A Yandex.Key egyszeri jelszavakat (OTP) generál, hogy biztonságosabb bejelentkezést biztosítson a Yandex, Facebook, Google, GitHub, Dropbox, VKontakte és más szolgáltatásokba, amelyek támogatják a kéttényezős hitelesítést (2FA). A Yandex szolgáltatásokba való bejelentkezéshez csak a Kulcs által létrehozott egyszeri jelszóra van szüksége, másoknak pedig egy egyszeri jelszóra és a szokásos jelszóra. - Néhány szám vagy egy ujjlenyomat Nem kell bonyolult jelszavakat kitalálnia a Yandex bejelentkezés megbízható védelméhez. Elegendő 4-16 számjegyet megjegyezni - ezek használatával a Yandex.Key egyedi, egyszeri jelszót ad, amelynek érvényességi ideje kevesebb, mint egy perc. Ha nem szeretné megadni a PIN-kódot, engedélyezze a Touch ID funkciót a Key beállításoknál, és használja az ujjlenyomatát. - Adatvédelem A Yandex.Key emellett megvédi fiókját a személyes adatok feltörésétől és ellopásától: csak Ön kap egyszeri jelszavakat mobileszközére. - Egyszerű csatlakozás Az alkalmazáshoz manuálisan is hozzáadhat fiókokat - az adatok újranyomtatásával a csatlakozott szolgáltatás webhelyéről, vagy automatikusan - az onnan származó QR-kód kiolvasásával. - Offline munkavégzés Fiókok hozzáadásához az alkalmazáshoz és egyszeri jelszavak létrehozásához a Yandex.Key-nek nincs szüksége az internetre. Még SMS-re sincs szükség a jelszavak megszerzéséhez. - Kiegészítő funkciók A kulccsal hat- és nyolcjegyű jelszavakat lehet létrehozni - a szolgáltatás követelményeitől függően. Ezenkívül a kulcs támogatja az egyszeri jelszavak frissítésének különböző időszakait, nem csak 30 másodpercet (ez a használt szolgáltatástól függ). - Biztonsági szabványok A Yandex.Key alkalmas kéttényezős (vagy kétlépcsős) hitelesítésre minden olyan szolgáltatásnál, amely támogatja az RFC-6238 és RFC-4226 biztonsági szabványokat (kivéve azokat, amelyek csak SMS-sel működnek). - Biztonsági mentés Ha valami történik az eszközzel, készíthet biztonsági másolatot a kulcsadatokról a Yandex szerveren. Biztonságos: minden példány egy jelszóval van titkosítva, amelyet csak a tulajdonos ismer. További információ a súgó oldalon - https://ya.cc/2fa
Képernyőképek
Vélemények
Nagyszerű alkalmazás
Régóta használom, 5 éve. Most nem látok semmi problémát az X-eken. Nem értem a visszajelzéseket az alkalmazkodás hiányáról. A régitől a új telefon is mindent jól tolerálnak.
Rendszeres szintű frissítések
Ahogy sokan írják: 2019-nek több mint a fele eltelt, és még mindig nincs adaptáció az X-hez, XS-hez, XR-hez. És a srácok nem sietnek a frissítéssel, miért? Nincsenek alternatívák, továbbra is azt kell használni, ami van. De a FaceID támogatás hiánya természetesen a felhasználók figyelmen kívül hagyása. Leiratkozás csak "a frissítéseket valamikor tervezik, de nem tudjuk, hogy mikor." A funkcionalitás jó, a szolgáltatás pedig szörnyű
Tisztességes funkcionalitás, szörnyű UI / UX
Ki is találta ki ezt a körhinta fiókokkal... Ha nincs ikon, nem lehet két fiókot megkülönböztetni, és kényelmetlen össze-vissza csavarogni.
A ChSV leáll
Yuyuygyffhdsgbfddestől
Talán egyszer a Yandexnek meg kellene értenie, hogy azok, akik 2FA-t helyeznek el számlájukon, inkább aggódnak az adataik biztonságáért, és nem hajlandók csak úgy elvenni és megadni a telefonszámukat. Ironikus módon, bár maga az alkalmazás használható harmadik féltől származó szolgáltatásokhoz (az ATP a Yandexhez a részletes magyarázatért), a használata a Yandex számára nem praktikus.
Nem működik
Írta: wrghbqjwjqjqnqtktqjtj
iPhone X
Miért nincs adaptáció az iPhone X-hez?
Nem működik
Nem működik! Beírom a kiadott jelszót, de az oldal nem fogadja el! Ha egyszer beírt 200-at, akkor használhatatlan. Ha nem tudja, hogyan kell kéttényezős hitelesítést csinálni, akkor ne avatkozzon bele!
Az alján
Az alkalmazást 2 éve nem frissítették. Gólt szereztek rá. Nincs arcazonosító. Nem rovátkolt képernyőkre optimalizálva. A felület nem változik. Röviden: a Yandex gólt szerzett.
Hiábavaló
Az alkalmazás külön működik, a Yandex-money alkalmazás külön működik. A Yandex-money nem működik ezzel az alkalmazással: sem PIN-kóddal (helyesen beírva), sem ujjlenyomattal. Idő szinkronizálva – az eredményt nem javítja. Feleslegesnek vette le.
Nem rossz
Gordon Krantstól
Jó alkalmazás, de a vízszintes elrendezés rendkívül kényelmetlen: (Szeretném a jövőbeni frissítéseknél egy függőleges oszlopot látni a szolgáltatásokkal és lehetőséggel mindegyikhez kiválasztani egy ikont, különben nehéz keresni szükséges kódot ha több fiókkal rendelkezik egy szolgáltatásban
A QR-kód nem olvasható
Amir Gatintól
Nem tudtam telepíteni a kódot az iPhone 6-ra. Nem olvassa!
Nem működik!!!
Nem ír be sem QR kóddal, sem egyszeri jelszóval! Ez egy írnok!!!
Hibát generál
Hibás egyszeri jelszó! Nem változtattam folyamatosan az időt a készüléken
Nem kényelmes a használata
Őrülten kínos hu...
fiók
Helló, volt egy nem túl kényelmes helyzetem ... Lecseréltem a telefonom, de nem készítettem biztonsági másolatot, és ennek eredményeként elvesztettem az alkalmazásban lévő összes hozzáférési kódot, sok időt töltöttem minden visszaállításával. .. hát erre gondolok) csináld, hogy tudj fiókot létrehozni és minden automatikusan mentésre kerüljön... elvégre borzasztóan kényelmetlen új jelszó hozzáadása után biztonsági mentést csinálni a telefon meghajtásához stb.. .
Miért a tiéd?
79522370021784380H számtól
Miért találna ki másik alkalmazást, ha rendelkezik Authyval? Engem zavar, hogy PC-n alapból ~ 4 launchert kell beállítani, így telefonon is ~ 4 szoftvert 2fa-ra. Nem kényelmes, még akkor sem, ha a kulcs nem 6 számjegyű, hanem a 2fa az 2fa, és nem jelszó nélküli bejárat. Nekem egyszerűbb 6-8 számot beszúrni, mint betűkészletet beírni
Nem tudtam bejelentkezni a fiókomba
A technikai támogatás segített
Arcazonosító? Nem, nem hallottam
Nincs Face ID támogatás. Az alkalmazás feszített, mintha a negyedik iPhone-ra készült volna. Yandex, tényleg te vagy az?
Ikonok
Másik felhasználónévről sc
Akut hiányt érzek az ikonokból a különböző szolgáltatásokhoz. A legnépszerűbbekhez készített ikonokat, de sajnos sok más szolgáltatásról nem tud az alkalmazás. Például a mega-ról, a discord-ról, az EA eredetről, az Ubisoft Uplay-ről, és pont ez jutott eszembe rögtön.
Undorító
Miért kell ezt az alkalmazást kötelezővé tenni, és miért nem ragaszkodunk hozzá? Hol van az iPhone x és újabb támogatása? Az alkalmazás a képernyő aljára nyílik meg ... 2 év telt el azóta, hogy emiatt nyugdíjba vonultam a Yandextől. Azt hittem, ez egy normális társaság, de valójában tele van a konyha.
A támogatás véget ért
Frissítés akár új készülékeknél is
Nem várt
Nem frissítettük az alkalmazást az új eszközökhöz.
Alkalmazkodás
A szerencsétől5
Kérjük, módosítsa az alkalmazást XR-hez
Nem működik megfelelően
Castor888-tól
Az alkalmazás telepítése és a kéttényezős hitelesítés után a PIN-kód beírásakor hibát ad, hogy hibás a PIN-kód
Frissítés
NIKOLAI-tól
Nem értem, hogyan lehetett egy ilyen klassz és minden értelemben fejlett alkalmazást készíteni, majd elvenni és elhagyni. Még mindig nincs adaptáció az iPhone X-hez! Hogyan tarthat fenn egy ilyen fontos alkalmazást 2 évig frissítések nélkül?
Ne várja meg a frissítéseket
Egy éve nincs frissítés .. iPhone XR, XS nem támogatott. Touch ID nincs .. Nem tudják megmondani, mikor lesz frissítés .. Yandex 🤦♂️
Szörnyű
JinMariachitól
Androidon beállítottam minden ok iPhone-on próbálom megcsinálni nem megy, androidon újra bejelentkezés, szintén leállt! Próbálom visszaállítani, mindent beírtam, beírtam a kódot a telefonról, nem, amúgy sem elég és használd gyakrabban azt a böngészőt, amin dolgozol.. tudsz még adni ujjlenyomatot? Annyi baromság, hogy csak bejelentkezni a kibaszott Yandex zenébe. Komolyan mondom, könnyebb minden alkalommal új fiókokat létrehozni, mint visszaszerezni a hozzáférést. Ha nem tudod normálisan csinálni, akkor ne tedd
Frissítés már végre
Undorítóan néz ki iPhone X-en.
Az ergonómia nem tetszett
Olvastam a Habréról szóló cikkedet. Szép munka. De miért olyan szörnyű az interfész és minden, ami hozzá kapcsolódik, ilyen elmével és megközelítéssel? Az uralkodó műszaki ismeretekkel rendelkező emberek tervezték. 8 bükk együtt - szintén ugyanabból a sorozatból. Maguk a fejlesztők/tervezők használták valaha ezt a 2fa-t? Persze 2x3 memorizálása egyszerűbb. És 8 karakter együtt csak ón.
-
AndiZhdanovtól
Undorítóan működik, csinálj valamit
Borzalom!! Egy csomó kulcs volt bekötve. BACKAP készült.
A telefoncsere után pedig visszaállítom a biztonsági mentésből és írok, nincs semmi !! Hogy van ez? Undorító!!
Köszönöm
Jó alkalmazás, de szerettem volna módosítani a fiókok listájának nézetét. Ha valóban sok van belőlük, a jelenlegi nézet nem kényelmes. Kérlek írj listát!!)
Zavarosság
Anton Grigorjevtől
Nehéz, különösen a telefon cseréje. Nem igazodik a modern képernyők padlójához.
Frissítés szükséges!
Néha összeomlik indításkor. Kérjük, frissítse a támogatási alkalmazást legújabb verzió iOS és sötét téma!!
Az alkalmazás szuper!
George Efrontól
Sokkal kényelmesebb, mint egy google alkalmazás, de 4 csillag híján iPhone támogatás XS max.
Figyelem. A Yandexben fejlesztett alkalmazásokhoz egyszeri jelszó szükséges – még a helyesen létrehozott alkalmazásjelszavak sem működnek.
- Bejelentkezés QR kóddal
- A Yandex.Key átvitele
- Mesterjelszó
- Hogyan függenek az egyszeri jelszavak a pontos időtől
Jelentkezzen be a Yandex szolgáltatásba vagy alkalmazásba
Egyszeri jelszót megadhat a Yandexen vagy a Yandex által fejlesztett alkalmazásokban bármilyen engedélyezési formában.
Jegyzet.
Az egyszeri jelszót időben meg kell adni, amíg az megjelenik az alkalmazásban. Ha túl kevés idő van hátra a frissítésig, csak várja meg az új jelszót.
Egyszeri jelszó megszerzéséhez indítsa el a Yandex.Key alkalmazást, és adja meg a kéttényezős hitelesítés beállításakor beállított PIN-kódot. Az alkalmazás 30 másodpercenként elkezd jelszavakat generálni.
A Yandex.Key nem ellenőrzi a megadott PIN-kódot, és egyszeri jelszavakat generál, még akkor sem, ha hibásan adta meg a PIN-kódot. Ebben az esetben a létrehozott jelszavak is hibásnak bizonyulnak, és nem fog tudni bejelentkezni velük. A helyes PIN kód megadásához csak ki kell lépnie az alkalmazásból, és újra kell indítania.
Bejelentkezés QR kóddal
Egyes szolgáltatások (például a Yandex kezdőlapja, a Passport and Mail) lehetővé teszik, hogy a kamerát a QR-kódra irányítva bejelentkezzen a Yandexbe. Ebben az esetben mobileszközének csatlakoznia kell az internethez, hogy a Yandex.Key kapcsolatba léphessen az engedélyezési szerverrel.
Kattintson a QR-kód ikonra a böngészőjében.
Ha nincs ilyen ikon a bejelentkezési űrlapon, akkor tovább ezt a szolgáltatást csak jelszóval lehet bejelentkezni. Ebben az esetben a Passportban található QR-kóddal jelentkezhet be, majd lépjen a kívánt szolgáltatáshoz.
Írja be a PIN-kódot a Yandex.Key-ben, majd kattintson a Bejelentkezés QR-kóddal lehetőségre.
Irányítsa eszközének kameráját a böngészőben megjelenő QR-kódra.
A Yandex.Key felismeri a QR-kódot, és elküldi felhasználónevét és egyszeri jelszavát a Yandex.Passport-nak. Ha átmennek a teszten, automatikusan bejelentkezik a böngészőjébe. Ha a továbbított jelszó helytelennek bizonyul (például azért, mert hibásan írta be a PIN-kódot a Yandex.Key-ben), a böngésző normál üzenetet jelenít meg a hibás jelszóról.
Jelentkezzen be Yandex-fiókkal egy harmadik féltől származó alkalmazásba vagy webhelyre
Azok az alkalmazások vagy webhelyek, amelyeknek hozzá kell férniük az Ön adataihoz a Yandexen, néha jelszó megadását kérik a fiókjába való bejelentkezéshez. Ilyen esetekben az egyszeri jelszavak nem működnek – minden ilyen alkalmazáshoz külön alkalmazásjelszót kell létrehozni.
Figyelem. Csak az egyszeri jelszavak működnek a Yandex alkalmazásokban és szolgáltatásokban. Még ha létrehoz egy alkalmazásjelszót, például a Yandex.Disk számára, nem fog tudni bejelentkezni vele.
A Yandex.Key átvitele
Az egyszeri jelszavak generálását átviheti egy másik eszközre, vagy konfigurálhatja a Yandex.Key-t több eszközön egyidejűleg. Ehhez nyissa meg a Access Control oldalt, és kattintson a gombra A készülék cseréje.
Számos fiók a Yandex.Keyben
Ugyanaz a Yandex.Key több fiókhoz is használható egyszeri jelszóval. Új fiók hozzáadásához az alkalmazáshoz, amikor egyszeri jelszavakat állít be a 3. lépésben, kattintson az alkalmazás ikonjára. Ezenkívül a Yandex.Key-hez jelszógenerálást is hozzáadhat más szolgáltatásokhoz, amelyek támogatják az ilyen kéttényezős hitelesítést. Útmutató a legtöbbhez népszerű szolgáltatások A nem a Yandex számára készült ellenőrző kódok létrehozásáról szóló oldalon találhatók.
A fiók Yandex.Key-hez való kötésének megszüntetéséhez nyomja meg és tartsa lenyomva a megfelelő portrét az alkalmazásban, amíg meg nem jelenik egy kereszt a jobb oldalán. Ha rákattint a keresztre, fiókjának összekapcsolása a Yandex.Key-vel megszűnik.
Figyelem. Ha töröl egy fiókot, amelyhez engedélyezve vannak az egyszeri jelszavak, akkor nem fog tudni egyszeri jelszót kapni a Yandexbe való bejelentkezéshez. Ebben az esetben vissza kell állítani a hozzáférést.
Pin kód helyett ujjlenyomat
A következő eszközökön használhatja ujjlenyomatát PIN-kód helyett:
alatti okostelefonok Android 6.0 és egy ujjlenyomat-szkenner;
iPhone 5s-től;
iPad kezdődően Légi modellek 2.
Jegyzet.
iOS rendszerű okostelefonokon és táblagépeken az ujjlenyomat az eszköz jelszavának megadásával megkerülhető. Ennek elkerülése érdekében kapcsolja be a fő jelszót, vagy módosítsa a jelszót egy összetettebbre: nyissa meg a Beállítások alkalmazást, és válassza az Érintőazonosító és jelszó lehetőséget.
Az ujjlenyomat-ellenőrzés engedélyezése:
Mesterjelszó
Az egyszeri jelszavak további védelméhez hozzon létre egy fő jelszót: → Fő jelszó.
Fő jelszóval a következőket teheti:
lehetővé teszi az ujjlenyomat helyett csak a Yandex.Key fő jelszó megadását, az eszköz zárkódjának nem;
Yandex.Key adatmentés
Létrehozhat biztonsági másolatot a kulcsadatokról a Yandex szerveren, hogy visszaállíthassa azokat, ha elvesztette telefonját vagy táblagépét az alkalmazással. A másolat készítésekor a kulcshoz hozzáadott összes fiók adatai a szerverre másolódnak. Nem hozhat létre egynél több biztonsági másolatot, egy adott telefonszámhoz tartozó adatok minden további másolata felváltja az előzőt.
A biztonsági másolatból való adatok lekéréséhez a következőkre lesz szüksége:
hozzáférhet a létrehozásakor megadott telefonszámhoz;
emlékezzen a biztonsági mentés titkosításához beállított jelszóra.
Figyelem. Biztonsági másolat csak az egyszeri jelszavak generálásához szükséges bejelentkezési adatokat és titkokat tartalmazza. Emlékeznie kell arra a PIN-kódra, amelyet akkor állított be, amikor engedélyezte az egyszeri jelszavakat a Yandexen.
Még nem lehet biztonsági másolatot törölni a Yandex szerverről. A rendszer automatikusan eltávolítja, ha a létrehozásától számított egy éven belül nem használja.
Biztonsági mentés készítése
Tárgy kiválasztása Készítsen biztonsági másolatot az alkalmazás beállításaiban.
Adja meg a telefonszámot, amelyhez a biztonsági mentés kapcsolódik (például "71234567890" "380123456789"), majd kattintson a Tovább gombra.
A Yandex megerősítő kódot küld a megadott telefonszámra. Miután megkapta a kódot, írja be az alkalmazásba.
Hozzon létre egy jelszót az adatok biztonsági másolatának titkosításához. Ezt a jelszót nem lehet visszaállítani, ezért ügyeljen arra, hogy ne felejtse el vagy veszítse el.
Írja be kétszer jelszavát, majd kattintson a Befejezés gombra. A Yandex.Key titkosítja a biztonsági másolatot, elküldi a Yandex szervernek, és értesít róla.
Az a kérdés, hogyan lehet Yandex Money segélykódot kapni SMS nélkül, olyan helyzetekben merül fel a felhasználók körében, amelyeket általában vis maiornak neveznek. Ha elvesztett egy rendszeresen használt jelszót, valamilyen oknál fogva nem kap SMS-t egyszeri titkosítással, nem talál egy táblát kódszimbólum-készlettel, ne aggódjon emiatt. A szolgáltatás ilyen esetekre biztosított vészhelyzeti lehetőséget. Lekérheti a Yandex Money segélykódokat, és befejezheti a fizetési műveletet.
Money.yandex.ru jelszavak minden alkalomra
Nem minden felhasználó tudja a szolgáltatást, hogy milyen tágak a lehetőségei a pénzforgalomhoz. A Yandex pénzügyi szolgáltatásainak használatához a következő típusú jelszavak állnak rendelkezésre:
- bejövő SMS;
- Az alkalmazásokhoz kapcsolódó QR-kódok;
- vészhelyzetekben használt karakterkészletek.
Ez utóbbit fogjuk részletesebben megvizsgálni. Ne keverje össze őket a szokásos számokkal, amelyeket SMS-ben vár az átutalás befejezéséhez. Kicsit más tulajdonsággal rendelkeznek, mint a jelenleg divatos QR-jelszavak, amelyeket a készülék kamerája is beolvashat.
Amit a segélyhívó kódokról tudni kell
Tehát mik azok a vészhelyzeti kódok a Yandex Money-ban, hogyan lehet őket megszerezni, és miért van szükség rájuk? Mindenki számára ismerős a helyzet, amikor sürgősen ki akarja venni az alapok egy részét a pénztárcából, kitöltve az összes szükséges mezőt, de nem tudja befejezni a folyamatot, mivel az SMS nem érkezik. Ez leggyakrabban roamingban történik. A probléma másik változata egy halott telefon, amelyre az alkalmazás telepítve van. Mindkét esetben, ha nem lenne vészhelyzeti kód, a felhasználók nem tudnának fizetési műveletet végrehajtani a Yandex Money-n. Rejtjelek ebből a típusból különböznek a QR-tól, és ugyanúgy működnek, mint a szokásos egyszeri karakterkészletek. Bármilyen műveletet is hajt végre, ők segítenek Önnek, és lehetővé teszik annak befejezését.
Útmutató a vészhelyzeti kód megszerzéséhez
Mindenki tudja, hogyan kell egy szabványos titkosítót vagy QR-t elérni. Egyszerűen megrendelhet egy vészhelyzeti szimbólumkészletet is. Eltérése csak a kérés kezdeti indokaiban van, ami abból adódik, hogy a felhasználó nem tudja felvenni az összeget, mert az utolsó ablakban nem sikerült megadni a kért számokat.
Ha hasonló helyzetben találja magát, a cselekvések algoritmusa a következő legyen:
- Keresse meg a „Vészhelyzeti kód kérése” hivatkozást.
- Adja meg a jelszót (egyszer).
- Nyomtassa ki a kódlapot.
Figyelem: még ha számítógépe modern védelmi rendszerrel rendelkezik is a vírusok és az illetéktelen személyek behatolása ellen, semmi esetre se mentsen kódokat a memóriájába. Nyomtatás után azonnal törölje a fájlt.
Egyes felhasználók biztosak abban, hogy a kapott titkosításokat világos sorrendben kell használni. Sőt, tetszés szerint választhatja ki őket.
Előfordulhat, hogy a létrejövő oldal véletlenül bezárul vagy elveszett. Semmi baj. Pontosan a fent leírtak szerint kérjen új kódokat. Ha a pénz védelme érdekében illetéktelenek hirtelen birtokba vettek egy rejtjellel ellátott lapot, haladéktalanul rendeljen új kódokat. Ha ezt megteszi, a régi karakterkészletek érvénytelenek és használhatatlanok lesznek. A Yandex Money biztonsági szolgáltatás mindent megtesz az ügyfelek pénzének védelme érdekében. Utóbbinak az a feladata, hogy éber legyen, és segítse őt ennek a nehéz feladatnak a teljesítésében.
Nem találkozhatsz olyan emberrel az interneten, aki legalább a füle szélén ne hallott volna a QR-kódokról. A hálózat elmúlt évtizedekben megnövekedett népszerűsége miatt a felhasználóknak szükségük volt egymás közötti adatátvitelre különböző utak... A QR-kódok csak az információk „hordozói”, amelyeket a felhasználó ott titkosított. De a kérdés más - hogyan lehet megfejteni az ilyen kódokat, és mi van bennük?
Ha korábban a felhasználónak keresnie kellett speciális alkalmazások amelyek segítenek a QR-kód visszafejtésében, most már semmi másra nincs szükség, csak internetkapcsolatra. Az alábbiakban 3 módszert fogunk megvizsgálni a QR-kódok online beolvasására és dekódolására.
1. módszer: IMGonline
Ez az oldal egy nagy forrás, amely mindent tartalmaz a képekkel való interakcióhoz: feldolgozás, átméretezés stb. És természetesen van egy számunkra érdekes QR-kóddal ellátott képfeldolgozó, amivel tetszés szerint változtathatjuk a képet a felismerés érdekében.
Egy érdekes kép beolvasásához kövesse az alábbi lépéseket:
2. módszer: Dekódold!
Az előző oldaltól eltérően ez teljes mértékben arra épül, hogy segítse a felhasználókat az interneten hatalmas mennyiségű adat visszafejtésében, az ASCII-karakterektől az MD5-fájlokig. Meglehetősen minimalista kialakítású, amely lehetővé teszi a használatát mobil eszközök, de hiányzik a QR-kódok visszafejtését segítő egyéb funkciók.
Az ezen az oldalon található QR-kód visszafejtéséhez a következőket kell tennie:
3. módszer: Foxtools
A Foxtools online szolgáltatás funkcióinak és képességeinek számát tekintve nagyon hasonlít az előző oldalhoz, de ennek is megvannak a maga előnyei. Például, ezt az erőforrást lehetővé teszi QR-kódok olvasását egy linkről a képekre, ezért nincs értelme menteni őket a számítógépére, ami nagyon kényelmes.
A QR-kód elolvasásához ebben az online szolgáltatásban a következőket kell tennie:
A fenti online szolgáltatásoknak számos pozitív tulajdonsága van, de vannak hátrányai is. Mindegyik módszer jó a maga módján, de nem valószínű, hogy kiegészítik egymást, csak akkor, ha olyan webhelyeket használ különböző eszközökés különféle célokra.
Egy ritka bejegyzés a Yandex blogon, és különösen a biztonsággal kapcsolatos, nem említette a kéttényezős hitelesítést. Sokáig gondolkodtunk azon, hogyan lehetne megfelelően megerősíteni a felhasználói fiókok védelmét, sőt, hogy minden kellemetlenség nélkül tudja használni, ami a manapság legelterjedtebb implementációkkal jár. És sajnos kényelmetlenek. Egyes jelentések szerint sok nagy webhelyen azon felhasználók aránya, akik szerepeltek további pénzeszközök a hitelesítés nem haladja meg a 0,1%-ot.
Ennek az az oka, hogy a közös kéttényezős hitelesítési séma túl bonyolult és kényelmetlen. Megpróbáltunk olyan megoldást kitalálni, amely kényelmesebb a védelmi szint elvesztése nélkül, és ma béta verzióban mutatjuk be.
Remélhetőleg egyre elterjedtebb lesz. A magunk részéről készek vagyunk dolgozni a fejlesztésén és az azt követő szabványosításon.
Miután engedélyezte a kéttényezős hitelesítést a Passportban, telepítenie kell a Yandex.Key alkalmazást az App Store vagy a Google Play áruházból. Az engedélyezési űrlapon on kezdőlap A Yandex, QR-kódok megjelentek a Mailben és az útlevélben. Belépni fiókot be kell olvasnod a QR-kódot az alkalmazáson keresztül – és ennyi. Ha nem tudja elolvasni a QR-kódot, például nem működik az okostelefon kamerája, vagy nincs internet-hozzáférés, az alkalmazás létrehoz egy egyszeri jelszót, amely mindössze 30 másodpercig lesz érvényes.
Elmondom, miért döntöttünk úgy, hogy nem használunk olyan "szabványos" mechanizmusokat, mint az RFC 6238 vagy az RFC 4226. Hogyan működnek az általános kéttényezős hitelesítési sémák? Kétlépcsősek. Az első lépés a szokásos felhasználónév és jelszó hitelesítés. Ha ez sikeres, a webhely ellenőrzi, hogy „tetszik-e” ez a felhasználói munkamenet vagy sem. És ha nem tetszik, megkéri a felhasználót, hogy „újra hitelesítsen”. Az „előhitelesítésnek” két általános módja van: SMS küldése a fiókhoz társított telefonszámra, és egy második jelszó generálása okostelefonon. A második jelszó generálására alapvetően az RFC 6238 szerinti TOTP szolgál, ha a felhasználó a második jelszót helyesen adta meg, a munkamenet teljesen hitelesítettnek minősül, ha pedig nem, akkor a munkamenet is elveszti "előzetes" hitelesítését.
Mindkét irányba ─ SMS küldéseés a jelszó generálása a telefon tulajdonjogának bizonyítéka, ezért az elérhetőség tényezője. Az első lépésben megadott jelszó tudástényező. Ezért ez a hitelesítési séma nemcsak kétlépcsős, hanem kéttényezős is.
Mi tűnt számunkra problémásnak ebben a rendszerben?
Kezdjük azzal, hogy az átlagfelhasználó számítógépe nem mindig nevezhető a biztonság modelljének: itt és leállítás Windows frissítések, valamint egy vírusirtó kalózmásolata modern aláírások nélkül, és kétes eredetű szoftverek ─ mindez nem növeli a védelem szintjét. Véleményünk szerint a felhasználó számítógépének kompromittálása a legelterjedtebb módja a fiókok "eltérítésének" (és a közelmúltban erre még egy megerősítés érkezett), és elsősorban magamat szeretném megvédeni tőle. Kétlépcsős azonosítás esetén, ha feltételezzük, hogy a felhasználó számítógépét feltörték, akkor a jelszó megadása magát a jelszót veszélyezteti, ami az első tényező. Ez azt jelenti, hogy a támadónak csak a második tényezőt kell kiválasztania. Az általános RFC 6238 implementációk esetén a második tényező 6 tizedesjegy (és a specifikáció által előírt maximum 8 számjegy). Az OTP bruteforce kalkulátora szerint a támadó három nap alatt képes felvenni a második faktort, ha valahogy ismeri az elsőt. Nem világos, hogy a szolgáltatás milyen módon képes fellépni a támadás ellen a normál felhasználói élmény megzavarása nélkül. A munkavégzés egyetlen lehetséges bizonyítéka a captcha, ami véleményünk szerint az utolsó lehetőség.A második probléma az átláthatóság hiánya a szolgáltatás megítélésében a felhasználói munkamenet minőségéről és az „előzetes hitelesítés” szükségességéről való döntésben. Még rosszabb, a szolgáltatás nem érdekelt abban, hogy ezt a folyamatot átláthatóvá tegye, mert a titkosítási biztonság itt valójában működik. Ha a támadó tudja, hogy a szolgáltatás mi alapján dönt a munkamenet jogosságáról, megpróbálhatja meghamisítani ezeket az adatokat. Általános megfontolások alapján arra a következtetésre juthatunk, hogy az ítélet a felhasználó hitelesítési előzményei alapján történik, figyelembe véve az IP-címet (és az abból származó számot). autonóm rendszer amely azonosítja a szolgáltatót és a helyet a geoadatbázis) és a böngészőadatok, például a cím alapján Felhasználói ügynökés egy készlet sütiket, flash lso és html helyi tárhelyet. Ez azt jelenti, hogy ha egy támadó irányítja a felhasználó számítógépét, akkor nemcsak az összes szükséges adatot ellophatja, hanem az áldozat IP-címét is használhatja. Ezen túlmenően, ha a döntés az ASN alapján történik, akkor a kávézóban a nyilvános Wi-Fi-ről történő bármilyen hitelesítés a kávé szolgáltatójának "megmérgezéséhez" vezethet biztonsági szempontból (és a szolgáltatás szempontjából fehérítéshez). bolt és például a város összes kávézójának meszelése. ... Beszéltünk az anomália-felismerő rendszer működéséről, alkalmazható, de az első és második hitelesítési szakasz között eltelt idő nem biztos, hogy elegendő az anomália magabiztos megítéléséhez. Ezenkívül ugyanez az érv megsemmisíti a "megbízható" számítógépek gondolatát: a támadó bármilyen információt ellophat, amely befolyásolja a bizalom megítélését.
Végül pedig a kétlépcsős azonosítás egyszerűen kényelmetlen: használhatósági tanulmányaink azt mutatják, hogy semmi sem bosszantja annyira a felhasználókat, mint egy közbenső képernyő, a további gombnyomások és egyéb, az ő szempontjából "nem fontos" műveletek.
Ez alapján úgy döntöttünk, hogy a hitelesítés egylépéses legyen, a jelszótér pedig jóval nagyobb legyen, mint amennyit a "tiszta" RFC 6238 keretein belül meg lehet tenni.
Ugyanakkor a lehető legnagyobb mértékben meg akartuk tartani a kéttényezős hitelesítést.
A hitelesítés többtényezősségét úgy határozzák meg, hogy a hitelesítési elemeket (valójában faktoroknak nevezik) a három kategória egyikébe rendelik:
- Tudástényezők (ezek hagyományos jelszavak, pin kódok és minden, ami rájuk hasonlít);
- Tulajdonosi tényezők (a használt OTP-sémákban ez általában egy okostelefon, de lehet hardveres token is);
- Biometrikus tényezők (most az ujjlenyomat a leggyakoribb, bár valaki emlékezni fog a Demolition Man című film Wesley Snipes hősével készült epizódra).
Rendszerünk fejlesztése
Amikor elkezdtünk foglalkozni a kéttényezős hitelesítés problémájával (a céges wiki első oldalai ezzel a kérdéssel 2012-ből származnak, de a színfalak mögött már korábban is szó volt róla), az első ötlet az volt, hogy szabványos módszerek hitelesítést, és alkalmazza azokat nálunk. Megértettük, hogy nem számíthatunk arra, hogy felhasználóink milliói vásároljanak hardveres tokent, ezért ezt a lehetőséget néhány egzotikus esetre elhalasztottuk (bár nem adjuk el teljesen, talán sikerül valami érdekeset kitalálni). Az SMS-es módszer sem lehet masszív: ez egy nagyon megbízhatatlan kézbesítési mód (a legdöntőbb pillanatban előfordulhat, hogy az SMS késik vagy egyáltalán nem érkezik meg), ill. SMS küldése pénzbe kerül (és az üzemeltetők elkezdték emelni az árat). Úgy döntöttünk, hogy az SMS-használat a bankok és más alacsony technológiájú cégek sora, és szeretnénk valami kényelmesebbet kínálni felhasználóinknak. Általában nem volt nagy a választás: második tényezőként az okostelefont és a benne lévő programot használni.Az egylépcsős azonosításnak ez a formája elterjedt: a felhasználó emlékszik a pin kódra (az első tényező), van egy hardveres vagy szoftveres tokenje (az okostelefonban), amely OTP-t generál (a második tényező). A jelszó beviteli mezőbe írja be a pin kódot és az aktuális OTP értéket.
Véleményünk szerint, fő hátránya Ez a séma ugyanaz, mint a kétlépcsős azonosításnál: ha figyelembe vesszük, hogy a felhasználó asztala feltört, akkor egyetlen PIN-kód bevitele vezet annak felfedéséhez, és a támadónak csak a második tényezőt kell kiválasztania.
A másik út mellett döntöttünk: a jelszó teljes egészében a titokból jön létre, de a titoknak csak egy része tárolódik az okostelefonban, egy részét pedig a felhasználó adja meg minden alkalommal, amikor a jelszót generálja. Így maga az okostelefon tulajdonjogi tényező, a jelszó pedig a felhasználó fejében marad és tudástényező.
A Nonce lehet számláló vagy aktuális idő. Úgy döntöttünk, hogy az aktuális időt választjuk, így nem kell félni a deszinkronizálástól, ha valaki túl sok jelszót generál és növeli a számlálót.
Tehát van egy okostelefonos programunk, ahol a felhasználó beírja a titok részét, az összekeverődik a tárolt résszel, az eredményt HMAC kulcsként használjuk, ami 30 másodpercre kerekítve jelzi az aktuális időt. A HMAC-kimenet ember által olvasható, és íme, itt az egyszeri jelszó!
Amint már említettük, az RFC 4226 a HMAC kimenet legfeljebb 8 tizedesjegyre történő csonkolását javasolja. Úgy döntöttünk, hogy egy ekkora jelszó nem alkalmas egylépcsős azonosításra, ezért növelni kell. Ugyanakkor meg akartuk őrizni a könnyű kezelhetőséget (végül is, ne feledjük, olyan rendszert akarok készíteni, amit a hétköznapi emberek is fognak használni, nem csak a biztonsági geekek), így kompromisszumként a jelenlegi verzió rendszert úgy döntöttünk, hogy a latin ábécé 8 karakterre csonkoljuk. Úgy tűnik, 26 ^ 8 30 másodpercig érvényes jelszó teljesen elfogadható, de ha a biztonsági ráhagyás nem felel meg nekünk (vagy értékes tippek jelennek meg a séma javítására a Habrén), akkor például bővítjük 10 karakterre.
Tudjon meg többet az ilyen jelszavak erősségéről
Valójában a kis- és nagybetűket nem érző latin betűk esetében a lehetőségek száma jelenként 26, a nagy- és kisbetűs latin betűk és a számok esetében 26 + 26 + 10 = 62. Ezután log 62 (26 10) ≈ 7,9, azaz egy 10 véletlenszerűen kiválasztott kis latin betűből álló jelszó majdnem olyan erős, mint egy 8 véletlenszerű nagy és kis latin betűből vagy számból álló jelszó. Ez biztosan elég 30 másodpercre. Ha egy 8 karakteres, latin betűkből álló jelszóról beszélünk, akkor annak erőssége log 62 (26 8) ≈ 6,3, vagyis valamivel több, mint egy 6 karakteres, nagy, kis betűkből és számokból álló jelszó. Úgy gondoljuk, hogy ez még mindig elfogadható 30 másodpercig.Varázslat, jelszó nélküliség, alkalmazások és a továbbjutás
Általában megállhattunk volna ennél, de szerettük volna még kényelmesebbé tenni a rendszert. Ha az ember kezében okostelefon van, nem akarja beírni a jelszót a billentyűzetről!
Ezért elkezdtük a munkát a "mágikus bejelentkezésen". Ezzel a hitelesítési módszerrel a felhasználó elindítja az alkalmazást az okostelefonon, beírja abba PIN-kódját, és beolvassa a QR-kódot a számítógépe képernyőjén. Ha a PIN kódot helyesen adta meg, akkor a böngészőben lévő oldal újra betöltődik és a felhasználó hitelesítése megtörténik. Varázslat!
Hogyan működik?
A QR-kódba be van kódolva a munkamenet száma, amelyet az alkalmazás beolvasásakor a szokásos módon generált jelszóval és felhasználónévvel együtt továbbít a szerverre. Ez nem nehéz, mert az okostelefon szinte mindig online van. A QR kódot mutató oldal elrendezésében a JavaScript fut, szerver oldalról válaszra várva az adott munkamenethez tartozó jelszó ellenőrzésére. Ha a szerver azt válaszolja, hogy a jelszó helyes, a válasz mellett munkamenet-cookie-t is beállítunk, és a felhasználó hitelesítettnek minősül.Jobb lett, de még itt is úgy döntöttünk, hogy nem állunk meg. Kezdve az iPhone 5S telefonokban és Apple tabletek megjelent a TouchID ujjlenyomat-szkenner, és be iOS verzió 8 munka vele elérhető és harmadik féltől származó alkalmazások... Valójában az alkalmazás nem fér hozzá az ujjlenyomathoz, de ha az ujjlenyomat megfelelő, akkor egy további Kulcstartó rész válik elérhetővé az alkalmazás számára. Ezt kihasználtuk. A titok második része a TouchID-vel védett Keychain bejegyzésbe kerül, abba, amelyet a felhasználó a billentyűzetről írt be az előző szkriptben. A kulcstartó feloldásakor a titok két része összekeveredik, majd a folyamat a fent leírtak szerint működik.
A felhasználó azonban hihetetlenül kényelmessé vált: megnyitja az alkalmazást, ráteszi az ujját, beolvassa a képernyőn megjelenő QR-kódot, és a számítógép böngészőjében hitelesíti magát! Így a tudástényezőt biometrikusra cseréltük, és a felhasználó szempontjából teljesen elhagytuk a jelszavakat. Biztosak vagyunk benne, hogy a hétköznapi emberek sokkal kényelmesebbnek találják ezt a rendszert kézi bevitel két jelszót.
Lehet azon vitatkozni, hogy formailag mennyire kéttényezős egy ilyen hitelesítés, de valójában a sikeres átadásához még telefonra és megfelelő ujjlenyomatra van szükség, tehát úgy gondoljuk, hogy sikerült teljesen elhagynunk a tudásfaktort, biometrikus adatokkal helyettesítve. Megértjük, hogy az iOS Secure Enclave középpontjában az ARM TrustZone biztonságra támaszkodunk, és hiszünk abban, hogy jelenleg ez az alrendszer a fenyegetési modellünkön belül megbízhatónak tekinthető. Természetesen tisztában vagyunk a biometrikus azonosítás problémáival: az ujjlenyomat nem jelszó, kompromisszum esetén nem cserélhető. De másrészt mindenki tudja, hogy a biztonság fordítottan arányos a kényelemmel, és magának a felhasználónak is joga van kiválasztani az egyik és a másik elfogadható arányát.
Hadd emlékeztesselek arra, hogy ez még mindig béta. Most, amikor engedélyezi a kéttényezős hitelesítést, ideiglenesen letiltjuk a jelszavak szinkronizálását a Yandex böngészőben. Ez a jelszóadatbázis titkosítási elrendezésének köszönhető. Már most előállunk egy kényelmes módszerrel a Böngésző hitelesítésére a 2FA esetében. A Yandex összes többi funkciója ugyanúgy működik, mint korábban.
Íme, amit kaptunk. Úgy tűnik, hogy jól sikerült, de ezt neked kell megítélned. Örömmel fogadjuk a visszajelzéseket, javaslatokat, mi magunk pedig továbbra is dolgozunk szolgáltatásaink biztonságának javításán: most már a CSP-vel, a levéltovábbítás titkosításával és minden mással együtt kétfaktoros hitelesítést is alkalmazunk. Ne feledje, hogy a hitelesítési szolgáltatások és az OTP-generáló alkalmazások kritikusak, ezért megduplázzák a bennük talált hibákért járó Bug Bounty bónuszt.
Címkék: Címkék hozzáadása
