เมื่อคุณคิดถึงวิธีรักษาความปลอดภัยบัญชีของคุณบนเว็บไซต์และบริการบนอินเทอร์เน็ต สิ่งแรกที่นึกถึงคือการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ในด้านหนึ่ง จะช่วยลดโอกาสที่บัญชีของเราจะถูกแฮ็ก ในทางกลับกัน จะทำให้เราระคายเคืองโดยทำให้เราเข้าสู่ระบบได้ยากขึ้น

ด้านล่างนี้เราจะดูตัวเลือกต่างๆ ที่มีให้เลือก การรับรองความถูกต้องด้วยสองปัจจัยและตำนานบางอย่างเกี่ยวกับเรื่องนี้ก็ถูกปัดเป่าไป

ทางเลือก 2FA ที่พบบ่อยที่สุด

ยืนยันผ่าน SMS

เป็นเรื่องปกติในแอปพลิเคชันและบริการที่จะเสนอให้เพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยอย่างน้อยผ่านทางข้อความ SMS เช่นเมื่อลงชื่อเข้าใช้บัญชี คุณสามารถใช้ 2FA ทุกครั้งที่คุณลงชื่อเข้าใช้บัญชีของคุณหรือเฉพาะจากอุปกรณ์ใหม่เท่านั้น ขั้นตอนที่สองของการรับรองความถูกต้องคือสมาร์ทโฟนหรือโทรศัพท์มือถือ

ข้อความ SMS ประกอบด้วยรหัสแบบใช้ครั้งเดียวซึ่งจะต้องป้อนลงในบริการหรือเว็บไซต์ แฮกเกอร์ที่ต้องการแฮ็กบัญชีจะต้องเข้าถึงโทรศัพท์ของเจ้าของเพื่อรับรหัสนี้ ปัญหาอาจจะ การสื่อสารเคลื่อนที่- จะเป็นอย่างไรหากคุณพบว่าตัวเองอยู่ในสถานที่ที่ไม่มีสัญญาณครอบคลุม หรือเดินทางโดยไม่มีผู้ให้บริการเครือข่ายของคุณ? จากนั้นคุณเองจะไม่สามารถเข้าสู่บัญชีของคุณโดยไม่ได้รับรหัสการเข้าถึง

ในกรณีส่วนใหญ่ วิธีนี้เป็นวิธีที่สะดวก เนื่องจากเกือบทุกคนมีโทรศัพท์และอยู่ใกล้ๆ เสมอ บริการบางอย่างก็มี ระบบอัตโนมัติซึ่งพูดรหัสออกมาดัง ๆ ทำให้คุณสามารถรับรหัสได้แม้ผ่านทางโทรศัพท์แบบมีสาย

Google Authenticator / รหัสที่สร้างโดยแอป

เป็นไปได้ ทางเลือกที่ดีที่สุด SMS เพราะไม่ได้ขึ้นอยู่กับผู้ให้บริการโทรคมนาคม มีโอกาสที่คุณจะใช้แอปสร้างโค้ดอย่างน้อยหนึ่งแอปแล้ว Google Authenticatorสำหรับ Android และ iPhone เป็นข้อเสนอยอดนิยมในโปรแกรมประเภทนี้

หลังจากตั้งค่าแล้ว บริการเฉพาะในการใช้ Authenticator หน้าต่างจะปรากฏขึ้นเพื่อขอให้คุณป้อนรหัสอนุญาตพร้อมกับข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณ จะให้รหัสนี้. แอป Googleเครื่องยืนยันตัวตนบนสมาร์ทโฟน อายุการใช้งานของรหัสคำนวณเป็นนาที ดังนั้นคุณต้องป้อนให้ตรงเวลา ไม่เช่นนั้นคุณจะต้องได้รับรหัสใหม่ ถึงแม้จะอยู่ในชื่อเรื่องก็ตาม คำว่ากูเกิลคุณสามารถเพิ่มบริการมากมายที่นี่นอกเหนือจาก Gmail รวมถึง Dropbox, LastPass, Amazon บริการบนเว็บ, Evernote และอื่นๆ

หากคุณไม่ไว้วางใจ Google ก็มีทางเลือกมากมาย โดยที่ Authy นั้นดีที่สุด ข้อเสนอ Authy ได้รับการเข้ารหัส การสำรองข้อมูลรหัสที่สร้างขึ้น รองรับหลายแพลตฟอร์ม และทำงานออฟไลน์ LastPass เพิ่งเปิดตัวเครื่องยืนยันตัวตนของตัวเองเมื่อไม่นานมานี้

แอปพลิเคชันเหล่านี้ใช้เวลาหลายปีทั้งที่มีและไม่มีการเข้าถึงอินเทอร์เน็ต ข้อเสียเพียงอย่างเดียวคือกระบวนการติดตั้งแอปพลิเคชันที่ซับซ้อน

วิธีการพิสูจน์ตัวตนทางกายภาพ

หากมีการใช้รหัสแอพพลิเคชั่นและ ข้อความฟังดูซับซ้อนเกินไป มีตัวเลือกอื่น: ปุ่มทางกายภาพการรับรองความถูกต้อง นี่คืออุปกรณ์ USB ขนาดเล็กที่สามารถพกพาไปพร้อมกับกุญแจได้ (เช่นเดียวกับที่แสดงในรูปภาพของคีย์ความปลอดภัย FIDO U2F) เมื่อคุณลงชื่อเข้าใช้บัญชีของคุณบนคอมพิวเตอร์เครื่องใหม่ ให้ใส่ คีย์ยูเอสบีและคลิกที่ปุ่ม

บริษัทจำนวนหนึ่งกำลังทำงานเพื่อสร้างมาตรฐานที่เรียกว่า U2F การบัญชี โพสต์ของ Google, Dropbox และ GitHub เข้ากันได้กับแท็ก U2F แล้ว ในอนาคต คีย์การรับรองความถูกต้องทางกายภาพจะใช้งานได้กับมาตรฐาน การสื่อสารไร้สาย NFC และ Bluetooth สำหรับการสื่อสารกับอุปกรณ์ที่ไม่มีพอร์ต USB

การรับรองความถูกต้องตามแอพและอีเมล

แอปพลิเคชันมือถือบางตัวไม่ได้ใช้ตัวเลือกข้างต้นและดำเนินการยืนยันภายในแอปพลิเคชันนั้นเอง ตัวอย่างเช่น การเปิดใช้งาน "การยืนยันการเข้าสู่ระบบ" บน Twitter เมื่อเข้าสู่ระบบจากอุปกรณ์ใหม่จะบังคับให้คุณยืนยันการเข้าสู่ระบบนี้จากสมาร์ทโฟนของคุณ นี่จะแสดงว่าเจ้าของบัญชีเข้าสู่ระบบแล้ว เว้นแต่ว่าสมาร์ทโฟนของพวกเขาจะถูกขโมย คล้ายกัน ทางแอปเปิ้ลใช้มือถือ ระบบไอโอเอสเพื่อยืนยันการเข้าสู่ระบบอุปกรณ์ใหม่ รหัสแบบครั้งเดียวจะถูกส่งไปยังอุปกรณ์ที่มีอยู่ของคุณ

ระบบที่ใช้อีเมลใช้ที่อยู่อีเมลเป็นขั้นตอนที่สองในการเข้าสู่บัญชีของคุณ รหัสแบบครั้งเดียวจะถูกส่งทางอีเมล

คำถามและคำตอบเกี่ยวกับการรับรองความถูกต้องด้วยสองปัจจัย

**นี่คือจุดที่การตรวจสอบสิทธิ์แบบสองปัจจัยมีความสำคัญอย่างยิ่ง เนื่องจากบริการเหล่านี้มักทำหน้าที่เป็นประตูสู่กิจกรรมออนไลน์อื่นๆ ทั้งหมดของผู้ใช้

หากต้องการทราบว่าไซต์หรือบริการใดรองรับ 2FA หรือไม่ โปรดไปที่ twofactorauth.org

หากบริการของคุณถูกบุกรุก ให้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยโดยเร็วที่สุด

ปัญหาคือไม่สามารถเปิดใช้งาน 2FA ด้วยสวิตช์ตัวเดียวได้ การเรียกใช้ 2FA หมายถึงการต้องออกแท็กหรือคีย์การเข้ารหัสที่ติดตั้งไว้ในอุปกรณ์อื่นๆ เนื่องจาก 2FA ต้องอาศัยการมีส่วนร่วมของผู้ใช้ ความเร็วจึงเป็นเช่นนั้น ในกรณีนี้จะไม่เร็ว

ฉันควรเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยหรือไม่?

ใช่ โดยเฉพาะบริการสำคัญที่มีข้อมูลส่วนบุคคลและข้อมูลทางการเงิน

การรับรองความถูกต้องด้วยสองปัจจัยคงกระพันหรือไม่?

เลขที่ 2FA ขึ้นอยู่กับเทคโนโลยีและผู้คน และอาจเกิดปัญหาได้ทั้งสองฝ่าย 2FA พร้อม SMS ขึ้นอยู่กับความน่าเชื่อถือของผู้ให้บริการโทรคมนาคม มัลแวร์บนสมาร์ทโฟนสามารถสกัดกั้นและส่ง SMS ไปยังผู้โจมตีได้ ผู้ใช้ยังสามารถอนุมัติคำขออนุญาตโดยไม่ต้องดู ซึ่งเกิดขึ้นเนื่องจากผู้โจมตีพยายามเข้าถึงบัญชี

โซลูชันแบบสองปัจจัยทั้งหมดเหมือนกันโดยพื้นฐานแล้วหรือไม่

นี่อาจเป็นเรื่องจริงในคราวเดียวแต่ เมื่อเร็วๆ นี้มีนวัตกรรมมากมายออกมาจาก 2FA มีวิธีแก้ไขปัญหาโดยใช้ SMS และอีเมล มีวิธีแก้ไขด้วย แอปพลิเคชันมือถือด้วยความลับในการเข้ารหัสหรือการจัดเก็บข้อมูลในเบราว์เซอร์ของผู้ใช้

การตรวจสอบสิทธิ์แบบสองปัจจัยทำให้การเข้าถึงบัญชีของคุณทำได้ยากและไม่มีประโยชน์หรือไม่?

ทัศนคตินี้ช่วยให้แฮกเกอร์บรรลุเป้าหมาย สำหรับบางองค์กรและบริการ การใช้ 2FA เป็นข้อกำหนดบังคับ นี่อาจเป็นวิธีแก้ปัญหาที่น่ารำคาญสำหรับผู้ใช้ แต่หากบริษัทใช้งาน ก็สามารถลดโอกาสของการฉ้อโกงได้

จบ วิธีการที่ทันสมัย 2FA ปิดแล้วหรือยัง?

อาจจะ. ทุกสิ่งที่เขียนข้างต้นใช้กับการตรวจสอบสิทธิ์แบบสองปัจจัย วันนี้ไม่ใช่พรุ่งนี้ เมื่อเวลาผ่านไปอาจสะดวกและเชื่อถือได้มากขึ้น

ผู้ใช้จำนวนมากที่มีกิจกรรมเกี่ยวข้องกับการสร้างรายได้บนอินเทอร์เน็ตหรือการจัดเก็บออนไลน์ ข้อมูลสำคัญพยายามปกป้องบัญชีของตนจากการแฮ็กและการขโมยข้อมูลที่เป็นความลับ

แน่นอน, รหัสผ่านที่ซับซ้อนซึ่งรวมถึงตัวเลขและตัวอักษรอีกด้วย อักขระพิเศษ, เพียงพอ การป้องกันที่เชื่อถือได้แต่ผลกระทบสูงสุดนั้นมาจากการรับรองความถูกต้องด้วยสองปัจจัย

อย่างไรก็ตามไม่ใช่ทุกคนที่รู้เกี่ยวกับตัวเลือกนี้ในการปกป้องบัญชีของตนและสิ่งนี้แม้ว่าทุกคนในทุกวันนี้ก็ตาม บริการเพิ่มเติม(พนักงานไปรษณีย์ เครือข่ายทางสังคมฯลฯ) เสนอให้ใช้ประโยชน์จากโอกาสนี้

การรับรองความถูกต้องด้วยสองปัจจัยคืออะไร?

แล้วมีวิธีป้องกันอย่างไรบ้าง? เรากำลังพูดถึง- ที่จริงแล้ว คุณได้เห็นการยืนยันแบบสองขั้นตอนแล้ว ตัวอย่างเช่น เมื่อคุณจะดำเนินการใดๆ ด้วยเงินบนเว็บไซต์ WebMoney นอกเหนือจากการเข้าสู่ระบบและรหัสผ่าน คุณจะต้องระบุรหัสยืนยันที่จะถูกส่งไปยังโทรศัพท์มือถือของคุณ

กล่าวอีกนัยหนึ่ง การรับรองความถูกต้องด้วยสองปัจจัยเป็นกุญแจดอกที่สองสำหรับบัญชีของคุณ หากคุณเปิดใช้งาน ตัวเลือกนี้ตัวอย่างเช่นใน Evernote (มีความเป็นไปได้) ผู้โจมตีที่สามารถเดารหัสผ่านสำหรับบริการบันทึกนี้จะประสบปัญหาอื่น - ข้อกำหนดในการระบุ รหัสแบบครั้งเดียวซึ่งมาที่หมายเลขโทรศัพท์ของคุณ เป็นที่น่าสังเกตว่าหากมีการพยายามแฮ็กบัญชีของคุณ คุณจะได้รับ SMS และคุณจะสามารถเปลี่ยนรหัสผ่านได้ทันที

ยอมรับว่านี่เป็นตัวเลือกที่สะดวกมากซึ่งคุณจะไม่ต้องกังวลกับการสูญเสียข้อมูลส่วนบุคคลน้อยลง

จะใช้ที่ไหนดีที่สุด?

แน่นอนว่าผู้ใช้บางคนอาจคัดค้านโดยโต้แย้งว่าการตรวจสอบสิทธิ์แบบสองขั้นตอนนั้นเป็น "ขั้นตอนที่ไม่จำเป็น" มากเกินไป และโดยทั่วไปแล้ว มีไว้สำหรับผู้ที่หวาดระแวงซึ่งมักจะคิดว่ามีคนกำลังดูพวกเขาอยู่

บางทีพวกเขาอาจจะพูดถูกในบางเรื่อง ตัวอย่างเช่น สำหรับโซเชียลเน็ตเวิร์ก ไม่จำเป็นต้องใช้เลย วิธีนี้การป้องกัน แม้ว่าที่นี่จะมีใครโต้แย้งได้ ตามกฎแล้ว ผู้โจมตีพยายามแฮ็กบัญชีของผู้ดูแลระบบของ "สาธารณะ" ที่ได้รับความนิยม และคุณน่าจะไม่ต้องการสังเกตเห็นว่าบัญชีของคุณใน "โซเชียลเน็ตเวิร์ก" แห่งใดแห่งหนึ่งถูกแฮ็กและมีการโพสต์รูปภาพที่อนาจารโดยสิ้นเชิงบน "วอลล์"

สำหรับบริการอื่น ๆ เช่น การตรวจสอบสิทธิ์แบบสองปัจจัยของ Yandex จะช่วยให้คุณสามารถจัดเก็บข้อมูลการลงทะเบียนของคุณจาก WebMoney และอื่น ๆ ได้อย่างปลอดภัย) หรือจดหมายที่มีข้อมูลลับ

การคุ้มครองบัญชี Google

หนึ่งในบริการยอดนิยมในปัจจุบันคือ Google ที่นี่คุณสามารถลงทะเบียนอีเมลของคุณได้ ตู้ไปรษณีย์จัดเก็บเอกสารบน Google Drive สร้างบล็อกหรือช่องฟรีบน YouTube ซึ่งสามารถสร้างรายได้ให้คุณในภายหลัง

เพื่อให้ผู้ใช้มั่นใจในความปลอดภัยของเอกสารที่เก็บไว้ในเมลหรือดิสก์ พวกเขาจึงได้รับการตรวจสอบสิทธิ์แบบสองปัจจัยจาก Google เพื่อเปิดใช้งาน คุณต้องเข้าสู่ระบบบัญชีของคุณ

ตัวอย่างเช่น เมื่อเปิดกล่องจดหมายของคุณแล้ว ให้ใส่ใจกับอวตารทางด้านขวา มุมบน- คลิกที่มันและไปที่ "บัญชีของฉัน" ที่นี่คุณต้องมีส่วน "ความปลอดภัยและการเข้าสู่ระบบ" ซึ่งก็คือลิงก์ "ลงชื่อเข้าใช้บัญชี Google"

ทางด้านขวาคุณจะเห็นตัวเลือก "การยืนยันแบบสองขั้นตอน" ซึ่งคุณต้องคลิกลูกศรเพื่อเปิดใช้งาน หน้าต่างจะเปิดขึ้นโดยที่คุณสนใจปุ่ม "ดำเนินการตั้งค่า" ป้อนรหัสผ่านของคุณและปฏิบัติตามคำแนะนำเพิ่มเติม

การรับรองความถูกต้องด้วยสองปัจจัย "Yandex"

ยานเดกซ์ยังให้บริการที่เป็นประโยชน์มากมายแก่ผู้ใช้ ยกเว้น ที่เก็บข้อมูลบนคลาวด์ข้อมูลบน Yandex.Disk คุณสามารถสร้างได้ กระเป๋าเงินอิเล็กทรอนิกส์ที่คุณจะถอนเงินที่ได้รับบนอินเทอร์เน็ต

และแน่นอนว่ายานเดกซ์ไม่ได้ยืนเฉยและเสนอให้ผู้ใช้ใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อปกป้องเอกสารที่เก็บไว้ในกล่องจดหมาย

หากต้องการเปิดใช้งาน คุณจะต้องทำตามขั้นตอนง่ายๆ ไม่กี่ขั้นตอน เข้าสู่ระบบบัญชีของคุณแล้วคลิก LMB ที่รูปโปรไฟล์ของคุณ (มุมขวาบน) เลือก "หนังสือเดินทาง" จากเมนูแบบเลื่อนลง หน้าต่างจะเปิดขึ้นโดยคุณต้องคลิกที่ลิงค์ "การควบคุมการเข้าถึง" ตั้งค่า "ตัวเลื่อน" ไปที่ตำแหน่ง "เปิด" คุณจะถูกนำไปยังหน้าที่คุณต้องคลิกที่ปุ่ม "เริ่มการตั้งค่า" ตอนนี้ให้ทำตาม 4 ขั้นตอนเพื่อเปิดใช้งานการป้องกันแบบสองปัจจัย

โซเชียลเน็ตเวิร์ก "VKontakte"

ตามที่กล่าวไว้ข้างต้น ผู้โจมตีมักจะพยายามเข้าถึงบัญชี “ผู้ดูแลระบบ” กลุ่มยอดนิยม- แต่นี่ไม่ใช่กรณีเสมอไปเพราะเพียงจดหมายส่วนตัวของบุคคลที่รู้จักดีบนอินเทอร์เน็ตอาจเป็นที่สนใจ

เป็นที่น่าสังเกตว่าสำหรับผู้ใช้บางคน วิธีการปกป้องบัญชีนี้เริ่มก่อให้เกิดการระคายเคืองเมื่อเวลาผ่านไป เนื่องจากต้องมีการป้อนข้อมูลอย่างต่อเนื่อง รหัสลับยกเว้นการเข้าสู่ระบบและรหัสผ่าน ในกรณีเช่นนี้ คุณจำเป็นต้องทราบวิธีปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย อย่างไรก็ตาม ก่อนอื่นเราจะจัดการกับการเปิดใช้งานตัวเลือกนี้

ที่จริงแล้ว การเปิดใช้งานการยืนยันแบบสองขั้นตอนนั้นง่ายมาก เลือก "การตั้งค่าของฉัน" จากนั้นไปที่แท็บ "ความปลอดภัย" ในส่วน "การยืนยันการเข้าสู่ระบบ" คลิกที่ปุ่ม "เชื่อมต่อ" ตอนนี้ปฏิบัติตามข้อกำหนดทั้งหมดทีละรายการ

ปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

เพื่อปิดการใช้งาน การป้องกันสองขั้นตอนในยานเดกซ์คุณจะต้องไปที่ "หนังสือเดินทาง" ของคุณอีกครั้งโดยคลิกที่รูปประจำตัวของคุณ หลังจากนั้นให้เปิดส่วน "การควบคุมการเข้าถึง" และตั้งค่าแถบเลื่อนไปที่ตำแหน่ง "ปิด"

บทสรุป

ตอนนี้คุณรู้แล้วว่าการรับรองความถูกต้องแบบสองวงคืออะไร และเหตุใดจึงจำเป็น ด้วยการใช้บริการนี้หรือบริการนั้น คุณสามารถเปิดใช้งานสิ่งนี้ได้ การป้องกันเพิ่มเติมหรือปฏิเสธโอกาสนี้

แน่นอนว่าในบางกรณี ขอแนะนำเป็นอย่างยิ่งให้เปิดใช้งานการยืนยันแบบสองขั้นตอน ตัวอย่างเช่น เมื่อลงทะเบียนกับ WebMoney คุณระบุอีเมลของคุณจาก Yandex ขณะทำงานบนอินเทอร์เน็ต คุณอาจตกเป็นเหยื่อของแฮกเกอร์ที่จะแฮ็กกล่องจดหมายของคุณและเข้าถึงได้ กระเป๋าเงินอิเล็กทรอนิกส์- เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น ควรติดตั้งและเชื่อมโยงอีเมลของคุณเข้ากับโทรศัพท์ของคุณ วิธีนี้จะทำให้คุณสามารถตอบสนองได้อย่างรวดเร็วหากพวกเขาพยายามแฮ็กคุณ

เพื่อจะรู้ว่ามันคืออะไร การรับรองความถูกต้องด้วยสองปัจจัยและโดยปกติแล้วจะนำไปใช้อย่างไร คุณควรค้นหาว่าโดยทั่วไปการรับรองความถูกต้องเป็นอย่างไร เพื่อให้เข้าใจง่าย การรับรองความถูกต้องเป็นกระบวนการที่ผู้ใช้พิสูจน์ว่าเขาเป็นคนอย่างที่เขาพูดจริงๆ

ตัวอย่างเช่น เมื่อคุณเข้าสู่ระบบ คุณจะต้องป้อนชื่อผู้ใช้และรหัสผ่านของคุณเพื่อพิสูจน์ว่าคุณทราบ รหัสลับซึ่งหมายความว่าคุณยืนยันว่าคุณเป็นคุณไม่ใช่ คนแปลกหน้า- ในกรณีนี้ การรู้รหัสผ่านเรียกว่า "ปัจจัยการตรวจสอบสิทธิ์"

แต่รหัสผ่านนั้นง่ายมาก และผู้โจมตีสามารถเดาได้ง่าย หรืออาจเป็นแค่บนแผ่นกระดาษใต้แป้นพิมพ์ (ซึ่งแน่นอนว่าผิด) การป้อนรหัสผ่านจะทำให้ผู้โจมตีสามารถพิสูจน์ให้ระบบทราบรหัสผ่านจึงมีสิทธิ์ใช้งานระบบนี้

ดังนั้น เพื่อปกป้องระบบจากสถานการณ์ดังกล่าว จึงเป็นเรื่องปกติที่จะใช้ปัจจัยการรับรองความถูกต้องสองประการพร้อมกัน: ตัวอย่างเช่น รหัสผ่านและสมาร์ทการ์ด ในกรณีนี้ ปัจจัยการรับรองความถูกต้องที่สองจะเป็นข้อเท็จจริงของการมีสมาร์ทการ์ด ระบบจะตรวจสอบรหัสผ่านและสมาร์ทการ์ดของคุณ และหากทุกอย่างถูกต้องก็จะให้คุณเข้าสู่ระบบ

การรับรองความถูกต้องด้วยสองปัจจัยและลายเซ็นดิจิทัลอิเล็กทรอนิกส์

บ่อยครั้งที่มีการใช้การรับรองความถูกต้องด้วยสองปัจจัย ลายเซ็นอิเล็กทรอนิกส์. ลายเซ็นดิจิทัลเอกสารมักจะมีลายเซ็นคล้ายกับลายเซ็นที่เขียนด้วยลายมือบนเอกสารกระดาษ ดังนั้นจึงเป็นเรื่องสำคัญมากที่อาชญากรจะไม่สามารถใส่ลายเซ็นอิเล็กทรอนิกส์ของคุณแทนคุณได้

บ่อยที่สุด เพื่อรักษาความปลอดภัยให้กับลายเซ็นอิเล็กทรอนิกส์ของคุณ ลายเซ็นนั้นจะถูกเขียน (หรือที่เจาะจงกว่านั้นคือใบรับรองลายเซ็นอิเล็กทรอนิกส์) ลงบนโทเค็น โทเค็น- นี้ อุปกรณ์พิเศษซึ่งมักใช้เพื่อจัดเก็บใบรับรองลายเซ็นอิเล็กทรอนิกส์ ลายเซ็นอิเล็กทรอนิกส์ของคุณบนโทเค็นมีการป้องกันด้วยรหัสผ่าน ดังนั้นแม้ว่าจะถูกขโมย ผู้โจมตีก็ไม่สามารถใช้งานได้ ในกรณีนี้ ปัจจัยการตรวจสอบสิทธิ์ประการแรกคือการเป็นเจ้าของโทเค็น และปัจจัยที่สองคือความรู้เกี่ยวกับรหัสผ่านเพื่อเข้าถึงลายเซ็นอิเล็กทรอนิกส์บนโทเค็น

หากต้องการจัดเก็บใบรับรองลายเซ็นอิเล็กทรอนิกส์ เราขอแนะนำโมเดลโทเค็นต่อไปนี้:

การรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบ

องค์กรต่างๆ มักจะจัดเก็บข้อมูลที่สำคัญมากไว้ในคอมพิวเตอร์ของตน ซึ่งอาจมีปริมาณมากก็ได้ ความลับทางการค้าซึ่งแน่นอนว่าคู่แข่งและผู้โจมตีรายอื่นสามารถตามล่าได้ และใช้ รหัสผ่านปกติไม่เพียงพอที่จะรับประกันความปลอดภัยของข้อมูล

เพื่อปกป้องข้อมูลบนคอมพิวเตอร์ของพนักงาน จะมีการใช้วิธีการตรวจสอบสิทธิ์สองวิธี:

• ปกป้องกระบวนการเข้าสู่ระบบ

โดยเป็นส่วนหนึ่งของแนวทางนี้ ให้ติดตั้งบนคอมพิวเตอร์ ผลิตภัณฑ์ซอฟต์แวร์ซึ่งเริ่มต้องใช้โทเค็นเมื่อเข้าสู่ระบบ และยังช่วยให้แน่ใจว่าโทเค็นนั้นถูกแทรกอยู่ตลอดเวลา หากคุณถอดโทเค็นออก คอมพิวเตอร์จะล็อคทันที

วิธีการนี้เหมาะสำหรับใช้ในบริเวณที่มีการป้องกัน และไม่มีใครสามารถขโมยคอมพิวเตอร์หรือฮาร์ดไดรฟ์ของเครื่องได้

• ปกป้องข้อมูลทั้งหมดบนคอมพิวเตอร์ของคุณ

นอกจากนี้ยังมีวิธีการเข้ารหัสข้อมูลทั้งหมดบนคอมพิวเตอร์ และเมื่อคอมพิวเตอร์บูท ผู้ใช้จะต้องป้อนรหัสผ่านและใส่โทเค็น หากรหัสผ่านไม่ถูกต้องหรือโทเค็นไม่ถูกต้อง ข้อมูลก็จะไม่ถูกถอดรหัส และแม้ว่าจะถูกขโมย ผู้โจมตีก็จะไม่สามารถใช้ข้อมูลจากคอมพิวเตอร์ได้

เป็นโพสต์ที่ไม่ค่อยพบเห็นในบล็อก Yandex โดยเฉพาะอย่างยิ่งโพสต์ที่เกี่ยวข้องกับความปลอดภัย โดยไม่กล่าวถึงการตรวจสอบสิทธิ์แบบสองปัจจัย เราคิดมานานแล้วว่าจะเสริมการป้องกันให้แข็งแกร่งได้อย่างไร บัญชีผู้ใช้และในลักษณะที่สามารถใช้งานได้โดยปราศจากความไม่สะดวก ซึ่งรวมถึงการใช้งานทั่วไปในปัจจุบันด้วย และอนิจจาพวกเขาก็ไม่สะดวก จากข้อมูลบางส่วนพบว่าสัดส่วนของผู้ใช้ที่เปิดใช้งานในเว็บไซต์ขนาดใหญ่หลายแห่ง เงินทุนเพิ่มเติมการตรวจสอบความถูกต้องไม่เกิน 0.1%

ดูเหมือนว่าเป็นเพราะรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยทั่วไปนั้นซับซ้อนเกินไปและไม่สะดวก เราพยายามคิดวิธีการที่จะสะดวกยิ่งขึ้นโดยไม่สูญเสียระดับการป้องกัน และวันนี้เราขอนำเสนอเวอร์ชันเบต้า

เราหวังว่าจะแพร่หลายมากขึ้น ในส่วนของเรา เราพร้อมที่จะดำเนินการปรับปรุงและกำหนดมาตรฐานในภายหลัง

หลังจากเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยใน Passport คุณจะต้องติดตั้งแอปพลิเคชัน Yandex.Key ใน App Store หรือ Google Play ในแบบฟอร์มการอนุญาตสำหรับ หน้าแรก Yandex รหัส QR ปรากฏใน Mail และ Passport ในการเข้าสู่บัญชีของคุณ คุณต้องอ่านโค้ด QR ผ่านแอปพลิเคชัน เท่านี้ก็เรียบร้อย หากไม่สามารถอ่านรหัส QR ได้ เช่น กล้องสมาร์ทโฟนไม่ทำงานหรือไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ แอปพลิเคชันจะสร้าง รหัสผ่านครั้งเดียวซึ่งจะคงอยู่เพียง 30 วินาทีเท่านั้น

ฉันจะบอกคุณว่าทำไมเราจึงตัดสินใจไม่ใช้กลไก "มาตรฐาน" เช่น RFC 6238 หรือ RFC 4226 รูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยทั่วไปทำงานอย่างไร พวกเขาเป็นสองขั้นตอน ขั้นตอนแรกคือการรับรองความถูกต้องตามปกติด้วยการเข้าสู่ระบบและรหัสผ่าน หากประสบความสำเร็จ ไซต์จะตรวจสอบว่า "ชอบ" เซสชันผู้ใช้นี้หรือไม่ และหาก “ฉันไม่ชอบ” ระบบจะขอให้ผู้ใช้ “ตรวจสอบสิทธิ์อีกครั้ง” มีสองวิธีทั่วไปในการ "ตรวจสอบสิทธิ์ล่วงหน้า": การส่ง SMS ไปยังหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีและสร้างรหัสผ่านที่สองบนสมาร์ทโฟน โดยพื้นฐานแล้ว TOTP ตาม RFC 6238 จะใช้เพื่อสร้างรหัสผ่านที่สอง หากผู้ใช้ป้อนรหัสผ่านที่สองอย่างถูกต้อง เซสชันจะถือว่ามีการตรวจสอบสิทธิ์โดยสมบูรณ์ และหากไม่เป็นเช่นนั้น เซสชันจะสูญเสีย "การตรวจสอบสิทธิ์ล่วงหน้า" เช่นกัน

ทั้งสองวิธี─ ส่ง SMSและการสร้างรหัสผ่าน ─ หลักฐานการเป็นเจ้าของโทรศัพท์ ดังนั้นจึงเป็นปัจจัยหนึ่งของความพร้อมใช้งาน รหัสผ่านที่ป้อนในขั้นตอนแรกคือปัจจัยความรู้ ดังนั้นรูปแบบการรับรองความถูกต้องนี้จึงไม่ใช่แค่สองขั้นตอนเท่านั้น แต่ยังรวมถึงสองปัจจัยด้วย

อะไรที่ดูเหมือนเป็นปัญหาสำหรับเราในโครงการนี้?

เริ่มต้นด้วยความจริงที่ว่าคอมพิวเตอร์ของผู้ใช้โดยเฉลี่ยไม่สามารถเรียกได้ว่าเป็นรูปแบบความปลอดภัยเสมอไป: นี่คือจุดที่ปิด อัพเดตวินโดวส์และสำเนาโปรแกรมป้องกันไวรัสละเมิดลิขสิทธิ์โดยไม่มีลายเซ็นสมัยใหม่และซอฟต์แวร์ที่มีต้นกำเนิดที่น่าสงสัย ─ ทั้งหมดนี้ไม่ได้เพิ่มระดับการป้องกัน ตามการประเมินของเรา การประนีประนอมกับคอมพิวเตอร์ของผู้ใช้เป็นวิธีการที่แพร่หลายมากที่สุดในการ "ไฮแจ็ก" บัญชี (และเมื่อเร็วๆ นี้ก็มีการยืนยันอีกครั้งในเรื่องนี้) และนี่คือสิ่งที่เราต้องการปกป้องตนเองจากสิ่งอื่นใด ในกรณีที่ การรับรองความถูกต้องสองขั้นตอนถ้าเราคิดว่าคอมพิวเตอร์ของผู้ใช้ถูกบุกรุก การป้อนรหัสผ่านจะทำให้เกิดความเสี่ยงต่อรหัสผ่าน ซึ่งเป็นปัจจัยแรก ซึ่งหมายความว่าผู้โจมตีจะต้องเลือกปัจจัยที่สองเท่านั้น ในกรณีของการใช้งานทั่วไปของ RFC 6238 ปัจจัยที่สองคือ 6 หลักทศนิยม(และสูงสุดที่กำหนดโดยข้อกำหนดคือ 8 หลัก) ตามเครื่องคำนวณแบบ bruteforce สำหรับ OTP ภายในสามวัน ผู้โจมตีสามารถค้นหาปัจจัยที่สองได้ หากเขาตระหนักถึงปัจจัยแรก ยังไม่ชัดเจนว่าบริการใดสามารถตอบโต้การโจมตีนี้โดยไม่ทำลายได้ ทำงานปกติผู้ใช้ หลักฐานการทำงานที่เป็นไปได้เพียงอย่างเดียวคือ captcha ซึ่งในความคิดของเราเป็นทางเลือกสุดท้าย

ปัญหาที่สองคือความทึบของการตัดสินของบริการเกี่ยวกับคุณภาพของเซสชันผู้ใช้และการตัดสินใจเกี่ยวกับความจำเป็นในการ "ตรวจสอบสิทธิ์ล่วงหน้า" เลวร้ายยิ่งกว่านั้นบริการไม่สนใจที่จะทำให้กระบวนการนี้โปร่งใส ─ ท้ายที่สุดแล้ว การรักษาความปลอดภัยโดยความสับสนใช้งานได้จริงที่นี่ หากผู้โจมตีรู้ว่าบริการตัดสินใจเกี่ยวกับความถูกต้องของเซสชันบนพื้นฐานใด เขาสามารถพยายามปลอมแปลงข้อมูลนี้ได้ จาก ข้อควรพิจารณาทั่วไปเราสามารถสรุปได้ว่าการตัดสินนั้นขึ้นอยู่กับประวัติการตรวจสอบสิทธิ์ของผู้ใช้ โดยคำนึงถึงที่อยู่ IP (และหมายเลขอนุพันธ์ของมัน ระบบอัตโนมัติการระบุผู้ให้บริการ และตำแหน่งตามฐานภูมิศาสตร์) และข้อมูลเบราว์เซอร์ เช่น ส่วนหัว ตัวแทนผู้ใช้และชุดคุกกี้, flash lso และ html ที่จัดเก็บในเครื่อง ซึ่งหมายความว่าหากผู้โจมตีควบคุมคอมพิวเตอร์ของผู้ใช้ เขาไม่เพียงสามารถขโมยข้อมูลที่จำเป็นทั้งหมด แต่ยังใช้ที่อยู่ IP ของเหยื่ออีกด้วย นอกจากนี้ หากการตัดสินใจเป็นไปตาม ASN การตรวจสอบสิทธิ์ใดๆ จาก Wi-Fi สาธารณะในร้านกาแฟสามารถนำไปสู่ ​​"พิษ" จากมุมมองด้านความปลอดภัย (และการล้างบาปจากมุมมองการบริการ) ของผู้ให้บริการร้านกาแฟแห่งนี้ และตัวอย่างเช่น การล้างบาปร้านกาแฟทั้งหมดในเมือง เราได้พูดคุยเกี่ยวกับวิธีการทำงานของระบบการตรวจจับความผิดปกติ และสามารถนำมาใช้ได้ แต่เวลาระหว่างการรับรองความถูกต้องขั้นตอนแรกและขั้นตอนที่สองอาจไม่เพียงพอที่จะตัดสินความผิดปกติได้อย่างมั่นใจ ยิ่งไปกว่านั้น ข้อโต้แย้งเดียวกันนี้ทำลายแนวคิดของคอมพิวเตอร์ "ที่เชื่อถือได้": ผู้โจมตีสามารถขโมยข้อมูลใด ๆ ที่มีอิทธิพลต่อการตัดสินความน่าเชื่อถือ

สุดท้ายนี้ การตรวจสอบสิทธิ์แบบสองขั้นตอนนั้นไม่สะดวกเลย: การวิจัยการใช้งานของเราแสดงให้เห็นว่าไม่มีอะไรรบกวนผู้ใช้มากไปกว่าหน้าจอตัวกลาง การคลิกปุ่มเพิ่มเติม และการกระทำที่ "ไม่สำคัญ" อื่นๆ จากมุมมองของพวกเขา
ด้วยเหตุนี้ เราจึงตัดสินใจว่าการตรวจสอบสิทธิ์ควรเป็นขั้นตอนเดียว และพื้นที่รหัสผ่านควรมีขนาดใหญ่เกินกว่าที่เป็นไปได้ภายในกรอบการทำงานของ RFC 6238 “บริสุทธิ์”
ในเวลาเดียวกัน เราต้องการรักษาการรับรองความถูกต้องด้วยสองปัจจัยไว้ให้มากที่สุด

การรับรองความถูกต้องแบบหลายปัจจัยถูกกำหนดโดยการกำหนดองค์ประกอบการรับรองความถูกต้อง (จริงๆ แล้วเรียกว่าปัจจัย) ให้กับหนึ่งในสามประเภท:

1. ปัจจัยความรู้ (ได้แก่ รหัสผ่านแบบเดิม รหัส PIN และทุกอย่างที่ดูเหมือน)
2. ปัจจัยการเป็นเจ้าของ (ในรูปแบบ OTP ที่ใช้ โดยปกติจะเป็นสมาร์ทโฟน แต่ก็อาจเป็นโทเค็นฮาร์ดแวร์ได้เช่นกัน)
3. ปัจจัยทางชีวมิติ (ลายนิ้วมือเป็นสิ่งที่พบได้บ่อยที่สุดในขณะนี้ แม้ว่าบางคนจะจำตอนที่มีตัวละครของ Wesley Snipes ในภาพยนตร์เรื่อง Demolition Man)

การพัฒนาระบบของเรา

เมื่อเราเริ่มทำงานเกี่ยวกับปัญหาการรับรองความถูกต้องด้วยสองปัจจัย (หน้าแรกของวิกิองค์กรในฉบับนี้ย้อนหลังไปถึงปี 2012 แต่มีการพูดคุยกันเบื้องหลังก่อนหน้านี้) แนวคิดแรกคือ วิธีการมาตรฐานรับรองความถูกต้องและนำไปใช้กับเรา เราเข้าใจดีว่าเราไม่สามารถนับจำนวนผู้ใช้หลายล้านคนที่จะซื้อโทเค็นฮาร์ดแวร์ได้ ดังนั้นเราจึงเลื่อนตัวเลือกนี้ออกไปในบางกรณีที่แปลกใหม่ (แม้ว่าเราจะไม่ละทิ้งมันโดยสิ้นเชิง แต่บางทีเราอาจจะสามารถเกิดสิ่งที่น่าสนใจขึ้นมาได้) วิธี SMS ไม่สามารถแพร่หลายได้: เป็นวิธีการจัดส่งที่ไม่น่าเชื่อถือมาก (ในช่วงเวลาที่สำคัญที่สุด SMS อาจล่าช้าหรือไม่มาถึงเลย) และ การส่ง SMSต้องใช้เงิน (และผู้ประกอบการเริ่มขึ้นราคาแล้ว) เราตัดสินใจอย่างนั้น โดยใช้ข้อความ─ มีธนาคารและบริษัทเทคโนโลยีต่ำอื่นๆ มากมาย แต่ผู้ใช้ของเราต้องการนำเสนอสิ่งที่สะดวกกว่านี้ โดยทั่วไปตัวเลือกมีน้อย: ใช้สมาร์ทโฟนและโปรแกรมในนั้นเป็นปัจจัยที่สอง

การรับรองความถูกต้องแบบขั้นตอนเดียวรูปแบบนี้แพร่หลาย: ผู้ใช้จดจำรหัส PIN (ปัจจัยแรก) และมีโทเค็นฮาร์ดแวร์หรือซอฟต์แวร์ (ในสมาร์ทโฟน) ที่สร้าง OTP (ปัจจัยที่สอง) ในช่องป้อนรหัสผ่าน เขาป้อนรหัส PIN และค่า OTP ปัจจุบัน

ในความเห็นของเรา ข้อเสียเปรียบหลักของโครงการนี้เหมือนกับการตรวจสอบสิทธิ์แบบสองขั้นตอน: หากเราคิดว่าเดสก์ท็อปของผู้ใช้ถูกบุกรุก การป้อนรหัส PIN หนึ่งครั้งจะนำไปสู่การเปิดเผยและผู้โจมตีสามารถค้นหาได้เพียงขั้นตอนที่สองเท่านั้น ปัจจัย.

เราตัดสินใจใช้เส้นทางอื่น: รหัสผ่านทั้งหมดถูกสร้างขึ้นจากข้อมูลลับ แต่มีเพียงส่วนหนึ่งของข้อมูลลับเท่านั้นที่ถูกเก็บไว้ในสมาร์ทโฟน และผู้ใช้จะป้อนบางส่วนทุกครั้งที่สร้างรหัสผ่าน ดังนั้นสมาร์ทโฟนจึงเป็นปัจจัยในการเป็นเจ้าของ และรหัสผ่านยังคงอยู่ในหัวของผู้ใช้และเป็นปัจจัยแห่งความรู้

Nonce สามารถเป็นได้ทั้งเคาน์เตอร์หรือ เวลาปัจจุบัน- เราตัดสินใจเลือกเวลาปัจจุบัน ซึ่งช่วยให้เราไม่ต้องกลัวการยกเลิกการซิงโครไนซ์ในกรณีที่มีคนสร้างรหัสผ่านมากเกินไปและเพิ่มตัวนับ

ดังนั้นเราจึงมีโปรแกรมสำหรับสมาร์ทโฟนที่ผู้ใช้ป้อนส่วนหนึ่งของความลับผสมกับส่วนที่เก็บไว้ผลลัพธ์จะถูกใช้เป็นคีย์ HMAC ซึ่งใช้ในการลงนามเวลาปัจจุบันโดยปัดเศษเป็น 30 วินาที เอาต์พุต HMAC จะลดลงเหลือ แบบฟอร์มที่อ่านได้และ voila ─ นี่คือรหัสผ่านแบบใช้ครั้งเดียว!

ตามที่ระบุไว้ก่อนหน้านี้ RFC 4226 ระบุว่าผลลัพธ์ HMAC ถูกตัดทอนให้เหลือทศนิยมสูงสุด 8 หลัก เราตัดสินใจว่ารหัสผ่านขนาดนี้ไม่เหมาะสำหรับการตรวจสอบสิทธิ์แบบขั้นตอนเดียวและควรเพิ่มให้มากขึ้น ในเวลาเดียวกัน เราต้องการรักษาความสะดวกในการใช้งาน (อย่างไรก็ตาม เราขอเตือนคุณว่า เราต้องการสร้างระบบที่จะใช้งานโดยคนทั่วไป ไม่ใช่แค่ผู้เชี่ยวชาญด้านความปลอดภัยเท่านั้น) เพื่อเป็นการประนีประนอมใน รุ่นปัจจุบันระบบที่เราเลือกตัดให้เหลือ 8 ตัวอักษร ตัวอักษรละติน- ดูเหมือนว่ารหัสผ่าน 26^8 ที่ถูกต้องเป็นเวลา 30 วินาทีนั้นค่อนข้างยอมรับได้ แต่หากระดับความปลอดภัยไม่เหมาะกับเรา (หรือคำแนะนำอันมีค่าเกี่ยวกับวิธีการปรับปรุงรูปแบบนี้ปรากฏบน Habré) เราจะขยายเป็น 10 อักขระ

เรียนรู้เพิ่มเติมเกี่ยวกับความรัดกุมของรหัสผ่านดังกล่าว

จำนวนตัวเลือกต่ออักขระคือ 26 สำหรับตัวอักษรละตินขนาดใหญ่และเล็กบวกตัวเลข จำนวนตัวเลือกคือ 26+26+10=62 จากนั้นบันทึก 62 (26 10) mut 7.9 นั่นคือรหัสผ่านของตัวอักษรละตินขนาดเล็กแบบสุ่ม 10 ตัวนั้นเกือบจะแข็งแกร่งพอ ๆ กับรหัสผ่านของตัวอักษรละตินหรือตัวเลขละตินขนาดใหญ่และเล็กแบบสุ่ม 8 ตัว นี่จะเพียงพอสำหรับ 30 วินาทีอย่างแน่นอน หากเราพูดถึงรหัสผ่าน 8 ตัวอักษรที่ทำจากตัวอักษรละตินความแข็งแกร่งของมันคือ log 62 (26 8) data 6.3 นั่นคือมากกว่ารหัสผ่าน 6 ตัวอักษรเล็กน้อยที่ทำจากตัวพิมพ์ใหญ่ตัวพิมพ์เล็กและตัวเลข เราคิดว่ายังยอมรับได้สำหรับกรอบเวลา 30 วินาที

เวทมนตร์ การไม่มีรหัสผ่าน แอปพลิเคชัน และขั้นตอนถัดไป

โดยทั่วไปเราอาจหยุดอยู่แค่นั้น แต่เราต้องการทำให้ระบบสะดวกยิ่งขึ้น เมื่อมีคนมีสมาร์ทโฟนอยู่ในมือ เขาไม่อยากกรอกรหัสผ่านจากคีย์บอร์ด!

นั่นเป็นเหตุผลที่เราเริ่มทำงานกับ “การเข้าสู่ระบบแบบเวทย์มนตร์” ด้วยวิธีการตรวจสอบสิทธิ์นี้ ผู้ใช้จะเปิดแอปพลิเคชันบนสมาร์ทโฟน ป้อนรหัส PIN ลงในแอปพลิเคชัน และสแกนโค้ด QR บนหน้าจอคอมพิวเตอร์ หากป้อนรหัส PIN อย่างถูกต้อง หน้าในเบราว์เซอร์จะถูกโหลดซ้ำและผู้ใช้จะได้รับการรับรองความถูกต้อง มายากล!

มันทำงานอย่างไร?

รหัส QR มีหมายเลขเซสชัน และเมื่อแอปพลิเคชันสแกน หมายเลขนี้จะถูกส่งไปยังเซิร์ฟเวอร์พร้อมกับหมายเลขที่สร้างขึ้น ตามปกติรหัสผ่านและชื่อผู้ใช้ นี่ไม่ใช่เรื่องยากเพราะสมาร์ทโฟนออนไลน์เกือบตลอดเวลา ในเค้าโครงของหน้าที่แสดงโค้ด QR นั้น JavaScript กำลังทำงานอยู่ เพื่อรอการตอบกลับจากเซิร์ฟเวอร์เพื่อตรวจสอบรหัสผ่านสำหรับเซสชันนี้ หากเซิร์ฟเวอร์ตอบกลับว่ารหัสผ่านถูกต้อง คุกกี้เซสชันจะถูกตั้งค่าพร้อมกับการตอบกลับ และถือว่าผู้ใช้ได้รับการตรวจสอบสิทธิ์

อาการดีขึ้นแล้ว แต่เราตัดสินใจที่จะไม่หยุดอยู่แค่นี้เช่นกัน ตั้งแต่ iPhone 5S ในโทรศัพท์และ แท็บเล็ตแอปเปิ้ลเครื่องสแกนลายนิ้วมือ TouchID ปรากฏขึ้นและใน เวอร์ชัน iOS 8 ใช้งานได้และ แอปพลิเคชันบุคคลที่สาม- ที่จริงแล้วแอปพลิเคชันไม่สามารถเข้าถึงลายนิ้วมือได้ แต่ถ้าลายนิ้วมือถูกต้อง แอปพลิเคชันจะพร้อมใช้งาน ส่วนเพิ่มเติมพวงกุญแจ. เราใช้ประโยชน์จากสิ่งนี้ ส่วนที่สองของข้อมูลลับจะอยู่ในบันทึกพวงกุญแจที่ป้องกันด้วย TouchID ซึ่งเป็นส่วนที่ผู้ใช้ป้อนจากคีย์บอร์ดในสถานการณ์ก่อนหน้า เมื่อปลดล็อคพวงกุญแจ ข้อมูลลับทั้งสองส่วนจะผสมกัน จากนั้นกระบวนการจะทำงานตามที่อธิบายไว้ข้างต้น

แต่มันสะดวกอย่างไม่น่าเชื่อสำหรับผู้ใช้: เขาเปิดแอปพลิเคชั่น วางนิ้ว สแกนโค้ด QR บนหน้าจอ และพบว่าตัวเองได้รับการรับรองความถูกต้องในเบราว์เซอร์บนคอมพิวเตอร์ของเขา! ดังนั้นเราจึงแทนที่ปัจจัยความรู้ด้วยข้อมูลไบโอเมตริกซ์ และจากมุมมองของผู้ใช้ ลืมรหัสผ่านไปเลย เรามั่นใจว่า คนธรรมดารูปแบบนี้จะดูสะดวกกว่าการป้อนรหัสผ่านสองตัวด้วยตนเอง

ใครๆ ก็สามารถถกเถียงกันว่าการรับรองความถูกต้องแบบสองปัจจัยอย่างเป็นทางการนั้นเป็นอย่างไร แต่ในความเป็นจริง เพื่อให้ดำเนินการได้สำเร็จ คุณยังต้องมีโทรศัพท์และมี ด้วยลายนิ้วมือที่ถูกต้องนิ้ว ดังนั้นเราจึงเชื่อว่าเราได้ประสบความสำเร็จอย่างสมบูรณ์ในการละทิ้งปัจจัยความรู้ โดยแทนที่ด้วยไบโอเมตริกซ์ เราเข้าใจดีว่าเราพึ่งพาการรักษาความปลอดภัยของ ARM TrustZone ที่ขับเคลื่อน iOS Secure Enclave และเชื่อเช่นนั้น ช่วงเวลาปัจจุบันระบบย่อยนี้ถือได้ว่าเชื่อถือได้ภายในโมเดลภัยคุกคามของเรา แน่นอนเรารู้ปัญหา การรับรองความถูกต้องทางชีวภาพ: ลายนิ้วมือไม่ใช่รหัสผ่านและไม่สามารถเปลี่ยนได้หากถูกบุกรุก แต่ในทางกลับกัน ทุกคนรู้ดีว่าความปลอดภัยนั้นแปรผกผันกับความสะดวกสบาย และผู้ใช้เองก็มีสิทธิ์เลือกอัตราส่วนระหว่างอัตราส่วนหนึ่งกับอัตราส่วนอื่นที่ยอมรับได้

ฉันขอเตือนคุณว่านี่ยังเป็นเบต้า ตอนนี้เมื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย เราจะปิดใช้งานการซิงโครไนซ์รหัสผ่านใน Yandex Browser ชั่วคราว นี่เป็นเพราะวิธีการเข้ารหัสฐานข้อมูลรหัสผ่าน เรากำลังประดิษฐ์อยู่แล้ว วิธีที่สะดวกการตรวจสอบเบราว์เซอร์ในกรณีของ 2FA ฟังก์ชั่น Yandex อื่น ๆ ทั้งหมดทำงานได้เหมือนเมื่อก่อน

นี่คือสิ่งที่เราได้รับ ดูเหมือนว่าจะออกมาดี แต่คุณเป็นผู้ตัดสิน เรายินดีที่จะรับฟังความคิดเห็นและคำแนะนำของคุณ และเราจะพยายามปรับปรุงการรักษาความปลอดภัยของบริการของเราต่อไป ในตอนนี้ ร่วมกับ CSP การเข้ารหัสการรับส่งเมล และอื่นๆ อีกมากมาย ขณะนี้เรามีการตรวจสอบสิทธิ์แบบสองปัจจัย อย่าลืมว่าบริการตรวจสอบสิทธิ์และแอปพลิเคชันการสร้าง OTP นั้นมีความสำคัญ ดังนั้นจึงมีการจ่ายโบนัสสองเท่าสำหรับข้อผิดพลาดที่พบในบริการเหล่านี้ โดยเป็นส่วนหนึ่งของโปรแกรม Bug Bounty

แท็ก: เพิ่มแท็ก