Ce este cheia Yandex. Cum să plătiți prin cod QR prin aplicația Yandex.money

Yandex.Key generează parole unice (OTP) pentru a oferi o conectare mai sigură la Yandex, Facebook, Google, GitHub, Dropbox, VKontakte și alte servicii care acceptă autentificarea cu doi factori (2FA). Pentru a vă conecta la serviciile Yandex, aveți nevoie doar de parola unică creată de Key, pentru alții - o parolă unică și una obișnuită. - Câteva numere sau o amprentă Nu trebuie să veniți cu parole complexe pentru a vă proteja în mod fiabil datele de conectare Yandex. Este suficient să vă amintiți de la 4 la 16 cifre - folosindu-le Yandex.Key vă va oferi o parolă unică unică, cu o perioadă de valabilitate mai mică de un minut. Dacă nu doriți să introduceți codul PIN, activați Touch ID în setările tastei și utilizați amprenta. - Protecția datelor Yandex.Key vă protejează în plus contul de piratare și furt de informații personale: numai dvs. veți primi parole unice pe dispozitivul dvs. mobil. - Conectare simplă Puteți adăuga conturi în aplicație manual - prin retipărirea datelor de pe site-ul serviciului la care vă conectați, sau automat - citind codul QR de acolo. - Lucrați offline Pentru a adăuga conturi în aplicație și pentru a crea parole unice, Yandex.Key nu are nevoie de internet. Nici măcar nu aveți nevoie de SMS pentru a obține parole. - Caracteristici suplimentare Cheia poate crea parole din șase și opt cifre - în funcție de cerințele serviciului. În plus, Key acceptă diferite perioade de actualizare a parolelor unice, nu doar 30 de secunde (depinde de serviciul utilizat). - Standarde de securitate Yandex.Key este potrivit pentru autentificarea în doi factori (sau în doi pași) pentru toate serviciile care acceptă standardele de securitate RFC-6238 și RFC-4226 (cu excepția celor care funcționează numai cu SMS). - Backup În cazul în care se întâmplă ceva cu dispozitivul dvs., puteți crea o copie de rezervă a datelor cheie pe serverul Yandex. Este sigur: fiecare copie este criptată cu o parolă cunoscută numai de proprietar. Citiți mai multe pe pagina de ajutor - https://ya.cc/2fa

Capturi de ecran

Recenzii

  • Aplicație grozavă

    Il folosesc de mult timp, de la 5s. Acum nu văd probleme la X-uri. Nu înțeleg feedback-ul despre lipsa de adaptare. De la vechi la telefon nou de asemenea, totul este bine tolerat.

  • Actualizări regulate de nivel

    După cum scriu mulți: a trecut mai bine de jumătate din 2019 și încă nu există adaptare pentru X, XS, XR. Și băieții nu se grăbesc să actualizeze, de ce? Nu există alternative, tot trebuie să folosești ceea ce ai. Dar lipsa suportului FaceID este, desigur, o nesocotire sălbatică pentru utilizatori. Dezabonați-vă doar „actualizările sunt planificate cândva, dar nu știm când”. Funcționalitatea este bună și serviciul este groaznic

  • Funcționalitate decentă, UI / UX groaznic

    Cine a venit chiar și cu acest carusel cu conturi... Când nu există pictogramă, două conturi nu pot fi distinse și este incomod să te răsucim înainte și înapoi.

  • ChSV iese din scară

    De la Yuyuygyffhdsgbfddes

    Poate că Yandex ar trebui să înțeleagă într-o zi că oamenii care pun 2FA în conturile lor sunt oameni care sunt mai degrabă preocupați de securitatea datelor lor și nu sunt gata să ia și să-și dea numărul de telefon. În mod ironic, deși aplicația în sine poate fi utilizată pentru servicii terțe (de la ATP la Yandex pentru o explicație detaliată), utilizarea sa este impracticabilă pentru Yandex.

  • Nu funcționează

    Prin wrghbqjwjqjqnqtktqjtj

  • iPhone X

    De ce nu există nicio adaptare pentru iPhone X ??

  • Nu funcționează

    Nu funcționează! Am introdus parola emisă, dar site-ul nu o acceptă! Odată intrat 200 este inutil. Dacă nu știți cum să faceți autentificarea cu doi factori, atunci nu vă amestecați!

  • În partea de jos

    Aplicația nu a fost actualizată de 2 ani. Au marcat pe el. Nu există un ID de față. Nu este optimizat pentru ecrane cu crestătură. Interfața nu se schimbă. Pe scurt, Yandex a marcat.

  • Inutil

    Aplicația funcționează separat, aplicația Yandex-money funcționează separat. Yandex-money nu funcționează cu această aplicație: nici cu un cod PIN (introdus corect), nici cu amprentă. Timp sincronizat - rezultatul nu este corectat. L-a dat jos ca fiind inutil.

  • Nu-i rău

    De la Gordon Krants

    O aplicație bună, dar aranjarea orizontală este extrem de incomodă: (aș dori în actualizările viitoare să văd o coloană verticală cu servicii și posibilitatea de a selecta câte o pictogramă pentru fiecare, altfel este greu de căutat codul necesar când aveți mai multe conturi pe un serviciu

  • Codul QR nu poate fi citit

    De la Amir Gatin

    Nu am putut instala codul pe iPhone 6. Nu citește!

  • Nu funcționează!!!

    Nu introduce nici prin cod QR, nici prin parolă unică! Acesta este un scrib!!!

  • Generează greșit

    Parolă unică incorectă! Nu am schimbat tot timpul ora de pe dispozitiv

  • Nu este convenabil de utilizat

    Nebun de incomod hu...

  • Cont

    Bună ziua, am avut o situație nu foarte convenabilă... Mi-am schimbat telefonul, dar nu am făcut o copie de rezervă și, ca urmare, am pierdut toate codurile de acces care erau în aplicație, am petrecut mult timp pentru a restabili totul.. . ei bine, asta vreau să spun) faceți astfel încât să vă puteți crea un cont și ca totul să fie salvat automat... la urma urmei, este teribil de incomod după ce adăugați o nouă parolă pentru a face o copie de rezervă pentru a vă conduce telefonul etc...

  • De ce a ta?

    De la 79522370021784380H

    De ce să vii cu altă aplicație când ai Authy? Ma deranjeaza ca pe PC este necesar sa setez ~ 4 launchere in default, deci si pe telefon ~ 4 software pentru 2fa. Nu este convenabil, chiar dacă cheia nu are 6 cifre, dar 2fa este 2fa și nu o intrare fără parolă. Îmi este mai ușor să introduc 6-8 numere decât să introduc un set de litere

  • Nu m-am putut conecta la contul meu

    Suportul tehnic a ajutat

  • Face ID? Nu, nu am auzit

    Fără suport pentru Face ID. Aplicația este întinsă, de parcă ar fi fost făcută pentru al patrulea iPhone. Yandex, chiar tu ești?

  • icoane

    Din alt nume de utilizator sc

    Simt o lipsă acută de icoane pentru diferite servicii. Ai făcut pictograme pentru cele mai populare, dar din păcate aplicația nu știe despre multe alte servicii. De exemplu, despre mega, discord, origine EA, Ubisoft Uplay și tocmai asta mi-am amintit de la început.

  • Dezgustător

    De ce să faceți această aplicație o necesitate și să nu rămâneți cu ea? Unde este suportul pentru iPhone x și superioare? Aplicația se deschide pe podeaua ecranului... Au trecut 2 ani de când m-am retras de la Yandex din acest motiv. Am crezut că este o companie normală, dar de fapt bucerata este plină.

  • Sprijinul s-a încheiat

    Actualizați chiar și pentru dispozitive noi

  • Nu a așteptat

    Nu am actualizat aplicația pentru dispozitive noi.

  • Adaptare

    Din noroc5

    Vă rugăm să adaptați aplicația pentru XR

  • Nu functioneaza corect

    De la Castor888

    După instalarea aplicației și autentificarea cu doi factori, la introducerea codului PIN, dă o eroare că codul PIN este incorect

  • Actualizați

    De la NIKOLAI

    Nu înțeleg cum a fost posibil să faci o aplicație atât de cool și avansată în toate sensurile și apoi să o iau și să o abandonez. Încă nu există nicio adaptare pentru iPhone X! Cum poți păstra o aplicație atât de importantă timp de 2 ani fără actualizări?

  • Nu așteptați actualizări

    Nu există actualizări timp de un an .. Nu există suport pentru iPhone XR, XS. Nu există suport pentru Touch ID .. Ei nu pot spune când va fi actualizarea .. Yandex 🤦‍♂️

  • Teribil

    De la JinMariachi

    L-am configurat pe android, totul este ok, încerc să o fac pe iPhone, nu funcționează, reconectați-vă pe android, de asemenea, nu mai funcționează! Incerc sa recuperez, am introdus totul, am introdus codul de pe telefon, nu, tot nu este suficient si foloseste mai des browserul pe care lucrezi.. mai poti oferi amprente? Atât de multe prostii să te conectezi la muzica Yandex. Serios, este mai ușor să creezi conturi noi de fiecare dată decât să încerci să recâștigi accesul. Dacă nu o puteți face în mod normal, atunci nu o faceți

  • Actualizați deja în sfârșit

    Arată dezgustător pe iPhone X.

  • Ergonomia nu i-a plăcut

    Am citit articolul tău despre Habré. Bine făcut. Dar de ce interfața și tot ceea ce este legat de ea este atât de îngrozitor cu o astfel de minte și abordare? Proiectat de oameni cu abilități tehnice predominante. 8 fagi împreună - tot din aceeași serie. Au folosit vreodată dezvoltatorii/designerii înșiși acest 2fa? Desigur, memorarea 2x3 este mai ușoară. Și 8 personaje împreună este doar tablă.

  • -

    De la AndiZhdanov

    Funcționează dezgustător, fă ceva

  • Groază!! Erau legate o grămadă de chei. SPATELE făcut.

    Și după ce am schimbat telefonul, îl refac din backup și scriu, nu este nimic !! Cum este? Dezgustător!!

  • Mulțumiri

    Mișto aplicație, dar am vrut să pot schimba vizualizarea listei de conturi. Când sunt într-adevăr multe dintre ele, vizualizarea curentă nu este convenabilă. Va rog sa faceti o lista!!)

  • Turbiditate

    De la Anton Grigoriev

    Greu, mai ales schimbarea telefonului. Nu este adaptat la podeaua ecranelor moderne.

  • Este nevoie de actualizare!

    Uneori se blochează la pornire. Actualizați aplicația de asistență ultima versiune iOS și temă întunecată !!

  • Aplicația este super!

    De la George Efron

    Mult mai convenabil decât o aplicație google, dar 4 stele din lipsă suport iPhone XS Max.

Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.

  1. Conectați-vă cu codul QR
  2. Se transferă Yandex.Key
  3. Parola principala
  4. Modul în care parolele unice depind de ora exactă

Conectați-vă la serviciul sau aplicația Yandex

Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.

Notă.

Parola unică trebuie introdusă la timp în timp ce este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați o nouă parolă.

Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați setat atunci când configurați autentificarea cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.

Yandex.Key nu verifică codul PIN pe care l-ați introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, și parolele create se dovedesc a fi incorecte și nu vă veți putea autentifica cu ele. Pentru a introduce codul PIN corect, trebuie doar să părăsiți aplicația și să o porniți din nou.

Conectați-vă cu codul QR

Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.

    Faceți clic pe pictograma codului QR din browser.

    Dacă nu există o astfel de pictogramă în formularul de autentificare, atunci pornit acest serviciu te poți autentifica doar cu o parolă. În acest caz, vă puteți autentifica folosind codul QR din Passport, apoi mergeți la serviciul dorit.

    Introduceți codul PIN în Yandex.Key și faceți clic pe Conectați-vă cu codul QR.

    Îndreptați camera dispozitivului către codul QR afișat în browser.

Yandex.Key recunoaște codul QR și trimite numele de utilizator și parola unică către Yandex.Passport. Dacă trec testul, veți fi conectat automat în browser. Dacă parola transmisă se dovedește a fi incorectă (de exemplu, datorită faptului că ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre o parolă incorectă.

Conectați-vă cu un cont Yandex la o aplicație sau un site web terță parte

Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă de aplicație separată pentru fiecare astfel de aplicație.

Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.

Se transferă Yandex.Key

Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic Înlocuirea dispozitivului.

Mai multe conturi în Yandex.Key

Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiuni pentru cel mai mult servicii populare sunt prezentate pe pagina despre crearea codurilor de verificare care nu sunt pentru Yandex.

Pentru a elimina legarea unui cont la Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, conectarea contului dvs. la Yandex.Key va fi eliminată.

Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea primi o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.

Amprentă în loc de codul PIN

Puteți utiliza amprenta digitală în loc de un cod PIN pe următoarele dispozitive:

    smartphone-uri sub Android 6.0 și un scaner de amprente;

    iPhone de la 5s;

    iPad începând de la Modele cu aer 2.

Notă.

Pe smartphone-uri și tablete cu iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați parola principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Password.

Pentru a utiliza activarea verificării amprentei:

Parola principala

Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.

Cu o parolă principală, puteți:

    face posibilă introducerea numai a parolei principale Yandex.Key în locul amprentei, și nu a codului de blocare a dispozitivului;

Backup de date Yandex.Key

Puteți crea o copie de rezervă a datelor cheie pe serverul Yandex pentru a o putea restaura dacă v-ați pierdut telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie în momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă, fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.

Pentru a obține date dintr-o copie de rezervă, aveți nevoie de:

    aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;

    amintiți-vă parola pe care ați setat-o ​​pentru a cripta backup-ul.

Atenţie. Copie de rezervă conține doar autentificarea și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.

Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi eliminat automat dacă nu îl utilizați în decurs de un an de la crearea sa.

Făcând o copie de rezervă

    Selectați elementul Creați o copie de rezervăîn setările aplicației.

    Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „71234567890” „380123456789”) și faceți clic pe Următorul.

    Yandex va trimite un cod de confirmare la numărul de telefon introdus. După ce primiți codul, introduceți-l în aplicație.

    Creați o parolă pentru a cripta backup-ul datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.

    Introduceți parola de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și va notifica despre aceasta.

Întrebarea cum să obțineți un cod de urgență Yandex Money fără SMS apare în rândul utilizatorilor în situații care sunt de obicei numite forță majoră. Dacă ați pierdut o parolă pe care ați folosit-o în mod regulat, din anumite motive nu primiți un SMS cu un cifr unic, nu găsiți o placă cu un set de simboluri de cod, nu vă faceți griji pentru acest lucru. În astfel de cazuri serviciul a oferit o opțiune de urgență. Veți putea să solicitați coduri de urgență Yandex Money și să finalizați operațiunea de plată.

Parole Money.yandex.ru pentru toate ocaziile

Nu toți utilizatorii serviciului știu cât de largi sunt posibilitățile acestuia legate de circulația banilor. Pentru a utiliza serviciile financiare Yandex, sunt furnizate următoarele tipuri de parole:

  • primirea SMS-urilor;
  • coduri QR relevante pentru aplicații;
  • seturi de caractere utilizate în situații de urgență.

Pe acesta din urmă îl vom considera mai detaliat. Nu le confundați cu numerele obișnuite la care vă așteptați în SMS pentru a finaliza transferul de fonduri. Au o proprietate puțin diferită față de parolele QR la modă în prezent, care pot fi scanate de camera dispozitivului.

Ce trebuie să știți despre codurile de urgență

Deci, ce sunt codurile de urgență în Yandex Money, cum să le obțineți și de ce sunt necesare? Situația în care doriți să retrageți urgent o parte din fondurile din portofel, completate în toate câmpurile necesare, dar nu puteți finaliza procesul, deoarece SMS-ul nu vine, este familiară tuturor. Cel mai adesea acest lucru se întâmplă în roaming. O altă variantă a problemei este un telefon mort în care este instalată aplicația. În ambele cazuri, dacă nu ar exista un cod de urgență, utilizatorii nu ar putea efectua o operațiune de plată pe Yandex Money. Cifre de acest tip diferă de QR și acționează în același mod ca seturile obișnuite de caractere unice. Indiferent de operația pe care o efectuați, ei vă vor ajuta și vă vor permite să o finalizați.

Instrucțiuni pentru obținerea unui cod de urgență

Toată lumea știe cum să ajungă un cifr sau QR standard. De asemenea, puteți comanda pur și simplu un set de simboluri de urgență. Diferența acesteia este doar în motivele inițiale ale solicitării, legate de faptul că utilizatorul nu poate retrage suma din cauza imposibilității introducerii numerelor solicitate în ultima fereastră.

Dacă vă aflați într-o situație similară, algoritmul acțiunilor dvs. ar trebui să fie următorul:

  1. Găsiți linkul „Obțineți codul de urgență”.
  2. Introduceți parola (o singură dată).
  3. Imprimați foaia de coduri.

Atentie: chiar daca calculatorul dumneavoastra are un sistem modern de protectie impotriva virusilor si intruziunilor persoanelor neautorizate, in nici un caz nu salvati coduri in memoria lui. După imprimare, ștergeți imediat fișierul.


Unii utilizatori sunt siguri că cifrurile primite ar trebui folosite într-o secvență clară. De fapt, le puteți alege după cum doriți.

Se întâmplă ca pagina rezultată să fie închisă sau pierdută accidental. E bine. Exact așa cum este descris mai sus, solicitați coduri noi. Dacă persoane neautorizate au intrat brusc în posesia unei foi cu cifruri pentru a proteja banii, comandați fără întârziere coduri noi. Odată ce faci acest lucru, vechile seturi de caractere vor deveni invalide și inutile. Serviciul de securitate Yandex Money face totul pentru a proteja fondurile clienților. Sarcina acesteia din urmă este să fie vigilentă și să o ajute să îndeplinească această sarcină dificilă.

Nu poți întâlni o persoană pe internet care nu a auzit de coduri QR măcar pe marginea urechii. Odată cu popularitatea crescută a rețelei în ultimele decenii, utilizatorii trebuiau să transfere date între ei căi diferite... Codurile QR sunt doar „purtatorul” de informații pe care utilizatorul le-a criptat acolo. Dar întrebarea este diferită - cum să descifrezi astfel de coduri și să obții ceea ce se află în ele?

Dacă mai devreme utilizatorul trebuia să caute aplicatii speciale care ajută la decriptarea codului QR, acum nimic nu este necesar, cu excepția unei conexiuni la Internet. Mai jos vom analiza 3 moduri de a scana și decoda codurile QR online.

Metoda 1: IMGonline

Acest site este o sursă mare care are totul pentru a interacționa cu imaginile: procesare, redimensionare și așa mai departe. Și, desigur, există un procesor de imagine cu coduri QR care ne interesează, care ne permite să schimbăm imaginea după bunul plac pentru recunoaștere.

Pentru a scana o imagine de interes, urmați acești pași:


Metoda 2: Decodați-l!

Spre deosebire de site-ul anterior, acesta se bazează în întregime pe a ajuta utilizatorii de pe web să decripteze o cantitate imensă de date, de la caractere ASCII la fișiere MD5. Are un design destul de minimalist care îi permite să fie folosit cu dispozitive mobile, dar îi lipsesc orice alte funcții care să ajute la decriptarea codurilor QR.

Pentru a decripta codul QR de pe acest site, va trebui să faceți următoarele:


Metoda 3: Foxtools

În ceea ce privește numărul de funcții și capabilități, serviciul online Foxtools este foarte asemănător cu site-ul anterior, dar are și propriile sale avantaje. De exemplu, această resursă vă permite să citiți coduri QR dintr-un link către imagini și, prin urmare, nu are sens să le salvați pe computer, ceea ce este foarte convenabil.

Pentru a citi codul QR în acest serviciu online, trebuie să faceți următoarele:


Serviciile online de mai sus au o serie de caracteristici pozitive, dar au și dezavantaje. Fiecare dintre metode este bună în felul său, dar este puțin probabil ca acestea să se poată completa reciproc, doar dacă utilizați site-uri cu diferite dispozitiveși pentru o varietate de scopuri.

O postare rară de pe blogul Yandex, și mai ales una legată de securitate, nu menționa autentificarea cu doi factori. Ne-am gândit multă vreme cum să întărim în mod corespunzător protecția conturilor de utilizator și chiar și astfel încât să o poată folosi fără toate inconvenientele care includ cele mai comune implementări de astăzi. Și ei, din păcate, sunt incomod. Potrivit unor rapoarte, pe multe site-uri mari, proporția utilizatorilor care au inclus fonduri suplimentare autentificarea nu depășește 0,1%.

Acest lucru pare să se datoreze faptului că schema comună de autentificare cu doi factori este prea complexă și incomodă. Am încercat să venim cu o modalitate care să fie mai convenabilă fără a pierde nivelul de protecție, iar astăzi o prezentăm în versiune beta.

Să sperăm că va deveni mai răspândit. La rândul nostru, suntem pregătiți să lucrăm la îmbunătățirea acestuia și la standardizarea ulterioară.

După ce activați autentificarea cu doi factori în Passport, va trebui să instalați aplicația Yandex.Key în App Store sau Google Play. În formularul de autorizare pe pagina principala Yandex, codurile QR au apărut în Mail și Passport. A intra cont trebuie să citiți codul QR prin aplicație - și atât. Dacă nu puteți citi codul QR, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la Internet, aplicația va crea o parolă unică care va fi valabilă doar 30 de secunde.

Vă voi spune de ce am decis să nu folosim astfel de mecanisme „standard” precum RFC 6238 sau RFC 4226. Cum funcționează schemele comune de autentificare cu doi factori? Sunt în două etape. Prima etapă este autentificarea obișnuită a numelui de utilizator și a parolei. Dacă are succes, site-ul verifică dacă îi „place” sau nu această sesiune de utilizator. Și, dacă nu vă place, îi cere utilizatorului să se „re-autentifice”. Există două metode comune de „pre-autentificare”: trimiterea unui SMS la numărul de telefon asociat contului și generarea unei a doua parole pe un smartphone. Practic se folosește TOTP conform RFC 6238 pentru a genera a doua parolă.Dacă utilizatorul a introdus corect a doua parolă, sesiunea este considerată complet autentificată, iar dacă nu, atunci sesiunea își pierde și autentificarea „preliminară”.

Ambele moduri ─ trimiterea de SMS-uri iar generarea parolei este dovada deținerii telefonului și, prin urmare, este un factor de disponibilitate. Parola introdusă în primul pas este un factor de cunoaștere. Prin urmare, această schemă de autentificare nu este doar în doi pași, ci și cu doi factori.

Ce ni s-a părut problematic în această schemă?

Să începem cu faptul că computerul utilizatorului obișnuit nu poate fi numit întotdeauna un model de securitate: aici și oprire Actualizări Windows, și o copie piratată a unui antivirus fără semnături moderne și software de origine dubioasă ─ toate acestea nu măresc nivelul de protecție. În opinia noastră, compromiterea computerului unui utilizator este cea mai răspândită metodă de „deturpare” a conturilor (și recent a existat încă o confirmare în acest sens) și vreau să mă protejez de aceasta în primul rând. În cazul autentificării în doi pași, dacă presupunem că computerul utilizatorului este compromis, introducerea unei parole pe acesta compromite parola în sine, care este primul factor. Aceasta înseamnă că atacatorul trebuie doar să selecteze al doilea factor. În cazul implementărilor comune RFC 6238, al doilea factor este de 6 cifre zecimale (iar maximul stipulat de specificație este de 8 cifre). Potrivit calculatorului bruteforce pentru OTP, în trei zile un atacator este capabil să înțeleagă al doilea factor dacă îl cunoaște cumva pe primul. Nu este clar ce serviciu poate contracara acest atac fără a perturba experiența normală a utilizatorului. Singura dovadă posibilă a muncii este captcha, care, în opinia noastră, este ultima soluție.

A doua problemă este lipsa de transparență în aprecierea serviciului cu privire la calitatea sesiunii utilizator și luarea unei decizii cu privire la necesitatea „pre-autentificării”. Chiar mai rau, serviciul nu este interesat să facă acest proces transparent, deoarece securitatea prin obscuritate funcționează de fapt aici. Dacă atacatorul știe, pe baza căreia serviciul ia o decizie cu privire la legitimitatea sesiunii, el poate încerca să falsifice aceste date. Din considerente generale, putem concluziona că judecata se face pe baza istoricului de autentificare a utilizatorului, luând în considerare adresa IP (și numărul derivat din aceasta). sistem autonom care identifică furnizorul și locația pe baza bazei de date geografice) și a datelor din browser, cum ar fi titlul Agent utilizatorși un set de cookie-uri, flash lso și stocare locală html. Aceasta înseamnă că, dacă un atacator controlează computerul unui utilizator, atunci el are capacitatea nu numai de a fura toate datele necesare, ci și de a folosi adresa IP a victimei. Mai mult, dacă decizia este luată pe baza ASN, atunci orice autentificare de la Wi-Fi-ul public din cafenea poate duce la „otrăvirea” din punct de vedere al securității (și văruirii din punct de vedere al serviciului) a furnizorului acestei cafele. magazin și, de exemplu, văruire toate cafenelele din oraș. ... Am vorbit despre funcționarea sistemului de detectare a anomaliilor și ar putea fi aplicat, dar timpul dintre prima și a doua etapă de autentificare poate să nu fie suficient pentru o judecată încrezătoare despre anomalie. În plus, același argument distruge ideea de computere „de încredere”: un atacator poate fura orice informație care afectează judecata de încredere.

În cele din urmă, autentificarea în doi pași este pur și simplu incomod: studiile noastre de uzabilitate arată că nimic nu deranjează la fel de mult utilizatorii ca un ecran intermediar, apăsări suplimentare de butoane și alte acțiuni „neimportante” din punctul lui de vedere.
Pe baza acestui fapt, am decis că autentificarea ar trebui să fie într-un singur pas și spațiul parolei să fie mult mai mare decât este posibil să facem în cadrul RFC 6238 „pur”.
În același timp, am dorit să păstrăm cât mai mult posibil autentificarea cu doi factori.

Multifactorialitatea în autentificare este determinată prin atribuirea elementelor de autentificare (de fapt, se numesc factori) într-una din trei categorii:

  1. Factori de cunoaștere (acestea sunt parolele tradiționale, codurile pin și tot ce seamănă cu ele);
  2. Factori de proprietate (în schemele OTP utilizate, de regulă, acesta este un smartphone, dar poate fi și un token hardware);
  3. Factori biometrici (amprenta este cea mai frecventă acum, deși cineva își va aminti episodul cu eroul lui Wesley Snipes din filmul Demolition Man).

Dezvoltarea sistemului nostru

Când am început să abordăm problema autentificării cu doi factori (primele pagini ale wiki-ului corporativ despre această problemă datează din 2012, dar s-a discutat înainte în culise), prima idee a fost să luăm metode standard autentificare și aplicați-le cu noi. Am înțeles că nu ne putem aștepta ca milioane de utilizatori ai noștri să cumpere un token hardware, așa că această opțiune a fost amânată pentru unele cazuri exotice (deși nu o abandonăm complet, poate vom reuși să venim cu ceva interesant). Nici metoda cu SMS-uri nu ar putea fi masivă: aceasta este o metodă de livrare foarte nesigură (în cel mai important moment, SMS-ul poate fi întârziat sau să nu fie primit deloc) și trimiterea de SMS-uri costă bani (iar operatorii au început să-și crească prețul). Am decis că folosirea SMS-urilor este o mulțime de bănci și alte companii low-tech și dorim să oferim utilizatorilor noștri ceva mai convenabil. În general, alegerea nu a fost grozavă: să folosești smartphone-ul și programul din el ca al doilea factor.

Această formă de autentificare într-un singur pas este răspândită: utilizatorul își amintește codul pin (primul factor), are un token hardware sau software (în smartphone) care generează OTP (al doilea factor). În câmpul de introducere a parolei, el introduce codul PIN și valoarea OTP curentă.

În opinia noastră, dezavantajul principal Această schemă este aceeași ca și pentru autentificarea în doi pași: dacă considerăm că desktopul utilizatorului este compromis, atunci o singură introducere a codului PIN duce la dezvăluirea acestuia, iar atacatorul trebuie doar să selecteze al doilea factor.

Am decis să mergem în altă direcție: parola este generată în întregime din secret, dar doar o parte din secret este stocată în smartphone, iar o parte este introdusă de utilizator de fiecare dată când parola este generată. Astfel, smartphone-ul în sine este un factor de proprietate, iar parola rămâne în capul utilizatorului și este un factor de cunoaștere.

Nonce poate fi fie un numărător, fie ora curentă. Am decis să alegem ora curentă, asta ne permite să nu ne fie frică de desincronizare în cazul în care cineva generează prea multe parole și mărește contorul.

Deci, avem un program pentru smartphone, în care utilizatorul introduce partea sa din secret, acesta este amestecat cu partea stocată, rezultatul este folosit ca o cheie HMAC, care semnează ora curentă, rotunjită la 30 de secunde. Ieșirea HMAC devine ușor de citit de om și voila - iată parola unică!

După cum sa menționat, RFC 4226 sugerează trunchierea ieșirii HMAC la maximum 8 cifre zecimale. Am decis că o parolă de această dimensiune nu este potrivită pentru autentificarea într-un singur pas și ar trebui mărită. În același timp, am dorit să păstrăm ușurința de utilizare (la urma urmei, reamintim, vreau să fac un astfel de sistem pe care oamenii obișnuiți să-l folosească, și nu doar tociarii securității), ca un compromis în Versiune curentă sistem am ales să trunchiem la 8 caractere ale alfabetului latin. Se pare că 26 ^ 8 parole valabile 30 de secunde sunt destul de acceptabile, dar dacă marja de securitate nu ni se potrivește (sau pe Habré apar sfaturi prețioase despre cum să îmbunătățim această schemă), ne vom extinde, de exemplu, la 10 caractere.

Aflați mai multe despre puterea unor astfel de parole

Într-adevăr, pentru literele latine care nu țin cont de majuscule, numărul de opțiuni pe semn este 26, pentru literele latine mari și mici plus cifre, numărul de opțiuni este 26 + 26 + 10 = 62. Apoi log 62 (26 10) ≈ 7,9, adică o parolă de 10 litere latine mici aleatorii este aproape la fel de puternică ca o parolă de 8 litere sau numere latine mari și mici aleatoare. Acest lucru este cu siguranță suficient pentru 30 de secunde. Dacă vorbim despre o parolă de 8 caractere făcută din litere latine, atunci puterea sa este log 62 (26 8) ≈ 6,3, adică puțin mai mult decât o parolă de 6 caractere formată din litere mari, mici și cifre. Credem că acest lucru este încă acceptabil pentru o fereastră de 30 de secunde.

Magie, lipsă de parolă, aplicații și calea de urmat

În general, ne-am fi putut opri la asta, dar am vrut să facem sistemul și mai convenabil. Când o persoană are un smartphone în mână, nu vrea să introducă parola de la tastatură!

Prin urmare, am început să lucrăm la „login magic”. Cu această metodă de autentificare, utilizatorul lansează aplicația pe smartphone, introduce codul PIN în ea și scanează codul QR pe ​​ecranul computerului său. Dacă codul PIN este introdus corect, pagina din browser este reîncărcată și utilizatorul este autentificat. Magie!

Cum functioneazã?

Numărul de sesiune este codificat în codul QR, iar atunci când aplicația îl scanează, acest număr este transmis serverului împreună cu parola și numele de utilizator generate în mod obișnuit. Acest lucru nu este dificil, deoarece smartphone-ul este aproape întotdeauna online. În aspectul paginii care arată codul QR, JavaScript rulează, așteptând din partea serverului un răspuns pentru a verifica parola cu sesiunea dată. Dacă serverul răspunde că parola este corectă, împreună cu răspunsul este setat un cookie de sesiune, iar utilizatorul este considerat autentificat.

A fost mai bine, dar chiar și aici am decis să nu ne oprim. Începând cu iPhone 5S în telefoane și Tablete Apple a apărut scanerul de amprente TouchID și în versiunea iOS 8 lucru cu el este disponibil și aplicații terță parte... De fapt, aplicația nu are acces la amprentă, dar dacă amprenta este corectă, atunci o secțiune suplimentară Keychain devine disponibilă pentru aplicație. Noi am profitat de asta. A doua parte a secretului este plasată în intrarea Keychain protejată de TouchID, cea pe care utilizatorul a introdus-o de la tastatură în scriptul anterior. La deblocarea brelocului, cele două părți ale secretului sunt amestecate, iar apoi procesul funcționează așa cum este descris mai sus.

Dar utilizatorul a devenit incredibil de convenabil: deschide aplicația, pune degetul, scanează codul QR de pe ecran și se autentifică în browserul computerului! Așa că am înlocuit factorul cunoaștere cu unul biometric și, din punctul de vedere al utilizatorului, am abandonat complet parolele. Suntem siguri că oamenii obișnuiți vor găsi o astfel de schemă mult mai convenabilă decât Introducere manuală două parole.

Este posibil să dezbatem cât de formal este o astfel de autentificare cu doi factori, dar, de fapt, pentru a o trece cu succes, mai trebuie să aveți un telefon și să aveți amprenta corectă, așa că credem că am reușit complet să renunțăm la factorul cunoaștere, înlocuindu-l cu biometrie. Înțelegem că ne bazăm pe securitatea ARM TrustZone în centrul iOS Secure Enclave și credem asta în prezent acest subsistem poate fi considerat de încredere în modelul nostru de amenințare. Desigur, suntem conștienți de problemele autentificării biometrice: o amprentă nu este o parolă și nu poate fi înlocuită în caz de compromis. Dar, pe de altă parte, toată lumea știe că securitatea este invers proporțională cu confortul, iar utilizatorul însuși are dreptul de a alege un raport acceptabil între unul și celălalt.

Permiteți-mi să vă reamintesc că acesta este încă beta. Acum, când activați autentificarea cu doi factori, dezactivăm temporar sincronizarea parolei în browserul Yandex. Acest lucru se datorează modului în care este aranjată criptarea bazei de date de parole. Venim deja cu o modalitate convenabilă de a autentifica browserul în cazul 2FA. Toate celelalte funcționalități Yandex funcționează ca înainte.

Iată ce avem. Se pare că a funcționat bine, dar ține de tine să judeci. Vom fi bucuroși să auzim feedback și recomandări, iar noi înșine vom continua să lucrăm la îmbunătățirea securității serviciilor noastre: acum, împreună cu CSP, criptarea transportului de corespondență și orice altceva, avem autentificare cu doi factori. Rețineți că serviciile de autentificare și aplicațiile de generare OTP sunt critice și, prin urmare, dublează bonusul Bug Bounty pentru erorile găsite în ele.

Etichete: Adăugați etichete

ARTICOLE SIMILARE