Bio je to rijedak post na blogu Yandex, posebno onaj vezan uz sigurnost, a da se ne spominje dvofaktorska autentifikacija. Dugo smo razmišljali kako pravilno ojačati zaštitu korisnički računi, i to tako da se može koristiti bez svih neugodnosti koje danas uključuju najčešće implementacije. A oni su, nažalost, nezgodni. Prema nekim podacima, na mnogim velikim stranicama udio korisnika koji su uključili dodatna sredstva autentifikacije, ne prelazi 0,1%.

Čini se da je to zato što je uobičajena dvofaktorska shema autentifikacije previše složena i nezgodna. Pokušali smo smisliti način koji bi bio praktičniji bez gubitka razine zaštite, a danas predstavljamo njegovu beta verziju.

Nadamo se da će postati rašireniji. Mi smo sa svoje strane spremni raditi na njegovom poboljšanju i naknadnoj standardizaciji.

Nakon što omogućite dvofaktorsku autentifikaciju u Passportu, morat ćete instalirati aplikaciju Yandex.Key u App Store ili Google Play. U obrascu ovlaštenja za početna stranica Yandex, QR kodovi pojavili su se u pošti i putovnici. Za prijavu na svoj račun potrebno je pročitati QR kod kroz aplikaciju – i to je to. Ako se QR kod ne može očitati, primjerice, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija će izraditi jednokratnu lozinku koja će vrijediti samo 30 sekundi.

Reći ću vam zašto smo odlučili ne koristiti takve "standardne" mehanizme kao što su RFC 6238 ili RFC 4226. Kako funkcioniraju uobičajene sheme provjere autentičnosti s dva faktora? Dvostupanjski su. Prva faza je normalna autentifikacija s prijavom i lozinkom. Ako je uspješna, stranica provjerava sviđa li joj se ova korisnička sesija ili ne. A ako vam se ne sviđa, od korisnika se traži "ponovna autentifikacija". Postoje dvije uobičajene metode "prethodne provjere autentičnosti": slanje SMS-a na telefonski broj povezan s računom i generiranje druge lozinke na pametnom telefonu. U osnovi, TOTP prema RFC 6238 koristi se za generiranje druge lozinke. Ako je korisnik ispravno unio drugu lozinku, sesija se smatra potpuno autentificiranom, a ako nije, tada sesija gubi i "prethodnu autentifikaciju".

U oba smjera ─ slanje SMS-a i generiranje zaporke ─ dokaz vlasništva nad telefonom i stoga su faktor dostupnosti. Lozinka unesena u prvoj fazi je faktor znanja. Stoga ova shema provjere autentičnosti nije samo dvostupanjska, već i dvostruka.

Što nam se činilo problematičnim u ovoj shemi?

Počnimo s činjenicom da se računalo prosječnog korisnika ne može uvijek nazvati modelom sigurnosti: ovdje je isključivanje Windows ažuriranja, i piratska kopija antivirusa bez modernih potpisa i softver sumnjivog podrijetla ─ sve to ne povećava razinu zaštite. Prema našoj procjeni, kompromitacija računala korisnika je najraširenija metoda “otmice” računa (a nedavno je to još jedna potvrda) i od toga se prije svega želimo zaštititi. U slučaju dvofaktorske autentifikacije, ako pretpostavite da je korisnikovo računalo ugroženo, unos lozinke na njemu kompromitira samu lozinku, što je prvi faktor. To znači da napadač treba odabrati samo drugi faktor. U slučaju uobičajenih implementacija RFC-a 6238, drugi faktor je 6 decimalne znamenke(a maksimum predviđen specifikacijom je 8 znamenki). Prema bruteforce kalkulatoru za OTP, u tri dana napadač je u stanju pronaći drugi faktor ako je na neki način postao svjestan prvog. Nije jasno koja se usluga može suprotstaviti ovom napadu bez sloma normalan rad korisnik. Jedini mogući dokaz rada je captcha, koja je, po našem mišljenju, zadnja opcija.

Drugi problem je neprozirnost prosudbe servisa o kvaliteti korisničke sesije i donošenje odluke o potrebi "pre-autentikacije". Još gore, usluga nije zainteresirana da ovaj proces bude transparentan, ─ uostalom, sigurnost putem nejasnoće ovdje zapravo funkcionira. Ako napadač zna na temelju čega servis donosi odluku o legitimnosti sesije, može pokušati krivotvoriti te podatke. Iz opća razmatranja možemo zaključiti da se prosudba temelji na povijesti autentifikacije korisnika, uzimajući u obzir IP adresu (i njezine izvedene brojeve autonomni sustav, identifikaciju pružatelja usluga i lokaciju na temelju geobaze) i podataka preglednika kao što je zaglavlje Korisnički agent i skup kolačića, flash lso i html lokalna pohrana. To znači da ako napadač kontrolira računalo korisnika, on ne samo da može ukrasti sve potrebne podatke, već i koristiti IP adresu žrtve. Štoviše, ako je odluka donesena na temelju ASN-a, tada svaka autentifikacija iz javni Wi-Fi u kafiću može dovesti do “trovanja” sa sigurnosnog aspekta (i bijeljenja sa stajališta usluge) ponuđača ovog kafića i npr. krečenja svih kafića u gradu. Razgovarali smo o tome kako sustav za otkrivanje anomalija funkcionira i mogao bi se koristiti, ali vrijeme između prve i druge faze autentifikacije možda neće biti dovoljno za pouzdanu prosudbu anomalije. Štoviše, isti argument uništava ideju "pouzdanih" računala: napadač može ukrasti bilo koju informaciju koja utječe na procjenu povjerenja.

Konačno, provjera autentičnosti u dva koraka jednostavno je nezgodna: naše istraživanje upotrebljivosti pokazuje da ništa ne iritira korisnike više od posredničkog zaslona, ​​dodatnih klikova na gumbe i drugih "nevažnih" radnji s njihove točke gledišta.
Na temelju toga odlučili smo da autentifikacija treba biti u jednom koraku i da prostor za lozinku treba biti puno veći nego što je moguće u okviru "čistog" RFC-a 6238.
U isto vrijeme, željeli smo očuvati dvofaktornu autentifikaciju što je više moguće.

Višefaktorska provjera autentičnosti definirana je dodjeljivanjem elemenata provjere autentičnosti (zapravo, oni se nazivaju faktori) jednoj od tri kategorije:

1. Faktori znanja (to su tradicionalne lozinke, PIN kodovi i sve što im sliči);
2. Faktori vlasništva (u OTP shemama koje se koriste, to je obično pametni telefon, ali može biti i hardverski token);
3. Biometrijski čimbenici (sada je najčešći otisak prsta, iako će se netko sjetiti epizode s likom Wesleyja Snipesa u filmu Demolition Man).

Razvoj našeg sustava

Kada smo počeli raditi na problemu dvofaktorske autentifikacije (prve stranice korporativnog wikija o ovom pitanju datiraju iz 2012., ali se o tome raspravljalo iza kulisa i ranije), prva ideja je bila da standardne metode autentifikaciju i primijeniti ih kod nas. Shvatili smo da ne možemo računati na to da će milijuni naših korisnika kupiti hardverski token, pa smo ovu opciju odgodili za neke egzotične slučajeve (iako je ne napuštamo u potpunosti, možda uspijemo smisliti nešto zanimljivo). SMS metoda također nije mogla biti široko rasprostranjena: to je vrlo nepouzdan način isporuke (u najvažnijem trenutku SMS može kasniti ili uopće ne stići), a Slanje SMS-a košta (i operateri su počeli povećavati njihove cijene). To smo odlučili koristeći SMS─ je sudbina banaka i drugih niskotehnoloških tvrtki, ali naši korisnici žele ponuditi nešto praktičnije. Općenito, izbor je bio mali: upotrijebite pametni telefon i program u njemu kao drugi faktor.

Ovaj oblik autentifikacije u jednom koraku je široko rasprostranjen: korisnik pamti PIN kod (prvi faktor) i ima hardverski ili softverski (u pametnom telefonu) token koji generira OTP (drugi faktor). U polje za unos lozinke upisuje PIN kod i trenutnu OTP vrijednost.

Po našem mišljenju, glavni nedostatak ove sheme isti je kao kod autentifikacije u dva koraka: ako pretpostavimo da je radna površina korisnika ugrožena, tada će unošenje PIN koda jednom dovesti do njegovog otkrivanja i napadač može pronaći samo drugi faktor.

Odlučili smo ići drugim putem: cijela se lozinka generira iz tajne, ali samo dio tajne je pohranjen u pametnom telefonu, a dio unosi korisnik svaki put kada se lozinka generira. Dakle, sam pametni telefon je faktor vlasništva, a lozinka ostaje u glavi korisnika i faktor je znanja.

Nonce može biti brojač ili trenutno vrijeme. Odlučili smo odabrati trenutno vrijeme, to nam omogućuje da se ne bojimo desinkronizacije u slučaju da netko generira previše lozinki i poveća brojač.

Dakle, imamo program za pametni telefon gdje korisnik unosi svoj dio tajne, on se miješa sa pohranjenim dijelom, rezultat se koristi kao HMAC ključ, kojim se potpisuje trenutno vrijeme, zaokruženo na 30 sekundi. HMAC izlaz je smanjen na čitljiv oblik, i evo ─ ovo je jednokratna lozinka!

Kao što je ranije navedeno, RFC 4226 navodi da se HMAC rezultat skraćuje na najviše 8 decimalnih znamenki. Odlučili smo da lozinka ove veličine nije prikladna za autentifikaciju u jednom koraku i da je treba povećati. Istovremeno, željeli smo zadržati jednostavnost korištenja (uostalom, podsjetimo, želimo napraviti sustav koji će koristiti obični ljudi, a ne samo sigurnosni geekovi), pa kao kompromis u trenutna verzija sustavu koji smo odlučili skratiti na 8 znakova latinica. Čini se da je 26^8 lozinki koje vrijede 30 sekundi sasvim prihvatljivo, ali ako nam sigurnosna margina ne odgovara (ili se na Habréu pojavljuju vrijedni savjeti o tome kako poboljšati ovu shemu), proširit ćemo se, na primjer, na 10 znakova.

Saznajte više o snazi ​​takvih zaporki

U stvari, za velika i mala slova latinice broj opcija po znaku je 26; za velika i mala slova plus brojke broj opcija je 26+26+10=62. Tada je log 62 (26 10) ≈ 7,9, odnosno lozinka od 10 nasumičnih malih latiničnih slova je gotovo jednako jaka kao lozinka od 8 nasumičnih velikih i malih latiničnih slova ili brojeva. Ovo će svakako biti dovoljno za 30 sekundi. Ako govorimo o lozinci od 8 znakova sastavljenoj od latiničnih slova, onda je njena snaga log 62 (26 8) ≈ 6,3, odnosno nešto više od lozinke od 6 znakova koja se sastoji od velikih, malih slova i brojeva. Mislimo da je to još uvijek prihvatljivo za prozor od 30 sekundi.

Magija, bez lozinke, aplikacije i sljedeći koraci

Općenito, tu smo mogli stati, ali htjeli smo sustav učiniti još praktičnijim. Kada osoba ima pametni telefon u ruci, ne želi unijeti lozinku s tipkovnice!

Zato smo počeli raditi na “magičnoj prijavi”. Ovom metodom autentifikacije korisnik pokreće aplikaciju na svom pametnom telefonu, upisuje svoj PIN kod i skenira QR kod na ekranu svog računala. Ako je PIN kod ispravno unesen, stranica u pregledniku se ponovno učitava i korisnik se autentificira. magija!

kako radi

QR kod sadrži broj sesije, a kada ga aplikacija skenira, taj se broj prenosi na poslužitelj zajedno s generiranim na uobičajeni način lozinku i korisničko ime. To nije teško, jer je pametni telefon gotovo uvijek na mreži. U izgledu stranice koja prikazuje QR kod, JavaScript je pokrenut, čekajući odgovor poslužitelja za provjeru lozinke za ovu sesiju. Ako poslužitelj odgovori da je lozinka točna, kolačići sesije postavljaju se zajedno s odgovorom i korisnik se smatra autentificiranim.

Išlo je na bolje, ali odlučili smo da ni ovdje ne stanemo. Od iPhone 5S u telefonima i Apple tablete pojavio se TouchID skener otiska prsta, a in iOS verzije 8 rad s njim je dostupan i aplikacije trećih strana. Zapravo, aplikacija nema pristup otisku prsta, ali ako je otisak ispravan, tada aplikacija može pristupiti dodatni odjeljak Privjesak za ključeve. Iskoristili smo ovo. Drugi dio tajne nalazi se u zapisu Keychaina zaštićenom TouchID-om, onom koji je korisnik unio s tipkovnice u prethodnom scenariju. Prilikom otključavanja privjeska za ključeve, dva dijela tajne se miješaju, a zatim proces radi kao što je gore opisano.

Ali postalo je nevjerojatno zgodno za korisnika: otvara aplikaciju, stavlja prst, skenira QR kod na ekranu i nalazi se autentificiranim u pregledniku na svom računalu! Stoga smo čimbenik znanja zamijenili biometrijskim i, s korisnikove točke gledišta, potpuno odustali od lozinki. Sigurni smo da obični ljudi Ova će se shema činiti mnogo prikladnijom od ručnog unosa dvije lozinke.

Može se raspravljati o tome koliko je formalno dvofaktorska provjera autentičnosti takva, ali u stvarnosti, da biste je uspješno dovršili, još uvijek morate imati telefon i posjedovati s ispravnim otiskom prsta prst, pa smatramo da smo u potpunosti uspjeli napustiti faktor znanja, zamijenivši ga biometrijom. Razumijemo da se oslanjamo na sigurnost ARM TrustZone koja pokreće iOS Secure Enclave i vjerujemo da sadašnji trenutak ovaj se podsustav može smatrati pouzdanim unutar našeg modela prijetnji. Naravno da znamo probleme biometrijska autentifikacija: Otisak prsta nije lozinka i ne može se zamijeniti ako je ugrožen. No, s druge strane, svi znaju da je sigurnost obrnuto proporcionalna praktičnosti, a korisnik sam ima pravo izabrati omjer jednog i drugog koji mu je prihvatljiv.

Dopustite mi da vas podsjetim da je ovo još uvijek beta. Sada, kada je omogućena dvofaktorska provjera autentičnosti, privremeno onemogućujemo sinkronizaciju lozinke u pregledniku Yandex. To je zbog načina na koji je baza podataka šifrirana. Već izmišljamo prikladan način Autentifikacija preglednika u slučaju 2FA. Sve ostale funkcije Yandexa rade kao i prije.

Ovo je ono što imamo. Čini se da je ispalo dobro, ali vi prosudite. Bit će nam drago čuti vaše povratne informacije i preporuke, a nastavit ćemo raditi na poboljšanju sigurnosti naših usluga: sada uz CSP, enkripciju transporta pošte i sve ostalo, sada imamo i dvofaktorsku autentifikaciju. Ne zaboravite da su usluge provjere autentičnosti i aplikacije za generiranje OTP-a kritične i stoga se plaća dvostruki bonus za pogreške pronađene u njima kao dio Bug Bounty programa.

Oznake: Dodajte oznake

Pokazat ću vam kako zaštititi svoj Mail račun omogućavanjem dvofaktorska autentifikacija na pošti. Unosom lozinke s vašeg Mail računa za vas telefon će doći SMS kod koji ćete morati unijeti za prijavu na svoj Mail račun.

1. Omogućite dvofaktorsku provjeru autentičnosti.

Idite na mail.ru, a zatim se prijavite na svoj račun unosom korisničkog imena i lozinke. Zatim, nakon prijave na svoj račun u gornjem desnom kutu, kliknite na postavke.

U postavkama unesite lozinku i sigurnost. A s desne strane nalazi se stavka koja se zove Sigurna prijava s SMS potvrdom. Pritisnite omogućiti.

Želite li doista omogućiti Yandex dvofaktorsku autentifikaciju?

Dvofaktorska autentifikacija pruža dodatni sloj zaštite za vaš račun. Nakon što je autentifikacija omogućena, kada se pokušate prijaviti poštanski sandučić morat ćete unijeti kod poslan kao SMS na povezani telefonski broj.

Unesite lozinku za svoj račun, navedite svoj telefonski broj i kliknite Nastavi.

Omogućena je dvofaktorska autentifikacija.

Dodajte lozinke za svaku aplikaciju.

Imajte na umu da sve vanjske aplikacije, u kojima ste koristili ovaj poštanski sandučić, prestali su raditi. Da biste ih ponovno počeli koristiti, idite na postavke i stvorite zaporke za svaku.

Kliknite na postavljanje dvofaktorske provjere autentičnosti.

to je sve Dvofaktorska autentifikacija već radi. Sada, nakon unosa lozinke za vaš mail.ru račun, dobit ćete SMS kod na svoj telefon, koji ćete morati unijeti da biste se prijavili na svoj račun. Dakle, ako netko sazna lozinku vašeg računa, i dalje se neće moći prijaviti na njega, jer će morati unijeti SMS kod, a SMS kod će biti poslan na vaš telefon.

2. Stvorite lozinku za vanjske aplikacije.

Možete nastaviti s postavljanjem i prilagodbom aplikacija Šišmiš! I Microsoft Outlook, ako ih koristite i tamo imate dodan svoj mail.ru poštanski sandučić. Pritisnite dodaj aplikaciju.

Izrada nove aplikacije. Za rad pošte u aplikacijama trećih strana potrebna je lozinka aplikacije.

Smislite naziv za ovu aplikaciju i kliknite na Create.

Uđi Trenutna lozinka sa svog mail.ru računa i kliknite Prihvati.

Aplikacija je uspješno izrađena. Vidjet ćete automatski generiranu lozinku za vaš The Bat! ili Microsoft Outlook, ako ih uopće koristite.

3. Izradite jednokratne kodove.

Također možete generirati jednokratnu lozinku. Ovo je u slučaju da je vaš telefon nedostupan ili vam je ukraden i ne možete koristiti svoj broj.

Jednokratni kod se može koristiti ako nema pristupa povezanom mobitel. Svaki od njih nakon upotrebe postaje neaktivan. Nakon ponovnog generiranja kodova, svi stari kodovi postaju nevažeći. Imajte na umu da će vam se prikazati samo jednom. Preporuča se ispisati generirane kodove i čuvati ih na sigurnom mjestu.

Kliknite generiraj.

Želite li stvarno generirati novi stol kodovi? Imajte na umu da vaši stari kodovi više neće biti valjani.

Pritisnite Nastavi.

Unesite trenutnu lozinku za svoj mail.ru račun i SMS kod koji će biti poslan na vaš broj.

Pritisnite Prihvati.

Jednokratni kodovi (koji se obično generiraju i šalju vam putem SMS-a) bit će generirani za vas. Spremite ih negdje (samo ne u svoj telefon, jer su za slučaj da nemate telefon sa sobom). Pa, nemoj ih nikome pokazivati. A ako uvijek držite svoj telefon sa sobom i sigurni ste da neće biti ukraden i da uvijek možete vratiti svoj broj, onda uopće ne možete koristiti jednokratne kodove i izbrisati ih.

Sada kada se pokušate prijaviti u svoju poštu na pametnom telefonu, tabletu ili negdje drugdje, unesite svoje korisničko ime i lozinku i kliknite na login.

Također ćete morati unijeti SMS kod koji će biti poslan na vaš broj ili generirani jednokratni kod. Ako više ne želite unositi SMS kod svaki put kada provjeravate e-poštu na svom pametnom telefonu, na primjer, označite kućicu Ne pitaj za ovaj uređaj.

A ako ne primite SMS kod, onda pritisnite problemi s prijavom?

Ako ne primite poruku u roku od nekoliko sekundi ili minuta, možete zatražiti ponovno slanje. Pritisnite Zahtjev.

A kada SMS kod stigne na vaš telefon, unesite ga i pritisnite enter.

Mnogi korisnici čije su aktivnosti povezane sa zarađivanjem novca na internetu ili pohranjivanjem na internetu važne informacije, pokušajte zaštititi svoje račune od hakiranja i krađe povjerljivih podataka.

Sigurno, složena lozinka, koji uključuje brojeve i slova, kao i posebni znakovi, dovoljno pouzdana zaštita, Ali maksimalan učinak pruža dvostruku autentifikaciju.

Međutim, ne znaju svi za ovu opciju zaštite svojih računa, i to unatoč činjenici da danas svi više usluga(poštarski radnici, društvenim mrežama itd.) ponuditi iskoristiti ovu priliku.

Što je autentifikacija u dva faktora?

Dakle, koja je metoda zaštite? govorimo o? Zapravo, već ste vidjeli provjeru u dva koraka. Na primjer, kada ćete izvršiti bilo koju operaciju s novcem na web stranici WebMoney, tada ćete, osim svoje prijave i lozinke, morati navesti kod za potvrdu koji će biti poslan na vaš mobilni telefon.

Drugim riječima, autentifikacija u dva faktora drugi je ključ vašeg računa. Ako aktivirate ovu opciju, na primjer, u Evernoteu (postoji takva mogućnost), tada će se napadač koji je uspio pogoditi lozinku za ovaj servis za bilježenje suočiti s još jednim problemom - zahtjevom za navođenjem jednokratnog koda koji se šalje na vaš telefonski broj . Važno je napomenuti da ćete, ako se pokuša hakirati vaš račun, primiti SMS i moći ćete odmah promijeniti lozinku.

Složite se da je ovo vrlo zgodna opcija, pomoću koje ćete manje brinuti o gubitku osobnih podataka.

Gdje ga je najbolje koristiti?

Naravno, neki korisnici mogu prigovoriti, tvrdeći da je autentifikacija u dva koraka previše "nepotrebnih koraka", a općenito je namijenjena paranoičnim ljudima koji uvijek misle da ih netko promatra.

Možda su na neki način u pravu. Na primjer, za društvene mreže uopće nije potrebno koristiti ovu metodu zaštita. Iako se ovdje može raspravljati. U pravilu, napadači pokušavaju hakirati račune administratora popularnih "publika". A vi, najvjerojatnije, također ne biste željeli jednog dana primijetiti da je vaš račun hakirana je jedna od “društvenih mreža” i na “Zid” su postavljene potpuno nepristojne fotografije.

Što se tiče drugih usluga, na primjer, Yandex dvofaktorska provjera autentičnosti omogućit će vam sigurno pohranjivanje podataka o registraciji s WebMoneya i drugih) ili pisama koja sadrže tajne informacije.

Zaštita Google računa

Jedan od najpopularnijih servisa danas je Google. Ovdje možete registrirati e-mail račun, pohraniti dokumente na Google Drive, kreirati besplatan blog ili kanal na YouTubeu koji vam kasnije može donijeti zaradu.

Kako bi korisnici bili sigurni u sigurnost dokumenata pohranjenih na pošti ili disku, nudi im se dva faktora Google autentifikacija. Da biste ga aktivirali, morate se prijaviti na svoj račun.

Sada, nakon što ste otvorili, na primjer, svoj poštanski sandučić, obratite pozornost na avatar s desne strane gornji kut. Kliknite na njega i idite na "Moj račun". Ovdje vam je potreban odjeljak "Sigurnost i prijava", odnosno poveznica "Prijava na Google račun".

S desne strane vidjet ćete opciju “Two-Step Verification” gdje je potrebno kliknuti na strelicu da biste je aktivirali. Otvorit će se prozor u kojem vas zanima gumb "Nastavi s postavljanjem". Unesite svoju lozinku i slijedite daljnje upute.

Dvofaktorska autentifikacija "Yandex"

Yandex svojim korisnicima također nudi dosta toga korisne usluge. Osim pohrana u oblaku informacije na Yandex.Disk, možete stvoriti e-novčanik, gdje ćete podići novac zarađen na internetu.

I, naravno, Yandex nije stajao po strani i također nudi svojim korisnicima korištenje dvofaktorske provjere autentičnosti za zaštitu dokumenata pohranjenih u poštanskom sandučiću.

Da biste ga omogućili, morat ćete učiniti nekoliko stvari: jednostavne akcije. Prijavite se na svoj račun i kliknite LMB na profilnu sliku (gornji desni kut). Na padajućem izborniku odaberite "Putovnica". Otvorit će se prozor u kojem trebate kliknuti na poveznicu “Kontrola pristupa”. Postavite “klizač” u položaj “ON”. Bit ćete preusmjereni na stranicu na kojoj trebate kliknuti na gumb "Pokreni postavljanje". Sada prođite kroz 4 koraka za aktiviranje dvofaktorske zaštite.

Društvena mreža "VKontakte"

Kao što je gore spomenuto, napadači obično pokušavaju dobiti pristup "administratorskim" računima. popularne grupe. Ali to nije uvijek slučaj, jer jednostavno osobna korespondencija neke osobe poznate na internetu može biti od interesa.

Vrijedno je napomenuti da kod nekih korisnika ova metoda zaštite računa s vremenom počinje izazivati ​​iritaciju jer zahtijeva stalni unos tajni kod osim prijave i lozinke. U takvim slučajevima morate znati kako onemogućiti dvostruku autentifikaciju. Međutim, prvo ćemo se pozabaviti aktiviranjem ove opcije.

Zapravo, omogućavanje provjere u dva koraka vrlo je jednostavno. Odaberite "Moje postavke", a zatim idite na karticu "Sigurnost". U odjeljku "Potvrda prijave" kliknite na gumb "Poveži se". Sada slijedite sve zahtjeve jedan po jedan.

Onemogući dvofaktorsku autentifikaciju

Kako bi se deaktivirao dvostupanjska zaštita u Yandexu, morat ćete ponovno otići na "Putovnicu" klikom na svoj avatar. Nakon toga otvorite odjeljak "Kontrola pristupa" i postavite klizač na položaj "Isključeno".

Zaključak

Sada znate što je autentifikacija s dvije petlje i zašto je potrebna. Korištenjem ove ili one usluge možete je aktivirati dodatnu zaštitu ili odbiti ovu priliku.

Naravno, u nekim je slučajevima vrlo preporučljivo uključiti autentifikacija u dva koraka. Na primjer, prilikom registracije na WebMoney, naveli ste svoju e-poštu od Yandexa. Tijekom rada na internetu možete postati žrtva hakera koji će hakirati vaš poštanski sandučić i dobiti pristup elektronički novčanik. Kako se to ne bi dogodilo, bolje je instalirati i povezati svoju e-poštu s telefonom. Na taj način možete brzo reagirati ako vas pokušaju hakirati.

Dva faktora Apple autentifikacija ID je nova tehnologija pružajući sigurnost za račun, osiguravajući da će pristup njemu biti omogućen samo njegovom vlasniku. Štoviše, čak i ako netko drugi zna znakove zaporke za račun, on se i dalje neće moći prijaviti u sustav umjesto zakonitog vlasnika ID-a.

Korištenje ove tehnologije omogućuje pristup vašem računu isključivo s pouzdanih uređaja - iPhone, tablet ili MacBook. Kada se prvi put prijavljujete na novom gadgetu, morat ćete navesti dvije vrste podataka - znakove zaporke i kontrolni kod u 6-znamenkasti format. Znakovi koda automatski se ažurira na ovim uređajima. Nakon što je ušao novi gadget smatrat će se pouzdanim. Recimo ako u dostupnost iPhonea, kada se prvi put prijavljujete na svoj račun na tek kupljenom MacBooku, morat ćete unijeti znakove lozinke i kod za provjeru, koji će se automatski pojaviti na zaslonu iPhonea.

Budući da znakovi lozinke nisu dovoljni za pristup računu, koriste se i druge vrste verifikacije, sigurnosni pokazatelj ID broja je značajno povećan.

Nakon prijave, kod se više neće tražiti na ovom uređaju - sve dok se ne odjavite i ne izbrišu sve informacije na gadgetu ili dok se ne moraju promijeniti znakovi zaporke (također iz sigurnosnih razloga). Ako se prijavite putem mreže, preglednik možete učiniti pouzdanim i sljedeći put kada budete radili s istim uređajem nećete morati unositi kod.

Provjereni gadgeti: što su oni?

To ne može biti bilo koji “Apple” uređaj - samo iPhone, iPad s operativnim sustavom Touch verzije 9 ili novijom, kao i MacBook s operativnim sustavom Capitan ili novijim. Sustavi ovih gadgeta moraju biti prijavljeni korištenjem dvofaktorske provjere.

Ukratko, radi se o uređaju za koji Apple pouzdano zna kome pripada, a putem kojeg možete potvrditi svoj identitet pokazivanjem potvrdnog koda prilikom prijave s drugog gadgeta ili preglednika.

Provjereni telefonski brojevi

To su oni koji se mogu koristiti za primanje potvrdnih kodova putem tekstualnih poruka ili poziva. Morate potvrditi barem jedan broj da biste pristupili identifikaciji s dva faktora.

Također možete potvrditi druge brojeve - kućni ili prijateljski/rodbinski. Kada privremeno nema pristupa glavnom, možete ih koristiti.

Postavljanje pravila

Ako uređaj ima OS verziju 10.3 ili stariju, algoritam radnji bit će sljedeći:

• Idite na odjeljak postavki, na lozinku i stavku sigurnosti.
• Kliknite na odjeljak kako biste omogućili identifikaciju u 2 faktora.
• Kliknite na opciju za nastavak.

Ako gadget ima OS 10.2 ili stariji, koraci će biti sljedeći:

• Idite na iCloud postavke.
• Odaberite svoj ID broj i idite na odjeljak sigurnosne lozinke.
• Kliknite na opciju za omogućavanje 2-faktorske autentifikacije.
• Klikom na element nastavka.

Kako onemogućiti dvostruku autentifikaciju u Apple ID-u?

Mnogi ljudi se pitaju može li se ova tehnologija isključiti. naravno da. Ali zapamtite da će nakon isključivanja račun biti slabo zaštićen - samo sa simbolima zaporke i pitanjima.

Da biste ga onemogućili, morat ćete se prijaviti u stavku uređivanja na stranici vašeg računa (na sigurnosnoj kartici). Zatim kliknite na odjeljak za isključivanje dvofaktorske identifikacije. Nakon postavljanja novog sigurnosna pitanja i suglasnosti s navedenim datumom rođenja, tehnologija je deaktivirana.

Ako ga netko ponovno aktivira za ID bez znanja pravog vlasnika, bit će ga moguće onemogućiti putem e-maila. Dalje, kao i prije, trebate kliknuti na rubriku onemogući autentifikaciju na samom dnu poruke koju ste ranije primili e-mailom. Link će biti aktivan još dva tjedna. Klikom na njega omogućit ćete vraćanje prethodnih sigurnosnih postavki ID-a i kontrolu nad vašim računom.

Autentifikacija s dva faktora ili 2FA metoda je identifikacije korisnika u bilo kojoj usluzi koja koristi dva razne vrste podaci za provjeru autentičnosti. Uvod dodatna razina pruža više sigurnosti učinkovitu zaštitu račun od neovlaštenog pristupa.

Dvofaktorska autentifikacija zahtijeva da korisnik ima dvije od tri vrste identifikacijskih informacija.

Ovo su vrste:

• Nešto što on zna;
• Nešto što ima;
• Nešto njemu svojstveno (biometrija).

Očito se prva točka odnosi na različite lozinke, PIN kodovi, tajne fraze i tako dalje, odnosno nešto što korisnik pamti i na zahtjev unosi u sustav.

Druga točka je žeton, tj kompaktni uređaj, koji je u vlasništvu korisnika. Najviše jednostavni žetoni ne zahtijevaju fizička veza na računalo - imaju zaslon na kojem se ispisuje broj koji korisnik upisuje u sustav za prijavu - složeniji se na računala spajaju preko USB i Bluetooth sučelja.

Danas pametni telefoni mogu djelovati kao tokeni jer su postali sastavni dio naših života. U ovom slučaju, takozvana jednokratna lozinka generira se ili pomoću posebna primjena(Na primjer Google autentifikator), ili dolazi putem SMS-a - ovo je najjednostavniji i najlakši način, koji neki stručnjaci ocjenjuju manje pouzdanim.

Tijekom istraživanja, u kojem je sudjelovalo 219 ljudi različitog spola, dobi i zanimanja, postalo je poznato da više od polovice ispitanika koristi dvofaktornu SMS autentifikaciju na društvenim mrežama (54,48%) i pri radu s financijama (69,42%).

Međutim, kada je riječ o poslovima, preferiraju se tokeni (45,36%). No, zanimljivo je da je broj ispitanika koji ove tehnologije koriste i dobrovoljno i po nalogu nadređenih (ili zbog drugih uvjerljivih okolnosti) približno isti.

Grafikon popularnosti raznih tehnologija po područjima djelovanja

Grafikon interesa ispitanika za 2FA

Tokeni uključuju vremenski sinkronizirane jednokratne lozinke i jednokratne lozinke temeljene na vremenu. matematički algoritam. Vremenski sinkronizirane jednokratne lozinke stalno se i povremeno mijenjaju. Takvi žetoni pohranjuju u memoriju broj sekundi proteklih od 1. siječnja 1970. i prikazuju dio tog broja na zaslonu.

Kako bi se korisnik mogao prijaviti, mora postojati sinkronizacija između tokena klijenta i autentifikacijskog poslužitelja. Glavni problem je da se mogu desinkronizirati tijekom vremena, ali neki sustavi, kao što je RSA-ov SecurID, pružaju mogućnost ponovne sinkronizacije tokena s poslužiteljem unosom višestrukih pristupnih kodova. Štoviše, mnogi od tih uređaja nemaju zamjenjive baterije, stoga imaju ograničen vijek trajanja.

Kao što naziv sugerira, lozinke matematičkog algoritma koriste algoritme (kao što su hash lanci) za generiranje niza jednokratne lozinke Po tajni ključ. U ovom slučaju nemoguće je predvidjeti koja će biti sljedeća lozinka, čak i znajući sve prethodne.

Ponekad se 2FA implementira pomoću biometrijskih uređaja i metoda autentifikacije (treća točka). To mogu biti, na primjer, skeneri lica, otiska prsta ili mrežnice.

Ovdje je problem što su takve tehnologije vrlo skupe, iako su točne. Još jedan problem s korištenjem biometrijskih skenera je taj što nije očito odrediti potreban stupanj točnosti.

Ako rezoluciju skenera otiska prsta postavite na maksimalnu, tada riskirate da nećete moći pristupiti servisu ili uređaju ako dobijete opekline ili vam se ruke jednostavno smrznu. Stoga je za uspješnu potvrdu ovog autentifikatora dovoljno nepotpuno podudaranje otiska prsta sa standardom. Također je vrijedno napomenuti da je fizički nemoguće promijeniti takvu "biolozinku".

Koliko je sigurna autentifikacija u dva faktora?

Ovaj dobro pitanje. 2FA nije neprobojan za napadače, ali im znatno otežava život. "Upotrebom 2FA eliminirate prilično veliku kategoriju napada", kaže Jim Fenton, direktor sigurnosti u OneID-u. Da bi probili dvofaktorsku autentifikaciju, negativci će morati ukrasti vaše otiske prstiju ili dobiti pristup kolačićima ili kodovima koje generiraju tokeni.

Potonje se može postići, na primjer, korištenjem phishing napada ili zlonamjernih softver. Ima još jedan neobičan način: napadači su dobili pristup računu novinara Wireda Matta Honnana pomoću funkcije oporavka računa.

Oporavak računa djeluje kao alat za zaobilaženje dvofaktorske autentifikacije. Fenton je nakon Mattove priče osobno napravio Google račun, aktivirao 2FA i pretvarao se da je "izgubio" podatke za prijavu. "Trebalo mi je neko vrijeme da vratim svoj račun, ali tri dana kasnije primio sam e-poruku u kojoj je pisalo da je 2FA onemogućen", napominje Fenton. Međutim, i ovaj problem ima rješenja. Po najmanje, rade na njima.

"Mislim da je biometrija jedan od tih načina", kaže tehnički direktor Duo Security Jon Oberheide. – Ako izgubim telefon, neće mi trebati vječnost da vratim sve svoje račune. Kad bi postojala dobra biometrijska metoda, to bi bio pouzdan i koristan mehanizam oporavka.” U biti, John predlaže korištenje jednog oblika 2FA za autentifikaciju i drugog za oporavak.

Gdje se koristi 2FA?

Evo nekih od glavnih usluga i društvenih mreža koje nude ovu značajku: Facebook, Gmail, Twitter, LinkedIn, Steam. Njihovi programeri nude izbor između: SMS autentifikacije, popisa jednokratnih lozinki, Google Authenticatora itd. Instagram je nedavno predstavio 2FA kako bi zaštitio sve vaše fotografije.

Međutim, postoji zanimljiva točka. Vrijedno je uzeti u obzir da provjera autentičnosti u dva faktora dodaje još jedan u postupak provjere autentičnosti dodatni korak, a ovisno o implementaciji, to može uzrokovati ili manje (ili nikakve) probleme s prijavom ili veće probleme.

Uglavnom, odnos prema tome ovisi o korisnikovom strpljenju i želji da poveća sigurnost računa. Fenton je izrazio sljedeću misao: “2FA je dobre stvari, ali može zagorčati život korisnicima. Stoga ga ima smisla unijeti samo u onim slučajevima kada je prijava s nepoznatog uređaja.”

Dvofaktorska autentifikacija nije lijek, ali može uvelike poboljšati sigurnost vašeg računa uz minimalan napor. Zagorčavanje života hakerima uvijek je dobra stvar, stoga možete i trebate koristiti 2FA.

Što je sljedeće za 2FA?

Danas se vjeruje sigurnosnim metodama koje se temelje na tehnikama višestruke provjere autentičnosti veliki broj poduzeća, uključujući organizacije s terena visoke tehnologije, sektori financijskog i tržišta osiguranja, velike bankarske institucije i poduzeća javnog sektora, neovisne stručne organizacije, kao i istraživačke tvrtke.

Oberheid napominje da su mnogi korisnici koji su bili skeptični prema dvofaktorskoj autentifikaciji ubrzo otkrili da to i nije tako komplicirano. Danas 2FA doživljava pravi procvat, a bilo koju popularnu tehnologiju puno je lakše unaprijediti. Unatoč poteškoćama, pred njom je svijetla budućnost.

p.s. Usput, nedavno smo uveli dvofaktorsku autentifikaciju kako bismo povećali sigurnost osobni račun 1 oblak. Nakon aktivacije ovu metodu Za ulazak u upravljačku ploču korisnik ne treba samo unijeti adresu elektronička pošta i lozinku, ali i jedinstveni kod primljen putem SMS-a.