Yandex.Key گذرواژه‌های یک‌بار مصرف (OTP) را برای ورود امن‌تر به Yandex، Facebook، Google، GitHub، Dropbox، VKontakte و سایر سرویس‌هایی که از احراز هویت دو مرحله‌ای (2FA) پشتیبانی می‌کنند، تولید می‌کند. برای ورود به سرویس های Yandex، فقط به رمز عبور یک بار مصرف ایجاد شده توسط Key نیاز دارید، برای دیگران - یک رمز عبور یک بار مصرف و رمز معمول خود. - چند عدد یا اثر انگشت برای محافظت مطمئن از ورود به سیستم Yandex، نیازی به ایجاد رمزهای عبور پیچیده ندارید. کافی است 4 تا 16 رقم را به خاطر بسپارید - با استفاده از آنها Yandex.Key یک رمز عبور منحصر به فرد یک بار مصرف با مدت اعتبار کمتر از یک دقیقه به شما می دهد. اگر نمی‌خواهید پین خود را وارد کنید، Touch ID را در تنظیمات کلید فعال کنید و از اثر انگشت خود استفاده کنید. - حفاظت از داده Yandex.Key علاوه بر این از حساب شما در برابر هک و سرقت اطلاعات شخصی محافظت می کند: فقط شما رمزهای عبور یک بار مصرف را در دستگاه تلفن همراه خود دریافت خواهید کرد. - اتصال ساده می‌توانید به صورت دستی حساب‌ها را به برنامه اضافه کنید - با چاپ مجدد داده‌ها از وب‌سایت سرویسی که به آن متصل می‌شوید، یا به صورت خودکار - با خواندن کد QR از آنجا. - کار آفلاین برای افزودن حساب به برنامه و ایجاد رمزهای عبور یک بار مصرف، Yandex.Key به اینترنت نیاز ندارد. شما حتی برای دریافت رمز عبور نیازی به پیامک ندارید. - ویژگی های اضافی کلید می تواند رمزهای عبور شش رقمی و هشت رقمی را ایجاد کند - بسته به نیازهای سرویس. علاوه بر این، کلید از دوره های مختلف برای به روز رسانی رمزهای عبور یک بار مصرف پشتیبانی می کند، نه تنها 30 ثانیه (بستگی به سرویس مورد استفاده دارد). - استانداردهای امنیتی Yandex.Key برای احراز هویت دو مرحله ای (یا دو مرحله ای) در همه سرویس هایی که از استانداردهای امنیتی RFC-6238 و RFC-4226 پشتیبانی می کنند (به استثنای مواردی که فقط با پیامک کار می کنند) مناسب است. - پشتیبان گیری در صورتی که برای دستگاه شما اتفاقی بیفتد، می توانید یک نسخه پشتیبان از داده های کلید در سرور Yandex ایجاد کنید. ایمن است: هر کپی با رمز عبوری رمزگذاری شده است که فقط مالک آن می شناسد. در صفحه راهنما بیشتر بخوانید - https://ya.cc/2fa

اسکرین شات ها

بررسی ها

• برنامه عالی

  من خیلی وقته از 5s استفاده میکنم. الان هیچ مشکلی روی Xs نمیبینم. من بازخورد مربوط به عدم انطباق را درک نمی کنم. از قدیم تا تلفن جدیدهمچنین، همه چیز به خوبی تحمل می شود.

• به روز رسانی سطح منظم

  همانطور که بسیاری از مردم می نویسند: بیش از نیمی از سال 2019 گذشته است و هنوز هیچ اقتباسی برای X، XS، XR وجود ندارد. و بچه ها عجله ای برای به روز رسانی ندارند، چرا؟ هیچ جایگزینی وجود ندارد، شما همچنان باید از آنچه دارید استفاده کنید. اما عدم پشتیبانی از FaceID بی‌توجهی به کاربران است. فقط لغو اشتراک "به روز رسانی ها برنامه ریزی شده است، اما ما نمی دانیم چه زمانی." عملکرد خوب است و خدمات وحشتناک است

• عملکرد مناسب، UI / UX وحشتناک

  چه کسی حتی این چرخ و فلک را با حساب‌ها اختراع کرده است ... وقتی نمادی وجود ندارد، دو حساب قابل تشخیص نیستند و چرخاندن به جلو و عقب ناراحت کننده است.

• ChSV از مقیاس خارج می شود

  از Yuyuygyffhdsgbfddes

  شاید Yandex روزی بفهمد که افرادی که 2FA را در حساب های خود قرار می دهند افرادی هستند که نگران امنیت داده های خود هستند و حاضر نیستند فقط شماره تلفن خود را بگیرند و بدهند. از قضا، اگرچه خود برنامه می تواند برای خدمات شخص ثالث استفاده شود (ATP به Yandex برای توضیح دقیق)، استفاده از آن برای Yandex غیر عملی است.

• کار نمی کند

  توسط wrghbqjwjqjqnqtktqjtj

• آیفون ایکس

  چرا هیچ سازگاری برای iPhone X وجود ندارد؟

• کار نمی کند

  کار نمی کند! رمز صادر شده را وارد می کنم اما سایت قبول نمی کند! وقتی 200 وارد شد بی فایده است. اگر نمی‌دانید چگونه احراز هویت دو مرحله‌ای را انجام دهید، دخالت نکنید!

• در پایین

  این برنامه 2 سال است که به روز نشده است. به او گل زدند. هیچ شناسه چهره وجود ندارد. برای صفحه نمایش های ناچ بهینه نشده است. رابط تغییر نمی کند. به طور خلاصه، Yandex گل زد.

• بلا استفاده

  برنامه به طور جداگانه کار می کند، برنامه Yandex-money به طور جداگانه کار می کند. Yandex-money با این برنامه کار نمی کند: نه با یک کد پین (به درستی وارد شده) و نه با اثر انگشت. زمان همگام شده - نتیجه تصحیح نمی شود. او آن را به عنوان بی فایده پایین آورد.

• بد نیست

  از گوردون کرانتز

  برنامه خوبی است، اما ترتیب افقی آن بسیار ناخوشایند است: (من می خواهم در به روز رسانی های آینده یک ستون عمودی با سرویس ها و امکان انتخاب یک نماد برای هر کدام ببینم، در غیر این صورت جستجو سخت است کد مورد نیاززمانی که چندین حساب در یک سرویس دارید

• کد QR قابل خواندن نیست

  از امیر گتین

  من نتونستم کد رو روی آیفون 6 نصب کنم. نمیخونه!

• کار نمی کند!!!

  نه با کد QR و نه رمز یکبار مصرف وارد نمی شود! این یک کاتب است!!!

• اشتباه تولید می کند

  رمز عبور یکبار مصرف اشتباه است! من همیشه زمان دستگاه را تغییر ندادم

• برای استفاده راحت نیست

  به طرز دیوانه کننده ای بی دست و پا...

• حساب

  سلام، من شرایط نه چندان مناسبی داشتم... گوشیم را عوض کردم اما بک آپ نگرفتم و در نتیجه تمام کدهای دسترسی که در برنامه بود را از دست دادم، زمان زیادی را صرف کردم تا همه چیز را بازیابی کنم. .. خب منظورم همینه) انجام بدین تا بتونید اکانت بسازید و همه چیز به صورت خودکار ذخیره بشه... بالاخره بعد از اضافه کردن پسورد جدید بک آپ گرفتن برای درایو گوشی و غیره خیلی ناراحت کننده است. .

• چرا مال شما؟

  از 79522370021784380H

  وقتی Authy دارید، چرا برنامه دیگری ایجاد کنید؟ من را آزار می دهد که در رایانه شخصی باید 4 لانچر را به طور پیش فرض تنظیم کنید، همچنین در تلفن ~ 4 نرم افزار برای 2fa. راحت نیست، حتی اگر کلید 6 رقمی نباشد، اما 2fa 2fa است و ورودی بدون رمز عبور نیست. درج 6-8 عدد برای من راحت تر از وارد کردن مجموعه ای از حروف است

• وارد حساب کاربری من نشدم

  پشتیبانی فنی کمک کرد

• فیس آیدی؟ نه نشنیده ام

  بدون پشتیبانی از Face ID. برنامه کشیده شده است، گویی برای آیفون چهارم ساخته شده است. Yandex، آیا واقعاً شما هستید؟

• نمادها

  از نام کاربری دیگر sc

  من کمبود شدید نمادها را برای خدمات مختلف احساس می کنم. شما برای محبوب ترین آیکون ها ساخته اید، اما متأسفانه برنامه از بسیاری از خدمات دیگر اطلاعی ندارد. به عنوان مثال در مورد مگا، اختلاف، مبدا EA، Ubisoft Uplay و این همان چیزی است که من در همان لحظه به یاد آوردم.

• چندش آور

  چرا این برنامه را به یک امر ضروری تبدیل می کنیم و به آن نمی چسبیم؟ پشتیبانی از آیفون x و بالاتر کجاست؟ برنامه به کف صفحه باز می شود ... به همین دلیل 2 سال از بازنشستگی من از Yandex می گذرد. من فکر می کردم یک شرکت معمولی است، اما در واقع گالری پر است.

• پشتیبانی به پایان رسید

  به روز رسانی حتی برای دستگاه های جدید

• منتظر نشد

  ما برنامه را برای دستگاه های جدید به روز نکرده ایم.

• انطباق

  از شانس 5

  لطفاً برنامه را برای XR تطبیق دهید

• به درستی عمل نمی کند

  از Castor888

  بعد از نصب برنامه و احراز هویت دو مرحله ای هنگام وارد کردن پین کد خطا می دهد که پین ​​کد اشتباه است.

• به روز رسانی

  از نیکولای

  من نمی فهمم چگونه می توان چنین برنامه جالب و پیشرفته ای را به تمام معنا ساخت و سپس آن را گرفت و آن را رها کرد. هنوز هیچ سازگاری برای آیفون X وجود ندارد! چگونه می توانید چنین برنامه مهمی را برای 2 سال بدون به روز رسانی نگه دارید؟

• منتظر آپدیت نباشید

  یک سال است که هیچ آپدیتی وجود ندارد.. از iPhone XR، XS پشتیبانی نمی‌شود. از Touch ID پشتیبانی نمی‌شود.. نمی‌توانند بگویند چه زمانی به‌روزرسانی می‌شود.. Yandex 🤦‍♂️

• وحشتناک

  از جین ماریاچی

  من آن را در آندروید تنظیم کردم، همه چیز اوکی است، من سعی می کنم این کار را با آیفون انجام دهم، کار نمی کند، مجدداً در اندروید لاگین کردم، همچنین کار نکرد! دارم سعی میکنم ریستور کنم، همه چیز رو وارد کردم، کد رو از گوشی وارد کردم، نه، به هر حال کافی نیست و بیشتر از مرورگری که روی آن کار میکنید استفاده کنید.. هنوز هم میتوانید اثر انگشت بدهید؟ خیلی مزخرف است که فقط به موسیقی لعنتی Yandex وارد شوید. به طور جدی، هر بار ایجاد حساب های جدید آسان تر از تلاش برای به دست آوردن مجدد دسترسی است. اگر نمی توانید آن را به طور معمول انجام دهید، پس انجام ندهید

• در حال حاضر در نهایت به روز رسانی

  در آیفون X منزجر کننده به نظر می رسد.

• ارگونومی را دوست نداشت

  من مقاله شما را در Habré خواندم. آفرین. اما چرا رابط کاربری و هر چیزی که با آن مرتبط است با چنین ذهن و رویکردی اینقدر افتضاح است؟ طراحی شده توسط افرادی با مهارت های فنی غالب. 8 راش با هم - همچنین از همین سری. آیا خود توسعه دهندگان / طراحان تا به حال از این 2fa استفاده کرده اند؟ البته به خاطر سپردن 2×3 راحت تر است. و 8 کاراکتر با هم فقط قلع است.

• -

  از اندیژدانوف

  منزجر کننده است، کاری انجام دهید

• وحشت!! یک دسته کلید بسته شده بود. BACKAP ساخته شده است.

  و بعد از تعویض گوشی از بکاپ ریستور میکنم و مینویسم هیچی !! چطور است؟ چندش آور !!

• متشکرم

  برنامه جالبی است، اما می خواستم بتوانم نمای لیست حساب ها را تغییر دهم. وقتی واقعاً تعداد آنها زیاد باشد، نمای فعلی مناسب نیست. لطفا یک لیست تهیه کنید!!)

• کدورت

  از آنتون گریگوریف

  مشکل است، به خصوص تعویض گوشی شما. با کف صفحه نمایش مدرن سازگار نیست.

• به روز رسانی لازم است!

  گاهی اوقات هنگام راه اندازی خراب می شود. لطفاً برنامه پشتیبانی را به روز کنید آخرین نسخه iOS و تم تاریک!!

• برنامه فوق العاده است!

  از جورج افرون

  بسیار راحت تر از یک برنامه گوگل، اما 4 ستاره برای کمبود پشتیبانی از آیفون XS Max.

توجه برنامه های توسعه یافته در Yandex به یک رمز عبور یک بار مصرف نیاز دارند - حتی رمزهای عبور برنامه که به درستی ایجاد شده اند کار نمی کنند.

1. با کد QR وارد شوید
2. انتقال Yandex.Key
3. گذرواژه اصلی
4. اینکه چگونه رمزهای یک بار مصرف به زمان دقیق بستگی دارد

به سرویس یا برنامه Yandex وارد شوید

می توانید رمز عبور یک بار مصرف را در هر شکلی از مجوز در Yandex یا در برنامه های توسعه یافته توسط Yandex وارد کنید.

توجه داشته باشید.

رمز یکبار مصرف باید در زمان نمایش آن در برنامه وارد شود. اگر زمان کمی تا به روز رسانی باقی مانده است، فقط منتظر یک رمز عبور جدید باشید.

برای دریافت رمز عبور یکبار مصرف، Yandex.Key را راه اندازی کنید و پین کدی را که هنگام تنظیم احراز هویت دو مرحله ای تنظیم کرده اید وارد کنید. این برنامه هر 30 ثانیه یک بار شروع به تولید رمز عبور می کند.

Yandex.Key کد پین وارد شده شما را تأیید نمی کند و رمزهای عبور یک بار مصرف را ایجاد می کند، حتی اگر کد پین خود را اشتباه وارد کرده باشید. در این صورت رمزهای ایجاد شده نیز نادرست بوده و نمی توانید با آنها وارد شوید. برای وارد کردن کد پین صحیح، فقط باید از برنامه خارج شده و دوباره آن را راه اندازی کنید.

با کد QR وارد شوید

برخی از سرویس ها (به عنوان مثال، صفحه اصلی Yandex، پاسپورت و نامه) به شما امکان می دهند به سادگی با اشاره دوربین به کد QR به Yandex وارد شوید. در این حالت، دستگاه تلفن همراه شما باید به اینترنت متصل باشد تا Yandex.Key بتواند با سرور مجوز تماس بگیرد.

روی نماد کد QR در مرورگر خود کلیک کنید.

اگر چنین نمادی در فرم ورود وجود ندارد، سپس روشن است این سرویسشما فقط می توانید با یک رمز عبور وارد شوید. در این صورت می توانید با استفاده از کد QR در پاسپورت وارد شوید و سپس به سرویس مورد نظر بروید.

کد پین را در Yandex.Key وارد کنید و روی Sign in with QR code کلیک کنید.

دوربین دستگاهتان را به سمت کد QR نمایش داده شده در مرورگر بگیرید.

Yandex.Key کد QR را می شناسد و نام کاربری و رمز عبور یک بار مصرف شما را به Yandex.Passport ارسال می کند. در صورت قبولی در آزمون، شما به طور خودکار وارد مرورگر خود خواهید شد. اگر رمز عبور ارسال شده نادرست باشد (به عنوان مثال، به دلیل این واقعیت است که کد پین را به اشتباه در Yandex.Key وارد کرده اید)، مرورگر یک پیام استاندارد در مورد رمز عبور نادرست نمایش می دهد.

با یک حساب Yandex به یک برنامه یا وب سایت شخص ثالث وارد شوید

برنامه‌ها یا سایت‌هایی که نیاز به دسترسی به داده‌های شما در Yandex دارند، گاهی اوقات از شما می‌خواهند که برای ورود به حساب خود رمز عبور وارد کنید. در چنین مواردی، گذرواژه های یک بار مصرف کار نمی کنند - شما باید یک رمز عبور برنامه جداگانه برای هر یک از این برنامه ها ایجاد کنید.

توجه فقط رمزهای عبور یک بار مصرف در برنامه ها و خدمات Yandex کار می کنند. حتی اگر یک رمز عبور برنامه ایجاد کنید، به عنوان مثال، برای Yandex.Disk، نمی توانید با آن وارد شوید.

انتقال Yandex.Key

می توانید تولید رمزهای عبور یک بار مصرف را به دستگاه دیگری منتقل کنید یا Yandex.Key را همزمان در چندین دستگاه پیکربندی کنید. برای این کار صفحه Access Control را باز کرده و کلیک کنید تعویض دستگاه.

چندین حساب در Yandex.Key

همان Yandex.Key را می توان برای چندین حساب با رمزهای عبور یکبار مصرف استفاده کرد. برای افزودن حساب دیگری به برنامه، هنگام تنظیم رمزهای عبور یکبار مصرف در مرحله 3، روی نماد موجود در برنامه کلیک کنید. علاوه بر این، می توانید برای سرویس های دیگری که از چنین احراز هویت دو مرحله ای پشتیبانی می کنند، به Yandex.Key تولید رمز اضافه کنید. دستورالعمل برای بیشتر خدمات محبوبدر صفحه مربوط به ایجاد کدهای تأیید نه برای Yandex آورده شده است.

برای حذف اتصال یک حساب به Yandex.Key، پرتره مربوطه را در برنامه فشار دهید و نگه دارید تا یک ضربدر در سمت راست آن ظاهر شود. وقتی روی متقاطع کلیک می کنید، پیوند حساب شما به Yandex.Key حذف می شود.

توجه اگر حسابی را حذف کنید که رمزهای عبور یکبار مصرف برای آن فعال است، نمی توانید رمز عبور یک بار مصرف برای ورود به Yandex دریافت کنید. در این صورت بازیابی دسترسی ضروری خواهد بود.

اثر انگشت به جای پین کد

می توانید از اثر انگشت خود به جای پین کد در دستگاه های زیر استفاده کنید:

گوشی های هوشمند زیر اندروید 6.0 و اسکنر اثر انگشت؛

آیفون از 5s;

شروع iPad با مدل های هوا 2.

توجه داشته باشید.

در گوشی‌های هوشمند و تبلت‌های دارای iOS، با وارد کردن رمز دستگاه می‌توان اثر انگشت را دور زد. برای محافظت در برابر این، رمز عبور اصلی را روشن کنید یا رمز عبور را به رمز عبور پیچیده‌تر تغییر دهید: برنامه تنظیمات را باز کنید و Touch ID & Password را انتخاب کنید.

برای استفاده از فعال کردن تأیید اثر انگشت:

گذرواژه اصلی

برای محافظت بیشتر از رمزهای عبور یکبار مصرف خود، یک رمز عبور اصلی ایجاد کنید: → رمز عبور اصلی.

با رمز عبور اصلی، می توانید:

این امکان را فراهم می کند که به جای اثر انگشت فقط رمز عبور اصلی Yandex.Key و نه کد قفل دستگاه را وارد کنید.

پشتیبان گیری از داده های Yandex.Key

می توانید یک نسخه پشتیبان از داده های کلید در سرور Yandex ایجاد کنید تا در صورت گم شدن تلفن یا رایانه لوحی خود با برنامه، بتوانید آن را بازیابی کنید. داده های تمام حساب های اضافه شده به کلید در زمان ایجاد کپی در سرور کپی می شود. شما نمی توانید بیش از یک نسخه پشتیبان ایجاد کنید، هر کپی بعدی از داده ها برای یک شماره تلفن خاص جایگزین نسخه قبلی می شود.

برای دریافت اطلاعات از یک نسخه پشتیبان، شما نیاز دارید:

به شماره تلفنی که هنگام ایجاد آن مشخص کرده اید دسترسی داشته باشید.

رمز عبوری را که برای رمزگذاری پشتیبان تعیین کرده اید به خاطر بسپارید.

توجه نسخه پشتیبانفقط شامل لاگین ها و اسرار مورد نیاز برای ایجاد رمزهای عبور یکبار مصرف است. هنگام فعال کردن رمزهای عبور یکبار مصرف در Yandex باید کد پین را به خاطر بسپارید.

هنوز امکان حذف یک نسخه پشتیبان از سرور Yandex وجود ندارد. اگر ظرف یک سال پس از ایجاد آن از آن استفاده نکنید، به طور خودکار حذف خواهد شد.

تهیه پشتیبان

مورد را انتخاب کنید یک نسخه پشتیبان ایجاد کنیددر تنظیمات برنامه

شماره تلفنی که نسخه پشتیبان به آن پیوند داده می شود را وارد کنید (به عنوان مثال، "71234567890" "380123456789") و روی Next کلیک کنید.

Yandex یک کد تأیید را به شماره تلفن وارد شده ارسال می کند. پس از دریافت کد، آن را در برنامه وارد کنید.

یک رمز عبور برای رمزگذاری نسخه پشتیبان از اطلاعات خود ایجاد کنید. این رمز عبور قابل بازیابی نیست، بنابراین مطمئن شوید که آن را فراموش نکنید یا آن را گم نکنید.

رمز عبور خود را دو بار وارد کنید و روی Finish کلیک کنید. Yandex.Key پشتیبان را رمزگذاری می کند، آن را به سرور Yandex ارسال می کند و در مورد آن اطلاع می دهد.

این سوال در مورد نحوه دریافت کد اضطراری Yandex Money بدون پیامک در بین کاربران در شرایطی ایجاد می شود که معمولاً فورس ماژور نامیده می شود. اگر رمز عبوری را که مرتباً از آن استفاده می کردید گم کرده اید، به دلایلی پیامک با رمز یک بار مصرف دریافت نمی کنید، صفحه ای با مجموعه ای از نمادهای کد پیدا نکنید، نگران این نباشید. برای چنین مواردی است که سرویس یک گزینه اضطراری ارائه کرده است. شما می توانید کدهای اضطراری Yandex Money را درخواست کنید و عملیات پرداخت را تکمیل کنید.

رمزهای عبور Money.yandex.ru برای همه موارد

همه کاربران این سرویس نمی دانند که چقدر امکانات آن با گردش پول مرتبط است. به منظور استفاده از خدمات مالی Yandex، انواع رمزهای عبور زیر ارائه شده است:

• دریافت پیامک؛
• کدهای QR مربوط به برنامه ها؛
• مجموعه کاراکترهای مورد استفاده در شرایط اضطراری

ما دومی را با جزئیات بیشتری در نظر خواهیم گرفت. آنها را با شماره های معمولی که در پیامک برای تکمیل انتقال وجه انتظار دارید اشتباه نگیرید. آنها دارای ویژگی کمی متفاوت از رمزهای عبور QR مد روز هستند که می توانند توسط دوربین دستگاه اسکن شوند.

آنچه باید در مورد کدهای اضطراری بدانید

بنابراین، کدهای اضطراری در Yandex Money چیست، چگونه می توان آنها را دریافت کرد و چرا به آنها نیاز است؟ شرایطی که می خواهید فوراً بخشی از وجوه را از کیف پول خارج کنید، تمام فیلدهای لازم را پر کرده اید، اما نمی توانید فرآیند را تکمیل کنید، زیرا پیامک نمی آید، برای همه آشنا است. اغلب این اتفاق در رومینگ می افتد. نوع دیگری از مشکل، یک گوشی مرده است که برنامه در آن نصب شده است. در هر دو مورد، اگر کد اضطراری وجود نداشت، کاربران نمی توانستند عملیات پرداخت را در Yandex Money انجام دهند. رمزها از این نوعبا QR متفاوت است و مانند مجموعه کاراکترهای یک بار مصرف معمولی عمل می کند. هر عملیاتی که انجام دهید به شما کمک می کنند و به شما اجازه می دهند آن را کامل کنید.

دستورالعمل دریافت کد اضطراری

همه می دانند که چگونه می توانند رمز یا QR استاندارد را دریافت کنند. شما همچنین می توانید به سادگی مجموعه ای از نمادها را سفارش دهید. تفاوت آن فقط در دلایل اولیه درخواست مربوط به این است که کاربر به دلیل عدم امکان درج شماره های درخواستی در آخرین پنجره نمی تواند مبلغ را برداشت کند.

اگر در موقعیت مشابهی قرار گرفتید، الگوریتم اقدامات شما باید به صورت زیر باشد:

1. پیوند "دریافت کد اضطراری" را پیدا کنید.
2. رمز عبور (یک بار مصرف) را وارد کنید.
3. برگه کد را چاپ کنید.

توجه: حتی اگر رایانه شما دارای سیستم حفاظتی مدرن در برابر ویروس ها و نفوذ افراد غیرمجاز است، به هیچ وجه کدها را در حافظه آن ذخیره نکنید. پس از پرینت فورا فایل را پاک کنید.

برخی از کاربران مطمئن هستند که رمزهای دریافتی باید در یک توالی واضح استفاده شوند. در واقع شما می توانید آن ها را هر طور که دوست دارید انتخاب کنید.

این اتفاق می افتد که صفحه حاصل به طور تصادفی بسته یا گم شده است. اشتباهی صورت نگرفته. دقیقاً همانطور که در بالا توضیح داده شد، کدهای جدید را درخواست کنید. اگر افراد غیرمجاز به منظور محافظت از پول به طور ناگهانی برگه ای با رمز در اختیار گرفتند، بدون معطلی کدهای جدید را سفارش دهید. پس از انجام این کار، مجموعه شخصیت های قدیمی نامعتبر و بی فایده خواهند شد. سرویس امنیتی Yandex Money همه کارها را برای محافظت از سرمایه مشتری انجام می دهد. وظیفه دومی این است که هوشیار باشد و به او در انجام این کار دشوار کمک کند.

شما نمی توانید در اینترنت با شخصی ملاقات کنید که حداقل تا لبه گوشش در مورد کدهای QR چیزی نشنیده باشد. با افزایش محبوبیت شبکه در دهه های اخیر، کاربران نیاز به انتقال داده ها بین خود داشتند روش های مختلف... کدهای QR فقط "حامل" اطلاعاتی هستند که کاربر در آنجا رمزگذاری کرده است. اما سوال متفاوت است - چگونه می توان چنین کدهایی را رمزگشایی کرد و آنچه در آنها وجود دارد را بدست آورد؟

اگر قبلاً کاربر مجبور به جستجو بود برنامه های کاربردی خاصکه به رمزگشایی کد QR کمک می کند، اکنون به جز اتصال اینترنت به هیچ چیز دیگری نیاز نیست. در زیر ما به 3 روش برای اسکن و رمزگشایی کدهای QR به صورت آنلاین نگاه خواهیم کرد.

روش 1: IMGonline

این سایت یک منبع بزرگ است که همه چیز را برای تعامل با تصاویر دارد: پردازش، تغییر اندازه و غیره. و، البته، یک پردازشگر تصویر با کدهای QR مورد علاقه ما وجود دارد که به ما امکان می دهد تصویر را برای شناسایی هر طور که می خواهیم تغییر دهیم.

برای اسکن تصویر مورد علاقه، مراحل زیر را دنبال کنید:

روش 2: آن را رمزگشایی کنید!

برخلاف سایت قبلی، این سایت کاملاً مبتنی بر کمک به کاربران در وب برای رمزگشایی حجم عظیمی از داده ها، از کاراکترهای ASCII تا فایل های MD5 است. طراحی نسبتا مینیمالیستی دارد که امکان استفاده از آن را فراهم می کند دستگاه های تلفن همراه، اما فاقد هرگونه عملکرد دیگری برای کمک به رمزگشایی کدهای QR است.

برای رمزگشایی کد QR در این سایت، باید موارد زیر را انجام دهید:

روش 3: ابزار فاکس

سرویس آنلاین Foxtools از نظر تعداد کارکردها و قابلیت ها بسیار شبیه به سایت قبلی است، اما مزایای خاص خود را نیز دارد. برای مثال، این منبعبه شما امکان می دهد کدهای QR را از پیوند به تصاویر بخوانید، و بنابراین ذخیره آنها در رایانه خود، که بسیار راحت است، منطقی نیست.

برای خواندن کد QR در این سرویس آنلاین، باید موارد زیر را انجام دهید:

خدمات آنلاین فوق دارای تعدادی ویژگی مثبت هستند، اما دارای معایبی نیز هستند. هر کدام از روش ها به روش خود خوب هستند، اما بعید است که بتوانند مکمل یکدیگر باشند، فقط در صورتی که از سایت هایی با دستگاه های مختلفو برای اهداف مختلف.

یک پست نادر در وبلاگ Yandex، و به خصوص مربوط به امنیت، بدون ذکر احراز هویت دو مرحله ای انجام شد. ما برای مدت طولانی فکر می‌کردیم که چگونه حفاظت از حساب‌های کاربری را به درستی تقویت کنیم و حتی بتوانیم از آن بدون تمام مشکلاتی که شامل رایج‌ترین پیاده‌سازی‌های امروزی است، استفاده کنیم. و آنها، افسوس، ناخوشایند هستند. بر اساس برخی گزارش ها، در بسیاری از سایت های بزرگ، نسبت کاربرانی که شامل شده اند وجوه اضافیاحراز هویت از 0.1٪ تجاوز نمی کند.

به نظر می رسد این به این دلیل است که طرح رایج احراز هویت دو عاملی بسیار پیچیده و ناخوشایند است. ما سعی کردیم راهی را ارائه کنیم که بدون از دست دادن سطح حفاظت راحت تر باشد و امروز آن را در نسخه بتا ارائه می کنیم.

انشالله که فراگیرتر بشه ما به نوبه خود آماده هستیم تا روی بهبود و استانداردسازی بعدی آن کار کنیم.

پس از فعال کردن احراز هویت دو مرحله ای در پاسپورت، باید برنامه Yandex.Key را در فروشگاه App یا Google Play نصب کنید. در فرم مجوز در صفحه نخست Yandex، کدهای QR در Mail و Passport ظاهر شدند. برای ورود حسابشما باید کد QR را از طریق برنامه بخوانید - و تمام. اگر نمی توانید کد QR را بخوانید، به عنوان مثال، دوربین گوشی هوشمند کار نمی کند یا دسترسی به اینترنت وجود ندارد، برنامه یک رمز عبور یک بار مصرف ایجاد می کند که تنها 30 ثانیه معتبر خواهد بود.

من به شما می گویم که چرا تصمیم گرفتیم از مکانیسم های "استاندارد" مانند RFC 6238 یا RFC 4226 استفاده نکنیم. طرح های رایج احراز هویت دو مرحله ای چگونه کار می کنند؟ آنها دو مرحله ای هستند. مرحله اول احراز هویت معمولی نام کاربری و رمز عبور است. در صورت موفقیت آمیز بودن، سایت بررسی می کند که آیا این جلسه کاربر را "پسندیده است" یا خیر. و اگر آن را دوست ندارید، از کاربر می‌خواهد که «احراز هویت مجدد» را تأیید کند. دو روش متداول "تأیید هویت پیش" وجود دارد: ارسال پیامک به شماره تلفن مرتبط با حساب کاربری و ایجاد رمز عبور دوم در تلفن هوشمند. اساساً از TOTP مطابق RFC 6238 برای تولید رمز دوم استفاده می شود، اگر کاربر رمز دوم را به درستی وارد کرده باشد، جلسه به طور کامل احراز هویت شده در نظر گرفته می شود و در غیر این صورت جلسه احراز هویت اولیه خود را نیز از دست می دهد.

هر دو راه ─ ارسال اس ام اسو تولید رمز عبور اثبات مالکیت تلفن است و بنابراین عامل در دسترس بودن است. رمز وارد شده در مرحله اول یک فاکتور دانش است. بنابراین، این طرح احراز هویت نه تنها دو مرحله ای، بلکه دو مرحله ای است.

چه چیزی در این طرح مشکل ساز به نظر می رسید؟

بیایید با این واقعیت شروع کنیم که رایانه یک کاربر معمولی را نمی توان همیشه یک مدل امنیتی نامید: اینجا و خاموش شدن به روز رسانی ویندوزو یک کپی دزدی از یک آنتی ویروس بدون امضای مدرن و نرم افزاری با منشأ مشکوک - همه اینها سطح محافظت را افزایش نمی دهد. به نظر ما، به خطر انداختن رایانه کاربر رایج ترین روش "ربایش" حساب ها است (و اخیراً یک تأیید دیگر نیز در این مورد وجود داشت)، و من می خواهم قبل از هر چیز از خودم در برابر آن محافظت کنم. در مورد احراز هویت دو مرحله ای، اگر فرض کنیم رایانه کاربر در معرض خطر است، وارد کردن رمز عبور روی آن، خود رمز عبور را به خطر می اندازد که اولین عامل است. این بدان معناست که مهاجم فقط باید عامل دوم را انتخاب کند. در مورد پیاده سازی های رایج RFC 6238، فاکتور دوم 6 رقم اعشاری است (و حداکثر تعیین شده توسط مشخصات 8 رقم است). طبق محاسبه‌گر bruteforce برای OTP، مهاجم در سه روز می‌تواند عامل دوم را در صورتی که به نحوی عامل اول را بداند، تشخیص دهد. مشخص نیست چه سرویسی می تواند با این حمله بدون ایجاد اختلال در تجربه کاربر عادی مقابله کند. تنها اثبات کار ممکن کپچا است که به نظر ما آخرین راه حل است.

مشکل دوم، عدم شفافیت در قضاوت سرویس در مورد کیفیت جلسه کاربر و تصمیم گیری در مورد نیاز به «احراز هویت پیش» است. حتی بدتر، این سرویس علاقه ای به شفاف سازی این فرآیند ندارد، زیرا امنیت از طریق مبهم در واقع در اینجا کار می کند. اگر مهاجم بداند که بر اساس آن سرویس در مورد مشروعیت جلسه تصمیم می گیرد، می تواند سعی کند این داده ها را جعل کند. از ملاحظات کلی، می‌توان نتیجه گرفت که قضاوت بر اساس تاریخچه احراز هویت کاربر، با در نظر گرفتن آدرس IP (و تعداد مشتق شده از آن) انجام می‌شود. سیستم خودمختارکه ارائه دهنده و مکان را بر اساس پایگاه جغرافیایی) و داده های مرورگر، مانند عنوان، شناسایی می کند. عامل کاربرو مجموعه ای از کوکی ها، فلش lso و حافظه محلی html. این بدان معناست که اگر یک مهاجم رایانه کاربر را کنترل کند، نه تنها می تواند تمام داده های لازم را بدزدد، بلکه از آدرس IP قربانی نیز استفاده کند. علاوه بر این، اگر تصمیم بر اساس ASN گرفته شود، هر گونه احراز هویت از Wi-Fi عمومی در کافی شاپ می تواند منجر به "مسمومیت" از نظر امنیتی (و سفید شدن از نظر خدمات) ارائه دهنده این قهوه شود. مغازه و مثلا سفیدکاری تمام کافی شاپ های سطح شهر. ما در مورد کار سیستم تشخیص ناهنجاری صحبت کردیم و می توان آن را اعمال کرد، اما زمان بین مرحله اول و دوم احراز هویت ممکن است برای قضاوت مطمئن در مورد ناهنجاری کافی نباشد. علاوه بر این، همین استدلال ایده رایانه های "معتمد" را از بین می برد: یک مهاجم می تواند هر اطلاعاتی را که بر قضاوت اعتماد تأثیر می گذارد سرقت کند.

در نهایت، احراز هویت دو مرحله ای به سادگی ناخوشایند است: مطالعات قابلیت استفاده ما نشان می دهد که هیچ چیز به اندازه یک صفحه نمایش میانی، فشار دادن دکمه های اضافی و سایر اقدامات "بی اهمیت" از دیدگاه او، کاربران را آزار نمی دهد.
بر این اساس، ما تصمیم گرفتیم که احراز هویت باید یک مرحله‌ای باشد و فضای رمز عبور بسیار بزرگتر از آن چیزی باشد که در چارچوب RFC 6238 "خالص" انجام شود.
در عین حال، ما می خواستیم تا حد امکان احراز هویت دو مرحله ای را حفظ کنیم.

چند عاملی بودن در احراز هویت با تخصیص عناصر احراز هویت (در واقع آنها عوامل نامیده می شوند) به یکی از سه دسته مشخص می شود:

1. فاکتورهای دانش (اینها رمزهای عبور سنتی، کدهای پین و هر چیزی که شبیه آنهاست) است.
2. عوامل مالکیت (در طرح های استفاده شده OTP، به عنوان یک قاعده، این یک گوشی هوشمند است، اما می تواند یک نشانه سخت افزاری نیز باشد).
3. عوامل بیومتریک (اثر انگشت در حال حاضر رایج ترین است، اگرچه کسی اپیزود با قهرمان وسلی اسنایپس در فیلم Man Demolition Man را به خاطر می آورد).

توسعه سیستم ما

زمانی که ما شروع به پرداختن به مشکل احراز هویت دو عاملی کردیم (اولین صفحات ویکی شرکتی در مورد این موضوع به سال 2012 برمی گردد، اما قبلاً در پشت صحنه بحث شده بود)، اولین ایده این بود که روش های استاندارداحراز هویت و آنها را با ما اعمال کنید. ما فهمیدیم که نمی‌توانیم انتظار داشته باشیم میلیون‌ها کاربر ما یک توکن سخت‌افزاری بخرند، بنابراین این گزینه برای برخی موارد عجیب و غریب به تعویق افتاد (اگرچه ما آن را کاملاً رها نمی‌کنیم، شاید بتوانیم چیز جالبی ارائه دهیم). روش ارسال پیامک نیز نمی تواند گسترده باشد: این یک روش تحویل بسیار غیرقابل اعتماد است (در حساس ترین لحظه ممکن است پیامک به تعویق بیفتد یا اصلاً دریافت نشود) ارسال اس ام اسهزینه دارد (و اپراتورها شروع به افزایش قیمت خود کردند). ما تصمیم گرفتیم که استفاده از پیامک مورد استفاده بانک‌ها و سایر شرکت‌های کم‌تکنولوژیک باشد و می‌خواهیم چیزی راحت‌تر به کاربران خود ارائه دهیم. به طور کلی، انتخاب عالی نبود: استفاده از گوشی هوشمند و برنامه موجود در آن به عنوان عامل دوم.

این شکل از احراز هویت یک مرحله‌ای گسترده است: کاربر کد پین (عامل اول) را به خاطر می‌آورد، یک توکن سخت‌افزار یا نرم‌افزار (در گوشی هوشمند) دارد که OTP (عامل دوم) تولید می‌کند. در قسمت ورودی رمز عبور، پین کد و مقدار OTP فعلی را وارد می کند.

به نظر ما، اشکال اصلیاین طرح مانند احراز هویت دو مرحله ای است: اگر در نظر بگیریم که دسکتاپ کاربر به خطر افتاده است، یک ورودی کد پین منجر به افشای آن می شود و مهاجم فقط باید عامل دوم را انتخاب کند.

ما تصمیم گرفتیم راه دیگری را انتخاب کنیم: رمز عبور به طور کامل از راز تولید می شود، اما تنها بخشی از راز در گوشی هوشمند ذخیره می شود و هر بار که رمز عبور ایجاد می شود، بخشی توسط کاربر وارد می شود. بنابراین، گوشی هوشمند خود عامل مالکیت است و رمز عبور در ذهن کاربر باقی می‌ماند و عامل دانش است.

Nonce می تواند یک شمارنده یا زمان فعلی باشد. ما تصمیم گرفتیم زمان فعلی را انتخاب کنیم، این به ما امکان می دهد در صورت ایجاد رمز عبور بیش از حد و افزایش شمارنده، از همگام سازی نترسیدیم.

بنابراین، ما یک برنامه تلفن هوشمند داریم که در آن کاربر قسمت راز خود را وارد می کند، آن را با قسمت ذخیره شده مخلوط می کند، نتیجه به عنوان کلید HMAC استفاده می شود که زمان فعلی را علامت می زند و به 30 ثانیه گرد می شود. خروجی HMAC قابل خواندن برای انسان است، و voila - رمز عبور یک بار مصرف اینجاست!

همانطور که گفته شد، RFC 4226 کوتاه کردن خروجی HMAC را به حداکثر 8 رقم اعشاری پیشنهاد می کند. ما تصمیم گرفتیم که رمز عبور با این اندازه برای احراز هویت یک مرحله ای نامناسب است و باید افزایش یابد. در عین حال، ما می‌خواستیم سهولت استفاده را حفظ کنیم (به خاطر داشته باشید، من می‌خواهم چنین سیستمی بسازم که مردم عادی از آن استفاده کنند، و نه فقط گیک‌های امنیتی)، بنابراین به عنوان یک مصالحه در نسخه فعلیسیستمی را انتخاب کردیم که به 8 کاراکتر از الفبای لاتین کوتاه شود. به نظر می رسد 26 ^ 8 رمز عبور معتبر برای 30 ثانیه کاملاً قابل قبول است، اما اگر حاشیه امنیتی برای ما مناسب نباشد (یا نکات ارزشمندی در مورد چگونگی بهبود این طرح در Habré ظاهر می شود)، به عنوان مثال به 10 کاراکتر گسترش می دهیم.

در مورد قدرت چنین پسوردهایی بیشتر بدانید

در واقع، برای حروف لاتین غیر حساس، تعداد گزینه ها در هر علامت 26 است، برای حروف لاتین بزرگ و کوچک به اضافه اعداد، تعداد گزینه ها 26 + 26 + 10 = 62 است. سپس log 62 (26 10) ≈ 7.9 یعنی یک رمز عبور از 10 حرف کوچک تصادفی لاتین تقریباً به اندازه رمز عبور 8 حرف یا اعداد لاتین بالا و پایین تصادفی قوی است. این قطعا برای 30 ثانیه کافی است. اگر از یک رمز عبور 8 کاراکتری ساخته شده از حروف لاتین صحبت کنیم، قدرت آن log 62 (26 8) ≈ 6.3 است، یعنی کمی بیشتر از یک رمز عبور 6 کاراکتری ساخته شده از حروف و اعداد بزرگ و کوچک. ما فکر می کنیم این هنوز برای یک پنجره 30 ثانیه ای قابل قبول است.

سحر و جادو، بدون رمز عبور، برنامه های کاربردی و راه رو به جلو

به طور کلی، ما می توانستیم در این مورد متوقف شویم، اما می خواستیم سیستم را حتی راحت تر کنیم. وقتی شخصی گوشی هوشمند در دست دارد، نمی خواهد رمز را از صفحه کلید وارد کند!

بنابراین ما شروع به کار بر روی "ورود جادویی" کردیم. با این روش احراز هویت، کاربر اپلیکیشن را روی گوشی هوشمند راه اندازی کرده، پین کد خود را در آن وارد کرده و کد QR را روی صفحه کامپیوتر خود اسکن می کند. اگر کد پین به درستی وارد شده باشد، صفحه در مرورگر دوباره بارگیری می شود و کاربر احراز هویت می شود. شعبده بازي!

چگونه کار می کند؟

شماره جلسه در کد QR کدگذاری می شود و هنگامی که برنامه آن را اسکن می کند، این شماره به همراه رمز عبور و نام کاربری تولید شده به روش معمول به سرور منتقل می شود. این کار دشواری نیست، زیرا تلفن هوشمند تقریباً همیشه آنلاین است. در طرح صفحه ای که کد QR را نشان می دهد، جاوا اسکریپت در حال اجرا است و منتظر پاسخ از سمت سرور برای تأیید رمز عبور با جلسه داده شده است. اگر سرور پاسخ دهد که رمز عبور صحیح است، یک کوکی جلسه همراه با پاسخ تنظیم می شود و کاربر احراز هویت در نظر گرفته می شود.

بهتر شد، اما حتی اینجا هم تصمیم گرفتیم متوقف نشویم. شروع با آیفون 5 اس در گوشی ها و تبلت های اپلاسکنر اثر انگشت TouchID ظاهر شد و در نسخه iOS 8 کار با او موجود است و برنامه های شخص ثالث... در واقع، برنامه به اثر انگشت دسترسی ندارد، اما اگر اثر انگشت درست باشد، یک بخش Keychain اضافی در دسترس برنامه قرار می گیرد. ما از این بهره بردیم. قسمت دوم راز در ورودی Keychain محافظت شده با TouchID قرار می گیرد، قسمتی که کاربر از صفحه کلید در اسکریپت قبلی وارد کرده است. هنگام باز کردن قفل Keychain، دو قسمت از راز با هم مخلوط می شوند و سپس فرآیند همانطور که در بالا توضیح داده شد کار می کند.

اما کاربر فوق العاده راحت شده است: او برنامه را باز می کند، انگشت خود را روی آن می گذارد، کد QR را روی صفحه اسکن می کند و در مرورگر رایانه احراز هویت می شود! بنابراین فاکتور دانش را با یک بیومتریک جایگزین کردیم و از نظر کاربر رمزهای عبور کاملاً رها شد. ما مطمئن هستیم که مردم عادی چنین طرحی را بسیار راحت تر از آن خواهند یافت ورودی دستیدو رمز عبور

می توان بحث کرد که این احراز هویت به طور رسمی دو عاملی است، اما در واقع، برای گذراندن موفقیت آمیز آن، هنوز باید یک تلفن داشته باشید و اثر انگشت صحیح داشته باشید، بنابراین ما معتقدیم که ما کاملاً موفق شده ایم فاکتور دانش را کنار بگذاریم. جایگزینی آن با بیومتریک ما درک می کنیم که به امنیت ARM TrustZone در قلب iOS Secure Enclave متکی هستیم و معتقدیم که در حال حاضراین زیرسیستم را می توان در مدل تهدید ما قابل اعتماد در نظر گرفت. البته ما از مشکلات احراز هویت بیومتریک آگاه هستیم: اثر انگشت رمز عبور نیست و در صورت مصالحه قابل تعویض نیست. اما از سوی دیگر، همه می دانند که امنیت با راحتی نسبت معکوس دارد و خود کاربر این حق را دارد که نسبت قابل قبولی از یکی به دیگری را انتخاب کند.

اجازه دهید یادآوری کنم که این هنوز بتا است. اکنون، وقتی احراز هویت دو مرحله‌ای را فعال می‌کنید، همگام‌سازی رمز عبور را در مرورگر Yandex به طور موقت غیرفعال می‌کنیم. این به دلیل نحوه چیدمان رمزگذاری پایگاه داده رمز عبور است. ما در حال حاضر راه مناسبی برای احراز هویت مرورگر در مورد 2FA ارائه کرده ایم. تمام عملکردهای دیگر Yandex مانند قبل کار می کند.

این چیزی است که ما به دست آوردیم. به نظر می رسد که خوب کار کرده است، اما قضاوت با شماست. ما خوشحال خواهیم شد که بازخوردها و توصیه‌ها را بشنویم، و خودمان به کار بر روی بهبود امنیت خدمات خود ادامه خواهیم داد: اکنون، همراه با CSP، رمزگذاری حمل و نقل نامه و هر چیز دیگری، احراز هویت دو مرحله‌ای داریم. به خاطر داشته باشید که سرویس‌های احراز هویت و برنامه‌های تولید OTP حیاتی هستند و بنابراین پاداش Bug Bounty را برای اشکالات موجود در آنها دو برابر می‌کنند.

برچسب‌ها: افزودن برچسب