Apa itu kunci Yandex. Cara membayar dengan kode QR melalui aplikasi Yandex.money

Yandex.Key menghasilkan kata sandi satu kali (OTP) untuk memberikan login yang lebih aman ke Yandex, Facebook, Google, GitHub, Dropbox, VKontakte, dan layanan lain yang mendukung otentikasi dua faktor (2FA). Untuk masuk ke layanan Yandex, Anda hanya perlu kata sandi satu kali yang dibuat oleh Kunci, untuk yang lain - kata sandi satu kali dan kata sandi Anda yang biasa. - Beberapa angka atau sidik jari Anda tidak perlu membuat kata sandi yang rumit untuk melindungi login Yandex Anda dengan andal. Cukup untuk mengingat dari 4 hingga 16 digit - menggunakannya Yandex.Key akan memberi Anda kata sandi satu kali yang unik dengan masa berlaku kurang dari satu menit. Jika Anda tidak ingin memasukkan PIN Anda, aktifkan Touch ID di pengaturan Kunci dan gunakan sidik jari Anda. - Perlindungan data Yandex.Key juga melindungi akun Anda dari peretasan dan pencurian informasi pribadi: hanya Anda yang akan menerima kata sandi satu kali di perangkat seluler Anda. - Koneksi sederhana Anda dapat menambahkan akun ke aplikasi secara manual - dengan mencetak ulang data dari situs web layanan yang Anda sambungkan, atau secara otomatis - dengan membaca kode QR dari sana. - Bekerja offline Untuk menambahkan akun ke aplikasi dan membuat kata sandi satu kali, Yandex.Key tidak memerlukan Internet. Anda bahkan tidak perlu SMS untuk mendapatkan kata sandi. - Fitur tambahan Kuncinya dapat membuat kata sandi enam digit dan delapan digit - tergantung pada persyaratan layanan. Selain itu, Kunci mendukung periode yang berbeda untuk memperbarui kata sandi satu kali, tidak hanya 30 detik (tergantung pada layanan yang digunakan). - Standar keamanan Yandex.Key cocok untuk otentikasi dua faktor (atau dua langkah) pada semua layanan yang mendukung standar keamanan RFC-6238 dan RFC-4226 (kecuali yang hanya berfungsi dengan SMS). - Cadangan Jika terjadi sesuatu pada perangkat Anda, Anda dapat membuat salinan cadangan data Kunci di server Yandex. Aman: setiap salinan dienkripsi dengan kata sandi yang hanya diketahui pemiliknya. Baca lebih lanjut di halaman bantuan - https://ya.cc/2fa

Tangkapan layar

Ulasan

  • Aplikasi yang bagus

    Saya telah menggunakannya untuk waktu yang lama, sejak 5s. Sekarang saya tidak melihat ada masalah pada Xs. Saya tidak mengerti umpan balik tentang kurangnya adaptasi. Dari tua ke telepon baru juga, semuanya ditoleransi dengan baik.

  • Pembaruan level reguler

    Seperti yang ditulis banyak orang: lebih dari setengah tahun 2019 telah berlalu, dan masih belum ada adaptasi untuk X, XS, XR. Dan orang-orang tidak terburu-buru untuk memperbarui, mengapa? Tidak ada alternatif, Anda masih harus menggunakan apa yang Anda miliki. Tetapi kurangnya dukungan FaceID tentu saja merupakan pengabaian liar bagi pengguna. Hanya berhenti berlangganan "pembaruan direncanakan kapan-kapan, tetapi kami tidak tahu kapan." Fungsionalitasnya bagus dan layanannya mengerikan

  • Fungsionalitas yang layak, UI / UX yang buruk

    Siapa yang membuat korsel ini dengan akun ... Ketika tidak ada ikon, dua akun tidak dapat dibedakan, dan tidak nyaman untuk memutar bolak-balik.

  • ChSV keluar dari skala

    Dari Yuyuygyffhdsgbfddes

    Mungkin Yandex suatu hari nanti harus memahami bahwa orang yang memasang 2FA di akun mereka adalah orang yang agak peduli dengan keamanan data mereka, dan mereka tidak siap untuk hanya mengambil dan memberikan nomor telepon mereka. Ironisnya, meskipun aplikasi itu sendiri dapat digunakan untuk layanan pihak ketiga (ATP ke Yandex untuk penjelasan rinci), penggunaannya tidak praktis untuk Yandex.

  • Tidak bekerja

    Oleh wrghbqjwjqjqnqtktqjtj

  • iPhone X

    Mengapa tidak ada adaptasi untuk iPhone X ??

  • Tidak bekerja

    Tidak bekerja! Saya memasukkan kata sandi yang dikeluarkan, tetapi situs tidak menerimanya! Setelah 200 masuk tidak ada gunanya. Jika Anda tidak tahu cara melakukan otentikasi dua faktor, jangan ikut campur!

  • Di dasar

    Aplikasi belum diperbarui selama 2 tahun. Mereka mencetak gol padanya. Tidak ada id wajah. Tidak dioptimalkan untuk layar takik. Antarmuka tidak berubah. Singkatnya, Yandex mencetak gol.

  • Tidak berguna

    Aplikasi bekerja secara terpisah, aplikasi Yandex-money bekerja secara terpisah. Yandex-money tidak berfungsi dengan aplikasi ini: baik dengan kode PIN (dimasukkan dengan benar), tidak dengan sidik jari. Waktu disinkronkan - hasilnya tidak diperbaiki. Dia menganggapnya tidak berguna.

  • Tidak buruk

    Dari Gordon Krants

    Aplikasi yang bagus, tetapi pengaturan horizontal sangat merepotkan: (Saya ingin di masa mendatang pembaruan untuk melihat kolom vertikal dengan layanan dan kemampuan untuk memilih ikon untuk masing-masing, jika tidak sulit untuk mencari kode yang diperlukan ketika Anda memiliki beberapa akun di satu layanan

  • Kode QR tidak dapat dibaca

    Dari Amir Gatin

    Saya tidak dapat menginstal kode pada iPhone 6. Tidak terbaca!

  • Tidak bekerja!!!

    Tidak masuk dengan kode QR atau kata sandi satu kali! Ini juru tulis!!!

  • Menghasilkan yang salah

    Kata sandi satu kali salah! Saya tidak mengubah waktu di perangkat sepanjang waktu

  • Tidak nyaman digunakan

    Luar biasa canggung hu...

  • Akun

    Halo, saya memiliki situasi yang sangat tidak nyaman ... Saya mengganti ponsel saya tetapi tidak membuat cadangan, dan akibatnya saya kehilangan semua kode akses yang ada di aplikasi, saya menghabiskan banyak waktu untuk memulihkan semuanya .. . baik, itulah yang saya maksud) lakukan agar Anda dapat membuat akun dan semuanya disimpan secara otomatis ... setelah semua, sangat merepotkan setelah menambahkan kata sandi baru untuk membuat cadangan untuk menggerakkan ponsel Anda, dll ...

  • Mengapa milikmu?

    Dari 79522370021784380H

    Mengapa datang dengan aplikasi lain ketika Anda memiliki Authy? Ini mengganggu saya bahwa pada PC perlu untuk mengatur ~ 4 peluncur secara default, begitu juga di ponsel ~ 4 perangkat lunak untuk 2fa. Tidak nyaman, meskipun kuncinya bukan 6 digit, tetapi 2fa adalah 2fa, dan bukan pintu masuk tanpa kata sandi. Lebih mudah bagi saya untuk memasukkan 6-8 angka daripada memasukkan satu set huruf

  • Tidak dapat masuk ke akun saya

    Dukungan teknis membantu

  • ID Wajah? Tidak, belum mendengar

    Tidak ada dukungan ID Wajah. Aplikasi ini diregangkan, seolah-olah dibuat untuk iPhone keempat. Yandex, apakah itu benar-benar kamu?

  • Ikon

    Dari nama pengguna lain sc

    Saya merasakan kekurangan ikon yang akut untuk layanan yang berbeda. Anda telah membuat ikon untuk yang paling populer, tetapi sayangnya aplikasi tidak mengetahui banyak layanan lainnya. Misalnya tentang mega, discord, asal EA, Ubisoft Uplay dan itu yang saya ingat langsung.

  • Menjijikkan

    Mengapa menjadikan aplikasi ini suatu keharusan dan tidak menggunakannya? Di mana dukungan untuk iPhone x dan lebih tinggi? Aplikasi terbuka ke lantai layar ... 2 tahun telah berlalu sejak saya pensiun dari Yandex karena alasan ini. Saya pikir itu adalah perusahaan biasa, tetapi ternyata dapurnya penuh.

  • Dukungan berakhir

    Perbarui bahkan untuk perangkat baru

  • Tidak menunggu

    Kami belum memperbarui aplikasi untuk perangkat baru.

  • Adaptasi

    Dari keberuntungan5

    Harap sesuaikan aplikasi untuk XR

  • Tidak berfungsi dengan benar

    Dari Castor888

    Setelah menginstal aplikasi dan otentikasi dua faktor, saat memasukkan kode pin, itu memberikan kesalahan bahwa kode pin salah

  • Memperbarui

    Dari NIKOLAI

    Saya tidak mengerti bagaimana mungkin membuat aplikasi yang begitu keren dan canggih dalam segala hal, dan kemudian mengambilnya dan meninggalkannya. Masih belum ada adaptasi untuk iPhone X! Bagaimana Anda bisa menyimpan aplikasi yang begitu penting selama 2 tahun tanpa pembaruan?

  • Jangan tunggu update

    Tidak ada pembaruan selama setahun .. Tidak ada dukungan untuk iPhone XR, XS. Tidak ada dukungan untuk Touch ID .. Mereka tidak dapat mengatakan kapan pembaruan akan .. Yandex ️

  • Mengerikan

    Dari JinMariachi

    Saya mengaturnya di android, semuanya baik-baik saja, saya mencoba melakukannya di iPhone, tidak berhasil, masuk kembali di android, juga berhenti berfungsi! Saya mencoba memulihkan, saya memasukkan semuanya, memasukkan kode dari telepon, tidak, itu tidak cukup dan menggunakan browser tempat Anda bekerja lebih sering .. bisakah Anda tetap memberikan sidik jari? Begitu banyak omong kosong untuk hanya masuk ke musik Yandex sialan. Serius, lebih mudah membuat akun baru setiap saat daripada mencoba mendapatkan kembali akses. Jika Anda tidak dapat melakukannya secara normal, maka jangan

  • Perbarui sudah pada akhirnya

    Terlihat menjijikkan di iPhone X.

  • Ergonomi tidak suka

    Saya membaca artikel Anda di Habré. Sudah selesai dilakukan dengan baik. Tetapi mengapa antarmuka dan segala sesuatu yang terhubung dengannya begitu buruk dengan pikiran dan pendekatan seperti itu? Dirancang oleh orang-orang dengan keterampilan teknis yang berlaku. 8 beech bersama - juga dari seri yang sama. Apakah developer/desainer sendiri pernah menggunakan 2fa ini? Tentu saja, menghafal 2x3 lebih mudah. Dan 8 karakter bersama hanyalah timah.

  • -

    Dari AndiZhdanov

    Bekerja menjijikkan, lakukan sesuatu

  • Kengerian!! Ada seikat kunci yang diikat. BACKAP dibuat.

    Dan setelah mengganti telepon, saya mengembalikannya dari cadangan dan menulis, tidak ada apa-apa !! Bagaimana itu? Menjijikkan !!

  • Terima kasih

    Aplikasi keren, tapi saya ingin bisa mengubah tampilan daftar akun. Ketika benar-benar ada banyak dari mereka, tampilan saat ini tidak nyaman. Tolong buat daftarnya!!)

  • Kekeruhan

    Dari Anton Grigoriev

    Sulit, terutama mengganti ponsel Anda. Tidak disesuaikan dengan lantai layar modern.

  • Pembaruan diperlukan!

    Terkadang crash saat startup. Harap perbarui aplikasi dukungan versi terbaru iOS dan tema gelap !!

  • Aplikasi ini super!

    Dari George Efron

    Jauh lebih nyaman daripada aplikasi google, tetapi 4 bintang karena kekurangan dukungan iPhone XS Maks.

Perhatian. Aplikasi yang dikembangkan di Yandex memerlukan kata sandi satu kali - bahkan kata sandi aplikasi yang dibuat dengan benar tidak akan berfungsi.

  1. Masuk dengan kode QR
  2. Mentransfer Yandex.Key
  3. Password master
  4. Bagaimana kata sandi satu kali bergantung pada waktu yang tepat

Masuk ke layanan atau aplikasi Yandex

Anda dapat memasukkan kata sandi satu kali dalam bentuk otorisasi apa pun di Yandex atau dalam aplikasi yang dikembangkan oleh Yandex.

Catatan.

Kata sandi satu kali harus dimasukkan tepat waktu saat ditampilkan di aplikasi. Jika ada terlalu sedikit waktu tersisa sebelum pembaruan, tunggu saja kata sandi baru.

Untuk mendapatkan kata sandi satu kali, luncurkan Yandex.Key dan masukkan kode pin yang Anda atur saat mengatur otentikasi dua faktor. Aplikasi akan mulai membuat kata sandi setiap 30 detik.

Yandex.Key tidak memverifikasi kode PIN yang Anda masukkan dan menghasilkan kata sandi satu kali, bahkan jika Anda salah memasukkan kode PIN. Dalam hal ini, kata sandi yang dibuat juga salah dan Anda tidak akan dapat masuk dengannya. Untuk memasukkan kode PIN yang benar, Anda hanya perlu keluar dari aplikasi dan memulainya kembali.

Masuk dengan kode QR

Beberapa layanan (misalnya, halaman beranda Yandex, Paspor dan Surat) memungkinkan Anda untuk masuk ke Yandex hanya dengan mengarahkan kamera ke kode QR. Dalam hal ini, perangkat seluler Anda harus terhubung ke Internet agar Yandex.Key dapat menghubungi server otorisasi.

    Klik pada ikon kode QR di browser Anda.

    Jika tidak ada ikon seperti itu di formulir login, maka aktif layanan ini Anda hanya dapat masuk dengan kata sandi. Dalam hal ini, Anda dapat masuk menggunakan kode QR di Paspor, dan kemudian pergi ke layanan yang diinginkan.

    Masukkan kode pin di Yandex.Key dan klik Masuk dengan kode QR.

    Arahkan kamera perangkat Anda ke kode QR yang ditampilkan di browser.

Yandex.Key mengenali kode QR dan mengirimkan nama pengguna dan kata sandi satu kali Anda ke Yandex.Passport. Jika mereka lulus tes, Anda akan secara otomatis masuk ke browser Anda. Jika kata sandi yang dikirimkan ternyata salah (misalnya, karena Anda salah memasukkan kode PIN di Yandex.Key), browser akan menampilkan pesan standar tentang kata sandi yang salah.

Masuk dengan akun Yandex ke aplikasi atau situs web pihak ketiga

Aplikasi atau situs yang memerlukan akses ke data Anda di Yandex terkadang mengharuskan Anda memasukkan kata sandi untuk masuk ke akun Anda. Dalam kasus seperti itu, kata sandi satu kali tidak akan berfungsi - Anda perlu membuat kata sandi aplikasi terpisah untuk setiap aplikasi tersebut.

Perhatian. Hanya kata sandi satu kali yang berfungsi di aplikasi dan layanan Yandex. Bahkan jika Anda membuat kata sandi aplikasi, misalnya, untuk Yandex.Disk, Anda tidak akan dapat masuk dengannya.

Mentransfer Yandex.Key

Anda dapat mentransfer pembuatan kata sandi satu kali ke perangkat lain, atau mengonfigurasi Yandex.Key di beberapa perangkat secara bersamaan. Untuk melakukan ini, buka halaman Access Control dan klik Mengganti perangkat.

Beberapa akun di Yandex.Key

Yandex.Key yang sama dapat digunakan untuk banyak akun dengan kata sandi satu kali. Untuk menambahkan akun lain ke aplikasi, saat mengatur kata sandi satu kali di langkah 3, klik ikon di aplikasi. Selain itu, Anda dapat menambahkan pembuatan kata sandi ke Yandex.Key untuk layanan lain yang mendukung otentikasi dua faktor tersebut. Instruksi untuk sebagian besar layanan populer diberikan pada halaman tentang membuat kode verifikasi bukan untuk Yandex.

Untuk menghapus pengikatan akun ke Yandex.Key, tekan dan tahan potret yang sesuai di aplikasi hingga tanda silang muncul di sebelah kanannya. Saat Anda mengklik tanda silang, tautan akun Anda ke Yandex.Key akan dihapus.

Perhatian. Jika Anda menghapus akun yang kata sandi satu kali diaktifkan, Anda tidak akan dapat menerima kata sandi satu kali untuk masuk ke Yandex. Dalam hal ini, perlu untuk memulihkan akses.

Sidik jari bukan kode pin

Anda dapat menggunakan sidik jari sebagai ganti kode pin pada perangkat berikut:

    smartphone di bawah Android 6.0 dan pemindai sidik jari;

    iPhone dari 5s;

    iPad dimulai dengan Model udara 2.

Catatan.

Pada ponsel cerdas dan tablet dengan iOS, sidik jari dapat dilewati dengan memasukkan kata sandi perangkat. Untuk melindunginya, aktifkan kata sandi utama atau ubah kata sandi menjadi kata sandi yang lebih kompleks: buka aplikasi Pengaturan dan pilih Touch ID & Kata Sandi.

Untuk menggunakan aktifkan verifikasi sidik jari:

Password master

Untuk lebih melindungi kata sandi satu kali Anda, buat kata sandi utama: → Kata sandi utama.

Dengan kata sandi utama, Anda dapat:

    memungkinkan untuk memasukkan hanya kata sandi utama Yandex.Key alih-alih sidik jari, dan bukan kode kunci perangkat;

Pencadangan data Yandex.Key

Anda dapat membuat salinan cadangan data Kunci di server Yandex agar dapat memulihkannya jika Anda kehilangan ponsel atau tablet dengan aplikasi tersebut. Data semua akun yang ditambahkan ke Kunci pada saat pembuatan salinan disalin ke server. Anda tidak dapat membuat lebih dari satu salinan cadangan, setiap salinan data berikutnya untuk nomor telepon tertentu menggantikan yang sebelumnya.

Untuk mendapatkan data dari cadangan, Anda perlu:

    memiliki akses ke nomor telepon yang Anda tentukan saat membuatnya;

    ingat kata sandi yang Anda tetapkan untuk mengenkripsi cadangan.

Perhatian. Salinan cadangan hanya berisi login dan rahasia yang diperlukan untuk menghasilkan kata sandi satu kali. Anda harus mengingat kode PIN yang Anda atur saat mengaktifkan kata sandi satu kali di Yandex.

Masih belum mungkin untuk menghapus cadangan dari server Yandex. Ini akan dihapus secara otomatis jika Anda tidak menggunakannya dalam waktu satu tahun setelah pembuatannya.

Membuat cadangan

    Pilih barang Buat cadangan dalam pengaturan aplikasi.

    Masukkan nomor telepon yang akan ditautkan cadangan (misalnya, "71234567890" "380123456789") dan klik Berikutnya.

    Yandex akan mengirimkan kode konfirmasi ke nomor telepon yang dimasukkan. Setelah Anda menerima kode, masukkan di aplikasi.

    Buat kata sandi untuk mengenkripsi cadangan data Anda. Kata sandi ini tidak dapat dipulihkan, jadi pastikan Anda tidak lupa atau kehilangannya.

    Masukkan kata sandi Anda dua kali dan klik Selesai. Yandex.Key akan mengenkripsi cadangan, mengirimkannya ke server Yandex, dan memberitahukannya.

Pertanyaan tentang cara mendapatkan kode darurat Yandex Money tanpa SMS muncul di antara pengguna dalam situasi yang biasanya disebut force majeure. Jika Anda kehilangan kata sandi yang biasa Anda gunakan, karena alasan tertentu Anda tidak menerima SMS dengan sandi satu kali, tidak menemukan piring dengan serangkaian simbol kode, Anda tidak perlu khawatir tentang hal ini. Untuk kasus-kasus seperti itulah layanan telah menyediakan opsi darurat. Anda akan dapat meminta kode darurat Yandex Money dan menyelesaikan operasi pembayaran.

Kata sandi Money.yandex.ru untuk semua kesempatan

Tidak semua pengguna layanan mengetahui seberapa luas kemungkinannya terkait dengan peredaran uang. Untuk menggunakan layanan keuangan Yandex, jenis kata sandi berikut disediakan:

  • masuk ke SMS;
  • Kode QR yang relevan dengan aplikasi;
  • set karakter yang digunakan dalam situasi darurat.

Kami akan mempertimbangkan yang terakhir secara lebih rinci. Jangan bingung dengan nomor biasa yang Anda harapkan dalam SMS untuk menyelesaikan transfer dana. Mereka memiliki properti yang sedikit berbeda dari kata sandi QR modis saat ini yang dapat dipindai oleh kamera perangkat.

Apa yang perlu Anda ketahui tentang kode darurat

Jadi, apa kode darurat di Yandex Money, bagaimana cara mendapatkannya, dan mengapa dibutuhkan? Situasi ketika Anda ingin segera menarik sebagian dana dari dompet, mengisi semua bidang yang diperlukan, tetapi tidak dapat menyelesaikan prosesnya, karena SMS tidak datang, sudah biasa bagi semua orang. Paling sering ini terjadi dalam roaming. Varian lain dari masalahnya adalah telepon mati tempat aplikasi diinstal. Dalam kedua kasus, jika tidak ada kode darurat, pengguna tidak akan dapat melakukan operasi pembayaran di Yandex Money. sandi jenis ini berbeda dari QR dan bertindak dengan cara yang sama seperti set karakter satu kali biasa. Operasi apa pun yang Anda lakukan, mereka akan membantu Anda dan memungkinkan Anda untuk menyelesaikannya.

Petunjuk untuk mendapatkan kode darurat

Semua orang tahu cara mendapatkan sandi standar atau QR untuk tiba. Anda juga dapat memesan satu set simbol darurat. Perbedaannya hanya pada alasan awal permintaan, terkait dengan fakta bahwa pengguna tidak dapat menarik jumlah karena ketidakmungkinan memasukkan nomor yang diminta di jendela terakhir.

Jika Anda menemukan diri Anda dalam situasi yang sama, algoritme tindakan Anda harus sebagai berikut:

  1. Temukan tautan "Dapatkan Kode Darurat".
  2. Masukkan kata sandi (satu kali).
  3. Cetak lembar kode.

Perhatian: bahkan jika komputer Anda memiliki sistem perlindungan modern terhadap virus dan gangguan orang yang tidak berwenang, jangan pernah menyimpan kode dalam memorinya. Setelah mencetak, segera hapus file tersebut.


Beberapa pengguna yakin bahwa sandi yang diterima harus digunakan dalam urutan yang jelas. Bahkan, Anda dapat memilihnya sesuka Anda.

Kebetulan halaman yang dihasilkan tidak sengaja ditutup atau hilang. Tidak apa-apa. Persis seperti yang dijelaskan di atas, minta kode baru. Jika orang yang tidak berwenang tiba-tiba mengambil selembar dengan sandi untuk melindungi uang, pesan kode baru tanpa penundaan. Setelah Anda melakukan ini, set karakter lama akan menjadi tidak valid dan tidak berguna. Layanan keamanan Yandex Money melakukan segalanya untuk melindungi dana pelanggan. Tugas yang terakhir adalah untuk waspada dan membantunya menyelesaikan tugas yang sulit ini.

Anda tidak dapat bertemu seseorang di Internet yang belum pernah mendengar tentang kode QR setidaknya di ujung telinganya. Dengan meningkatnya popularitas jaringan dalam beberapa dekade terakhir, pengguna perlu mentransfer data di antara mereka sendiri cara yang berbeda... Kode QR hanyalah "pembawa" informasi yang telah dienkripsi pengguna di sana. Tetapi pertanyaannya berbeda - bagaimana cara menguraikan kode seperti itu dan mendapatkan apa yang ada di dalamnya?

Jika sebelumnya pengguna harus mencari aplikasi khusus yang membantu mendekripsi kode QR, sekarang tidak ada yang diperlukan kecuali koneksi Internet. Di bawah ini kita akan melihat 3 cara untuk memindai dan mendekode kode QR secara online.

Metode 1: IMGonline

Situs ini adalah salah satu sumber besar yang memiliki segalanya untuk berinteraksi dengan gambar: memproses, mengubah ukuran, dan sebagainya. Dan, tentu saja, ada pengolah gambar dengan kode QR yang menarik bagi kami, yang memungkinkan kami mengubah gambar untuk dikenali sesuai keinginan.

Untuk memindai gambar yang diinginkan, ikuti langkah-langkah berikut:


Metode 2: Dekode!

Tidak seperti situs sebelumnya, situs ini sepenuhnya didasarkan pada membantu pengguna di web untuk mendekripsi sejumlah besar data, dari karakter ASCII hingga file MD5. Ini memiliki desain yang agak minimalis yang memungkinkan untuk digunakan dengan perangkat seluler, tetapi tidak memiliki fungsi lain untuk membantu mendekripsi kode QR.

Untuk mendekripsi kode QR di situs ini, Anda perlu melakukan hal berikut:


Metode 3: Foxtools

Dari segi jumlah fungsi dan kemampuan, layanan online Foxtools sangat mirip dengan situs sebelumnya, namun juga memiliki kelebihan tersendiri. Sebagai contoh, sumber daya ini memungkinkan Anda membaca kode QR dari tautan ke gambar, dan oleh karena itu tidak masuk akal untuk menyimpannya ke komputer Anda, yang sangat nyaman.

Untuk membaca kode QR di layanan online ini, Anda perlu melakukan hal berikut:


Layanan online di atas memiliki sejumlah fitur positif, tetapi mereka juga memiliki kekurangan. Masing-masing metode bagus dengan caranya sendiri, tetapi mereka tidak mungkin dapat saling melengkapi, hanya jika Anda menggunakan situs dengan perangkat yang berbeda dan untuk berbagai tujuan.

Sebuah posting langka di blog Yandex, dan terutama yang terkait dengan keamanan, dilakukan tanpa menyebutkan otentikasi dua faktor. Kami sudah lama memikirkan cara memperkuat perlindungan akun pengguna dengan benar, dan bahkan agar dia dapat menggunakannya tanpa semua ketidaknyamanan yang mencakup implementasi paling umum saat ini. Dan mereka, sayangnya, tidak nyaman. Menurut beberapa laporan, di banyak situs besar, proporsi pengguna yang telah menyertakan dana tambahan otentikasi tidak melebihi 0,1%.

Ini tampaknya karena skema otentikasi dua faktor yang umum terlalu rumit dan tidak nyaman. Kami mencoba menemukan cara yang lebih nyaman tanpa kehilangan tingkat perlindungan, dan hari ini kami menyajikannya dalam versi beta.

Semoga semakin meluas. Untuk bagian kami, kami siap untuk bekerja pada perbaikan dan standardisasi selanjutnya.

Setelah mengaktifkan otentikasi dua faktor di Paspor, Anda harus menginstal aplikasi Yandex.Key di App Store atau Google Play. Dalam formulir otorisasi di halaman rumah Yandex, kode QR muncul di Mail dan Paspor. Memasuki Akun Anda perlu membaca kode QR melalui aplikasi - dan hanya itu. Jika Anda tidak dapat membaca kode QR, misalnya, kamera ponsel cerdas tidak berfungsi atau tidak ada akses Internet, aplikasi akan membuat kata sandi satu kali yang hanya berlaku selama 30 detik.

Saya akan memberi tahu Anda mengapa kami memutuskan untuk tidak menggunakan mekanisme "standar" seperti RFC 6238 atau RFC 4226. Bagaimana cara kerja skema otentikasi dua faktor yang umum? Mereka dua tahap. Tahap pertama adalah otentikasi username dan password biasa. Jika berhasil, situs memeriksa apakah "menyukai" sesi pengguna ini atau tidak. Dan, jika Anda tidak menyukainya, ia meminta pengguna untuk "mengotentikasi ulang". Ada dua metode umum "pra-otentikasi": mengirim SMS ke nomor telepon yang terkait dengan akun dan membuat kata sandi kedua pada ponsel cerdas. Pada dasarnya, TOTP menurut RFC 6238 digunakan untuk menghasilkan kata sandi kedua.Jika pengguna memasukkan kata sandi kedua dengan benar, sesi dianggap sepenuhnya diautentikasi, dan jika tidak, sesi juga kehilangan otentikasi "awal".

Kedua cara mengirim SMS dan pembuatan kata sandi adalah bukti kepemilikan telepon dan oleh karena itu merupakan faktor ketersediaan. Kata sandi yang dimasukkan pada langkah pertama adalah faktor pengetahuan. Oleh karena itu, skema otentikasi ini tidak hanya dua langkah, tetapi juga dua faktor.

Apa yang tampak bermasalah bagi kami dalam skema ini?

Mari kita mulai dengan fakta bahwa rata-rata komputer pengguna tidak selalu dapat disebut sebagai model keamanan: di sini dan matikan Pembaruan Windows, dan salinan antivirus bajakan tanpa tanda tangan modern, dan perangkat lunak asal yang meragukan semua ini tidak meningkatkan tingkat perlindungan. Menurut pendapat kami, mengkompromikan komputer pengguna adalah metode "membajak" akun yang paling umum (dan baru-baru ini ada satu konfirmasi lagi tentang ini), dan saya ingin melindungi diri saya dari itu terlebih dahulu. Dalam kasus otentikasi dua langkah, jika kita berasumsi bahwa komputer pengguna disusupi, memasukkan kata sandi di dalamnya akan membahayakan kata sandi itu sendiri, yang merupakan faktor pertama. Artinya penyerang hanya perlu memilih faktor kedua. Dalam kasus implementasi RFC 6238 umum, faktor kedua adalah 6 digit desimal (dan maksimum yang ditentukan oleh spesifikasi adalah 8 digit). Menurut kalkulator bruteforce untuk OTP, dalam tiga hari penyerang dapat mengambil faktor kedua jika dia mengetahui faktor pertama. Tidak jelas layanan apa yang dapat melawan serangan ini tanpa mengganggu pengalaman pengguna normal. Satu-satunya bukti kerja yang mungkin adalah captcha, yang menurut kami adalah pilihan terakhir.

Masalah kedua adalah kurangnya transparansi dalam penilaian layanan tentang kualitas sesi pengguna dan membuat keputusan tentang perlunya "pra-otentikasi". Lebih buruk lagi, layanan tidak tertarik untuk membuat proses ini transparan, karena keamanan oleh ketidakjelasan benar-benar berfungsi di sini. Jika penyerang mengetahui, atas dasar mana layanan membuat keputusan tentang keabsahan sesi, ia dapat mencoba memalsukan data ini. Dari pertimbangan umum, kita dapat menyimpulkan bahwa penilaian dibuat berdasarkan riwayat otentikasi pengguna, dengan mempertimbangkan alamat IP (dan nomor yang diturunkan darinya sistem otonom yang mengidentifikasi penyedia dan lokasi berdasarkan geodatabase) dan data browser, seperti judul Agen pengguna dan satu set cookie, flash lso, dan penyimpanan lokal html. Ini berarti bahwa jika penyerang mengendalikan komputer pengguna, maka ia memiliki kemampuan tidak hanya untuk mencuri semua data yang diperlukan, tetapi juga untuk menggunakan alamat IP korban. Apalagi jika keputusan dibuat berdasarkan ASN, maka otentikasi apa pun dari Wi-Fi publik di kedai kopi dapat menyebabkan "keracunan" dalam hal keamanan (dan mengapur dalam hal layanan) dari penyedia kopi ini. toko dan, misalnya, mengapur semua kedai kopi di kota. ... Kami berbicara tentang pekerjaan sistem deteksi anomali, dan itu dapat diterapkan, tetapi waktu antara otentikasi tahap pertama dan kedua mungkin tidak cukup untuk penilaian yang meyakinkan tentang anomali. Selain itu, argumen yang sama ini menghancurkan gagasan komputer "tepercaya": penyerang dapat mencuri informasi apa pun yang memengaruhi penilaian kepercayaan.

Terakhir, autentikasi dua langkah cukup merepotkan: studi kegunaan kami menunjukkan bahwa tidak ada yang mengganggu pengguna selain layar perantara, penekanan tombol tambahan, dan tindakan "tidak penting" lainnya dari sudut pandangnya.
Berdasarkan ini, kami memutuskan bahwa otentikasi harus satu langkah dan ruang kata sandi harus jauh lebih besar daripada yang mungkin dilakukan dalam kerangka RFC 6238 "murni".
Pada saat yang sama, kami ingin menjaga otentikasi dua faktor sebanyak mungkin.

Multifaktor dalam otentikasi ditentukan dengan menetapkan elemen otentikasi (pada kenyataannya, mereka disebut faktor) ke dalam salah satu dari tiga kategori:

  1. Faktor pengetahuan (ini adalah kata sandi tradisional, kode pin, dan semua yang terlihat seperti itu);
  2. Faktor kepemilikan (dalam skema OTP yang digunakan, sebagai aturan, ini adalah ponsel cerdas, tetapi juga bisa menjadi token perangkat keras);
  3. Faktor biometrik (sidik jari adalah yang paling umum sekarang, meskipun seseorang akan mengingat episode dengan pahlawan Wesley Snipes dalam film Demolition Man).

Pengembangan sistem kami

Ketika kami mulai menangani masalah autentikasi dua faktor (halaman pertama wiki perusahaan pada edisi ini berasal dari tahun 2012, tetapi telah didiskusikan di belakang layar sebelumnya), ide pertama adalah mengambil metode standar otentikasi dan menerapkannya bersama kami. Kami memahami bahwa kami tidak dapat mengharapkan jutaan pengguna kami untuk membeli token perangkat keras, jadi opsi ini ditunda untuk beberapa kasus eksotis (meskipun kami tidak sepenuhnya meninggalkannya, mungkin kami akan dapat menemukan sesuatu yang menarik). Metode dengan SMS juga tidak bisa masif: ini adalah metode pengiriman yang sangat tidak dapat diandalkan (pada saat yang paling penting, SMS mungkin tertunda atau tidak diterima sama sekali), dan mengirim SMS biaya uang (dan operator mulai menaikkan harga mereka). Kami memutuskan bahwa penggunaan SMS adalah banyak bank dan perusahaan teknologi rendah lainnya, dan kami ingin menawarkan pengguna kami sesuatu yang lebih nyaman. Secara umum, pilihannya tidak bagus: menggunakan smartphone dan program di dalamnya sebagai faktor kedua.

Bentuk otentikasi satu langkah ini tersebar luas: pengguna mengingat kode pin (faktor pertama), memiliki token perangkat keras atau perangkat lunak (dalam ponsel cerdas) yang menghasilkan OTP (faktor kedua). Di bidang input kata sandi, ia memasukkan kode pin dan nilai OTP saat ini.

Menurut kami, kelemahan utama Skema ini sama dengan otentikasi dua langkah: jika kami menganggap bahwa desktop pengguna disusupi, maka satu entri kode PIN mengarah ke pengungkapannya dan penyerang hanya perlu memilih faktor kedua.

Kami memutuskan untuk pergi ke arah lain: kata sandi sepenuhnya dihasilkan dari rahasia, tetapi hanya sebagian rahasia yang disimpan di smartphone, dan sebagian dimasukkan oleh pengguna setiap kali kata sandi dibuat. Dengan demikian, smartphone itu sendiri adalah faktor kepemilikan, dan kata sandi tetap ada di kepala pengguna dan merupakan faktor pengetahuan.

Nonce dapat berupa penghitung atau waktu saat ini. Kami memutuskan untuk memilih waktu saat ini, ini memungkinkan kami untuk tidak takut desinkronisasi jika seseorang menghasilkan terlalu banyak kata sandi dan meningkatkan penghitung.

Jadi, kami memiliki program ponsel cerdas, di mana pengguna memasukkan bagian rahasianya, itu dicampur dengan bagian yang disimpan, hasilnya digunakan sebagai kunci HMAC, yang menandai waktu saat ini, dibulatkan menjadi 30 detik. Output HMAC dibuat dapat dibaca manusia, dan voila - inilah kata sandi satu kali!

Seperti disebutkan, RFC 4226 menyarankan untuk memotong output HMAC hingga maksimum 8 digit desimal. Kami memutuskan bahwa kata sandi dengan ukuran ini tidak cocok untuk otentikasi satu langkah dan harus ditingkatkan. Pada saat yang sama, kami ingin mempertahankan kemudahan penggunaan (bagaimanapun juga, ingat, saya ingin membuat sistem yang akan digunakan oleh orang biasa, dan bukan hanya pakar keamanan), sebagai kompromi dalam versi sekarang sistem yang telah kami pilih untuk dipotong menjadi 8 karakter alfabet Latin. Tampaknya 26 ^ 8 kata sandi yang valid selama 30 detik cukup dapat diterima, tetapi jika margin keamanan tidak sesuai dengan kami (atau kiat berharga tentang cara meningkatkan skema ini muncul di Habré), kami akan memperluas, misalnya, hingga 10 karakter.

Pelajari lebih lanjut tentang kekuatan kata sandi tersebut

Memang, untuk huruf Latin yang tidak peka huruf besar-kecil, jumlah opsi per tanda adalah 26, untuk huruf Latin besar dan kecil ditambah angka, jumlah opsi adalah 26 + 26 + 10 = 62. Kemudian log 62 (26 10) 7.9 yaitu, kata sandi 10 huruf latin kecil acak hampir sekuat kata sandi 8 huruf atau angka latin besar dan kecil acak. Ini pasti cukup untuk 30 detik. Jika kita berbicara tentang kata sandi 8 karakter yang dibuat dari huruf Latin, maka kekuatannya adalah log 62 (26 8) 6.3, yaitu, sedikit lebih banyak daripada kata sandi 6 karakter yang terbuat dari huruf dan angka besar, kecil. Kami pikir ini masih dapat diterima untuk jendela 30 detik.

Sihir, tanpa kata sandi, aplikasi, dan jalan ke depan

Secara umum, kami bisa berhenti di sini, tetapi kami ingin membuat sistem lebih nyaman. Ketika seseorang memiliki smartphone di tangannya, dia tidak ingin memasukkan kata sandi dari keyboard!

Oleh karena itu, kami mulai mengerjakan "login ajaib". Dengan metode otentikasi ini, pengguna meluncurkan aplikasi di smartphone, memasukkan kode PIN-nya ke dalamnya dan memindai kode QR di layar komputernya. Jika kode PIN dimasukkan dengan benar, halaman di browser akan dimuat ulang dan pengguna diautentikasi. Sihir!

Bagaimana cara kerjanya?

Nomor sesi dikodekan ke dalam kode QR, dan ketika aplikasi memindai, nomor ini dikirimkan ke server bersama dengan kata sandi dan nama pengguna yang dihasilkan dengan cara biasa. Ini tidak sulit, karena smartphone hampir selalu online. Dalam tata letak halaman yang menunjukkan kode QR, JavaScript sedang berjalan, menunggu dari sisi server untuk tanggapan untuk memverifikasi kata sandi dengan sesi yang diberikan. Jika server merespons bahwa kata sandinya benar, cookie sesi diatur bersama dengan responsnya, dan pengguna dianggap diautentikasi.

Itu menjadi lebih baik, tetapi bahkan di sini kami memutuskan untuk tidak berhenti. Dimulai dengan iPhone 5S di ponsel dan tablet apel pemindai sidik jari TouchID muncul, dan di versi iOS 8 pekerjaan dengan dia tersedia dan aplikasi pihak ketiga... Faktanya, aplikasi tidak mendapatkan akses ke sidik jari, tetapi jika sidik jarinya benar, maka bagian Gantungan Kunci tambahan tersedia untuk aplikasi. Kami mengambil keuntungan dari ini. Bagian kedua dari rahasia ditempatkan di entri Keychain yang dilindungi TouchID, yang dimasukkan pengguna dari keyboard di skrip sebelumnya. Saat membuka kunci Gantungan Kunci, kedua bagian rahasia itu dicampur, dan kemudian prosesnya bekerja seperti yang dijelaskan di atas.

Tetapi pengguna menjadi sangat nyaman: dia membuka aplikasi, meletakkan jarinya, memindai kode QR di layar dan diautentikasi di browser di komputer! Jadi kami mengganti faktor pengetahuan dengan faktor biometrik dan, dari sudut pandang pengguna, kata sandi yang benar-benar ditinggalkan. Kami yakin bahwa orang biasa akan menemukan skema seperti itu jauh lebih nyaman daripada masukan manual dua kata sandi.

Dimungkinkan untuk memperdebatkan seberapa formal otentikasi dua faktor tersebut, tetapi pada kenyataannya, untuk berhasil melewatinya, Anda masih harus memiliki telepon dan memiliki sidik jari yang benar, jadi kami percaya bahwa kami telah sepenuhnya berhasil meninggalkan faktor pengetahuan, menggantikannya dengan biometrik. Kami memahami bahwa kami mengandalkan keamanan ARM TrustZone di jantung Enklave Aman iOS dan percaya bahwa saat ini subsistem ini dapat dianggap tepercaya dalam model ancaman kami. Tentu saja, kami menyadari masalah otentikasi biometrik: sidik jari bukanlah kata sandi dan tidak dapat diganti jika ada kompromi. Tetapi, di sisi lain, semua orang tahu bahwa keamanan berbanding terbalik dengan kenyamanan, dan pengguna sendiri berhak memilih rasio yang dapat diterima antara satu dengan yang lain.

Biarkan saya mengingatkan Anda bahwa ini masih beta. Sekarang, ketika Anda mengaktifkan otentikasi dua faktor, kami menonaktifkan sementara sinkronisasi kata sandi di Yandex Browser. Ini karena cara enkripsi basis data kata sandi diatur. Kami sudah menemukan cara mudah untuk mengotentikasi Browser dalam kasus 2FA. Semua fungsi Yandex lainnya berfungsi seperti sebelumnya.

Inilah yang kami dapatkan. Tampaknya berhasil dengan baik, tetapi terserah Anda untuk menilai. Kami akan senang mendengar umpan balik dan rekomendasi, dan kami sendiri akan terus berupaya meningkatkan keamanan layanan kami: sekarang, bersama dengan CSP, enkripsi transportasi surat, dan yang lainnya, kami memiliki otentikasi dua faktor. Perlu diingat bahwa layanan otentikasi dan aplikasi pembuatan OTP sangat penting dan karenanya menggandakan bonus Bug Bounty untuk bug yang ditemukan di dalamnya.

Tag: Tambahkan Tag

ARTIKEL SEPERTI