До сих пор не знаете что такое двухфакторная аутентификация ?

Это процесс идентификации пользователя.

Его можно встретить на разных сервисах, как средство, которое применяется с целью обезопасить ваш аккаунт.

С помощью двухфакторной аутентификации (2FA) можно более лучше защитить свой от возможного несанкционированного доступа.

При использовании такой защиты от пользователя потребуются определенные данные, которые будут использованы для его идентификации.

Эти данные можно разделить на следующие типы:

• Пароли, секретные слова и пин-коды;
• Разные компактные устройства, создающие защиту информации пользователя и способные идентифицировать его - токены.

Они не требуют подключения к компьютеру, зато имеют собственный дисплей.

На этом дисплее в нужный момент появляется число, ввод которого даст пользователю свободно войти в систему.

Рассмотрим три сервиса, где применяется такой метод.

Общие понятия 2FA

В качестве токенов могут использоваться собственные .

Пользователю потребуется установка на смартфон специального приложения, способного генерировать одноразовые пароли. Одно из таких приложений- Google Authenticator.

Для того, чтобы сделать защиту конкретного ресурса максимально эффективной - одноразовые пароли синхронизируются по времени и постоянно обновляются.

То есть, дается конкретное время на ввод такого пароля и, если оно превышено - пароль становится недействительным.

Базисом при их создании - конкретная математическая формула, с ее помощью вы не сможете угадать следующий, новый .

Иногда для применения двухфакторной аутентификации используют конкретные биометрические (сканеры), они открывают доступ к ресурсу.

Однако, такая защита отличается качеством, но она дорогая.

К примеру, если вы травмировали пальцы, а разрешение сканера установлено на самое высокое разрешение - вы вряд ли сможете идентифицироваться.

Нужно учесть при всей своей сложности двухфакторная аутентификация не панацея, однако создает достаточно серьезные трудности мошенникам.

Чтобы взломать вашу защиту им придется каким-то образом похитить ваш токен или скопировать сгенерированные им коды.

Если вы же желаете пропустить 2FA - все что нужно вам сделать это просто восстановить ваш аккаунт.

Если запустить ее в действие (например, из-за утери пароля) - то через несколько дней на почту придет письмо, извещающее об отключении аутентификации.

Области применения

Сегодня 2FA используется для защиты аккаунтов , разных ресурсов (биржи криптовалют и т.д.), электронных почтовых ящиков и т.д.

Она дает возможность повысить уровень безопасности, учитывая то, что вам придется выполнить несколько дополнительных действий для того чтобы войти в свой аккаунт.

При использовании специального токена можно осуществить защиту данных, имеющихся на вашем личном компьютере.

С его помощью вы без труда создадите строгую двухфакторную аутентификацию как в сети , так и на своем локальном компьютере.

Для ее реализации можно использовать usb-ключи или смарт-карту eToken.

Этот продукт поможет избежать попытки входа в систему от имени официального пользователя посторонним людям.

Двухфакторная аутентификация Google

Google Authenticator

Для того, чтобы пользоваться двухфакторной аутентификацией - понадобится установить на мобильное устройство небольшую программу - Google Authenticator, необходимую для генерации одноразовых паролей.

Если аккаунт вы решили обезопасить установкой 2FA - включите ее и укажите номер своего мобильника.

Зайдите на страницу настроек ресурса и кликните по кнопке «Создать» , расположенной в пункте «Приложение Authenticator» .

После этого запустите Гугл Аутентификатор на Андроид-устройстве и привяжите его к аккаунту.

Это можно сделать двумя способами:

Если же такая связь непостоянна - можно использовать другую схему входа, к примеру, программу Google Authenticator .

Использование одноразовых кодов

Данный вариант также предназначен для идентификации пользователя при входе в аккаунт Google.

Он представляет собой запрос и распечатку сразу нескольких кодов.

Сама печать имеет формат визитки, поэтому удобна при хранении в портмоне или кармане.

Распечатанные коды не имеют определенного срока действия и актуальны до того момента, пока не будет использован последний из них либо сгенерированы новые.

Google Security Key

Для работы используются определенные ключи (FIDO U2F), работающие только в браузере .

У Вас должно быть устройство в котором есть юсб.

Из-за таких ограничений идентификация с помощью Гугл-ключей не всегда приемлема.

Применение уникальных паролей

Существуют некоторые приложения, которые не имеют поддержки двухфакторной аутентификации.

Это старые версии почтовых клиентов, работающих по протоколу IMAP.

Вы можете запросить неограниченное число уникальных паролей. Если нет нужды их использовать -удалите.

Эти пароли дадут возможность открыть доступ к данным, однако войти в ваш аккаунт другому человеку - будет невозможно.

Нельзя похитить личную информацию пользователя, так как для этого придется войти в аккаунт.

Во время такого входа Гугл потребует ввести пароль от аккаунта, а также сформированный на доверенном устройстве одноразовый идентификационный код.

Защита от взлома

Используя программы-аутентификатора на устройстве с операционной системой Android защититесь от возможного взлома и хищения личной информации.

Как говорилось выше - это root либо кастомное рекавери (допустим, TWRP).

Recovery - программа которая позволит восстановить ОС.

Существуют и другие способы взлома, вплоть до перехвата смс-сообщений с секретным кодом.

Чтобы не дать мошеннику использовать ваши личными данными - не поленитесь включить систему шифрования для раздела, в котором они хранятся.

Воспользуйтесь пин-код для разблокировки экрана, а не ее отключение по сканеру лица или по отпечатку пальца, так как такую защиту достаточно просто обойти.

Кроме этого, не желательно пользоваться получением кода доступа с помощью смс-доставки.

При этом варианте имеется вероятность перехвата злоумышленниками входящего сообщения.

Отключение 2FA аккаунта Google

Перед тем, как отключить двухфакторную аутентификацию, установленную на ваш аккаунт - этим вы значительно снизите уровень его безопасности.

Если это вас не останавливает - выполните описанные ниже действия.

Зайдите на главную страницу своего аккаунта и откройте раздел «Вход и безопасность» .

На открывшейся вкладке выберите пункт

Вам будет предложено ввести свои регистрационные данные, а именно - логин и пароль.

Кроме этого, система затребует для подтверждения ввести сгенерированный код.

После этого вам станет доступна функция отключения 2FA.

Кликнув по ней, вы увидите окно, требующее подтверждения данного действия.

Если ваше намерение непреклонно - выберите опцию «Отключить» .

Если вы осуществляете первый вход с нового устройства - система потребует от вас предоставление пароля и сгенерированного шестизначного кода.

Данный код является проверочным и отображается на всех доверенных устройствах пользователя.

Любое новое устройство после ввода сгенерированного кода автоматически присоединяется к существующему числу доверенных устройств.

Так, если вы обновили свою технику и приобрели компьютер Mac - то при первом входе система предложит ввести имеющийся пароль и шестизначное проверочное число.

Эта введенная информация автоматически отобразится и на вашем .

В связи с тем, что для входа на ваш аккаунт требуется знание не только пароля - вероятность хищения личной информации, хранящейся на серверах компании, сводится до минимума.

После первого входа проверочный код для данного устройства больше не будет запрашиваться.

Необходимость следующего ввода цифрового идентификатора возникнет в случае выхода из аккаунта.

Если вы чаще всего заходите в свой аккаунт используя один браузер который на вашем ПК, установленного на компьютере - добавьте в список доверенных.

После этого каждый последующий вход - кроме самого первого - будет осуществляться автоматически, а введение проверочного кода не потребуется.

Что можно считать проверенными устройствами Apple

К разряду таких устройств все мобильные устройства компании, работающие под управлением операционной системы не ниже iOS 9.

В случае с компьютерами - они должны иметь операционную систему как минимум OS X EI Capitan.

В Айфонах вы можете идентифицировать себя войдя в аккаунт.

Если же вход осуществляется с какого-то другого браузера или устройства - возникнет необходимость предоставления не только действующего пароля, но и вновь сгенерированного проверочного кода.

Проверенный телефонный номер

Наличие мобильного телефона является необходимым условием для подключения двухфакторной аутентификации.

На проверенный телефонный номер будут поступать звонки либо приходить смс-сообщения с кодом доступа.

Число номеров телефона может быть любое, но не менее одного.

Для получения идентификационного кода можно использовать не только свой личный телефонный номер, но и номер любого члена семьи. Можно добавить телефон своего друга.

Делайте это в крайних случаях, когда нет возможности использовать свои устройства.

Многие пользователи, деятельность которых связана с заработком в интернете или с хранением в сети важной информации, стараются обезопасить свои аккаунты от взлома и кражи конфиденциальных данных.

Конечно, сложный пароль, включающий в себя цифры и буквы, а также специальные символы, достаточно надежная защита, но максимальный эффект обеспечивает двухфакторная аутентификация.

Однако не каждый человек знает об этом варианте защиты своих учетных записей, и это несмотря на то, что сегодня все больше сервисов (почтовиков, социальных сетей и т.д.) предлагают воспользоваться такой возможностью.

Что такое двухфакторная аутентификация?

Итак, о каком же способе защиты идет речь? На самом деле, вы уже встречались с двухэтапной аутентификацией. Например, когда вы собираетесь выполнить какую-либо операцию с деньгами на сайте WebMoney, то, кроме логина и пароля, вам понадобится указать код подтверждения, который придет на мобильный телефон.

Другими словами, двухфакторная аутентификация - это второй ключ к вашей учетной записи. Если вы активируете данную опцию, например, в Evernote (такая возможность есть), то злоумышленник, сумевший подобрать пароль к этому сервису заметок, столкнется с другой проблемой - требованием указать одноразовый код, который приходит на ваш номер телефона. Стоит отметить, что в случае попытки взлома аккаунта вам придет СМС, и вы моментально сможете сменить пароль.

Согласитесь, что это очень удобная опция, воспользовавшись которой вы будете меньше переживать по поводу потери личной информации.

Где лучше использовать?

Безусловно, некоторые пользователи могут возразить, утверждая, что двухэтапная аутентификация - это слишком много «лишних движений», и вообще, она предназначена для параноиков, которым все время кажется, что за ними кто-то следит.

Возможно, они в чем-то и правы. Например, для социальных сетей совсем необязательно использовать данный способ защиты. Хотя и здесь можно поспорить. Как правило, злоумышленники пытаются взломать аккаунты администраторов популярных «пабликов». Да и вам, скорее всего, тоже не хотелось бы однажды заметить, что ваша учетная запись в одной из «социалок» взломана и на «Стене» размещены совсем неприличные фото.

Что же касается других сервисов, то, например, двухфакторная аутентификация "Яндекс" позволит в безопасности хранить ваши регистрационные данные от "Вэбмани" и другие) или письма, содержащие секретную информацию.

Защита аккаунта Google

Одним из наиболее популярных сервисов сегодня является "Гугл". Именно здесь вы можете зарегистрировать себе электронный почтовый ящик, хранить документы на Google-диске, бесплатно создать блог или канал на "Ютубе", которые впоследствии смогут принести вам прибыль.

Для того чтобы пользователи были уверены в сохранности документов, хранящихся на почте или диске, им предлагается двухфакторная аутентификация Google. Для ее активации необходимо войти в ваш аккаунт.

Теперь, открыв, например, почтовый ящик, обратите внимание на аватарку в правом верхнем углу. Кликните по ней и перейдите в «Мой аккаунт». Здесь вам нужен раздел «Безопасность и вход», а именно ссылка «Вход в аккаунт Google».

Справа вы увидите опцию «Двухэтапная аутентификация», где нужно кликнуть стрелочку, чтобы ее активировать. Откроется окно, в котором вас интересует кнопка «Приступить к настройке». Введите ваш пароль и следуйте дальнейшим инструкциям.

Двухфакторная аутентификация «Яндекс»

"Яндекс" также предлагает своим пользователям достаточно много полезных сервисов. Кроме облачного хранения информации на "Яндекс.Диске", вы можете завести себе электронный кошелек, куда будете выводить заработанные в интернете деньги.

Ну и, конечно, "Яндекс" не остался в стороне и также предлагает своим пользователям использовать двухфакторную аутентификацию для защиты документов, хранящихся в почтовом ящике.

Чтобы ее включить, от вас потребуется выполнить несколько простых действий. Войдите в ваш аккаунт и нажмите ЛКМ на фото профиля (справа в верхнем углу). В выпадающем меню выберите «Паспорт». Откроется окно, в котором вам нужно перейти по ссылке «Управление доступом». Установите «бегунок» в положение «ВКЛ». Вас перекинет на страницу, где необходимо кликнуть по кнопке «Начать настройку». Теперь пройдите 4 этапа активации двухфакторной защиты.

Социальная сеть «ВКонтакте»

Как было сказано выше, злоумышленники обычно пытаются получить доступ к аккаунтам «админов» популярных групп. Но это не всегда так, ведь заинтересовать может и просто личная переписка какого-нибудь известного на просторах интернета человека.

Стоит отметить, что у некоторых пользователей этот способ защиты аккаунта со временем начинает вызывать раздражение, так как требует постоянного ввода секретного кода, кроме логина и пароля. В таких случаях необходимо знать, как отключить двухфакторную аутентификацию. Однако сначала разберемся с активацией данной опции.

На самом деле, включается двухэтапная аутентификация очень просто. Выберите «Мои настройки», а затем перейдите на вкладку «Безопасность». В разделе «Подтверждение входа» кликните по кнопке «Подключить». Теперь последовательно выполняйте все требования.

Отключение двухфакторной аутентификации

Для того чтобы деактивировать двухэтапную защиту в "Яндексе", понадобится снова перейти в ваш «Паспорт», кликнув по аватарке. После этого откройте раздел «Управление доступом» и установите бегунок в положение «Выкл».

Заключение

Теперь вы знаете, что такое двухконтурная аутентификация и для чего она нужна. Пользуясь тем или иным сервисом, вы можете активировать эту дополнительную защиту или отказаться от такой возможности.

Конечно, в некоторых случаях настоятельно рекомендуется включать двухэтапную аутентификацию. Например, при регистрации на "Вэбмани" вы указали почту от "Яндекса". Работая в интернете, вы можете стать жертвой хакеров, которые взломают ваш почтовый ящик и получат доступ к электронному кошельку. Чтобы этого не произошло, лучше установить и привязать e-mail к телефону. Таким образом вы сможете оперативно среагировать, если вас попытаются взломать.

Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без упоминания двухфакторной аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые распространённые ныне реализации. А они, увы, неудобны. По некоторым данным, на многих крупных сайтах доля пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

Кажется, это потому, что распространенная схема двухфакторной аутентификации слишком сложна и неудобна. Мы постарались придумать способ, который был бы удобнее без потери уровня защиты, и сегодня представляем его бета-версию.

Надеемся, он получит более широкое распространение. Мы со своей стороны готовы работать над его улучшением и последующей стандартизацией.

После включения двухфакторной аутентификации в Паспорте вам надо будет установить приложение Яндекс.Ключ в App Store или Google Play . В форме авторизации на главной странице Яндекса, в Почте и Паспорте появились QR-коды. Для входа в учётную запись необходимо считать QR-код через приложение - и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Расскажу о том, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226 . Как работают распространенные схемы двухфакторной аутентификации? Они двухэтапные. Первый этап ─ обычная аутентификация логином и паролем. Если он прошел успешно, сайт проверяет, «нравится» ему эта пользовательская сессия или нет. И, если «не нравится», просит пользователя «доаутентифицироваться». Распространенных методов «доаутентификации» два: отсылка SMS на привязанный к аккаунту номер телефона и генерация второго пароля на смартфоне. В основном для генерации второго пароля используется TOTP по RFC 6238. Если пользователь ввел второй пароль верно, сессия считается полностью аутентифицированной, а если нет, то сессия теряет и «предварительную» аутентификацию.

Оба способа ─ отправка SMS и генерация пароля ─ доказательства обладания телефоном и потому являются фактором наличия. Пароль, вводимый на первом этапе, ─ фактор знания. Поэтому такая схема аутентификации ─ не только двухэтапная, но и двухфакторная.

Что показалось нам проблемным в этой схеме?

Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности: тут и выключение обновлений Windows, и пиратская копия антивируса без современных сигнатур, и ПО сомнительного происхождения ─ все это не повышает уровень защиты. По нашей оценке, компрометация компьютера пользователя ─ самый массовый способ «угона» учетных записей (и недавно тому было еще одно подтверждение), от нее в первую очередь и хочется защититься. В случае двухэтапной аутентификации, если считать, что компьютер пользователя скомпрометирован, ввод пароля на нем компрометирует сам пароль, являющийся первым фактором. Значит, злоумышленнику необходимо лишь подобрать второй фактор. В случае распространенных реализаций RFC 6238 второй фактор ─ это 6 десятичных цифр (а максимум, предусмотренный спецификацией, ─ 8 цифр). Согласно калькулятору bruteforce для OTP , за три дня атакующий в состоянии подобрать второй фактор, если ему каким-либо образом стал известен первый. Нет ясности, что сервис может противопоставить этой атаке, не нарушая нормальную работу пользователя. Единственный возможный proof of work ─ капча, что, на наш взгляд, является последним средством.

Вторая проблема ─ непрозрачность суждения сервиса о качестве пользовательской сессии и принятия решения о необходимости «доаутентификации». Хуже того, сервис не заинтересован в том, что бы сделать этот процесс прозрачным, ─ ведь тут фактически работает security by obscurity. Если злоумышленник знает, на основании чего сервис принимает решение о легитимности сессии, он может попытаться подделать эти данные. Из общих соображений можно заключить, что суждение делается на основе истории аутентификаций пользователя с учетом IP-адреса (и производных от него номера автономной системы, идентифицирующей провайдера, и местоположения на основе геобазы) и данных браузера, например заголовка User Agent и набора cookies, flash lso и html local storage. Это означает, что если злоумышленник контролирует компьютер пользователя, то он имеет возможность не только украсть все необходимые данные, но и воспользоваться IP-адресом жертвы. Более того, если решение принимается на основе ASN, то любая аутентификация из публичного Wi-Fi в кофейне может привести к «отравлению» с точки зрения безопасности (и обелению с точки зрения сервиса) провайдера этой кофейни и, например, обелению всех кофеен в городе. Мы рассказывали о работе системы обнаружения аномалий , и ее можно было бы применить, но времени между первым и вторым этапом аутентификации может оказаться недостаточно для уверенного суждения об аномалии. Кроме того, этот же аргумент разрушает идею «доверенных» компьютеров: злоумышленник может украсть любую информацию, влияющую на суждение о доверенности.

Наконец, двухэтапная аутентификация попросту неудобна: наши usability-исследования показывают, что ничто так не раздражает пользователей, как промежуточный экран, дополнительные нажатия на кнопки и прочие «неважные», с его точки зрения, действия.
Исходя из этого, мы решили, что аутентификация должна быть одноэтапной и пространство паролей должно быть намного больше, чем возможно сделать в рамках «чистого» RFC 6238.
При этом нам хотелось по возможности сохранить двухфакторность аутентификации.

Многофакторность в аутентификации определяется отнесением элементов аутентификации (собственно, они и называются факторами) к одной из трех категорий:

1. Факторы знания (это традиционные пароли, пин-коды и все, что на них похоже);
2. Факторы владения (в используемых OTP-схемах, как правило, это смартфон, но может быть и аппаратный токен);
3. Биометрические факторы (отпечаток пальца ─ самый распространенный сейчас, хотя кто-то вспомнит эпизод с героем Уэсли Снайпса в фильме Demolition Man).

Разработка нашей системы

Когда мы начали заниматься проблемой двухфакторной аутентификации (первые страницы корпоративной вики по этому вопросу относятся к 2012 году, но кулуарно он обсуждался и раньше), первой идеей было взять стандартные способы аутентификации и применить их у нас. Мы понимали, что нельзя рассчитывать на то, что миллионы наших пользователей купят аппаратный токен, поэтому этот вариант отложили на какие-то экзотичные случаи (хотя полностью мы от него не отказываемся, возможно, нам удастся придумать что-то интересное). Способ с SMS тоже не мог быть массовым: это очень ненадежный способ доставки (в самый ответственный момент SMS может задержаться или не дойти вовсе), а рассылка SMS стоит денег (и операторы начали увеличивать их цену). Мы решили, что использование SMS ─ удел банков и прочих нетехнологичных компаний, а нашим пользователям хочется предложить что-то более удобное. В общем, выбор был невелик: использовать смартфон и программу в нем в качестве второго фактора.

Широко распространена такая форма одноэтапной аутентификации: пользователь помнит пин-код (первый фактор), имеет на руках аппаратный или программный (в смартфоне) токен, генерирующий OTP (второй фактор). В поле ввода пароля он вводит пин-код и текущее значение OTP.

На наш взгляд, главный недостаток этой схемы такой же, как и у двухэтапной аутентификации: если считать, что десктоп пользователя скомпрометирован, то однократный ввод пин-кода приводит к его раскрытию и злоумышленнику остается только подобрать второй фактор.

Мы решили пойти другим путем: пароль целиком генерируется из секрета, но в смартфоне сохраняется только часть секрета, а часть вводится пользователем при каждой генерации пароля. Таким образом смартфон сам по себе является фактором владения, а пароль остается в голове пользователя и является фактором знания.

В качестве Nonce может выступать либо счетчик, либо текущее время. Мы решили выбрать текущее время, это позволяет не бояться рассинхронизации в случае, если кто-то сгенерирует слишком много паролей и увеличит счетчик.

Итак, у нас есть программа для смартфона, куда пользователь вводит свою часть секрета, та смешивается с хранимой частью, результат используется в качестве ключа HMAC , которым подписывается текущее время, округленное до 30 секунд. Выход HMAC приводится к читаемому виду, и вуаля ─ вот и одноразовый пароль!

Как уже было сказано, RFC 4226 предполагает усечение результата работы HMAC до максимум 8 десятичных цифр. Мы решили, что пароль такого размера непригоден для одноэтапной аутентификации и должен быть увеличен. При этом нам хотелось сохранить простоту использования (ведь, напомним, хочется сделать такую систему, которой будут пользоваться обычные люди, а не только security-гики), так что в качестве компромисса в текущей версии системы мы выбрали усечение до 8 символов латинского алфавита. Кажется, что 26^8 паролей, действующих в течение 30 секунд, вполне приемлемо, но если security margin нас не будет устраивать (или на Хабре появятся ценные советы, как улучшить эту схему), расширим, например, до 10 символов.

Подробнее о стойкости таких паролей

В самом деле, для латинских букв без учета регистра число вариантов на один знак равно 26, для больших и малых латинских букв плюс цифры, число вариантов равно 26+26+10=62. Тогда log 62 (26 10) ≈ 7,9 то есть пароль из 10 случайных малых латинских букв почти такой же стойкий, как пароль из 8 случайных больших и малых латинских букв или цифр. Этого точно хватит на 30 секунд. Если говорить о 8-символьном пароле из латинских букв, то его стойкость log 62 (26 8) ≈ 6,3 , то есть немного больше 6-символьного пароля из больших, малых букв и цифр. Мы считаем, что это все еще приемлемо для окна в 30 секунд.

Магия, беспарольность, приложения и дальнейшие шаги

В общем-то, на этом можно было и остановиться, но нам захотелось сделать систему еще более удобной. Когда у человека есть смартфон в руке, так не хочется вводить пароль с клавиатуры!

Поэтому мы начали работы над «магическим логином». С таким способом аутентификации пользователь запускает приложение на смартфоне, вводит в него свой пин-код и сканирует QR-код на экране своего компьютера. Если пин-код введен правильно, страница в браузере перезагружается и пользователь оказывается аутентифицирован. Магия!

Как это устроено?

В QR-коде зашит номер сессии, и, когда приложение сканирует его, этот номер передается на сервер вместе с выработанным обычным способом паролем и именем пользователя. Это несложно, ведь смартфон почти всегда находится онлайн. В верстке странички, показывающей QR-код, работает JavaScript, ожидающий со стороны сервера ответа на проверку пароля с данной сессией. Если сервер отвечает, что пароль верен, вместе с ответом устанавливаются сессионные куки, и пользователь считается аутентифицированным.

Стало лучше, но и тут мы решили не останавливаться. Начиная с iPhone 5S в телефонах и планшетах Apple появился сканер отпечатков пальцев TouchID, а в iOS версии 8 работа с ним доступна и сторонним приложениям. На деле приложение не получает доступ к отпечатку пальца, но если отпечаток верен, то приложению становится доступен дополнительный раздел Keychain. Этим мы и воспользовались. В защищенную TouchID запись Keychain помещается вторая часть секрета, та, которую в предыдущем сценарии пользователь вводил с клавиатуры. При разблокировке Keychain две части секрета смешиваются, и дальше процесс работает так, как описано выше.

Зато пользователю стало невероятно удобно: он открывает приложение, прикладывает палец, сканирует QR-код на экране и оказывается аутентифицированным в браузере на компьютере! Так мы заменили фактор знания на биометрический и, с точки зрения пользователя, совсем отказались от паролей. Мы уверены, что обычным людям такая схема покажется куда более удобной, чем ручной ввод двух паролей.

Можно подискутировать, насколько формально двухфакторной является такая аутентификация, но на деле для успешного ее прохождения все еще необходимо иметь телефон и обладать правильным отпечатком пальца, так что мы считаем, что нам вполне удалось отказаться от фактора знания, заменив его биометрией. Мы понимаем, что полагаемся на безопасность ARM TrustZone , лежащей в основе iOS Secure Enclave , и считаем, что на настоящий момент эту подсистему можно считать доверенной в рамках нашей модели угроз. Разумеется, нам известны проблемы биометрической аутентификации: отпечаток пальца ─ не пароль и заменить его в случае компрометации нельзя. Но, с другой стороны, всем известно, что безопасность обратно пропорциональна удобству, и пользователь сам вправе выбрать приемлемое для него соотношение одного и другого.

Напомню, что пока это бета. Сейчас при включении двухфакторной аутентификации мы временно выключаем синхронизацию паролей в Яндекс.Браузере. Связано это с тем, как устроено шифрование базы паролей. Мы уже придумываем удобный способ аутентификации Браузера в случае 2FA. Вся остальная функциональность Яндекса работает в прежнем режиме.

Вот что у нас получилось. Кажется, вышло неплохо, но судить вам. Мы будем рады услышать отзывы и рекомендации, а сами продолжим работу над улучшением безопасности наших сервисов: теперь вместе с CSP , шифрованием транспорта почты и всего остального у нас появилась и двухфакторная аутентификация . Не забывайте, что сервисы аутентификации и приложения генерации OTP относятся к критичным и поэтому за обнаруженные в них ошибки в рамках программы Bug Bounty выплачивается двойная премия.

Теги: Добавить метки

Неслучайно в интернете множество советов, как защитить свой аккаунт от взлома, и, пожалуй, самый популярный из них - использовать сложные пароли и регулярно их менять. Это, конечно, неплохо, но постоянно запоминать новые сложные пароли бывает довольно утомительно. Специально для тех, кто беспокоится о безопасности своего аккаунта, Яндекс запустил бета-версию двухфакторной аутентификации. С ней ключ от вашего аккаунта будет только в ваших руках. Точнее, в вашем смартфоне. При авторизации на Яндексе - или на любом другом сайте - вы вводите свои логин и пароль. Система проверяет, соответствует ли пароль логину и впускает вас, если всё в порядке. Но пароль - это только один фактор проверки. Существуют системы, которым одного фактора недостаточно. Помимо пароля они требуют, например, специальный код, присылаемый в смс, или USB-ключ, который надо вставить в компьютер. Эти системы используют двухфакторную или многофакторную аутентификацию. Для своей схемы двухфакторной аутентификации мы создали Яндекс.Ключ - мобильное приложение для iOS и Android. Достаточно считать приложением QR-код на главной странице Яндекса, в Паспорте или в поле авторизации Почты - и вы окажетесь в своём аккаунте. Чтобы воспользоваться Ключом, вам нужно включить двухфакторную аутентификацию, установить приложение и привязать его к вашей учётной записи. Потом вы задаёте в приложении четырёхзначный пин-код. Этот код станет одним из факторов, частью «секрета», на основе которого алгоритм будет создавать одноразовые пароли. Второй фактор хранится в смартфоне. Когда вы будете в дальнейшем считывать в форме авторизации QR-код, приложение отправит на сервера Яндекса ваш логин и одноразовый пароль. Сервер проверит их и даст странице команду пустить или не пустить вас внутрь. Когда считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, вы можете ввести одноразовый пароль вручную. Ввод пароля в этом случае заменяет считывание QR-кода - разница только в том, что пароль не отправляется на сервера автоматически, вместо этого вы вводите его в форме авторизации вместе с логином. Одноразовый пароль действует всего 30 секунд. Это сделано для того, чтобы его нельзя было украсть с вашего компьютера (например, с помощью программы, запоминающей введённые в браузер пароли). Никто кроме вас не сможет воспользоваться Ключом для входа в ваш аккаунт, ведь при генерации паролей Ключ использует пин-код, который придумали вы. Без правильного пин-кода приложение будет создавать неверные пароли, которые не подойдут к вашей учётной записи. Если у вас смартфон или планшет от Apple с Touch ID, то вместо пин-кода можно использовать отпечаток пальца. Механизм двухфакторной аутентификации - это ещё один инструмент, который поможет сделать работу пользователей Яндекса в интернете более безопасной. Если вам нужна дополнительная защита вашего аккаунта - самое время закрыть его на Яндекс.Ключ.

Зворотний зв">","icon":"//yastatic.net/iconostasis/_/qOYT2LWpAjy_Ig4gGx3Kn6YO9ZE.svg","type":"service","id":96,"slug":"passport","nameKey":"96_name"},"alerts":,"documentPath":"passport/authorization/twofa-login.html","doccenter":{"html_heads":{"sources":{"meta":{"copyright":"(C) Copyright 2019","DC.rights.owner":"(C) Copyright 2019","DC.Type":"concept","DC.Relation":"../authorization/twofa.html","prodname":"Паспорт","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language":"ru","generator":"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"","doc_id":"passport-guide","doc_name":"Помощь","component_id":"","component_name":"","product_id":"passport","product_name":"Паспорт","description":"","product":"passport","product_realname":"Паспорт","doc_group":"passport-guide","doc_group_name":"passport-guide","section_name":"Вход с двухфакторной аутентификацией","langs":"uk ru"},"title":"Вход с двухфакторной аутентификацией","js":["//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js"],"inlineJs":,"css":["//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css"],"common":{"js":["//yastatic.net/jquery/1.12.4/jquery.min.js"]},"legacy":{"js":["//yastatic.net/es5-shims/0.0.1/es5-shims.min.js"],"css":["//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8.css"]}},"meta":" \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n ","bundle":{"styles":"\n ","js":"\n "},"lang":"ru","title":"Вход с двухфакторной аутентификацией"},"menu":"","document":"

Вход с двухфакторной аутентификацией

1. Вход с помощью QR-кода
2. Перенос Яндекс.Ключа
3. Мастер-пароль

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Вход с помощью QR-кода

Паспорте

Вход с аккаунтом Яндекса в стороннее приложение или сайт

пароль приложения .

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Управление доступом и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

настройке одноразовых паролей .

восстанавливать доступ .

Отпечаток пальца вместо пин-кода

iPhone, начиная с модели 5s;

iPad, начиная с модели Air 2.

Примечание.

мастер-пароль

Мастер-пароль

С помощью мастер-пароля вы можете:

сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;

Резервная копия данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить их, если вы потеряли телефон или планшет с приложением. На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.

Чтобы получить данные из резервной копии, нужно:

иметь доступ к номеру телефона, который вы указали при ее создании;

помнить пароль, который вы задали для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для генерации одноразовых паролей. Пин-код, который вы задали, когда включали одноразовые пароли на Яндексе, необходимо помнить.

Удалить резервную копию с сервера Яндекса пока невозможно. Она будет удалена автоматически, если вы ей не воспользуетесь в течение года после создания.

Создание резервной копии

Выберите пункт Создать резервную копию в настройках приложения.

Введите номер телефона, к которому будет привязана резервная копия (например, «380123456789» ), и нажмите кнопку Далее .

Яндекс отправит код подтверждения на введенный номер телефона. Как только вы получите код, введите его в приложении.

Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.

Введите придуманный пароль два раза и нажмите кнопку Готово . Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и сообщит об этом.

Восстановление из резервной копии

Выберите пункт Восстановить из резервной копии в настройках приложения.

Введите номер телефона, который вы использовали при создании резервной копии (например, «380123456789» ), и нажмите кнопку Далее .

Если для указанного номера найдена резервная копия данных Ключа, Яндекс отправит код подтверждения на этот номер телефона. Как только вы получите код, введите его в приложении.

Убедитесь, что дата и время создания резервной копии, а также имя устройства, соответствует той резервной копии, которую вы хотите использовать. Затем нажмите кнопку Восстановить .

Введите пароль, который вы задали при создании резервной копии. Если вы не помните его, к сожалению, расшифровать резервную копию будет невозможно.

Яндекс.Ключ расшифрует данные резервной копии и сообщит о том, что данные восстановлены.

Как одноразовые пароли зависят от точного времени

При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и часовой пояс, установленные на устройстве. Когда доступно интернет-соединение, Ключ также запрашивает точное время с сервера: если на устройстве время выставлено неверно, приложение сделает поправку на это. Но в некоторых ситуациях даже после поправки и при корректном пин-коде одноразовый пароль будет неправильным.

Если вы уверены, что вводите пин-код и пароль верно, но авторизоваться не получается:

Убедитесь, что на вашем устройстве установлено корректное время и часовой пояс. После этого попробуйте войти с новым одноразовым паролем.

Подключите устройство к интернету, чтобы Яндекс.Ключ мог получить точное время самостоятельно. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.

Если проблема не разрешилась, обратитесь в службу поддержки через форму ниже.

Оставить отзыв о двухфакторной аутентификации

\n ","minitoc":[{"text":"Вход на сервис или в приложение Яндекса","href":"#login"},{"text":"Вход с помощью QR-кода","href":"#qr"},{"text":"Вход с аккаунтом Яндекса в стороннее приложение или сайт","href":"#third-party"},{"text":"Перенос Яндекс.Ключа","href":"#concept_mh4_sxt_s1b"},{"text":"Несколько аккаунтов в Яндекс.Ключе","href":"#more-accounts"},{"text":"Отпечаток пальца вместо пин-кода","href":"#touch-id"},{"text":"Мастер-пароль","href":"#master-pass"},{"text":"Резервная копия данных Яндекс.Ключа","href":"#backup"},{"text":"Как одноразовые пароли зависят от точного времени","href":"#time"}],"mobile_menu":"","prev_next":{"prevItem":{"disabled":false,"title":"Вход через письмо","link":"/support/passport/mail-login.html"},"nextItem":{"disabled":false,"title":"Привязка телефонных номеров","link":"/support/passport/authorization/phone.html"}},"breadcrumbs":[{"url":"/support/passport/auth.html","title":"Вход на Яндекс"},{"url":"/support/passport/authorization/twofa-login.html","title":"Вход с двухфакторной аутентификацией"}],"useful_links":"","meta":{"copyright":"(C) Copyright 2019","DC.rights.owner":"(C) Copyright 2019","DC.Type":"concept","DC.Relation":"../authorization/twofa.html","prodname":"Паспорт","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language":"ru","generator":"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"Вход с двухфакторной аутентификацией","doc_id":"passport-guide","doc_name":"Помощь","component_id":"","component_name":"","product_id":"passport","product_name":"Паспорт","description":"Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.","product":"passport","product_realname":"Паспорт","doc_group":"passport-guide","doc_group_name":"passport-guide","section_name":"Вход с двухфакторной аутентификацией","langs":"uk ru"},"voter":"

Была ли статья полезна?

Нет Да

Уточните, почему:

мне не нравится, как это работает

содержание статьи не соответствует заголовку

текст трудно понять

нет ответа на мой вопрос

другая причина

Спасибо за ваш отзыв!

Расскажите, что вам не понравилось в статье:

Отправить

","lang":{"current":"ru","available":["ru","uk"]}},"extra_meta":[{"tag":"meta","attrs":{"name":"copyright","content":"(C) Copyright 2019"}},{"tag":"meta","attrs":{"name":"DC.rights.owner","content":"(C) Copyright 2019"}},{"tag":"meta","attrs":{"name":"DC.Type","content":"concept"}},{"tag":"meta","attrs":{"name":"DC.Relation","content":"../authorization/twofa.html"}},{"tag":"meta","attrs":{"name":"prodname","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"DC.Format","content":"XHTML"}},{"tag":"meta","attrs":{"name":"DC.Identifier","content":"twofa-login"}},{"tag":"meta","attrs":{"name":"DC.Language","content":"ru"}},{"tag":"meta","attrs":{"name":"generator","content":"Yandex Yoda DITA"}},{"tag":"meta","attrs":{"name":"topic_id","content":"twofa-login"}},{"tag":"meta","attrs":{"name":"topic_name","content":"Вход с двухфакторной аутентификацией"}},{"tag":"meta","attrs":{"name":"doc_id","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"doc_name","content":"Помощь"}},{"tag":"meta","attrs":{"name":"component_id","content":""}},{"tag":"meta","attrs":{"name":"component_name","content":""}},{"tag":"meta","attrs":{"name":"product_id","content":"passport"}},{"tag":"meta","attrs":{"name":"product_name","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"description","content":"Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях."}},{"tag":"meta","attrs":{"name":"product","content":"passport"}},{"tag":"meta","attrs":{"name":"product_realname","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"doc_group","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"doc_group_name","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"section_name","content":"Вход с двухфакторной аутентификацией"}},{"tag":"meta","attrs":{"name":"langs","content":"uk ru"}}],"title":"Вход с двухфакторной аутентификацией - Паспорт. Помощь","productName":"Паспорт","extra_js":[[{"elem":"js","url":"//yastatic.net/jquery/1.12.4/jquery.min.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/jquery/1.12.4/jquery.min.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="},"__func67":true}],[{"elem":"js","url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="},"__func67":true}],[{"elem":"js","url":"//yastatic.net/es5-shims/0.0.1/es5-shims.min.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/es5-shims/0.0.1/es5-shims.min.js","nonce":"zRix3ekbWgiGTy+yQe2ohA=="},"__func67":true}]],"extra_css":[,[{"elem":"css","ie":null,"url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":{"rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css"}}],[{"elem":"css","ie":"lte IE 8","url":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8.css","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":{"rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8.css"}}]],"csp":{"script-src":},"lang":"ru"}}}">

Русский

Русский

Українська

Вход с двухфакторной аутентификацией

Для авторизации в сторонних приложениях и программах (почтовых клиентах, мессенджерах, сборщиках почты и т. п.), следует использовать пароли приложений .

Внимание. Приложения, разработанные в Яндексе, требуют именно одноразового пароля - даже правильно созданные пароли приложений не подойдут.

1. Вход на сервис или в приложение Яндекса
2. Вход с помощью QR-кода
3. Вход с аккаунтом Яндекса в стороннее приложение или сайт
4. Перенос Яндекс.Ключа
5. Несколько аккаунтов в Яндекс.Ключе
6. Отпечаток пальца вместо пин-кода
7. Мастер-пароль
8. Резервная копия данных Яндекс.Ключа
9. Как одноразовые пароли зависят от точного времени

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Одноразовый пароль нужно успеть ввести, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.

Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также оказываются некорректными и авторизоваться с ними не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.

Особенности одноразовых паролей:

Вход с помощью QR-кода

Некоторые сервисы (например, главная страница Яндекса, Паспорт и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

Нажмите на иконку QR-кода в браузере.

Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте , а затем перейти к нужному сервису.

Введите пин-код в Яндекс.Ключе и нажмите Войти по QR-коду .

Наведите камеру вашего устройства на QR-код, отображенный в браузере.

Яндекс.Ключ распознает QR-код и передаст в Яндекс.Паспорт ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически авторизуетесь в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.

Вход с аккаунтом Яндекса в стороннее приложение или сайт

Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают - для каждого такого приложения необходимо создать отдельный пароль приложения .

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, авторизоваться с ним не получится.

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок . Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса .

Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа на Яндекс. В этом случае будет необходимо восстанавливать доступ .

Отпечаток пальца вместо пин-кода

Отпечаток пальца вместо пин-кода можно использовать на следующих устройствах:

смартфоны под управлением Android 6.0 и сканером отпечатков пальца;

iPhone, начиная с модели 5s;

iPad, начиная с модели Air 2.

Примечание.

На смартфонах и планшетах с iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите мастер-пароль или измените пароль на более сложный: откройте приложение Настройки и выберите пункт Touch ID и пароль .

Чтобы воспользоваться включить проверку отпечатка:

Мастер-пароль

Чтобы дополнительно защитить ваши одноразовые пароли, создайте мастер-пароль: → Мастер-пароль .