Dvojfaktorová autentifikácia na Instagrame: ako povoliť alebo zakázať. Dvojfaktorová autentifikácia Apple: funkcie, princíp ochrany, deaktivácia

Vedieť, ako zapnúť dvojfaktorové overenie Apple ID, môže pomôcť udržať vaše App ID a iCloud bezpečnejšie a dôveryhodnejšie. V podstate to znamená, že ak útočník pozná heslo, no nemá prístup k predtým overenému zariadeniu, nebude sa môcť do tohto účtu prihlásiť.

Prístupový systém spoločnosti umožňuje prihlásenie do používateľského účtu len z overeného zariadenia. Dvojnásobné overenie vyžaduje, aby ste pri prvej registrácii pomocou Apple ID z neznámeho modulu gadget zadali správne heslo a druhý bezpečnostný kód odoslaný na overené zariadenie alebo číslo.

Princíp činnosti

Pri prvom zadávaní Apple ID napríklad z nového smartfónu musí majiteľ najprv overiť svoju identitu heslom a následne vytočiť 6 číslic, ktoré automaticky prejdú na všetky overené zariadenia. Postup potvrdzuje dôveru v nový gadget. Nemusíte to zakaždým opakovať. Overovacie číslo nemusíte zadávať, pokiaľ sa neodhlásite zo svojho účtu, neodstránite hardvér alebo nezmeníte prístupový kód. Registráciou do systému na internete môže používateľ dôverovať svojmu vlastnému prehliadaču, takže pri ďalšom prihlásení z počítača už nebude potrebné zadávať overovacie číslo.

Duálne overovanie funguje na smartfónoch iPhone a tabletoch iPad so systémom iOS 9 a staršími verziami, ako aj na počítačoch Macintosh s OS nie starším ako El Capitan.

Čo je dôveryhodné vybavenie

Po aktivácii dvojstupňového overenia musí používateľ overiť svoju identitu zadaním čísla odoslaného do zariadenia alebo telefónneho čísla, ktoré je pri prihlasovaní do svojho účtu Apple označené ako dôveryhodné. Kód slúži ako identifikačný kľúč.

Zoznam takýchto zariadení je dostupný v "safari" v menu" AppID – Heslo a zabezpečenie – Pridajte alebo odstráňte dôveryhodné zariadenie". Spravidla ide o iPad, iPhone alebo iPod touch, cez ktoré majiteľ vstúpil do cloudového úložiska a aktivoval funkciu vyhľadávania iPhonu.

Na potvrdenie zariadenia musíte prejsť postupom overenia: vytočte 4-miestne číslo, ktoré mu bolo odoslané.

Duálne overenie je vo všeobecnosti najlepšie pre ľudí, ktorí si uvedomujú bezpečnosť, sú spokojní s procesom jeho nastavenia a rozumejú tomu, ako funguje. Ochrana znižuje riziko prístupu neoprávnených osôb k osobným údajom, je ľahko použiteľná a nespôsobuje dodatočné náklady.

Ak majiteľ smartfónu zvyčajne zabúda heslá Apple a mení telefónne čísla, takýto nástroj nie je vhodný. Ak sa stratia obe heslá a dôveryhodné zariadenia alebo mobilný telefón sú nedostupné, môže byť neuveriteľne ťažké, ak nie nemožné, znova získať prístup k ID aplikácie. Títo vlastníci musia vedieť, ako vypnúť verifikáciu Apple ID v dvoch krokoch.

Navyše, pri krádeži smartfónu môže útočník obísť dvojitú ochranu prečítaním SMS správ s overovacím kódom na uzamknutej obrazovke alebo pomocou funkcie obnovenia prístupu, ktorá umožňuje dočasne používať e-mail a resetovať heslá.

Ako zapnúť a vypnúť

Ak chcete aktivovať režim duálnej identifikácie, musíte:

1. Pre iOS verzie 10.3 alebo novšej otvorte "Nastavenie" a po výbere svojho mena prejdite na položku "Bezpečnosť". Pre iOS 9–10.2 musíte klepnúť na „ iCloud – ID aplikácie».
2. Povoľte dvojitú kontrolu a kliknite "Pokračovať".
3. Zadajte číslo mobilného telefónu. Používateľ si musí zvoliť možnosť prenosu overovacieho čísla k nemu: hlasovým hovorom alebo SMS správou. Stlačte tlačidlo obrazovky "Pokračovať".
4. Po zadanom čísle bude prijatá správa s overovacím číslom. Zadajte ho do iPhone, potom sa stane dôveryhodným a bude mu odoslaný kód druhej fázy overenia.

Ako vypnúť dvojfaktorové overenie na Apple ID?

Akčný algoritmus:

1. Nájdite počítač s prístupom na internet, otvorte prehliadač a navštívte stránku appleid.apple.com.
2. Prihláste sa do svojho účtu Apple vykonaním procesu verifikácie v dvoch krokoch. Po zadaní 6-miestneho potvrdzovacieho čísla sa otvoria nastavenia účtu.
3. Ísť do " Heslo a zabezpečenie". Stlačte tlačidlo "Zmena".
4. Pokračujte vypnutím dvojstupňového overenia a potvrďte svoje rozhodnutie.
5. Vytvorte bezpečnostnú otázku a zadajte svoju e-mailovú adresu. Správa sa tam odošle.
6. Otvorte písmeno a zadajte zadané číslo. V prípade potreby je možné kód získať znova.

Budete vyzvaní, aby ste potvrdili, že dvojstupňové overenie je zakázané a že účet je chránený bezpečnostnými otázkami.

Potom sa používateľ bude môcť prihlásiť do ApprIe ID z akéhokoľvek zariadenia, či už ide o PC, smartfón alebo tablet, bez toho, aby musel mať po ruke dôveryhodné vybavenie.

V tomto prípade je možné dvojitú kontrolu vždy obnoviť.

V každom prípade musí byť heslo na prístup k ID aplikácie silné. Apple odporúča, aby bol dlhý aspoň 8 znakov, s aspoň jedným číslom a mal byť napísané veľkými aj malými písmenami.

Apple ID Two-Factor Authentication je nová technológia zabezpečenia účtu, ktorá zaisťuje, že k nemu bude mať prístup iba vlastník účtu. Navyše, aj keď niekto iný pozná znaky hesla z účtu, stále sa nebude môcť prihlásiť namiesto zákonného vlastníka ID.

Použitie tejto technológie poskytuje prístup k účtu výlučne z dôveryhodných zariadení - iPhone, tablet alebo MacBook. Pri prvom prihlásení do nového modulu gadget budete musieť zadať dva typy údajov – znaky hesla a overovací kód v 6-cifernom formáte. Na týchto zariadeniach sa aktualizujú kódové symboly na stroji. Po vjazde sa nový gadget bude považovať za dôveryhodný. Napríklad, ak máte iPhone, pri prvom prihlásení do svojho účtu na novo zakúpenom MacBooku budete musieť zadať znaky hesla a overovací kód, ktorý sa automaticky objaví na displeji iPhonu.

Keďže znaky hesla na prístup k účtu nestačia, používajú sa aj iné typy overovania, výrazne sa zvyšuje bezpečnostný indikátor ID-čísla.

Po prihlásení sa už na tomto zariadení kód nebude vyžadovať – kým sa nedokončí odhlásenie a nevymažú sa všetky informácie na miniaplikácii alebo nebude potrebné zmeniť znaky hesla (aj z bezpečnostných dôvodov). Ak sa prihlasujete cez sieť, môžete nastaviť prehliadač ako dôveryhodný a pri ďalšej práci s rovnakým zariadením už nebudete musieť zadávať kód.

Osvedčené gadgety: čo to je?

Nemusí to byť žiadne „jablkové“ zariadenie – iba iPhony, iPady s operačným systémom verzie 9 alebo novším, ako aj MacBooky s operačným systémom Capitan alebo novším. Tieto moduly gadget musia byť prihlásené pomocou 2-faktorového overenia.

V skratke ide o zariadenie, o ktorom Apple s istotou vie, kto ho vlastní, a prostredníctvom ktorého si overíte svoju identitu tak, že pri prihlásení z iného gadgetu alebo prehliadača ukážete overovací kód.

Overené telefónne čísla

Sú to tie, ktoré možno použiť na prijímanie potvrdzovacích kódov prostredníctvom textových správ alebo hovorov. Pre prístup k 2-faktorovej identifikácii je potrebné overenie aspoň jedného čísla.

Môžete potvrdiť aj iné čísla – domov, alebo priateľa/príbuzného. Keď dočasne nebude prístup k hlavnej, bude možné ich použiť.

Pravidlá prispôsobenia

Ak zariadenie používa verziu 10.3 alebo staršiu, algoritmus akcií bude nasledujúci:

• Prejdite do sekcie nastavení, do položky heslo a zabezpečenie.
• Kliknutím na sekciu povoliť 2-faktorovú identifikáciu.
• Kliknutím na položku pokračovať.

Ak má modul gadget OS 10.2 alebo starší, kroky budú nasledovné:

• Prejdite do nastavení iCloud.
• Vyberte svoje ID - číslo a prejdite do sekcie bezpečnostné heslo.
• Kliknutím na položku povolíte 2-faktorové overenie.
• Kliknutím na prvok pokračovania.

Ako vypnúť dvojfaktorové overenie na Apple ID?

Mnohí sa pýtajú, či sa táto technológia dá vypnúť. Samozrejme áno. Pamätajte však, že po vypnutí bude účet slabo chránený - iba pomocou znakov hesla a otázok.

Ak ju chcete zakázať, budete musieť zadať položku úpravy na stránke svojho účtu (na karte zabezpečenia). Potom kliknutím na sekciu vypnite dvojfaktorové overenie. Po nastavení nových bezpečnostných otázok a odsúhlasení zadaného dátumu narodenia sa technológia deaktivuje.

Ak si ho niekto znova aktivuje na ID bez vedomia právoplatného vlastníka, bude ho možné deaktivovať e-mailom. Ďalej musíte, ako predtým, kliknúť na sekciu pre vypnutie autentifikácie v spodnej časti správy, ktorá prišla skôr e-mailom. Odkaz bude aktívny ešte dva týždne. Dodržiavanie vám umožní obnoviť predchádzajúce nastavenia zabezpečenia ID a kontrolu nad vaším účtom.

Dodatočná funkcia overenia používateľa plne kontroluje všetky pokusy o prihlásenie a používanie aplikácie: zistite, ako správne používať a ako vypnúť dvojfaktorové overenie pomocou Apple ID na vašom zariadení Apple.

Jednou z najväčších predností Apple je prístup k politike bezpečnosti a ochrany osobných údajov informácie o používateľovi.

Dvojstupňová autentifikácia je jednou z moderných techník na dosiahnutie maximálnej úrovne bezpečnosti prihlásenia do účtu.

Spoločnosť používa túto technológiu na overenie vlastníka modulu gadget pri pokuse o prihlásenie do účtu. Viacúrovňová autentifikácia je 100% zárukou, že do systému bude mať prístup iba jeho vlastník.

Princíp fungovania. Rozdiely v tom, ako funguje overenie a overenie

Aktivovaná funkcia viacúrovňovej autentifikácie dokonale chráni účet pred hacknutiami a neoprávneným vstupom iných používateľov.

Prihlásiť sa bude môcť iba vlastník ID, pretože systém bude vyžadovať zadanie dvoch typov údajov:

• Heslo Apple ID;
• Digitálny kód, ktorý bude zaslaný na všetky dôveryhodné zariadenia – ide o doklad o zákonnej autorizácii.

Príklad: Rozhodnete sa prihlásiť z ľubovoľného prehliadača alebo klientskeho programu. Pre túto akciu musíte zadať používateľské meno a heslo. Po odovzdaní autorizácie sa do svojho účtu nedostanete - musíte dodatočne zadať kód, ktorý potvrdí autorizovaný vstup.

Požadovaný kód sa zobrazuje na všetkých miniaplikáciách prepojených s Apple ID. Zadajte čísla do okna overenia iCloud, aby ste získali prístup k svojmu profilu.

Vizuálna schéma funkcie je znázornená na obrázku:

Po prvom správnom zadaní kódu sa po ďalšom zapnutí softvéru už nebude vyžadovať zadávanie čísel. Opätovná autentifikácia potrebné len v niekoľkých prípadoch:

• Pri resetovaní nastavení;
• Keď znova vstúpite.

Neustále zavádzanie digitálnych kódov je povinné aj pre funkcie, ktoré majú zvýšený stupeň zabezpečenia – zmena nastavení smartfónu, vymazanie systémových parametrov a iné.

Overenie a overenie. V čom je rozdiel?

Je dôležité rozlišovať medzi pojmami dvojstupňové overenie A dvojfaktorové overenie , keďže majú podobný účinok, ale odlišný význam.

Vyšetrenie bol implementovaný a implementovaný do gadgetov od spoločnosti Apple už v roku 2015. Hlavným účelom možnosti je dodatočná kontrola. Overenie je k dispozícii od iOS 9.

Overenie je rozšírená verzia testu. Apple dokončil túto funkciu a zaviedol do nej nové systémy riadenia bezpečnosti. Najmä práca s polohou. Princíp práce s kartami spočíva vo vyznačených „bezpečnostných“ bodoch.

Každý človek pravidelne navštevuje rovnaké miesta, takže na mape si určite vyberiete niekoľko bodov, z ktorých ľahko vykonáte autorizáciu.

Ak sa prihlásenie uskutoční mimo týchto bodov, dôveryhodné zariadenia okamžite dostanú overovací kód a upozornenie na možné akcie útočníka.

Ako vidíte, autentifikácia je skutočne automatizovanejšia a bezpečnejšia metóda kontroly identity.

Úlohou overenia je poslať kód do dôveryhodného modulu gadget a autentifikácia tiež analyzuje polohu zariadenia a varuje majiteľa pred možným nebezpečenstvom.

Požiadavky na funkcie

Viacúrovňové autentifikácia je navrhnutá pre nasledujúce moduly gadget:

Zakázanie autentifikácie

Zakázanie overenia už nebude vyžadovať ďalšie prístupové kódy. Nemusíte potvrdzovať ani svoju polohu. Sleduj inštrukcie:

• Používanie prehliadača na počítači prejdite na stránku cloudového úložiska iCloud.com
• Prihláste sa do systému- Zadajte prihlasovacie meno a heslo;
• Ďalej do zobrazeného textového poľa zadajte prístupový kód, ktorý je zobrazený na iných miniaplikáciách;

• Stlačte kláves "povoliť" v okne, ktoré sa zobrazí na mobilnom zariadení;
• Ďalej vás prehliadač automaticky presmeruje na stránku používateľa. Ak nie je zahrnutá v zozname dôveryhodných, na svojom mobilnom module gadget kliknite na "Dôverujem tomuto prehliadaču" a kliknite na "Pokračovať";

• Po úspešnom prihlásení kliknite na dlaždicu "Nastavenie". Nachádza sa na hlavnej stránke desktopovej verzie iCloud. Ďalšou možnosťou vstupu do nastavení je výber používateľského mena v pravom hornom rohu. Ďalej v rozbaľovacom zozname kliknite na "Nastavenia iCloud";

• V zobrazenom okne stlačte tlačidlo "kontrola". Nachádza sa vedľa mena vlastníka účtu;

• Ďalej budete presmerovaní na webovú stránku spoločnosti Apple. V novom okne sa musíte prihlásiť zadaním používateľského mena a hesla z;

• Prejdite do okna správy účtu a kliknite na kartu "bezpečnosť"-"zmena";

• Nájdite pole "Zakázať autentifikáciu" a vyberte ho. Potom potvrďte akciu zadaním hesla, ktoré bude odoslané na dôveryhodné zariadenie.

Dvojstupňový autentifikačný systém je navrhnutý tak, aby chrániť používateľov čo najviac pred všetkými možnými pokusmi o hackovanie. Preto, aby sa táto možnosť úplne zakázala, vývojári poskytli odpoveď na blok otázok, ktorý ste uviedli.

Až po zadaní správnych odpovedí do textových polí budete môcť možnosť deaktivovať.

Potvrdiť vypnutie:

Dôveryhodné zariadenia

Overené zariadenie je niektoré z vašich zariadení Apple. Jedinou požiadavkou je, že všetky moduly gadget musia byť prepojené s rovnakým ID. Práve na základe tejto väzby sa vytvára skupina dôveryhodných zariadení.

Nebudete sa môcť autentifikovať zo zariadenia, ktoré nie je súčasťou vašej skupiny Apple Gadgets.

S dvojstupňovou autentifikáciou môže pracovať len jeden vlastník tabletu alebo počítača.

Zoznam dôveryhodných zariadení - Toto je zoznam všetkých modelov modulov gadget, ktorým sa odošle digitálny kód na potvrdenie vstupu do Apple ID alebo programu.

Tento zoznam si môžete pozrieť v samotnej aplikácii v záložke Zariadenia.

Dôveryhodné čísla

Dôveryhodné čísla- toto je zoznam čísel mobilných operátorov, ktorí dostanú digitálny prístupový kód na overenie. Správy môžu prísť nielen v textovej forme, ale aj vo forme hovoru od Apple robota.

Pri prvom nastavovaní viacúrovňovej autentifikácie musíte zadať aspoň jedno skutočné telefónne číslo.

Ak chcete pridať číslo, musíte ho zadať do poľa a potvrdiť. Ako potvrdenie zadajte kód, ktorý prišiel k číslu v zobrazenom okne.

SIM karta s prepojeným číslom musí byť nainštalovaná v dôveryhodnom zariadení. V opačnom prípade overovacie kódy neprídu.

Aké údaje si treba zapamätať?

Je dôležité si zapamätať, že dvojstupňová autentifikácia je celý súbor akcií, ktoré sú zamerané na ochranu vašich údajov.

Pre plnú funkčnosť budete si musieť zapamätať alebo zapísať nasledujúce informácie:

• Prihlasovacie meno a heslo účtu;
• Vlastné kódy pre programy- identifikátory digitálneho prístupu, ktoré ste si sami nastavili vo svojom účte;
• Primárny kľúč je množina písmen a číslic, ktorá sa generuje automaticky po aktivácii tejto možnosti. Budete ho potrebovať, ak stratíte prístup ku všetkým dôveryhodným číslam a zariadeniam.

Nezabudnite skontrolovať hlavný kľúč a presunúť ho do priečinka v počítači alebo inom zariadení. Kód je možné zapísať aj na USB flash disk alebo hárok papiera.

Uložte tieto údaje takýmto spôsobom aby nikto nemohol nájsť a použiť univerzálny kľúč.

Tiež vám odporúčame vykonávať včasné aktualizácie dôveryhodných čísel. Ak ste si zmenili SIM kartu, nezabudnite pridať nové číslo do svojho Apple ID. V opačnom prípade môže dôjsť k strate prístupu k identifikátoru.

Dávajte pozor na fyzickú bezpečnosť svojich zariadení.

Nenechávajte svoj smartfón bez dozoru v blízkosti cudzích ľudí a na obmedzenie odomykania gadgetu použite snímač odtlačkov prstov.

Je dôležité chrániť sa nielen pred hacknutím virtuálneho ID, ale aj pred neoprávneným prístupom iných ľudí k vášmu telefónu/tabletu.

Aktivujte funkciu

Aktivácia funkcie bude trvať len niekoľko minút.

Vďaka tomu získate dodatočný bezpečnostný faktor, ktorý ochráni dáta v pamäti zariadenia, nainštalovaných programoch a v cloudovom úložisku.

Na zariadeniach iPhone a iPad

Ak chcete na svojom iPhone povoliť autentifikáciu, postupujte podľa pokynov:

1 Otvorte okno nastavení telefónu;

2 Prejdite do poľa iCloud;

3 Kliknite na položku „Heslo»;

4 Vyberte "Nastaviť 2-faktorové overenie";

5 Zadajte kód, ktorý sa odošle na dôveryhodné zariadenia, a dokončite nastavenie. Napíšte univerzálny kľúč k fyzickému médiu.

V systéme MacOS

V systéme Mac OS je dvojstupňové overenie používateľa dostupné iba v El Capitan a novší firmvér operačného systému:

1 Prejdite do okna nastavení systému;

2 Kliknite na iCloud a spustite režim úpravy údajov o účte;

3 V novom okne kliknite na "bezpečnosť". Ďalej bude systém vyžadovať zadanie hesla z identifikátora;

4 Kliknite na tlačidlo "Nastaviť overenie" umiestnený v spodnej časti okna. Potvrďte digitálny kód, ktorý sa zobrazí na všetkých zariadeniach prepojených s Apple ID.

Alternatívny príjem oznámení

Prijímať prístupové kódy m Dá sa použiť nielen na dôveryhodných zariadeniach, ale aj do služby Find My iPhone.

Túto možnosť môžete nastaviť v nastaveniach Apple ID (prístupové kódy Zabezpečenie-Odosielanie).

Výsledkom je, že overovací kód príde nielen na dôveryhodné zariadenia, ale aj na .

V jednom okne tak budete môcť kontrolovať pokus o prihlásenie z podozrivých miest a zobraziť prístupový kód.

Táto možnosť funguje iba s autentifikáciou. Na overenie nie je možné pracovať s mapami.

Výhody viacúrovňovej autentifikácie

Akékoľvek Apple ID ukladá nielen informácie o prepojených zariadeniach, ale aj údaje o kreditných kartách, osobné informácie používateľov.

V cloude mnohí ukladajú skeny dokumentov a ďalšie dôležité informácie, ktorých krádež môže viesť k nezvratným následkom.

Ak si chcete byť vždy istí bezpečnosťou informácií, použite dvojfaktorové overenie. Výhody funkcie:

• Jednotná organizácia zabezpečenia pre všetky miniaplikácie od spoločnosti Apple;
• Pokročilé nastavenia ovládania funkcií;
• Zaručená ochrana pred všetkými úrovňami a typmi hackingu.

Funkčné nedostatky

Napriek všetkým zjavným výhodám týkajúcim sa bezpečnosti miniaplikácií viacúrovňová autentifikácia komplikuje život používateľov - zapamätanie si kľúčov, možnosť straty čísla alebo dôveryhodného zariadenia spôsobuje množstvo problémov:

• Spolu s viacúrovňovou autentifikáciou nie je možné použiť softvér tretích strán. Napríklad iMobie AnyTrans alebo populárna utilita PhoneRescue;
• Ťažkosti s prihlásením do iCloud- kvôli chybe v možnosti sa používatelia často stretávajú s chybami systému aj po správnom zadaní prístupového kľúča do cloudového úložiska;
• Pracujte s mobilnou sieťou. Ak sa nachádzate v oblasti so slabým pokrytím, overenie nemusí fungovať;
• Väzba na kódy. Overenie je možné implementovať iba vtedy, ak je po ruke druhý modul gadget, ktorý je prepojený s rovnakým Apple ID ako prvé zariadenie.

Ak sa vo vašej blízkosti momentálne nenachádza žiadny druhý modul gadget, môžete použiť trvalý kľúč, ktorý je uložený v nastaveniach účtu, ale v praxi si ho používatelia veľmi zriedka zapisujú alebo pamätajú.

Vzácny príspevok na blogu Yandex a najmä príspevok týkajúci sa bezpečnosti sa zaobišiel bez zmienky o dvojfaktorovej autentifikácii. Dlho sme rozmýšľali, ako správne posilniť ochranu používateľských účtov a dokonca tak, aby ju mohli využívať bez všetkých nepríjemností, ktoré dnes najbežnejšie implementácie zahŕňajú. A, bohužiaľ, sú nepríjemné. Podľa niektorých správ na mnohých veľkých stránkach nepresahuje podiel používateľov, ktorí povolili ďalšie nástroje na overenie, 0,1 %.

Zdá sa, že je to spôsobené tým, že bežná dvojfaktorová autentifikačná schéma je príliš komplikovaná a nepohodlná. Snažili sme sa vymyslieť spôsob, ktorý by bol pohodlnejší bez straty úrovne ochrany a dnes predstavujeme jeho beta verziu.

Dúfame, že sa to rozšíri. Z našej strany sme pripravení pracovať na jej vylepšení a následnej štandardizácii.

Po povolení dvojfaktorovej autentifikácie v službe Passport si budete musieť nainštalovať aplikáciu Yandex.Key v obchode App Store alebo Google Play. QR kódy sa objavili v autorizačnom formulári na hlavnej stránke Yandex, v pošte a pasu. Pre vstup do účtu je potrebné načítať QR kód cez aplikáciu – a je to. Ak sa QR kód nedá prečítať, napríklad nefunguje fotoaparát smartfónu alebo nie je prístup na internet, aplikácia vytvorí jednorazové heslo, ktoré bude platné len 30 sekúnd.

Poviem vám, prečo sme sa rozhodli nepoužiť také „štandardné“ mechanizmy ako RFC 6238 alebo RFC 4226. Ako fungujú bežné schémy dvojfaktorovej autentifikácie? Sú dvojstupňové. Prvou fázou je zvyčajná autentifikácia pomocou používateľského mena a hesla. Ak bola úspešná, stránka skontroluje, či sa jej táto používateľská relácia „páči“ alebo nie. A ak sa vám „nepáči“, požiada používateľa o „opätovné overenie“. Existujú dva bežné spôsoby „overenia totožnosti“: odoslanie SMS na telefónne číslo priradené k účtu a vygenerovanie druhého hesla na smartfóne. Na vygenerovanie druhého hesla sa v podstate používa TOTP podľa RFC 6238. Ak používateľ zadal druhé heslo správne, relácia sa považuje za plne autentifikovanú a ak nie, relácia stratí aj „predbežnú“ autentifikáciu.

Obidva spôsoby ─ odoslanie SMS a vygenerovanie hesla ─ sú dôkazom držby telefónu, a preto sú faktorom dostupnosti. Heslo zadané v prvej fáze je faktorom znalostí. Preto je táto schéma autentifikácie nielen dvojstupňová, ale aj dvojfaktorová.

Čo sme v tejto schéme považovali za problematické?

Začnime tým, že počítač priemerného používateľa nemožno vždy nazvať modelom zabezpečenia: vypnutie aktualizácií systému Windows, pirátska kópia antivírusu bez moderných podpisov a softvér pochybného pôvodu ─ to všetko nezvyšuje úroveň ochranu. Podľa nášho hodnotenia je kompromitácia počítača používateľa najrozšírenejším spôsobom „vykrádania“ účtov (a nedávno sa to potvrdilo aj my) a chceme sa pred ním v prvom rade chrániť. V prípade dvojstupňovej autentifikácie, za predpokladu, že je počítač používateľa napadnutý, zadanie hesla na ňom ohrozí samotné heslo, čo je prvý faktor. To znamená, že útočníkovi stačí vybrať druhý faktor. V prípade bežných implementácií RFC 6238 je druhým faktorom 6 desatinných číslic (a maximum špecifikácie je 8 číslic). Podľa bruteforce kalkulačky pre OTP je útočník za tri dni schopný zachytiť druhý faktor, ak sa nejakým spôsobom dozvedel o prvom. Nie je jasné, čím môže služba čeliť tomuto útoku bez toho, aby narušila bežnú používateľskú skúsenosť. Jediným možným dôkazom o práci je captcha, čo je podľa nás až posledná možnosť.

Druhým problémom je neprehľadnosť úsudku služby o kvalite používateľskej relácie a rozhodnutie o potrebe „up-autentizácie“. Ešte horšie je, že služba nemá záujem o to, aby bol tento proces transparentný, pretože tu v skutočnosti funguje zabezpečenie nejasnosťou. Ak útočník vie, podľa čoho služba rozhoduje o oprávnenosti relácie, môže sa pokúsiť tieto údaje sfalšovať. Zo všeobecných úvah môžeme dospieť k záveru, že úsudok sa robí na základe histórie autentifikácie používateľa, pričom sa berie do úvahy IP adresa (a z nej odvodené číslo autonómneho systému, ktoré identifikuje poskytovateľa, a poloha na základe geobáze) a údaje prehliadača , ako je hlavička User Agent a súbor cookies, flash lso a html lokálne úložisko. To znamená, že ak útočník ovláda počítač používateľa, tak má možnosť nielen ukradnúť všetky potrebné dáta, ale aj využiť IP adresu obete. Navyše, ak je rozhodnutie prijaté na základe ASN, potom akákoľvek autentifikácia z verejnej Wi-Fi v kaviarni môže viesť k „otrave“ z hľadiska bezpečnosti (a vybielenia z hľadiska služieb) poskytovateľa tejto kaviarne a , napríklad vybielenie všetkých kaviarní v meste. Hovorili sme o fungovaní systému detekcie anomálií a možno ho použiť, ale čas medzi prvou a druhou fázou autentifikácie nemusí stačiť na spoľahlivé posúdenie anomálie. Okrem toho tento istý argument podkopáva myšlienku „dôveryhodných“ počítačov: útočník môže ukradnúť akékoľvek informácie, ktoré ovplyvňujú posúdenie dôvery.

Napokon, dvojstupňové overenie je jednoducho nepohodlné: naše štúdie použiteľnosti ukazujú, že nič nedráždi používateľov viac ako prechodná obrazovka, stlačenie tlačidla navyše a iné „nedôležité“ akcie z jeho pohľadu.
Na základe toho sme sa rozhodli, že autentifikácia by mala byť jednokroková a priestor pre heslá by mal byť oveľa väčší, ako je možné v rámci „čistého“ RFC 6238.
Zároveň sme chceli zachovať dvojfaktorovú autentifikáciu.

Multifaktoriálnosť v autentifikácii je určená priradením autentifikačných prvkov (v skutočnosti sa nazývajú faktory) do jednej z troch kategórií:

1. Faktory znalostí (sú to tradičné heslá, PIN kódy a všetko, čo sa im podobá);
2. Faktory vlastníctva (v použitých schémach OTP je to zvyčajne smartfón, ale môže to byť aj hardvérový token);
3. Biometrické faktory (odtlačok prsta ─ teraz najbežnejší, hoci niekto si spomenie na epizódu s hrdinom Wesleyho Snipesa vo filme Demolition Man).

Vývoj nášho systému

Keď sme sa začali zaoberať problémom dvojfaktorovej autentifikácie (prvé stránky firemnej wiki o tejto problematike pochádzajú z roku 2012, ale v zákulisí sa o nej diskutovalo už predtým), prvou myšlienkou bolo použiť štandardné metódy autentifikácie sú tu. Pochopili sme, že nemôžeme rátať s tým, že si hardvérový token zakúpia milióny našich používateľov, a tak bola táto možnosť pre niektoré exotické prípady odložená (aj keď ju úplne neopúšťame, možno sa nám podarí vymyslieť niečo zaujímavé). Metóda SMS nemohla byť tiež sériovo vyrábaná: ide o veľmi nespoľahlivý spôsob doručovania (v najkritickejšom momente sa SMS môže oneskoriť alebo nedoručiť vôbec) a posielanie SMS stojí peniaze (a operátori ich začali zdražovať) . Rozhodli sme sa, že používanie SMS je údelom bánk a iných netechnologických spoločností a chceme našim používateľom ponúknuť niečo pohodlnejšie. Vo všeobecnosti bol výber malý: použiť smartfón a program v ňom ako druhý faktor.

Táto forma jednostupňovej autentifikácie je rozšírená: používateľ si pamätá PIN kód (prvý faktor), má hardvérový alebo softvérový token (na smartfóne), ktorý generuje OTP (druhý faktor). Do poľa na zadanie hesla zadá PIN kód a aktuálnu hodnotu OTP.

Podľa nášho názoru je hlavná nevýhoda tejto schémy rovnaká ako pri dvojkrokovej autentifikácii: ak predpokladáme, že je počítačová plocha používateľa ohrozená, potom jediné zadanie PIN kódu vedie k jeho odhaleniu a útočníkovi stačí vyberte druhý faktor.

Rozhodli sme sa ísť inou cestou: heslo je celé generované z tajomstva, ale iba časť tajomstva je uložená v smartfóne a časť zadáva používateľ pri každom vygenerovaní hesla. Samotný smartfón je teda faktorom vlastníctva, pričom heslo zostáva v hlave používateľa a je faktorom poznania.

Nonce môže byť buď počítadlo alebo aktuálny čas. Rozhodli sme sa zvoliť aktuálny čas, čo nám umožňuje nebáť sa desynchronizácie v prípade, že niekto vygeneruje priveľa hesiel a zvýši počítadlo.

Máme teda program pre smartfón, kde používateľ zadá svoju časť tajničky, tá sa zmieša s uloženou časťou, výsledok sa použije ako kľúč HMAC, ktorý podpíše aktuálny čas, zaokrúhlený na 30 sekúnd. Výstup HMAC je vykreslený v čitateľnej forme a voila - tu je jednorazové heslo!

Ako už bolo spomenuté, RFC 4226 navrhuje skrátiť výsledok HMAC na maximálne 8 desatinných miest. Rozhodli sme sa, že heslo tejto veľkosti nie je vhodné na jednokrokové overenie a malo by sa zvýšiť. Zároveň sme chceli zachovať jednoduchosť používania (pretože, pamätajte, chceme urobiť taký systém, ktorý budú používať aj bežní ľudia a nie len bezpečnostní geekovia), preto sme ako kompromis v aktuálnej verzii systému zvolil skrátenie na 8 znakov latinskej abecedy. Zdá sa, že 26 ^ 8 hesiel platných 30 sekúnd je celkom prijateľné, no ak nám bezpečnostná rezerva nevyhovuje (alebo sa na Habrém objavia cenné rady, ako túto schému vylepšiť), rozšírime napríklad na 10 znakov.

Zistite viac o sile takýchto hesiel

Pre latinské písmená bez rozlišovania malých a veľkých písmen je počet možností na znak 26, pre veľké a malé latinské písmená plus čísla je počet možností 26+26+10=62. Potom log 62 (26 10) ≈ 7,9 t.j. heslo z 10 náhodných malých latinských písmen je takmer také silné ako heslo z 8 náhodných veľkých a malých latinských písmen alebo číslic. To určite stačí na 30 sekúnd. Ak hovoríme o 8-znakovom hesle z latinských písmen, jeho sila je log 62 (26 8) ≈ 6,3, teda o niečo viac ako 6-znakové heslo z veľkých, malých písmen a číslic. Myslíme si, že toto je stále prijateľné pre 30-sekundové okno.

Mágia, bez hesla, aplikácie a ďalšie kroky

Vo všeobecnosti by sme sa tam mohli zastaviť, ale chceli sme, aby bol systém ešte pohodlnejší. Keď má človek v ruke smartfón, nechce zadávať heslo z klávesnice!

Preto sme začali pracovať na „magickom prihlásení“. Pri tejto metóde autentifikácie používateľ spustí aplikáciu na smartfóne, zadá do nej svoj PIN kód a naskenuje QR kód na obrazovke svojho počítača. Ak je PIN kód zadaný správne, stránka v prehliadači sa znova načíta a používateľ je overený. Kúzlo!

Ako to funguje?

Číslo relácie je všité do QR kódu a keď ho aplikácia naskenuje, toto číslo sa odošle na server spolu s heslom a užívateľským menom vygenerovaným obvyklým spôsobom. Nie je to ťažké, pretože smartfón je takmer vždy online. V rozložení stránky zobrazujúcej QR kód je spustený JavaScript, ktorý čaká na odpoveď zo servera na kontrolu hesla s touto reláciou. Ak server odpovie, že heslo je správne, s odpoveďou sa nastaví súbor cookie relácie a používateľ sa považuje za overeného.

Zlepšilo sa to, ale tu sme sa rozhodli neprestať. Počnúc iPhonom 5S sa snímač odtlačkov prstov TouchID objavil v telefónoch a tabletoch Apple a vo verzii iOS 8 je dostupný aj pre aplikácie tretích strán. V skutočnosti aplikácia nezíska prístup k odtlačku prsta, ale ak je odtlačok správny, potom bude pre aplikáciu dostupná ďalšia sekcia Keychain. Toto sme využili. Druhá časť tajomstva je umiestnená v položke Keychain chránenej TouchID, tej, ktorú používateľ zadal z klávesnice v predchádzajúcom scenári. Pri odomykaní Keychain sa obe časti tajomstva zmiešajú a potom proces funguje tak, ako je popísané vyššie.

Pre používateľa sa to však stalo neuveriteľne pohodlným: otvorí aplikáciu, priloží prst, naskenuje QR kód na obrazovke a overí sa v prehliadači na počítači! Faktor znalostí sme teda nahradili biometrickým a z pohľadu používateľa úplne opustili heslá. Sme si istí, že bežným ľuďom bude táto schéma oveľa pohodlnejšia ako manuálne zadávanie dvoch hesiel.

Je diskutabilné, ako technicky je dvojfaktorová autentifikácia, ale v skutočnosti stále musíte mať telefón a mať platný odtlačok prsta, aby ste ho úspešne odovzdali, takže si myslíme, že sme sa celkom dobre zbavili faktora znalostí a nahradili ho. s biometriou. Chápeme, že sa spoliehame na zabezpečenie ARM TrustZone, ktoré je základom iOS Secure Enclave, a veríme, že tento subsystém možno v rámci nášho modelu hrozby zatiaľ považovať za dôveryhodný. Samozrejme, že sme si vedomí problémov biometrickej autentifikácie: odtlačok prsta nie je heslo a v prípade ohrozenia ho nemožno nahradiť. Ale na druhej strane každý vie, že bezpečnosť je nepriamo úmerná pohodliu a samotný používateľ má právo zvoliť si pomer jedného a druhého, ktorý je pre neho prijateľný.

Dovoľte mi pripomenúť, že toto je stále beta. Teraz, keď povolíte dvojfaktorové overenie, dočasne zakážeme synchronizáciu hesiel v prehliadači Yandex. Je to spôsobené tým, ako je usporiadané šifrovanie databázy hesiel. Už teraz prichádzame s pohodlným spôsobom autentifikácie Prehliadača v prípade 2FA. Všetky ostatné funkcie Yandex fungujú ako predtým.

Tu je to, čo máme. Vyzerá to tak, že to dopadlo dobre, ale posúďte sami. Radi si vypočujeme spätnú väzbu a odporúčania a sami budeme naďalej pracovať na zlepšovaní bezpečnosti našich služieb: odteraz máme spolu s CSP, šifrovaním prepravy pošty a všetkým ostatným aj dvojfaktorovú autentifikáciu. Majte na pamäti, že autentifikačné služby a aplikácie na generovanie OTP sú kritické, a preto za chyby, ktoré sa v nich nájdu, sa v rámci programu Bug Bounty vypláca dvojitá odmena.

Štítky: Pridajte štítky

V týchto časoch aktívneho rozvoja exploitov, trójskych koní a phishingových hrozieb by sa používatelia mali zaujímať o ochranu svojich účtov v rôznych službách. Pravidelne meňte heslá a používajte silné, ťažko uhádnuteľné heslá. Ani tieto opatrenia však nemusia stačiť.

Pre zvýšenú ochranu vašich online účtov by ste mali použiť druhý overovací faktor. Mnohé internetové služby, ktoré už mali trpkú skúsenosť s napadnutím, zaviedli pre svojich používateľov dvojfaktorovú autentifikáciu (2FA).

Existujú tri hlavné autentifikačné faktory: niečo, čo poznáte iba vy (napríklad heslo), niečo, čo máte iba vy (napríklad hardvérový token alebo mobilný telefón) a niektoré osobné vlastnosti (napríklad odtlačok prsta alebo dúhovka). Dvojfaktorové overenie znamená, že na prihlásenie do vášho účtu sa používajú ľubovoľné dva z troch vyššie opísaných faktorov.

Problém je v tom, že skenery odtlačkov prstov a iné biometrické skenery sa ani zďaleka nepoužívajú na organizáciu druhého faktora autentifikácie. Na dodatočné overenie sa preto zvyčajne používa číselný kód, ktorý sa odošle do vášho zariadenia a je možné ho použiť iba raz.

Čoraz viac služieb podporuje špecializovanú aplikáciu na smartfóne „Authenticator“. Používateľ musí najprv nakonfigurovať službu na prácu s touto aplikáciou pomocou špecifickej sady kódov. Aplikáciu využijete všade, na fungovanie nepotrebuje ani aktívne internetové pripojenie. Nesporným lídrom medzi takýmito aplikáciami je Google Authenticator (dostupný zadarmo pre Android a iOS). Authy a Duo Mobile sú navrhnuté tak, aby vykonávali podobné úlohy a mali atraktívnejší vzhľad. LastPass tiež spustil samostatný LastPass Authenticator pre platformy iOS, Android, Windows 10 Mobile a Windows Phone 8.1. Bezpečnostné kódy v autentifikačných aplikáciách sú synchronizované medzi účtami, takže si môžete naskenovať QR kód na svojom telefóne a získať šesťmiestny prístupový kód do prehliadača.

Upozorňujeme, že nastavenie dvojfaktorovej autentifikácie (2FA) môže narušiť iné služby. Ak ste si napríklad u spoločnosti Microsoft nastavili dvojfaktorové overenie, môžete naraziť na problémy so službou Xbox Live na konzole Xbox 360. Rozhranie Xboxu nemôže prijať druhý prístupový kód. V týchto prípadoch musíte použiť heslo aplikácie – toto je heslo, ktoré sa vygeneruje na hlavnej webovej stránke na používanie konkrétnej aplikácie. Xbox Live s heslami aplikácií podporuje integráciu Facebooku, Twitteru, Microsoftu, Yahoo, Evernote a Tumblr. Našťastie potreba hesiel aplikácií.

Pamätajte, že útočníci neustále hľadajú spôsoby, ako sa nabúrať do vašich účtov. Preto pomocou dvojfaktorovej autentifikácie, hoci prihlásenie trvá trochu dlhšie, sa vyhnete vážnym problémom s vašimi osobnými údajmi.