Dvoufaktorové ověřování Yandex – další ochrana účtu. Dvoufaktorové ověřování v Yandexu

Dvoufaktorové ověřování Yandex – další ochrana účtu. Dvoufaktorové ověřování v Yandexu

Dodatečná funkce ověření uživatele kompletně kontroluje všechny pokusy o přihlášení k vašemu účtu a používání aplikací: zjistěte, jak správně používat a jak vypnout dvoufaktorové ověřování ve vašem Apple ID na vašem Apple zařízení.

Jednou z hlavních výhod Apple je přístup k zásadám bezpečnosti a ochrany osobních údajů informace o uživateli.

Dvoustupňová autentizace je jednou z moderních technik, jak dosáhnout maximální úrovně zabezpečení při přihlašování k vašemu účtu.

Společnost tuto technologii používá k ověření vlastníka gadgetu při pokusu o přihlášení k účtu. Víceúrovňové ověřování je 100% zárukou, že do systému bude mít přístup pouze jeho vlastník.

Princip fungování. Rozdíl ve fungování autentizace a ověřování

Aktivovaná víceúrovňová autentizační funkce dokonale chrání váš účet před hackováním a neoprávněným vstupem jiných uživatelů.

Přihlásit se bude moci pouze vlastník ID, protože systém bude vyžadovat zadání dvou typů údajů:

  • Heslo Apple ID;
  • Digitální kód, který bude zaslán všem důvěryhodným zařízením – jedná se o doklad o zákonné autorizaci.

Příklad: Rozhodnete se přihlásit z libovolného prohlížeče nebo klientského programu. Pro tuto akci musíte zadat své uživatelské jméno a heslo. Po autorizaci se nebudete moci přihlásit ke svému účtu - musíte dodatečně zadat kód, který potvrdí autorizovaný vstup.

Požadovaný kód se zobrazí na všech miniaplikacích propojených s Apple ID. Zadejte čísla do ověřovacího okna iCloud pro přístup k vašemu profilu.

Vizuální schéma toho, jak funkce funguje, je znázorněno na obrázku:

Po prvním správném zadání kódu již při příštím spuštění softwaru nebude vyžadováno zadávání čísel. Opětovné ověření vyžadováno pouze v několika případech:

  • Při resetování;
  • Když znovu vstoupíte.

Neustálé zavádění digitálních kódů je také povinné pro funkce, které mají zvýšený stupeň zabezpečení - změna nastavení smartphonu, mazání parametrů systému a další.

Verifikace a autentizace. jaký je v tom rozdíl?

Je důležité rozlišovat mezi pojmy dvoufázové ověření A dvoufaktorové ověřování , protože mají podobný účinek, ale jiný význam.

Zkouška byla implementována a zavedena do gadgetů Apple již v roce 2015. Hlavním účelem volby je dodatečné ovládání. Kontrola je k dispozici počínaje firmwarem iOS 9.

Autentizace - Toto je pokročilá verze šeku. Apple funkci vylepšil a zavedl do ní nové systémy řízení bezpečnosti. Zejména práce s polohou. Principem práce s kartami je označení „bezpečnostních“ bodů.

Každý člověk pravidelně navštěvuje stejná místa, takže na mapě si určitě vyberete několik bodů, ze kterých se můžete snadno přihlásit.

Pokud je přihlášení provedeno mimo tyto body, je na důvěryhodná zařízení okamžitě odeslán ověřovací kód a upozornění na možné akce útočníka.

Jak vidíte, autentizace je skutečně automatizovanější a spolehlivější metodou kontroly identity.

Účelem ověření je odeslat kód důvěryhodnému gadgetu a autentizace také analyzuje polohu zařízení a varuje majitele před možným nebezpečím.

Požadavky na funkce

Víceúrovňové ověřování je navrženo pro následující gadgety:

Zakázat ověřování

Zakázání ověřování vám zabrání v zadávání dalších přístupových kódů. Nebudete muset potvrzovat ani svou polohu. Postupujte podle pokynů:

  • Pomocí desktopového prohlížeče přejděte na stránku cloudového úložiště iCloud.com;
  • Přihlaste se do systému– zadejte své přihlašovací jméno a heslo;
  • Další zadejte přístupový kód do textového pole, které se zobrazí, který je zobrazen na jiných gadgetech;

  • Stiskněte klávesu "Povolit" v okně, které se objeví na mobilním zařízení;
  • Dále vás prohlížeč automaticky přesměruje na uživatelskou stránku. Pokud nejste na seznamu důvěryhodných, klikněte na svém mobilním gadgetu na "Důvěřuji tomuto prohlížeči" a klikněte na "Pokračovat";

  • Po úspěšném přihlášení klikněte na dlaždici "Nastavení". Nachází se na hlavní stránce desktopové verze iCloudu. Další možností vstupu do nastavení je výběr uživatelského jména v pravém horním rohu. Dále v rozevíracím seznamu klikněte na "Nastavení iCloud";

  • V okně, které se objeví, stiskněte tlačítko "Řízení". Nachází se vedle jména vlastníka účtu;

  • Dále budete přesměrováni na web společnosti Apple. V novém okně se musíte přihlásit zadáním svého uživatelského jména a hesla z;

  • Přejděte do okna správy účtu a klikněte na kartu "Bezpečnost"-"Přeměna";

  • Najděte pole "Zakázat ověřování" a vyberte jej. Dále potvrďte akci zadáním hesla, které bude odesláno na důvěryhodné zařízení.

Dvoustupňový autentizační systém je navržen tak, aby chránit uživatele co nejvíce před všemi možnými pokusy o hackování. Proto, aby bylo možné tuto možnost zcela deaktivovat, vývojáři stanovili nutnost odpovědět na blok otázek, které jste zadali.

Teprve po zadání správných odpovědí do textových polí budete moci možnost deaktivovat.

Potvrďte odpojení:

Důvěryhodná zařízení

Ověřené zařízení– toto je kterékoli z vašich zařízení Apple. Jediným požadavkem je, že všechny gadgety musí být propojeny s jedním ID. Právě na základě této vazby je vytvořena skupina důvěryhodných zařízení.

Nebudete moci potvrdit ověření ze zařízení, které není součástí vaší skupiny gadgetů Apple.

S dvoustupňovou autentizací může pracovat pouze jeden majitel tabletu nebo počítače.

Seznam důvěryhodných zařízení - toto je seznam všech modelů gadgetů, kterým bude zaslán digitální kód pro potvrzení vstupu do Apple ID nebo programu.

Tento seznam si můžete prohlédnout v samotné aplikaci v záložce Zařízení.

Důvěryhodná čísla

Důvěryhodná čísla– toto je seznam čísel mobilních operátorů, kterým bude zaslán digitální přístupový kód pro ověření. Zprávy mohou přijít nejen v textové podobě, ale také ve formě hovoru od jablečného robota.

Když poprvé nastavujete víceúrovňové ověřování, musíte zadat alespoň jedno skutečné telefonní číslo.

Chcete-li přidat číslo, musíte jej zadat do pole a potvrdit. Jako potvrzení zadejte kód odeslaný na číslo do zobrazeného okna.

SIM karta s přidruženým číslem musí být nainstalována v důvěryhodném zařízení. V opačném případě nebudou ověřovací kódy přijaty.

Jaká data si musíte zapamatovat?

Je důležité si uvědomit, že dvoufázové ověření je celá sada akcí, které jsou zaměřeny na ochranu vašich dat.

Pro plný provoz funkce Budete si muset zapamatovat nebo zapsat následující informace:

  • Přihlašovací jméno a heslo k účtu;
  • Vlastní kódy pro programy– digitální přístupové identifikátory, které jste nezávisle nastavili ve svém účtu;
  • Primární klíč je sada písmen a číslic, která se automaticky generuje po povolení této možnosti. Budete jej potřebovat, pokud ztratíte přístup ke všem důvěryhodným číslům a zařízením.

Nezapomeňte pořídit snímek obrazovky hlavního klíče a přesunout jej do složky v počítači nebo jiném zařízení. Kód lze také zapsat na flash disk nebo kus papíru.

Uložte tato data tímto způsobem aby nikdo nemohl najít a použít univerzální klíč.

Doporučujeme také, abyste důvěryhodná čísla aktualizovali včas. Pokud změníte SIM kartu, nezapomeňte zadat nové číslo do svého Apple ID. V opačném případě může dojít ke ztrátě přístupu k identifikátoru.

Sledujte fyzické zabezpečení svých zařízení.

Nenechávejte svůj smartphone bez dozoru v blízkosti cizích lidí a použijte snímač otisků prstů k omezení odemykání gadgetu.

Je důležité chránit se nejen před hackováním virtuálních ID, ale také před neoprávněným přístupem jiných osob k vašemu telefonu/tabletu.

Povolení funkce

Aktivace funkce zabere jen několik minut.

V důsledku toho získáte další bezpečnostní faktor, který ochrání data v paměti zařízení, nainstalované programy a v cloudovém úložišti.

Na iPhonu a iPadu

Chcete-li na svém iPhone povolit ověřování, postupujte podle pokynů:

1 Otevřete okno nastavení telefonu;

2 Přejděte do pole iCloud;

3 Klikněte na položku "Heslo»;

4 Vyberte „Nastavit dvoufaktorové ověřování“;

5 Zadejte kód, který bude odeslán na vaše důvěryhodná zařízení, a dokončete nastavení. Zapište univerzální klíč na fyzické médium.

V systému Mac OS

V systému Mac OS je dvoufázové ověření uživatele dostupné pouze v El Capitan a novější firmware operačního systému:

1 Přejděte do okna nastavení systému;

2 Klikněte na pole iCloud a spusťte režim úpravy údajů o účtu;

3 V novém okně Klikněte na "Bezpečnost". Dále bude systém vyžadovat zadání hesla k identifikátoru;

4 Klepněte na klávesu "Nastavit ověřování", který se nachází ve spodní části okna. Potvrďte digitální kód, který se zobrazí na všech zařízeních propojených s vaším Apple ID.

Alternativní příjem oznámení

Získejte přístupové kódy m Dostupné nejen na důvěryhodných zařízeních, ale také do služby Najít iPhone.

Tuto možnost můžete nastavit v nastavení Apple ID (přístupové kódy Security-Send).

V důsledku toho bude ověřovací kód odeslán nejen na důvěryhodná zařízení, ale také na .

V jednom okně tak budete moci sledovat pokusy o přihlášení z podezřelých míst a zobrazit přístupový kód.

Tato možnost funguje pouze s ověřováním. Pro účely ověření není možné pracovat s kartami.

Výhody víceúrovňové autentizace

Jakékoli Apple ID ukládá nejen informace o propojených zařízeních, ale také údaje o kreditních kartách a osobní údaje uživatelů.

Mnoho lidí ukládá skeny dokumentů a další důležité informace do cloudu, jehož krádež může mít nevratné následky.

Pokud chcete mít vždy jistotu, že jsou vaše informace v bezpečí, použijte dvoufaktorové ověřování. Výhody funkce:

  • Jednotná organizace zabezpečení pro všechny gadgety Apple;
  • Pokročilé nastavení ovládání funkcí;
  • Zaručená ochrana proti všem úrovním a typům hackingu.

Nevýhody ve funkci

Přes všechny zjevné výhody týkající se zabezpečení gadgetů víceúrovňová autentizace komplikuje život uživatelů - zapamatování si klíčů, Možnost ztráty čísla nebo důvěryhodného zařízení vytváří řadu problémů:

  • Spolu s víceúrovňovou autentizací Není možné používat software třetích stran. Například iMobie AnyTrans nebo populární utilita PhoneRescue;
  • Potíže s přihlášením do iCloud– kvůli chybě v možnosti se uživatelé často setkávají s chybami systému i po zadání správného přístupového klíče ke cloudovému úložišti;
  • Práce s mobilní sítí. Pokud se nacházíte v oblasti se slabým pokrytím, ověřování nemusí fungovat;
  • Propojení s kódy. Ověření lze provést pouze v případě, že máte po ruce druhý gadget, který je propojen se stejným Apple ID jako první zařízení.

Pokud zrovna nemáte ve své blízkosti druhý gadget, můžete použít trvalý klíč, který je uložen v nastavení vašeho účtu, ale v praxi si jej uživatelé jen velmi zřídka zapisují nebo si pamatují.

Byl to vzácný příspěvek na blogu Yandex, zejména ten, který se týkal bezpečnosti, bez zmínky o dvoufaktorové autentizaci. Dlouho jsme přemýšleli, jak správně posílit ochranu uživatelských účtů, a to tak, aby to šlo používat bez všech nepříjemností, které dnes nejběžnější implementace zahrnují. A oni jsou bohužel nepohodlní. Podle některých údajů na mnoha velkých webech procento uživatelů, kteří povolili další autentizační prostředky, nepřesahuje 0,1 %.

Zdá se, že je to proto, že běžné schéma dvoufaktorové autentizace je příliš složité a nepohodlné. Snažili jsme se vymyslet způsob, který by byl pohodlnější bez ztráty úrovně ochrany, a dnes představujeme jeho beta verzi.

Doufáme, že se to rozšíří. Z naší strany jsme připraveni pracovat na jeho vylepšení a následné standardizaci.

Po povolení dvoufaktorové autentizace v Passportu budete muset nainstalovat aplikaci Yandex.Key v App Store nebo Google Play. QR kódy se objevily v autorizačním formuláři na hlavní stránce Yandex, v poště a v Passportu. Chcete-li se přihlásit ke svému účtu, musíte si v aplikaci přečíst QR kód – a je to. Pokud QR kód nelze přečíst, například nefunguje fotoaparát chytrého telefonu nebo není přístup k internetu, aplikace vytvoří jednorázové heslo, které bude platné pouze 30 sekund.

Řeknu vám, proč jsme se rozhodli nepoužívat takové „standardní“ mechanismy jako RFC 6238 nebo RFC 4226. Jak fungují běžná dvoufaktorová autentizační schémata? Jsou dvoustupňové. První fází je běžné ověření pomocí přihlašovacího jména a hesla. Pokud je úspěšná, web zkontroluje, zda se mu tato uživatelská relace „líbí“ nebo ne. A pokud se vám to nelíbí, požádá uživatele o „znovu ověření“. Existují dva běžné způsoby „předběžné autentizace“: odeslání SMS na telefonní číslo spojené s účtem a vygenerování druhého hesla na smartphonu. V zásadě se ke generování druhého hesla používá TOTP podle RFC 6238. Pokud uživatel zadal druhé heslo správně, je relace považována za plně autentizovanou, a pokud ne, relace také ztratí „předautentizaci“.

Oba způsoby ─ odeslání SMS a vygenerování hesla ─ jsou dokladem vlastnictví telefonu, a proto jsou faktorem dostupnosti. Heslo zadané v první fázi je faktorem znalostí. Proto je toto autentizační schéma nejen dvoufázové, ale také dvoufaktorové.

Co se nám v tomto schématu zdálo problematické?

Začněme tím, že počítač průměrného uživatele nelze vždy nazvat vzorem zabezpečení: vypnutí aktualizací systému Windows, pirátská kopie antiviru bez moderních podpisů a software pochybného původu - to vše nezvyšuje úroveň ochrany. Podle našeho hodnocení je kompromitace počítače uživatele nejrozšířenější metodou „ukradení“ účtů (a nedávno se to potvrdilo) a před tím se chceme chránit především. V případě dvoufaktorové autentizace, pokud předpokládáte, že počítač uživatele je kompromitován, zadání hesla na něm ohrozí heslo samotné, což je první faktor. To znamená, že útočníkovi stačí vybrat druhý faktor. V případě běžných implementací RFC 6238 je druhým faktorem 6 dekadických číslic (a maximum povolené specifikací je 8 číslic). Podle bruteforce kalkulačky pro OTP je útočník za tři dny schopen najít druhý faktor, pokud se nějakým způsobem dozvěděl o prvním. Není jasné, čím může služba tomuto útoku čelit, aniž by narušila běžnou zkušenost uživatele. Jediným možným dokladem o práci je captcha, což je podle nás až poslední možnost.

Druhým problémem je neprůhlednost úsudku služby o kvalitě uživatelské relace a rozhodování o potřebě „předběžné autentizace“. Ještě horší je, že služba nemá zájem na tom, aby byl tento proces transparentní, protože zabezpečení pomocí obskurnosti zde skutečně funguje. Pokud útočník ví, na základě čeho služba rozhoduje o legitimitě relace, může se pokusit tato data zfalšovat. Obecně lze konstatovat, že úsudek se provádí na základě historie autentizace uživatele, přičemž se bere v úvahu IP adresa (a její odvozeniny od čísla autonomního systému identifikující poskytovatele a umístění na základě geobáze) a údaje prohlížeče, například hlavička User Agent a sada cookies, flash lso a html místní úložiště. To znamená, že pokud útočník ovládá počítač uživatele, může nejen ukrást všechna potřebná data, ale také použít IP adresu oběti. Navíc, pokud je rozhodnutí učiněno na základě ASN, pak jakákoliv autentizace z veřejné Wi-Fi v kavárně může vést k „otravě“ z bezpečnostního hlediska (a vybílení z hlediska služeb) poskytovatele tohoto coffee shop a například vybílení všech kaváren ve městě . Mluvili jsme o tom, jak funguje systém detekce anomálií a že by se dal použít, ale doba mezi první a druhou fází autentizace nemusí stačit k spolehlivému posouzení anomálie. Stejný argument navíc ničí myšlenku „důvěryhodných“ počítačů: útočník může ukrást jakoukoli informaci, která ovlivňuje hodnocení důvěryhodnosti.

A konečně, dvoufázové ověření je jednoduše nepohodlné: náš výzkum použitelnosti ukazuje, že nic uživatele nerozčiluje víc než prostřední obrazovka, další kliknutí na tlačítka a další z jejich pohledu „nedůležité“ akce.
Na základě toho jsme se rozhodli, že autentizace by měla být jednokroková a prostor pro hesla by měl být mnohem větší, než je možné v rámci „čistého“ RFC 6238.
Zároveň jsme chtěli co nejvíce zachovat dvoufaktorovou autentizaci.

Vícefaktorová autentizace je definována přiřazením autentizačních prvků (ve skutečnosti se jim říká faktory) do jedné ze tří kategorií:

  1. Faktory znalostí (jedná se o tradiční hesla, PIN kódy a vše, co se jim podobá);
  2. Faktory vlastnictví (v použitých schématech OTP se obvykle jedná o smartphone, ale může to být i hardwarový token);
  3. Biometrické faktory (teď je nejčastější otisk prstu, i když si někdo pamatuje epizodu s postavou Wesleyho Snipese ve filmu Demolition Man).

Vývoj našeho systému

Když jsme začali pracovat na problému dvoufaktorové autentizace (první stránky firemní wiki na toto téma pocházejí z roku 2012, ale v zákulisí se o tom diskutovalo dříve), první nápad byl vzít standardní metody autentizace a použít je nám. Pochopili jsme, že nemůžeme počítat s tím, že si hardwarový token koupí miliony našich uživatelů, a tak jsme tuto možnost pro exotické případy odložili (i když ji úplně neopouštíme, třeba se nám podaří vymyslet něco zajímavého). Metoda SMS by se také nemohla rozšířit: je to velmi nespolehlivá metoda doručování (v nejklíčovějším okamžiku se SMS může zpozdit nebo vůbec nedorazí) a posílání SMS stojí peníze (a operátoři je začali zdražovat). Rozhodli jsme se, že používání SMS je pro banky a další low-tech společnosti a chceme našim uživatelům nabídnout něco pohodlnějšího. Obecně byl výběr malý: jako druhý faktor použijte smartphone a program v něm.

Tato forma jednokrokové autentizace je rozšířená: uživatel si pamatuje PIN kód (první faktor) a má hardwarový nebo softwarový (ve smartphonu) token, který generuje OTP (druhý faktor). Do pole pro zadání hesla zadá PIN kód a aktuální hodnotu OTP.

Hlavní nevýhoda tohoto schématu je podle našeho názoru stejná jako u dvoufázové autentizace: pokud předpokládáme, že došlo ke kompromitaci plochy uživatele, pak jedno zadání PIN kódu povede k jeho prozrazení a útočník může najít pouze druhý faktor.

Rozhodli jsme se jít jinou cestou: celé heslo je generováno z tajenky, ale pouze část tajemství je uložena ve smartphonu a část zadává uživatel při každém vygenerování hesla. Samotný smartphone je tedy faktorem vlastnictví a heslo zůstává v hlavě uživatele a je faktorem znalostí.

Nonce může být buď počítadlo nebo aktuální čas. Rozhodli jsme se zvolit aktuální čas, což nám umožňuje nebát se desynchronizace v případě, že někdo vygeneruje příliš mnoho hesel a zvýší počítadlo.

Máme tedy program pro chytrý telefon, kde uživatel zadá svou část tajenky, ta se promíchá s uloženou částí, výsledek se použije jako klíč HMAC, který se používá k podepsání aktuálního času zaokrouhleného na 30 sekund. Výstup HMAC je převeden do čitelné podoby a voila ─ zde je jednorázové heslo!

Jak bylo uvedeno dříve, RFC 4226 určuje, že výsledek HMAC bude zkrácen na maximálně 8 desetinných míst. Rozhodli jsme se, že heslo této velikosti není vhodné pro jednokrokové ověření a mělo by být navýšeno. Zároveň jsme chtěli zachovat jednoduchost ovládání (ostatně pamatujte, chceme udělat systém, který budou používat i obyčejní lidé, a ne jen bezpečnostní geekové), takže jako kompromis v aktuální verzi systému , rozhodli jsme se zkrátit latinku na 8 znaků. Zdá se, že 26^8 hesel platných 30 sekund je celkem přijatelných, ale pokud nám nebude vyhovovat bezpečnostní rozpětí (nebo se na Habrém objeví cenné rady, jak toto schéma vylepšit), rozšíříme například na 10 znaků.

Zjistěte více o síle takových hesel

Ve skutečnosti je pro písmena latinky, která nerozlišují velká a malá písmena, počet možností na znak 26, pro velká a malá písmena latinky plus čísla je počet možností 26+26+10=62. Pak log 62 (26 10) ≈ 7,9, tedy heslo skládající se z 10 náhodných malých latinských písmen je téměř stejně silné jako heslo skládající se z 8 náhodných velkých a malých latinských písmen nebo číslic. To bude určitě stačit na 30 sekund. Pokud mluvíme o 8znakovém hesle vyrobeném z latinských písmen, pak jeho síla je log 62 (26 8) ≈ 6,3, tedy o něco více než 6místné heslo složené z velkých, malých písmen a číslic. Myslíme si, že toto je stále přijatelné pro 30 sekundové okno.

Magie, bez hesla, aplikace a další kroky

Obecně jsme se tam mohli zastavit, ale chtěli jsme, aby byl systém ještě pohodlnější. Když má člověk v ruce smartphone, nechce zadávat heslo z klávesnice!

Proto jsme začali pracovat na „magickém přihlášení“. Při této autentizační metodě uživatel spustí aplikaci na svém smartphonu, zadá do ní svůj PIN kód a naskenuje QR kód na obrazovce svého počítače. Pokud je PIN kód zadán správně, stránka v prohlížeči se znovu načte a uživatel je ověřen. Kouzlo!

Jak to funguje?

QR kód obsahuje číslo relace, a když jej aplikace naskenuje, toto číslo se přenese na server spolu s heslem a uživatelským jménem vygenerovaným obvyklým způsobem. Není to těžké, protože smartphone je téměř vždy online. V rozložení stránky zobrazující QR kód je spuštěn JavaScript a čeká na odpověď ze serveru, aby zkontroloval heslo pro tuto relaci. Pokud server odpoví, že heslo je správné, jsou spolu s odpovědí nastaveny soubory cookie relace a uživatel je považován za ověřeného.

Zlepšilo se to, ale rozhodli jsme se nezastavovat ani tady. Počínaje iPhonem 5S, jablečné telefony a tablety představily snímač otisků prstů TouchID a ve verzi iOS 8 jej mohou využívat i aplikace třetích stran. Ve skutečnosti aplikace nezíská přístup k otisku prstu, ale pokud je otisk správný, zpřístupní se další sekce Klíčenka. Toho jsme využili. Druhá část tajemství je umístěna v záznamu Keychain chráněném TouchID, který uživatel zadal z klávesnice v předchozím scénáři. Při odemykání Keychain se obě části tajemství smíchají a poté proces funguje tak, jak je popsáno výše.

Ale pro uživatele se to stalo neuvěřitelně pohodlným: otevře aplikaci, přiloží prst, naskenuje QR kód na obrazovce a zjistí, že je ověřený v prohlížeči na svém počítači! Znalostní faktor jsme tedy nahradili biometrickým a z uživatelského hlediska zcela opustili hesla. Jsme si jisti, že obyčejným lidem bude toto schéma mnohem pohodlnější než ruční zadávání dvou hesel.

Je diskutabilní, jak technicky dvoufaktorová autentizace to je, ale ve skutečnosti je k úspěšnému dokončení stále potřeba mít telefon a mít správný otisk prstu, takže věříme, že se nám docela úspěšně podařilo odstranit faktor znalostí a nahradit jej biometrií. . Chápeme, že se spoléháme na zabezpečení ARM TrustZone, které je základem iOS Secure Enclave, a věříme, že tento subsystém lze v současné době považovat v rámci našeho modelu hrozeb za důvěryhodný. Samozřejmě jsme si vědomi problémů s biometrickou autentizací: otisk prstu není heslo a v případě kompromitace jej nelze nahradit. Ale na druhou stranu každý ví, že bezpečnost je nepřímo úměrná pohodlí a uživatel sám má právo zvolit si poměr jednoho a druhého, který je pro něj přijatelný.

Dovolte mi připomenout, že se stále jedná o beta verzi. Nyní, když je povoleno dvoufaktorové ověřování, dočasně deaktivujeme synchronizaci hesel v prohlížeči Yandex. Důvodem je způsob šifrování databáze hesel. Už nyní přicházíme s pohodlným způsobem, jak ověřit Prohlížeč v případě 2FA. Všechny ostatní funkce Yandex fungují jako dříve.

To je to, co jsme dostali. Zdá se, že to dopadlo dobře, ale posuďte sami. Budeme rádi, když si vyslechneme vaši zpětnou vazbu a doporučení, a budeme i nadále pracovat na zlepšování zabezpečení našich služeb: nyní spolu s CSP, šifrováním přenosu pošty a vším ostatním máme nyní dvoufaktorovou autentizaci. Nezapomeňte, že autentizační služby a aplikace pro generování OTP jsou kritické, a proto se za chyby v nich nalezené v rámci programu Bug Bounty vyplácí dvojnásobný bonus.

Štítky: Přidat štítky

Dvoufaktorové ověřování Apple ID je nová technologie zabezpečení vašeho účtu, která zajišťuje, že k němu bude mít přístup pouze vlastník. Navíc, i když někdo jiný zná znaky hesla k účtu, stejně se nebude moci přihlásit do systému místo zákonného vlastníka ID.

Použití této technologie poskytuje přístup k vašemu účtu výhradně z důvěryhodných zařízení – iPhone, tablet nebo MacBook. Při prvním přihlášení do nového gadgetu budete muset zadat dva typy údajů – znaky hesla a ověřovací kód v 6místném formátu. Symboly kódů se na těchto zařízeních automaticky aktualizují. Po jeho zadání bude nový gadget považován za důvěryhodný. Řekněme, že pokud máte iPhone, při prvním přihlášení ke svému účtu na nově zakoupeném MacBooku budete muset zadat znaky hesla a ověřovací kód, který se automaticky objeví na displeji iPhonu.

Vzhledem k tomu, že znaky hesla pro přístup k účtu nestačí, používají se i jiné typy ověřování, výrazně se zvyšuje bezpečnostní indikátor ID čísla.

Po přihlášení již nebude kód na tomto zařízení vyžadován – dokud se neodhlásíte a nebudou vymazány všechny informace na miniaplikaci nebo nebude třeba změnit znaky hesla (také z bezpečnostních důvodů). Pokud se přihlásíte přes síť, můžete prohlížeč nastavit jako důvěryhodný a až budete příště pracovat se stejným zařízením, nebudete muset zadávat kód.

Osvědčené gadgety: co to je?

Nemůže to být žádné „Apple“ zařízení – pouze iPhony, iPady s operačním systémem Touch verze 9 nebo novější, stejně jako MacBooky s operačním systémem Capitan nebo novější. Systémy těchto gadgetů musí být přihlášeny pomocí dvoufaktorového ověření.

Ve zkratce jde o zařízení, o kterém Apple s jistotou ví, komu patří, a jehož prostřednictvím si můžete ověřit svou identitu zobrazením potvrzovacího kódu při přihlášení z jiného gadgetu nebo prohlížeče.

Ověřená telefonní čísla

Jsou to ty, které lze použít k přijímání potvrzovacích kódů prostřednictvím textových zpráv nebo hovorů. Pro přístup k dvoufaktorové identifikaci musíte potvrdit alespoň jedno číslo.

Můžete potvrdit i další čísla – domácí, nebo přítel/příbuzný. Když dočasně není přístup k hlavnímu, můžete je použít.

Nastavení pravidel

Pokud má zařízení OS verze 10.3 nebo starší, bude algoritmus akcí následující:

  • Přejděte do sekce nastavení, na položku heslo a zabezpečení.
  • Kliknutím na sekci povolíte dvoufaktorovou identifikaci.
  • Klikněte na možnost pokračovat.

Pokud má gadget OS 10.2 nebo starší, kroky budou následující:

  • Přejděte do nastavení iCloud.
  • Vyberte své ID číslo a přejděte do sekce bezpečnostní heslo.
  • Kliknutím na možnost povolíte dvoufaktorové ověřování.
  • Kliknutím na prvek pokračování.



Jak zakázat dvoufaktorové ověřování v Apple ID?

Mnoho lidí si klade otázku, zda lze tuto technologii vypnout. Samozřejmě ano. Pamatujte ale, že po vypnutí bude účet slabě chráněn – pouze pomocí symbolů hesel a otázek.

Chcete-li jej zakázat, budete se muset přihlásit k položce úprav na stránce vašeho účtu (na kartě zabezpečení). Poté kliknutím na sekci vypněte dvoufaktorovou identifikaci. Po položení nových bezpečnostních otázek a odsouhlasení zadaného data narození je technologie deaktivována.

Pokud ji někdo znovu aktivuje na ID bez vědomí oprávněného vlastníka, bude možné ji deaktivovat prostřednictvím e-mailu. Dále, stejně jako dříve, musíte kliknout na sekci zakázat ověřování úplně dole ve zprávě, kterou jste dříve obdrželi e-mailem. Odkaz bude aktivní ještě dva týdny. Kliknutím na něj vám umožní obnovit předchozí nastavení zabezpečení ID a kontrolu nad vaším účtem.

Dvoufaktorová autentizace poskytuje zvýšenou úroveň zabezpečení ve srovnání s tradičním heslem. I složité a efektivní heslo může být zranitelné vůči virům, keyloggerům a phishingovým útokům.

Na stránce správy účtu Yandex můžete povolit dvoufaktorové ověření. K nastavení přístupu Yandex.Key budete potřebovat mobilní zařízení Android nebo iOS.

Po povolení dvoufaktorové autentizace:

  • Namísto použití standardního hesla pro přístup ke službám a aplikacím Yandex budete muset zadat jednorázové heslo (například pro přihlášení ke svému účtu nebo změnu telefonního čísla). Při použití QR kódu nemusíte zadávat své přihlašovací jméno ani hesla, abyste se mohli přihlásit ke svému účtu Yandex.
  • Pro mobilní aplikace, počítačové programy a e-mailové klienty třetích stran budete muset používat samostatná hesla aplikací.
  • Stránka pro obnovení vašeho účtu Yandex bude změněna.

Chcete-li povolit dvoufaktorové ověření, klikněte na odkaz „Nastavit dvoufaktorové ověření“ na stránce „Osobní údaje“ v části „Správa přístupu“ a proveďte několik kroků:

Pokud je vaše telefonní číslo již propojeno s vaším účtem, potvrďte jej nebo změňte. Pokud není telefonní číslo zadáno, musíte ho přidat, jinak nebudete moci obnovit přístup ke svému účtu.

Chcete-li propojit nové číslo nebo ověřit telefonní číslo, vyžádejte si kód a poté jej zadejte do příslušného pole. Poté klikněte na tlačítko „Potvrdit“ a přejděte k dalšímu kroku.

2. Vytvořte PIN.

Vytvořte 4místný PIN a zadejte jej pro dvoufaktorové ověření.

Důležité: Svůj PIN nesmíte sdílet s ostatními. PIN nelze změnit. Pokud zapomenete svůj PIN kód, aplikace Yandex.Key nebude schopna vygenerovat jednorázové heslo, přístup ke svému účtu můžete obnovit pouze s pomocí specialisty technické podpory.

Po zadání PIN kódu klikněte na tlačítko „Vytvořit“.

Aplikace Yandex.Key je nutná ke generování jednorázových hesel pro váš účet. Můžete odeslat odkaz k instalaci aplikace přímo na obrazovce nastavení dvoufaktorového ověřování, nebo si můžete aplikaci stáhnout z App Store nebo Google Play.

Poznámka: Aby Yandex.Key fungoval, možná budete potřebovat přístup k fotoaparátu zařízení k rozpoznání čárových kódů (QR kódů).

V aplikaci Yandex.Key klikněte na tlačítko „Přidat účet do aplikace“. Poté se spustí kamera zařízení. Naskenujte čárový kód, který se objeví ve vašem prohlížeči.

Pokud QR kód nelze rozpoznat, klikněte na tlačítko „Zobrazit tajný klíč“ a v aplikaci klikněte na „Přidat klíč ručně“. Namísto QR kódu prohlížeč zobrazí sekvenci znaků, které je nutné zadat do aplikace.

Po rozpoznání účtu vás zařízení vyzve k zadání PIN kódu vytvořeného v předchozím kroku.

Chcete-li ověřit, že nastavení bylo úspěšné, zadejte jednorázové heslo vygenerované v předchozím kroku. Dvoufaktorové ověřování bude povoleno pouze v případě, že zadáte správné heslo.

Jednoduše zadejte PIN kód vytvořený v kroku 2 do aplikace Yandex.Key. Aplikace vygeneruje jednorázové heslo. Zadejte jej vedle tlačítka „Povolit“ a poté klikněte na tlačítko.

Poznámka: Musíte zadat OTP, než se změní na obrazovce. Někdy je lepší počkat, až se vytvoří nové heslo a zadat ho.

Pokud jste zadali správné heslo, bude pro váš účet Yandex.Passport povolena dvoufaktorová autentizace.

Jak zakázat dvoufaktorové ověřování v Yandex

  1. Přejděte na kartu „Správa přístupu“ ve svém účtu Yandex.Passport.
  2. Přesuňte spínač do polohy „Vypnuto“.
  3. Otevře se stránka, na které musíte zadat jednorázové heslo z aplikace Yandex.Key.
  4. Pokud je heslo zadáno správně, bude uživatel vyzván k nastavení nového primárního hesla pro účet.

Poznámka: Jakmile zakážete dvoufaktorové ověřování, vaše stará hesla aplikací již nebudou fungovat. Chcete-li obnovit funkčnost souvisejících služeb a aplikací, jako jsou e-mailové klienty, budete muset vytvořit nová hesla aplikací.

Uživatel může nakonfigurovat přístup aplikací třetích stran k účtu Yandex pomocí hesel aplikací. Vezměte prosím na vědomí, že každé jednotlivé heslo aplikace uděluje přístup ke konkrétní službě. Heslo vytvořené pro e-mailového klienta například neumožní přístup ke cloudovému úložišti Yandex.Disk.

Hesla aplikací můžete vytvořit na kartě „Správa přístupu“ na ovládacím panelu účtu Yandex.Passport. Posuňte přepínač „Hesla aplikací“ do polohy „Zapnuto“. Pokud je povolena dvoufaktorová autentizace, hesla aplikací budou vynucena a nelze je zakázat.

Pro každý program třetí strany, který požaduje heslo Yandex, budete muset vytvořit samostatné heslo aplikace, včetně:

  • Poštovní klienti (Mozilla Thunderbird, Microsoft Outlook, The Bat! atd.)
  • Klienti WebDAV pro Yandex.Disk
  • Klienti CalDAV pro Yandex.Calendar
  • Klienti Jabberu
  • Aplikace pro import z jiných e-mailových služeb

Chcete-li vytvořit heslo aplikace:

  1. Přejděte na kartu „Správa přístupu“ na ovládacím panelu účtu Yandex.Passport.
  2. Povolte možnost „Hesla aplikací“, pokud je deaktivována (přepínač se nezobrazí, pokud jste nepovolili dvoufaktorové ověřování).
  3. Klikněte na „Získat heslo aplikace“
  4. Vyberte službu Yandex, ke které chcete získat přístup v aplikaci a operačním systému.
  5. Zadejte název aplikace, pro kterou vytváříte heslo, a klikněte na „Přidat“.
  6. Heslo se zobrazí na další kartě. Klikněte na "Hotovo".

Poznámka: Vygenerované heslo můžete zobrazit pouze jednou. Pokud jste zadali heslo nesprávně a okno jste již zavřeli, smažte aktuální heslo a vytvořte nové.

Uživatel. Navíc mluvíme nejen o účtu, uložených kontaktech a zprávách, ale také o osobních dokumentech a souborech. Nejvyšší úroveň ochrany dat zaručuje dvoufaktorová autentizace Apple, kdy pro přístup k osobním údajům je potřeba zadat dva speciální číselné kódy za sebou.

Jak to funguje

Hlavním rysem nového bezpečnostního systému společnosti Apple je zajistit, že se do svého zařízení můžete přihlásit pouze vy, a to i v případě, že heslo znají ostatní. Díky dvoufázovému ověření se můžete ke svému účtu přihlásit pouze z důvěryhodného iPhonu, iPadu nebo Macu. V tomto případě bude dvoufaktorová autentizace vyžadovat postupné zadání dvou typů hesel: běžného a šestimístného ověřovacího kódu, který se automaticky zobrazí na ověřeném gadgetu.

Řekněme například, že máte notebook Mac a chcete se přihlásit ke svému účtu na nedávno zakoupeném iPadu. Chcete-li to provést, nejprve zadejte své uživatelské jméno a heslo a poté ověřovací kód, který se automaticky zobrazí na obrazovce vašeho notebooku.

Poté si dvoufaktorová autentizace společnosti Apple „zapamatuje“ vaše zařízení a umožní přístup k osobním údajům bez dalšího ověřování. Nastavením této možnosti při prvním přihlášení ke svému účtu můžete také nastavit prohlížeč libovolného počítače jako důvěryhodný.

Důvěryhodná zařízení

Můžete vytvořit pouze gadget, kterému Apple důvěřuje. Nainstalovaný operační systém navíc nesmí být nižší než iOS 9 pro mobilní zařízení a nižší než OS X El Capitan pro notebooky a osobní počítače. „Dvoufaktorové ověřování“ to vysvětluje tím, že pouze v tomto případě může Apple zaručit, že notebook, který používáte, patří vám.

Šestimístné ověřovací kódy lze odesílat nejen na důvěryhodná zařízení, ale také na čísla mobilních zařízení. Způsob potvrzení čísla a gadgetu se přitom neliší. Je také vhodné připomenout, že v každém případě, bez ohledu na to, jakou metodu pro získání ověřovacího kódu použijete, bude dvoufaktorová autentizace vyžadovat, abyste znali své vlastní Apple ID. Naučte se to nazpaměť, jinak riskujete, že se ke svému účtu nedostanete.

Nová úroveň ochrany

Pokaždé, když se přihlásíte ke svému uživatelskému účtu, je vaše poloha odeslána do důvěryhodných zařízení. V případech, kdy se shoduje s vaší skutečnou polohou, můžete povolit vstup stisknutím zvýrazněného tlačítka.

Pokud dvoufaktorová autentizace nabízí povolení přihlášení na jiném zařízení, ačkoli se aktuální umístění zařízení neshoduje s vaším, měli byste tuto akci zakázat. To znamená neoprávněný přístup k vašemu gadgetu a může také sloužit jako signál o poloze útočníka, který vám ukradl telefon.

Vypnutí dvoufaktorové ochrany

Důrazně se doporučuje, abyste se zařízením neprováděli žádné manipulace, které by mohly deaktivovat dvoufaktorovou autentizaci společnosti Apple, což sníží úroveň zabezpečení vašeho gadgetu. V některých případech to však prostě není nutné. Například neustále používáte notebook i smartphone. Není potřeba potvrzovat svou totožnost a navíc je procedura velmi únavná.

Existují dva způsoby, jak zakázat dvoufaktorové ověřování společnosti Apple. V prvním případě se musíte přihlásit ke svému účtu, vybrat nabídku „Upravit“ a vybrat příslušnou možnost v položce nabídky „Zabezpečení“. Potvrzením data narození a zodpovězením bezpečnostních otázek deaktivujete dvoufaktorovou ochranu.

Zakázat ověřování e-mailů

Pokud zjistíte, že je na vašem zařízení aktivována dvoustupňová ochrana bez vašeho vědomí, můžete ji na dálku deaktivovat pomocí e-mailu, který jste uvedli při registraci, nebo záložní adresy. Jak zakázat dvoufaktorové ověřování pomocí e-mailu?

K tomu je potřeba otevřít dopis, který vám dorazí do schránky ihned po aktivaci ochranného systému. Ve spodní části zprávy uvidíte cennou položku „Vypnout...“. Klikněte na něj jednou a obnoví se předchozí nastavení ochrany vašich osobních údajů.

Odkaz musíte sledovat do dvou týdnů od obdržení zprávy, jinak pozbude platnosti. Nyní se nebudete muset divit, jak zakázat dvoufaktorové ověřování, a znáte několik dalších tajemství společnosti Apple.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru