Yandex anahtarı nedir. Yandex.money uygulaması aracılığıyla QR kodu ile nasıl ödeme yapılır

Yandex.Anahtar, Yandex, Facebook, Google, GitHub, Dropbox, VKontakte ve iki faktörlü kimlik doğrulamayı (2FA) destekleyen diğer hizmetlere daha güvenli giriş sağlamak için tek seferlik şifreler (OTP) oluşturur. Yandex servislerine giriş yapmak için, sadece Anahtar tarafından, diğerleri için oluşturulan bir kerelik bir şifreye ihtiyacınız vardır - bir kerelik şifre ve her zamanki şifreniz. - Birkaç sayı veya parmak izi Yandex girişinizi güvenli bir şekilde korumak için karmaşık şifreler oluşturmanıza gerek yok. 4 ila 16 haneyi hatırlamak yeterlidir - Yandex.Anahtar bunları size bir dakikadan daha kısa bir süre için geçerli benzersiz bir tek seferlik şifre vermek için kullanır. PIN kodu girmek istemiyorsanız, ayarlarda Dokunmatik Kimlik Anahtarını etkinleştirin ve bir parmak izi kullanın. - Veri koruması Yandex.Anahtar ayrıca hesabınızı korsanlığa ve kişisel bilgilerin çalınmasına karşı korur: mobil cihazınızda yalnızca bir defalık şifreler alırsınız. - Basit bağlantı Uygulamaya manuel olarak - bağlandığınız hizmetin sitesinden verileri tekrar yazarak veya otomatik olarak - QR kodunu oradan okuyarak hesap ekleyebilirsiniz. - Çevrimdışı çalışın Uygulamaya hesap eklemek ve tek kullanımlık şifreler oluşturmak için Yandex.Anahtar'ın internete ihtiyacı yoktur. Şifre almak için SMS'e bile ihtiyacınız yok. - Ek özellikler Anahtar, hizmetin gereksinimlerine bağlı olarak altı basamaklı ve sekiz basamaklı şifreler oluşturabilir. Ayrıca Anahtar, yalnızca 30 saniye değil (bu, kullanılan hizmete bağlıdır) tek seferlik parolaların güncellenmesi için farklı süreler destekler. - Güvenlik standartları Yandex.Anahtar, RFC-6238 ve RFC-4226 güvenlik standartlarını destekleyen tüm hizmetlerde (yalnızca SMS ile çalışanlar hariç) iki faktörlü (veya iki adımlı) kimlik doğrulamaya uygundur. - Yedekleme Cihaza bir şey olması durumunda, Yandex sunucusunda Anahtar verilerinin yedek bir kopyasını oluşturabilirsiniz. Güvenlidir: her kopya yalnızca sahibi tarafından bilinen bir parolayla şifrelenir. Yardım sayfasında daha fazlasını okuyun - https://ya.cc/2fa

Ekran görüntüleri

incelemeler

  • Harika uygulama

    5s'den beri uzun zamandır kullanıyorum. Şimdi X'lerde herhangi bir sorun görmüyorum. Adaptasyon eksikliği hakkındaki yorumları anlamıyorum. eskiden yeni telefon ayrıca iyi tolere edilir.

  • Düzenli seviye güncellemeleri

    Birçok kişinin yazdığı gibi: 2019'un yarısından fazlası geçti ve hala X, XS, XR için bir uyarlama yok. Ve çocuklar güncellemek için acele etmiyorlar, neden? Alternatif yok, yine de olanı kullanmak zorundasın. Ancak FaceID desteğinin olmaması, elbette, kullanıcılar için vahşi bir ihmaldir. Yalnızca "bir gün bir güncelleme planlanıyor, ancak ne zaman olduğunu bilmiyoruz" abonelikten çıkıyor. İyi işlevsellik, korkunç hizmet

  • İyi işlevsellik, korkunç UI/UX

    Bu atlıkarınca hesaplarla bile kim geldi... Simge olmadığında, iki hesap ayırt edilemez ve ileri geri dönmek uygunsuz bir şekilde ürkütücüdür.

  • CHSV ölçeğin dışına çıkıyor

    Yuyuygyffhdsgbfddes tarafından

    Belki bir gün Yandex, hesaplarına 2FA koyan kişilerin, verilerinin güvenliği konusunda oldukça endişeli kişiler olduğunu ve sadece telefon numaralarını alıp vermeye hazır olmadıklarını anlamalıdır. Uygulamanın kendisinin üçüncü taraf hizmetler için kullanılabilmesine rağmen (ayrıntılı açıklama için Yandex'e teşekkür ederiz), Yandex için kullanımının uygun olmaması ironiktir.

  • Çalışmıyor

    wrghbqjwjqjqnqtktqjtj tarafından

  • iPhone X

    iPhone X için neden uyarlama yok ??

  • Çalışmıyor

    Çalışmıyor! Verilen şifreyi giriyorum ama site kabul etmiyor! 200 defa girdim boşuna. İki faktörlü kimlik doğrulamayı nasıl yapacağınızı bilmiyorsanız, zahmet etmeyin!

  • Altta

    Uygulama 2 yıldır güncellenmedi. Onu dövdüler. Yüz kimliği yok. Çentikli ekranlar için optimize edilmemiştir. Arayüz değişmiyor. Kısacası, Yandex puan aldı.

  • Faydasız

    Uygulama ayrı çalışır, Yandex para uygulaması ayrı çalışır. Bu uygulamayla birlikte Yandex Money çalışmıyor: ne PIN koduyla (doğru girildi), ne de parmak iziyle. Zaman senkronize edildi - sonuç düzelmedi. İşe yaramaz olarak yıkıldı.

  • Fena değil

    Gordon Krants tarafından

    İyi bir uygulama, ancak yatay düzendeki düzen son derece uygunsuz: (Hizmetleri içeren dikey bir sütun ve gelecekteki güncellemelerde her biri için bir simge seçme yeteneği görmek istiyorum, aksi takdirde arama yapmak zor istenen kod bir hizmette birden fazla hesabınız olduğunda

  • QR kodu okunmuyor

    Amir Gatin tarafından

    iPhone 6'ya kod yüklenemedi. Okunmuyor!

  • Çalışmıyor!!!

    QR kodu veya tek kullanımlık şifre ile giriş yapılamıyor! Bu bir yazar!!!

  • üretmez

    Yanlış bir kerelik şifre! Cihazdaki zamanı sürekli değiştirmedi

  • Kullanımı uygun değil

    Acayip rahatsız...

  • Hesap

    Merhaba, pek uygun bir durum yaşamadım... Telefonumu değiştirdim ve yedekleme yapmadım ve sonunda uygulamada bulunan tüm erişim kodlarını kaybettim, her şeyi geri yüklemek için çok zaman harcadım. .. peki, bahsettiğim şey bu) bir hesap oluşturabilmeniz ve her şeyin otomatik olarak kaydedilebilmesi için yapın ... çünkü telefonunuzu sürmek için bir yedek kopya oluşturmak için yeni bir şifre ekledikten sonra çok elverişsizdir, vb. ... ...

  • Neden senin?

    79522370021784380H'den itibaren

    Authy varken neden başka bir uygulama icat ettin? PC'de varsayılan olarak ~ 4 başlatıcı ayarlamanın gerekli olması beni rahatsız ediyor, bu nedenle telefonda da 2fa için ~ 4 yazılımı. Anahtar 6 haneli olmasa bile uygun değildir, ancak 2fa 2fa'dır ve şifresiz bir giriş değildir. 6-8 sayı girmek, bir dizi harf girmekten daha kolay

  • Hesaba giriş yapılamadı

    Yardımcı teknik destek

  • yüz kimliği? hayır duymadım

    Face ID desteği yok. Uygulama sanki dördüncü iPhone için yapılmış gibi esnetiliyor. Yandex, gerçekten sen misin?

  • Simgeler

    Başka bir kullanıcı adından sc

    Farklı hizmetler için akut bir simge sıkıntısı hissediyorum. En popülerleri için ikonlar yaptınız ama ne yazık ki uygulama diğer pek çok hizmetten haberdar değil. Örneğin, mega, anlaşmazlık, EA menşei, Ubisoft Uplay ve yarasadan hatırladığım buydu.

  • İğrenç

    Neden bu uygulamayı zorunlu kılıyorsunuz ve buna bağlı kalmıyorsunuz? iphone x ve üstü için destek nerede? Uygulama ekranın yarısına açılıyor... Bu sebeple Yandex'den ayrılalı 2 yıl oldu. Normal bir şirket olduğunu düşündüm, ama gerçekte mutfak doluydu.

  • Destek sona erdi

    Lütfen yeni cihazlar için güncelleyin

  • o yüzden beklemedim

    Uygulama yeni cihazlar için güncellenmedi.

  • adaptasyon

    şanstan5

    Lütfen uygulamayı XR için uyarlayın

  • yanlış çalışma

    Castor888'den

    Uygulamayı ve iki faktörlü kimlik doğrulamayı kurduktan sonra pin kodunu girerken pin kodunun yanlış olduğu hatası veriyor.

  • Yenile

    NIKOLA'dan

    Her anlamda bu kadar havalı ve gelişmiş bir uygulama yapıp sonra alıp vazgeçmek nasıl mümkün oldu anlamıyorum. Hala iPhone X için uyarlama yok! Bu kadar önemli bir uygulamayı 2 yıl güncelleme olmadan nasıl saklayabilirsiniz?

  • Güncellemeleri beklemeyin

    Bir yıldır güncelleme yok.. iPhone XR, XS desteği yok Touch ID desteği yok.. Güncellemenin ne zaman olacağını söyleyemiyorlar.. Yandex 🤦‍♂️

  • Korkunç

    JinMariachi tarafından

    Android'de kurdum, her şey yolunda, iPhone'da yapmaya çalışıyorum, çalışmıyor, android'de tekrar oturum açın, ayrıca çalışmayı durdurdu! Geri yüklemeye çalışıyorum, her şeyi girdim, telefondan kodu girdim, hayır yine de yeterli değil ve daha sık çalıştığınız tarayıcıyı kullanın.. yine de parmak izi verebilir misiniz? Çok fazla saçmalık, sadece lanet olası Yandex müziğine giriş yapmak için bir şey. Cidden, erişimi geri yüklemeye çalışmaktan her seferinde yeni hesaplar oluşturmak daha kolaydır. Doğru yapamıyorsan, yapma.

  • Sonunda güncelle

    iPhone X'te iğrenç görünüyor.

  • ergonomiyi beğenmedim

    Habre hakkındaki makalenizi okudum. Aferin. Sadece neden böyle bir zihin ve yaklaşımla bu kadar kabus gibi bir arayüz ve onunla bağlantılı her şey. Baskın teknik becerilere sahip kişiler tarafından tasarlanmıştır. 8 kayın bir arada - yine aynı seriden. Geliştiriciler/tasarımcılar kendileri bu 2fa'yı hiç kullandılar mı? Tabii ki, 2x3'ü hatırlamak daha kolaydır. Ve 8 karakter bir arada - sadece teneke.

  • -

    AndiZhdanov tarafından

    İğrenç çalışıyor, bir şeyler yap

  • Korku!! Bir sürü anahtar bağlıydı. YEDEKLEME yapıldı.

    Ve telefonu değiştirdikten sonra, yedekten geri yükleyip yazıyorum, hiçbir şey yok !! Bu nasıl? İğrenç!!

  • teşekkürler

    Harika bir uygulama, ancak hesap listesinin görünümünü değiştirebilmek istedim. Gerçekten birçoğu olduğunda, mevcut görünüm uygun değildir. Lütfen bir liste yapın!!

  • Mut

    Anton Grigoriev'den

    Zor, özellikle telefonu değiştirmek. Uyarlanmamış zemin modern ekranlar.

  • Güncelleme gerekiyor!

    Bazen başlangıçta çöküyor. Lütfen destek için uygulamayı güncelleyin En son sürüm iOS ve karanlık tema!!

  • Süper uygulama!

    George Efron'dan

    Google uygulamasından çok daha kullanışlı, ancak eksikliği nedeniyle 4 yıldız iPhone desteği XS Maks.

Dikkat. Yandex'de geliştirilen uygulamalar bir kerelik şifre gerektirir - doğru oluşturulmuş uygulama şifreleri bile çalışmaz.

  1. QR kodu ile giriş yapın
  2. Yandex.Anahtar Transferi
  3. Ana şifre
  4. Tek seferlik şifreler tam zamana nasıl bağlıdır?

Bir Yandex hizmetine veya uygulamasına giriş yapın

Herhangi bir Yandex yetkilendirme formuna veya Yandex tarafından geliştirilen uygulamalara tek kullanımlık şifre girebilirsiniz.

Not.

Tek kullanımlık şifre uygulamada görüntülenirken zamanında girilmelidir. Güncellemeden önce çok az zaman kaldıysa, yeni şifreyi bekleyin.

Tek kullanımlık şifre almak için Yandex.Anahtar'ı çalıştırın ve iki faktörlü kimlik doğrulamayı ayarlarken belirlediğiniz pin kodunu girin. Uygulama her 30 saniyede bir şifre oluşturmaya başlayacaktır.

Yandex.Anahtar, girdiğiniz PIN'i kontrol etmez ve PIN'inizi yanlış girseniz bile tek kullanımlık şifreler oluşturur. Bu durumda oluşturulan şifreler de hatalı çıkıyor ve bu şifrelerle giriş yapamıyorsunuz. Doğru pin kodunu girmek için uygulamadan çıkmanız ve yeniden başlatmanız yeterlidir.

QR kodu ile giriş yapın

Bazı hizmetler (örneğin, Yandex ana sayfası, Pasaport ve Posta), kamerayı QR koduna doğrultarak Yandex'e giriş yapmanızı sağlar. Aynı zamanda, Yandex.Anahtar'ın yetkilendirme sunucusuyla iletişim kurabilmesi için mobil cihazınızın internete bağlı olması gerekir.

    Tarayıcıdaki QR kodu simgesine tıklayın.

    Giriş formunda böyle bir simge yoksa, o zaman bu servis Sadece şifre ile giriş yapabilirsiniz. Bu durumda Pasaporttaki QR kodu kullanarak giriş yapabilir ve ardından istediğiniz hizmete gidebilirsiniz.

    Pin kodunu Yandex.Anahtar'a girin ve QR kodunu kullanarak giriş yap'a tıklayın.

    Cihazınızın kamerasını tarayıcıda görüntülenen QR koduna doğrultun.

Yandex.Anahtar QR kodunu tanır ve kullanıcı adınızı ve tek kullanımlık şifrenizi Yandex.Pasaport'a gönderir. Testi geçerlerse, tarayıcınıza otomatik olarak giriş yapacaksınız. Aktarılan şifrenin yanlış olduğu ortaya çıkarsa (örneğin, Yandex.Anahtar'da PIN'inizi yanlış girdiğiniz için), tarayıcı yanlış şifre hakkında standart bir mesaj görüntüler.

Üçüncü taraf bir uygulama veya web sitesinde Yandex hesabıyla oturum açma

Yandex verilerinize erişmesi gereken uygulamalar veya siteler bazen hesabınızda oturum açmak için bir şifre girmenizi gerektirir. Bu gibi durumlarda tek kullanımlık şifreler çalışmayacaktır - bu tür her uygulama için ayrı bir uygulama şifresi oluşturulmalıdır.

Dikkat. Yandex uygulama ve hizmetlerinde yalnızca bir kerelik şifreler çalışır. Örneğin Yandex.Disk için bir uygulama şifresi oluştursanız bile, onunla giriş yapamazsınız.

Yandex.Anahtar Transferi

Bir kerelik şifre oluşturma işlemini başka bir cihaza aktarabilir veya aynı anda birkaç cihazda Yandex.Anahtar kurabilirsiniz. Bunu yapmak için Erişim kontrol sayfasını açın ve düğmesine tıklayın. Cihaz değiştirme.

Yandex.Anahtar'da birkaç hesap

Aynı Yandex.Anahtar, tek seferlik şifrelerle birden fazla hesap için kullanılabilir. Uygulamaya başka bir hesap eklemek için 3. adımda tek seferlik şifreler ayarlarken uygulamadaki simgeye dokunun. Ayrıca, bu tür iki faktörlü kimlik doğrulamayı destekleyen diğer hizmetler için Yandex.Anahtar'a şifre oluşturma ekleyebilirsiniz. Çoğu için talimatlar popüler hizmetler Yandex için olmayan doğrulama kodlarının oluşturulmasıyla ilgili sayfada verilmiştir.

Bir hesabın Yandex.Anahtar ile bağlantısını kaldırmak için, uygulamadaki ilgili portreye sağında bir çarpı işareti görünene kadar dokunun ve basılı tutun. Çapraza tıkladığınızda hesabınızın Yandex.Anahtar bağlantısı kaldırılacaktır.

Dikkat. Tek kullanımlık şifrelerin etkin olduğu bir hesabı silerseniz, Yandex'e giriş yapmak için tek kullanımlık şifre alamazsınız. Bu durumda, erişimi geri yüklemek gerekli olacaktır.

PIN yerine parmak izi

Aşağıdaki cihazlarda pin kodu yerine parmak izi kullanılabilir:

Not.

iOS akıllı telefonlarda ve tabletlerde, cihaz şifresi girilerek parmak izi atlanabilir. Buna karşı korunmak için ana parolayı açın veya parolayı daha karmaşık bir parolayla değiştirin: Ayarlar uygulamasını açın ve Dokunmatik Kimlik ve parola öğesini seçin.

Parmak izi doğrulamasını etkinleştir özelliğini kullanmak için:

Ana şifre

Tek kullanımlık parolalarınızı daha fazla korumak için bir ana parola oluşturun: → Ana parola .

Ana parola ile şunları yapabilirsiniz:

    parmak izi yerine cihaz kilit kodunu değil, yalnızca Yandex.Anahtar ana şifresini girebildiğinizden emin olun;

Yandex.Anahtar verilerinin yedek kopyası

Anahtar verilerinin yedek bir kopyasını Yandex sunucusunda oluşturabilirsiniz, böylece uygulama ile telefonunuzu veya tabletinizi kaybederseniz geri yükleyebilirsiniz. Kopyanın oluşturulduğu sırada Anahtar'a eklenen tüm hesapların verileri sunucuya kopyalanır. Birden fazla yedek kopya oluşturulamaz, belirli bir telefon numarası için sonraki her veri kopyası bir öncekinin yerini alır.

Bir yedekten veri almak için yapmanız gerekenler:

    oluştururken belirttiğiniz telefon numarasına erişim;

    yedeklemeyi şifrelemek için belirlediğiniz parolayı unutmayın.

Dikkat. Yedek kopya yalnızca tek seferlik parolalar oluşturmak için gereken oturum açma bilgilerini ve sırları içerir. Yandex'de tek kullanımlık şifreleri etkinleştirirken belirlediğiniz pin kodunun hatırlanması gerekir.

Yandex sunucusundan bir yedek kopyanın silinmesi henüz mümkün değildir. Oluşturulduktan sonra bir yıl içinde kullanmazsanız otomatik olarak silinecektir.

Yedek oluştur

    Bir öğe seçin Yedek oluştur uygulama ayarlarında.

    Yedeklemenin bağlanacağı telefon numarasını girin (örneğin, "71234567890" "380123456789") ve İleri'ye tıklayın.

    Yandex, girilen telefon numarasına bir onay kodu gönderecektir. Kodu aldıktan sonra uygulamaya girin.

    Verilerinizin yedeğini şifrelemek için bir parola oluşturun. Bu şifre kurtarılamaz, bu yüzden unutmadığınızdan veya kaybetmediğinizden emin olun.

    Şifrenizi iki kez girin ve Bitti düğmesini tıklayın. Yandex.Anahtar, yedeği şifreler, Yandex sunucusuna gönderir ve bu konuda sizi bilgilendirir.

Yandex Money acil durum kodunun SMS olmadan nasıl alınacağı sorusu, genellikle mücbir sebep olarak adlandırılan durumlarda kullanıcılar arasında ortaya çıkmaktadır. Düzenli olarak kullandığınız şifrenizi kaybettiyseniz, herhangi bir nedenle tek seferlik bir şifre ile SMS almıyorsanız, bir dizi kod karakterli bir plaka bulamıyorsanız, bunun için endişelenmeyin. Bu gibi durumlar için hizmet bir acil durum seçeneği sunmuştur. Yandex Money acil durum kodlarını talep edebilir ve ödeme işlemini tamamlayabilirsiniz.

Tüm durumlar için Money.yandex.ru şifreleri

Hizmetin tüm kullanıcıları, olanaklarının para dolaşımıyla ilgili ne kadar geniş olduğunu bilmiyor. Yandex finansal hizmetlerini kullanmak için aşağıdaki şifre türleri sağlanır:

  • gelen SMS;
  • Uygulamalarla ilgili QR kodları;
  • Acil durumlarda kullanılan karakter setleri.

Daha ayrıntılı olarak ele alacağımız ikincisidir. Para transferini tamamlamak için SMS'de beklediğiniz normal numaralarla karıştırmayın. Cihazın kamerası tarafından taranabilen şu anda moda olan QR şifrelerinden biraz farklı bir özelliğe sahiptirler.

Acil durum kodları hakkında bilmeniz gerekenler

Peki, Yandex Money'deki acil durum kodları nelerdir, nasıl alınır ve neden gereklidir? Cüzdandaki paranın bir kısmını acilen çekmek istediğinizde, gerekli tüm alanları doldurduğunuzda ancak SMS gelmediği için işlemi tamamlayamadığınız durum herkese tanıdık geliyor. Çoğu zaman bu, dolaşımda olur. Sorunun başka bir çeşidi, uygulamanın kurulu olduğu ölü bir telefon. Her iki durumda da, acil durum kodu olmasaydı, kullanıcılar Yandex Money üzerinden ödeme işlemi yapamazlardı. şifreler bu türden QR'den farklıdır ve normal tek seferlik karakter kümelerine benzer şekilde hareket eder. Hangi işlemi yaparsanız yapın, size yardımcı olacaklar ve tamamlamanıza izin verecekler.

Acil durum kodu alma talimatları

Herkes standart bir şifrenin veya QR'nin nasıl geleceğini bilir. Ayrıca bir acil durum karakter seti sipariş edebilirsiniz. Farkı, son pencerede istenen sayıların girilememesi nedeniyle kullanıcının tutarı çekememesine bağlı olarak yalnızca talebin ilk nedenlerindedir.

Kendinizi benzer bir durumda bulursanız, eylemlerinizin algoritması aşağıdaki gibi olmalıdır:

  1. "Acil Durum Kodu Al" bağlantısını bulun.
  2. Bir parola girin (tek seferlik).
  3. Kod sayfasını yazdırın.

Dikkat: Bilgisayarda virüslere ve yetkisiz kişilerin izinsiz girişlerine karşı modern bir koruma sistemi kurulu olsa bile, kodları hiçbir durumda belleğine kaydetmeyin. Yazdırdıktan sonra dosyayı hemen silin.


Bazı kullanıcılar, elde edilen şifrelerin net bir sırayla kullanılması gerektiğinden emindir. Aslında, onları kendi takdirinize göre seçebilirsiniz.

Alınan sayfa yanlışlıkla kapatılır veya kaybolur. Önemli değil. Yukarıda açıklandığı gibi, yeni kodlar isteyin. Aniden şifreli bir kod parçası yetkisiz kişiler tarafından ele geçirilirse, parayı korumak için gecikmeden yeni kodlar sipariş edin. Bunu yaptığınızda eski karakter kümeleri geçersiz ve işe yaramaz hale gelecektir. Yandex Money güvenlik hizmeti, müşteri fonlarını korumak için her şeyi yapar. İkincisinin görevi, uyanık olmak ve bu zor görevi yerine getirmesine yardımcı olmaktır.

QR kodlarını duymamış bir insanla, en azından kulağının köşesinden internette tanışmak mümkün değil. Ağın son yıllarda artan popülaritesi ile kullanıcıların kendi aralarında veri aktarımı yapmaları gerekmiştir. Farklı yollar. QR kodları tam olarak kullanıcının orada şifrelediği bilgilerin "seyyar satıcısıdır". Ancak soru farklı - bu tür kodların şifresi nasıl çözülür ve içlerinde ne bulunur?

Daha önce, kullanıcının arama yapması gerekiyordu özel uygulamalar QR kodunu deşifre etmeye yardımcı olan, artık İnternet bağlantısı dışında hiçbir şeye gerek yok. Aşağıda QR kodlarını çevrimiçi taramanın ve kodunu çözmenin 3 yolunu inceleyeceğiz.

Yöntem 1: IMGonline

Bu site, görüntülerle etkileşim için her şeye sahip büyük bir kaynaktır: işleme, yeniden boyutlandırma vb. Ve elbette, bizi ilgilendiren, resmi istediğimiz gibi tanıma için değiştirmemize izin veren QR kodlu bir görüntü işlemcisi var.

İlgilenilen bir görüntüyü taramak için şu adımları izleyin:


Yöntem 2: Kodunu çözün!

Önceki siteden farklı olarak, bu site tamamen web'deki kullanıcıların ASCII karakterlerinden MD5 dosyalarına kadar çok çeşitli verilerin şifresini çözmelerine yardımcı olmaya dayanmaktadır. İle kullanmanıza izin veren oldukça minimalist bir tasarıma sahiptir. mobil cihazlar, ancak QR kodlarının kodunun çözülmesine yardımcı olacak başka özelliklerden yoksundur.

Bu sitedeki QR kodunun şifresini çözmek için aşağıdakileri yapmanız gerekir:


Yöntem 3: Foxtools

İşlev ve özellik sayısı açısından, Foxtools çevrimiçi hizmeti önceki siteye çok benzer, ancak kendi avantajları da vardır. Örneğin, bu kaynak bağlantılardan resimlere QR kodlarını okumanıza izin verir ve bu nedenle bunları bilgisayarınıza kaydetmenin bir anlamı yoktur, bu çok uygundur.

Bu çevrimiçi hizmette QR kodunu okumak için aşağıdakileri yapmanız gerekir:


Yukarıda sunulan çevrimiçi hizmetlerin bir takım olumlu özellikleri vardır, ancak dezavantajları da vardır. Yöntemlerin her biri kendi yolunda iyidir, ancak yalnızca siteleri kullanıyorsanız, birbirlerini tamamlamaları pek olası değildir. farklı cihazlar ve çeşitli amaçlar için.

Yandex blogunda nadir bulunan ve özellikle güvenlikle ilgili bir gönderi, iki faktörlü kimlik doğrulamadan bahsetmedi. Uzun zamandır, kullanıcı hesaplarının korunmasını nasıl düzgün bir şekilde güçlendireceğimizi ve hatta günümüzün en yaygın uygulamalarını içeren tüm rahatsızlıklar olmadan kullanabilmeleri için düşünüyoruz. Ve ne yazık ki, rahatsızlar. Bazı verilere göre, birçok büyük sitede siteye dahil olan kullanıcıların oranı ek fonlar kimlik doğrulaması %0,1'i geçmez.

Bunun nedeni, ortak iki faktörlü kimlik doğrulama şemasının çok karmaşık ve uygunsuz olması gibi görünüyor. Koruma seviyesini kaybetmeden daha kullanışlı bir yöntem bulmaya çalıştık ve bugün beta sürümünü sunuyoruz.

Daha da yaygınlaşmasını diliyoruz. Bizim açımızdan, iyileştirme ve müteakip standardizasyon üzerinde çalışmaya hazırız.

Passport'ta iki faktörlü kimlik doğrulamayı etkinleştirdikten sonra, App Store veya Google Play'de Yandex.Key uygulamasını yüklemeniz gerekecektir. Yetkilendirme formunda ana sayfa Yandex, QR kodları Posta ve Pasaportta göründü. Girmek hesap QR kodunu uygulama üzerinden okumanız gerekiyor - hepsi bu. QR kodu okunamıyorsa, örneğin akıllı telefonun kamerası çalışmıyorsa veya İnternet erişimi yoksa, uygulama sadece 30 saniye geçerli olacak bir kerelik bir şifre oluşturacaktır.

Size neden RFC 6238 veya RFC 4226 gibi "standart" mekanizmaları kullanmamaya karar verdiğimizi anlatacağım. Yaygın iki faktörlü kimlik doğrulama şemaları nasıl çalışır? Onlar iki aşamalıdır. İlk aşama, bir kullanıcı adı ve şifre ile olağan kimlik doğrulamadır. Başarılı olduysa, site bu kullanıcı oturumunu "beğenip beğenmediğini" kontrol eder. Ve "beğenmiyorsanız", kullanıcıdan "yeniden doğrulamasını" ister. "Do-kimlik doğrulama"nın iki yaygın yöntemi vardır: hesapla ilişkili telefon numarasına SMS göndermek ve akıllı telefonda ikinci bir şifre oluşturmak. Temel olarak, ikinci şifreyi oluşturmak için RFC 6238'e göre TOTP kullanılır.Kullanıcı ikinci şifreyi doğru girdiyse, oturum tamamen doğrulanmış olarak kabul edilir ve değilse, oturum ayrıca “ön” kimlik doğrulamasını kaybeder.

Her iki yöntem de SMS gönderme ve parola oluşturma, telefon sahipliğinin kanıtıdır ve bu nedenle kullanılabilirlik açısından bir faktördür. İlk aşamada girilen şifre bilgi faktörüdür. Bu nedenle, bu kimlik doğrulama şeması sadece iki aşamalı değil, aynı zamanda iki faktörlüdür.

Bu şemada neyi sorunlu bulduk?

Ortalama bir kullanıcının bilgisayarının her zaman bir güvenlik modeli olarak adlandırılamayacağı gerçeğiyle başlayalım: işte kapatma Windows güncellemeleri, ve modern imzalar olmadan antivirüsün korsan bir kopyası ve şüpheli kökenli yazılımlar ─ tüm bunlar koruma seviyesini artırmaz. Değerlendirmemize göre, bir kullanıcının bilgisayarını ele geçirmek, hesapları “ele geçirmenin” en yaygın yoludur (ve yakın zamanda bunun bir başka teyidi vardı) ve en başta kendimizi bundan korumak istiyoruz. İki adımlı kimlik doğrulama durumunda, kullanıcının bilgisayarının güvenliğinin ihlal edildiğini varsayarak, üzerine bir şifre girmek, ilk faktör olan şifrenin kendisini tehlikeye atar. Bu, saldırganın yalnızca ikinci faktörü seçmesi gerektiği anlamına gelir. Ortak RFC 6238 uygulamaları durumunda, ikinci faktör 6 ondalık basamaktır (ve belirtim maksimumu 8 basamaktır). OTP için kaba kuvvet hesaplayıcısına göre, üç gün içinde bir saldırgan, bir şekilde birincisinin farkına varırsa ikinci faktörü alabilir. Hizmetin normal kullanıcı deneyimini bozmadan bu saldırıya ne karşı koyabileceği belli değil. Çalışmanın tek olası kanıtı, bize göre son çare olan captcha'dır.

İkinci sorun, hizmetin kullanıcı oturumunun kalitesi hakkındaki yargısının ve "up-kimlik doğrulama" ihtiyacına ilişkin kararının opaklığıdır. Bundan daha kötü, hizmet bu süreci şeffaf hale getirmekle ilgilenmiyor, ─ sonuçta, belirsizlikten kaynaklanan güvenlik aslında burada çalışıyor. Saldırgan, hizmetin oturumun meşruluğuna ne karar verdiğini biliyorsa, bu verileri taklit etmeye çalışabilir. Genel değerlendirmelerden yola çıkarak, kararın, IP adresi (ve ondan türetilen sayılar) dikkate alınarak, kullanıcının kimlik doğrulama geçmişi temelinde yapıldığı sonucuna varabiliriz. otonom sistem sağlayıcıyı ve bir coğrafi tabanı temel alan bir konumu tanımlayan) ve başlık gibi tarayıcı verilerini Kullanıcı aracısı ve bir dizi tanımlama bilgisi, flash lso ve html yerel depolama. Bu, bir saldırgan kullanıcının bilgisayarını kontrol ederse, yalnızca gerekli tüm verileri çalma değil, aynı zamanda kurbanın IP adresini de kullanma fırsatına sahip olduğu anlamına gelir. Ayrıca, karar ASN temelinde verilirse, bir kafede halka açık Wi-Fi'den herhangi bir kimlik doğrulama, bu kafenin sağlayıcısının güvenlik açısından "zehirlenmesine" (ve hizmet açısından beyaz badanaya) yol açabilir ve örneğin şehirdeki tüm kahvehaneleri badanalamak. Anormallik tespit sisteminin işleyişinden bahsettik ve uygulanabilir, ancak kimlik doğrulamanın birinci ve ikinci aşamaları arasındaki süre anormallik hakkında kesin bir yargıya varmak için yeterli olmayabilir. Ek olarak, aynı argüman "güvenilir" bilgisayarlar fikrini de baltalar: bir saldırgan, güven kararını etkileyen herhangi bir bilgiyi çalabilir.

Son olarak, iki adımlı doğrulama basitçe elverişsizdir: Kullanılabilirlik çalışmalarımız, kullanıcıları onun bakış açısından bir ara ekran, fazladan düğmeye basmak ve diğer "önemsiz" eylemlerden daha fazla hiçbir şeyin rahatsız etmediğini göstermektedir.
Buna dayanarak, kimlik doğrulamanın tek adımlı olması ve parola alanının "saf" RFC 6238 altında mümkün olandan çok daha büyük olması gerektiğine karar verdik.
Aynı zamanda, mümkün olduğunca iki faktörlü kimlik doğrulamayı sürdürmek istedik.

Kimlik doğrulamada çok faktörlülük, kimlik doğrulama öğelerinin (aslında bunlara faktör olarak adlandırılır) üç kategoriden birine atanmasıyla belirlenir:

  1. Bilgi faktörleri (bunlar geleneksel şifreler, pin kodları ve bunlara benzeyen her şeydir);
  2. Sahiplik faktörleri (kullanılan OTP şemalarında bu genellikle bir akıllı telefondur, ancak bir donanım jetonu da olabilir);
  3. Biyometrik faktörler (parmak izi ─ şu anda en yaygın olanıdır, ancak birisi Demolition Man filminde Wesley Snipes kahramanı ile olan bölümü hatırlayacaktır).

Sistemimizin geliştirilmesi

İki faktörlü kimlik doğrulama sorunuyla ilgilenmeye başladığımızda (bu konudaki kurumsal wiki'nin ilk sayfaları 2012 yılına kadar uzanıyor, ancak daha önce perde arkasında tartışılmıştı), ilk fikir, standart yollar kimlik doğrulaması yapın ve bunları bizimle birlikte uygulayın. Milyonlarca kullanıcımızın bir donanım jetonu satın almasına güvenemeyeceğimizi anladık, bu nedenle bazı egzotik durumlar için bu seçenek ertelendi (tamamen terk etmememize rağmen, ilginç bir şey bulabiliriz). SMS yöntemi de seri üretilemez: Bu çok güvenilmez bir dağıtım yöntemidir (en kritik anda SMS gecikebilir veya hiç ulaşmayabilir) ve SMS gönderme maliyetlidir (ve operatörler fiyatlarını artırmaya başlamıştır). SMS kullanımının birçok banka ve teknoloji dışı şirket olduğuna karar verdik ve kullanıcılarımıza daha uygun bir şey sunmak istiyoruz. Genel olarak, seçim küçüktü: bir akıllı telefon ve içindeki programı ikinci bir faktör olarak kullanmak.

Bu tek adımlı kimlik doğrulama biçimi yaygındır: kullanıcı pin kodunu (birinci faktör) hatırlar, OTP (ikinci faktör) üreten bir donanım veya yazılıma (akıllı telefonda) sahip olur. Şifre giriş alanına pin kodunu ve mevcut OTP değerini girer.

Düşüncemize göre, ana dezavantaj Bu şema, iki aşamalı kimlik doğrulama ile aynıdır: kullanıcının masaüstünün güvenliğinin ihlal edildiğini varsayarsak, pin kodunun tek bir girişi ifşaya yol açar ve saldırgan yalnızca ikinci faktörü seçebilir.

Diğer yoldan gitmeye karar verdik: parola tamamen sırdan oluşturulur, ancak sırrın yalnızca bir kısmı akıllı telefonda saklanır ve parola her oluşturulduğunda kullanıcı tarafından girilir. Böylece, akıllı telefonun kendisi bir sahiplik faktörü iken, şifre kullanıcının kafasında kalır ve bir bilgi faktörüdür.

Nonce, bir sayaç veya geçerli saat olabilir. Geçerli saati seçmeye karar verdik, bu, birinin çok fazla parola oluşturması ve sayacı artırması durumunda senkronizasyondan korkmamamızı sağlıyor.

Bu nedenle, bir akıllı telefon için bir programımız var, burada kullanıcının sırrın kendi kısmına girdiği, saklanan kısımla karıştırıldığı, sonuç 30 saniyeye yuvarlanan mevcut zamanı işaretleyen HMAC anahtarı olarak kullanılıyor. HMAC çıktısı okunabilir biçimde işlenir ve işte - işte bir kerelik parola!

Daha önce belirtildiği gibi, RFC 4226, HMAC sonucunun maksimum 8 ondalık basamağa kesilmesini önerir. Bu boyutta bir parolanın tek adımlı kimlik doğrulama için uygun olmadığına ve artırılması gerektiğine karar verdik. Aynı zamanda, kullanım kolaylığını korumak istedik (çünkü unutmayın, sadece güvenlik meraklılarının değil, sıradan insanların da kullanacağı bir sistem yapmak istiyoruz), böylece bir uzlaşma olarak şimdiki versiyonu sisteminde, Latin alfabesinin 8 karakterine kesmeyi seçtik. Görünüşe göre 30 saniye geçerli 26 ^ 8 şifre oldukça kabul edilebilir, ancak güvenlik marjı bize uymuyorsa (veya Habré'de bu şemanın nasıl geliştirileceğine dair değerli ipuçları görünüyorsa), örneğin 10 karaktere genişleteceğiz.

Bu tür parolaların gücü hakkında daha fazla bilgi edinin

Nitekim büyük/küçük harfe duyarsız Latin harfleri için karakter başına seçenek sayısı 26, büyük ve küçük Latin harfleri artı sayılar için seçenek sayısı 26+26+10=62'dir. Daha sonra log 62 (26 10) ≈ 7.9 yani 10 rastgele küçük Latin harften oluşan bir şifre, neredeyse 8 rastgele büyük ve küçük Latin harf veya rakamdan oluşan bir şifre kadar güçlüdür. Bu kesinlikle 30 saniye için yeterlidir. Latin harflerinden 8 karakterlik bir şifreden bahsedecek olursak, gücü log 62 (26 8) ≈ 6.3, yani büyük, küçük harf ve rakamlardan oluşan 6 karakterlik bir şifreden biraz daha fazladır. Bunun 30 saniyelik bir pencere için hala kabul edilebilir olduğunu düşünüyoruz.

Sihir, şifresizlik, uygulamalar ve sonraki adımlar

Genel olarak orada durabilirdik ama sistemi daha da kullanışlı hale getirmek istedik. Bir kişinin elinde akıllı telefon varken klavyeden şifre girmek istemez!

Bu nedenle, "sihirli giriş" üzerinde çalışmaya başladık. Bu kimlik doğrulama yöntemi ile kullanıcı, akıllı telefonundaki uygulamayı başlatır, pin kodunu buna girer ve QR kodunu bilgisayar ekranında tarar. Pin kodu doğru girilirse, tarayıcıdaki sayfa yeniden yüklenir ve kullanıcının kimliği doğrulanır. Büyü!

O nasıl çalışır?

Oturum numarası QR koduna dikilir ve uygulama tarafından taradığında bu numara, normal şekilde oluşturulan şifre ve kullanıcı adı ile birlikte sunucuya iletilir. Bu zor değil, çünkü akıllı telefon neredeyse her zaman çevrimiçi. QR kodunu gösteren sayfa düzeninde JavaScript çalışıyor, bu oturum ile şifreyi kontrol etmek için sunucudan bir yanıt bekliyor. Sunucu, parolanın doğru olduğunu yanıtlarsa, yanıtla birlikte bir oturum tanımlama bilgisi ayarlanır ve kullanıcının kimliği doğrulanmış olarak kabul edilir.

Daha iyi oldu, ama burada durmamaya karar verdik. Telefonlarda iPhone 5S ile başlayarak ve elma tabletleri TouchID parmak izi tarayıcı göründü ve iOS sürümleri Onunla 8 çalışma mevcuttur ve Üçüncü taraf uygulamaları. Aslında uygulama parmak izine erişmiyor ancak parmak izi doğruysa o zaman ek Anahtarlık bölümü uygulamaya açık hale geliyor. İşte bundan faydalandık. Sırrın ikinci kısmı, kullanıcının önceki senaryoda klavyeden girdiği TouchID korumalı Anahtarlık girişine yerleştirilir. Anahtarlık kilidini açarken, sırrın iki kısmı karıştırılır ve ardından süreç yukarıda açıklandığı gibi çalışır.

Ancak kullanıcı için inanılmaz derecede uygun hale geldi: Uygulamayı açar, parmağını koyar, ekranda QR kodunu tarar ve bilgisayardaki tarayıcıda kimliği doğrulanır! Bu yüzden bilgi faktörünü biyometrik bir faktörle ve kullanıcının bakış açısından tamamen terk edilmiş şifrelerle değiştirdik. Böyle bir planın sıradan insanlara olduğundan çok daha uygun görüneceğinden eminiz. elle giriş iki şifre.

Teknik olarak iki faktörlü kimlik doğrulamanın ne kadar olduğu tartışılır, ancak gerçekte, başarılı bir şekilde geçmek için hala bir telefonunuz ve geçerli bir parmak iziniz olması gerekir, bu nedenle bilgi faktörünü ortadan kaldırmakta oldukça iyi olduğumuzu düşünüyoruz. biyometri ile. iOS Secure Enclave'in temelini oluşturan ARM TrustZone'un güvenliğine güvendiğimizi anlıyor ve buna inanıyoruz. şu anda bu alt sistem, tehdit modelimiz içinde güvenilir olarak kabul edilebilir. Elbette biyometrik kimlik doğrulama sorunlarının farkındayız: parmak izi bir parola değildir ve ele geçirilirse değiştirilemez. Ancak öte yandan, herkes güvenliğin kolaylık ile ters orantılı olduğunu bilir ve kullanıcının kendisi, kendisi için kabul edilebilir olan birinin ve diğerinin oranını seçme hakkına sahiptir.

Bunun hala beta olduğunu hatırlatmama izin verin. Artık iki faktörlü kimlik doğrulamayı etkinleştirdiğinizde, Yandex.Browser'da şifre senkronizasyonunu geçici olarak devre dışı bırakıyoruz. Bunun nedeni, şifre veritabanının şifrelemesinin nasıl düzenlendiğidir. 2FA durumunda Tarayıcının kimliğini doğrulamak için zaten uygun bir yol buluyoruz. Diğer tüm Yandex işlevleri eskisi gibi çalışır.

İşte elimizdekiler. İyi sonuçlanmış gibi görünüyor, ama yargıç sizsiniz. Geri bildirim ve önerileri duymaktan mutlu olacağız ve hizmetlerimizin güvenliğini artırmak için kendimiz çalışmaya devam edeceğiz: artık CSP, posta aktarımının şifrelenmesi ve diğer her şeyin yanı sıra iki faktörlü kimlik doğrulamamız da var. Kimlik doğrulama servislerinin ve OTP oluşturma uygulamalarının kritik olduğunu ve bu nedenle bunlarda bulunan hataların Bug Bounty programı kapsamında çifte ödül ödendiğini unutmayın.

Etiketler: Etiketler ekle

İLGİLİ MAKALELER