Ia adalah catatan yang jarang berlaku di blog Yandex, terutamanya yang berkaitan dengan keselamatan, tanpa menyebut pengesahan dua faktor. Kami berfikir untuk masa yang lama tentang cara menguatkan perlindungan dengan betul akaun pengguna, dan dalam cara yang boleh digunakan tanpa semua kesulitan yang termasuk pelaksanaan yang paling biasa hari ini. Dan mereka, malangnya, menyusahkan. Menurut beberapa data, pada banyak tapak besar bahagian pengguna yang dihidupkan dana tambahan pengesahan, tidak melebihi 0.1%.

Nampaknya ini adalah kerana skim pengesahan dua faktor biasa terlalu rumit dan menyusahkan. Kami cuba menghasilkan kaedah yang lebih mudah tanpa kehilangan tahap perlindungan, dan hari ini kami membentangkan versi betanya.

Kami berharap ia menjadi lebih meluas. Bagi pihak kami, kami bersedia untuk mengusahakan penambahbaikan dan penyeragaman seterusnya.

Selepas mendayakan pengesahan dua faktor dalam Pasport, anda perlu memasang aplikasi Yandex.Key di App Store atau Google Play. Dalam borang kebenaran untuk halaman rumah Yandex, kod QR muncul dalam Mel dan Pasport. Untuk log masuk ke akaun anda, anda perlu membaca kod QR melalui aplikasi - dan itu sahaja. Jika kod QR tidak boleh dibaca, contohnya, kamera telefon pintar tidak berfungsi atau tiada akses ke Internet, aplikasi akan mencipta kata laluan sekali sahaja yang akan sah selama 30 saat sahaja.

Saya akan memberitahu anda mengapa kami memutuskan untuk tidak menggunakan mekanisme "standard" seperti RFC 6238 atau RFC 4226. Bagaimanakah skim pengesahan dua faktor biasa berfungsi? Mereka adalah dua peringkat. Peringkat pertama ialah pengesahan biasa dengan log masuk dan kata laluan. Jika ia berjaya, tapak menyemak sama ada ia "suka" sesi pengguna ini atau tidak. Dan, jika anda tidak menyukainya, ia meminta pengguna untuk "mengesah semula." Terdapat dua kaedah biasa "pra-pengesahan": menghantar SMS ke nombor telefon yang dikaitkan dengan akaun dan menjana kata laluan kedua pada telefon pintar. Pada asasnya, TOTP mengikut RFC 6238 digunakan untuk menjana kata laluan kedua. Jika pengguna memasukkan kata laluan kedua dengan betul, sesi itu dianggap disahkan sepenuhnya, dan jika tidak, maka sesi kehilangan "pra-pengesahan" juga.

Kedua-dua cara ─ menghantar SMS dan penjanaan kata laluan ─ bukti pemilikan telefon dan oleh itu merupakan faktor ketersediaan. Kata laluan yang dimasukkan pada peringkat pertama adalah faktor pengetahuan. Oleh itu, skim pengesahan ini bukan sahaja dua langkah, tetapi juga dua faktor.

Apa yang kelihatan bermasalah kepada kami dalam skim ini?

Mari kita mulakan dengan fakta bahawa komputer pengguna biasa tidak boleh sentiasa dipanggil model keselamatan: di sinilah mematikan Kemas kini Windows, dan salinan cetak rompak antivirus tanpa tandatangan moden, dan perisian asal yang meragukan ─ semua ini tidak meningkatkan tahap perlindungan. Menurut penilaian kami, menjejaskan komputer pengguna ialah kaedah "rampas" akaun yang paling meluas (dan baru-baru ini terdapat satu lagi pengesahan tentang perkara ini), dan inilah yang kami mahu melindungi diri kami daripada pertama sekali. Dalam kes pengesahan dua faktor, jika anda menganggap bahawa komputer pengguna terjejas, memasukkan kata laluan padanya menjejaskan kata laluan itu sendiri, yang merupakan faktor pertama. Ini bermakna penyerang hanya perlu memilih faktor kedua. Dalam kes pelaksanaan biasa RFC 6238, faktor kedua ialah 6 digit perpuluhan(dan maksimum yang disediakan oleh spesifikasi ialah 8 digit). Menurut kalkulator bruteforce untuk OTP, dalam tiga hari penyerang dapat mencari faktor kedua jika dia sedar tentang faktor pertama. Tidak jelas apakah perkhidmatan itu boleh mengatasi serangan ini tanpa melanggar kerja biasa pengguna. Satu-satunya bukti kerja yang mungkin adalah captcha, yang, pada pendapat kami, adalah pilihan terakhir.

Masalah kedua ialah kelegapan pertimbangan perkhidmatan tentang kualiti sesi pengguna dan membuat keputusan tentang keperluan untuk "pra-pengesahan". Lebih teruk lagi, perkhidmatan itu tidak berminat untuk menjadikan proses ini telus, kerana keselamatan melalui ketidakjelasan sebenarnya berfungsi di sini. Jika penyerang tahu atas dasar apa perkhidmatan membuat keputusan tentang kesahihan sesi, dia boleh cuba memalsukan data ini. daripada pertimbangan umum kita boleh membuat kesimpulan bahawa penghakiman dibuat berdasarkan sejarah pengesahan pengguna, dengan mengambil kira alamat IP (dan nombor terbitannya sistem autonomi, mengenal pasti pembekal dan lokasi berdasarkan geobase) dan data penyemak imbas seperti pengepala Ejen Pengguna dan satu set kuki, flash lso dan storan tempatan html. Ini bermakna jika penyerang mengawal komputer pengguna, dia bukan sahaja boleh mencuri semua data yang diperlukan, tetapi juga menggunakan alamat IP mangsa. Lebih-lebih lagi, jika keputusan dibuat berdasarkan ASN, maka sebarang pengesahan daripada Wi-Fi awam di kedai kopi boleh membawa kepada "keracunan" dari sudut keselamatan (dan pemutihan dari sudut perkhidmatan) pembekal kedai kopi ini dan, sebagai contoh, pemutihan semua kedai kopi di bandar. Kami bercakap tentang cara sistem pengesanan anomali berfungsi, dan ia boleh digunakan, tetapi masa antara peringkat pertama dan kedua pengesahan mungkin tidak mencukupi untuk menilai anomali dengan yakin. Selain itu, hujah yang sama memusnahkan idea komputer "dipercayai": penyerang boleh mencuri sebarang maklumat yang mempengaruhi pertimbangan amanah.

Akhir sekali, pengesahan dua langkah menyusahkan: penyelidikan kebolehgunaan kami menunjukkan bahawa tiada apa yang merengsakan pengguna lebih daripada skrin perantara, klik butang tambahan dan tindakan "tidak penting" lain dari sudut pandangan mereka.
Berdasarkan ini, kami memutuskan bahawa pengesahan haruslah satu langkah dan ruang kata laluan harus lebih besar daripada yang mungkin dalam rangka kerja RFC 6238 "tulen".
Pada masa yang sama, kami ingin mengekalkan pengesahan dua faktor sebanyak mungkin.

Pengesahan berbilang faktor ditakrifkan dengan memberikan elemen pengesahan (sebenarnya, ia dipanggil faktor) kepada salah satu daripada tiga kategori:

1. Faktor pengetahuan (ini adalah kata laluan tradisional, kod PIN dan semua yang kelihatan seperti mereka);
2. Faktor pemilikan (dalam skim OTP yang digunakan, ini biasanya telefon pintar, tetapi juga boleh menjadi token perkakasan);
3. Faktor biometrik (cap jari adalah yang paling biasa sekarang, walaupun seseorang akan mengingati episod dengan watak Wesley Snipes dalam filem Demolition Man).

Pembangunan sistem kami

Apabila kami mula menangani masalah pengesahan dua faktor (halaman pertama wiki korporat mengenai isu ini bermula pada tahun 2012, tetapi ia telah dibincangkan di belakang tabir sebelum ini), idea pertama adalah untuk mengambil kaedah piawai pengesahan dan gunakannya dengan kami. Kami faham bahawa kami tidak boleh mengharapkan berjuta-juta pengguna kami untuk membeli token perkakasan, jadi kami menangguhkan pilihan ini untuk beberapa kes eksotik (walaupun kami tidak meninggalkannya sepenuhnya, mungkin kami akan dapat menghasilkan sesuatu yang menarik). Kaedah SMS juga tidak boleh meluas: ia adalah kaedah penyampaian yang sangat tidak boleh dipercayai (pada saat yang paling penting SMS mungkin ditangguhkan atau tidak tiba sama sekali), dan Penghantaran SMS kos wang (dan pengendali telah mula menaikkan harga mereka). Kami memutuskan itu menggunakan SMS─ adalah banyak bank dan syarikat teknologi rendah yang lain, tetapi pengguna kami ingin menawarkan sesuatu yang lebih mudah. Secara umum, pilihannya adalah kecil: gunakan telefon pintar dan program di dalamnya sebagai faktor kedua.

Bentuk pengesahan satu langkah ini meluas: pengguna mengingati kod PIN (faktor pertama), dan mempunyai token perkakasan atau perisian (dalam telefon pintar) yang menjana OTP (faktor kedua). Dalam medan kemasukan kata laluan, dia memasukkan kod PIN dan nilai OTP semasa.

Pada pendapat kami, kelemahan utama skim ini adalah sama seperti pengesahan dua langkah: jika kami menganggap bahawa desktop pengguna terjejas, maka memasukkan kod PIN sekali akan membawa kepada pendedahannya dan penyerang hanya boleh mencari yang kedua. faktor.

Kami memutuskan untuk pergi ke laluan yang berbeza: keseluruhan kata laluan dijana daripada rahsia, tetapi hanya sebahagian daripada rahsia disimpan dalam telefon pintar, dan sebahagiannya dimasukkan oleh pengguna setiap kali kata laluan dijana. Oleh itu, telefon pintar itu sendiri adalah faktor pemilikan, dan kata laluan kekal dalam kepala pengguna dan merupakan faktor pengetahuan.

Nonce boleh sama ada kaunter atau masa semasa. Kami memutuskan untuk memilih masa semasa, ini membolehkan kami tidak takut penyahsegerakan sekiranya seseorang menjana terlalu banyak kata laluan dan meningkatkan kaunter.

Jadi, kami mempunyai program untuk telefon pintar di mana pengguna memasuki bahagian rahsianya, ia bercampur dengan bahagian yang disimpan, hasilnya digunakan sebagai kunci HMAC, yang digunakan untuk menandatangani masa semasa, dibundarkan kepada 30 saat. Keluaran HMAC dikurangkan kepada bentuk yang boleh dibaca, dan voila ─ inilah kata laluan sekali!

Seperti yang dinyatakan sebelum ini, RFC 4226 menentukan bahawa keputusan HMAC dipotong kepada maksimum 8 digit perpuluhan. Kami memutuskan bahawa kata laluan sebesar ini tidak sesuai untuk pengesahan satu langkah dan perlu ditingkatkan. Pada masa yang sama, kami ingin mengekalkan kemudahan penggunaan (lagipun, biar kami ingatkan anda, kami mahu membuat sistem yang akan digunakan oleh orang biasa, dan bukan hanya pakar keselamatan), jadi sebagai kompromi dalam versi terkini sistem yang kami pilih untuk memotong kepada 8 aksara abjad Latin. Nampaknya kata laluan 26^8 yang sah selama 30 saat agak boleh diterima, tetapi jika margin keselamatan tidak sesuai dengan kami (atau petua berharga tentang cara menambah baik skim ini muncul di Habré), kami akan mengembangkan, sebagai contoh, kepada 10 aksara.

Ketahui lebih lanjut tentang kekuatan kata laluan sedemikian

Malah, untuk huruf Latin tidak peka huruf besar kecil, bilangan pilihan bagi setiap aksara ialah 26; untuk huruf Latin besar dan kecil ditambah nombor, bilangan pilihan ialah 26+26+10=62. Kemudian log 62 (26 10) ≈ 7.9, iaitu kata laluan 10 huruf Latin kecil rawak hampir sama kuatnya dengan kata laluan 8 huruf atau nombor Latin besar dan kecil rawak. Ini pasti akan cukup untuk 30 saat. Jika kita bercakap tentang kata laluan 8 aksara yang diperbuat daripada huruf Latin, maka kekuatannya ialah log 62 (26 8) ≈ 6.3, iaitu, lebih sedikit daripada kata laluan 6 aksara yang diperbuat daripada huruf besar, huruf kecil dan nombor. Kami fikir ini masih boleh diterima untuk tetingkap 30 saat.

Sihir, tanpa kata laluan, aplikasi dan langkah seterusnya

Secara umum, kami boleh berhenti di sana, tetapi kami mahu menjadikan sistem itu lebih mudah. Apabila seseorang mempunyai telefon pintar di tangannya, dia tidak mahu memasukkan kata laluan dari papan kekunci!

Itulah sebabnya kami mula bekerja pada "log masuk ajaib". Dengan kaedah pengesahan ini, pengguna melancarkan aplikasi pada telefon pintarnya, memasukkan kod PINnya ke dalamnya dan mengimbas kod QR pada skrin komputernya. Jika kod PIN dimasukkan dengan betul, halaman dalam penyemak imbas dimuatkan semula dan pengguna disahkan. Sihir!

Bagaimanakah ia berfungsi?

Kod QR mengandungi nombor sesi, dan apabila aplikasi mengimbasnya, nombor ini dihantar ke pelayan bersama-sama dengan dengan cara biasa kata laluan dan nama pengguna. Ini tidak sukar, kerana telefon pintar hampir selalu dalam talian. Dalam susun atur halaman yang menunjukkan kod QR, JavaScript sedang berjalan, menunggu respons daripada pelayan untuk menyemak kata laluan untuk sesi ini. Jika pelayan menjawab bahawa kata laluan adalah betul, kuki sesi ditetapkan bersama-sama dengan respons dan pengguna dianggap disahkan.

Ia menjadi lebih baik, tetapi kami memutuskan untuk tidak berhenti di sini juga. Sejak iPhone 5S dalam telefon dan Tablet epal pengimbas cap jari TouchID muncul, dan masuk versi iOS 8 bekerja dengannya tersedia dan aplikasi pihak ketiga. Sebenarnya, aplikasi itu tidak mempunyai cap jari, tetapi jika cap jari itu betul, maka aplikasi itu dapat mengakses bahagian tambahan Rantai kunci. Kami mengambil kesempatan ini. Bahagian kedua rahsia diletakkan dalam rekod Rantai Kunci yang dilindungi TouchID, yang dimasukkan pengguna dari papan kekunci dalam senario sebelumnya. Apabila membuka kunci Rantai Kunci, kedua-dua bahagian rahsia bercampur, dan kemudian proses berfungsi seperti yang diterangkan di atas.

Tetapi ia telah menjadi sangat mudah untuk pengguna: dia membuka aplikasi, meletakkan jarinya, mengimbas kod QR pada skrin dan mendapati dirinya disahkan dalam penyemak imbas pada komputernya! Jadi kami menggantikan faktor pengetahuan dengan faktor biometrik dan, dari sudut pandangan pengguna, kata laluan yang ditinggalkan sepenuhnya. Kami yakin itu orang biasa Skim ini kelihatan lebih mudah daripada memasukkan dua kata laluan secara manual.

Seseorang boleh memperdebatkan betapa formal pengesahan dua faktor jenis pengesahan ini, tetapi sebenarnya, untuk berjaya menyelesaikannya anda masih perlu mempunyai telefon dan memiliki dengan cap jari yang betul jari, jadi kami percaya bahawa kami telah berjaya sepenuhnya meninggalkan faktor pengetahuan, menggantikannya dengan biometrik. Kami faham bahawa kami bergantung pada keselamatan ARM TrustZone yang menguatkan iOS Secure Enclave dan percaya bahawa pada masa ini subsistem ini boleh dianggap dipercayai dalam model ancaman kami. Sudah tentu kita tahu masalahnya pengesahan biometrik: Cap jari bukan kata laluan dan tidak boleh diganti jika dikompromi. Tetapi, sebaliknya, semua orang tahu bahawa keselamatan adalah berkadar songsang dengan kemudahan, dan pengguna itu sendiri mempunyai hak untuk memilih nisbah satu dan yang lain yang boleh diterima olehnya.

Biar saya ingatkan anda bahawa ini masih beta. Sekarang, apabila pengesahan dua faktor didayakan, kami melumpuhkan penyegerakan kata laluan buat sementara waktu dalam Pelayar Yandex. Ini disebabkan oleh cara pangkalan data kata laluan disulitkan. Kami sudah mencipta cara yang mudah Pengesahan penyemak imbas dalam kes 2FA. Semua fungsi Yandex lain berfungsi seperti sebelumnya.

Inilah yang kami dapat. Nampaknya ia telah menjadi baik, tetapi anda menjadi hakim. Kami akan gembira mendengar maklum balas dan cadangan anda, dan kami akan terus berusaha untuk meningkatkan keselamatan perkhidmatan kami: kini, bersama-sama dengan CSP, penyulitan pengangkutan mel dan segala-galanya, kami kini mempunyai pengesahan dua faktor. Jangan lupa bahawa perkhidmatan pengesahan dan aplikasi penjanaan OTP adalah kritikal dan oleh itu bonus berganda dibayar untuk ralat yang ditemui di dalamnya sebagai sebahagian daripada program Bug Bounty.

Tag: Tambah tag

Saya akan menunjukkan kepada anda cara untuk melindungi akaun Mel anda dengan mendayakan pengesahan dua faktor pada Mel. Dengan memasukkan kata laluan daripada akaun Mel anda kepada anda telefon akan datang Kod SMS yang anda perlu masukkan untuk log masuk ke akaun Mel anda.

1. Dayakan pengesahan dua faktor.

Pergi ke mail.ru kemudian log masuk ke akaun anda dengan memasukkan nama pengguna dan kata laluan anda. Kemudian, selepas log masuk ke akaun anda di bahagian atas sebelah kanan, klik pada tetapan.

Dalam Tetapan, masukkan Kata Laluan dan Keselamatan. Dan di sebelah kanan terdapat item yang dipanggil Log Masuk Selamat dengan pengesahan SMS. Klik dayakan.

Adakah anda benar-benar mahu mendayakan pengesahan dua faktor Yandex?

Pengesahan dua faktor menyediakan lapisan perlindungan tambahan untuk akaun anda. Selepas pengesahan didayakan, apabila anda cuba log masuk Peti surat anda perlu memasukkan kod yang dihantar sebagai SMS ke nombor telefon yang disambungkan.

Masukkan kata laluan akaun anda, nyatakan nombor telefon anda dan klik teruskan.

Pengesahan dua faktor didayakan.

Tambah kata laluan untuk setiap aplikasi.

Sila ambil perhatian bahawa segala-galanya aplikasi luaran, di mana anda menggunakan peti mel ini, telah berhenti berfungsi. Untuk mula menggunakannya semula, pergi ke tetapan dan buat kata laluan untuk setiap satu.

Klik sediakan pengesahan dua faktor.

Itu sahaja. Pengesahan dua faktor sudah berfungsi. Sekarang, selepas memasukkan kata laluan untuk akaun mail.ru anda, anda akan menerima kod SMS pada telefon anda, yang anda perlu masukkan untuk log masuk ke akaun anda. Oleh itu, jika seseorang mengetahui kata laluan akaun anda, mereka masih tidak akan dapat log masuk ke dalamnya, kerana mereka perlu memasukkan kod SMS, dan kod SMS akan dihantar ke telefon anda.

2. Buat kata laluan untuk aplikasi luaran.

Anda boleh terus menyediakan dan menyesuaikan aplikasi Kelawar itu! Dan Microsoft Outlook, jika anda menggunakannya dan mempunyai peti mel mail.ru anda ditambahkan di sana. Klik tambah aplikasi.

Mencipta aplikasi baharu. Kata laluan aplikasi diperlukan untuk mel berfungsi dalam aplikasi pihak ketiga.

Dapatkan nama untuk aplikasi ini dan klik buat.

Masuk Kata Laluan Semasa daripada akaun mail.ru anda dan klik terima.

Aplikasi telah berjaya dibuat. Anda akan melihat kata laluan yang dijana secara automatik untuk The Bat anda! atau Microsoft Outlook, jika anda menggunakannya sama sekali.

3. Buat kod sekali sahaja.

Anda juga boleh menjana kata laluan sekali sahaja. Ini sekiranya telefon anda tidak tersedia atau ia dicuri daripada anda dan anda tidak boleh menggunakan nombor anda.

Kod sekali sahaja boleh digunakan jika tiada akses kepada yang disambungkan telefon bimbit. Setiap daripada mereka menjadi tidak aktif selepas digunakan. Selepas menjana semula kod, semua kod lama menjadi tidak sah. Sila ambil perhatian bahawa mereka hanya akan ditunjukkan kepada anda sekali. Anda disyorkan untuk mencetak kod yang dijana dan menyimpannya di tempat yang selamat.

Klik jana.

Adakah anda benar-benar ingin menjana meja baru kod? Sila ambil perhatian bahawa kod lama anda tidak akan sah lagi.

Klik teruskan.

Masukkan kata laluan semasa untuk akaun mail.ru anda dan kod SMS yang akan dihantar ke nombor anda.

Klik terima.

Kod sekali sahaja (yang biasanya dijana dan dihantar kepada anda melalui SMS) akan dijana untuk anda. Simpan mereka di suatu tempat (hanya tidak dalam telefon anda, kerana ia hanya sekiranya anda tidak membawa telefon anda). Nah, jangan tunjukkan kepada sesiapa. Dan jika anda sentiasa menyimpan telefon anda dengan anda dan yakin bahawa ia tidak akan dicuri dan anda sentiasa boleh memulihkan nombor anda, maka anda tidak boleh menggunakan kod sekali sahaja dan memadamkannya.

Sekarang apabila anda cuba log masuk ke mel anda pada telefon pintar atau tablet atau di tempat lain, masukkan nama pengguna dan kata laluan anda dan klik log masuk.

Anda juga perlu memasukkan kod SMS yang akan dihantar ke nombor anda atau kod sekali sahaja yang dijana. Jika anda tidak lagi mahu memasukkan kod SMS setiap kali anda menyemak e-mel pada telefon pintar anda, contohnya, kemudian tandai kotak jangan tanya untuk peranti ini.

Dan jika anda tidak menerima kod SMS, kemudian tekan masalah log masuk?

Jika anda tidak menerima mesej dalam masa beberapa saat atau minit, anda boleh meminta untuk menghantar semula. Klik Permintaan.

Dan apabila kod SMS tiba pada telefon anda, masukkannya dan tekan enter.

Ramai pengguna yang aktivitinya berkaitan dengan membuat wang di Internet atau menyimpan dalam talian maklumat penting, cuba melindungi akaun mereka daripada penggodaman dan kecurian data sulit.

Sudah tentu, kata laluan yang kompleks, yang merangkumi nombor dan huruf, serta Simbol khas, cukup perlindungan yang boleh dipercayai, Tetapi kesan maksimum menyediakan pengesahan dua faktor.

Walau bagaimanapun, tidak semua orang tahu tentang pilihan ini untuk melindungi akaun mereka, dan ini walaupun pada hakikatnya hari ini semua orang lebih banyak perkhidmatan(pekerja pos, rangkaian sosial dan lain-lain) menawarkan untuk memanfaatkan peluang ini.

Apakah pengesahan dua faktor?

Jadi, apakah kaedah perlindungan? kita bercakap tentang? Malah, anda telah pun melihat pengesahan dua langkah. Sebagai contoh, apabila anda akan melakukan sebarang operasi dengan wang di laman web WebMoney, maka, sebagai tambahan kepada log masuk dan kata laluan anda, anda perlu menunjukkan kod pengesahan yang akan dihantar ke telefon mudah alih anda.

Dengan kata lain, pengesahan dua faktor ialah kunci kedua kepada akaun anda. Jika anda mengaktifkan pilihan ini, sebagai contoh, dalam Evernote (ada kemungkinan sedemikian), maka penyerang yang berjaya meneka kata laluan untuk perkhidmatan pengambilan nota ini akan menghadapi masalah lain - keperluan untuk menentukan kod sekali sahaja yang dihantar ke nombor telefon anda . Perlu diingat bahawa jika percubaan dibuat untuk menggodam akaun anda, anda akan menerima SMS dan anda akan dapat menukar kata laluan anda dengan serta-merta.

Setuju bahawa ini adalah pilihan yang sangat mudah, yang mana anda akan kurang bimbang tentang kehilangan maklumat peribadi.

Di manakah tempat terbaik untuk menggunakannya?

Sudah tentu, sesetengah pengguna mungkin membantah, dengan alasan bahawa pengesahan dua langkah adalah terlalu banyak "langkah yang tidak perlu", dan secara umum, ia bertujuan untuk orang paranoid yang sentiasa berfikir bahawa seseorang sedang memerhati mereka.

Mungkin mereka betul dalam beberapa cara. Sebagai contoh, untuk rangkaian sosial ia tidak perlu digunakan sama sekali kaedah ini perlindungan. Walaupun di sini seseorang boleh berhujah. Sebagai peraturan, penyerang cuba menggodam akaun pentadbir "orang awam" yang popular. Dan anda, kemungkinan besar, juga tidak mahu suatu hari nanti menyedari bahawa anda Akaun salah satu "rangkaian sosial" telah digodam dan gambar yang benar-benar tidak senonoh telah disiarkan di "Dinding".

Bagi perkhidmatan lain, sebagai contoh, pengesahan dua faktor Yandex akan membolehkan anda menyimpan data pendaftaran anda dengan selamat dari WebMoney dan lain-lain) atau surat yang mengandungi maklumat rahsia.

Perlindungan Akaun Google

Salah satu perkhidmatan yang paling popular hari ini ialah Google. Di sinilah anda boleh mendaftar akaun e-mel, menyimpan dokumen di Google Drive, mencipta blog atau saluran di YouTube secara percuma, yang kemudiannya boleh membawa keuntungan kepada anda.

Agar pengguna yakin dengan keselamatan dokumen yang disimpan pada mel atau cakera, mereka ditawarkan dua faktor Pengesahan Google. Untuk mengaktifkannya, anda mesti log masuk ke akaun anda.

Sekarang, setelah membuka, sebagai contoh, peti mel anda, perhatikan avatar di sebelah kanan bucu atas. Klik padanya dan pergi ke "Akaun Saya". Di sini anda memerlukan bahagian "Keselamatan dan Log Masuk", iaitu pautan "Log masuk ke Akaun Google".

Di sebelah kanan anda akan melihat pilihan "Pengesahan Dua Langkah", di mana anda perlu mengklik anak panah untuk mengaktifkannya. Tetingkap akan dibuka di mana anda berminat dengan butang "Teruskan dengan persediaan". Masukkan kata laluan anda dan ikut arahan selanjutnya.

Pengesahan dua faktor "Yandex"

Yandex juga menawarkan penggunanya agak banyak perkhidmatan yang berguna. Kecuali penyimpanan awan maklumat tentang Yandex.Disk, anda boleh buat dompet dalam talian, di mana anda akan mengeluarkan wang yang diperoleh di Internet.

Dan, tentu saja, Yandex tidak mengetepikan dan juga menawarkan penggunanya untuk menggunakan pengesahan dua faktor untuk melindungi dokumen yang disimpan dalam peti mel.

Untuk mendayakannya, anda perlu melakukan beberapa perkara: tindakan mudah. Log masuk ke akaun anda dan klik LMB pada foto profil anda (sudut kanan atas). Pilih "Pasport" daripada menu lungsur. Tetingkap akan dibuka di mana anda perlu mengklik pada pautan "Kawalan Akses". Tetapkan "gelangsar" kepada kedudukan "HIDUP". Anda akan dialihkan ke halaman di mana anda perlu mengklik pada butang "Mulakan persediaan". Sekarang pergi melalui 4 langkah untuk mengaktifkan perlindungan dua faktor.

Rangkaian sosial VKontakte"

Seperti yang dinyatakan di atas, penyerang biasanya cuba mendapatkan akses kepada akaun "pentadbir". kumpulan popular. Tetapi ini tidak selalu berlaku, kerana hanya surat-menyurat peribadi seseorang yang terkenal di Internet mungkin menarik.

Perlu diingat bahawa bagi sesetengah pengguna kaedah perlindungan akaun ini mula menyebabkan kerengsaan dari semasa ke semasa, kerana ia memerlukan input berterusan kod rahsia kecuali untuk log masuk dan kata laluan. Dalam kes sedemikian, anda perlu tahu cara untuk melumpuhkan pengesahan dua faktor. Walau bagaimanapun, pertama kita akan berurusan dengan mengaktifkan pilihan ini.

Sebenarnya, mendayakan pengesahan dua langkah adalah sangat mudah. Pilih "Tetapan Saya" dan kemudian pergi ke tab "Keselamatan". Dalam bahagian "Pengesahan Log Masuk", klik pada butang "Sambung". Sekarang ikut semua keperluan satu persatu.

Lumpuhkan pengesahan dua faktor

Untuk menyahaktifkan perlindungan dua peringkat dalam Yandex, anda perlu pergi ke "Pasport" anda sekali lagi dengan mengklik pada avatar anda. Selepas itu, buka bahagian "Kawalan Akses" dan tetapkan peluncur ke kedudukan "Mati".

Kesimpulan

Sekarang anda tahu apa itu pengesahan dua gelung dan mengapa ia diperlukan. Dengan menggunakan perkhidmatan ini atau itu, anda boleh mengaktifkan ini perlindungan tambahan atau menolak peluang ini.

Sudah tentu, dalam beberapa kes sangat disyorkan untuk dimasukkan pengesahan dua langkah. Sebagai contoh, semasa mendaftar di WebMoney, anda menunjukkan e-mel anda daripada Yandex. Semasa bekerja di Internet, anda mungkin menjadi mangsa penggodam yang akan menggodam peti mel anda dan mendapat akses kepada dompet elektronik. Untuk mengelakkan perkara ini daripada berlaku, adalah lebih baik untuk memasang dan memautkan e-mel anda ke telefon anda. Dengan cara ini anda boleh bertindak balas dengan cepat jika mereka cuba menggodam anda.

Dua faktor Pengesahan Apple ID ialah Teknologi baru menyediakan keselamatan untuk akaun, memastikan akses kepadanya akan diberikan hanya kepada pemiliknya. Selain itu, walaupun orang lain mengetahui aksara kata laluan untuk akaun tersebut, dia masih tidak akan dapat log masuk ke sistem dan bukannya pemilik sah ID tersebut.

Penggunaan teknologi ini menyediakan akses kepada akaun anda secara eksklusif daripada peranti yang dipercayai - iPhone, tablet atau MacBook. Apabila log masuk buat kali pertama pada alat baharu, anda perlu menentukan dua jenis data - aksara kata laluan dan kod pengesahan dalam format 6 digit. aksara kod dikemas kini secara automatik pada peranti ini. Selepas memandu masuk alat baru akan dianggap dipercayai. Katakan jika dalam ketersediaan iPhone, apabila log masuk ke akaun anda buat kali pertama pada MacBook yang baru dibeli, anda perlu memasukkan aksara kata laluan dan kod pengesahan, yang akan muncul secara automatik pada paparan iPhone.

Memandangkan aksara kata laluan tidak mencukupi untuk mengakses akaun, jenis pengesahan lain juga digunakan, penunjuk keselamatan nombor ID meningkat dengan ketara.

Selepas log masuk, kod tidak lagi akan diminta pada peranti ini sehingga anda log keluar dan semua maklumat pada alat dipadamkan atau aksara kata laluan perlu ditukar (juga untuk tujuan keselamatan). Jika anda log masuk melalui rangkaian, anda boleh menjadikan penyemak imbas dipercayai dan pada kali seterusnya anda bekerja dengan peranti yang sama, anda tidak perlu memasukkan kod tersebut.

Alat yang terbukti: apakah itu?

Ini tidak boleh menjadi sebarang peranti "Apple" - hanya iPhone, iPad dengan sistem pengendalian Touch versi 9 atau lebih baru, serta MacBook dengan sistem pengendalian Capitan atau yang lebih terkini. Sistem alat ini mesti dilog masuk menggunakan pengesahan 2 faktor.

Ringkasnya, ini ialah peranti yang Apple tahu pasti miliknya, dan melaluinya anda boleh mengesahkan identiti anda dengan menunjukkan kod pengesahan semasa log masuk dari alat atau penyemak imbas lain.

Nombor telefon yang disahkan

Ini adalah yang boleh digunakan untuk menerima kod pengesahan melalui mesej teks atau panggilan. Anda mesti mengesahkan sekurang-kurangnya satu nombor untuk mengakses pengenalan 2 faktor.

Anda juga boleh mengesahkan nombor lain - rumah, atau rakan/saudara. Apabila tiada akses kepada yang utama buat sementara waktu, anda boleh menggunakannya.

Menetapkan peraturan

Jika peranti mempunyai OS versi 10.3 atau lebih lama, algoritma tindakan adalah seperti berikut:

• Pergi ke bahagian tetapan, ke kata laluan dan item keselamatan.
• Klik pada bahagian untuk mendayakan pengenalan 2 faktor.
• Klik pada pilihan teruskan.

Jika alat mempunyai OS 10.2 atau lebih awal, langkah-langkahnya adalah seperti berikut:

• Pergi ke tetapan iCloud.
• Pilih nombor ID anda dan pergi ke bahagian kata laluan keselamatan.
• Klik pada pilihan untuk mendayakan pengesahan 2 faktor.
• Mengklik pada elemen sambungan.

Bagaimana untuk melumpuhkan pengesahan dua faktor dalam ID Apple?

Ramai orang tertanya-tanya sama ada teknologi ini boleh dimatikan. Sudah tentu YA. Tetapi ingat bahawa selepas mematikan, akaun akan dilindungi dengan lemah - hanya dengan simbol kata laluan dan soalan.

Untuk melumpuhkannya, anda perlu log masuk ke item suntingan pada halaman akaun anda (dalam tab keselamatan). Kemudian klik pada bahagian untuk mematikan pengenalan dua faktor. Selepas menetapkan baru soalan keselamatan dan persetujuan dengan tarikh lahir yang ditentukan, teknologi dinyahaktifkan.

Jika seseorang mengaktifkannya semula untuk mendapatkan ID tanpa pengetahuan pemilik yang sah, ia boleh dilumpuhkan melalui e-mel. Seterusnya, seperti sebelum ini, anda perlu klik pada bahagian lumpuhkan pengesahan di bahagian paling bawah mesej yang anda terima sebelum ini melalui e-mel. Pautan akan aktif selama dua minggu lagi. Mengklik padanya akan membolehkan anda memulihkan tetapan keselamatan ID anda sebelum ini dan mengawal akaun anda.

Pengesahan dua faktor atau 2FA ialah kaedah mengenal pasti pengguna dalam mana-mana perkhidmatan yang menggunakan dua pelbagai jenis data pengesahan. pengenalan tahap tambahan memberikan lebih keselamatan perlindungan yang berkesan akaun daripada akses tanpa kebenaran.

Pengesahan dua faktor memerlukan pengguna mempunyai dua daripada tiga jenis maklumat pengenalan.

Ini adalah jenis-jenisnya:

• Sesuatu yang dia tahu;
• Sesuatu yang dia ada;
• Sesuatu yang melekat padanya (biometrik).

Jelas sekali, perkara pertama termasuk kata laluan yang berbeza, kod PIN, frasa rahsia dan sebagainya, iaitu sesuatu yang pengguna ingat dan masukkan ke dalam sistem apabila diminta.

Titik kedua ialah token, iaitu peranti padat, yang dimiliki oleh pengguna. Paling banyak token mudah tidak memerlukan sambungan fizikal ke komputer - mereka mempunyai paparan yang memaparkan nombor yang pengguna masukkan ke dalam sistem untuk log masuk - yang lebih kompleks menyambung ke komputer melalui antara muka USB dan Bluetooth.

Hari ini, telefon pintar boleh bertindak sebagai token kerana ia telah menjadi sebahagian daripada kehidupan kita. Dalam kes ini, kata laluan yang dipanggil sekali dijana sama ada menggunakan aplikasi khas(Sebagai contoh Pengesah Google), atau datang melalui SMS - ini adalah kaedah yang paling mudah dan paling mesra pengguna, yang sesetengah pakar menilai sebagai kurang dipercayai.

Dalam perjalanan kajian, yang melibatkan 219 orang berbeza jantina, umur dan profesion, diketahui bahawa lebih separuh daripada responden menggunakan pengesahan SMS dua faktor di rangkaian sosial (54.48%) dan ketika bekerja dengan kewangan (69.42%). ).

Walau bagaimanapun, apabila ia berkaitan dengan isu kerja, token diutamakan (45.36%). Tetapi apa yang menarik ialah bilangan responden yang menggunakan teknologi ini secara sukarela dan atas perintah atasan mereka (atau disebabkan oleh keadaan lain yang memaksa) adalah lebih kurang sama.

Graf populariti pelbagai teknologi mengikut bidang aktiviti

Graf minat responden terhadap 2FA

Token termasuk kata laluan satu masa yang disegerakkan masa dan kata laluan satu masa berasaskan masa. algoritma matematik. Kata laluan satu kali yang disegerakkan masa sentiasa dan secara berkala ditukar. Token sedemikian menyimpan dalam ingatan bilangan saat yang telah berlalu sejak 1 Januari 1970, dan memaparkan sebahagian daripada nombor ini pada paparan.

Untuk membolehkan pengguna log masuk, mesti ada penyegerakan antara token klien dan pelayan pengesahan. masalah utama ialah ia boleh menjadi tidak segerak dari semasa ke semasa, tetapi sesetengah sistem, seperti SecurID RSA, menyediakan keupayaan untuk menyegerakkan semula token dengan pelayan dengan memasukkan berbilang kod akses. Lebih-lebih lagi, kebanyakan peranti ini tidak mempunyai bateri yang boleh diganti, oleh itu mereka mempunyai hayat perkhidmatan yang terhad.

Seperti namanya, kata laluan algoritma matematik menggunakan algoritma (seperti rantaian cincang) untuk menjana satu siri kata laluan sekali sahaja Oleh kunci rahsia. Dalam kes ini, adalah mustahil untuk meramalkan kata laluan seterusnya, walaupun mengetahui semua kata laluan sebelumnya.

Kadangkala 2FA dilaksanakan menggunakan peranti biometrik dan kaedah pengesahan (titik ketiga). Ini mungkin, sebagai contoh, pengimbas muka, cap jari atau retina.

Masalahnya di sini ialah teknologi sedemikian sangat mahal, walaupun ia tepat. Masalah lain dengan menggunakan pengimbas biometrik ialah tidak jelas untuk menentukan tahap ketepatan yang diperlukan.

Jika anda menetapkan resolusi pengimbas cap jari kepada maksimum, maka anda berisiko tidak dapat mengakses perkhidmatan atau peranti jika anda melecur atau tangan anda dibekukan. Oleh itu, untuk berjaya mengesahkan pengesah ini, padanan cap jari yang tidak lengkap dengan standard adalah memadai. Ia juga perlu diperhatikan bahawa secara fizikal mustahil untuk menukar "biopassword" sedemikian.

Sejauh manakah pengesahan dua faktor selamat?

ini soalan yang baik. 2FA tidak boleh ditembusi oleh penyerang, tetapi ia menjadikan hidup mereka lebih sukar. "Dengan menggunakan 2FA, anda menghapuskan kategori serangan yang agak besar," kata Jim Fenton, pengarah keselamatan di OneID. Untuk memecahkan pengesahan dua faktor, orang jahat perlu mencuri cap jari anda atau mendapatkan akses kepada kuki atau kod yang dijana oleh token.

Yang terakhir boleh dicapai, contohnya, menggunakan serangan pancingan data atau berniat jahat perisian. Ada lagi satu cara yang luar biasa: penyerang mendapat akses ke akaun wartawan Wired Matt Honnan menggunakan fungsi pemulihan akaun.

Pemulihan akaun bertindak sebagai alat untuk memintas pengesahan dua faktor. Fenton, selepas cerita Matt, mencipta akaun Google secara peribadi, mengaktifkan 2FA, dan berpura-pura "kehilangan" maklumat log masuknya. "Ia mengambil sedikit masa untuk memulihkan akaun, tetapi tiga hari kemudian saya menerima e-mel bahawa 2FA telah dilumpuhkan," kata Fenton. Namun, masalah ini juga ada penyelesaiannya. Oleh sekurang-kurangnya, mereka sedang mengusahakannya.

"Saya fikir biometrik adalah salah satu cara itu," kata Pengarah teknikal Keselamatan Duo Jon Oberheide. – Jika saya kehilangan telefon saya, saya tidak akan mengambil masa selama-lamanya untuk memulihkan semua akaun saya. Jika kaedah biometrik yang baik wujud, ia akan menjadi mekanisme pemulihan yang boleh dipercayai dan berguna." Pada asasnya, John mencadangkan menggunakan satu bentuk 2FA untuk pengesahan dan satu lagi untuk pemulihan.

Di manakah 2FA digunakan?

Berikut ialah beberapa perkhidmatan utama dan rangkaian sosial yang menawarkan ciri ini: Facebook, Gmail, Twitter, LinkedIn, Steam. Pembangun mereka menawarkan pilihan: Pengesahan SMS, senarai kata laluan sekali, Pengesah Google, dll. Instagram baru-baru ini memperkenalkan 2FA untuk melindungi semua foto anda.

Namun, ada point yang menarik. Perlu dipertimbangkan bahawa pengesahan dua faktor menambah satu lagi pada proses pengesahan langkah tambahan, dan bergantung pada pelaksanaan, ini boleh menyebabkan sama ada masalah log masuk kecil (atau tidak) atau masalah besar.

Untuk sebahagian besar, sikap terhadap perkara ini bergantung pada kesabaran dan keinginan pengguna untuk meningkatkan keselamatan akaun. Fenton menyatakan pemikiran berikut: “2FA ialah benda baik, tetapi ia boleh menyusahkan pengguna. Oleh itu, masuk akal untuk memasukkannya hanya untuk kes tersebut apabila log masuk adalah daripada peranti yang tidak diketahui.”

Pengesahan dua faktor bukanlah ubat mujarab, tetapi ia boleh meningkatkan keselamatan akaun anda dengan usaha yang minimum. Menjadikan hidup lebih sukar untuk penggodam sentiasa perkara yang baik, jadi anda boleh dan harus menggunakan 2FA.

Apa yang seterusnya untuk 2FA?

Kaedah perlindungan berdasarkan teknik pengesahan berbilang faktor dipercayai hari ini nombor besar syarikat, termasuk organisasi dari lapangan Teknologi tinggi, sektor pasaran kewangan dan insurans, institusi perbankan besar dan perusahaan sektor awam, organisasi pakar bebas, serta firma penyelidikan.

Oberheid menyatakan bahawa ramai pengguna yang ragu-ragu tentang pengesahan dua faktor tidak lama kemudian mendapati bahawa ia tidak begitu rumit. Hari ini, 2FA sedang mengalami ledakan yang nyata, dan mana-mana teknologi popular adalah lebih mudah untuk diperbaiki. Walaupun menghadapi kesukaran, dia mempunyai masa depan yang cerah di hadapannya.

P.S. By the way, kami baru-baru ini memperkenalkan pengesahan dua faktor untuk meningkatkan keselamatan akaun peribadi 1awan. Selepas pengaktifan kaedah ini Untuk memasuki panel kawalan, pengguna bukan sahaja perlu memasukkan alamat E-mel dan kata laluan, tetapi juga kod unik yang diterima melalui SMS.