Kotiin-Ohjelmat-"Yandex.Key" on sovellus Yandex-tilille kirjautumiseen ilman salasanaa. Yandexin kaksivaiheinen todennus – lisäsuojaus Yandex-sähköpostitilisi kaksivaiheiseen todennustukseen

"Yandex.Key" on sovellus Yandex-tilille kirjautumiseen ilman salasanaa. Yandexin kaksivaiheinen todennus – lisäsuojaus Yandex-sähköpostitilisi kaksivaiheiseen todennustukseen

Kirjaudu ensin Yandex-päätilillesi, jos sinulla on sellainen. Jos sitä ei vielä ole, voit aina luoda sen yksinkertaisen rekisteröinnin jälkeen.

Ota käyttöön ja määritä kaksivaiheinen todennus

Napsauta siis Yandex-tililläsi tiliä ja siirry osioon Passi. Sitten - osiossa Kulunvalvonta paina Määritä kaksivaiheinen todennus.

Näyttöön tulee samanniminen ikkuna, jossa sinun on suoritettava kaksivaiheisen todennuksen käyttöönoton ja määrittämisen vaiheet.

Ensimmäisessä vaiheessa ilmoitamme puhelinnumeron ja vahvistamme sen vastaanottamalla koodin tekstiviestillä puhelimitse.

Seuraava vaihe on PIN-koodin luominen. Se vaaditaan älypuhelimeen tai tablet-laitteeseen asennetun Yandex.Key-sovelluksen käyttämiseen.

PIN-koodi voi koostua 4-16 numerosta. Kirjoita ne kenttään ja napsauta Luoda.

Ikkuna avautuu, jossa on QR-koodi ja ehdotus tilisi lisäämisestä Yandex.Key-sovellukseen.

Yandex.Key-sovelluksen asentaminen

Käynnistämme sen ja ikkunan alareunaan ilmestyy keltainen painike, joka avautuu ehdotuksella - Lisää tili sovellukseen.

Painamme painiketta, älypuhelimen näytölle avautuu ikkuna, johon sinun on syötettävä aiemmin keksitty PIN-koodi.

Kun PIN-koodi on syötetty, kamera käynnistyy automaattisesti. Osoitamme kameralla näyttöikkunassa olevaa QR-koodia ja odotamme valtuutusta.

Toinen tapa kirjautua sisään

Muussa tapauksessa voit järjestää kaksivaiheisen todennuksen PIN-koodin syöttämisen jälkeen valitsemalla vaihtoehdon saada 30 sekunnin kertakäyttöinen salasana.

Kaksivaiheisen todennuksen määrittämisen neljännessä vaiheessa sinun on linkitettävä Yandex.Key-ohjelma Yandex-tiliisi. Voit tehdä tämän kirjoittamalla älypuhelimeesi vastaanotetun kertaluonteisen salasanan.

Jos käy ilmi, että sen syöttäminen ajoissa on mahdotonta, sinun on odotettava seuraavan kerran, että numerot ilmestyvät älypuhelimeen, ja kirjoita se.

Kun olet syöttänyt, paina painiketta Kytke päälle ja siinä kaikki, Yandex.Key-ohjelma on aktivoitu ja tästä lähtien kaksivaiheisen todennuksen pitäisi toimia.

Nyt kaikilla laitteilla - tietokoneella, älypuhelimella - sinun on kirjauduttava ulos ja kirjauduttava tilillesi uudelleen olemassa olevalla kertaluonteisella salasanalla tai QR-koodilla käyttämällä matkapuhelimesi Yandex.Key-sovellusta.

Yandex.Mailissa saamme kirjeen, jossa ilmoitetaan, että kaksivaiheinen todennus toimii.

Vastaanotetusta kirjeestä löydät myös suosituksia uuden pääsyn asettamiseen ja kaksivaiheisen todennuksen käyttöön.

Yandexin kaksivaiheinen todennus muille palveluille

Yandex.Mail-, Ya.Disk- ja muille Yandex-palveluille on mahdollista luoda erilaisia ​​salasanoja. Tämä lisää merkittävästi henkilötietojen ja koko tilin turvallisuustasoa. Voit lukea niiden turvallisesta varastoinnista.

Voit tehdä tämän siirtymällä uudelleen osioon Passi - Kulunvalvonta. Valitsemme ohjelman, tässä tapauksessa - Levyn käyttö.

Mukavuussyistä kutsumme tätä yhteyttä esimerkiksi Oma levy ja paina Luo salasana.

Joten salasana on luotu, ja se näytetään vain kerran. Siksi, jos sitä ei tallenneta, on parempi poistaa se tulevaisuudessa ja luoda se uudelleen.

Nyt voit muodostaa yhteyden Yandex-verkkoasemaan. Minkä tahansa tiedostonhallinnan kautta pääsemme Yandex.Diskiin tällä salasanalla.

Siten Yandex.Disk ja Yandex-päätili suojataan erillisillä salasanoilla käyttämällä kaksivaiheista todennustoimintoa.

Poista kaksivaiheinen todennus käytöstä

Jos haluat tulevaisuudessa lopettaa kaksivaiheisen todennuksen käytön, siirry osioon Kulunvalvonta ja suorita sammutusmenettely.

Eli painamme kytkintä Pois anna Yandex.Keyn myöntämä kertakäyttöinen salasana, napsauta Vahvistaa.

Näin ollen Yandex-tilin kaksivaiheinen todennus on poistettu käytöstä. Sinun on pidettävä mielessä, että tässä tapauksessa myös Yandex.Diskin ja muiden palveluiden salasanat, jos ne on luotu, nollataan.

Se oli harvinainen viesti Yandex-blogissa, varsinkin turvallisuuteen liittyvä viesti, mainitsematta kaksivaiheista todennusta. Olemme pitkään pohtineet, kuinka käyttäjätilien suojaa voitaisiin vahvistaa oikein ja niin, että sitä voidaan käyttää ilman kaikkia tämän päivän yleisimpiin toteutuksiin liittyviä haittoja. Ja ne ovat valitettavasti epämukavia. Joidenkin tietojen mukaan monilla suurilla sivustoilla lisätodennuskeinojen käyttöön ottaneiden käyttäjien osuus ei ylitä 0,1 %.

Näyttää siltä, ​​että tämä johtuu siitä, että yleinen kaksivaiheinen todennusjärjestelmä on liian monimutkainen ja hankala. Yritimme keksiä menetelmän, joka olisi kätevämpi menettämättä suojaustasoa, ja tänään esittelemme sen beta-version.

Toivomme sen yleistyvän. Olemme omalta osaltamme valmiita työskentelemään sen parantamiseksi ja sen jälkeen standardoimiseksi.

Kun olet ottanut kaksivaiheisen todennuksen käyttöön Passportissa, sinun on asennettava Yandex.Key-sovellus App Storesta tai Google Playsta. QR-koodit ovat näkyneet Yandexin pääsivun valtuutuslomakkeessa, Mailissa ja Passportissa. Kirjautuaksesi tilillesi, sinun on luettava QR-koodi sovelluksen kautta - ja siinä kaikki. Jos QR-koodia ei voi lukea, esimerkiksi älypuhelimen kamera ei toimi tai Internet-yhteyttä ei ole saatavilla, sovellus luo kertakäyttöisen salasanan, joka on voimassa vain 30 sekuntia.

Kerron sinulle, miksi päätimme olla käyttämättä sellaisia ​​"vakiomekanismeja" kuin RFC 6238 tai RFC 4226. Kuinka yleiset kaksivaiheiset todennusmenetelmät toimivat? Ne ovat kaksivaiheisia. Ensimmäinen vaihe on normaali todennus käyttäjätunnuksella ja salasanalla. Jos se onnistuu, sivusto tarkistaa, pitääkö se tästä käyttäjäistunnosta vai ei. Ja jos et pidä siitä, se pyytää käyttäjää "todentamaan uudelleen". On olemassa kaksi yleistä "esitodennusta": tekstiviestin lähettäminen tiliin yhdistettyyn puhelinnumeroon ja toisen salasanan luominen älypuhelimeen. Periaatteessa RFC 6238:n mukaista TOTP:tä käytetään toisen salasanan luomiseen. Jos käyttäjä syötti toisen salasanan oikein, istunto katsotaan täysin autentikoiduksi, ja jos ei, niin istunto menettää myös "esitodennuksen".

Molemmat menetelmät – tekstiviestien lähettäminen ja salasanan luominen – ovat todiste puhelimen omistajuudesta ja ovat siksi saatavuuteen vaikuttavia tekijöitä. Ensimmäisessä vaiheessa syötetty salasana on tietotekijä. Siksi tämä todennusjärjestelmä ei ole vain kaksivaiheinen, vaan myös kaksivaiheinen.

Mikä tässä järjestelmässä tuntui ongelmalliselta?

Aloitetaan siitä, että keskivertokäyttäjän tietokonetta ei aina voida kutsua suojausmalliksi: Windows-päivitysten sammuttaminen, virustorjuntaohjelmiston piraattikopio ilman nykyaikaisia ​​allekirjoituksia ja epäilyttävän alkuperän ohjelmistot - kaikki tämä ei lisää suojaustasoa. Arviomme mukaan käyttäjän tietokoneen vaarantaminen on yleisin tapa "kaappaa" tilejä (ja äskettäin tästä saatiin toinen vahvistus), ja siltä haluamme ensisijaisesti suojautua. Kaksivaiheisessa todennuksen tapauksessa, jos oletetaan, että käyttäjän tietokone on vaarantunut, salasanan syöttäminen siihen vaarantaa itse salasanan, joka on ensimmäinen tekijä. Tämä tarkoittaa, että hyökkääjän tarvitsee vain valita toinen tekijä. RFC 6238:n yleisissä toteutuksissa toinen kerroin on 6 desimaalinumeroa (ja määrityksen sallima enimmäisluku on 8 numeroa). OTP:n bruteforce-laskimen mukaan hyökkääjä pystyy kolmessa päivässä löytämään toisen tekijän, jos hän jotenkin sai tietää ensimmäisen. Ei ole selvää, mitä palvelu voi estää tämän hyökkäyksen häiritsemättä käyttäjän normaalia käyttökokemusta. Ainoa mahdollinen todiste työstä on captcha, joka on mielestämme viimeinen keino.

Toinen ongelma on palvelun läpinäkyvyys käyttäjäistunnon laadusta ja päätöksen tekemisestä "esitodennuksen" tarpeesta. Vielä pahempaa on, että palvelu ei ole kiinnostunut tekemään tästä prosessista läpinäkyvää, koska tietoturva toimii täällä. Jos hyökkääjä tietää, millä perusteella palvelu tekee päätöksen istunnon laillisuudesta, hän voi yrittää väärentää nämä tiedot. Pääsääntöisesti voimme päätellä, että tuomio tehdään käyttäjän todennushistorian perusteella, ottaen huomioon IP-osoite (ja sen johdannaiset autonomisesta järjestelmänumerosta, joka tunnistaa palveluntarjoajan ja sijainnin geopohjan perusteella) ja selaintiedot, esimerkiksi User Agent -otsikko ja joukko evästeitä, flash-lso- ja html-paikallinen tallennustila. Tämä tarkoittaa, että jos hyökkääjä hallitsee käyttäjän tietokonetta, hän ei voi vain varastaa kaikkia tarvittavia tietoja, vaan käyttää myös uhrin IP-osoitetta. Lisäksi, jos päätös tehdään ASN:n perusteella, niin mikä tahansa todentaminen julkisesta Wi-Fi-verkosta kahvilassa voi johtaa tämän palveluntarjoajan "myrkytykseen" turvallisuusnäkökulmasta (ja palvelun näkökulmasta valkaisuun). kahvila ja esimerkiksi kaikkien kaupungin kahviloiden kalkiminen. Puhuimme poikkeamien havaitsemisjärjestelmän toiminnasta, ja sitä voitaisiin käyttää, mutta aika ensimmäisen ja toisen autentikointivaiheen välillä ei välttämättä riitä arvioimaan poikkeavuutta luotettavasti. Lisäksi sama argumentti tuhoaa ajatuksen "luotetuista" tietokoneista: hyökkääjä voi varastaa mitä tahansa tietoa, joka vaikuttaa luottamuspäätökseen.

Lopuksi kaksivaiheinen todennus on yksinkertaisesti hankala: käytettävyystutkimuksemme osoittaa, että mikään ei ärsytä käyttäjiä enempää kuin välinäyttö, ylimääräiset painikkeen napsautukset ja muut heidän näkökulmastaan ​​"tärkeät" toimet.
Tämän perusteella päätimme, että todennuksen tulee olla yksivaiheinen ja salasanatilan tulee olla paljon suurempi kuin "puhtaan" RFC 6238:n puitteissa on mahdollista.
Samalla halusimme säilyttää kaksivaiheisen todennuksen mahdollisimman paljon.

Monitekijätodennus määritellään määrittämällä todennuselementit (itse asiassa niitä kutsutaan tekijöiksi) johonkin kolmesta luokasta:

  1. Tietotekijät (nämä ovat perinteiset salasanat, PIN-koodit ja kaikki, mikä niiltä näyttää);
  2. Omistustekijät (käytetyissä OTP-järjestelmissä tämä on yleensä älypuhelin, mutta se voi olla myös laitteistotunnus);
  3. Biometriset tekijät (sormenjälki on nyt yleisin, vaikka joku muistaa jakson Wesley Snipesin hahmosta elokuvassa Demolition Man).

Järjestelmämme kehittäminen

Kun aloimme työstää kaksivaiheisen autentikoinnin ongelmaa (tätä asiaa käsittelevän yrityswikin ensimmäiset sivut ovat vuodelta 2012, mutta siitä on keskusteltu kulissien takana ennenkin), ensimmäinen ajatus oli ottaa tavallisia todennusmenetelmiä ja soveltaa niitä meille. Ymmärsimme, että emme voineet luottaa siihen, että miljoonat käyttäjämme ostavat laitteistotunnuksen, joten lykkäsimme tätä vaihtoehtoa joissakin eksoottisissa tapauksissa (vaikka emme hylkää sitä kokonaan, ehkä voimme keksiä jotain mielenkiintoista). SMS-menetelmä ei myöskään voinut olla laajalle levinnyt: se on erittäin epäluotettava toimitustapa (tärkeimmällä hetkellä tekstiviesti voi viivästyä tai ei saapua ollenkaan), ja tekstiviestien lähettäminen maksaa (ja operaattorit ovat alkaneet nostaa hintaa) . Päätimme, että tekstiviestien käyttö on tarkoitettu pankeille ja muille matalan teknologian yrityksille, ja haluamme tarjota käyttäjillemme jotain mukavampaa. Yleisesti ottaen valinta oli pieni: käytä älypuhelinta ja siinä olevaa ohjelmaa toisena tekijänä.

Tämä yksivaiheisen todennuksen muoto on laajalle levinnyt: käyttäjä muistaa PIN-koodin (ensimmäinen tekijä) ja hänellä on laitteisto- tai ohjelmistotunnus (älypuhelimessa), joka luo OTP:n (toinen tekijä). Salasanan syöttökenttään hän syöttää PIN-koodin ja nykyisen OTP-arvon.

Mielestämme tämän menetelmän suurin haittapuoli on sama kuin kaksivaiheisen todennuksen: jos oletamme, että käyttäjän työpöytä on vaarantunut, PIN-koodin kerran syöttäminen johtaa sen paljastamiseen ja hyökkääjä löytää vain toisen. tekijä.

Päätimme kulkea eri reittiä: koko salasana luodaan salaisuudesta, mutta vain osa salaisuudesta tallennetaan älypuhelimeen ja käyttäjä syöttää osan aina salasanan luomisen yhteydessä. Näin ollen älypuhelin itsessään on omistustekijä, ja salasana pysyy käyttäjän päässä ja on tietotekijä.

Nonce voi olla joko laskuri tai nykyinen aika. Päätimme valita nykyisen ajan, jolloin emme voi pelätä desynkronointia, jos joku luo liikaa salasanoja ja lisää laskuria.

Joten, meillä on älypuhelimelle ohjelma, jossa käyttäjä syöttää oman osan salaisuudesta, se sekoitetaan tallennettuun osaan, tulosta käytetään HMAC-avaimena, jolla allekirjoitetaan nykyinen aika pyöristettynä 30 sekuntiin. HMAC-lähtö muunnetaan luettavaan muotoon, ja voila ─ tässä on kertakäyttöinen salasana!

Kuten aiemmin todettiin, RFC 4226 määrittää, että HMAC-tulos katkaistaan ​​enintään 8 desimaalin tarkkuudella. Päätimme, että tämän kokoinen salasana ei sovellu yksivaiheiseen todennukseen ja sitä pitäisi suurentaa. Samalla halusimme säilyttää helppokäyttöisyyden (muistahan, että haluamme tehdä järjestelmän, jota tavalliset ihmiset käyttävät, ei vain tietoturvanörttiä), joten kompromissina järjestelmän nykyisessä versiossa , päätimme lyhentää latinalaiset aakkoset 8 merkkiin. Vaikuttaa siltä, ​​että 26^8 salasanaa, jotka ovat voimassa 30 sekuntia, ovat varsin hyväksyttäviä, mutta jos turvamarginaali ei sovi meille (tai arvokkaita vinkkejä tämän mallin parantamiseen ilmestyy Habreen), laajennamme esimerkiksi 10 merkkiin.

Lue lisää tällaisten salasanojen vahvuudesta

Itse asiassa latinalaisilla kirjaimilla ei ole merkitystä, vaihtoehtojen määrä on 26 merkkiä kohden suurille ja pienille latinalaisille kirjaimille plus numeroille, vaihtoehtojen määrä on 26+26+10=62. Sitten log 62 (26 10) ≈ 7.9, eli 10 satunnaisen pienen latinalaisen kirjaimen salasana on melkein yhtä vahva kuin 8 satunnaisen suuren ja pienen latinalaisen kirjaimen tai numeron salasana. Tämä riittää varmasti 30 sekunniksi. Jos puhumme 8-merkkisestä latinalaisista kirjaimista koostuvasta salasanasta, niin sen vahvuus on log 62 (26 8) ≈ 6,3, eli hieman enemmän kuin 6-merkkinen salasana, joka koostuu isoista, pienistä kirjaimista ja numeroista. Mielestämme tämä on edelleen hyväksyttävää 30 sekunnin ikkunalle.

Taika, salasanattomuus, sovellukset ja seuraavat vaiheet

Yleisesti ottaen olisimme voineet pysähtyä tähän, mutta halusimme tehdä järjestelmästä entistä mukavamman. Kun ihmisellä on älypuhelin kädessään, hän ei halua syöttää salasanaa näppäimistöltä!

Siksi aloimme työstää "maagista kirjautumista". Tällä todennusmenetelmällä käyttäjä käynnistää sovelluksen älypuhelimellasi, syöttää siihen PIN-koodinsa ja skannaa QR-koodin tietokoneen näytöltä. Jos PIN-koodi on syötetty oikein, selaimen sivu latautuu uudelleen ja käyttäjä todennetaan. Taika!

Miten se toimii?

QR-koodi sisältää istuntonumeron, ja sovelluksen skannauksen yhteydessä tämä numero välittyy palvelimelle tavalliseen tapaan muodostetun salasanan ja käyttäjätunnuksen kanssa. Tämä ei ole vaikeaa, koska älypuhelin on melkein aina verkossa. QR-koodin näyttävän sivun ulkoasussa JavaScript on käynnissä odottaen vastausta palvelimelta tämän istunnon salasanan tarkistamiseksi. Jos palvelin vastaa, että salasana on oikea, istuntoevästeet asetetaan vastauksen mukana ja käyttäjä katsotaan todennetuksi.

Se parani, mutta päätimme olla lopettamatta myöskään tähän. iPhone 5S:stä alkaen Applen puhelimet ja tabletit esittelivät TouchID-sormenjälkitunnistimen, ja iOS-versiossa 8 myös kolmansien osapuolien sovellukset voivat käyttää sitä. Todellisuudessa sovellus ei pääse käsiksi sormenjälkeen, mutta jos sormenjälki on oikea, lisäavaimenperäosa tulee sovelluksen saataville. Käytimme tätä hyväksemme. Salaisuuden toinen osa sijoitetaan TouchID-suojattuun Keychain-tietueeseen, johon käyttäjä syötti edellisessä skenaariossa näppäimistöltä. Avattaessa avaimenperää, salaisuuden kaksi osaa sekoitetaan, ja sitten prosessi toimii yllä kuvatulla tavalla.

Mutta siitä on tullut käyttäjälle uskomattoman kätevää: hän avaa sovelluksen, asettaa sormensa, skannaa QR-koodin näytöltä ja huomaa olevansa todennettu tietokoneensa selaimessa! Joten korvasimme tietotekijän biometrisellä ja käyttäjän näkökulmasta hylkäsimme salasanat kokonaan. Olemme varmoja, että tavalliset ihmiset pitävät tätä järjestelmää paljon kätevämpänä kuin kahden salasanan syöttäminen manuaalisesti.

On kyseenalaista kuinka teknisesti kaksivaiheinen todennus tämä on, mutta todellisuudessa sinulla on silti oltava puhelin ja oikea sormenjälki, jotta se onnistuu, joten uskomme, että olemme onnistuneet poistamaan tietotekijän ja korvaamaan sen biometrisilla tiedoilla. . Ymmärrämme, että luotamme iOS Secure Enclaven taustalla olevan ARM TrustZonen turvallisuuteen, ja uskomme, että tätä alajärjestelmää voidaan tällä hetkellä pitää luotettavana uhkamallissamme. Tietysti olemme tietoisia biometrisen todennuksen ongelmista: sormenjälki ei ole salasana, eikä sitä voi vaihtaa, jos se vaarantuu. Mutta toisaalta, kaikki tietävät, että turvallisuus on kääntäen verrannollinen mukavuuteen, ja käyttäjällä itsellään on oikeus valita hänelle hyväksyttävä suhde.

Haluan muistuttaa, että tämä on vielä beta. Nyt, kun kaksivaiheinen todennus on käytössä, poistamme salasanasynkronoinnin väliaikaisesti käytöstä Yandex-selaimessa. Tämä johtuu tavasta, jolla salasanatietokanta on salattu. Olemme jo kehittämässä kätevää tapaa todentaa selain 2FA:n tapauksessa. Kaikki muut Yandex-toiminnot toimivat kuten ennenkin.

Tämän saimme. Se näyttää menneen hyvin, mutta sinä olet tuomari. Otamme mielellämme vastaan ​​palautetta ja suosituksia, ja jatkamme palveluidemme turvallisuuden parantamista: nyt meillä on CSP:n, postinkuljetuksen salauksen ja kaiken muun ohella kaksivaiheinen todennus. Älä unohda, että todennuspalvelut ja OTP-sukupolvisovellukset ovat kriittisiä ja siksi niissä löydetyistä virheistä maksetaan tuplabonus osana Bug Bounty -ohjelmaa.

Tunnisteet: Lisää tunnisteita

Kaksivaiheinen todennus tarjoaa paremman suojan perinteiseen salasanaan verrattuna. Jopa monimutkainen ja tehokas salasana voi olla alttiina viruksille, näppäinloggereille ja tietojenkalasteluhyökkäyksille.

Voit ottaa kaksivaiheisen todennuksen käyttöön Yandex-tilinhallintasivulla. Yandex.Key-käyttöoikeuden määrittämiseksi tarvitset Android- tai iOS-mobiililaitteen.

Kaksivaiheisen todennuksen käyttöönoton jälkeen:

  • Sen sijaan, että käyttäisit Yandex-palveluita ja sovelluksia tavallisella salasanalla, sinun on annettava kertaluonteinen salasana (esimerkiksi kirjautuaksesi tilillesi tai vaihtaaksesi puhelinnumeroasi). Kun käytät QR-koodia, sinun ei tarvitse antaa kirjautumistunnustasi tai salasanojasi kirjautuaksesi Yandex-tilillesi.
  • Kolmannen osapuolen mobiilisovelluksissa, tietokoneohjelmissa ja sähköpostiohjelmissa sinun on käytettävä erillisiä sovellusten salasanoja.
  • Yandex-tilisi palautussivu muuttuu.

Ota kaksivaiheinen todennus käyttöön napsauttamalla "Aseta kaksivaiheinen todennus" -linkkiä "Käyttöoikeuksien hallinta" -osion "Henkilökohtaiset tiedot" -sivulla ja noudata useita vaiheita:

Jos puhelinnumerosi on jo linkitetty tiliisi, vahvista tai muuta se. Jos puhelinnumeroa ei ole määritetty, sinun on lisättävä se, muuten et voi palauttaa pääsyä tiliisi.

Jos haluat linkittää uuden numeron tai vahvistaa puhelinnumeron, pyydä koodi ja kirjoita se oikeaan kenttään. Napsauta sitten "Vahvista" -painiketta ja siirry seuraavaan vaiheeseen.

2. Luo PIN-koodi.

Luo 4-numeroinen PIN-koodi ja syötä se kaksivaiheista todennusta varten.

Tärkeää: Et saa jakaa PIN-koodiasi muille. PIN-koodia ei voi muuttaa. Jos unohdat PIN-koodisi, Yandex.Key-sovellus ei pysty luomaan kertakäyttöistä salasanaa, voit palauttaa pääsyn tiliisi vain teknisen tuen asiantuntijan avulla.

Kun olet syöttänyt PIN-koodin, napsauta "Luo" -painiketta.

Yandex.Key-sovellus vaaditaan kertaluonteisten salasanojen luomiseen tilillesi. Voit lähettää linkin sovelluksen asentamiseen suoraan kaksivaiheisen todennuksen asetusnäytössä tai ladata sovelluksen App Storesta tai Google Playsta.

Huomautus: jotta Yandex.Key toimisi, saatat tarvita pääsyn laitteen kameraan tunnistaaksesi viivakoodit (QR-koodit).

Napsauta Yandex.Key-sovelluksessa Lisää tili sovellukseen -painiketta. Sitten laitteen kamera käynnistyy. Skannaa selaimessasi näkyvä viivakoodi.

Jos QR-koodia ei tunnisteta, napsauta "Näytä salainen avain" -painiketta ja napsauta "Lisää avain manuaalisesti" sovelluksessa. QR-koodin sijaan selain näyttää merkkijonon, joka on syötettävä sovellukseen.

Kun laite on tunnistanut tilin, laite pyytää sinua syöttämään edellisessä vaiheessa luodun PIN-koodin.

Varmista, että asennus onnistui antamalla edellisessä vaiheessa luotu kertaluonteinen salasana. Kaksivaiheinen todennus otetaan käyttöön vain, jos annat oikean salasanan.

Syötä vain vaiheessa 2 luotu PIN-koodi Yandex.Key-sovellukseen. Sovellus luo kertaluonteisen salasanan. Kirjoita se Ota käyttöön -painikkeen viereen ja napsauta sitten painiketta.

Huomautus: Sinun on syötettävä OTP, ennen kuin se muuttuu näytöllä. Joskus on parempi odottaa uuden salasanan luomista ja kirjoittaa se.

Jos annoit oikean salasanan, kaksivaiheinen todennus otetaan käyttöön Yandex.Passport-tililläsi.

Kuinka poistaa kaksivaiheinen todennus käytöstä Yandexissa

  1. Siirry Yandex.Passport-tilisi "Käyttöoikeuksien hallinta" -välilehteen.
  2. Siirrä kytkin "Pois"-asentoon.
  3. Näyttöön tulee sivu, jolle sinun on syötettävä kertaluonteinen salasana Yandex.Key-sovelluksesta.
  4. Jos salasana on syötetty oikein, käyttäjää pyydetään asettamaan tilille uusi ensisijainen salasana.

Huomautus: Kun poistat kaksivaiheisen todennuksen käytöstä, vanhat sovellussalasanasi eivät enää toimi. Sinun on luotava uudet sovellussalasanat, jotta voit palauttaa niihin liittyvien palveluiden ja sovellusten, kuten sähköpostiohjelmien, toiminnan.

Käyttäjä voi määrittää kolmannen osapuolen sovellusten pääsyn Yandex-tiliin sovellussalasanoilla. Huomaa, että jokainen yksittäinen sovelluksen salasana antaa pääsyn tiettyyn palveluun. Esimerkiksi sähköpostiohjelmalle luotu salasana ei salli pääsyä Yandex.Disk-pilvitallennustilaan.

Voit luoda sovellusten salasanoja Yandex.Passport-tilin ohjauspaneelin "Käyttöoikeuksien hallinta" -välilehdellä. Liu'uta "App Passwords" -kytkin "On"-asentoon. Jos kaksivaiheinen todennus on käytössä, sovellusten salasanat pakotetaan, eikä niitä voi poistaa käytöstä.

Sinun on luotava erillinen sovelluksen salasana jokaiselle kolmannen osapuolen ohjelmalle, joka pyytää Yandex-salasanaa, mukaan lukien:

  • Sähköpostiohjelmat (Mozilla Thunderbird, Microsoft Outlook, The Bat! jne.)
  • WebDAV-asiakkaat Yandex.Disk
  • CalDAV-asiakkaat Yandex.Calendarille
  • Jabber-asiakkaita
  • Sovellukset tuontia muista sähköpostipalveluista

Sovelluksen salasanan luominen:

  1. Siirry Yandex.Passport-tilin ohjauspaneelin "Käyttöoikeuksien hallinta" -välilehteen.
  2. Ota "Sovellusten salasanat" -vaihtoehto käyttöön, jos se on poistettu käytöstä (kytkin ei tule näkyviin, jos et ole ottanut käyttöön kaksivaiheista todennusta).
  3. Napsauta "Hae sovelluksen salasana"
  4. Valitse sovelluksesta ja käyttöjärjestelmästä Yandex-palvelu, jota haluat käyttää.
  5. Anna sen sovelluksen nimi, jolle olet luomassa salasanaa ja napsauta "Lisää".
  6. Salasana näkyy seuraavassa välilehdessä. Napsauta "Valmis".

Huomautus: voit tarkastella luotua salasanaa vain kerran. Jos annoit salasanan väärin ja olet jo sulkenut ikkunan, poista nykyinen salasana ja luo uusi.

Monet käyttäjät, joiden toiminta liittyy rahan ansaitsemiseen Internetissä tai tärkeiden tietojen tallentamiseen verkossa, yrittävät suojata tiliään hakkeroilta ja luottamuksellisten tietojen varkauksilta.

Tietenkin monimutkainen salasana, joka sisältää numeroita ja kirjaimia sekä erikoismerkkejä, on melko luotettava suoja, mutta kaksivaiheinen todennus tarjoaa maksimaalisen vaikutuksen.

Kaikki eivät kuitenkaan tiedä tästä vaihtoehdosta tiliensä suojaamiseksi, ja tämä huolimatta siitä, että nykyään yhä useammat palvelut (postintarjoajat, sosiaaliset verkostot jne.) tarjoavat mahdollisuuden hyödyntää tätä mahdollisuutta.

Mikä on kaksivaiheinen todennus?

Joten mistä suojatyypistä me puhumme? Itse asiassa olet jo nähnyt kaksivaiheisen vahvistuksen. Esimerkiksi kun aiot suorittaa minkä tahansa toiminnon rahalla WebMoney-verkkosivustolla, sinun on kirjautumistunnuksesi ja salasanasi lisäksi ilmoitettava vahvistuskoodi, joka lähetetään matkapuhelimeesi.

Toisin sanoen kaksivaiheinen todennus on tilisi toinen avain. Jos aktivoit tämän vaihtoehdon esimerkiksi Evernotessa (sellainen vaihtoehto on), hyökkääjä, joka onnistui arvaamaan tämän muistiinpanopalvelun salasanan, kohtaa toisen ongelman - vaatimuksen määrittää kertaluonteinen koodi, joka lähetetään puhelinnumerosi. On syytä huomata, että jos tiliäsi yritetään hakkeroida, saat tekstiviestin ja voit vaihtaa salasanasi välittömästi.

Hyväksy, että tämä on erittäin kätevä vaihtoehto, jonka avulla olet vähemmän huolissasi henkilökohtaisten tietojen katoamisesta.

Missä on paras paikka käyttää sitä?

Tietysti jotkut käyttäjät voivat vastustaa sitä väittäen, että kaksivaiheinen todennus on liikaa "tarpeetonta vaihetta", ja yleensä se on tarkoitettu vainoharhaisille ihmisille, jotka ajattelevat aina jonkun katsovan heitä.

Ehkä he ovat jollain tapaa oikeassa. Esimerkiksi sosiaalisten verkostojen tapauksessa ei ole ollenkaan välttämätöntä käyttää tätä suojausmenetelmää. Vaikka täällä voi kiistellä. Yleensä hyökkääjät yrittävät hakkeroida suosittujen "julkisten" ylläpitäjien tilejä. Ja todennäköisimmin et myöskään haluaisi jonakin päivänä huomata, että tilisi jossakin "sosiaalisessa verkostossa" hakkeroitiin ja "Seinään" lähetettiin täysin sopimattomia valokuvia.

Mitä tulee muihin palveluihin, esimerkiksi Yandexin kaksivaiheinen todennus antaa sinun tallentaa rekisteröintitietosi turvallisesti WebMoneysta ja muista) tai salaisia ​​tietoja sisältävät kirjeet.

Google-tilin suojaus

Yksi tämän päivän suosituimmista palveluista on Google. Täällä voit rekisteröidä sähköpostitilin, tallentaa asiakirjoja Google Driveen, luoda ilmaisen blogin tai kanavan YouTubeen, joka voi myöhemmin tuottaa sinulle voittoa.

Jotta käyttäjät voivat olla varmoja postille tai levylle tallennettujen asiakirjojen turvallisuudesta, Google tarjoaa heille kaksivaiheisen todennuksen. Aktivoidaksesi sen, sinun on kirjauduttava sisään tilillesi.

Nyt, kun olet avannut esimerkiksi postilaatikkosi, kiinnitä huomiota avatariin oikeassa yläkulmassa. Napsauta sitä ja siirry kohtaan "Oma tili". Täällä tarvitset "Turvallisuus ja kirjautuminen" -osion, nimittäin "Kirjaudu Google-tiliin" -linkin.

Oikealla näet "Kaksivaiheisen vahvistuksen" -vaihtoehdon, jossa sinun on aktivoitava se napsauttamalla nuolta. Näyttöön tulee ikkuna, jossa olet kiinnostunut "Jatka asennusta" -painikkeesta. Anna salasanasi ja seuraa lisäohjeita.

Kaksivaiheinen todennus "Yandex"

Yandex tarjoaa myös käyttäjilleen melko paljon hyödyllisiä palveluita. Yandex.Disk-tietojen pilvitallennusten lisäksi voit hankkia itsellesi sähköisen lompakon, josta voit nostaa Internetissä ansaitsemasi rahat.

Ja tietenkään Yandex ei jäänyt sivuun ja tarjoaa käyttäjilleen myös kaksivaiheisen todennuksen suojaamaan postilaatikkoon tallennettuja asiakirjoja.

Voit ottaa sen käyttöön noudattamalla muutamia yksinkertaisia ​​vaiheita. Kirjaudu tilillesi ja napsauta LMB profiilikuvassasi (oikea yläkulma). Valitse avattavasta valikosta "Passi". Näyttöön tulee ikkuna, jossa sinun on napsautettava "Pääsynhallinta" -linkkiä. Aseta liukusäädin ON-asentoon. Sinut ohjataan sivulle, jossa sinun on napsautettava "Aloita asennus" -painiketta. Käy nyt läpi 4 vaihetta aktivoidaksesi kaksifaktorisen suojauksen.

Sosiaalinen verkosto "VKontakte"

Kuten edellä mainittiin, hyökkääjät yrittävät yleensä päästä suosittujen ryhmien "järjestelmänvalvojien" tileille. Mutta näin ei aina ole, koska yksinkertaisesti jonkun Internetissä tunnetun henkilön henkilökohtainen kirjeenvaihto saattaa kiinnostaa.

On syytä huomata, että joillekin käyttäjille tämä tilin suojausmenetelmä alkaa ärsyttää ajan myötä, koska se vaatii jatkuvaa salaisen koodin syöttämistä kirjautumistunnuksen ja salasanan lisäksi. Tällaisissa tapauksissa sinun on tiedettävä, kuinka kaksivaiheinen todennus poistetaan käytöstä. Ensin kuitenkin käsittelemme tämän vaihtoehdon aktivoimista.

Itse asiassa kaksivaiheisen vahvistuksen ottaminen käyttöön on hyvin yksinkertaista. Valitse "Omat asetukset" ja siirry sitten "Turvallisuus"-välilehteen. Napsauta "Kirjautumisvahvistus" -osiossa "Yhdistä" -painiketta. Noudata nyt kaikkia vaatimuksia yksitellen.

Poista kaksivaiheinen todennus käytöstä

Jotta voit poistaa kaksivaiheisen suojauksen käytöstä Yandexissa, sinun on palattava "Passiisi" napsauttamalla avatariasi. Avaa sen jälkeen "Access Control" -osio ja aseta liukusäädin "Pois" -asentoon.

Johtopäätös

Nyt tiedät mitä kaksisilmukainen todennus on ja miksi sitä tarvitaan. Kun käytät tiettyä palvelua, voit aktivoida tämän lisäsuojauksen tai kieltäytyä tästä ominaisuudesta.

Tietysti joissakin tapauksissa on erittäin suositeltavaa ottaa kaksivaiheinen vahvistus käyttöön. Esimerkiksi rekisteröityessäsi WebMoneyyn ilmoitit sähköpostiosoitteesi Yandexistä. Kun työskentelet Internetissä, voit joutua hakkereiden uhriksi, jotka hakkeroivat postilaatikkosi ja pääsevät käsiksi sähköiseen lompakkoosi. Tämän estämiseksi on parempi asentaa ja linkittää sähköpostisi puhelimeen. Tällä tavalla voit reagoida nopeasti, jos he yrittävät hakkeroida sinut.

Huomio. Yandexissä kehitetyt sovellukset vaativat kertaluonteisen salasanan - edes oikein luodut sovellussalasanat eivät toimi.

  1. Kirjaudu QR-koodilla
  2. Siirretään Yandex.Key
  3. Pääsalasana
  4. Kuinka kertakäyttöiset salasanat riippuvat tarkasta ajasta

Kirjaudu Yandex-palveluun tai -sovellukseen

Voit antaa kertaluonteisen salasanan missä tahansa valtuutuksessa Yandexissa tai Yandexin kehittämissä sovelluksissa.

Huom.

Sinun on syötettävä kertakäyttöinen salasana, kun se näkyy sovelluksessa. Jos päivitykseen on liian vähän aikaa, odota vain uutta salasanaa.

Saat kertaluonteisen salasanan käynnistämällä Yandex.Keyn ja antamalla PIN-koodin, jonka määritit kaksivaiheista todennusta määrittäessäsi. Sovellus alkaa luoda salasanoja 30 sekunnin välein.

Yandex.Key ei tarkista antamaasi PIN-koodia ja luo kertaluonteisia salasanoja, vaikka kirjoitit PIN-koodin väärin. Tässä tapauksessa myös luodut salasanat osoittautuvat vääriksi, eikä niillä voi kirjautua sisään. Anna oikea PIN-koodi poistumalla sovelluksesta ja käynnistämällä se uudelleen.

Kertakäyttöisten salasanojen ominaisuudet:

Kirjaudu QR-koodilla

Joissakin palveluissa (esimerkiksi Yandexin kotisivu, Passport and Mail) voit kirjautua Yandexiin yksinkertaisesti osoittamalla kameralla QR-koodia. Tässä tapauksessa mobiililaitteesi on oltava yhteydessä Internetiin, jotta Yandex.Key voi ottaa yhteyttä valtuutuspalvelimeen.

    Napsauta selaimen QR-koodikuvaketta.

    Jos kirjautumislomakkeessa ei ole tällaista kuvaketta, voit kirjautua palveluun vain salasanalla. Tässä tapauksessa voit kirjautua sisään passissa olevalla QR-koodilla ja siirtyä sitten haluamaasi palveluun.

    Anna PIN-koodisi Yandex.Keyssä ja napsauta Kirjaudu QR-koodilla.

    Osoita laitteesi kamera selaimessa näkyvään QR-koodiin.

Yandex.Key tunnistaa QR-koodin ja lähettää kirjautumistunnuksesi ja kertaluonteisen salasanasi Yandex.Passportille. Jos he läpäisevät vahvistuksen, kirjaudut automaattisesti sisään selaimeen. Jos lähetetty salasana on väärä (esimerkiksi koska annoit PIN-koodin väärin Yandex.Keyssä), selain näyttää tavallisen virheellisen salasanan ilmoittavan viestin.

Kirjautuminen Yandex-tilillä kolmannen osapuolen sovellukseen tai verkkosivustoon

Sovellukset tai sivustot, jotka tarvitsevat pääsyn tietoihisi Yandexissa, vaativat joskus salasanan syöttämistä tilillesi kirjautumiseen. Tällaisissa tapauksissa kertakäyttöiset salasanat eivät toimi - sinun on luotava erillinen sovelluksen salasana jokaiselle tällaiselle sovellukselle.

Huomio. Vain kertakäyttöiset salasanat toimivat Yandex-sovelluksissa ja -palveluissa. Vaikka luot sovelluksen salasanan, esimerkiksi Yandex.Diskille, et voi kirjautua sisään sillä.

Siirretään Yandex.Key

Voit siirtää kertaluonteisten salasanojen luomisen toiseen laitteeseen tai määrittää Yandex.Keyn useille laitteille samanaikaisesti. Voit tehdä tämän avaamalla Access Control -sivun ja napsauttamalla -painiketta Laitteen vaihto.

Useita tilejä Yandex.Keyssä

Samaa Yandex.Keyä voidaan käyttää useille tileille kertaluonteisilla salasanoilla. Jos haluat lisätä sovellukseen toisen tilin, napsauta sovelluksen kuvaketta, kun määrität kertaluonteisia salasanoja vaiheessa 3. Lisäksi voit lisätä salasanan luomisen Yandex.Key-palveluun muille palveluille, jotka tukevat tällaista kaksivaiheista todennusta. Suosituimpien palveluiden ohjeet löytyvät sivulta vahvistuskoodien luomisesta ei Yandexille.

Voit poistaa Yandex.Key-tilin linkin pitämällä vastaavaa muotokuvaa painettuna sovelluksessa, kunnes sen oikealle puolelle tulee risti. Kun napsautat ristiä, Yandex.Keyyn linkittävä tili poistetaan.

Huomio. Jos poistat tilin, jossa kertakäyttöiset salasanat ovat käytössä, et voi saada kertakäyttöistä salasanaa Yandexiin kirjautumiseen. Tässä tapauksessa käyttöoikeus on palautettava.

Sormenjälki PIN-koodin sijaan

Voit käyttää sormenjälkeäsi PIN-koodin sijasta seuraavissa laitteissa:

    älypuhelimet, joissa on Android 6.0 ja sormenjälkitunnistin;

    iPhone alkaen mallista 5s;

    iPad alkaen Air 2.

Huom.

iOS-älypuhelimissa ja -tableteissa sormenjälki voidaan ohittaa antamalla laitteen salasana. Suojaa tätä vastaan ​​ottamalla käyttöön pääsalasana tai vaihtamalla salasana monimutkaisemmaksi: avaa Asetukset-sovellus ja valitse Touch ID & Passcode.

Ota sormenjälkivahvistus käyttöön seuraavasti:

Pääsalasana

Voit suojata kertakäyttöisiä salasanojasi lisää luomalla pääsalasana: → Pääsalasana.

Pääsalasanalla voit:

    tee siitä niin, että voit syöttää vain Yandex.Key-pääsalasanan sormenjäljen sijaan, etkä laitteen lukituskoodia;

Varmuuskopio Yandex.Key-tiedoista

Voit luoda varmuuskopion avaintiedoista Yandex-palvelimelle, jotta voit palauttaa ne, jos kadotat puhelimesi tai tablet-laitteen sovelluksen kanssa. Kaikkien avaimeen kopion luomishetkellä lisättyjen tilien tiedot kopioidaan palvelimelle. Et voi luoda useampaa kuin yhden varmuuskopion tietylle puhelinnumerolle, joka korvaa edellisen.

Jotta voit noutaa tietoja varmuuskopiosta, sinun on:

    sinulla on pääsy puhelinnumeroon, jonka määritit sitä luodessasi;

    muista salasana, jonka määritit varmuuskopion salaamiseksi.

Huomio. Varmuuskopio sisältää vain kertaluonteisten salasanojen luomiseen tarvittavat kirjautumistunnukset ja salaisuudet. Sinun on muistettava PIN-koodi, jonka määritit, kun otit kertakäyttöiset salasanat käyttöön Yandexissa.

Varmuuskopiota ei ole vielä mahdollista poistaa Yandex-palvelimelta. Se poistetaan automaattisesti, jos et käytä sitä vuoden kuluessa luomisesta.

Varmuuskopion luominen

    Valitse kohde Luo varmuuskopio sovelluksen asetuksissa.

    Anna puhelinnumero, johon varmuuskopio linkitetään (esimerkiksi "71234567890" "380123456789") ja napsauta Seuraava.

    Yandex lähettää vahvistuskoodin syötettyyn puhelinnumeroon. Kun olet saanut koodin, kirjoita se sovellukseen.

    Luo salasana, joka salaa tietojesi varmuuskopion. Tätä salasanaa ei voi palauttaa, joten varmista, ettet unohda tai kadota sitä.

    Kirjoita luomasi salasana kahdesti ja napsauta Valmis. Yandex.Key salaa varmuuskopion, lähettää sen Yandex-palvelimelle ja raportoi siitä.



Aiheeseen liittyviä julkaisuja: