Hei igjen alle sammen. Enig, det viktigste mens du jobber på Internett er sikkerhet. Hun trenger spesiell oppmerksomhet. Når du registrerer deg på et viktig nettsted, bør du opprette et sterkt passord eller bruke. Siden jo mer kompleks kombinasjonen av bokstaver og tall er, desto vanskeligere vil det være for angripere å knekke den. Det er imidlertid tider når hackere klarer å få tilgang til kontoen din, for eksempel til din personlige e-post. Dette er veldig trist: viktig informasjon kan havne i uvennlige hender og den kan bli brukt mot deg, korrespondanse med partnerne dine kan bli fullstendig slettet, etc. Kort sagt, kontoen din må beskyttes som et øyeeple.
For å forbedre sikkerheten tilbyr mange tjenester tofaktorautentisering. I dag skal vi se på hva det er å bruke Yandex-post som eksempel.
Når denne funksjonen er aktivert, vil en angriper, selv om han velger hovedpassordet ditt riktig, ikke kunne komme inn i postkassen din. Siden for dette må du spesifisere et tilfeldig engangspassord, som genereres av en spesiell applikasjon på smarttelefonen eller nettbrettet. Nå vil vi prøve å beskrive i detalj hvordan du aktiverer tofaktorautentisering i Yandex. I fremtiden vil en lignende anmeldelse være på Google Mail og Mail.ru.
Så for å koble til denne funksjonen trenger vi en smarttelefon eller nettbrett. Vi går til postkassen vår Yandex-post. Hvis du ikke allerede har en, lag den. Hvordan? Les inn.
Etter at vi har logget inn på kontoen, klikk på kontoen din og velg elementet " Kontoadministrasjon»
Yandex-passet åpnes med alle slags innstillinger. I blokken " Adgangskontroll"gå til lenken" Sett opp tofaktorautentisering»
Nå må vi gå gjennom 4 trinn.
1 trinn. Bekreft telefonnummeret ditt.
Kontoen din etter å ha aktivert den nye funksjonen vil bli knyttet til telefonnummeret ditt. Angi derfor nummeret du har gratis tilgang til. Etter det, klikk på knappen " for å få koden»
Etter et par sekunder kommer en SMS-melding, hvor koden som vi skriver inn i feltet vil bli indikert ...
... og trykk " Bekrefte»
Trinn 2. Pin-kode.
For at applikasjonen skal kunne generere et engangspassord, må du angi en pinkode, den som vi nå vil indikere. Merk følgende!!! Husk denne koden og ikke del den med noen. Selv om telefonen din blir stjålet, uten å kjenne pinkoden din, vil ikke angripere kunne bruke denne applikasjonen.
Tast inn PIN-koden, og gjenta deretter. Klikk på øyet for å åpne symbolene. På denne måten kan du være sikker på at du har skrevet alt riktig. Og trykk " Skape».
Trinn 3. Yandex Key mobilapplikasjon.
På dette stadiet må vi installere selve applikasjonen som vil lage engangspassord. Vi trykker på knappen " Få lenke til telefonen».
La oss gå over det. En Android-telefon vil automatisk åpne Google Play-tjenesten med et forslag om å installere Yandex Key-applikasjonen. Vi installerer det.
Åpne Yandex Key. Etter noen få introduksjonssider vil du bli bedt om å skanne en QR-kode. Appen vil be om tillatelse til å få tilgang til kameraet ditt. Vi er enige. Pek deretter kameraet mot LCD-skjermen slik at firkanten med QR-koden treffer kameralinsen. Appen vil automatisk skanne og legge til kontoen din. Hvis skanningen mislykkes, kan du beholde den hemmelige nøkkelen. For å se den, klikk på lenken Vis privat nøkkel» under QR-koden. I applikasjonen velger du også metoden for å legge inn den hemmelige nøkkelen.
La oss nå gå videre til neste trinn.
Trinn 4. Skriv inn et engangspassord fra Yandex-nøkkelen.
Vi lanserer applikasjonen vår på gadgeten vår. Nå må du skrive inn pinkoden din. Og etter det vil du se det samme tilfeldige engangspassordet.
Passordet oppdateres hvert 30. sekund. Ha derfor tid til å skrive den inn i feltet før oppdateringen og klikk på " Slå på».
Det er det, vi har aktivert tofaktorautentisering for Yandex.
La oss sjekke hvordan det fungerer. Logg av gjeldende konto.
Nå kan du logge på kontoen din på 2 måter. 1) skriv inn brukernavnet ditt (eller Yandex-e-postadressen) og skriv deretter IKKE passordet som vi tidligere brukte, permanent, men det vi mottar i Yandex-mobilapplikasjonsnøkkelen etter å ha tastet inn pinkoden. Og trykk på Logg inn-knappen. Andre vei betyr å logge inn med QR kode. Klikk på ikonet i form av en qr-kode (til høyre for Logg inn-knappen).
Da kommer vi til denne siden
Vi følger instruksjonene: vi starter Yandex-nøkkelen, skriver inn pinkoden vår og velger deretter " Logg inn med QR-kode»
Deretter retter vi kameraet til nettbrettet eller telefonen mot QR-koden. Applikasjonen skanner koden og vi får tilgang til posten vår.
Slik deaktiverer du tofaktorautentisering i Yandex
Hvis du av en eller annen grunn bestemmer deg for å deaktivere tofaktorautentisering, kan dette gjøres raskt og enkelt. Vi går inn i postkassen din, går til Account Management (hvor og hvordan du gjør dette, se i begynnelsen av denne artikkelen) og slår av denne funksjonen.
I neste trinn må vi skrive inn et engangspassord fra Yandex Key-applikasjonen
Skriv inn og bekreft.
Vi oppretter et nytt passord (denne gangen permanent), gjentar det og lagrer det.
Det er det, nå er tofaktorautentiseringen vår deaktivert. Det permanente passordet som ble opprettet i forrige trinn vil bli brukt til å logge på.
Så i dag så vi på hvordan vi kan gjøre Yandex-e-postkontoen vår sikrere ved å koble tofaktorautentisering til den. Bruker du denne funksjonen? Del i kommentarene.
Og det var alt for i dag. Ser deg snart!
Hver person bør ha en drøm. En drøm er det som driver en person. Når du er liten drømmer du om å bli voksen. Drømmen må først bli et mål. Da må du nå målet ditt. Og du bør ha en ny drøm!
07
august
2016I juli 2016 lanserte Yandex muligheten til å akseptere betalinger via QR-kode. I denne artikkelen vil vi analysere mer detaljert metodene for å akseptere slike betalinger, provisjonen og resultatene av overføringen.
Slik godtar du en QR-kodebetaling via Yandex.Money-mobilappen
Alt er veldig enkelt:
1) Start Yandex.Money-mobilappen
2) Velg "Betal med QR"3) Pek kameraet mot QR-en eller strekkoden
4) Sjekk detaljene på skjermen. Se på kommisjonen.
5) Velg en betalingsmetode: Yandex.money eller et bankkort.
6) Bekreft operasjonen med et passord eller tilgangskode
Det skal bemerkes at i noen tilfeller kan det hende at QR-koden ikke inneholder alle nødvendige detaljer. For eksempel vil QR-koden kode fullt navn, personlig kontonummer, kontrakt, beløp. Som det viser seg, krever Yandex.Money-applikasjonen nødvendigvis tilstedeværelsen av et fullt navn, Adresse. Destinasjonsfeltet er ikke alltid obligatorisk.
Alle betalinger via QR-kode i Yandex.Money-appen kan deles inn i to kategorier:
- betaling for varer med QR-kode basert på Yandex.checkout API
- betalinger til fordel for bolig- og kommunale tjenester, LLC, individuelle gründere, budsjettinstitusjoner, etc. basert på en strekkode i henhold til GOST u.
I det første tilfellet, hvis du bruker innsamling av betalinger gjennom Yandex.checkout, vil Yandex selv utstede en QR-kode. I det andre tilfellet, for betaling med QR-kode, må det utarbeides i samsvar med GOST.Provisjonsgebyr ved betaling via QR-kode i Yandex.Money-appen
Provisjonen, som ved betaling i manuell modus, med QR-kode vil bli differensiert. Minimum terskelen er 30 rubler. Alt over minimum vil være 2 % av betalingsbeløpet. De. hvis betalingsbeløpet er mindre enn 1500 rubler, betaler du 30 rubler provisjon. Hvis mer enn 1500 rubler, så 2% av beløpet.
Når og hvordan midler overføres
Ved kjøp av varer ved hjelp av en QR-kode fra Yandex.Checkout, kommer pengene umiddelbart.
Når det gjelder overføringer av midler til bolig- og kommunale tjenester, LLC, individuelle gründere, etc. midler krediteres innen 2-3 virkedager. De. du skal ikke forvente at pengene blir overført til mottakeren samme dag. Mest sannsynlig vil det være neste virkedag etter betaling eller dagen etter.
Hvis organisasjonen ikke er oppført i Yandex.money-katalogen for betaling, og det er et flertall av dem, vil midlene gjennom oppgjørsbanken bli overført med en separat betalingsordre. Dette betyr at regnskapsfører må registrere betalingen din basert på dataene i betalingsformålsfeltet i betalingsordren. Informasjonen som ble kodet i QR-koden vil bare bli plassert der. Dette er vanligvis fullt navn, adresse, narkotika, kontrakt osv.
Har du allerede prøvd å betale med QR-kode gjennom Yandex.Money-mobilappen?Først går vi inn i hoved Yandex-kontoen, hvis den eksisterer. Hvis den ikke eksisterer ennå, kan du alltid opprette den etter en enkel registrering.
Aktivering og konfigurering av tofaktorautentisering
Så, i Yandex-kontoen din, klikk på kontoen og gå til delen Pass. Så, i seksjonen Adgangskontroll trykk Sett opp tofaktorautentisering.
Et vindu med samme navn åpnes, der du må gå gjennom trinnene for å aktivere og konfigurere tofaktorautentisering.
På det første trinnet angir vi telefonnummeret, bekrefter det ved å motta en kode i form av SMS på telefon.
Neste trinn er å lage en pinkode. Det kreves for å få tilgang til Yandex.Key-applikasjonen installert på smarttelefonen eller nettbrettet.
PIN-koden kan være fra 4 til 16 sifre. Skriv dem inn i feltet og klikk Skape.
Et vindu åpnes med en QR-kode og tilbyr å legge til kontoen din i Yandex.Key-appen.
Installere Yandex.Key-applikasjonen
Vi starter den og nederst i vinduet som åpnes, vises en gul knapp med et forslag - Legg til en konto i appen.
Vi trykker på knappen, et vindu åpnes på smarttelefonskjermen der du må skrive inn den tidligere oppfunne pinkoden.
Så snart pinkoden er tastet inn, vil kameraet automatisk slå seg på. Pek kameraet mot QR-koden i monitorvinduet og vent på godkjenning.
En annen autorisasjonsmetode
Ellers, for å organisere tofaktorautentisering etter inntasting av en pinkode, er det mulig å velge alternativet for å få et 30-sekunders engangspassord.
På det fjerde trinnet med å sette opp tofaktorautentisering, må du koble Yandex.Key-programmet til Yandex-kontoen din. For å gjøre dette, skriv inn engangspassordet mottatt på smarttelefonen.
Hvis det viser seg at det er umulig å legge inn det i tide, må du vente på neste opptreden av tallene på smarttelefonen og angi det allerede.
Etter inntasting, trykk på knappen Slå på og det er det, Yandex.Key-programmet er aktivert og fra det øyeblikket skal tofaktorautentisering fungere.
Nå på alle enheter - en datamaskin, en smarttelefon - må du logge ut og logge på kontoen din på nytt med et eksisterende engangspassord eller med en QR-kode ved å bruke Yandex.Key-mobilappen.
I Yandex.Mail mottar vi et brev med en melding om at tofaktorautentisering har fungert.
I e-posten du mottok kan du også gjøre deg kjent med anbefalingene for å sette opp en ny tilgang og bruke tofaktorautentisering.
Yandex to-faktor autentisering for andre tjenester
Det er mulig å lage forskjellige passord for Yandex.Mail, Ya.Disk og andre Yandex-tjenester. Dette vil øke sikkerhetsnivået for personopplysninger og kontoen som helhet betydelig. Du kan lese om deres trygge oppbevaring.
For å gjøre dette, gå tilbake til delen Pass - Adgangskontroll. Velg et program, i dette tilfellet - Disktilgang.
For enkelhets skyld kaller vi denne forbindelsen f.eks. Min disk og trykk Lag et passord.
Så passordet er opprettet, og det vil bare vises én gang. Derfor, hvis det ikke er bevart, er det bedre å slette det i fremtiden og lage det på nytt.
Nå kan du koble til en Yandex-nettverksstasjon. Gjennom hvilken som helst filbehandler får vi tilgang til Yandex.Disk ved å bruke dette passordet.
Dermed vil Yandex.Disk og Yandex-hovedkontoen være beskyttet av separate passord ved bruk av.
Deaktivering av tofaktorautentisering
Hvis det i fremtiden er et ønske om å nekte bruk av tofaktorautentisering, er det nok å gå til seksjonen for dette Adgangskontroll og gå gjennom frakoblingsprosessen.
Det vil si at vi trykker på bryteren Av skriv inn et engangspassord utstedt av Yandex.Key, klikk Bekrefte.
Dermed er tofaktorautentisering av Yandex-kontoen deaktivert. Det bør huskes at passordene til Yandex.Disk og andre tjenester, hvis de er opprettet, også tilbakestilles.
Merk. For å flytte kontoen din til en annen smarttelefon eller nettbrett, åpne siden og klikk Endre enhet .
Å sette opp 2FA tar noen få trinn Tofaktorautentisering aktiveres først etter at du klikker på Fullfør oppsett .
- Trinn 2. Opprett en PIN-kode
- Trinn 3. Sett opp Yandex.Key
Trinn 1. Bekreft telefonnummeret ditt
Hvis du allerede har koblet telefonnummeret ditt til kontoen din, vil nettleseren vise dette nummeret og spørre om du vil bekrefte det eller endre det. Hvis ditt nåværende telefonnummer ikke er koblet til kontoen din, må du koble det ellers vil du ikke kunne gjenopprette tilgangen til kontoen din på egen hånd.
For å koble eller bekrefte et nummer, be om at en kode sendes via SMS og skriv den deretter inn i skjemaet. Når du har skrevet inn koden riktig, klikker du på Bekreft for å fortsette til neste trinn.
Trinn 2. Opprett en PIN-kode
Tenk på en firesifret PIN-kode og skriv den inn for tofaktorautentisering.
Merk følgende. Som med bankkort, bør du ikke dele PIN-koden din med noen, og den kan ikke endres. Hvis du glemmer PIN-koden din, kan ikke Yandex.Key generere et riktig engangspassord, og tilgangen til kontoen din kan bare gjenopprettes av kontakte vår supportavdeling.
Klikk på Opprett for å bekrefte PIN-koden.
Trinn 3. Sett opp Yandex.Key
Yandex.Key-appen kreves for å generere engangspassord for kontoen din. Du kan få en lenke til appen direkte på telefonen din, eller du kan installere den fra App Store eller Google Play .
Merk. Yandex.Key kan be om tilgang til kameraet ditt for å gjenkjenne QR-koder når kontoer legges til eller når du logger på med en QR-kode.
I Yandex.Key, trykk på Legg til konto-knappen. Yandex.Key slår på kameraet ditt for å skanne QR-koden som vises i nettleseren.
Hvis QR-koden ikke kan leses, klikker du Vis hemmelig nøkkel i nettleseren, eller på Legg den til manuelt i appen. I stedet for QR-koden vil nettleseren vise en sekvens av tegn som må legges inn i appen.
Når den gjenkjenner kontoen din, vil enheten be om PIN-koden du opprettet under trinn to.
Trinn 4. Sjekk engangspassordet ditt
For å være sikker på at du har satt opp alt riktig, skriv inn engangspassordet ditt. Tofaktorautentisering vil bare fungere hvis du skriver inn riktig passord.
Et sjeldent innlegg på Yandex-bloggen, og spesielt et relatert til sikkerhet, gjorde uten å nevne tofaktorautentisering. Vi har lenge tenkt på hvordan vi skal styrke beskyttelsen av brukerkontoer på en riktig måte, og til og med slik at de kan bruke den uten alle ulempene som inkluderer de vanligste implementeringene i dag. Og dessverre er de ubehagelige. I følge noen rapporter, på mange store nettsteder, overstiger ikke andelen brukere som har aktivert ekstra autentiseringsverktøy 0,1 %.
Dette ser ut til å være fordi den vanlige tofaktorautentiseringsordningen er for komplisert og upraktisk. Vi prøvde å komme opp med en metode som ville være mer praktisk uten å miste beskyttelsesnivået, og i dag presenterer vi betaversjonen.
Vi håper det blir mer utbredt. For vår del er vi klare til å jobbe med forbedring og påfølgende standardisering.
Etter å ha aktivert tofaktorautentisering i Passport, må du installere Yandex.Key-applikasjonen i App Store eller Google Play. QR-koder dukket opp i autorisasjonsskjemaet på hovedsiden til Yandex, i Mail og Passport. For å komme inn på kontoen må du lese QR-koden gjennom applikasjonen – og det er det. Hvis QR-koden ikke kan leses, for eksempel smarttelefonkameraet ikke fungerer eller det ikke er tilgang til Internett, vil applikasjonen opprette et engangspassord som vil være gyldig i kun 30 sekunder.
Jeg skal fortelle deg hvorfor vi bestemte oss for ikke å bruke slike "standard" mekanismer som RFC 6238 eller RFC 4226. Hvordan fungerer vanlige tofaktorautentiseringsordninger? De er to-trinns. Det første trinnet er vanlig autentisering med brukernavn og passord. Hvis det var vellykket, sjekker nettstedet om det "liker" denne brukerøkten eller ikke. Og hvis du "ikke liker det", ber brukeren om å "autentisere på nytt". Det er to vanlige metoder for "do-autentisering": å sende en SMS til telefonnummeret som er knyttet til kontoen og generere et nytt passord på smarttelefonen. I utgangspunktet brukes TOTP i henhold til RFC 6238 for å generere det andre passordet. Hvis brukeren skrev inn det andre passordet riktig, anses økten som fullt autentisert, og hvis ikke, mister økten også den "foreløpige" autentiseringen.
Begge metodene ─ å sende en SMS og generere et passord ─ er bevis på besittelse av telefonen og er derfor en faktor i tilgjengeligheten. Passordet som ble angitt i det første trinnet er kunnskapsfaktoren. Derfor er denne autentiseringsordningen ikke bare to-trinns, men også to-faktor.
Hva fant vi problematisk i denne ordningen?
La oss starte med det faktum at datamaskinen til en gjennomsnittlig bruker ikke alltid kan kalles en sikkerhetsmodell: å slå av Windows-oppdateringer, en piratkopiert kopi av et antivirus uten moderne signaturer og programvare av tvilsom opprinnelse ─ alt dette øker ikke nivået av beskyttelse. Ifølge vår vurdering er det å kompromittere en brukers datamaskin den mest utbredte måten å "kapre" kontoer på (og det var en annen bekreftelse på dette nylig), og vi ønsker å beskytte oss mot det i utgangspunktet. Ved to-trinns autentisering, forutsatt at brukerens datamaskin er kompromittert, kompromitterer det å skrive inn et passord på den selve passordet, som er den første faktoren. Dette betyr at angriperen bare trenger å velge den andre faktoren. Når det gjelder vanlige RFC 6238-implementeringer, er den andre faktoren 6 desimaler (og maksimumsspesifikasjonen er 8 sifre). I følge bruteforce-kalkulatoren for OTP kan en angriper på tre dager fange opp den andre faktoren hvis han på en eller annen måte ble klar over den første. Det er ikke klart hva tjenesten kan motvirke dette angrepet uten å forstyrre den normale brukeropplevelsen. Det eneste mulige beviset på arbeid er captcha, som etter vår mening er siste utvei.Det andre problemet er ugjennomsiktigheten i tjenestens vurdering av kvaliteten på brukersesjonen og avgjørelsen om behovet for «oppautentisering». Enda verre, tjenesten er ikke interessert i å gjøre denne prosessen gjennomsiktig, fordi sikkerhet ved uklarhet faktisk fungerer her. Hvis en angriper vet hva tjenesten bestemmer om legitimiteten til økten, kan han prøve å forfalske disse dataene. Fra generelle betraktninger kan vi konkludere med at dommen er gjort basert på brukerens autentiseringshistorikk, tar hensyn til IP-adressen (og avledet fra den det autonome systemnummeret som identifiserer leverandøren, og plasseringen basert på geobasen) og nettleserdata , for eksempel User Agent-overskriften og et sett med informasjonskapsler, flash lso og html lokal lagring. Dette betyr at hvis en angriper kontrollerer brukerens datamaskin, har han muligheten til ikke bare å stjele alle nødvendige data, men også å bruke offerets IP-adresse. Dessuten, hvis avgjørelsen tas på grunnlag av ASN, kan enhver autentisering fra offentlig Wi-Fi i en kaffebar føre til "forgiftning" når det gjelder sikkerhet (og hvitvasking når det gjelder tjeneste) leverandøren av denne kaffebaren og , for eksempel hvitvasking av alle kaffebarer i byen . Vi snakket om driften av anomalideteksjonssystemet, og det kunne brukes, men tiden mellom første og andre stadie av autentisering er kanskje ikke nok for en sikker vurdering av anomalien. I tillegg undergraver dette samme argumentet ideen om "pålitelige" datamaskiner: en angriper kan stjele all informasjon som påvirker bedømmelsen av tillit.
Til slutt er totrinnsverifisering rett og slett upraktisk: våre brukervennlighetsstudier viser at ingenting irriterer brukere mer enn en mellomskjerm, ekstra knappetrykk og andre "uviktige" handlinger, fra hans synspunkt.
Basert på dette bestemte vi oss for at autentisering skulle være ett-trinns og passordplassen skulle være mye større enn det som er mulig under den "rene" RFC 6238.
Samtidig ønsket vi å beholde tofaktorautentisering som mulig.Multifaktoralitet i autentisering bestemmes ved å tilordne autentiseringselementer (faktisk kalles de faktorer) til en av tre kategorier:
- Kunnskapsfaktorer (dette er tradisjonelle passord, pinkoder og alt som ligner på dem);
- Eierskapsfaktorer (i OTP-ordningene som brukes, er dette vanligvis en smarttelefon, men det kan også være et maskinvaretoken);
- Biometriske faktorer (fingeravtrykk ─ det vanligste nå, selv om noen vil huske episoden med helten til Wesley Snipes i filmen Demolition Man).
Utvikling av systemet vårt
Da vi begynte å håndtere problemet med tofaktorautentisering (de første sidene i bedriftswikien om dette problemet dateres tilbake til 2012, men det ble diskutert bak kulissene før), var den første ideen å ta standard autentiseringsmetoder og bruke dem her. Vi forsto at vi ikke kunne regne med at millioner av brukerne våre kjøpte et maskinvaretoken, så dette alternativet ble utsatt for noen eksotiske tilfeller (selv om vi ikke helt forlater det, kan vi kanskje finne på noe interessant). SMS-metoden kunne heller ikke masseproduseres: dette er en veldig upålitelig leveringsmetode (i det mest avgjørende øyeblikket kan SMS bli forsinket eller ikke levert i det hele tatt), og sending av SMS koster penger (og operatørene begynte å øke prisen) . Vi bestemte oss for at bruk av SMS er partiet til banker og andre ikke-teknologiske selskaper, og vi ønsker å tilby brukerne våre noe mer praktisk. Generelt var valget lite: å bruke en smarttelefon og programmet i den som en andre faktor.Denne formen for ett-trinns autentisering er utbredt: brukeren husker pinkoden (første faktor), har en maskinvare eller programvare (på en smarttelefon) token som genererer OTP (andre faktor). I passordfeltet skriver han inn pinkoden og gjeldende OTP-verdi.
Etter vår mening er hovedulempen med denne ordningen den samme som to-trinns autentisering: hvis vi antar at brukerens skrivebord er kompromittert, fører en enkelt inntasting av pinkoden til avsløringen, og angriperen må bare velg den andre faktoren.
Vi bestemte oss for å gå den andre veien: passordet er helt generert fra hemmeligheten, men bare en del av hemmeligheten lagres i smarttelefonen, og delen legges inn av brukeren hver gang passordet genereres. Dermed er smarttelefonen i seg selv en eierskapsfaktor, mens passordet forblir i brukerens hode og er en kunnskapsfaktor.
Nonce kan enten være en teller eller gjeldende tid. Vi bestemte oss for å velge gjeldende tidspunkt, dette lar oss ikke være redde for desynkronisering i tilfelle noen genererer for mange passord og øker telleren.
Så vi har et program for en smarttelefon, der brukeren legger inn sin del av hemmeligheten, den blandes med den lagrede delen, resultatet brukes som HMAC-nøkkelen, som signerer gjeldende tid, rundet opp til 30 sekunder. HMAC-utgangen gjengis i lesbar form, og voila - her er engangspassordet!
Som allerede nevnt foreslår RFC 4226 å avkorte HMAC-resultatet til maksimalt 8 desimaler. Vi bestemte at et passord av denne størrelsen ikke er egnet for ett-trinns autentisering og bør økes. Samtidig ønsket vi å opprettholde brukervennligheten (fordi, husk, vi ønsker å lage et slikt system som vanlige folk vil bruke, og ikke bare sikkerhetsnerder), så som et kompromiss i den nåværende versjonen av systemet, valgte avkorting til 8 tegn i det latinske alfabetet. Det ser ut til at 26 ^ 8 passord som er gyldige i 30 sekunder er ganske akseptabelt, men hvis sikkerhetsmarginen ikke passer oss (eller det vises verdifulle tips på Habré om hvordan du kan forbedre denne ordningen), utvider vi for eksempel til 10 tegn.
Lær mer om styrken til slike passord
Faktisk, for latinske bokstaver som ikke skiller mellom store og små bokstaver, er antallet alternativer per tegn 26, for store og små latinske bokstaver pluss tall er antallet alternativer 26+26+10=62. Deretter logger 62 (26 10) ≈ 7,9 dvs. et passord med 10 tilfeldige små latinske bokstaver er nesten like sterkt som et passord med 8 tilfeldige store og små latinske bokstaver eller tall. Dette er definitivt nok i 30 sekunder. Hvis vi snakker om et 8-tegns passord fra latinske bokstaver, er styrken log 62 (26 8) ≈ 6.3, det vil si litt mer enn et 6-tegns passord fra store, små bokstaver og tall. Vi tror dette fortsatt er akseptabelt for et 30 sekunders vindu.Magi, passordløshet, applikasjoner og neste trinn
Generelt kunne vi stoppe der, men vi ønsket å gjøre systemet enda mer praktisk. Når en person har en smarttelefon i hånden, vil han ikke skrive inn passordet fra tastaturet!
Derfor begynte vi arbeidet med den "magiske påloggingen". Med denne autentiseringsmetoden starter brukeren applikasjonen på smarttelefonen, skriver inn pinkoden og skanner QR-koden på skjermen på datamaskinen. Hvis pin-koden er angitt riktig, lastes siden i nettleseren inn på nytt og brukeren blir autentisert. Magi!
Hvordan virker det?
Sesjonsnummeret er sydd inn i QR-koden, og når applikasjonen skanner den, blir dette nummeret overført til serveren sammen med passordet og brukernavnet som genereres på vanlig måte. Dette er ikke vanskelig, fordi smarttelefonen nesten alltid er online. I oppsettet til siden som viser QR-koden kjører JavaScript, og venter på svar fra serveren for å sjekke passordet med denne økten. Hvis serveren svarer at passordet er riktig, settes en øktinformasjonskapsel med svaret og brukeren anses som autentisert.Det ble bedre, men her bestemte vi oss for å ikke stoppe. Fra og med iPhone 5S dukket TouchID fingeravtrykkskanner opp på Apple-telefoner og nettbrett, og i iOS versjon 8 er den også tilgjengelig for tredjepartsapplikasjoner. Faktisk får ikke applikasjonen tilgang til fingeravtrykket, men hvis fingeravtrykket er riktig, blir den ekstra nøkkelringdelen tilgjengelig for applikasjonen. Dette er hva vi utnyttet. Den andre delen av hemmeligheten er plassert i den TouchID-beskyttede nøkkelringoppføringen, den som brukeren skrev inn fra tastaturet i forrige scenario. Når du låser opp nøkkelringen, blandes de to delene av hemmeligheten, og deretter fungerer prosessen som beskrevet ovenfor.
Men det har blitt utrolig praktisk for brukeren: han åpner applikasjonen, setter fingeren, skanner QR-koden på skjermen og blir autentisert i nettleseren på datamaskinen! Så vi byttet ut kunnskapsfaktoren med en biometrisk og, fra brukerens synspunkt, forlot passordene fullstendig. Vi er sikre på at vanlige mennesker vil finne denne ordningen mye mer praktisk enn å manuelt legge inn to passord.
Det er diskutabelt hvor teknisk tofaktorautentisering er, men i virkeligheten må du fortsatt ha en telefon og ha et gyldig fingeravtrykk for å sende den, så vi tror vi har klart å kvitte oss med kunnskapsfaktoren, og erstatte den med biometri. Vi forstår at vi stoler på ARM TrustZone-sikkerheten som ligger til grunn for iOS Secure Enclave og tror at dette undersystemet kan betraktes som klarert innenfor trusselmodellen vår foreløpig. Selvfølgelig er vi klar over problemene med biometrisk autentisering: et fingeravtrykk er ikke et passord og kan ikke erstattes hvis det kompromitteres. Men på den annen side vet alle at sikkerhet er omvendt proporsjonal med bekvemmelighet, og brukeren har selv rett til å velge forholdet mellom det ene og det andre som er akseptabelt for ham.
La meg minne deg på at dette fortsatt er beta. Nå, når du aktiverer tofaktorautentisering, deaktiverer vi midlertidig passordsynkronisering i Yandex.Browser. Dette skyldes hvordan krypteringen av passorddatabasen er ordnet. Vi kommer allerede med en praktisk måte å autentisere nettleseren på i tilfelle 2FA. All annen Yandex-funksjonalitet fungerer som før.
Her er hva vi har. Det ser ut som det ble bra, men du er dommeren. Vi vil gjerne høre tilbakemeldinger og anbefalinger, og vi vil selv fortsette å jobbe med å forbedre sikkerheten til tjenestene våre: nå, sammen med CSP, posttransportkryptering og alt annet, har vi tofaktorautentisering. Husk at autentiseringstjenester og OTP-genereringsapplikasjoner er kritiske, og derfor er feil som finnes i dem, dobbel dusør betalt under Bug Bounty-programmet.
Tags: Legg til tagger
