Yandex.Key vytvára jednorazové heslá (OTP), ktoré poskytujú bezpečnejšie prihlásenie do služieb Yandex, Facebook, Google, GitHub, Dropbox, VKontakte a ďalších služieb, ktoré podporujú dvojfaktorovú autentifikáciu (2FA). Na prihlásenie do služieb Yandex potrebujete iba jednorazové heslo vytvorené kľúčom, pre ostatných - jednorazové heslo a vaše obvyklé heslo. - Niekoľko čísel alebo odtlačok prsta Na bezpečnú ochranu svojho prihlásenia do Yandexu nemusíte vymýšľať zložité heslá. Stačí si zapamätať od 4 do 16 číslic - Yandex.Key vám ich použije na vydanie jedinečného jednorazového hesla platného menej ako minútu. Ak nechcete zadávať PIN kód, povoľte v nastaveniach Touch ID Key a použite odtlačok prsta. - Ochrana údajov Yandex.Key navyše chráni váš účet pred hackermi a krádežou osobných údajov: iba vy dostanete jednorazové heslá na vaše mobilné zariadenie. - Jednoduché pripojenie Účty môžete do aplikácie pridať manuálne - prepísaním údajov zo stránky služby, ku ktorej sa pripájate, alebo automaticky - načítaním QR kódu odtiaľ. - Práca offline Na pridávanie účtov do aplikácie a vytváranie jednorazových hesiel Yandex.Key nepotrebuje internet. Na získanie hesiel nepotrebujete ani SMS. - Ďalšie funkcie Kľúč môže vytvárať šesťmiestne a osemmiestne heslá - v závislosti od požiadaviek služby. Okrem toho kľúč podporuje rôzne doby aktualizácie jednorazových hesiel, nielen 30 sekúnd (závisí to od použitej služby). - Bezpečnostné štandardy Yandex.Key je vhodný pre dvojfaktorovú (alebo dvojkrokovú) autentifikáciu vo všetkých službách, ktoré podporujú bezpečnostné štandardy RFC-6238 a RFC-4226 (okrem tých, ktoré fungujú iba s SMS). - Záloha V prípade, že sa so zariadením niečo stane, môžete vytvoriť záložnú kópiu údajov kľúča na serveri Yandex. Je to bezpečné: každá kópia je zašifrovaná heslom, ktoré pozná iba jej vlastník. Prečítajte si viac na stránke pomocníka - https://ya.cc/2fa

Snímky obrazovky

Recenzie

• Skvelá aplikácia

  Používam ho už dlho, od 5s. Teraz na Xs nevidím žiadne problémy. Nerozumiem komentárom o nedostatočnej adaptácii. Od starých po nový telefón je tiež dobre tolerovaný.

• Pravidelné aktualizácie úrovne

  Ako veľa ľudí píše: viac ako polovica roku 2019 už uplynula a stále neexistuje žiadna úprava pre X, XS, XR. A chlapci sa s aktualizáciou neponáhľajú, prečo? Neexistujú žiadne alternatívy, stále musíte použiť to, čo je. Chýbajúca podpora FaceID je však samozrejme divokým ignorovaním používateľov. Len odhlási "aktualizácia je naplánovaná niekedy, ale nevieme kedy." Dobrá funkčnosť, hrozné služby

• Dobrá funkčnosť, hrozné UI/UX

  Kto vôbec vymyslel tento kolotoč s účtami ... Keď tam nie je ikona, nemožno rozlíšiť dva účty a otáčať sa tam a späť je nepohodlne strašidelné.

• CHSV ide mimo stupnice

  Autor: Yuyuygyffhdsgbfddes

  Možno by spoločnosť Yandex raz mala pochopiť, že ľudia, ktorí si na svoje účty ukladajú 2FA, sú ľudia, ktorí sa dosť obávajú o bezpečnosť svojich údajov a nie sú pripravení len vziať a poskytnúť svoje telefónne číslo. Je iróniou, že hoci samotná aplikácia môže byť použitá pre služby tretích strán (ďakujem spoločnosti Yandex za podrobné vysvetlenie), jej použitie je pre Yandex nevhodné.

• Nefunguje

  Autor: wrghbqjwjqjqnqtktqjtj

• iPhone X

  Prečo neexistuje žiadna úprava pre iPhone X?

• Nefunguje

  Nefunguje! Zadávam zadané heslo, ale stránka ho neakceptuje! Zadal som to 200-krát bezvýsledne. Ak neviete, ako vykonať dvojfaktorovú autentifikáciu, potom sa neobťažujte!

• Na spodku

  Aplikácia nebola aktualizovaná 2 roky. Zbili ho. Žiadne ID tváre. Nie je optimalizované pre obrazovky so zárezmi. Rozhranie sa nemení. Yandex skrátka zabodoval.

• Neužitočné

  Aplikácia funguje samostatne, aplikácia Yandex money funguje samostatne. Spolu s touto aplikáciou Yandex Money nefunguje: ani s kódom PIN (správne zadaným), ani s odtlačkom prsta. Čas synchronizovaný - výsledok sa neopravil. Zbúrané ako zbytočné.

• Nie zlé

  Od Gordona Krantsa

  Dobrá aplikácia, ale rozloženie v horizontálnom poradí je mimoriadne nepohodlné: (Chcel by som vidieť zvislý stĺpec so službami a možnosťou vybrať ikonu pre každú v budúcich aktualizáciách, inak je ťažké hľadať požadovaný kód keď máte niekoľko účtov v jednej službe

• QR kód nebol prečítaný

  Autor: Amir Gatin

  Kód sa nepodarilo nainštalovať na iPhone 6. Nečíta sa!

• Nefunguje!!!

  Nedá sa prihlásiť pomocou QR kódu alebo jednorazového hesla! Je to pisár!!!

• Generuje nie

  Nesprávne jednorazové heslo! Neustále sa nemenil čas na zariadení

• Nie je vhodné používať

  Šialene nepohodlné...

• účtu

  Dobrý deň, stala som sa nie veľmi pohodlnou situáciou ... zmenil som telefón a neurobil som si zálohu a nakoniec som stratil všetky prístupové kódy, ktoré boli v aplikácii, strávil som veľa času, aby som všetko obnovil. .. no tak o tom hovorim) urob aby si si vytvoril ucet a aby sa vsetko automaticky ukladalo ... lebo je strasne nepohodlne po pridani noveho hesla si robit zaloznu kopiu na mobil atd. ....

• Prečo práve tvoj?

  Od 79522370021784380H

  Prečo vymýšľať ďalšiu aplikáciu, keď je tu Authy? Hnevá ma, že na PC je potrebné štandardne nastaviť ~ 4 launchery, teda aj na telefóne ~ 4 software pre 2fa. Nie je to vhodné, aj keď kľúč nie je 6-miestny, ale 2fa je 2fa, a nie je to vstup bez hesla. Je pre mňa jednoduchšie vložiť 6-8 číslic ako zadávať sadu písmen

• Nepodarilo sa prihlásiť do účtu

  Pomohla technická podpora

• ID tváre? Nie, nepočul som

  Žiadna podpora pre Face ID. Aplikácia je natiahnutá, ako keby boli vyrobené pre štvrtý iPhone. Yandex, si to naozaj ty?

• ikony

  Z iného používateľského mena sc

  Cítim akútny nedostatok ikon pre rôzne služby. Urobili ste ikony pre najpopulárnejšie, ale aplikácia bohužiaľ nevie o mnohých iných službách. Napríklad mega, discord, EA origin, Ubisoft Uplay a to je presne to, na čo som si hneď spomenul.

• Nechutné

  Prečo je táto aplikácia povinná a nezostať pri nej? Kde je podpora pre iphone x a vyššie? Aplikácia sa otvára na polovicu obrazovky ... Už sú to 2 roky, čo som z tohto dôvodu opustil Yandex. Myslel som si, že je to normálna spoločnosť, ale v skutočnosti bola kuchyňa plná.

• Podpora skončila

  Aktualizujte pre nové zariadenia

• Tak som nečakal

  Aplikácia nebola aktualizovaná pre nové zariadenia.

• Adaptácia

  Od šťastia 5

  Prispôsobte aplikáciu pre XR

• Nesprávne fungovanie

  Od Castor888

  Po inštalácii aplikácie a dvojfaktorovej autentifikácii sa pri zadávaní kódu PIN zobrazí chyba, že kód PIN je nesprávny

• Obnoviť

  Od NIKOLA

  Nerozumiem, ako bolo možné vytvoriť takú skvelú a pokročilú aplikáciu v každom zmysle a potom ju vziať a opustiť ju. Stále žiadna úprava pre iPhone X! Ako môžete udržať takú dôležitú aplikáciu bez aktualizácií 2 roky?

• Nečakajte na aktualizácie

  Už rok nie sú žiadne aktualizácie .. Neexistuje podpora pre iPhone XR, XS Neexistuje podpora pre Touch ID .. Nevedia povedať, kedy bude aktualizácia .. Yandex 🤦‍♂️

• Strašné

  Od JinMariachiho

  Nastavil som to na android, všetko je v poriadku, skúsim to urobiť na iPhone, nejde to, znova sa prihláste na android, tiež to prestalo fungovať! Pokúšam sa obnoviť, všetko som zadal, zadal som kód z telefónu, nie, stále to nestačí a častejšie používajte prehliadač, na ktorom pracujete.. môžete ešte poskytnúť odtlačky prstov? Toľko kecov, len niečo na prihlásenie do zasranej hudby Yandex. Vážne, je jednoduchšie zakaždým vytvárať nové účty, ako sa pokúšať o obnovenie prístupu. Ak to nemôžete urobiť správne, potom to nerobte.

• Aktualizácia konečne

  Na iPhone X to vyzerá nechutne.

• Nepáčila sa mi ergonómia

  Čítal som tvoj článok o Habrém. Výborne. Prečo je s takou mysľou a prístupom také strašidelné rozhranie a všetko s tým spojené. Navrhnuté ľuďmi s prevažujúcimi technickými zručnosťami. Spolu 8 bukov - tiež z rovnakej série. Použili niekedy samotní vývojári/dizajnéri túto 2fa? Samozrejme, zapamätať si 2x3 je jednoduchšie. A 8 postáv je spolu - je to len plechovka.

• -

  Od AndiŽdanova

  Pôsobí odporne, urobte niečo

• Hrôza!! Bol tam pripojený zväzok kľúčov. Urobila sa ZÁLOHA.

  A po výmene telefónu obnovím zo zálohy a píšem, nič !! Ako je to, že? Nechutné!!

• Vďaka

  Skvelá aplikácia, ale chcel som mať možnosť zmeniť pohľad na zoznam účtov. Keď ich je naozaj veľa, aktuálny pohľad nevyhovuje. Urobte si prosím zoznam!!

• Mut

  Od Antona Grigorieva

  Ťažké, najmä výmena telefónu. Neprispôsobené podlahové moderné zásteny.

• Potrebujete aktualizáciu!

  Niekedy pri štarte spadne. Aktualizujte aplikáciu pre podporu Najnovšia verzia iOS a temná téma!!

• Super aplikácia!

  Od Georga Efrona

  Oveľa pohodlnejšie ako aplikácia Google, ale 4 hviezdičky pre nedostatok podpora pre iPhone XS Max.

Pozornosť. Aplikácie vyvinuté v Yandex vyžadujú jednorazové heslo - ani správne vytvorené heslá aplikácií nebudú fungovať.

1. Prihláste sa pomocou QR kódu
2. Prenos Yandex.Key
3. Hlavné heslo
4. Ako jednorazové heslá závisia od presného času

Prihláste sa do služby alebo aplikácie Yandex

Jednorazové heslo môžete zadať do akéhokoľvek autorizačného formulára Yandex alebo aplikácií vyvinutých spoločnosťou Yandex.

Poznámka.

Jednorazové heslo je potrebné zadať včas, kým je zobrazené v aplikácii. Ak do aktualizácie zostáva príliš málo času, počkajte na nové heslo.

Ak chcete získať jednorazové heslo, spustite Yandex.Key a zadajte PIN kód, ktorý ste nastavili pri nastavovaní dvojfaktorového overenia. Aplikácia začne generovať heslá každých 30 sekúnd.

Yandex.Key nekontroluje PIN, ktorý ste zadali, a generuje jednorazové heslá, aj keď ste PIN zadali nesprávne. V tomto prípade sa tiež ukážu, že vytvorené heslá sú nesprávne a nebudete sa môcť s nimi prihlásiť. Pre zadanie správneho PIN kódu stačí ukončiť aplikáciu a znova ju spustiť.

Prihláste sa pomocou QR kódu

Niektoré služby (napríklad domovská stránka Yandex, Passport a Mail) vám umožňujú prihlásiť sa do Yandexu jednoduchým nasmerovaním fotoaparátu na QR kód. Zároveň musí byť vaše mobilné zariadenie pripojené k internetu, aby Yandex.Key mohol kontaktovať autorizačný server.

Kliknite na ikonu QR kódu v prehliadači.

Ak takáto ikona v prihlasovacom formulári nie je, potom túto službu Môžete sa prihlásiť iba pomocou hesla. V takom prípade sa môžete prihlásiť pomocou QR kódu v pase a potom prejsť na požadovanú službu.

Zadajte PIN kód do Yandex.Key a kliknite na Prihlásiť sa pomocou QR kódu.

Nasmerujte fotoaparát svojho zariadenia na QR kód zobrazený v prehliadači.

Yandex.Key rozpozná QR kód a odošle vaše prihlasovacie meno a jednorazové heslo do Yandex.Passport. Ak prejdú testom, automaticky sa prihlásite do prehliadača. Ak sa prenesené heslo ukáže ako nesprávne (napríklad preto, že ste v Yandex.Key nesprávne zadali svoj PIN), prehliadač zobrazí štandardnú správu o nesprávnom hesle.

Prihlásenie pomocou účtu Yandex do aplikácie alebo webovej stránky tretej strany

Aplikácie alebo stránky, ktoré potrebujú prístup k vašim údajom Yandex, niekedy vyžadujú zadanie hesla na prihlásenie do vášho účtu. V takýchto prípadoch nebudú jednorazové heslá fungovať – pre každú takúto aplikáciu je potrebné vytvoriť samostatné heslo aplikácie.

Pozornosť. V aplikáciách a službách Yandex fungujú iba jednorazové heslá. Aj keď si vytvoríte heslo aplikácie, napríklad pre Yandex.Disk, nebudete sa s ním môcť prihlásiť.

Prenos Yandex.Key

Generovanie jednorazových hesiel môžete preniesť do iného zariadenia alebo nastaviť Yandex.Key na viacerých zariadeniach súčasne. Ak to chcete urobiť, otvorte stránku Riadenie prístupu a kliknite na tlačidlo Výmena zariadenia.

Niekoľko účtov v Yandex.Key

Rovnaký kľúč Yandex.Key možno použiť pre viacero účtov s jednorazovými heslami. Ak chcete do aplikácie pridať ďalší účet, pri nastavovaní jednorazových hesiel v kroku 3 klepnite na ikonu v aplikácii. Okrem toho môžete do Yandex.Key pridať generovanie hesla pre ďalšie služby, ktoré podporujú takúto dvojfaktorovú autentifikáciu. Návod na naj obľúbené služby sú uvedené na stránke o vytváraní overovacích kódov nie pre Yandex.

Ak chcete zrušiť prepojenie účtu s Yandex.Key, klepnite a podržte príslušný portrét v aplikácii, kým sa napravo od neho nezobrazí krížik. Keď kliknete na krížik, prepojenie vášho účtu s Yandex.Key sa odstráni.

Pozornosť. Ak odstránite účet, ktorý má povolené jednorazové heslá, nebudete môcť získať jednorazové heslo na prihlásenie do služby Yandex. V takom prípade bude potrebné obnoviť prístup.

Odtlačok prsta namiesto PIN

Odtlačok prsta namiesto PIN kódu možno použiť na nasledujúcich zariadeniach:

smartfóny pod Ovládanie Androidom 6.0 a snímač odtlačkov prstov;

iPhone od modelu 5s;

iPad počnúc od Vzduchové modely 2.

Poznámka.

Na smartfónoch a tabletoch so systémom iOS je možné odtlačok prsta obísť zadaním prístupového kódu zariadenia. Aby ste sa pred tým ochránili, zapnite hlavné heslo alebo zmeňte heslo na zložitejšie: otvorte aplikáciu Nastavenia a vyberte Touch ID a heslo .

Ak chcete použiť povolenie overovania odtlačkom prsta:

Hlavné heslo

Ak chcete ďalej chrániť svoje jednorazové heslá, vytvorte si hlavné heslo: → Hlavné heslo .

Pomocou hlavného hesla môžete:

uistite sa, že namiesto odtlačku prsta môžete zadať iba hlavné heslo Yandex.Key a nie kód zámku zariadenia;

Záložná kópia údajov Yandex.Key

Môžete si vytvoriť záložnú kópiu údajov kľúča na serveri Yandex, aby ste ich mohli obnoviť, ak stratíte telefón alebo tablet s aplikáciou. Údaje všetkých účtov pridaných do kľúča v čase vytvorenia kópie sa skopírujú na server. Nie je možné vytvoriť viac ako jednu záložnú kópiu, každá ďalšia kópia údajov pre konkrétne telefónne číslo nahrádza predchádzajúcu.

Ak chcete získať údaje zo zálohy, musíte:

mať prístup k telefónnemu číslu, ktoré ste zadali pri jeho vytváraní;

zapamätajte si heslo, ktoré ste nastavili na šifrovanie zálohy.

Pozornosť. Záložná kópia obsahuje iba prihlasovacie údaje a tajomstvá potrebné na generovanie jednorazových hesiel. Musíte si zapamätať PIN kód, ktorý ste nastavili, keď ste povolili jednorazové heslá na Yandex.

Zatiaľ nie je možné odstrániť záložnú kópiu zo servera Yandex. Ak ho nepoužijete do roka od vytvorenia, automaticky sa odstráni.

Vytvorte zálohu

vyberte položku Vytvorte zálohu v nastaveniach aplikácie.

Zadajte telefónne číslo, s ktorým bude záloha prepojená (napríklad „71234567890“ „380123456789“) a kliknite na tlačidlo Ďalej.

Yandex pošle potvrdzovací kód na zadané telefónne číslo. Po prijatí kódu ho zadajte do aplikácie.

Vytvorte si heslo na šifrovanie zálohy vašich údajov. Toto heslo nie je možné obnoviť, preto sa uistite, že ste ho nezabudli alebo nestratili.

Dvakrát zadajte svoje heslo a kliknite na tlačidlo Hotovo. Yandex.Key zašifruje zálohu, odošle ju na server Yandex a upozorní vás na to.

Otázka, ako získať núdzový kód Yandex Money bez SMS, vzniká medzi používateľmi v situáciách, ktoré sa bežne nazývajú vyššia moc. Ak ste stratili heslo, ktoré ste pravidelne používali, z nejakého dôvodu nedostávate SMS s jednorazovou šifrou, nenájdete štítok so sadou kódových znakov, nemôžete sa o to starať. Práve pre takéto prípady služba poskytla núdzovú možnosť. Môžete požiadať o núdzové kódy Yandex Money a dokončiť platobnú transakciu.

Heslá Money.yandex.ru pre všetky príležitosti

Nie všetci používatelia služby vedia, aké široké jej možnosti súvisia s peňažným obehom. Na používanie finančných služieb Yandex sa poskytujú nasledujúce typy hesiel:

• prichádzajúce SMS;
• QR kódy relevantné pre aplikácie;
• znakové sady používané v núdzových situáciách.

Práve o tom druhom sa budeme podrobnejšie zaoberať. Nemýľte si ich s bežnými číslami, na ktoré čakáte v SMS na dokončenie prevodu financií. Majú trochu inú vlastnosť ako momentálne módne QR heslá, ktoré dokáže naskenovať fotoaparát zariadenia.

Čo potrebujete vedieť o núdzových kódoch

Čo sú teda núdzové kódy v Yandex Money, ako ich získať a prečo sú potrebné? Situáciu, keď chcete urýchlene vybrať časť prostriedkov z peňaženky, vyplniť všetky potrebné polia, ale nemôžete dokončiť proces, pretože SMS neprichádza, je každému známa. Najčastejšie sa to deje v roamingu. Ďalším variantom problému je mŕtvy telefón, v ktorom je aplikácia nainštalovaná. V oboch prípadoch, ak by neexistoval núdzový kód, používatelia by nemohli uskutočniť platobnú transakciu na Yandex Money. Šifry tohto typu sa líšia od QR a fungujú podobne ako bežné jednorazové znakové sady. Nech vykonáte akúkoľvek operáciu, pomôžu vám a umožnia vám ju dokončiť.

Pokyny na získanie núdzového kódu

Každý vie, ako urobiť štandardnú šifru alebo QR kód. Môžete si tiež jednoducho objednať núdzovú znakovú sadu. Jeho rozdiel je len v prvotných dôvodoch požiadavky, ktoré súvisia s tým, že používateľ si nemôže vybrať čiastku z dôvodu nemožnosti zadať požadované čísla v poslednom okne.

Ak sa ocitnete v podobnej situácii, algoritmus vašich akcií by mal byť nasledujúci:

1. Vyhľadajte odkaz „Získať núdzový kód“.
2. Zadajte heslo (jednorazové).
3. Vytlačte si hárok s kódom.

Pozor: aj keď je na počítači nainštalovaný moderný systém ochrany pred vírusmi a prienikmi neoprávnených osôb, v žiadnom prípade neukladajte kódy do jeho pamäte. Po vytlačení súbor ihneď vymažte.

Niektorí používatelia sú si istí, že výsledné šifry by sa mali používať v jasnom poradí. V skutočnosti si ich môžete vybrať podľa vlastného uváženia.

Stáva sa, že prijatá stránka je náhodne zatvorená alebo stratená. Je to v poriadku. Ako je uvedené vyššie, požiadajte o nové kódy. Ak sa náhle kódu so šiframi zmocnili neoprávnené osoby, v záujme ochrany peňazí si bezodkladne objednajte nové kódy. Keď to urobíte, staré znakové sady sa stanú neplatné a zbytočné. Bezpečnostná služba Yandex Money robí všetko pre ochranu finančných prostriedkov zákazníkov. Úlohou tej druhej je byť ostražitá a pomáhať jej pri realizácii tejto neľahkej úlohy.

Nie je možné stretnúť na internete človeka, ktorý by o QR kódoch aspoň kútikom ucha nepočul. S rastúcou popularitou siete v posledných desaťročiach sa od používateľov vyžaduje prenos údajov medzi sebou. rôzne cesty. QR kódy sú práve tým „podomným obchodníkom“ s informáciami, ktoré tam používateľ zašifroval. Otázka je však iná – ako takéto kódy rozlúštiť a získať, čo v nich je?

Predtým musel používateľ hľadať špeciálne aplikácie ktoré pomáhajú rozlúštiť QR kód, nie je teraz potrebné nič okrem internetového pripojenia. Nižšie sa pozrieme na 3 spôsoby skenovania a dekódovania QR kódov online.

Metóda 1: IMGonline

Táto stránka je jeden veľký zdroj, ktorý má všetko pre interakciu s obrázkami: spracovanie, zmenu veľkosti atď. A, samozrejme, je tu obrazový procesor s QR kódmi, ktorý nás zaujíma, čo nám umožňuje meniť obrázok na rozpoznanie podľa ľubovôle.

Ak chcete naskenovať požadovaný obrázok, postupujte podľa týchto krokov:

Metóda 2: Dekódujte to!

Na rozdiel od predchádzajúcej stránky je táto úplne založená na pomoci používateľom na webe dešifrovať obrovské množstvo údajov, od znakov ASCII až po súbory MD5. Má pomerne minimalistický dizajn, ktorý vám umožňuje používať ho s mobilné zariadenia, ale chýbajú mu ďalšie funkcie, ktoré by pomohli dekódovať QR kódy.

Ak chcete dešifrovať QR kód na tejto stránke, budete musieť urobiť nasledovné:

Metóda 3: Foxtools

Z hľadiska počtu funkcií a vlastností je online služba Foxtools veľmi podobná predchádzajúcej stránke, ale má aj svoje výhody. Napríklad, tento zdroj umožňuje čítať QR kódy z odkazov na obrázky, a preto nemá zmysel ich ukladať do počítača, čo je veľmi pohodlné.

Ak si chcete prečítať QR kód v tejto online službe, musíte urobiť nasledovné:

Vyššie uvedené online služby majú množstvo pozitívnych vlastností, ale majú aj nevýhody. Každá z metód je dobrá svojím vlastným spôsobom, ale je nepravdepodobné, že by sa mohli navzájom dopĺňať, iba ak používate stránky s rôzne zariadenia a na rôzne účely.

Vzácny príspevok na blogu Yandex a najmä príspevok týkajúci sa bezpečnosti sa zaobišiel bez zmienky o dvojfaktorovej autentifikácii. Dlho sme rozmýšľali, ako správne posilniť ochranu používateľských účtov a dokonca tak, aby ju mohli využívať bez všetkých nepríjemností, ktoré dnes najbežnejšie implementácie zahŕňajú. A, bohužiaľ, sú nepríjemné. Podľa niektorých údajov na mnohých veľkých stránkach podiel používateľov, ktorí zahrnuli dodatočné finančné prostriedky autentifikácia nepresahuje 0,1 %.

Zdá sa, že je to spôsobené tým, že bežná dvojfaktorová autentifikačná schéma je príliš komplikovaná a nepohodlná. Snažili sme sa vymyslieť spôsob, ktorý by bol pohodlnejší bez straty úrovne ochrany a dnes predstavujeme jeho beta verziu.

Dúfame, že sa to rozšíri. Z našej strany sme pripravení pracovať na jej vylepšení a následnej štandardizácii.

Po povolení dvojfaktorovej autentifikácie v službe Passport si budete musieť nainštalovať aplikáciu Yandex.Key v obchode App Store alebo Google Play. V autorizačnom formulári domovskej stránke Yandex, QR kódy sa objavili v Mail a Passport. Vstúpiť účtu musíte si cez aplikáciu prečítať QR kód – a je to. Ak sa QR kód nedá prečítať, napríklad nefunguje kamera smartfónu alebo nie je prístup na internet, aplikácia vytvorí jednorazové heslo, ktoré bude platné len 30 sekúnd.

Poviem vám, prečo sme sa rozhodli nepoužiť také „štandardné“ mechanizmy ako RFC 6238 alebo RFC 4226. Ako fungujú bežné schémy dvojfaktorovej autentifikácie? Sú dvojstupňové. Prvou fázou je zvyčajná autentifikácia pomocou používateľského mena a hesla. Ak bola úspešná, stránka skontroluje, či sa jej táto používateľská relácia „páči“ alebo nie. A ak sa vám „nepáči“, požiada používateľa o „opätovné overenie“. Existujú dva bežné spôsoby „overenia totožnosti“: odoslanie SMS na telefónne číslo priradené k účtu a vygenerovanie druhého hesla na smartfóne. Na vygenerovanie druhého hesla sa v podstate používa TOTP podľa RFC 6238. Ak používateľ zadal druhé heslo správne, relácia sa považuje za plne autentifikovanú a ak nie, relácia stratí aj „predbežnú“ autentifikáciu.

Oba spôsoby sú odosielanie SMS a generovanie hesla sú dôkazom vlastníctva telefónu, a preto sú faktorom dostupnosti. Heslo zadané v prvej fáze je faktorom znalostí. Preto je táto schéma autentifikácie nielen dvojstupňová, ale aj dvojfaktorová.

Čo sme v tejto schéme považovali za problematické?

Začnime tým, že počítač priemerného používateľa nemožno vždy nazvať modelom zabezpečenia: tu je vypnutie Aktualizácie systému Windows a pirátska kópia antivírusu bez moderných podpisov a softvér pochybného pôvodu ─ to všetko nezvyšuje úroveň ochrany. Podľa nášho hodnotenia je kompromitácia počítača používateľa najrozšírenejším spôsobom „vykrádania“ účtov (a nedávno sa to potvrdilo aj my) a chceme sa pred ním v prvom rade chrániť. V prípade dvojstupňovej autentifikácie, za predpokladu, že je počítač používateľa napadnutý, zadanie hesla na ňom ohrozí samotné heslo, čo je prvý faktor. To znamená, že útočníkovi stačí vybrať druhý faktor. V prípade bežných implementácií RFC 6238 je druhým faktorom 6 desatinných číslic (a maximum špecifikácie je 8 číslic). Podľa bruteforce kalkulačky pre OTP je útočník za tri dni schopný zachytiť druhý faktor, ak sa nejakým spôsobom dozvedel o prvom. Nie je jasné, čím môže služba čeliť tomuto útoku bez toho, aby narušila bežnú používateľskú skúsenosť. Jediným možným dôkazom o práci je captcha, čo je podľa nás až posledná možnosť.

Druhým problémom je neprehľadnosť úsudku služby o kvalite používateľskej relácie a rozhodnutie o potrebe „up-autentizácie“. Horšie ako to, služba nemá záujem o to, aby bol tento proces transparentný, ─ veď tu v skutočnosti funguje zabezpečenie nejasnosťou. Ak útočník vie, podľa čoho služba rozhoduje o oprávnenosti relácie, môže sa pokúsiť tieto údaje sfalšovať. Zo všeobecných úvah môžeme usúdiť, že úsudok sa robí na základe histórie autentifikácie používateľa s prihliadnutím na IP adresu (a z nej odvodené číslo). autonómny systém, ktorý identifikuje poskytovateľa, a polohu na základe geobáze) a údaje prehliadača, ako je napríklad názov Používateľský agent a súbor cookies, flash lso a html lokálne úložisko. To znamená, že ak útočník ovláda počítač používateľa, tak má možnosť nielen ukradnúť všetky potrebné dáta, ale aj využiť IP adresu obete. Navyše, ak je rozhodnutie prijaté na základe ASN, potom akákoľvek autentifikácia z verejnej Wi-Fi v kaviarni môže viesť k „otrave“ z hľadiska bezpečnosti (a vybielenia z hľadiska služieb) poskytovateľa tejto kaviarne a , napríklad vybielenie všetkých kaviarní v meste. Hovorili sme o fungovaní systému detekcie anomálií a možno ho použiť, ale čas medzi prvou a druhou fázou autentifikácie nemusí stačiť na spoľahlivé posúdenie anomálie. Okrem toho tento istý argument podkopáva myšlienku „dôveryhodných“ počítačov: útočník môže ukradnúť akékoľvek informácie, ktoré ovplyvňujú posúdenie dôvery.

Napokon, dvojstupňové overenie je jednoducho nepohodlné: naše štúdie použiteľnosti ukazujú, že nič nedráždi používateľov viac ako prechodná obrazovka, stlačenie tlačidla navyše a iné „nedôležité“ akcie z jeho pohľadu.
Na základe toho sme sa rozhodli, že autentifikácia by mala byť jednokroková a priestor pre heslá by mal byť oveľa väčší, ako je možné v rámci „čistého“ RFC 6238.
Zároveň sme chceli zachovať dvojfaktorovú autentifikáciu.

Multifaktoriálnosť v autentifikácii je určená priradením autentifikačných prvkov (v skutočnosti sa nazývajú faktory) do jednej z troch kategórií:

1. Faktory znalostí (sú to tradičné heslá, PIN kódy a všetko, čo sa im podobá);
2. Faktory vlastníctva (v použitých schémach OTP je to zvyčajne smartfón, ale môže to byť aj hardvérový token);
3. Biometrické faktory (odtlačok prsta ─ teraz najbežnejší, hoci niekto si spomenie na epizódu s hrdinom Wesleyho Snipesa vo filme Demolition Man).

Vývoj nášho systému

Keď sme sa začali zaoberať problémom dvojfaktorovej autentifikácie (prvé stránky firemnej wiki o tejto problematike pochádzajú z roku 2012, ale v zákulisí sa o tom diskutovalo už predtým), prvou myšlienkou bolo vziať štandardnými spôsobmi autentifikáciu a aplikujte ich u nás. Pochopili sme, že nemôžeme rátať s tým, že si hardvérový token zakúpia milióny našich používateľov, a tak bola táto možnosť pre niektoré exotické prípady odložená (aj keď ju úplne neopúšťame, možno sa nám podarí vymyslieť niečo zaujímavé). Metóda SMS nemohla byť tiež sériovo vyrábaná: je to veľmi nespoľahlivý spôsob doručovania (v najkritickejšom momente sa SMS môže oneskoriť alebo vôbec nedoraziť) a odosielanie SMS stojí peniaze (a operátori ich cenu začali zvyšovať). Rozhodli sme sa, že používanie SMS je údelom bánk a iných netechnologických spoločností a chceme našim používateľom ponúknuť niečo pohodlnejšie. Vo všeobecnosti bol výber malý: použiť smartfón a program v ňom ako druhý faktor.

Táto forma jednostupňovej autentifikácie je rozšírená: používateľ si pamätá PIN kód (prvý faktor), má hardvérový alebo softvérový token (na smartfóne), ktorý generuje OTP (druhý faktor). Do poľa na zadanie hesla zadá PIN kód a aktuálnu hodnotu OTP.

Podľa nášho názoru hlavná nevýhoda Táto schéma je rovnaká ako pri dvojkrokovej autentifikácii: ak predpokladáme, že je ohrozená pracovná plocha používateľa, potom jediné zadanie PIN kódu vedie k jeho odhaleniu a útočník si môže vybrať iba druhý faktor.

Rozhodli sme sa ísť inou cestou: heslo je celé generované z tajomstva, ale iba časť tajomstva je uložená v smartfóne a časť zadáva používateľ pri každom vygenerovaní hesla. Samotný smartfón je teda faktorom vlastníctva, pričom heslo zostáva v hlave používateľa a je faktorom poznania.

Nonce môže byť buď počítadlo alebo aktuálny čas. Rozhodli sme sa zvoliť aktuálny čas, čo nám umožňuje nebáť sa desynchronizácie v prípade, že niekto vygeneruje priveľa hesiel a zvýši počítadlo.

Máme teda program pre smartfón, kde používateľ zadá svoju časť tajničky, tá sa zmieša s uloženou časťou, výsledok sa použije ako kľúč HMAC, ktorý podpíše aktuálny čas, zaokrúhlený na 30 sekúnd. Výstup HMAC je vykreslený v čitateľnej forme a voila - tu je jednorazové heslo!

Ako už bolo spomenuté, RFC 4226 navrhuje skrátiť výsledok HMAC na maximálne 8 desatinných miest. Rozhodli sme sa, že heslo tejto veľkosti nie je vhodné na jednokrokové overenie a malo by sa zvýšiť. Zároveň sme chceli zachovať jednoduchosť používania (pretože, pamätajte, chceme vytvoriť systém, ktorý budú používať aj bežní ľudia, a nielen bezpečnostné maniačky), takže ako kompromis v aktuálna verzia systému sme zvolili skrátenie na 8 znakov latinskej abecedy. Zdá sa, že 26 ^ 8 hesiel platných 30 sekúnd je celkom prijateľné, no ak nám bezpečnostná rezerva nevyhovuje (alebo sa na Habrém objavia cenné rady, ako túto schému vylepšiť), rozšírime napríklad na 10 znakov.

Zistite viac o sile takýchto hesiel

Skutočne, pre latinské písmená, v ktorých sa nerozlišujú malé a veľké písmená, je počet možností na znak 26, pre veľké a malé latinské písmená plus čísla je počet možností 26+26+10=62. Potom log 62 (26 10) ≈ 7,9 t.j. heslo z 10 náhodných malých latinských písmen je takmer také silné ako heslo z 8 náhodných veľkých a malých latinských písmen alebo číslic. To určite stačí na 30 sekúnd. Ak hovoríme o 8-znakovom hesle z latinských písmen, jeho sila je log 62 (26 8) ≈ 6,3, teda o niečo viac ako 6-znakové heslo z veľkých, malých písmen a číslic. Myslíme si, že toto je stále prijateľné pre 30-sekundové okno.

Mágia, bez hesla, aplikácie a ďalšie kroky

Vo všeobecnosti by sme sa tam mohli zastaviť, ale chceli sme, aby bol systém ešte pohodlnejší. Keď má človek v ruke smartfón, nechce zadávať heslo z klávesnice!

Preto sme začali pracovať na „magickom prihlásení“. Pri tejto metóde autentifikácie používateľ spustí aplikáciu na smartfóne, zadá do nej svoj PIN kód a naskenuje QR kód na obrazovke svojho počítača. Ak je PIN kód zadaný správne, stránka v prehliadači sa znova načíta a používateľ je overený. Kúzlo!

Ako to funguje?

Číslo relácie je všité do QR kódu a keď ho aplikácia naskenuje, toto číslo sa odošle na server spolu s heslom a užívateľským menom vygenerovaným obvyklým spôsobom. Nie je to ťažké, pretože smartfón je takmer vždy online. V rozložení stránky zobrazujúcej QR kód je spustený JavaScript, ktorý čaká na odpoveď zo servera na kontrolu hesla s touto reláciou. Ak server odpovie, že heslo je správne, s odpoveďou sa nastaví súbor cookie relácie a používateľ sa považuje za overeného.

Zlepšilo sa to, ale tu sme sa rozhodli neprestať. Počnúc iPhone 5S v telefónoch a Tablety Apple Objavil sa snímač odtlačkov prstov TouchID a v verzie pre iOS 8 práce s ním je k dispozícii a aplikácie tretích strán. V skutočnosti aplikácia nezíska prístup k odtlačku prsta, ale ak je odtlačok správny, potom bude pre aplikáciu dostupná ďalšia sekcia Keychain. Toto sme využili. Druhá časť tajomstva je umiestnená v položke Keychain chránenej TouchID, tej, ktorú používateľ zadal z klávesnice v predchádzajúcom scenári. Pri odomykaní Keychain sa obe časti tajomstva zmiešajú a potom proces funguje tak, ako je popísané vyššie.

Pre používateľa sa to však stalo neuveriteľne pohodlným: otvorí aplikáciu, priloží prst, naskenuje QR kód na obrazovke a overí sa v prehliadači na počítači! Faktor znalostí sme teda nahradili biometrickým a z pohľadu používateľa úplne opustili heslá. Sme si istí, že takáto schéma sa bežným ľuďom bude zdať oveľa pohodlnejšia ako manuálne zadávanie dve heslá.

Je diskutabilné, ako technicky je dvojfaktorová autentifikácia, ale v skutočnosti stále musíte mať telefón a mať platný odtlačok prsta, aby ste ho úspešne odovzdali, takže si myslíme, že sme sa celkom dobre zbavili faktora znalostí a nahradili ho s biometriou. Chápeme, že sa spoliehame na bezpečnosť ARM TrustZone, ktorá je základom iOS Secure Enclave a veríme, že tento moment tento subsystém možno v rámci nášho modelu hrozieb považovať za dôveryhodný. Samozrejme, že sme si vedomí problémov biometrickej autentifikácie: odtlačok prsta nie je heslo a v prípade ohrozenia ho nemožno nahradiť. Ale na druhej strane každý vie, že bezpečnosť je nepriamo úmerná pohodliu a samotný používateľ má právo zvoliť si pomer jedného a druhého, ktorý je pre neho prijateľný.

Dovoľte mi pripomenúť, že toto je stále beta. Teraz, keď povolíte dvojfaktorové overenie, dočasne zakážeme synchronizáciu hesiel v prehliadači Yandex. Je to spôsobené tým, ako je usporiadané šifrovanie databázy hesiel. Už teraz prichádzame s pohodlným spôsobom autentifikácie Prehliadača v prípade 2FA. Všetky ostatné funkcie Yandex fungujú ako predtým.

Tu je to, čo máme. Vyzerá to tak, že to dopadlo dobre, ale posúďte sami. Radi si vypočujeme spätnú väzbu a odporúčania a sami budeme naďalej pracovať na zlepšovaní bezpečnosti našich služieb: odteraz máme spolu s CSP, šifrovaním prepravy pošty a všetkým ostatným aj dvojfaktorovú autentifikáciu. Majte na pamäti, že autentifikačné služby a aplikácie na generovanie OTP sú kritické, a preto za chyby, ktoré sa v nich nájdu, sa v rámci programu Bug Bounty vypláca dvojitá odmena.

Štítky: Pridajte štítky