O Yandex.Key cria senhas de uso único (OTP) para fornecer login mais seguro para Yandex, Facebook, Google, GitHub, Dropbox, VKontakte e outros serviços que suportam autenticação de dois fatores (2FA). Para fazer login nos serviços Yandex, você só precisa de uma senha de uso único criada pela Chave, para outros - uma senha de uso único e a sua habitual. - Alguns números ou uma impressão digital Você não precisa criar senhas complexas para proteger com segurança seu login Yandex. Basta lembrar de 4 a 16 dígitos - o Yandex.Key os usará para emitir uma senha única válida por menos de um minuto. Se você não quiser inserir um código PIN, ative a Touch ID Key nas configurações e use uma impressão digital. - Proteção de dados O Yandex.Key também protege sua conta contra hackers e roubo de informações pessoais: somente você receberá senhas de uso único em seu dispositivo móvel. - Conexão simples Você pode adicionar contas ao aplicativo manualmente - digitando novamente os dados do site do serviço que você conecta, ou automaticamente - lendo o código QR a partir daí. - Trabalhe offline Para adicionar contas ao aplicativo e criar senhas de uso único, o Yandex.Key não precisa de internet. Você nem precisa de SMS para obter senhas. - Recursos adicionais A chave pode criar senhas de seis e oito dígitos - dependendo dos requisitos do serviço. Além disso, a Chave suporta diferentes períodos para atualização de senhas de uso único, não apenas 30 segundos (isso depende do serviço utilizado). - Padrões de segurança O Yandex.Key é adequado para autenticação de dois fatores (ou duas etapas) em todos os serviços que suportam os padrões de segurança RFC-6238 e RFC-4226 (exceto aqueles que funcionam apenas com SMS). - Backup Caso algo aconteça com o dispositivo, você pode criar uma cópia de backup dos dados da chave no servidor Yandex. É seguro: cada cópia é criptografada com uma senha conhecida apenas pelo seu proprietário. Leia mais na página de ajuda - https://ya.cc/2fa
Capturas de tela
Avaliações
Ótimo aplicativo
Eu tenho usado por um longo tempo, desde 5s. Agora eu não vejo nenhum problema em Xs. Não entendo os comentários sobre a falta de adaptação. De velho a novo telefone também é bem tolerado.
Atualizações regulares de nível
Como muitos escrevem: mais da metade de 2019 já passou, e ainda não há adaptação para X, XS, XR. E a galera não tem pressa de atualizar, por quê? Não há alternativas, você ainda tem que usar o que é. Mas a falta de suporte ao FaceID é, obviamente, um desrespeito selvagem pelos usuários. Apenas cancela a inscrição "uma atualização está planejada para algum dia, mas não sabemos quando". Boa funcionalidade, serviço terrível
Boa funcionalidade, terrível UI/UX
Quem até inventou este carrossel com contas ... Quando não há ícone, duas contas não podem ser distinguidas, e é inconvenientemente assustador voltar e voltar.
CHSV sai de escala
Por Yuyuygyffhdsgbfddes
Talvez o Yandex deva um dia entender que as pessoas que colocam 2FA em suas contas são pessoas bastante preocupadas com a segurança de seus dados e não estão prontas para apenas pegar e fornecer seu número de telefone. É irônico que, embora o aplicativo em si possa ser usado para serviços de terceiros (obrigado ao Yandex por uma explicação detalhada), para o Yandex seu uso é inadequado.
Não funciona
Por wrghbqjwjqjqnqtktqjtj
iPhone X
Por que não há adaptação para o iPhone X ??
Não funciona
Não funciona! Insiro a senha fornecida, mas o site não a aceita! Entrei 200 vezes sem sucesso. Se você não sabe como fazer a autenticação de dois fatores, não se preocupe!
No fundo
O aplicativo não é atualizado há 2 anos. Eles o espancaram. Sem identificação de rosto. Não otimizado para telas entalhadas. A interface não muda. Em suma, Yandex marcou.
Sem utilidade
O aplicativo funciona separadamente, o aplicativo de dinheiro Yandex funciona separadamente. Juntamente com este aplicativo, o Yandex Money não funciona: nem com um código PIN (digitado corretamente) nem com uma impressão digital. Tempo sincronizado - o resultado não foi corrigido. Demolido como inútil.
Nada mal
Por Gordon Krants
Um bom aplicativo, mas o layout na ordem horizontal é extremamente inconveniente: (gostaria de ver uma coluna vertical com serviços e a possibilidade de selecionar um ícone para cada um em futuras atualizações, caso contrário fica difícil pesquisar código desejado quando você tem várias contas em um serviço
Código QR não lido
Por Amir Gatin
Não foi possível instalar o código no iPhone 6. Não lê!
Não funciona!!!
Não é possível fazer login com código QR ou senha de uso único! É um escriba!!!
Não gera
Senha de uso único errada! Constantemente não alterou a hora no dispositivo
Não é conveniente usar
Insanamente desconfortável...
Conta
Olá, tive uma situação não muito conveniente... troquei de celular e não fiz backup, e no final perdi todos os códigos de acesso que estavam no aplicativo, gastei muito tempo para restaurar tudo. .. bem, então é disso que estou falando) fazer para que você possa criar uma conta e que tudo seja salvo automaticamente ... porque é terrivelmente inconveniente depois de adicionar uma nova senha fazer uma cópia de backup para dirigir seu telefone, etc. ...
Por que o seu?
De 79522370021784380H
Por que inventar outro aplicativo quando existe Authy? Irrita-me que no PC seja necessário definir ~ 4 lançadores no padrão, então também no telefone ~ 4 software para 2fa. Não é conveniente, mesmo que a chave não tenha 6 dígitos, mas 2fa é 2fa, e não uma entrada sem senha. É mais fácil para mim inserir 6-8 números do que inserir um conjunto de letras
Não foi possível fazer login na conta
Suporte técnico ajudado
identificação de rosto? Não, não ouvi
Não há suporte para Face ID. O aplicativo é esticado, como se fossem feitos para o quarto iPhone. Yandex, é você mesmo?
Ícones
De outro nome de usuário sc
Sinto uma falta aguda de ícones para diferentes serviços. Você fez ícones para os mais populares, mas infelizmente o aplicativo não conhece muitos outros serviços. Por exemplo, mega, discord, origem EA, Ubisoft Uplay e isso é exatamente o que me lembrei logo de cara.
Repugnante
Por que tornar este aplicativo obrigatório e não ficar com ele? Onde está o suporte para iphone x e superior? O aplicativo abre na metade da tela... Faz 2 anos que deixei o Yandex por esse motivo. Achei que era uma empresa normal, mas na verdade a galera estava cheia.
Suporte encerrado
Atualize para novos dispositivos
Então eu não esperei
O aplicativo não foi atualizado para novos dispositivos.
Adaptação
Da sorte5
Por favor, adapte o aplicativo para XR
Funcionando incorretamente
De Castor888
Após instalar o aplicativo e autenticação de dois fatores, ao inserir o código PIN, dá erro que o código PIN está incorreto
Atualizar
De NIKOLA
Não entendo como foi possível fazer um aplicativo tão legal e avançado em todos os sentidos, e depois pegá-lo e abandoná-lo. Ainda sem adaptação para iPhone X! Como você pode manter um aplicativo tão importante sem atualizações por 2 anos?
Não espere por atualizações
Não há atualizações por um ano .. Não há suporte para iPhone XR, XS Não há suporte para Touch ID .. Eles não podem dizer quando a atualização será .. Yandex 🤦♂️
Terrível
Por Jin Mariachi
Configurei no android, está tudo ok, tento fazer no iPhone, não funciona, re-login no android, também parou de funcionar! Estou tentando restaurar, digitei tudo, digitei o código do telefone, não, ainda não é suficiente e use o navegador em que você trabalha com mais frequência .. você ainda pode fornecer impressões digitais? Tanta porcaria, apenas algo para entrar na porra da música Yandex. Sério, é mais fácil criar novas contas sempre do que tentar restaurar o acesso. Se você não pode fazer isso direito, então não faça.
Atualizar finalmente
Parece nojento no iPhone X.
Não gostei da ergonomia
Li seu artigo sobre Habré. Bem feito. Apenas por que com tal mente e abordagem é uma interface de pesadelo e tudo relacionado a ela. Projetado por pessoas com habilidades técnicas predominantes. 8 faias juntas - também da mesma série. Os próprios desenvolvedores/designers já usaram este 2fa? Claro, lembrar 2x3 é mais fácil. E 8 caracteres estão todos juntos - é apenas estanho.
-
Por AndiZhdanov
Funciona nojento, faça alguma coisa
Horror!! Havia um molho de chaves preso. BACKUP feito.
E depois de trocar o telefone, restauro do backup e escrevo, não há nada !! Como é isso? Repugnante!!
Obrigada
Aplicativo legal, mas queria poder mudar a visualização da lista de contas. Quando há realmente muitos deles, a visualização atual não é conveniente. Por favor, faça uma lista!!
Mut
De Anton Grigoriev
Difícil, especialmente para mudar o telefone. Telas modernas de piso não adaptadas.
Precisa de uma atualização!
As vezes trava na inicialização. Atualize o aplicativo para suporte última versão iOS e tema escuro !!
Superaplicativo!
De George Efron
Muito mais conveniente que o aplicativo do Google, mas 4 estrelas por falta de Suporte para iPhone XS Máx.
Atenção. Os aplicativos desenvolvidos no Yandex exigem uma senha de uso único - mesmo as senhas de aplicativos criadas corretamente não funcionarão.
- Entrar com código QR
- Transferência de Yandex.Key
- Senha mestra
- Como as senhas de uso único dependem da hora exata
Faça login em um serviço ou aplicativo Yandex
Você pode inserir uma senha de uso único em qualquer formulário de autorização Yandex ou aplicativos desenvolvidos pela Yandex.
Observação.
A senha de uso único deve ser inserida a tempo enquanto é exibida no aplicativo. Se houver muito pouco tempo antes da atualização, basta aguardar a nova senha.
Para obter uma senha de uso único, inicie o Yandex.Key e insira o código PIN que você definiu ao configurar a autenticação de dois fatores. O aplicativo começará a gerar senhas a cada 30 segundos.
O Yandex.Key não verifica o PIN que você digitou e gera senhas de uso único, mesmo que você tenha digitado o PIN incorretamente. Nesse caso, as senhas criadas também estão incorretas e você não poderá fazer login com elas. Para inserir o código PIN correto, basta sair do aplicativo e iniciá-lo novamente.
Entrar com código QR
Alguns serviços (por exemplo, a página inicial do Yandex, Passaporte e Correio) permitem que você faça login no Yandex simplesmente apontando a câmera para o código QR. Ao mesmo tempo, seu dispositivo móvel deve estar conectado à Internet para que o Yandex.Key possa entrar em contato com o servidor de autorização.
Clique no ícone do código QR no navegador.
Se não houver tal ícone no formulário de login, então este serviço Você só pode entrar com uma senha. Nesse caso, você pode fazer login usando o código QR no Passport e, em seguida, acessar o serviço desejado.
Digite o código PIN no Yandex.Key e clique em Login usando o código QR.
Aponte a câmera do seu dispositivo para o código QR exibido no navegador.
O Yandex.Key reconhece o código QR e envia seu login e senha de uso único para o Yandex.Passport. Se eles passarem no teste, você fará login automaticamente no seu navegador. Se a senha transmitida estiver incorreta (por exemplo, porque você digitou seu PIN incorretamente no Yandex.Key), o navegador exibirá uma mensagem padrão sobre uma senha incorreta.
Fazendo login com uma conta Yandex em um aplicativo ou site de terceiros
Aplicativos ou sites que precisam acessar seus dados do Yandex às vezes exigem que você insira uma senha para fazer login em sua conta. Nesses casos, as senhas de uso único não funcionarão - uma senha de aplicativo separada deve ser criada para cada um desses aplicativos.
Atenção. Apenas senhas de uso único funcionam em aplicativos e serviços Yandex. Mesmo se você criar uma senha de aplicativo, por exemplo, para Yandex.Disk, você não poderá fazer login com ela.
Transferência de Yandex.Key
Você pode transferir a geração de senhas de uso único para outro dispositivo ou configurar o Yandex.Key em vários dispositivos ao mesmo tempo. Para fazer isso, abra a página Controle de acesso e clique no botão Substituição do dispositivo.
Várias contas no Yandex.Key
O mesmo Yandex.Key pode ser usado para várias contas com senhas de uso único. Para adicionar outra conta ao aplicativo, ao configurar senhas de uso único na etapa 3, toque no ícone no aplicativo. Além disso, você pode adicionar a geração de senha ao Yandex.Key para outros serviços que suportam essa autenticação de dois fatores. Instruções para os mais serviços populares são fornecidos na página sobre como criar códigos de verificação não para Yandex.
Para desvincular uma conta ao Yandex.Key, toque e segure o retrato correspondente no aplicativo até que uma cruz apareça à direita dele. Quando você clica na cruz, a vinculação de sua conta ao Yandex.Key será removida.
Atenção. Se você excluir uma conta com senhas de uso único habilitadas, não poderá obter uma senha de uso único para fazer login no Yandex. Nesse caso, será necessário restaurar o acesso.
Impressão digital em vez de PIN
Uma impressão digital em vez de um código PIN pode ser usada nos seguintes dispositivos:
smartphones sob Controle Android 6.0 e um scanner de impressão digital;
iPhone a partir do modelo 5s;
iPad a partir de Modelos aéreos 2.
Observação.
Em smartphones e tablets iOS, a impressão digital pode ser ignorada digitando a senha do dispositivo. Para se proteger contra isso, ative a senha mestra ou altere a senha para uma mais complexa: abra o aplicativo Configurações e selecione Touch ID e senha .
Para usar a ativação da verificação de impressão digital:
Senha mestra
Para proteger ainda mais suas senhas de uso único, crie uma senha mestra: → Senha mestra .
Com uma senha mestra, você pode:
certifique-se de que, em vez de uma impressão digital, você possa inserir apenas a senha mestra do Yandex.Key e não o código de bloqueio do dispositivo;
Cópia de backup dos dados do Yandex.Key
Você pode fazer backup dos dados da chave no servidor Yandex para poder restaurá-los se perder seu telefone ou tablet com o aplicativo. Os dados de todas as contas adicionadas à Chave no momento em que a cópia foi criada são copiados para o servidor. Mais de uma cópia de backup não pode ser criada, cada próxima cópia de dados para um número de telefone específico substitui a anterior.
Para obter dados de um backup, você precisa:
ter acesso ao número de telefone que você especificou ao criá-lo;
lembre-se da senha que você definiu para criptografar o backup.
Atenção. Cópia de segurança contém apenas os logins e segredos necessários para gerar senhas de uso único. O código PIN que você definiu quando ativou as senhas de uso único no Yandex deve ser lembrado.
Ainda não é possível excluir uma cópia de backup do servidor Yandex. Ele será excluído automaticamente se você não o usar dentro de um ano após a criação.
Criar um backup
selecione um item Criar um backup nas configurações do aplicativo.
Digite o número de telefone ao qual o backup será vinculado (por exemplo, "71234567890" "380123456789") e clique em Avançar.
O Yandex enviará um código de confirmação para o número de telefone inserido. Depois de receber o código, insira-o no aplicativo.
Crie uma senha para criptografar o backup de seus dados. Esta senha não pode ser recuperada, portanto, certifique-se de não esquecê-la ou perdê-la.
Digite sua senha duas vezes e clique no botão Concluído. O Yandex.Key irá criptografar o backup, enviá-lo para o servidor Yandex e notificá-lo sobre isso.
A questão de como obter um código de emergência Yandex Money sem SMS surge entre os usuários em situações comumente chamadas de força maior. Se você perdeu a senha que costumava usar regularmente, por algum motivo não recebe SMS com uma cifra única, não encontra uma placa com um conjunto de caracteres de código, não pode se preocupar com isso. É para esses casos que o serviço disponibilizou uma opção de emergência. Você pode solicitar códigos de emergência Yandex Money e concluir a transação de pagamento.
Senhas do Money.yandex.ru para todas as ocasiões
Nem todos os usuários do serviço sabem o quão amplas suas possibilidades estão relacionadas à circulação de dinheiro. Para usar os serviços financeiros Yandex, são fornecidos os seguintes tipos de senhas:
- SMS de entrada;
- Códigos QR relevantes para aplicativos;
- conjuntos de caracteres usados em situações de emergência.
É este último que vamos considerar com mais detalhes. Não os confunda com os números usuais que você espera no SMS para concluir a transferência de fundos. Eles têm uma propriedade ligeiramente diferente das senhas QR atualmente na moda que podem ser digitalizadas pela câmera do dispositivo.
O que você precisa saber sobre códigos de emergência
Então, o que são códigos de emergência no Yandex Money, como obtê-los e por que eles são necessários? A situação em que você deseja retirar urgentemente parte dos fundos da carteira, preencheu todos os campos necessários, mas não pode concluir o processo, porque o SMS não chega, é familiar para todos. Na maioria das vezes isso acontece em roaming. Outra variante do problema é um telefone morto no qual o aplicativo está instalado. Em ambos os casos, se não houvesse código de emergência, os usuários não poderiam fazer uma transação de pagamento no Yandex Money. Cifras deste tipo são diferentes do QR e agem de forma semelhante aos conjuntos de caracteres regulares de uso único. Qualquer que seja a operação que você realizar, eles o ajudarão e permitirão que você a conclua.
Instruções para obter um código de emergência
Todo mundo sabe como fazer uma cifra padrão ou QR vir. Você também pode simplesmente encomendar um conjunto de caracteres de emergência. Sua diferença está apenas nos motivos iniciais da solicitação, relacionados ao fato de o usuário não poder sacar o valor devido à impossibilidade de inserir os números solicitados na última janela.
Se você se encontra em uma situação semelhante, o algoritmo de suas ações deve ser o seguinte:
- Procure o link "Obter código de emergência".
- Digite uma senha (única).
- Imprima a folha de código.
Atenção: mesmo que um moderno sistema de proteção contra vírus e intrusões de pessoas não autorizadas esteja instalado no computador, em nenhum caso salve os códigos em sua memória. Após a impressão, exclua o arquivo imediatamente.
Alguns usuários têm certeza de que as cifras resultantes devem ser usadas em uma sequência clara. Na verdade, você pode escolhê-los a seu critério.
Acontece que a página recebida é acidentalmente fechada ou perdida. Nada errado. Assim como descrito acima, solicite novos códigos. Se de repente um pedaço de código com cifras foi apreendido por pessoas não autorizadas, para proteger o dinheiro, solicite novos códigos sem demora. Depois de fazer isso, os conjuntos de caracteres antigos se tornarão inválidos e inúteis. O serviço de segurança Yandex Money faz de tudo para proteger os fundos dos clientes. A tarefa desta última é estar vigilante e ajudá-la a realizar esta difícil tarefa.
É impossível encontrar na Internet uma pessoa que não tenha ouvido falar de códigos QR, pelo menos com o canto do ouvido. Com a crescente popularidade da rede nas últimas décadas, os usuários foram obrigados a transferir dados entre si. jeitos diferentes. Os códigos QR são justamente o “vendedor” de informações que o usuário criptografou ali. Mas a questão é diferente - como decifrar esses códigos e obter o que há neles?
Anteriormente, o usuário tinha que pesquisar aplicações especiais que ajudam a decifrar o código QR, nada é necessário agora, exceto uma conexão com a Internet. Abaixo, veremos 3 maneiras de digitalizar e decodificar códigos QR online.
Método 1: IMGonline
Este site é uma grande fonte que tem tudo para interagir com imagens: processamento, redimensionamento e assim por diante. E, claro, há um processador de imagem com códigos QR que nos interessa, o que nos permite alterar a imagem para reconhecimento como quisermos.
Para digitalizar uma imagem de interesse, siga estas etapas:
Método 2: Decodifique!
Ao contrário do site anterior, este é inteiramente baseado em ajudar os usuários na web a descriptografar uma enorme variedade de dados, desde caracteres ASCII até arquivos MD5. Tem um design bastante minimalista, que permite usá-lo com dispositivos móveis, mas não possui outros recursos para ajudar a decodificar códigos QR.
Para descriptografar o código QR neste site, você precisará fazer o seguinte:
Método 3: Foxtools
Em termos de número de funções e recursos, o serviço online Foxtools é muito semelhante ao site anterior, mas também tem suas próprias vantagens. Por exemplo, este recurso permite ler códigos QR de links para imagens e, portanto, não faz sentido salvá-los em seu computador, o que é muito conveniente.
Para ler o código QR neste serviço online, você precisa fazer o seguinte:
Os serviços online apresentados acima têm várias características positivas, mas também apresentam desvantagens. Cada um dos métodos é bom à sua maneira, mas é improvável que eles se complementem, apenas se você usar sites com dispositivos diferentes e para diversos fins.
Uma postagem rara no blog Yandex, e especialmente uma relacionada à segurança, não mencionava a autenticação de dois fatores. Há muito tempo estamos pensando em como fortalecer adequadamente a proteção das contas de usuários e até para que eles possam usá-la sem todos os inconvenientes que incluem as implementações mais comuns hoje. E, infelizmente, eles são desconfortáveis. De acordo com alguns dados, em muitos sites grandes, a proporção de usuários que incluíram fundos adicionais autenticação não excede 0,1%.
Isso parece ser porque o esquema comum de autenticação de dois fatores é muito complicado e inconveniente. Tentamos criar um método que fosse mais conveniente sem perder o nível de proteção e hoje apresentamos sua versão beta.
Esperamos que seja mais difundido. De nossa parte, estamos prontos para trabalhar no seu aprimoramento e posterior padronização.
Depois de habilitar a autenticação de dois fatores no Passport, você precisará instalar o aplicativo Yandex.Key na App Store ou no Google Play. No formulário de autorização pagina inicial Yandex, os códigos QR apareceram no Mail e no Passport. Entrar conta você precisa ler o código QR através do aplicativo - e é isso. Se o código QR não puder ser lido, por exemplo, a câmera do smartphone não funcionar ou não houver acesso à Internet, o aplicativo criará uma senha de uso único que será válida por apenas 30 segundos.
Vou lhe dizer por que decidimos não usar mecanismos "padrão" como RFC 6238 ou RFC 4226. Como funcionam os esquemas comuns de autenticação de dois fatores? Eles são de dois estágios. A primeira etapa é a autenticação usual com nome de usuário e senha. Se foi bem sucedido, o site verifica se "gosta" desta sessão do usuário ou não. E, se você “não gostar”, pede ao usuário para “reautenticar”. Existem dois métodos comuns de “fazer autenticação”: enviar um SMS para o número de telefone associado à conta e gerar uma segunda senha no smartphone. Basicamente, o TOTP de acordo com a RFC 6238 é usado para gerar a segunda senha.Se o usuário digitou a segunda senha corretamente, a sessão é considerada totalmente autenticada, caso contrário, a sessão também perde a autenticação “preliminar”.
Ambos os métodos são enviando SMS e geração de senha são prova de propriedade do telefone e, portanto, são um fator de disponibilidade. A senha inserida na primeira etapa é o fator de conhecimento. Portanto, esse esquema de autenticação não é apenas de dois estágios, mas também de dois fatores.
O que achamos problemático nesse esquema?
Vamos começar com o fato de que o computador do usuário médio nem sempre pode ser chamado de modelo de segurança: aqui está o desligamento Atualizações do Windows, e uma cópia pirata do antivírus sem assinaturas modernas e software de origem duvidosa ─ tudo isso não aumenta o nível de proteção. De acordo com nossa avaliação, comprometer o computador de um usuário é a forma mais difundida de “sequestrar” contas (e houve outra confirmação disso recentemente), e queremos nos proteger disso em primeiro lugar. No caso da autenticação em duas etapas, supondo que o computador do usuário esteja comprometido, inserir uma senha nele compromete a própria senha, que é o primeiro fator. Isso significa que o invasor só precisa escolher o segundo fator. No caso de implementações comuns de RFC 6238, o segundo fator é de 6 dígitos decimais (e o máximo de especificação é de 8 dígitos). De acordo com a calculadora de força bruta para OTP, em três dias um invasor é capaz de pegar o segundo fator se ele de alguma forma tomar conhecimento do primeiro. Não está claro o que o serviço pode combater esse ataque sem interromper a experiência normal do usuário. A única prova de trabalho possível é o captcha, que, em nossa opinião, é o último recurso.O segundo problema é a opacidade do julgamento do serviço sobre a qualidade da sessão do usuário e a decisão sobre a necessidade de "up-authentication". Pior que isso, o serviço não está interessado em tornar esse processo transparente, ─ afinal, segurança por obscuridade realmente funciona aqui. Se um invasor souber o que o serviço decide sobre a legitimidade da sessão, ele pode tentar falsificar esses dados. A partir de considerações gerais, podemos concluir que o julgamento é feito com base no histórico de autenticação do usuário, levando em consideração o endereço IP (e os números derivados dele). sistema autônomo, que identifica o provedor e um local com base em uma geobase) e dados do navegador, como o título Agente de usuário e um conjunto de cookies, flash lso e armazenamento local html. Isso significa que, se um invasor controlar o computador do usuário, ele terá a oportunidade não apenas de roubar todos os dados necessários, mas também de usar o endereço IP da vítima. Além disso, se a decisão for tomada com base no ASN, qualquer autenticação do Wi-Fi público em uma cafeteria pode levar a "envenenamento" em termos de segurança (e branqueamento em termos de serviço) do provedor dessa cafeteria e , por exemplo, branqueando todos os cafés da cidade. Falamos sobre o funcionamento do sistema de detecção de anomalias, e ele pode ser aplicado, mas o tempo entre a primeira e a segunda etapa de autenticação pode não ser suficiente para um julgamento seguro sobre a anomalia. Além disso, esse mesmo argumento mina a ideia de computadores "confiáveis": um invasor pode roubar qualquer informação que afete o julgamento de confiança.
Por fim, a verificação em duas etapas é simplesmente inconveniente: nossos estudos de usabilidade mostram que nada irrita mais os usuários do que uma tela intermediária, pressionamentos extras de botões e outras ações “sem importância”, do ponto de vista dele.
Com base nisso, decidimos que a autenticação deve ser de uma etapa e o espaço de senha deve ser muito maior do que o que é possível sob o RFC 6238 "puro".
Ao mesmo tempo, queríamos manter a autenticação de dois fatores possível.
A multifatorialidade na autenticação é determinada pela atribuição de elementos de autenticação (na verdade, eles são chamados de fatores) a uma das três categorias:
- Fatores de conhecimento (são senhas tradicionais, códigos PIN e tudo que se pareça com eles);
- Fatores de propriedade (nos esquemas OTP usados, geralmente é um smartphone, mas também pode ser um token de hardware);
- Fatores biométricos (impressão digital ─ o mais comum agora, embora alguém se lembre do episódio com o herói de Wesley Snipes no filme Demolition Man).
Desenvolvimento do nosso sistema
Quando começamos a lidar com o problema da autenticação de dois fatores (as primeiras páginas do wiki corporativo sobre este assunto datam de 2012, mas foi discutido nos bastidores antes), a primeira ideia foi levar maneiras padrão autenticação e aplicá-los conosco. Entendemos que não poderíamos contar com milhões de nossos usuários para comprar um token de hardware, então essa opção foi adiada para alguns casos exóticos (embora não a abandonemos completamente, podemos conseguir algo interessante). O método SMS também não pode ser produzido em massa: este é um método de entrega muito pouco confiável (no momento mais crucial, o SMS pode atrasar ou não chegar) e enviando SMS custa dinheiro (e as operadoras começaram a aumentar seu preço). Decidimos que o uso do SMS é o destino dos bancos e outras empresas não tecnológicas, e queremos oferecer aos nossos usuários algo mais conveniente. Em geral, a escolha foi pequena: usar um smartphone e o programa nele como segundo fator.Essa forma de autenticação em uma etapa é generalizada: o usuário lembra o código PIN (primeiro fator), possui um token de hardware ou software (em um smartphone) que gera OTP (segundo fator). No campo de entrada de senha, ele insere o código PIN e o valor OTP atual.
Em nossa opinião, principal desvantagem Esse esquema é o mesmo da autenticação em duas etapas: se presumirmos que a área de trabalho do usuário está comprometida, uma única entrada do código PIN leva à sua divulgação e o invasor pode escolher apenas o segundo fator.
Decidimos fazer o outro caminho: a senha é gerada inteiramente a partir do segredo, mas apenas parte do segredo é armazenada no smartphone, e a parte é inserida pelo usuário cada vez que a senha é gerada. Assim, o próprio smartphone é um fator de propriedade, enquanto a senha permanece na cabeça do usuário e é um fator de conhecimento.
O Nonce pode ser um contador ou a hora atual. Decidimos escolher o horário atual, isso nos permite não ter medo da dessincronização caso alguém gere muitas senhas e aumente o contador.
Então, temos um programa para smartphone, onde o usuário insere sua parte do segredo, ela é misturada com a parte armazenada, o resultado é usado como chave HMAC, que assina a hora atual, arredondada para 30 segundos. A saída HMAC é renderizada em formato legível e voila - aqui está a senha de uso único!
Como já mencionado, a RFC 4226 sugere truncar o resultado HMAC para um máximo de 8 dígitos decimais. Decidimos que uma senha desse tamanho não é adequada para autenticação em uma etapa e deve ser aumentada. Ao mesmo tempo, queríamos manter a facilidade de uso (porque, lembre-se, queremos fazer um sistema que as pessoas comuns usem, e não apenas geeks de segurança), de modo a comprometer Versão Atual sistema, escolhemos o truncamento para 8 caracteres do alfabeto latino. Parece que 26 ^ 8 senhas válidas por 30 segundos é bastante aceitável, mas se a margem de segurança não nos convém (ou dicas valiosas aparecem no Habré sobre como melhorar esse esquema), expandiremos, por exemplo, para 10 caracteres.
Saiba mais sobre a força dessas senhas
De fato, para letras latinas que não diferenciam maiúsculas de minúsculas, o número de opções por caractere é 26, para letras latinas grandes e pequenas mais números, o número de opções é 26+26+10=62. Em seguida, registre 62 (26 10) ≈ 7,9 ou seja, uma senha de 10 letras latinas pequenas aleatórias é quase tão forte quanto uma senha de 8 letras ou números latinos maiúsculos e minúsculos aleatórios. Isso é definitivamente suficiente para 30 segundos. Se falamos de uma senha de 8 caracteres de letras latinas, sua força é log 62 (26 8) ≈ 6,3, ou seja, um pouco mais de uma senha de 6 caracteres de letras e números grandes, pequenos. Achamos que isso ainda é aceitável para uma janela de 30 segundos.Magia, ausência de senha, aplicativos e próximos passos
Em geral, poderíamos parar por aí, mas queríamos tornar o sistema ainda mais conveniente. Quando uma pessoa tem um smartphone na mão, ela não quer digitar a senha do teclado!
Portanto, começamos a trabalhar no "login mágico". Com esse método de autenticação, o usuário inicia o aplicativo no smartphone, insere seu código PIN nele e digitaliza o código QR na tela do computador. Se o código PIN for inserido corretamente, a página no navegador será recarregada e o usuário será autenticado. Magia!
Como funciona?
O número da sessão é costurado no código QR e, quando o aplicativo o digitaliza, esse número é transmitido ao servidor junto com a senha e o nome de usuário gerados da maneira usual. Isso não é difícil, porque o smartphone está quase sempre online. No layout da página que mostra o código QR, o JavaScript está em execução, aguardando uma resposta do servidor para verificar a senha com esta sessão. Se o servidor responder que a senha está correta, um cookie de sessão é definido com a resposta e o usuário é considerado autenticado.Melhorou, mas aqui decidimos não parar. Começando com o iPhone 5S em telefones e Comprimidos da Apple O scanner de impressão digital TouchID apareceu e, em Versões do iOS 8 trabalhos com ele estão disponíveis e aplicativos de terceiros. Na verdade, o aplicativo não obtém acesso à impressão digital, mas se a impressão digital estiver correta, a seção Chave adicional fica disponível para o aplicativo. Isso é o que nós aproveitamos. A segunda parte do segredo é colocada na entrada das Chaves protegidas por TouchID, aquela que o usuário digitou a partir do teclado no cenário anterior. Ao desbloquear o Keychain, as duas partes do segredo são misturadas e, em seguida, o processo funciona conforme descrito acima.
Mas se tornou incrivelmente conveniente para o usuário: ele abre o aplicativo, coloca o dedo, escaneia o código QR na tela e é autenticado no navegador do computador! Então substituímos o fator conhecimento por um biométrico e, do ponto de vista do usuário, abandonamos completamente as senhas. Temos certeza de que tal esquema parecerá às pessoas comuns muito mais conveniente do que entrada manual duas senhas.
É discutível quão tecnicamente é a autenticação de dois fatores, mas, na realidade, você ainda precisa ter um telefone e uma impressão digital válida para passá-lo com sucesso, então achamos que fomos muito bons em nos livrar do fator conhecimento, substituindo-o com biometria. Entendemos que confiamos na segurança do ARM TrustZone que sustenta o iOS Secure Enclave e acreditamos que Atualmente esse subsistema pode ser considerado confiável em nosso modelo de ameaças. Claro, estamos cientes dos problemas de autenticação biométrica: uma impressão digital não é uma senha e não pode ser substituída se comprometida. Mas, por outro lado, todos sabem que a segurança é inversamente proporcional à conveniência, e o próprio usuário tem o direito de escolher a proporção de uma e outra que lhe seja aceitável.
Deixe-me lembrá-lo de que isso ainda é beta. Agora, quando você ativa a autenticação de dois fatores, desativamos temporariamente a sincronização de senhas no navegador Yandex. Isso se deve à forma como a criptografia do banco de dados de senhas é organizada. Já estamos criando uma maneira conveniente de autenticar o navegador no caso de 2FA. Todas as outras funcionalidades do Yandex funcionam como antes.
Aqui está o que temos. Parece que acabou bem, mas você é o juiz. Ficaremos felizes em receber comentários e recomendações, e nós mesmos continuaremos trabalhando para melhorar a segurança de nossos serviços: agora, junto com CSP, criptografia de transporte de correio e tudo mais, também temos autenticação de dois fatores. Lembre-se de que os serviços de autenticação e os aplicativos de geração de OTP são críticos e, portanto, os bugs encontrados neles são pagos duas vezes como bônus no programa Bug Bounty.
Etiquetas: adicionar etiquetas
