei saa sisse logida. Õige PIN-koodi sisestamiseks lihtsalt väljuge rakendusest ja käivitage see uuesti.

Logige sisse QR-koodiga

Mõned teenused (näiteks Yandexi koduleht, Passport ja Mail) võimaldavad teil Yandexi sisse logida, suunates kaamera lihtsalt QR-koodile. Samal ajal peab teie mobiilseade olema Internetiga ühendatud, et Yandex.Key saaks autoriseerimisserveriga ühendust võtta.

Klõpsake brauseris QR-koodi ikooni.

Kui sisselogimisvormis sellist ikooni pole, siis seda teenust Sisse logida saab ainult parooliga. Sel juhul saate sisse logida passis oleva QR-koodi abil ja seejärel minna soovitud teenusesse.

Sisestage Yandex.Key PIN-kood ja klõpsake nuppu Logi sisse QR-koodi abil.

Suunake oma seadme kaamera brauseris kuvatavale QR-koodile.

Yandex.Key tuvastab QR-koodi ja saadab teie sisselogimise ja ühekordse parooli Yandex.Passportile. Kui nad testi läbivad, logite automaatselt oma brauserisse sisse. Kui edastatud parool osutub valeks (näiteks seetõttu, et sisestasite Yandex.Key's PIN-koodi valesti), kuvab brauser standardsõnumi vale parooli kohta.

Yandexi kontoga sisselogimine kolmanda osapoole rakendusse või veebisaidile

Rakendused või saidid, mis vajavad juurdepääsu teie Yandexi andmetele, nõuavad mõnikord kontole sisselogimiseks parooli sisestamist. Sellistel juhtudel ühekordsed paroolid ei tööta – iga sellise rakenduse jaoks tuleb luua eraldi rakenduse parool.

Tähelepanu. Yandexi rakendustes ja teenustes töötavad ainult ühekordsed paroolid. Isegi kui loote rakenduse parooli, näiteks Yandex.Diski jaoks, ei saa te sellega sisse logida.

Yandex.Key ülekandmine

Saate üle kanda ühekordsete paroolide genereerimise teise seadmesse või seadistada Yandex.Key mitmes seadmes korraga. Selleks avage leht Juurdepääsu kontroll ja klõpsake nuppu Seadme vahetus.

Mitmed Yandex.Key kontod

Sama Yandex.Key saab kasutada mitme konto jaoks ühekordsete paroolidega. Rakendusse teise konto lisamiseks puudutage 3. sammus ühekordsete paroolide seadistamisel rakenduses ikooni. Lisaks saate Yandex.Key-le lisada paroolide genereerimise muude teenuste jaoks, mis toetavad sellist kahefaktorilist autentimist. Juhised kõige jaoks populaarsed teenused on antud lehel mitte Yandexi jaoks mõeldud kinnituskoodide loomise kohta.

Konto ja Yandex.Key linkimise tühistamiseks puudutage ja hoidke rakenduses vastavat portreed, kuni sellest paremale ilmub rist. Kui klõpsate ristil, eemaldatakse teie konto linkimine Yandex.Keyga.

Tähelepanu. Kui kustutate konto, millel on lubatud ühekordsed paroolid, ei saa te Yandexi sisselogimiseks ühekordset parooli hankida. Sel juhul on vaja juurdepääs taastada.

PIN-koodi asemel sõrmejälg

Pin-koodi asemel sõrmejälge saab kasutada järgmistes seadmetes.

nutitelefonid all Androidi juhtimine 6.0 ja sõrmejäljeskanner;

iPhone alates mudelist 5s;

iPad alates Õhumudelid 2.

Märge.

iOS-i nutitelefonides ja tahvelarvutites saab sõrmejäljest mööda minna, sisestades seadme pääsukoodi. Selle eest kaitsmiseks lülitage sisse põhiparool või muutke parool keerulisemaks: avage rakendus Seaded ja valige Touch ID ja parool .

Sõrmejälje kinnitamise lubamiseks toimige järgmiselt.

Peaparool

Oma ühekordsete paroolide täiendavaks kaitsmiseks looge põhiparool: → Peaparool .

Põhiparooliga saate:

veenduge, et sõrmejälje asemel saate sisestada ainult Yandex.Key peaparooli, mitte seadme lukukoodi;

Yandex.Key andmete varukoopia

Saate Yandexi serveris luua võtmeandmetest varukoopia, et saaksite need taastada, kui kaotate rakendusega telefoni või tahvelarvuti. Kõigi koopia loomise ajal võtmele lisatud kontode andmed kopeeritakse serverisse. Rohkem kui ühte varukoopiat ei saa luua, iga järgmine konkreetse telefoninumbri andmete koopia asendab eelmise.

Varukoopiast andmete hankimiseks peate:

omada juurdepääsu telefoninumbrile, mille määrasite selle loomisel;

pidage meeles varukoopia krüptimiseks määratud parooli.

Tähelepanu. Varukoopia sisaldab ainult ühekordsete paroolide genereerimiseks vajalikke sisselogimisi ja saladusi. Pin-koodi, mille määrasite Yandexis ühekordsete paroolide lubamisel, tuleb meeles pidada.

Varukoopiat ei ole veel võimalik Yandexi serverist kustutada. Kui te seda aasta jooksul pärast loomist ei kasuta, kustutatakse see automaatselt.

Looge varukoopia

Valige üksus Looge varukoopia rakenduse seadetes.

Sisestage telefoninumber, millega varundus lingitakse (näiteks "71234567890" "380123456789") ja klõpsake nuppu Edasi.

Yandex saadab sisestatud telefoninumbrile kinnituskoodi. Kui olete koodi kätte saanud, sisestage see rakendusse.

Andmete varukoopia krüptimiseks looge parool. Seda parooli ei saa taastada, seega veenduge, et te seda ei unustaks ega kaotaks.

Sisestage oma parool kaks korda ja klõpsake nuppu Valmis. Yandex.Key krüpteerib varukoopia, saadab selle Yandexi serverisse ja teavitab teid sellest.

Küsimus, kuidas saada Yandex Money hädaabikood ilma SMS-ita, tekib kasutajate seas olukordades, mida tavaliselt nimetatakse vääramatu jõuks. Kui olete regulaarselt kasutatud parooli kaotanud, mingil põhjusel ei saa te ühekordse šifriga SMS-i, ei leia koodimärkide komplektiga plaati, ei saa te selle pärast muretseda. Just sellisteks puhkudeks on teenus pakkunud hädaabivõimalust. Saate taotleda Yandex Money hädaabikoode ja sooritada maksetehingu.

Money.yandex.ru paroolid igaks juhuks

Kõik teenuse kasutajad ei tea, kui laiad on selle võimalused raharinglusega seotud. Yandexi finantsteenuste kasutamiseks pakutakse järgmist tüüpi paroole:

• sissetulevad SMS-id;
• rakenduste jaoks asjakohased QR-koodid;
• hädaolukordades kasutatavad märgistikud.

Just viimast käsitleme üksikasjalikumalt. Ärge ajage neid segamini tavaliste numbritega, mida rahaülekande lõpuleviimiseks SMS-is ootate. Neil on pisut teistsugune omadus kui hetkel moekatel QR-paroolidel, mida saab seadme kaameraga skaneerida.

Mida peate teadma hädaabikoodide kohta

Niisiis, mis on Yandex Money hädaabikoodid, kuidas neid hankida ja miks neid vaja on? Olukord, kui soovite kiiresti osa raha rahakotist välja võtta, täitke kõik vajalikud väljad, kuid te ei saa protsessi lõpule viia, kuna SMS-i ei tule, on tuttav kõigile. Enamasti juhtub see rändluses. Probleemi teine ​​variant on surnud telefon, millesse rakendus on installitud. Mõlemal juhul, kui hädaabikoodi poleks, ei saaks kasutajad Yandex Money kaudu maksetehingut teha. Šifrid seda tüüpi erinevad QR-st ja toimivad sarnaselt tavaliste ühekordsete märgikomplektidega. Ükskõik millise toimingu teete, nad aitavad teid ja võimaldavad teil selle lõpule viia.

Juhised hädaabikoodi saamiseks

Igaüks teab, kuidas standardšifr või QR tuleb. Samuti saate lihtsalt tellida hädaolukorra märgistiku. Selle erinevus seisneb ainult päringu esialgsetes põhjustes, mis on seotud sellega, et kasutaja ei saa summat välja võtta, kuna ei saa viimases aknas soovitud numbreid sisestada.

Kui leiate end sarnasest olukorrast, peaks teie tegevuste algoritm olema järgmine:

1. Otsige linki "Hangi hädaabikood".
2. Sisestage parool (ühekordne).
3. Printige koodileht välja.

Tähelepanu: isegi kui arvutisse on installitud kaasaegne kaitsesüsteem viiruste ja volitamata isikute sissetungimise eest, ärge mingil juhul salvestage koode selle mällu. Pärast printimist kustutage fail kohe.

Mõned kasutajad on kindlad, et saadud šifreid tuleks kasutada selges järjestuses. Tegelikult saate neid valida oma äranägemise järgi.

Juhtub, et saadud leht suletakse kogemata või läheb kaotsi. See on korras. Nagu ülalpool kirjeldatud, taotlege uusi koode. Kui äkitselt said kõrvalised isikud kinni mõne šifriga kooditüki, tellige raha kaitsmiseks viivitamatult uued koodid. Kui teete seda, muutuvad vanad märgistikud kehtetuks ja kasutuks. Yandex Money turvateenus teeb kõik, et kaitsta klientide raha. Viimase ülesanne on olla valvas ja aidata tal seda rasket ülesannet täita.

Internetis on võimatu kohata inimest, kes poleks vähemalt kõrvanurgast midagi kuulnud QR-koodidest. Kuna võrk on viimastel aastakümnetel populaarsust kogunud, on kasutajad kohustatud omavahel andmeid edastama. erinevaid viise. QR-koodid on täpselt teabe "kaupleja", mille kasutaja sinna krüpteeris. Küsimus on aga hoopis teine ​​– kuidas selliseid koode dešifreerida ja nendes sisalduvat kätte saada?

Varem pidi kasutaja otsima spetsiaalsed rakendused mis aitavad QR-koodi dešifreerida, pole praegu vaja midagi peale Interneti-ühenduse. Allpool vaatleme 3 võimalust QR-koodide veebis skannimiseks ja dekodeerimiseks.

1. meetod: IMGonline

See sait on üks suur allikas, kus on kõik piltidega suhtlemiseks: töötlemine, suuruse muutmine ja nii edasi. Ja loomulikult on meile huvipakkuv QR-koodidega pildiprotsessor, mis võimaldab pilti äratundmiseks oma äranägemise järgi muuta.

Huvipakkuva pildi skannimiseks toimige järgmiselt.

2. meetod: dekodeerige see!

Erinevalt eelmisest saidist põhineb see täielikult sellel, et aidata kasutajatel veebis lahti krüptida tohutul hulgal andmeid, alates ASCII-märkidest kuni MD5-failideni. Sellel on üsna minimalistlik disain, mis võimaldab teil seda koos kasutada mobiilseadmed, kuid sellel puuduvad muud funktsioonid, mis aitaksid QR-koode dekodeerida.

Sellel saidil oleva QR-koodi dekrüpteerimiseks peate tegema järgmist.

3. meetod: Foxtools

Funktsioonide ja funktsioonide arvu poolest on Foxtoolsi võrguteenus väga sarnane eelmisele saidile, kuid sellel on ka oma eelised. Näiteks, see ressurss võimaldab lugeda QR-koode linkidelt piltideni ja seetõttu pole mõtet neid arvutisse salvestada, mis on väga mugav.

QR-koodi lugemiseks selles võrguteenuses peate tegema järgmist.

Ülaltoodud võrguteenustel on mitmeid positiivseid omadusi, kuid neil on ka puudusi. Kõik meetodid on omal moel head, kuid tõenäoliselt ei suuda need üksteist täiendada ainult siis, kui kasutate saite erinevaid seadmeid ja erinevatel eesmärkidel.

Haruldane postitus Yandexi ajaveebis ja eriti turvalisusega seotud postitus ei maininud kahefaktorilist autentimist. Oleme pikka aega mõelnud, kuidas kasutajakontode kaitset õigesti tugevdada ja isegi nii, et nad saaksid seda kasutada ilma igasuguste ebamugavusteta, mis hõlmavad tänapäeval levinumaid rakendusi. Ja paraku on nad ebamugavad. Mõnedel andmetel on paljudel suurtel saitidel kaasatud kasutajate osakaal täiendavaid vahendeid autentimine ei ületa 0,1%.

Selle põhjuseks näib olevat see, et levinud kahefaktoriline autentimisskeem on liiga keeruline ja ebamugav. Püüdsime välja mõelda meetodi, mis oleks mugavam ilma kaitsetaset kaotamata, ja täna tutvustame selle beetaversiooni.

Loodame, et see levib laiemalt. Oleme omalt poolt valmis töötama selle täiustamise ja hilisema standardimise nimel.

Pärast kahefaktorilise autentimise lubamist Passportis peate installima rakenduse Yandex.Key App Store'ist või Google Playst. Volituse vormis avaleht Yandex, QR-koodid ilmusid postis ja passis. Sisenema konto peate rakenduse kaudu QR-koodi lugema - ja kõik. Kui QR-koodi ei saa lugeda, näiteks nutitelefoni kaamera ei tööta või puudub juurdepääs internetile, loob rakendus ühekordse parooli, mis kehtib vaid 30 sekundit.

Ma ütlen teile, miks me otsustasime mitte kasutada selliseid "standardseid" mehhanisme nagu RFC 6238 või RFC 4226. Kuidas tavalised kahefaktorilised autentimisskeemid töötavad? Need on kaheastmelised. Esimene etapp on tavaline autentimine kasutajanime ja parooliga. Kui see õnnestus, kontrollib sait, kas see kasutajaseanss "meeldib" või mitte. Ja kui teile "ei meeldi", palub kasutajal "uuesti autentida". Autentimiseks on kaks levinud meetodit: SMS-i saatmine kontoga seotud telefoninumbrile ja nutitelefonis teise parooli genereerimine. Põhimõtteliselt kasutatakse teise parooli genereerimiseks TOTP-d vastavalt RFC 6238. Kui kasutaja sisestas teise parooli õigesti, loetakse seanss täielikult autentituks ja kui mitte, siis kaotab seanss ka “eelse” autentimise.

Mõlemad meetodid on SMS-i saatmine ja parooli genereerimine on tõend telefoni omandiõiguse kohta ja on seetõttu kättesaadavuse tegur. Esimeses etapis sisestatud parool on teadmiste tegur. Seetõttu pole see autentimisskeem mitte ainult kaheastmeline, vaid ka kahefaktoriline.

Mida me selles skeemis probleemset leidsime?

Alustame sellest, et tavakasutaja arvutit ei saa alati nimetada turvamudeliks: siin on väljalülitamine Windowsi värskendused, ja viirusetõrje piraatkoopia ilma kaasaegsete signatuurideta ja kahtlase päritoluga tarkvara ─ see kõik ei tõsta kaitsetaset. Meie hinnangul on kasutaja arvuti kompromiteerimine kõige levinum viis kontode “kaaperdamiseks” (ja hiljuti oli sellele veel üks kinnitus) ning me tahame end selle eest ennekõike kaitsta. Kaheastmelise autentimise korral, eeldades, et kasutaja arvuti on ohustatud, ohustab sellesse parooli sisestamine parooli ennast, mis on esimene tegur. See tähendab, et ründajal tuleb valida vaid teine ​​tegur. Tavaliste RFC 6238 rakenduste puhul on teine ​​tegur 6 kümnendkohta (ja spetsifikatsiooni maksimum on 8 numbrit). OTP jõhkra jõu kalkulaatori järgi suudab ründaja kolme päevaga teise teguri üles korjata, kui ta esimesest kuidagi teada sai. Pole selge, milline teenus suudab sellele rünnakule vastu seista, ilma et see häiriks tavalist kasutajakogemust. Ainus võimalik töötõend on captcha, mis on meie arvates viimane abinõu.

Teine probleem on teenuse läbipaistmatus kasutajaseansi kvaliteedi kohta ja otsus "ülesautentimise" vajaduse kohta. Hullem kui see, teenus ei ole huvitatud selle protsessi läbipaistvaks muutmisest, ─ ju tegelikult toimib siin turvalisus ebaselguse abil. Kui ründaja teab, mida teenus seansi legitiimsuse kohta otsustab, võib ta proovida neid andmeid võltsida. Üldiste kaalutluste põhjal võime järeldada, et otsus tehakse kasutaja autentimisajaloo põhjal, võttes arvesse IP-aadressi (ja sellest tuletatud numbrit). autonoomne süsteem, mis tuvastab teenusepakkuja ja asukoha, mis põhineb geobaasil) ja brauseri andmetel (nt pealkiri) Kasutaja agent ja küpsiste komplekt, flash LSO ja html kohalik salvestusruum. See tähendab, et kui ründaja kontrollib kasutaja arvutit, siis on tal võimalus mitte ainult varastada kõiki vajalikke andmeid, vaid kasutada ka ohvri IP-aadressi. Veelgi enam, kui otsus tehakse ASN-i alusel, võib igasugune avalikust WiFi-st autentimine kohvikus kaasa tuua turvalisuse "mürgituse" (ja teenuse osas valgendamise) selle kohviku pakkuja ja , näiteks kõigi linna kohvikute valgendamine. Rääkisime anomaaliate tuvastamise süsteemi tööst ja seda saab rakendada, kuid autentimise esimese ja teise etapi vaheline aeg ei pruugi olla piisav anomaalia kohta enesekindlaks otsustamiseks. Lisaks õõnestab see sama argument "usaldusväärsete" arvutite ideed: ründaja võib varastada mis tahes teavet, mis mõjutab usaldust.

Lõpuks on kaheastmeline kinnitamine lihtsalt ebamugav: meie kasutatavuse uuringud näitavad, et miski ei ärrita kasutajaid rohkem kui vahepealne ekraan, lisanupuvajutused ja muud tema seisukohast ebaolulised toimingud.
Selle põhjal otsustasime, et autentimine peaks olema üheastmeline ja parooliruum peaks olema palju suurem kui "puhta" RFC 6238 all võimalik.
Samal ajal soovisime säilitada kahefaktorilise autentimise nii palju kui võimalik.

Autentimise mitmefaktorilisus määratakse autentimiselementide (tegelikult nimetatakse neid teguriteks) määramisega ühte kolmest kategooriast:

1. Teadmistegur (need on traditsioonilised paroolid, PIN-koodid ja kõik, mis neile sarnaneb);
2. Omanditegurid (kasutatud OTP-skeemides on selleks tavaliselt nutitelefon, kuid see võib olla ka riistvara token);
3. Biomeetrilised tegurid (sõrmejälg ─ praegu kõige levinum, kuigi keegi mäletab episoodi Wesley Snipesi kangelasega filmis Demolition Man).

Meie süsteemi arendamine

Kui hakkasime tegelema kahefaktorilise autentimise probleemiga (ettevõtte viki esimesed leheküljed sellel teemal pärinevad 2012. aastast, aga kulisside taga räägiti sellest ka varem), oli esimene mõte võtta standardsed viisid autentimist ja rakendage neid koos meiega. Saime aru, et me ei saa loota, et miljonid kasutajad ostavad riistvaramärgi, mistõttu lükati see valik mõne eksootilise juhtumi puhul edasi (ehkki me sellest täielikult ei loobu, võib-olla suudame midagi huvitavat välja mõelda). SMS-i meetodit ei saanud ka masstootmine: see on väga ebausaldusväärne kohaletoimetamise viis (kõige olulisemal hetkel võib SMS hilineda või üldse mitte jõuda) ja SMS-i saatmine maksab raha (ja operaatorid on hakanud hinda tõstma). Otsustasime, et SMS-i kasutamine on pankade ja muude mittetehnoloogiliste ettevõtete jagu ning meie kasutajad soovivad pakkuda midagi mugavamat. Üldiselt oli valik väike: kasutada teise tegurina nutitelefoni ja selles olevat programmi.

See üheastmelise autentimise vorm on laialt levinud: kasutaja mäletab pin-koodi (esimene tegur), tal on riist- või tarkvara (nutitelefonis) tunnus, mis genereerib OTP (teine ​​tegur). Parooli sisestamise väljale sisestab ta pin-koodi ja praeguse OTP väärtuse.

Meie arvates peamine puudus See skeem on sama, mis kaheastmelise autentimise puhul: kui eeldame, et kasutaja töölaud on rikutud, siis üksainus PIN-koodi sisestamine viib selle avalikustamiseni ja ründaja saab valida ainult teise teguri.

Otsustasime minna teist teed: parool genereeritakse täielikult saladusest, kuid ainult osa saladusest salvestatakse nutitelefoni ja selle osa sisestab kasutaja iga kord, kui parool genereeritakse. Seega on nutitelefon ise omandifaktor, parool aga jääb kasutaja pähe ja on teadmiste faktor.

Nonce võib olla kas loendur või praegune kellaaeg. Otsustasime valida praeguse aja, see võimaldab meil mitte karta desünkroniseerimist, kui keegi genereerib liiga palju paroole ja suurendab loendurit.

Niisiis, meil on nutitelefoni jaoks programm, kuhu kasutaja sisestab oma osa saladusest, see segatakse salvestatud osaga, tulemust kasutatakse HMAC-võtmena, mis allkirjastab praeguse kellaaja ümardatuna 30 sekundini. HMAC-väljund renderdatakse loetaval kujul ja voila – siin on ühekordne parool!

Nagu juba mainitud, soovitab RFC 4226 kärpida HMAC-i tulemus maksimaalselt 8 kümnendkohani. Otsustasime, et sellise suurusega parool ei sobi üheastmeliseks autentimiseks ja seda tuleks suurendada. Samal ajal tahtsime säilitada kasutusmugavust (sest pidage meeles, tahame luua süsteemi, mida kasutavad tavalised inimesed, mitte ainult turvanörid), et kompromissiks praegune versioon süsteemi, valisime kärbimise 8 ladina tähestiku tähemärgini. Tundub, et 26 ^ 8 30 sekundit kehtivat parooli on täiesti vastuvõetav, aga kui turvamarginaal meile ei sobi (või ilmuvad Habrele väärtuslikud näpunäited selle skeemi täiustamiseks), laiendame näiteks 10 märgini.

Lisateave selliste paroolide tugevuse kohta

Tõepoolest, tõstutundlike ladina tähtede puhul on valikute arv märgi kohta 26, suurte ja väikeste ladina tähtede pluss numbrite puhul on valikute arv 26+26+10=62. Seejärel logi 62 (26 10) ≈ 7,9, st 10 juhuslikust väikesest ladina tähest koosnev parool on peaaegu sama tugev kui 8 juhuslikust ülemisest ja alumisest ladina tähest või numbrist koosnev parool. Sellest piisab kindlasti 30 sekundiks. Kui rääkida ladina tähtedest 8-kohalisest paroolist, siis selle tugevus on log 62 (26 8) ≈ 6,3 ehk natuke rohkem kui 6-kohaline suurtest, väikestest tähtedest ja numbritest koosnev parool. Arvame, et see on 30-sekundilise akna puhul endiselt vastuvõetav.

Maagia, paroolivabadus, rakendused ja järgmised sammud

Üldiselt võiksime sellega peatuda, kuid tahtsime süsteemi veelgi mugavamaks muuta. Kui inimesel on nutitelefon käes, ei taha ta parooli klaviatuurilt sisestada!

Seetõttu alustasime tööd "maagilise sisselogimisega". Selle autentimismeetodiga käivitab kasutaja oma nutitelefonis rakenduse, sisestab sellesse oma pin-koodi ja skannib arvutiekraanilt QR-koodi. Kui PIN-kood on õigesti sisestatud, laaditakse leht brauseris uuesti ja kasutaja autentitakse. Maagia!

Kuidas see töötab?

Seansi number õmmeldakse QR-koodi sisse ja kui rakendus seda skannib, edastatakse see number koos tavapärasel viisil genereeritud parooli ja kasutajanimega serverisse. See pole keeruline, sest nutitelefon on peaaegu alati võrgus. QR-koodi näitava lehe küljenduses töötab JavaScript, mis ootab serverilt vastust, et selle seansiga parooli kontrollida. Kui server vastab, et parool on õige, seatakse vastusega seansiküpsis ja kasutaja loetakse autentituks.

Läks paremaks, aga siin otsustasime mitte peatuda. Alates iPhone 5S-st telefonides ja Apple'i tahvelarvutid Ilmus TouchID sõrmejäljeskanner ja sisse iOS-i versioonid 8 tööd temaga on saadaval ja kolmanda osapoole rakendused. Tegelikult rakendus sõrmejäljele ligi ei pääse, aga kui sõrmejälg on õige, siis muutub rakendusele kättesaadavaks täiendav Keychaini sektsioon. Seda me kasutasime ära. Saladuse teine ​​osa asetatakse TouchID-ga kaitstud võtmehoidja kirjesse, mille kasutaja eelmises stsenaariumis klaviatuurilt sisestas. Võtmehoidja avamisel segatakse kaks saladuse osa ja seejärel toimib protsess ülalkirjeldatud viisil.

Kuid kasutaja jaoks on see muutunud uskumatult mugavaks: ta avab rakenduse, paneb sõrme, skannib ekraanil oleva QR-koodi ja autenditakse arvuti brauseris! Seega asendasime teadmiste teguri biomeetrilisega ja kasutaja seisukohalt loobusime paroolidest täielikult. Oleme kindlad, et selline skeem tundub tavainimestele palju mugavam kui käsitsi sisestamine kaks parooli.

See on vaieldav, kui tehniliselt on kahefaktoriline autentimine, kuid tegelikkuses peab selle edukaks edastamiseks siiski olema telefon ja kehtiv sõrmejälg, nii et me arvame, et oleme teadmisfaktorist vabanemisel ja selle asendamisel päris hästi hakkama saanud. biomeetriaga. Mõistame, et tugineme iOS-i turvalise enklaavi aluseks oleva ARM TrustZone'i turvalisusele ja usume, et praegu seda alamsüsteemi võib meie ohumudelis pidada usaldusväärseks. Muidugi oleme teadlikud biomeetrilise autentimise probleemidest: sõrmejälg ei ole parool ja seda ei saa ohu korral asendada. Kuid teisest küljest teavad kõik, et turvalisus on pöördvõrdeline mugavusega ning kasutajal endal on õigus valida ühe ja teise tema jaoks vastuvõetav suhe.

Lubage mul teile meelde tuletada, et see on endiselt beetaversioon. Nüüd, kui lubate kahefaktorilise autentimise, keelame ajutiselt Yandex.Browseris paroolide sünkroonimise. See on tingitud sellest, kuidas paroolide andmebaasi krüptimine on korraldatud. Oleme juba välja töötamas mugava viisi brauseri autentimiseks 2FA puhul. Kõik muud Yandexi funktsioonid töötavad nagu varem.

Siin on see, mis meil on. Näib, et see osutus hästi, aga kohtunikuks jää sina. Kuulame hea meelega tagasisidet ja soovitusi ning jätkame ka ise tööd oma teenuste turvalisuse parandamise nimel: nüüd on meil koos CSP, postitranspordi krüpteerimise ja kõige muuga ka kahefaktoriline autentimine. Pidage meeles, et autentimisteenused ja OTP genereerimise rakendused on kriitilise tähtsusega ning seetõttu makstakse neis leitud vead programmi Bug Bounty raames boonusena välja kaks korda.

Sildid: lisa sildid