Instagram'da iki faktörlü kimlik doğrulama: nasıl etkinleştirilir veya devre dışı bırakılır. Apple iki faktörlü kimlik doğrulama: özellikler, koruma ilkesi, devre dışı bırakma

Apple Kimliğiniz için iki faktörlü kimlik doğrulamayı nasıl etkinleştireceğinizi bilmek, AppIe Kimliğinizi ve iCloud'u güvenli ve daha güvenilir tutmanıza yardımcı olabilir. Özünde bu, bir saldırganın şifreyi bilmesi, ancak önceden doğrulanmış ekipmana erişimi olmaması durumunda bu hesaba giriş yapamayacağı anlamına gelir.

Şirketin erişim sistemi, yalnızca doğrulanmış ekipmandan bir kullanıcı hesabına giriş yapmanızı sağlar. Çift kimlik doğrulama, bilinmeyen bir aygıttan Apple Kimliğine ilk kez kaydolurken doğru parolanın ve doğrulanan cihaza veya numaraya gönderilen ikinci bir güvenlik kodunun girilmesini gerektirir.

Çalışma prensibi

Örneğin, yeni bir akıllı telefondan ilk kez bir Apple kimliği girerken, sahibi önce kimliğini bir şifre ile doğrulamalı ve ardından otomatik olarak tüm doğrulanmış cihazlara gidecek olan 6 haneyi çevirmelidir. Prosedür, yeni gadget'ın güvenilirliğini doğrular. Her seferinde tekrar etmenize gerek yok. Hesabınızdan çıkış yapmadığınız, ekipmanı çıkarmadığınız veya erişim kodunu değiştirmediğiniz sürece bir onay numarası girmenize gerek yoktur. İnternet üzerinden sisteme kayıt olurken, kullanıcı kendi tarayıcısına güvenebilir, böylece bilgisayardan bir sonraki girişinde doğrulama numarasını girmesine gerek kalmaz.

İkili kimlik doğrulama, iOS 9 ve daha eski sürümleri çalıştıran iPhone akıllı telefonlarında ve iPad tabletlerinde ve ayrıca El Capitan OS çalıştıran Macintosh bilgisayarlarda çalışır.

Güvenilir Donanım Nedir?

Kullanıcı, iki aşamalı doğrulamayı etkinleştirdikten sonra, Apple hesabına giriş yaparken, cihaza gönderilen bir numarayı veya güvenilir olarak tanımlanan bir telefon numarasını girerek kimliğini doğrulamalıdır. Kod, bir tanımlama anahtarı görevi görür.

Bu tür cihazların bir listesi şurada mevcuttur: "Safari" menüde " AppIe Kimliği - Parola ve Güvenlik - Güvenilir Donanım Ekle veya Kaldır". Kural olarak, bunlar, sahibinin bulut deposuna girdiği ve “iPhone” arama işlevini etkinleştirdiği “iPad”, “iPhone” veya “iPod touch” dır.

Cihazı onaylamak için doğrulama prosedüründen geçmelisiniz: kendisine gönderilen 4 haneli numarayı çevirin.

İkili doğrulama genellikle güvenlik bilincine sahip, kurulumu konusunda rahat ve nasıl çalıştığını anlayan kişiler için uygundur. Koruma, kişisel verilere yetkisiz erişim riskini azaltır, kullanımı kolaydır ve ek maliyet gerektirmez.

Akıllı telefonun sahibi genellikle Apple şifrelerini unutur ve telefon numaralarını değiştirirse, bu araç uygun değildir. Güvenilir cihazlar veya bir cep telefonu kullanılamadığında her iki parola da kaybolursa, AppIe Kimliğine yeniden erişim sağlamak imkansız değilse de inanılmaz derecede zor olabilir. Bu sahiplerin, Apple kimlikleri için iki adımlı doğrulamayı nasıl kapatacaklarını bilmeleri gerekir.

Ek olarak, bir akıllı telefon çalınırsa, bir saldırgan, kilit ekranında bir doğrulama kodu bulunan SMS mesajlarını okuyarak veya geçici olarak e-posta kullanmanıza ve şifreleri sıfırlamanıza izin veren erişim kurtarma işlevi sayesinde çift korumayı atlayabilir.

Nasıl açılır ve kapatılır

İkili tanımlama modunu etkinleştirmek için şunlara ihtiyacınız vardır:

1. iOS sürüm 10.3 veya sonraki sürümlerde, "Ayarlar" ve adınızı seçtikten sonra öğeye gidin "Güvenlik". iOS 9-10.2'de " iCloud - Uygulama Kimliği».
2. Çift kontrolü etkinleştirin ve tıklayın "İlerlemek".
3. Telefon numaranızı giriniz. Kullanıcı, doğrulama numarasını kendisine iletme seçeneğini seçmelidir: sesli arama veya SMS mesajı ile. yazılım tuşuna basın "İlerlemek".
4. Belirtilen numara, doğrulama numarası içeren bir mesaj alacaktır. "iPhone" a girin, ardından güvenilecek ve ikinci doğrulama aşamasının kodu kendisine gönderilecektir.

Apple Kimliğimde iki faktörlü kimlik doğrulamayı nasıl kapatabilirim?

Eylemlerin algoritması:

1. İnternet erişimi olan bir bilgisayar bulun, bir tarayıcı açın ve ziyaret edin. appleid.apple.com.
2. İki adımlı tanımlama prosedürünü uygulayarak kendi Apple hesabınıza giriş yapın. 6 haneli bir onay numarası girdikten sonra hesap ayarları açılacaktır.
3. git " Şifre ve güvenlik". düğmesine basın "Değiştirmek".
4. İki adımlı doğrulamayı devre dışı bırakarak devam edin ve kararınızı onaylayın.
5. Bir güvenlik sorusu oluşturun ve e-posta adresinizi girin. Oraya bir mesaj gönderilecek.
6. Mektubu açın ve belirtilen numarayı girin. Gerekirse, kod tekrar alınabilir.

2 Adımlı Doğrulamanın devre dışı bırakıldığını ve hesabınızın güvenlik sorularıyla korunduğunu onaylamanız istenecektir.

Bundan sonra kullanıcı, PC, akıllı telefon veya tablet olsun, herhangi bir cihazdan AppIde ID'ye, güvenilir bir ekipmana sahip olmak zorunda kalmadan giriş yapabilecektir.

Bu durumda, çift kontrol her zaman geri yüklenebilir.

Her durumda, AppIde Kimliğine erişmek için parola güçlü olmalıdır. Apple, en az 8 karakter uzunluğunda, en az bir rakam olmasını ve hem büyük hem de küçük harf olmasını önerir.

Apple Kimliği iki faktörlü kimlik doğrulama, hesabınız için yalnızca sahibinin erişebilmesini sağlayan yeni bir güvenlik teknolojisidir. Üstelik bir başkası hesaptan şifre karakterlerini bilse bile yine de ID'nin yasal sahibi yerine sisteme giriş yapamayacaktır.

Bu teknolojinin kullanımı, hesaba yalnızca güvenilir cihazlardan (iPhone, tablet veya MacBook) erişim sağlar. Yeni bir gadget'ta ilk kez oturum açtığınızda, iki tür veri belirtmeniz gerekir - şifre sembolleri ve 6 basamaklı bir doğrulama kodu. Bu cihazlarda kod karakterleri otomatik olarak güncellenir. Sürdükten sonra, yeni gadget güvenilir olarak sıralanır. Örneğin, bir iPhone'unuz varsa, yeni satın alınan bir MacBook'ta hesaba ilk kez giriş yaptığınızda, iPhone ekranında otomatik olarak belirecek olan parola karakterlerini ve bir doğrulama kodunu girmeniz gerekecektir.

Hesaba erişmek için şifre karakterleri yeterli olmadığı için diğer doğrulama türleri de kullanılmaktadır, kimlik numarasının güvenlik göstergesi önemli ölçüde artırılmıştır.

Oturum açtıktan sonra, oturum kapatma tamamlanana ve gadget'taki tüm bilgiler silinene veya parola karakterlerinin değiştirilmesi gerekene kadar (ayrıca güvenlik amacıyla) kod isteği artık bu cihazda yapılmayacaktır. Bir ağ üzerinden giriş yapıyorsanız, tarayıcıyı güvenilir hale getirebilirsiniz ve aynı cihazla bir sonraki çalışmanızda, kodu girmenize gerek kalmayacak.

Doğrulanmış gadget'lar: nedir?

Bu herhangi bir "elma" cihazı olmayabilir - yalnızca iPhone'lar, işletim sistemi sürüm 9 veya daha yeni olan dokunmatik iPad'lerin yanı sıra Capitan işletim sistemli veya daha fazla "taze" MacBook'lar. Bu gadget'ların sistemlerinde 2 faktörlü doğrulama kullanılarak oturum açılmalıdır.

Kısacası bu, Apple'ın kime ait olduğunu kesin olarak bildiği ve başka bir gadget veya tarayıcıdan giriş yaptığınızda bir onay kodu göstererek kimliğinizi doğrulayabileceğiniz bir cihazdır.

Doğrulanmış telefon numaraları

Bunlar, metin mesajları veya aramalar yoluyla onay kodları almak için kullanılabilenlerdir. 2 faktörlü kişilik tanımlamasına erişim için en az bir numaranın onaylanması gerekmektedir.

Diğer numaraları da onaylayabilirsiniz - ev veya arkadaş / akraba. Geçici olarak ana erişim olmadığında, bunları kullanabilirsiniz.

Özelleştirme kuralları

Cihaz, 10.3 ve daha eski bir işletim sistemine sahipse, eylem algoritması aşağıdaki gibi olacaktır:

• Ayarlar bölümüne, şifre ve güvenlik öğesine gidin.
• 2 faktörlü tanımlamayı etkinleştirmek için bölüme tıklayın.
• Devam etmek için öğeye tıklayın.

Gadget 10.2 veya daha eskiyse, adımlar aşağıdaki gibidir:

• iCloud ayarlarına gidin.
• Kimlik numaranızı seçin ve güvenlik şifresi bölümüne gidin.
• 2 faktörlü kimlik doğrulamayı etkinleştirmek için öğeye tıklayın.
• Bir devam öğesine tıklamak.

Apple Kimliğimde iki faktörlü kimlik doğrulamayı nasıl kapatabilirim?

Birçoğu bu teknolojinin kapatılıp kapatılamayacağını merak ediyor. Tabii ki evet. Ancak, hesabı kapattıktan sonra zayıf bir şekilde korunacağını unutmayın - yalnızca şifre sembolleri ve sorularla.

Devre dışı bırakmak için hesap sayfanıza (güvenlik sekmesinde) düzenleme noktasını girmeniz gerekir. Ardından iki faktörlü tanımlamayı kapatmak için bölüme tıklayın. Yeni güvenlik soruları belirledikten ve belirtilen doğum tarihini kabul ettikten sonra teknoloji devre dışı bırakılır.

Kimliği hak sahibinin bilgisi olmadan yeniden etkinleştirilirse, e-posta yoluyla devre dışı bırakılması mümkün olacaktır. Ardından, daha önce olduğu gibi, daha önce e-posta ile gelen mesajın en altındaki kimlik doğrulamayı devre dışı bırakma bölümüne tıklamanız gerekir. Bağlantı iki hafta daha aktif olacaktır. Bunu yapmak, geçmiş kimlik güvenlik ayarlarını geri yüklemenize ve hesabınızı kontrol etmenize olanak tanır.

Ek kullanıcı doğrulama işlevi, hesabınıza giriş yapmak ve uygulamaları kullanmak için yapılan tüm girişimleri tamamen kontrol eder: Apple cihazınızda Apple Kimliğinde iki faktörlü kimlik doğrulamanın nasıl kullanılacağını ve nasıl kapatılacağını öğrenin.

Apple'ın en büyük avantajlarından biri, güvenlik ve gizlilik politikasına yaklaşım Kullanıcı bilgisi.

İki Adımlı Doğrulama, en yüksek düzeyde hesap oturum açma güvenliği elde etmek için kullanılan modern tekniklerden biridir.

Şirket, bir hesaba giriş yapmaya çalışırken bir gadget'ın sahibini doğrulamak için bu teknolojiyi kullanır. Çok düzeyli kimlik doğrulama, yalnızca sistem sahibinin sisteme erişebileceğinin %100 garantisidir.

Çalışma prensibi. Kimlik doğrulama ve doğrulamanın çalışma biçimindeki fark

Etkinleştirilmiş çok katmanlı kimlik doğrulama işlevi, hesabınızı bilgisayar korsanlığına ve diğer kullanıcılar tarafından yetkisiz girişlere karşı mükemmel bir şekilde korur.

Yalnızca kimliğin sahibi oturum açabilecektir, çünkü sistem iki tür veri girmenizi gerektirecektir:

• Apple kimliği parolası;
• Dijital kod tüm güvenilir cihazlara gönderilecek - bu, yasal yetkilendirmenin kanıtıdır.

Örnek: Herhangi bir tarayıcı veya istemci programından oturum açmaya karar verdiniz. Bunu yapmak için kullanıcı adınızı ve şifrenizi girmeniz gerekir. Yetkilendirmeden sonra hesabınıza giriş yapmayacaksınız - ayrıca yetkili girişi onaylayan bir kod girmeniz gerekir.

Gerekli kod, Apple Kimliğine bağlı tüm araçlarda görüntülenir. Profilinize erişmek için iCloud Kimlik Doğrulama penceresine sayıları girin.

Fonksiyonun görsel bir diyagramı şekilde gösterilmiştir:

İlk doğru kod girişinden sonra, bir sonraki yazılım başlangıcından sonra numara girişi artık istenmeyecektir. yeniden kimlik doğrulama sadece birkaç durumda gerekli olacaktır:

• Ayarları sıfırlarken;
• Tekrar girdiğinizde.

Ayrıca, artan güvenlik derecesine sahip işlevler - akıllı telefon ayarlarının değiştirilmesi, sistem parametrelerinin silinmesi ve diğerleri için dijital kodların sürekli olarak girilmesi zorunludur.

Doğrulama ve Kimlik Doğrulama. Fark ne?

Kavramlar arasında ayrım yapmak önemlidir. iki adımlı doğrulama ve iki faktörlü kimlik doğrulama , benzer bir etkiye sahip olduklarından, ancak farklı anlamlara sahip olduklarından.

muayene 2015 yılında Apple gadget'larında uygulandı ve uygulandı. Seçeneğin temel amacı ek kontroldür. Kontrol, iOS 9'dan itibaren kullanılabilir.

kimlik doğrulama - bu, kontrolün genişletilmiş bir versiyonudur. Apple, işlevi iyileştirdi ve yeni güvenlik yönetim sistemlerini tanıttı. Özellikle, konumla çalışın. Haritalarla çalışma prensibi, işaretlenmiş "güvenlik" noktalarına dayanmaktadır.

Her kişi düzenli olarak aynı yerleri ziyaret eder, böylece harita üzerinde kesinlikle kolayca yetkilendirebileceğiniz birkaç nokta seçebilirsiniz.

Bu noktaların dışında oturum açarsanız, bir doğrulama kodu ve bir davetsiz misafirin olası eylemleri hakkında bir uyarı anında güvenilir cihazlara gönderilir.

Gördüğünüz gibi, kimlik doğrulama gerçekten daha otomatik ve güvenli bir kimlik denetimi yöntemidir.

Doğrulama görevi, güvenilir bir gadget'a bir kod göndermektir ve kimlik doğrulama ayrıca cihazın konumunu analiz eder ve sahibini olası bir tehlikeye karşı uyarır.

Özellik Gereksinimleri

çok düzeyli kimlik doğrulama, aşağıdaki gadget'lar için tasarlanmıştır:

Kimlik Doğrulamayı Devre Dışı Bırakma

Kimlik doğrulamayı devre dışı bırakmak, ek erişim kodları girmenizi engeller. Konumunuzu da onaylamanız gerekmez. Talimatları takip et:

• Bir masaüstü tarayıcı kullanma bulut depolama sayfasına gidin iCloud.com;
• Sisteme giriş yapın- Giriş ve şifreyi girin;
• Daha öte görünen metin alanına erişim kodunu yazın diğer gadget'larda gösterilen;

• tuşuna basın "İzin vermek" mobil cihazda görünen pencerede;
• Ardından, tarayıcı sizi otomatik olarak kullanıcının sayfasına yönlendirecektir. Güven listesine dahil değilseniz, mobil gadget'ınızda "Bu tarayıcıya güveniyorum" ve üzerine tıklayın "İlerlemek";

• Başarılı bir giriş yaptıktan sonra kutucuğa tıklayın "Ayarlar"... iCloud masaüstü sürümünün ana sayfasında bulunur. Ayarlara girmek için başka bir seçenek de sağ üst köşede bir kullanıcı adı seçmektir. Ardından, açılır listede üzerine tıklayın. ICloud Ayarları;

• Açılan pencerede tuşuna basın "Kontrol"... Hesap sahibinin adının yanında bulunur;

• Ardından, Apple web sitesine yönlendirileceksiniz. Yeni bir pencerede, kullanıcı adınızı ve şifrenizi girerek giriş yapmanız gerekir;

• Hesap yönetimi penceresine gidin ve sekmeye tıklayın "Güvenlik"-"Değiştirmek";

• Alanı bul "Kimlik Doğrulamayı Devre Dışı Bırak" ve onu seçin. Ardından, güvenilir cihaza gönderilecek bir şifre girerek işlemi onaylayın.

İki aşamalı kimlik doğrulama sistemi şu şekilde tasarlanmıştır: kullanıcıları olası tüm bilgisayar korsanlığı girişimlerinden mümkün olduğunca korumak için. Bu nedenle, seçeneği tamamen devre dışı bırakmak için geliştiriciler, belirttiğiniz soru bloğunu yanıtlama ihtiyacını sağlamıştır.

Sadece metin alanlarına doğru cevapları girdikten sonra seçeneği devre dışı bırakabilirsiniz.

Bağlantının kesilmesini onaylayın:

Güvenilir cihazlar

Doğrulanmış cihaz Apple cihazlarınızdan herhangi biri. Tek gereksinim, tüm gadget'ların tek bir kimliğe bağlı olması gerektiğidir. Bu bağlama ilkesine göre bir grup güvenilir cihaz oluşturulur.

Apple gadgets grubunuzun parçası olmayan bir cihazdan kimlik doğrulamasını doğrulayamazsınız.

Bir tabletin veya bilgisayarın yalnızca bir sahibi iki adımlı kimlik doğrulamayla çalışabilir.

Güvenilir cihazların listesi - bu, Apple kimliğine veya programa girişi onaylamak için dijital bir kodun gönderileceği tüm gadget modellerinin bir listesidir.

Bu listeyi uygulamanın kendisinde Cihazlar sekmesinde görüntüleyebilirsiniz.

Güvenilir numaralar

Güvenilir numaralar- bu, kimlik doğrulama için dijital bir erişim kodu alacak olan mobil operatör numaralarının bir listesidir. Mesajlar yalnızca metin biçiminde değil, Apple robotundan arama şeklinde de gelebilir.

Çok katmanlı kimlik doğrulamayı ilk kurduğunuzda, en az bir gerçek telefon numarası sağlamanız gerekir.

Bir numara eklemek için alana girmeniz ve onaylamanız gerekir. Onay olarak gelen pencerede numaraya gelen kodu giriniz.

İlişkili numaraya sahip SIM kart, güvenilir bir cihaza takılmalıdır. Aksi takdirde doğrulama kodları gelmeyecektir.

Hangi verileri hatırlamanız gerekiyor?

2 Adımlı Doğrulama'nın verilerinizi korumayı amaçlayan bir dizi eylem olduğunu unutmamak önemlidir.

Tam işlevli çalışma için aşağıdaki bilgileri hatırlamanız veya yazmanız gerekecektir:

• Hesaptan giriş ve şifre;
• Programlar için özel kodlar- hesabınızda kendi belirlediğiniz dijital erişim tanımlayıcıları;
• Birincil anahtar Seçenek etkinleştirildikten sonra otomatik olarak oluşturulan bir harf ve sayı kümesidir. Tüm güvenilir numaralara ve cihazlara erişiminizi kaybederseniz buna ihtiyacınız olacak.

Ana anahtarı taradığınızdan ve PC'nizdeki veya başka bir cihazdaki bir klasöre taşıdığınızdan emin olun. Ayrıca, kod bir USB flash sürücüye veya bir kağıda yazılabilir.

Bu verileri bu şekilde saklayın böylece kimse ana anahtarı bulamaz ve kullanamaz.

Ayrıca, güvenilir numaraların zamanında güncellemelerini yapmanızı tavsiye ederiz. SIM kartınızı değiştirdiyseniz, Apple Kimliğinize yeni numaranın ayrıntılarını girmeyi unutmayın. Aksi takdirde, tanımlayıcıya erişim kaybedilebilir.

Cihazlarınızın fiziksel güvenliğini izleyin.

Akıllı telefonunuzu yabancıların yanında gözetimsiz bırakmayın ve gadget'ın kilidinin açılmasını sınırlamak için parmak izi tarayıcıyı kullanın.

Kendinizi yalnızca sanal kimlik korsanlığından değil, aynı zamanda diğer kişilerin telefonunuza / tabletinize yetkisiz erişimine karşı da korumanız önemlidir.

İşlevi etkinleştirme

Özelliği etkinleştirmek yalnızca birkaç dakika sürer.

Sonuç olarak, cihaz belleğindeki, yüklü programlardaki ve bulut depolama alanındaki verileri koruyacak ek bir güvenlik faktörü elde edeceksiniz.

iPhone ve iPad'de

iPhone'unuzda kimlik doğrulamayı etkinleştirmek için talimatları izleyin:

1 Telefon ayarları penceresini açın;

2 iCloud kutusuna gidin;

3 Öğeye tıklayın "Parola»;

4 Seç "2 faktörlü kimlik doğrulamayı yapılandır";

5 Güvenilir cihazlara gönderilecek kodu girin ve kurulumu tamamlayın. Ana anahtarı fiziksel ortama yazın.

Mac OS'de

Mac OS'de, 2 Adımlı Kullanıcı Doğrulaması yalnızca El Capitan ve daha yeni işletim sistemi bellenimi:

1 Sistem ayarları penceresine gidin;

2 iCloud alanına tıklayın ve hesap verileri düzenleme modunu başlatın;

3 Yeni pencerede, üzerine tıklayın. "Güvenlik"... Ardından sistem, tanımlayıcıdan bir parola girmenizi isteyecektir;

4 düğmesine tıklayın "Kimlik Doğrulamayı Yapılandır", pencerenin alt kısmında bulunur. Apple Kimliğine bağlı tüm cihazlarda görüntülenecek dijital kodu onaylayın.

Alternatif alma bildirimleri

Erişim kodlarını al m Yalnızca güvenilir cihazlarda değil, aynı zamanda "Bir iPhone Bul" hizmetine de.

Bu seçeneği Apple Kimliği ayarlarında (Güvenlik Gönderme parolaları) ayarlayabilirsiniz.

Sonuç olarak, doğrulama kodu yalnızca güvenilir cihazlara değil, aynı zamanda gönderilecektir.

Böylece tek bir pencerede şüpheli konumlardan giriş denemesini kontrol edebilecek ve erişim kodunu görüntüleyebileceksiniz.

Bu seçenek yalnızca kimlik doğrulama ile çalışır. Doğrulama için kartlarla çalışmak mümkün değildir.

Çok katmanlı kimlik doğrulamanın faydaları

Herhangi bir Apple Kimliği, yalnızca bağlı cihazlarla ilgili bilgileri değil, aynı zamanda kredi kartı verilerini, kullanıcıların kişisel bilgilerini de depolar.

Bulutta, çoğu belge taramalarını ve diğer önemli bilgileri depolar, hırsızlık geri dönüşü olmayan sonuçlara yol açabilir.

Bilgilerin güvenliğinden her zaman emin olmak istiyorsanız, iki faktörlü kimlik doğrulamayı kullanın. Özellik avantajları:

• Apple'dan tüm gadget'lar için birleşik güvenlik organizasyonu;
• Gelişmiş kontrol fonksiyonu ayarları;
• Tüm düzeylerde ve bilgisayar korsanlığı türlerine karşı garantili koruma.

İşlevin dezavantajları

Gadget'ların güvenliğiyle ilgili tüm bariz avantajlara rağmen, çok katmanlı kimlik doğrulama, kullanıcıların anahtarları hatırlamasını zorlaştırır. bir numarayı veya güvenilir bir cihazı kaybetme olasılığı bir dizi sorun yaratır:

• Çok katmanlı kimlik doğrulama ile birlikte üçüncü taraf yazılımı kullanmak imkansızdır.Örneğin, iMobie AnyTrans veya popüler PhoneRescue yardımcı programı;
• iCloud'da oturum açma zorluğu- seçenekteki bir kusur nedeniyle, kullanıcılar genellikle bulut depolama alanına doğru erişim anahtarını girdikten sonra bile sistem hatalarıyla karşılaşır;
• Hücresel ağ ile çalışma. Yetersiz kapsama alanına sahip bir bölgedeyseniz, kimlik doğrulama çalışmayabilir;
• Kodlara bağlanma. Doğrulama, yalnızca elinizde birinci aygıtla aynı Apple Kimliğine bağlı ikinci bir aygıtınız varsa uygulanabilir.

Şu anda yakınınızda ikinci bir gadget yoksa, hesap ayarlarında saklanan kalıcı anahtarı kullanabilirsiniz, ancak pratikte kullanıcılar çok nadiren yazar veya hatırlar.

Yandex blogunda nadir bulunan ve özellikle güvenlikle ilgili bir gönderi, iki faktörlü kimlik doğrulamadan bahsetmedi. Uzun zamandır, kullanıcı hesaplarının korunmasının nasıl düzgün bir şekilde güçlendirileceğini ve hatta günümüzde en yaygın uygulamaları içeren tüm rahatsızlıklar olmadan kullanılabilmesini düşündük. Ve ne yazık ki, uygunsuzlar. Bazı raporlara göre, birçok büyük sitede, ek kimlik doğrulama araçlarını etkinleştiren kullanıcıların payı %0,1'i geçmiyor.

Bunun nedeni, ortak iki faktörlü kimlik doğrulama şemasının çok karmaşık ve uygunsuz olması gibi görünüyor. Koruma seviyesini kaybetmeden daha kullanışlı bir yol bulmaya çalıştık ve bugün beta sürümünde sunuyoruz.

İnşallah daha da yaygınlaşacaktır. Bizim açımızdan, iyileştirme ve müteakip standardizasyon üzerinde çalışmaya hazırız.

Passport'ta iki faktörlü kimlik doğrulamayı etkinleştirdikten sonra, App Store veya Google Play'de Yandex.Key uygulamasını yüklemeniz gerekecektir. QR kodları, Yandex ana sayfasındaki Posta ve Pasaport'taki yetkilendirme formunda göründü. Hesabınıza girmek için QR kodunu uygulama üzerinden taramanız gerekiyor - hepsi bu. Örneğin QR kodunu okuyamıyorsanız, akıllı telefonun kamerası çalışmıyorsa veya İnternet erişimi yoksa, uygulama yalnızca 30 saniye geçerli olacak bir kerelik bir şifre oluşturacaktır.

Size neden RFC 6238 veya RFC 4226 gibi "standart" mekanizmaları kullanmamaya karar verdiğimizi anlatacağım. Yaygın iki faktörlü kimlik doğrulama şemaları nasıl çalışır? Onlar iki aşamalıdır. İlk aşama, olağan kullanıcı adı ve parola doğrulamasıdır. Başarılı olursa, site bu kullanıcı oturumunu "beğenip beğenmediğini" kontrol eder. Ve "beğenmediysen", kullanıcıdan "yeniden doğrulamasını" ister. "Ön doğrulama"nın iki yaygın yöntemi vardır: hesapla ilişkili telefon numarasına SMS göndermek ve akıllı telefonda ikinci bir şifre oluşturmak. Temel olarak, ikinci parolayı oluşturmak için RFC 6238'e göre TOTP kullanılır.Kullanıcı ikinci parolayı doğru girdiyse, oturumun tam olarak doğrulanmış olduğu kabul edilir ve değilse, oturum "ön" kimlik doğrulamasını da kaybeder.

Her iki yöntem de ─ SMS gönderme ve şifre oluşturma ─ telefonun sahibi olduğunun kanıtıdır ve bu nedenle bir kullanılabilirlik faktörüdür. İlk adımda girilen şifre bir bilgi faktörüdür. Bu nedenle, bu kimlik doğrulama şeması sadece iki adımlı değil, aynı zamanda iki faktörlüdür.

Bu şemada bize sorunlu görünen neydi?

Ortalama bir kullanıcının bilgisayarının her zaman bir güvenlik modeli olarak adlandırılamayacağı gerçeğiyle başlayalım: burada Windows güncellemelerini, modern imzaları olmayan bir antivirüsün korsan bir kopyasını ve şüpheli kökenli yazılımı kapatabilirsiniz ─ tüm bunlar seviyeyi artırmaz koruma. Tahminimize göre, bir kullanıcının bilgisayarını ele geçirmek, hesapları "ele geçirmenin" en yaygın yöntemidir (ve son zamanlarda bunun bir teyidi daha vardı) ve her şeyden önce kendimizi bundan korumak istiyoruz. İki adımlı kimlik doğrulama durumunda, kullanıcının bilgisayarının güvenliğinin ihlal edildiğini varsayarsak, üzerine bir parola girmek parolanın kendisini tehlikeye atar, bu da ilk faktördür. Bu, saldırganın yalnızca ikinci faktörü seçmesi gerektiği anlamına gelir. Ortak RFC 6238 uygulamaları durumunda, ikinci faktör 6 ondalık basamaktır (ve spesifikasyon tarafından öngörülen maksimum değer 8 basamaktır). OTP için kaba kuvvet hesaplayıcısına göre, bir saldırgan birincisini bir şekilde biliyorsa, ikinci faktörü üç gün içinde alabilir. Hizmetin normal kullanıcı deneyimini bozmadan bu saldırıya ne karşı koyabileceği belli değil. Çalışmanın tek olası kanıtı, bizim görüşümüze göre son çare olan captcha'dır.

İkinci sorun, hizmetin kullanıcı oturumunun kalitesi hakkındaki yargısında şeffaflığın olmaması ve "ön kimlik doğrulama" ihtiyacına karar vermesidir. Daha da kötüsü, hizmet bu süreci şeffaf hale getirmekle ilgilenmiyor çünkü belirsizliğe dayalı güvenlik aslında burada çalışıyor. Saldırgan, hizmetin hangi temelde oturumun meşruluğu hakkında karar verdiğini biliyorsa, bu verileri taklit etmeye çalışabilir. Genel değerlendirmelerden yola çıkarak, kararın, IP adresini (ve türevlerini, sağlayıcıyı tanımlayan otonom sistem numarasını ve coğrafi tabana dayalı konumu) dikkate alarak kullanıcının kimlik doğrulama geçmişi temelinde yapıldığı sonucuna varabiliriz ve tarayıcı verileri, örneğin, Kullanıcı Aracısı başlığı ve bir dizi tanımlama bilgisi, flash lso ve html yerel depolama. Bu, bir saldırganın bir kullanıcının bilgisayarını kontrol etmesi durumunda, yalnızca gerekli tüm verileri çalma değil, aynı zamanda kurbanın IP adresini de kullanma yeteneğine sahip olduğu anlamına gelir. Ayrıca, karar ASN bazında verilirse, kahve dükkanındaki halka açık Wi-Fi'den herhangi bir kimlik doğrulaması, bu kahve sağlayıcısının güvenlik açısından "zehirlenmesine" (ve hizmet açısından beyaz badanaya) yol açabilir. alışveriş yapmak ve örneğin şehirdeki tüm kahve dükkanlarını badanalamak. ... Anormallik tespit sisteminin çalışmasından bahsettik ve bu uygulanabilir, ancak kimlik doğrulamanın birinci ve ikinci aşamaları arasındaki süre, anomali hakkında kesin bir yargıya varmak için yeterli olmayabilir. Ayrıca, aynı argüman "güvenilir" bilgisayarlar fikrini de yok eder: bir saldırgan, güven kararını etkileyen herhangi bir bilgiyi çalabilir.

Son olarak, iki adımlı kimlik doğrulama basitçe elverişsizdir: Kullanılabilirlik çalışmalarımız, hiçbir şeyin kullanıcıları bir ara ekran, ek düğme tıklamaları ve onun bakış açısından diğer "önemsiz" eylemler kadar rahatsız etmediğini göstermektedir.
Buna dayanarak, kimlik doğrulamanın tek adımlı olması ve parola alanının "saf" RFC 6238 çerçevesinde yapılabilecekten çok daha büyük olması gerektiğine karar verdik.
Aynı zamanda iki faktörlü kimlik doğrulamayı mümkün olduğunca korumak istedik.

Kimlik doğrulamada çok faktörlülük, kimlik doğrulama öğelerinin (aslında bunlara faktör denir) üç kategoriden birine atanmasıyla belirlenir:

1. Bilgi faktörleri (bunlar geleneksel şifreler, pin kodları ve bunlara benzeyen her şeydir);
2. Sahiplik faktörleri (kullanılan OTP şemalarında, kural olarak, bu bir akıllı telefondur, ancak aynı zamanda bir donanım belirteci olabilir);
3. Biyometrik faktörler (parmak izi şu anda en yaygın olanıdır, ancak birileri Demolition Man filmindeki Wesley Snipes kahramanı ile bölümü hatırlayacaktır).

Sistemimizin geliştirilmesi

İki faktörlü kimlik doğrulama sorununu çözmeye başladığımızda (bu konudaki kurumsal wiki'nin ilk sayfaları 2012'ye kadar uzanıyor, ancak daha önce perde arkasında tartışılmıştı), ilk fikir standart kimlik doğrulama yöntemlerini alıp burada uygulamaktı. . Milyonlarca kullanıcımızın bir donanım jetonu satın almasını bekleyemeyeceğimizi anladık, bu yüzden bazı egzotik durumlar için bu seçenek ertelendi (tamamen terk etmesek de, belki ilginç bir şey bulabiliriz). SMS yöntemi de yaygın değildi: Çok güvenilmez bir teslimat yöntemi (en kritik anda SMS gecikebilir veya hiç alınmayabilir) ve SMS göndermek para gerektirir (ve operatörler fiyatlarını artırmaya başladı). SMS kullanımının birçok banka ve diğer düşük teknolojili şirketler olduğuna karar verdik ve kullanıcılarımıza daha uygun bir şey sunmak istiyoruz. Genel olarak, seçim harika değildi: akıllı telefonu ve içindeki programı ikinci faktör olarak kullanmak.

Bu tek adımlı kimlik doğrulama biçimi yaygındır: kullanıcı pin kodunu (birinci faktör) hatırlar, OTP (ikinci faktör) üreten bir donanım veya yazılıma (akıllı telefonda) sahip olur. Şifre alanına pin kodunu ve mevcut OTP değerini girer.

Bize göre, bu şemanın ana dezavantajı iki aşamalı kimlik doğrulama ile aynıdır: kullanıcının masaüstünün güvenliğinin ihlal edildiğini varsayarsak, tek bir PIN kodu girişi ifşaya yol açar ve saldırgan yalnızca aşağıdakileri seçebilir. ikinci faktör.

Diğer yoldan gitmeye karar verdik: şifre tamamen sırdan oluşturulur, ancak sırrın yalnızca bir kısmı akıllı telefonda saklanır ve şifre her oluşturulduğunda kullanıcı tarafından bir kısmı girilir. Bu nedenle, akıllı telefonun kendisi bir sahiplik faktörüdür ve şifre kullanıcının kafasında kalır ve bir bilgi faktörüdür.

Nonce, bir sayaç veya geçerli saat olabilir. Geçerli saati seçmeye karar verdik, bu, birinin çok fazla parola oluşturması ve sayacı artırması durumunda senkronizasyondan korkmamamızı sağlıyor.

Yani, bir akıllı telefon için bir programımız var, burada kullanıcının sırrının kendi kısmına girdiği, saklanan kısımla karıştırıldığı, sonuç, geçerli zamanı işaretleyen HMAC anahtarı olarak kullanılıyor ve 30 saniyeye yuvarlanıyor. HMAC çıktısı okunabilir hale getirildi ve işte - işte tek seferlik şifre!

Belirtildiği gibi, RFC 4226, HMAC çıktısının maksimum 8 ondalık basamağa kesilmesini önerir. Bu boyutta bir parolanın tek adımlı kimlik doğrulama için uygun olmadığına ve artırılması gerektiğine karar verdik. Aynı zamanda, kullanım kolaylığını korumak istedik (sonuçta, hatırlayın, sadece güvenlik meraklılarının değil, sıradan insanların kullanacağı bir sistem yapmak istiyorum), böylece sistemin mevcut sürümünde bir uzlaşma olarak, Latin alfabesinin 8 karakterine kesmeyi seçtik. Görünüşe göre 30 saniye geçerli 26 ^ 8 şifre oldukça kabul edilebilir, ancak güvenlik marjı bize uymuyorsa (veya bu şemanın nasıl geliştirileceğine dair değerli ipuçları Habré'de görünüyor), örneğin 10 karaktere genişleteceğiz.

Bu tür parolaların gücü hakkında daha fazla bilgi edinin

Nitekim büyük/küçük harfe duyarsız Latin harfleri için işaret başına seçenek sayısı 26, büyük ve küçük Latin harfleri artı sayılar için seçenek sayısı 26 + 26 + 10 = 62'dir. Daha sonra log 62 (26 10) ≈ 7.9, yani 10 rastgele küçük Latin harfinden oluşan bir şifre, neredeyse 8 rastgele büyük harf ve küçük Latin harf veya sayıdan oluşan bir şifre kadar güçlüdür. Bu kesinlikle 30 saniye için yeterli. Latin harflerinden 8 karakterlik bir şifreden bahsedecek olursak, gücü log 62 (26 8) ≈ 6.3 yani büyük, küçük harf ve rakamlardan oluşan 6 karakterlik bir şifreden biraz daha fazladır. Bunun 30 saniyelik bir pencere için hala kabul edilebilir olduğunu düşünüyoruz.

Sihir, şifresizlik, uygulamalar ve sonraki adımlar

Genel olarak bu noktada durabilirdik ama sistemi daha da kullanışlı hale getirmek istedik. Bir kişinin elinde akıllı telefon varken klavyeden şifre girmek istemez!

Bu nedenle, "sihirli oturum açma" üzerinde çalışmaya başladık. Bu kimlik doğrulama yöntemi ile kullanıcı, akıllı telefonunda uygulamayı başlatır, PIN kodunu ona girer ve QR kodunu bilgisayar ekranında tarar. PIN kodu doğru girilirse, tarayıcıdaki sayfa yeniden yüklenir ve kullanıcının kimliği doğrulanır. Büyü!

O nasıl çalışır?

Oturum numarası QR koduna sabit kodlanmıştır ve uygulama bunu taradığında, bu numara, normal şekilde oluşturulan şifre ve kullanıcı adı ile birlikte sunucuya iletilir. Bu zor değil, çünkü akıllı telefon neredeyse her zaman çevrimiçi. QR kodunu gösteren sayfa düzeninde JavaScript çalışıyor, bu oturumla parolayı doğrulamak için sunucu tarafından yanıt bekliyor. Sunucu parolanın doğru olduğunu yanıtlarsa yanıtla birlikte bir oturum tanımlama bilgisi ayarlanır ve kullanıcının kimliği doğrulanmış olarak kabul edilir.

İyileşti, ama burada bile durmamaya karar verdik. iPhone 5S ile başlayarak, TouchID parmak izi tarayıcı Apple telefonlarında ve tabletlerinde ortaya çıktı ve iOS sürüm 8'de onunla çalışmak için üçüncü taraf uygulamalar da mevcut. Aslında uygulama parmak izine erişim sağlamıyor ancak parmak izi doğruysa uygulamaya ek bir Anahtarlık bölümü açılıyor. Biz bundan faydalandık. Sırrın ikinci kısmı, kullanıcının önceki komut dosyasında klavyeden girdiği TouchID korumalı Anahtarlık girişine yerleştirilir. Anahtarlık kilidini açarken, sırrın iki kısmı karıştırılır ve ardından süreç yukarıda anlatıldığı gibi çalışır.

Ancak kullanıcı inanılmaz derecede kullanışlı hale geldi: uygulamayı açar, parmağını koyar, ekranda QR kodunu tarar ve bilgisayardaki tarayıcıda kimliği doğrulanır! Bu yüzden bilgi faktörünü biyometrik bir faktörle ve kullanıcının bakış açısından tamamen terk edilmiş şifrelerle değiştirdik. Sıradan insanların böyle bir şemayı iki şifreyi manuel olarak girmekten çok daha uygun bulacağından eminiz.

Böyle bir kimlik doğrulamanın resmi olarak ne kadar iki faktörlü olduğunu tartışmak mümkün, ancak aslında başarılı bir şekilde geçmek için hala bir telefonunuz ve doğru parmak izine sahip olmanız gerekiyor, bu yüzden bilgi faktörünü tamamen terk ettiğimize inanıyoruz, biyometri ile değiştirmek. iOS Secure Enclave'in kalbinde yer alan ARM TrustZone'un güvenliğine güvendiğimizi anlıyoruz ve bu alt sistemin şu anda tehdit modelimiz kapsamında güvenilir olarak kabul edilebileceğine inanıyoruz. Elbette biyometrik kimlik doğrulama sorunlarının farkındayız: parmak izi bir parola değildir ve güvenlik ihlali durumunda değiştirilemez. Ancak öte yandan, güvenliğin kolaylık ile ters orantılı olduğunu herkes bilir ve kullanıcının kendisi kabul edilebilir bir oran seçme hakkına sahiptir.

Bunun hala beta olduğunu hatırlatmama izin verin. Artık iki faktörlü kimlik doğrulamayı etkinleştirdiğinizde, Yandex Browser'da şifre senkronizasyonunu geçici olarak devre dışı bırakıyoruz. Bunun nedeni, şifre veritabanının şifrelemesinin düzenlenme şeklidir. 2FA durumunda Tarayıcının kimliğini doğrulamak için zaten uygun bir yol buluyoruz. Diğer tüm Yandex işlevleri eskisi gibi çalışır.

İşte bulduklarımız. İyi çalıştı gibi görünüyor, ama yargılamak size kalmış. Geri bildirimleri ve önerileri duymaktan memnuniyet duyacağız ve hizmetlerimizin güvenliğini artırmak için kendimiz çalışmaya devam edeceğiz: artık CSP, posta aktarımının şifrelenmesi ve diğer her şeyin yanı sıra iki faktörlü kimlik doğrulamamız var. Kimlik doğrulama hizmetlerinin ve OTP oluşturma uygulamalarının kritik olduğunu ve bu nedenle, bunlarda bulunan hatalar için Bug Bounty bonusunu iki katına çıkardığını unutmayın.

Etiketler: Etiket Ekle

İstismarların, Truva atlarının ve kimlik avı tehditlerinin aktif olarak geliştirildiği zamanımızda, kullanıcılar çeşitli hizmetlerde hesaplarını korumaya özen göstermelidir. Parolaları düzenli olarak değiştirmek ve güçlü, tahmin edilmesi zor parolalar kullanmak gerekir. Ancak bu önlemler bile yeterli olmayabilir.

Çevrimiçi hesaplarınızı sağlamlaştırmak için ikinci bir kimlik doğrulama faktörü kullanılmalıdır. Halihazırda acı bir bilgisayar korsanlığı deneyimi yaşayan birçok internet hizmeti, kullanıcılarına iki faktörlü kimlik doğrulama (2FA) getirdi.

Kimlik doğrulama için üç ana faktör vardır: yalnızca sizin bildiğiniz bir şey (parola gibi), yalnızca sahip olduğunuz bir şey (donanım jetonu veya cep telefonu gibi) ve bazı kişisel özellikler (parmak izi veya iris gibi). . İki faktörlü kimlik doğrulama, yukarıda açıklanan üç faktörden herhangi ikisinin hesabınızda oturum açmak için kullanıldığı anlamına gelir.

Sorun şu ki, parmak izi tarayıcıları ve diğer biyometrik tarayıcılar, ikinci faktör kimlik doğrulama için yaygın kullanımdan uzaktır. Bu nedenle, genellikle ek kimlik doğrulama için, cihazınıza gönderilen ve yalnızca bir kez kullanılabilen sayısal bir kod kullanılır.

Gittikçe daha fazla hizmet, özel bir akıllı telefon uygulaması olan “Authenticator”ı destekliyor. Kullanıcı, öncelikle bu uygulama ile hizmetin çalışmasını belirli bir kod kümesi kullanarak yapılandırmalıdır. Uygulamayı her yerde kullanabilirsiniz, çalışması için aktif bir İnternet bağlantısı bile gerektirmez. Bu tür uygulamalar arasında tartışmasız lider Google Authenticator'dır (Android ve iOS'ta ücretsiz olarak dağıtılır). Authy ve Duo Mobile benzer görevler için tasarlanmıştır ve görünüş olarak daha çekicidir. LastPass ayrıca iOS, Android, Windows 10 Mobile ve Windows Phone 8.1 platformları için bağımsız bir LastPass Authenticator'ı piyasaya sürdü. Kimlik doğrulama uygulamalarındaki güvenlik kodları, hesaplar arasında senkronize edilir, böylece telefonunuzda bir QR kodu tarayabilir ve tarayıcınızda altı haneli bir şifre alabilirsiniz.

Lütfen iki faktörlü kimlik doğrulama (2FA) kurmanın diğer hizmetleri kesintiye uğratabileceğini unutmayın. Örneğin, Microsoft'ta iki faktörlü kimlik doğrulama kurarsanız, Xbox 360'ınızda Xbox Live ile ilgili sorunlar yaşayabilirsiniz. Xbox arabiriminin ikinci bir parola kabul etme özelliği yoktur. Bu durumlarda, bir uygulama şifresi uygulamanız gerekir - bu, belirli bir uygulamayı kullanmak için ana web sitesinde oluşturulan bir şifredir. Uygulama parolalarıyla Xbox Live, Facebook, Twitter, Microsoft, Yahoo, Evernote ve Tumblr entegrasyonlarını destekler. Neyse ki, uygulama şifrelerine duyulan ihtiyaç.

Saldırganların sürekli olarak hesaplarınızın güvenliğini aşmanın yollarını aradığını unutmayın. Bu nedenle, iki faktörlü kimlik doğrulamayı kullanmak, oturum açmak için biraz daha uzun sürse de, kişisel verilerinizle ilgili ciddi sorunları önler.