###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Dvofaktorska provjera autentičnosti Yandex diska netočna lozinka. Prijavite se s dvofaktorskom autentifikacijom. Magija, bez lozinke, aplikacije i sljedeći koraci

    06.11.2019 Sigurnost

    Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.

    1. Prijavite se pomoću QR koda
    2. Prijenos Yandex.Key
    3. Glavna lozinka
    4. Kako jednokratne lozinke ovise o točnom vremenu

    Prijavite se na uslugu ili aplikaciju Yandex

    Možete unijeti jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.

    Bilješka.

    Morate unijeti jednokratnu lozinku dok je prikazana u aplikaciji. Ako je preostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.

    Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite PIN kod koji ste naveli prilikom postavljanja dvofaktorske autentifikacije. Aplikacija će početi generirati lozinke svakih 30 sekundi.

    Yandex.Key ne provjerava PIN kod koji ste unijeli i generira jednokratne lozinke, čak i ako ste netočno unijeli PIN kod. U tom slučaju se i stvorene lozinke pokažu netočnima i s njima se nećete moći prijaviti. Za unos točnog PIN-a samo izađite iz aplikacije i ponovno je pokrenite.

    Značajke jednokratnih zaporki:

    Prijavite se pomoću QR koda

    Neke usluge (na primjer, Yandex početna stranica, Passport i Mail) omogućuju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere prema QR kodu. Istovremeno, vaš mobilni uređaj mora biti povezan s internetom kako bi Yandex.Key mogao kontaktirati autorizacijski poslužitelj.

      Kliknite na ikonu QR koda u vašem pregledniku.

      Ako u obrascu za prijavu nema takve ikone, to znači ovu uslugu Možete se prijaviti samo pomoću lozinke. U tom slučaju možete se prijaviti pomoću QR koda u Putovnici, a zatim otići na željenu uslugu.

      Unesite svoj PIN kod u Yandex.Key i kliknite Prijava pomoću QR koda.

      Usmjerite kameru svog uređaja prema QR kodu prikazanom u pregledniku.

    Yandex.Key će prepoznati QR kod i poslati vašu prijavu i jednokratnu lozinku Yandex.Passportu. Ako prođu provjeru, automatski ste prijavljeni u preglednik. Ako je poslana lozinka netočna (na primjer, jer ste netočno unijeli PIN kod u Yandex.Key), preglednik će prikazati standardna poruka o pogrešnoj lozinci.

    Prijava putem Yandex računa na aplikaciju ili web mjesto treće strane

    Aplikacije ili stranice koje trebaju pristup vašim podacima na Yandexu ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima jednokratne lozinke neće funkcionirati - morate izraditi zasebnu lozinku za svaku takvu aplikaciju.

    Pažnja. Samo jednokratne lozinke rade u aplikacijama i uslugama Yandex. Čak i ako stvorite lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.

    Prijenos Yandex.Key

    Generiranje jednokratnih zaporki možete prenijeti na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja istovremeno. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite gumb Zamjena uređaja.

    Nekoliko računa u Yandex.Key

    Isti Yandex.Key može se koristiti za nekoliko računa s jednokratnim lozinkama. Za dodavanje drugog računa u aplikaciju, prilikom postavljanja jednokratnih zaporki u koraku 3, kliknite ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu autentifikaciju u dva faktora. Upute za najpopularnije usluge nalaze se na stranici o stvaranju kontrolnih kodova koji nisu za Yandex.

    Da biste uklonili vezu računa na Yandex.Key, pritisnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križić. Kada kliknete na križić, račun koji se povezuje s Yandex.Keyom bit će izbrisan.

    Pažnja. Ako izbrišete račun za koji su omogućene jednokratne lozinke, nećete moći dobiti jednokratnu lozinku za prijavu na Yandex. U tom će slučaju biti potrebno obnoviti pristup.

    Otisak prsta umjesto PIN koda

    Otisak prsta možete koristiti umjesto PIN koda na sljedećim uređajima:

      pametni telefoni pod Android kontrola 6.0 i skener otiska prsta;

      iPhone počevši od modela 5s;

      iPad počevši od Air 2.

    Bilješka.

    Na iOS pametnim telefonima i tabletima, otisak prsta se može zaobići unosom lozinke uređaja. Kako biste se zaštitili od toga, omogućite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID & Passcode.

    Za korištenje omogućavanja provjere otiska prsta:

    Glavna lozinka

    Kako biste dodatno zaštitili svoje jednokratne lozinke, izradite glavnu lozinku: → Glavna lozinka.

    S glavnom lozinkom možete:

      učinite tako da umjesto otiska prsta možete unijeti samo glavnu lozinku Yandex.Key, a ne šifru za zaključavanje uređaja;

    Sigurnosna kopija podataka Yandex.Key

    Možete izraditi sigurnosnu kopiju Ključnih podataka na Yandex poslužitelju tako da ih možete vratiti ako izgubite telefon ili tablet s aplikacijom. Podaci svih računa dodanih ključu u trenutku izrade kopije kopiraju se na poslužitelj. Više od jednog sigurnosna kopija ne može se kreirati, svaka sljedeća kopija podataka za određeni telefonski broj zamjenjuje prethodnu.

    Da biste dohvatili podatke iz sigurnosne kopije, trebate:

      imati pristup telefonskom broju koji ste naveli prilikom kreiranja;

      zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.

    Pažnja. Sigurnosna kopija sadrži samo prijave i tajne podatke potrebne za generiranje jednokratnih lozinki. Morate zapamtiti PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu.

    Još nije moguće izbrisati sigurnosnu kopiju s poslužitelja Yandex. Automatski će se izbrisati ako ga ne upotrijebite u roku od godinu dana nakon izrade.

    Stvaranje sigurnosne kopije

      Odaberite stavku Napravite sigurnosnu kopiju u postavkama aplikacije.

      Unesite telefonski broj na koji će sigurnosna kopija biti povezana (na primjer, “71234567890” “380123456789”) i kliknite Dalje.

      Yandex će poslati kod za potvrdu na uneseni broj telefona. Nakon što primite kod, unesite ga u aplikaciju.

      Napravite lozinku koja će šifrirati sigurnosnu kopiju vaših podataka. Ovu zaporku nije moguće obnoviti, pa je nemojte zaboraviti ili izgubiti.

      Unesite lozinku koju ste izradili dvaput i kliknite Završi. Yandex.Key će šifrirati sigurnosnu kopiju, poslati je na Yandex poslužitelj i prijaviti je.

    Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.

    1. Prijavite se pomoću QR koda
    2. Prijenos Yandex.Key
    3. Glavna lozinka
    4. Kako jednokratne lozinke ovise o točnom vremenu

    Prijavite se na uslugu ili aplikaciju Yandex

    Možete unijeti jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.

    Bilješka.

    Morate unijeti jednokratnu lozinku dok je prikazana u aplikaciji. Ako je preostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.

    Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite PIN kod koji ste naveli prilikom postavljanja dvofaktorske autentifikacije. Aplikacija će početi generirati lozinke svakih 30 sekundi.

    Yandex.Key ne provjerava PIN kod koji ste unijeli i generira jednokratne lozinke, čak i ako ste netočno unijeli PIN kod. U tom slučaju se i stvorene lozinke pokažu netočnima i s njima se nećete moći prijaviti. Za unos točnog PIN-a samo izađite iz aplikacije i ponovno je pokrenite.

    Značajke jednokratnih zaporki:

    Prijavite se pomoću QR koda

    Neke usluge (na primjer, Yandex početna stranica, Passport i Mail) omogućuju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere prema QR kodu. U tom slučaju vaš mobilni uređaj mora biti povezan s internetom kako bi Yandex.Key mogao kontaktirati autorizacijski poslužitelj.

      Kliknite na ikonu QR koda u vašem pregledniku.

      Ako u obrascu za prijavu nema takve ikone, tada se na ovu uslugu možete prijaviti samo pomoću lozinke. U tom slučaju možete se prijaviti pomoću QR koda u Putovnici, a zatim otići na željenu uslugu.

      Unesite svoj PIN kod u Yandex.Key i kliknite Prijava pomoću QR koda.

      Usmjerite kameru svog uređaja prema QR kodu prikazanom u pregledniku.

    Yandex.Key će prepoznati QR kod i poslati vašu prijavu i jednokratnu lozinku Yandex.Passportu. Ako prođu provjeru, automatski ste prijavljeni u preglednik. Ako je poslana lozinka netočna (na primjer, jer ste netočno unijeli PIN kod u Yandex.Key), preglednik će prikazati standardnu ​​poruku o netočnoj lozinci.

    Prijava putem Yandex računa na aplikaciju ili web mjesto treće strane

    Aplikacije ili stranice koje trebaju pristup vašim podacima na Yandexu ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima jednokratne lozinke neće funkcionirati - morate izraditi zasebnu lozinku za svaku takvu aplikaciju.

    Pažnja. Samo jednokratne lozinke rade u aplikacijama i uslugama Yandex. Čak i ako stvorite lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.

    Prijenos Yandex.Key

    Generiranje jednokratnih zaporki možete prenijeti na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja istovremeno. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite gumb Zamjena uređaja.

    Nekoliko računa u Yandex.Key

    Isti Yandex.Key može se koristiti za nekoliko računa s jednokratnim lozinkama. Za dodavanje drugog računa u aplikaciju, prilikom postavljanja jednokratnih zaporki u koraku 3, kliknite ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu autentifikaciju u dva faktora. Upute za najpopularnije usluge nalaze se na stranici o stvaranju kontrolnih kodova koji nisu za Yandex.

    Da biste uklonili vezu računa na Yandex.Key, pritisnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križić. Kada kliknete na križić, račun koji se povezuje s Yandex.Keyom bit će izbrisan.

    Pažnja. Ako izbrišete račun za koji su omogućene jednokratne lozinke, nećete moći dobiti jednokratnu lozinku za prijavu na Yandex. U tom će slučaju biti potrebno obnoviti pristup.

    Otisak prsta umjesto PIN koda

    Otisak prsta možete koristiti umjesto PIN koda na sljedećim uređajima:

      pametni telefoni s Androidom 6.0 i skenerom otiska prsta;

      iPhone počevši od modela 5s;

      iPad počevši od Air 2.

    Bilješka.

    Na iOS pametnim telefonima i tabletima, otisak prsta se može zaobići unosom lozinke uređaja. Kako biste se zaštitili od toga, omogućite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID & Passcode.

    Za korištenje omogućavanja provjere otiska prsta:

    Glavna lozinka

    Kako biste dodatno zaštitili svoje jednokratne lozinke, izradite glavnu lozinku: → Glavna lozinka.

    S glavnom lozinkom možete:

      učinite tako da umjesto otiska prsta možete unijeti samo glavnu lozinku Yandex.Key, a ne šifru za zaključavanje uređaja;

    Sigurnosna kopija podataka Yandex.Key

    Možete izraditi sigurnosnu kopiju Ključnih podataka na Yandex poslužitelju tako da ih možete vratiti ako izgubite telefon ili tablet s aplikacijom. Podaci svih računa dodanih ključu u trenutku izrade kopije kopiraju se na poslužitelj. Ne možete izraditi više od jedne sigurnosne kopije, svaka sljedeća kopija podataka za određeni telefonski broj zamjenjuje prethodnu.

    Da biste dohvatili podatke iz sigurnosne kopije, trebate:

      imati pristup telefonskom broju koji ste naveli prilikom kreiranja;

      zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.

    Pažnja. Sigurnosna kopija sadrži samo prijave i tajne podatke potrebne za generiranje jednokratnih lozinki. Morate zapamtiti PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu.

    Još nije moguće izbrisati sigurnosnu kopiju s poslužitelja Yandex. Automatski će se izbrisati ako ga ne upotrijebite u roku od godinu dana nakon izrade.

    Stvaranje sigurnosne kopije

      Odaberite stavku Napravite sigurnosnu kopiju u postavkama aplikacije.

      Unesite telefonski broj na koji će sigurnosna kopija biti povezana (na primjer, “71234567890” “380123456789”) i kliknite Dalje.

      Yandex će poslati kod za potvrdu na uneseni broj telefona. Nakon što primite kod, unesite ga u aplikaciju.

      Napravite lozinku koja će šifrirati sigurnosnu kopiju vaših podataka. Ovu zaporku nije moguće obnoviti, pa je nemojte zaboraviti ili izgubiti.

      Unesite lozinku koju ste izradili dvaput i kliknite Završi. Yandex.Key će šifrirati sigurnosnu kopiju, poslati je na Yandex poslužitelj i prijaviti je.

    Pozdrav svima još jednom. Slažete se, najvažnija stvar pri radu na internetu je sigurnost. Njoj je potrebna posebna pažnja. Kada se registrirate na važnom mjestu, trebali biste stvoriti jaku lozinku ili koristiti. Jer što je kombinacija slova i brojeva složenija, napadači će je teže hakirati. Međutim, postoje slučajevi kada hakeri uspiju dobiti pristup vašem računu, na primjer, vašoj osobnoj e-pošti. Ovo je jako tužno: važna informacija može završiti u krivim rukama i može se koristiti protiv vas, korespondencija s vašim partnerima može biti potpuno izbrisana itd. Jednom riječju, svoj račun treba čuvati kao zjenicu oka.

    Kako bi se povećala sigurnost, mnoge usluge nude autentifikaciju u dva faktora. Danas ćemo pogledati što je to na primjeru Yandex pošte.

    Kada omogućite ovu funkciju, napadač, čak i ako točno pogodi vašu glavnu lozinku, neće moći ući u vaš poštanski sandučić. Budući da će to zahtijevati da navedete nasumičnu jednokratnu lozinku, koja generira posebna primjena na vašem pametnom telefonu ili tabletu. Sada ćemo vam pokušati detaljno reći kako omogućiti dvofaktorsku autentifikaciju u Yandexu. U budućnosti će slična recenzija biti na Google Mailu i Mail.ru.

    Dakle, za povezivanje ove funkcije potreban nam je pametni telefon ili tablet. Idite na svoj Yandex poštanski sandučić. Ako ga još nemate, stvorite ga. Kako? Pročitajte u.

    Nakon što smo se prijavili na naš račun, kliknite na svoj račun i odaberite “ Upravljanje računom»

    Otvorit će se putovnica Yandex sa svim vrstama postavki. U bloku" Kontrola pristupa"slijedite vezu" Postavite dvofaktornu autentifikaciju»

    Sada moramo proći kroz 4 koraka.

    1 korak. Potvrđivanje vašeg telefonskog broja.

    Vaš račun nakon aktivacije nova značajka bit će povezan s vašim telefonskim brojem. Stoga navedite broj kojem imate slobodan pristup. Nakon toga kliknite na gumb " da biste dobili šifru»

    Za par sekundi dobit ćete SMS poruku sa kodom koji upisujemo u polje...

    ... i kliknite " Potvrdi»

    Korak 2. Pin kod.

    Kako bi aplikacija generirala jednokratnu lozinku, potrebno je unijeti PIN kod, onaj koji ćemo sada navesti. Pažnja!!! Zapamtite ovaj kod i nemojte ga dijeliti ni s kim. Čak i ako vam telefon ukradu, bez poznavanja vašeg PIN koda, napadači neće moći koristiti ovu aplikaciju.

    Unesite svoj PIN kod, zatim ponovite. Za otvaranje simbola kliknite na oko. Na taj način možete provjeriti jeste li sve ispravno upisali. I kliknite " Stvoriti».

    Korak 3. Mobilna aplikacija Yandex Key.

    U ovoj fazi moramo instalirati upravo aplikaciju koja će kreirati jednokratne lozinke. Kliknite na gumb " Nabavite vezu na svoj telefon».

    Krenimo dalje. Vaš Android telefon automatski će se otvoriti Google servis Poigrajte se s prijedlogom za instaliranje aplikacije Yandex Key. Instalirajmo ga.

    Otvorite Yandex ključ. Nakon nekoliko uvodnih stranica od vas će se tražiti da skenirate QR kod. Aplikacija će tražiti dopuštenje za pristup vašoj kameri. Slažemo se. Zatim usmjeravamo kameru prema ekranu monitora tako da kvadrat s QR kodom padne u leću kamere. Aplikacija će automatski skenirati i dodati vaš račun. Ako skeniranje ne uspije, možete zadržati tajni ključ. Za pregled kliknite na poveznicu " Prikaži tajni ključ"ispod QR koda. U aplikaciji odaberite i način unosa tajnog ključa.

    Sada prijeđimo na sljedeći korak.

    Korak 4. Unos jednokratne lozinke s ključa Yandex.

    Pokrećemo našu aplikaciju na našem gadgetu. Sada ćete morati unijeti svoj PIN kod. Nakon toga vidjet ćete tu istu nasumičnu jednokratnu lozinku.

    Lozinka se ažurira svakih 30 sekundi. Stoga, imajte vremena unijeti ga u polje prije ažuriranja i kliknite na " Upaliti».

    To je to, omogućili smo dvofaktorsku autentifikaciju za naš Yandex račun.

    Provjerimo kako radi. Odjavite se sa svog trenutnog računa.

    Sada se možete prijaviti na svoj račun na 2 načina. 1) unesite svoju prijavu (ili adresu E-mail Yandex), a zatim NE unesite lozinku koju smo prije koristili, trajnu, već ONU koju smo primili Mobilna aplikacija Yandex ključ nakon unosa PIN koda. I kliknite gumb Prijava. Drugi način znači prijaviti se pomoću QR kod. Kliknite na ikonu QR koda (desno od gumba Prijava).

    Zatim dolazimo do ove stranice

    Slijedimo upute: pokrenite Yandex Key, unesite naš PIN kod i zatim odaberite “ Prijavite se pomoću QR koda»

    Zatim kameru tableta ili telefona usmjerimo prema QR kodu. Aplikacija skenira kod i dobivamo pristup našoj pošti.

    Kako onemogućiti dvofaktornu autentifikaciju u Yandex

    Ako iz nekog razloga odlučite onemogućiti dvostruku autentifikaciju, to možete učiniti brzo i jednostavno. Prijavite se u svoj poštanski sandučić, idite na Upravljanje računom (pogledajte gdje i kako to učiniti na početku ovog članka) i isključite ovu funkciju.

    U sljedećem koraku trebamo unijeti jednokratnu lozinku iz aplikacije Yandex Key

    Unesite ga i potvrdite.

    Mi stvaramo Nova lozinka(ovaj put trajno), ponovite i spremite.

    To je to, sada je naša dvofaktorska provjera autentičnosti onemogućena. Za prijavu će se koristiti trajna lozinka kreirana u prethodnom koraku.

    Dakle, danas smo pogledali kako naš Yandex račun pošte učiniti sigurnijim povezivanjem dvofaktorske autentifikacije s njim. Koristite li ovu značajku? Podijelite u komentarima.

    I to je sve za danas. Vidimo se opet!

    Svaka osoba treba imati san. San je ono što pokreće osobu. Kad si mali, sanjaš da odrasteš. San prvo mora postati cilj. Tada morate postići svoj cilj. I trebao bi imati novi san!

    Zvorotny star">","icon":"//yastatic.net/iconostasis/_/qOYT2LWpAjy_Ig4gGx3Kn6YO9ZE.svg","type":"service","id":96,"slug":"passport","nameKey ":"96_name"),"alerts":,"documentPath":"passport/authorization/twofa-login.html","doccenter":("html_heads":("sources":("meta":("copyright ":"(C) Autorska prava 2019","DC.rights.owner":"(C) Autorska prava 2019","DC.Type":"concept","DC.Relation":"../authorization/twofa. html","prodname":"Putovnica","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language":"ru","generator":"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"","doc_id":"passport-guide","doc_name":"Pomoć","component_id":"","component_name":" ","product_id":"putovnica","product_name":"Putovnica","description":"","product":"putovnica","product_realname":"Putovnica","doc_group":"putovnica-vodič" ,"doc_group_name":"passport-guide","section_name":"Prijava s dvofaktorskom autentifikacijom","langs":"uk ru"),"title":"Prijava s dvofaktorskom autentifikacijom","js" :["/ /yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js"],"inlineJs":,"css":["// yastatic.net/ s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css"],"common":("js":["//yastatic.net/jquery/1.12.4 /jquery.min .js"]),,"naslijeđe":("js":["//yastatic.net/es5-shims/0.0.1/es5-shims.min.js"],"css": ["//yastatic .net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8.css"])),,"meta":" \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n ","bundle":("styles":"\n ","js": "\n "),,"lang":"ru","title":"Prijava s dvofaktorskom autentifikacijom"),"menu":"","document":"

    Prijavite se s dvofaktorskom autentifikacijom

    1. Prijavite se pomoću QR koda
    2. Prijenos Yandex.Key
    3. Glavna lozinka

    Prijavite se na uslugu ili aplikaciju Yandex

    Možete unijeti jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.

    Bilješka.

    Prijavite se pomoću QR koda

      Putovnica

    Prijava putem Yandex računa na aplikaciju ili web mjesto treće strane

    lozinka aplikacije.

    Prijenos Yandex.Key

    Generiranje jednokratnih zaporki možete prenijeti na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja istovremeno. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite gumb Zamjena uređaja.

    Nekoliko računa u Yandex.Key

    postavljanje jednokratnih lozinki.

    vratiti pristup.

    Otisak prsta umjesto PIN koda

      iPhone počevši od modela 5s;

      iPad počevši od Air 2.

    Bilješka.

    glavna lozinka

    Glavna lozinka

    S glavnom lozinkom možete:

      učinite tako da umjesto otiska prsta možete unijeti samo glavnu lozinku Yandex.Key, a ne šifru za zaključavanje uređaja;

    Sigurnosna kopija podataka Yandex.Key

    Možete izraditi sigurnosnu kopiju Ključnih podataka na Yandex poslužitelju tako da ih možete vratiti ako izgubite telefon ili tablet s aplikacijom. Podaci svih računa dodanih ključu u trenutku izrade kopije kopiraju se na poslužitelj. Ne možete izraditi više od jedne sigurnosne kopije, svaka sljedeća kopija podataka za određeni telefonski broj zamjenjuje prethodnu.

    Da biste dohvatili podatke iz sigurnosne kopije, trebate:

      imati pristup telefonskom broju koji ste naveli prilikom kreiranja;

      zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.

    Pažnja. Sigurnosna kopija sadrži samo prijave i tajne podatke potrebne za generiranje jednokratnih lozinki. Morate zapamtiti PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu.

    Još nije moguće izbrisati sigurnosnu kopiju s poslužitelja Yandex. Automatski će se izbrisati ako ga ne upotrijebite u roku od godinu dana nakon izrade.

    Stvaranje sigurnosne kopije

      Odaberite stavku Napravite sigurnosnu kopiju u postavkama aplikacije.

      Unesite telefonski broj na koji će sigurnosna kopija biti povezana (na primjer, "380123456789") i kliknite Dalje.

      Yandex će poslati kod za potvrdu na uneseni broj telefona. Nakon što primite kod, unesite ga u aplikaciju.

      Napravite lozinku koja će šifrirati sigurnosnu kopiju vaših podataka. Ovu zaporku nije moguće obnoviti, pa je nemojte zaboraviti ili izgubiti.

      Unesite lozinku koju ste izradili dvaput i kliknite Završi. Yandex.Key će šifrirati sigurnosnu kopiju, poslati je na Yandex poslužitelj i prijaviti je.

    Vraćanje iz sigurnosne kopije

      Odaberite stavku Vrati iz sigurnosne kopije u postavkama aplikacije.

      Unesite telefonski broj koji ste koristili prilikom izrade sigurnosne kopije (na primjer, "380123456789") i kliknite Dalje.

      Ako se za navedeni broj pronađe sigurnosna kopija podataka o ključu, Yandex će poslati kod za potvrdu na ovaj broj telefona. Nakon što primite kod, unesite ga u aplikaciju.

      Provjerite odgovaraju li datum i vrijeme izrade sigurnosne kopije, kao i naziv uređaja sigurnosnoj kopiji koju želite koristiti. Zatim kliknite gumb Vrati.

      Unesite lozinku koju ste postavili prilikom izrade sigurnosne kopije. Ako ga se ne sjećate, sigurnosnu kopiju nećete moći dešifrirati.

      Yandex.Key će dekriptirati sigurnosne kopije podataka i obavijestiti vas da su podaci vraćeni.

    Kako jednokratne lozinke ovise o točnom vremenu

    Prilikom generiranja jednokratnih zaporki Yandex.Key uzima u obzir Trenutno vrijeme i vremenske zone postavljene na uređaju. Kada je internetska veza dostupna, ključ također traži točno vrijeme od poslužitelja: ako je vrijeme na uređaju pogrešno postavljeno, aplikacija će to prilagoditi. Ali u nekim situacijama, čak i nakon ispravka i s točnim PIN kodom, jednokratna lozinka neće biti točna.

    Ako ste sigurni da ispravno unosite PIN kod i lozinku, ali ne možete se prijaviti:

      Provjerite je li vaš uređaj postavljen na ispravno vrijeme i vremensku zonu. Nakon toga pokušajte se prijaviti s novom jednokratnom lozinkom.

      Povežite svoj uređaj s internetom kako bi Yandex.Key mogao sam dobiti točno vrijeme. Zatim ponovno pokrenite aplikaciju i pokušajte unijeti novu jednokratnu lozinku.

    Ako problem nije riješen, kontaktirajte podršku putem donjeg obrasca.

    Ostavite povratne informacije o dvofaktorskoj autentifikaciji

    \n ","minitoc":[("text":"Prijavite se na uslugu ili aplikaciju Yandex","href":"#login"),("text":"Prijavite se pomoću QR koda","href " :"#qr"),("text":"Prijavite se Yandex računom na aplikaciju ili web mjesto treće strane","href":"#third-party"),("text":"Prijenos Yandex. Ključ"," href":"#concept_mh4_sxt_s1b"),("text":"Nekoliko računa u Yandex.Key","href":"#more-accounts"),("text":"Otisak prsta umjesto PIN koda "," href":"#touch-id"),("text":"Glavna lozinka","href":"#master-pass"),("text":"Sigurnosna kopija podataka Yandex.Key" ,"href ":"#backup"),("text":"Kako jednokratne lozinke ovise o točnom vremenu","href":"#time")],"mobile_menu":"","prev_next" :("prevItem": ("disabled":false,"title":"Prijava putem e-pošte","link":"/support/passport/mail-login.html"),"nextItem":("disabled": false,"title": "Povezivanje telefonskih brojeva","link":"/support/passport/authorization/phone.html")),,"breadcrumbs":[("url":"/support/passport/auth. html","title": "Prijava na Yandex"),("url":"/support/passport/authorization/twofa-login.html","title":"Prijava s dvofaktorskom autentifikacijom")]," korisne_veze":"","meta" :("copyright":"(C) Autorska prava 2019","DC.rights.owner":"(C) Autorska prava 2019","DC.Type":"koncept"," DC.Relation":"../ authorization/twofa.html","prodname":"Putovnica","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language ":"ru","generator" :"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"Prijava s dvostrukom autentifikacijom","doc_id":"passport-guide"," doc_name":"Pomoć","component_id": "","component_name":"","product_id":"passport","product_name":"Putovnica","description":"Možete unijeti jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.", "product":"passport","product_realname":"Putovnica","doc_group":"passport-guide","doc_group_name":"passport-guide ","section_name":"Prijava s dvofaktorskom autentifikacijom","langs" :"uk ru"),"voter":"

    Je li članak bio od pomoći?

    Ne da

    Navedite zašto:

      Ne sviđa mi se kako radi

      Sadržaj članka ne odgovara naslovu

      tekst je teško razumljiv

      nema odgovora na moje pitanje

      drugi razlog

    Hvala na odgovoru!

    Recite nam što vam se nije svidjelo u članku:

    Poslati

    ","lang":("current":"ru","available":["ru","uk"])),,"extra_meta":[("tag":"meta","attrs": ( "name":"copyright","content":"(C) Copyright 2019")),("tag":"meta","attrs":("name":"DC.rights.owner"," sadržaj ":"(C) Autorska prava 2019")),("tag":"meta","attrs":("name":"DC.Type","content":"concept")),("tag " :"meta","attrs":("name":"DC.Relation","content":"../authorization/twofa.html")),("tag":"meta","attrs" : ("name":"prodname","content":"Putovnica")),("tag":"meta","attrs":("name":"DC.Format","content":"XHTML " )),("tag":"meta","attrs":("name":"DC.Identifier","content":"twofa-login")),("tag":"meta"," attrs ":("name":"DC.Language","content":"ru")),("tag":"meta","attrs":("name":"generator","content": " Yandex Yoda DITA")),("tag":"meta","attrs":("name":"topic_id","content":"twofa-login")),("tag":"meta" , "attrs":("name":"topic_name","content":"Prijava s dvofaktorskom autentifikacijom")),("tag":"meta","attrs":("name":"doc_id" ,"content ":"passport-guide")),("tag":"meta","attrs":("name":"doc_name","content":"Pomoć")),("tag": "meta" ,"attrs":("name":"component_id","content":"")),("tag":"meta","attrs":("name":"component_name","content ":" ")),("tag":"meta","attrs":("name":"product_id","content":"passport")),("tag":"meta","attrs ":( "name":"product_name","content":"Passport")),("tag":"meta","attrs":("name":"description","content":"Možete unesite jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.")),("tag":"meta","attrs":("name":"product","content": "putovnica")),(" oznaka":"meta","attrs":("name":"product_realname","content":"Putovnica")),("tag":"meta","attrs" :("name":"doc_group ","content":"passport-guide")),("tag":"meta","attrs":("name":"doc_group_name","content":"putovnica -vodič")),(" tag":"meta","attrs":("name":"section_name","content":"Prijava s dvofaktorskom autentifikacijom")),("tag":"meta ","attrs":("name" :"langs","content":"uk ru"))],"title":"Prijava s dvofaktorskom autentifikacijom - putovnica. Pomoć","productName":"Putovnica","extra_js":[[("elem":"js","url":"//yastatic.net/jquery/1.12.4/jquery.min.js", "block":"b-stranica","elemMods":(),"mods":("html-only":""),"__func136":true,"tag":"script","bem": false,"attrs":("src":"//yastatic.net/jquery/1.12.4/jquery.min.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="),"__func67":true) ],[("elem":"js","url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js", "block":"b-stranica","elemMods":(),"mods":("html-only":""),"__func136":true,"tag":"script","bem": false,"attrs":("src":"//yastatic.net/s3/locdoc/static/doccenter/2. 257.0/bundles/index/_index.ru.no-bem.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="),"__func67":true)],[("elem":"js","url ":"//yastatic.net/es5-shims/0.0.1/es5-shims.min.js","block":"b-stranica","elemMods":(),"mods":("html -only":""),"__func136":true,"tag":"script","bem":false,"attrs":("src":"//yastatic.net/es5-shims/0.0. 1/es5-shims.min.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="),"__func67":true)]],"extra_css":[,[("elem":"css"," tj.":null,"url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css","block":"b-stranica"," elemMods":(),"mods":("html-only":""),"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs" :("rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css"))],[(" elem":"css","ie":"lte IE 8","url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8. css","block":"b-stranica","elemMods":(),"mods":("html-only":""),"__func69":true,"__func68":true,"bem" :false,"tag":"link","attrs":("rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index /_index.bidi.ie8.css"))]],"csp":("script-src":),,"lang":"ru")))">

    ruski

    ruski

    ukrajinski

    Prijavite se s dvofaktorskom autentifikacijom

    Za autorizaciju u aplikacijama i programima trećih strana ( mail klijenti, instant messengeri, sakupljači pošte, itd.), treba koristiti lozinke za aplikacije.

    Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.

    1. Prijavite se na uslugu ili aplikaciju Yandex
    2. Prijavite se pomoću QR koda
    3. Prijava putem Yandex računa na aplikaciju ili web mjesto treće strane
    4. Prijenos Yandex.Key
    5. Nekoliko računa u Yandex.Key
    6. Otisak prsta umjesto PIN koda
    7. Glavna lozinka
    8. Sigurnosna kopija podataka Yandex.Key
    9. Kako jednokratne lozinke ovise o točnom vremenu

    Prijavite se na uslugu ili aplikaciju Yandex

    Možete unijeti jednokratnu lozinku u bilo kojem obliku autorizacije na Yandexu ili u aplikacijama koje je razvio Yandex.

    Bilješka.

    Morate unijeti jednokratnu lozinku dok je prikazana u aplikaciji. Ako je preostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.

    Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite PIN kod koji ste naveli prilikom postavljanja dvofaktorske autentifikacije. Aplikacija će početi generirati lozinke svakih 30 sekundi.

    Yandex.Key ne provjerava PIN kod koji ste unijeli i generira jednokratne lozinke, čak i ako ste netočno unijeli PIN kod. U tom slučaju se i stvorene lozinke pokažu netočnima i s njima se nećete moći prijaviti. Za unos točnog PIN-a samo izađite iz aplikacije i ponovno je pokrenite.

    Značajke jednokratnih zaporki:

    Prijavite se pomoću QR koda

    Neke usluge (na primjer, Yandex početna stranica, Passport i Mail) omogućuju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere prema QR kodu. U tom slučaju vaš mobilni uređaj mora biti povezan s internetom kako bi Yandex.Key mogao kontaktirati autorizacijski poslužitelj.

      Kliknite na ikonu QR koda u vašem pregledniku.

      Ako u obrascu za prijavu nema takve ikone, tada se na ovu uslugu možete prijaviti samo pomoću lozinke. U tom slučaju možete se prijaviti pomoću QR koda u Putovnici, a zatim otići na željenu uslugu.

      Unesite svoj PIN kod u Yandex.Key i kliknite Prijava pomoću QR koda.

      Usmjerite kameru svog uređaja prema QR kodu prikazanom u pregledniku.


    Yandex.Key će prepoznati QR kod i poslati vašu prijavu i jednokratnu lozinku Yandex.Passportu. Ako prođu provjeru, automatski ste prijavljeni u preglednik. Ako je poslana lozinka netočna (na primjer, jer ste netočno unijeli PIN kod u Yandex.Key), preglednik će prikazati standardnu ​​poruku o netočnoj lozinci.

    Prijava putem Yandex računa na aplikaciju ili web mjesto treće strane

    Aplikacije ili stranice koje trebaju pristup vašim podacima na Yandexu ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima jednokratne lozinke neće funkcionirati - morate izraditi zasebnu lozinku za svaku takvu aplikaciju.

    Pažnja. Samo jednokratne lozinke rade u aplikacijama i uslugama Yandex. Čak i ako stvorite lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.

    Prijenos Yandex.Key

    Generiranje jednokratnih zaporki možete prenijeti na drugi uređaj ili konfigurirati Yandex.Key na nekoliko uređaja istovremeno. Da biste to učinili, otvorite stranicu i kliknite gumb Zamjena uređaja.

    Nekoliko računa u Yandex.Key

    Isti Yandex.Key može se koristiti za nekoliko računa s jednokratnim lozinkama. Za dodavanje drugog računa u aplikaciju, prilikom postavljanja jednokratnih zaporki u koraku 3, kliknite ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu autentifikaciju u dva faktora. Upute za najpopularnije usluge nalaze se na stranici o stvaranju kontrolnih kodova koji nisu za Yandex.

    Da biste uklonili vezu računa na Yandex.Key, pritisnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križić. Kada kliknete na križić, račun koji se povezuje s Yandex.Keyom bit će izbrisan.

    Pažnja. Ako izbrišete račun za koji su omogućene jednokratne lozinke, nećete moći dobiti jednokratnu lozinku za prijavu na Yandex. U tom će slučaju biti potrebno obnoviti pristup.

    Otisak prsta umjesto PIN koda

    Otisak prsta možete koristiti umjesto PIN koda na sljedećim uređajima:

      pametni telefoni s Androidom 6.0 i skenerom otiska prsta;

      iPhone počevši od modela 5s;

      iPad počevši od Air 2.

    Bilješka.

    Na iOS pametnim telefonima i tabletima, otisak prsta se može zaobići unosom lozinke uređaja. Kako biste se zaštitili od toga, omogućite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID & Passcode.

    Za korištenje omogućavanja provjere otiska prsta:

    Glavna lozinka

    Kako biste dodatno zaštitili svoje jednokratne lozinke, izradite glavnu lozinku: → Glavna lozinka.

  • Razvoj za iOS,
  • Razvoj mobilnih aplikacija

    • Bio je to rijedak post na Yandex blogu, posebno onaj vezan uz sigurnost, bez autentifikacije. Dugo smo razmišljali kako pravilno pojačati zaštitu korisničkih računa, i to na način da se može koristiti bez svih neugodnosti koje uključuju najčešće implementacije današnjice. A oni su, nažalost, nezgodni. Prema nekim podacima, na mnogim velikim stranicama postotak korisnika koji su uključili dodatna sredstva autentifikacije ne prelazi 0,1%.

    Čini se da je to zato što je uobičajena dvofaktorska shema autentifikacije previše složena i nezgodna. Pokušali smo smisliti način koji bi bio praktičniji bez gubitka razine zaštite, a danas predstavljamo njegovu beta verziju.

    Nadamo se da će postati rašireniji. Mi smo sa svoje strane spremni raditi na njegovom poboljšanju i naknadnoj standardizaciji.

    Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. U obrascu ovlaštenja za početna stranica Yandex, QR kodovi pojavili su se u pošti i putovnici. Za prijavu na svoj račun potrebno je pročitati QR kod kroz aplikaciju – i to je to. Ako se QR kod ne može očitati, primjerice, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će izraditi jednokratnu lozinku koja će vrijediti samo 30 sekundi.

    Reći ću vam zašto smo odlučili ne koristiti takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcioniraju uobičajene sheme dvofaktorske provjere autentičnosti? Dvostupanjski su. Prva faza je normalna autentifikacija s prijavom i lozinkom. Ako je uspješna, stranica provjerava sviđa li joj se ova korisnička sesija ili ne. A ako vam se ne sviđa, od korisnika se traži "ponovna autentifikacija". Postoje dvije uobičajene metode "prethodne provjere autentičnosti": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, za generiranje druge lozinke koristi se TOTP prema RFC 6238. Ako je korisnik ispravno unio drugu zaporku, sesija se smatra potpuno autentificiranom, a ako nije, tada sesija gubi i "pre-autentifikaciju".

    Obje metode ─ slanje SMS-a i generiranje lozinke ─ dokaz su vlasništva nad telefonom i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Stoga ova shema provjere autentičnosti nije samo dvostupanjska, već i dvostruka.

    Što nam se činilo problematičnim u ovoj shemi?

    Počnimo s činjenicom da se računalo prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: ovdje je isključivanje Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa i softver sumnjivog podrijetla ─ sve to ne povećava razinu zaštite. Prema našoj procjeni, kompromitacija računala korisnika je najrašireniji način “otmice” računa (i to se nedavno dogodilo) i od toga se prije svega želimo zaštititi. U slučaju dvofaktorske autentifikacije, ako pretpostavite da je korisnikovo računalo ugroženo, unos lozinke na njemu kompromitira samu lozinku, što je prvi faktor. To znači da napadač treba odabrati samo drugi faktor. U slučaju uobičajenih implementacija RFC-a 6238, drugi faktor je 6 decimalnih znamenki (a maksimalno dopušteno specifikacijom je 8 znamenki). Prema bruteforce kalkulatoru za OTP, u tri dana napadač je u stanju pronaći drugi faktor ako je na neki način postao svjestan prvog. Nije jasno čime se servis može suprotstaviti ovom napadu, a da ne poremeti normalno iskustvo korisnika. Jedini mogući dokaz rada je captcha, koja je, po našem mišljenju, zadnja opcija.

    Drugi problem je neprozirnost prosudbe servisa o kvaliteti korisničke sesije i donošenje odluke o potrebi "pre-autentikacije". Još gore, usluga nije zainteresirana da ovaj proces bude transparentan, jer sigurnost putem nejasnoće zapravo funkcionira ovdje. Ako napadač zna na temelju čega servis donosi odluku o legitimnosti sesije, može pokušati krivotvoriti te podatke. Kao opće pravilo, možemo zaključiti da se prosudba donosi na temelju povijesti autentifikacije korisnika, uzimajući u obzir IP adresu (i njezine derivate broja autonomnog sustava koji identificira pružatelja usluga i lokaciju na temelju geobaze) i podatke preglednika, na primjer, zaglavlje korisničkog agenta i skup kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontrolira računalo korisnika, on ne samo da može ukrasti sve potrebne podatke, već i koristiti IP adresu žrtve. Štoviše, ako je odluka donesena na temelju ASN-a, tada svaka autentifikacija iz javni Wi-Fi u kafiću može dovesti do “trovanja” sa sigurnosnog aspekta (i bijeljenja sa stajališta usluge) ponuđača ovog kafića i npr. krečenja svih kafića u gradu. Razgovarali smo o radu i moglo bi se primijeniti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za pouzdanu procjenu anomalije. Štoviše, isti argument uništava ideju "pouzdanih" računala: napadač može ukrasti bilo koju informaciju koja utječe na procjenu povjerenja.

    Konačno, provjera autentičnosti u dva koraka jednostavno je nezgodna: naše istraživanje upotrebljivosti pokazuje da ništa ne iritira korisnike više od posredničkog zaslona, ​​dodatnih klikova na gumbe i drugih "nevažnih" radnji s njihove točke gledišta.
    Na temelju toga odlučili smo da autentifikacija treba biti u jednom koraku i da prostor za lozinku treba biti puno veći nego što je moguće u okviru "čistog" RFC-a 6238.
    U isto vrijeme, željeli smo očuvati dvofaktornu autentifikaciju što je više moguće.

    Višefaktorska provjera autentičnosti definirana je dodjeljivanjem elemenata provjere autentičnosti (zapravo, oni se nazivaju faktori) jednoj od tri kategorije:

    1. Faktori znanja (to su tradicionalne lozinke, PIN kodovi i sve što im sliči);
    2. Faktori vlasništva (u OTP shemama koje se koriste, to je obično pametni telefon, ali može biti i hardverski token);
    3. Biometrijski čimbenici (sada je najčešći otisak prsta, iako će se netko sjetiti epizode s likom Wesleya Snipesa u filmu Demolition Man).

    Razvoj našeg sustava

    Kada smo počeli raditi na problemu dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012., ali se o tome raspravljalo iza kulisa i ranije), prva ideja je bila da standardne metode autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo računati da će milijuni naših korisnika kupiti hardverski token, pa smo ovu opciju odgodili za neke egzotične slučajeve (iako je ne napuštamo u potpunosti, možda ćemo uspjeti smisliti nešto zanimljivo). SMS metoda također nije mogla biti široko rasprostranjena: vrlo je nepouzdana metoda dostave (u najvažnijem trenutku SMS može kasniti ili uopće ne stići), a slanje SMS-a košta (a operateri su počeli povećavati cijene) . Odlučili smo da je korištenje SMS-a namijenjeno bankama i drugim niskotehnološkim tvrtkama, a našim korisnicima želimo ponuditi nešto praktičnije. Općenito, izbor je bio mali: upotrijebite pametni telefon i program u njemu kao drugi faktor.

    Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti PIN kod (prvi faktor) i ima hardverski ili softverski (u pametnom telefonu) token koji generira OTP (drugi faktor). U polje za unos lozinke upisuje PIN kod i trenutnu OTP vrijednost.

    Po našem mišljenju, glavni nedostatak ove sheme isti je kao kod autentifikacije u dva koraka: ako pretpostavimo da je radna površina korisnika ugrožena, tada će unošenje PIN koda jednom dovesti do njegovog otkrivanja i napadač može pronaći samo drugi faktor.

    Odlučili smo ići drugim putem: cijela se lozinka generira iz tajne, ali samo dio tajne je pohranjen u pametnom telefonu, a dio unosi korisnik svaki put kada se lozinka generira. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.

    Nonce može biti ili brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućuje da se ne bojimo desinkronizacije u slučaju da netko generira previše lozinki i poveća brojač.

    Dakle, imamo program za pametni telefon gdje korisnik unosi svoj dio tajne, on se miješa sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, kojim se potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je smanjen na čitljiv oblik, i evo ─ ovo je jednokratna lozinka!

    Kao što je ranije navedeno, RFC 4226 navodi da se HMAC rezultat skraćuje na najviše 8 decimalnih znamenki. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. Istovremeno, željeli smo zadržati jednostavnost korištenja (uostalom, podsjetimo, želimo napraviti sustav koji će koristiti obični ljudi, a ne samo sigurnosni geekovi), pa kao kompromis u Trenutna verzija sustava, odlučili smo skratiti latinicu na 8 znakova. Čini se da je 26^8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojavljuju vrijedni savjeti o tome kako poboljšati ovu shemu), proširit ćemo se, na primjer, na 10 znakova.

    Saznajte više o snazi ​​takvih zaporki

    Zapravo, za velika i mala slova latinice, broj opcija po znaku je 26; za velika i mala latinična slova plus brojeve, broj opcija je 26+26+10=62. Tada je log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je gotovo jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo će svakako biti dovoljno za 30 sekundi. Ako govorimo o lozinci od 8 znakova sastavljenoj od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je to još uvijek prihvatljivo za prozor od 30 sekundi.

    Magija, bez lozinke, aplikacije i sljedeći koraci

    Općenito, tu smo mogli stati, ali htjeli smo sustav učiniti još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi unijeti lozinku s tipkovnice!

    Zato smo počeli raditi na “magičnoj prijavi”. Ovom metodom autentifikacije korisnik pokreće aplikaciju na svom pametnom telefonu, upisuje svoj PIN kod i skenira QR kod na ekranu svog računala. Ako je PIN kod ispravno unesen, stranica u pregledniku se ponovno učitava i korisnik se autentificira. Magija!

    Kako radi?

    Broj sesije ugrađen je u QR kod, a kada ga aplikacija skenira, taj se broj prenosi na poslužitelj zajedno s lozinkom i korisničkim imenom generiranim na uobičajeni način. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući odgovor poslužitelja za provjeru lozinke za ovu sesiju. Ako poslužitelj odgovori da je lozinka točna, kolačići sesije postavljaju se zajedno s odgovorom i korisnik se smatra autentificiranim.

    Išlo je na bolje, ali odlučili smo da ni ovdje ne stanemo. Počevši od iPhonea 5S, Appleovi telefoni i tableti predstavili su TouchID skener otiska prsta i iOS verzije 8 rad s njim je dostupan i aplikacije trećih strana. U stvarnosti aplikacija ne dobiva pristup otisku prsta, ali ako je otisak ispravan, aplikaciji postaje dostupan dodatni odjeljak Keychain. Iskoristili smo ovo. Drugi dio tajne nalazi se u zapisu Keychaina zaštićenom TouchID-om, onom koji je korisnik unio s tipkovnice u prethodnom scenariju. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kao što je gore opisano.

    Ali postalo je nevjerojatno zgodno za korisnika: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i nalazi se autentificiranim u pregledniku na svom računalu! Stoga smo čimbenik znanja zamijenili biometrijskim i, s korisnikove točke gledišta, potpuno odustali od lozinki. Sigurni smo da će običnim ljudima ova shema biti mnogo prikladnija od ručni unos dvije lozinke.

    Diskutabilno je koliko je to tehnički dvofaktorska autentifikacija, ali u stvarnosti još uvijek trebate imati telefon i točan otisak prsta da biste je uspješno dovršili, tako da vjerujemo da smo prilično uspješno eliminirali faktor znanja, zamijenivši ga biometrijom . Razumijemo da se oslanjamo na sigurnost ARM TrustZone koja je u osnovi iOS Secure Enclave i vjerujemo da se ovaj podsustav trenutno može smatrati pouzdanim unutar našeg modela prijetnji. Naravno, svjesni smo problema s biometrijskom autentifikacijom: otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. No, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna praktičnosti, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.

    Dopustite mi da vas podsjetim da je ovo još uvijek beta. Sada, kada je omogućena dvofaktorska provjera autentičnosti, privremeno onemogućujemo sinkronizaciju lozinke u pregledniku Yandex. To je zbog načina na koji je baza podataka šifrirana. Već smišljamo prikladan način za provjeru autentičnosti preglednika u slučaju 2FA. Sve ostale funkcije Yandexa rade kao i prije.

    Ovo je ono što imamo. Čini se da je ispalo dobro, ali vi prosudite. Bit će nam drago čuti vaše povratne informacije i preporuke te ćemo nastaviti raditi na poboljšanju sigurnosti naših usluga: sada, uz sve ostalo, sada imamo i dvofaktornu autentifikaciju. Ne zaboravite da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga se plaća dvostruki bonus za greške pronađene u njima kao dio Bug Bounty programa.

    Oznake:

    • sigurnost
    • ovjera
    • 2FA
    Dodaj oznake