Hogar › Tarifas › Autenticación de dos factores de Apple: características, principio de protección, desactivación

Autenticación de dos factores de Apple: características, principio de protección, desactivación

Para proteger sus datos personales en el mundo actual, es posible que deba considerar aumentar el nivel de seguridad de su espacio digital mediante la autenticación de dos factores.

Diversas tecnologías en línea se están integrando cada vez más en la vida de una persona moderna. La mayoría de nosotros ya no podemos imaginarnos sin las redes sociales, los teléfonos inteligentes e Internet en general. Todos los días dejamos una gran cantidad de rastros digitales y datos personales en la World Wide Web. Al mismo tiempo, la mayoría de los usuarios ni siquiera piensan en lo que sucederá si un día pierden el acceso a su “mundo digital”, que acaba en manos de los atacantes...

Algunos dirían que es poco probable que su modesta personalidad interese a los piratas informáticos. Sin embargo, incluso las cuentas de las redes sociales más cutres se venden en el “mercado negro”. ¿Qué podemos decir sobre, digamos, su cuenta de Google, que contiene toda la correspondencia por correo electrónico, datos de su teléfono y, posiblemente, enlaces a tarjetas bancarias?

Lo más triste es que muchas personas confían en "tal vez" y usan contraseñas bastante simples para acceder a cuentas serias. Y, por cierto, ¡hay diccionarios especiales completos que contienen miles de contraseñas populares, como “1234qwerty” y similares, que te permiten ser pirateados en cuestión de minutos! Por lo tanto, la protección con contraseña convencional ya no es fiable. ¡Es hora de utilizar la autenticación de dos factores!

¿Qué es la autenticación de dos factores?

En varias películas de ciencia ficción de Hollywood, podemos ver cómo el personaje principal (o villano) primero ingresa un montón de contraseñas para acceder a datos secretos, luego aplica una tarjeta de identificación especial al dispositivo de lectura y, para colmo, también mira por la mirilla, donde el láser lee el patrón de la retina de sus ojos. Pero esto ya no es ciencia ficción, sino la llamada autenticación multifactor.

El modelo tradicional de autenticación multifactor implica tres factores principales (cada uno de los cuales se puede duplicar para aumentar el nivel de protección):

factor de conocimiento. Implica que el sistema de control de acceso recibe ciertos datos que sólo un usuario específico debe conocer. Por ejemplo, podría ser un par tradicional de “inicio de sesión y contraseña”, un código PIN, el apellido de soltera de la madre u otra información que, idealmente, sólo nosotros podemos conocer. Desafortunadamente, muchos usuarios no recuerdan sus contraseñas, sino que las guardan en trozos de papel en su lugar de trabajo. Por lo tanto, no sería difícil para un hipotético atacante robarlos…
factor de propiedad. Proporciona que el usuario tenga una determinada cosa que otros no tienen. Tales cosas pueden incluir un número de teléfono único, una tarjeta de plástico con un código de barras o chip de datos único, un token USB u otro dispositivo criptográfico. En teoría, también es posible robarlo, pero es mucho más difícil. Y, dado que el factor de propiedad suele estar respaldado por el factor de conocimiento (primero debe ingresar una contraseña), las posibilidades de utilizar con éxito un dispositivo robado se reducen significativamente.
factor de propiedad. Utiliza determinadas cualidades personales para identificar al usuario. Algunos de los más singulares incluyen las huellas dactilares, la cara en general, el patrón del iris o incluso una muestra de ADN. Dado el grado adecuado de sensibilidad del equipo de prueba, es simplemente imposible eludir dicha protección. Sin embargo, la verificación biométrica aún está lejos de alcanzar esa perfección, por lo que en la actualidad suele complementarse con factores adicionales de control de acceso.

De hecho, la autenticación multifactor es en realidad de tres factores. En consecuencia, la verificación de usuario en dos pasos implica descartar uno de los factores. Normalmente, se trata de un factor de propiedad que requiere un equipo biométrico especial para confirmarlo. La autenticación de dos factores no requiere inversiones especiales, ¡pero puede aumentar significativamente el nivel de seguridad!

Hoy en día, el tipo de autenticación de dos factores más común en Internet es vincular una cuenta al teléfono del usuario. En general, tradicionalmente ingresamos un inicio de sesión con una contraseña, después de lo cual recibimos un código PIN único especial en nuestro teléfono a través de SMS o mensaje PUSH, que ingresamos en un formulario especial para acceder al sitio que necesitamos. Alternativamente, en lugar de un mensaje, puede recibir una llamada de un robot que le pedirá que presione un número particular en el teclado del teléfono.

La autorización mediante tokens USB es menos común (por ejemplo, en los servicios de contabilidad modernos). Dicho token contiene una clave cifrada correspondiente a una contraseña que el usuario conoce. Al autorizar, debe conectar el token al puerto USB de su computadora y luego ingresar la contraseña en un campo especial. Si coincide con el cifrado en el token, se producirá la autorización.

Sin embargo, los tokens cuestan dinero y requieren una renovación periódica de la clave, lo que tampoco siempre es gratuito. Por lo tanto, el método de verificación de dos factores más utilizado sigue siendo la verificación telefónica. Y aquí hablaremos de ello con más detalle.

Autenticación de dos factores en Windows

Windows 10 es un sistema operativo moderno, por lo que, por definición, debe contener funciones de seguridad modernas. Uno de ellos es el mecanismo de verificación de usuario de dos factores. Esta función apareció y volvió a desaparecer en algunas versiones del sistema, pasando por una serie de mejoras, por lo que si deseas utilizarla, asegúrate de tener todas las actualizaciones (especialmente el parche KB3216755, que solucionó la autenticación en la Actualización de Aniversario).

Además, para que funcione la verificación en dos pasos, deberá tener una cuenta registrada en Microsoft. Es decir, con una “cuenta” local, por desgracia, nada funcionará...

Ahora necesitas preparar tu teléfono para el procedimiento. Debe instalar una aplicación especial que recibirá las señales de verificación de inicio de sesión de la cuenta de Windows y las confirmará. Para teléfonos inteligentes Android, puede elegir el programa oficial Microsoft Authenticator, y para dispositivos iOS, la solución unificada Google Authenticator (también para Android) es adecuada.

Después de todas las configuraciones preliminares, debe iniciar sesión en su cuenta de Microsoft y configurarla para el inicio de sesión de dos factores. La forma más sencilla de hacerlo es llamando al complemento "Opciones" capítulo "Cuentas". En la primera pestaña "Correo electrónico y cuentas", haga clic en el enlace "Administra tu cuenta de Microsoft", después de lo cual debería ser redirigido a la página de inicio de sesión de la cuenta de Microsoft.

Se abrirá una página con la configuración, entre la que deberá encontrar el grupo. "Verificación en dos pasos" y haz clic en el enlace "Configurar la verificación en dos pasos":

Verá un asistente paso a paso para configurar la autenticación de dos factores, siguiendo cuyas indicaciones podrá activar la verificación de usuario de dos pasos al iniciar sesión en Windows:

Autenticación de dos factores con Google

Después de Windows, Android ocupa el segundo lugar en popularidad entre los usuarios modernos. Y la mayoría de los dispositivos Android, como sabemos, están “vinculados” a una cuenta de Google. Tampoco estaría de más protegerlo más. Además, la función de autenticación de dos factores para sus cuentas funciona con éxito desde hace bastante tiempo.

Para acceder a la configuración de verificación en dos pasos, debe iniciar sesión en su cuenta de Google, ir a la página especial y hacer clic en el botón "Comenzar":

Es posible que se le solicite que vuelva a ingresar la contraseña de su cuenta para confirmar el acceso a su configuración. Después de esto, se abrirá un asistente paso a paso que le ayudará a configurar los parámetros necesarios para la verificación de inicio de sesión de la cuenta en dos pasos:

Todo lo que necesita hacer es ingresar su número de teléfono (lo más probable es que ya esté "vinculado" a su cuenta), recibir un SMS con un código de verificación único, luego ingresar el código en un campo especial y activar el procedimiento para todos los siguientes. autorizaciones.

Sin embargo, iniciar sesión con su teléfono no es el único método de autenticación de dos factores que ofrece Google. Si tiene un token FIDO Universal 2nd Factor (U2F), también puede configurar un inicio de sesión en su cuenta usándolo. Lea más sobre cómo hacer esto. Bueno, por supuesto, puedes recibir códigos de verificación no solo en forma de SMS, sino también mensajes PUSH en la aplicación Google Authenticator que ya mencionamos anteriormente.

Autenticación de dos factores en redes sociales

Siguiendo la tendencia general, los desarrolladores de algunas grandes redes sociales también se han ocupado de la autenticación de dos factores.

DFA en Facebook

Facebook, al ser una de las redes sociales más populares en Occidente, al igual que Google, lleva mucho tiempo ofreciendo a sus usuarios una función de verificación de inicio de sesión en dos pasos. Además, los códigos de acceso se pueden recibir tanto vía SMS como en aplicaciones de autorización universal. De estos, se admiten Google Authenticator y Duo Mobile.

Puede habilitar la autenticación de dos factores en Facebook yendo a la sección de configuración

Era una publicación poco común en el blog de Yandex, especialmente una relacionada con la seguridad, sin mencionar la autenticación de dos factores. Llevamos mucho tiempo pensando en cómo reforzar adecuadamente la protección de las cuentas de los usuarios, y de tal forma que se pueda utilizar sin todos los inconvenientes que incluyen las implementaciones más habituales en la actualidad. Y, por desgracia, son un inconveniente. Según algunos datos, en muchos sitios grandes el porcentaje de usuarios que han habilitado medios de autenticación adicionales no supera el 0,1%.

Parece que esto se debe a que el esquema común de autenticación de dos factores es demasiado complejo e inconveniente. Intentamos encontrar un método que fuera más conveniente sin perder el nivel de protección y hoy presentamos su versión beta.

Esperamos que se generalice más. Por nuestra parte, estamos dispuestos a trabajar en su mejora y posterior estandarización.

Después de habilitar la autenticación de dos factores en Passport, deberá instalar la aplicación Yandex.Key en App Store o Google Play. Los códigos QR aparecieron en el formulario de autorización en la página principal de Yandex, en Mail y en Passport. Para iniciar sesión en su cuenta, debe leer el código QR a través de la aplicación, y eso es todo. Si no se puede leer el código QR, por ejemplo, la cámara del teléfono inteligente no funciona o no hay acceso a Internet, la aplicación creará una contraseña de un solo uso que será válida por solo 30 segundos.

Le diré por qué decidimos no utilizar mecanismos "estándar" como RFC 6238 o RFC 4226. ¿Cómo funcionan los esquemas comunes de autenticación de dos factores? Son de dos etapas. La primera etapa es la autenticación normal con un nombre de usuario y contraseña. Si tiene éxito, el sitio comprueba si le "gusta" esta sesión de usuario o no. Y, si "no me gusta", le pide al usuario que "vuelva a autenticarse". Existen dos métodos habituales de “preautenticación”: enviar un SMS al número de teléfono asociado a la cuenta y generar una segunda contraseña en el smartphone. Básicamente, TOTP según RFC 6238 se utiliza para generar la segunda contraseña. Si el usuario ingresó la segunda contraseña correctamente, la sesión se considera completamente autenticada y, si no, la sesión también pierde la "autenticación previa".

Ambos métodos (enviar SMS y generar una contraseña) son prueba de propiedad del teléfono y, por tanto, son un factor de disponibilidad. La contraseña ingresada en la primera etapa es el factor de conocimiento. Por lo tanto, este esquema de autenticación no es sólo de dos pasos, sino también de dos factores.

¿Qué nos pareció problemático en este esquema?

Comencemos con el hecho de que la computadora del usuario promedio no siempre puede considerarse un modelo de seguridad: desactivar las actualizaciones de Windows, una copia pirateada de un antivirus sin firmas modernas y software de origen dudoso: todo esto no aumenta el nivel de protección. Según nuestra evaluación, comprometer la computadora de un usuario es el método más común de "secuestro" de cuentas (y recientemente hubo otra confirmación de esto), y esto es de lo que queremos protegernos en primer lugar. En el caso de la autenticación de dos factores, si asume que la computadora del usuario está comprometida, ingresar una contraseña compromete la contraseña misma, que es el primer factor. Esto significa que el atacante sólo necesita seleccionar el segundo factor. En el caso de implementaciones comunes de RFC 6238, el segundo factor es de 6 dígitos decimales (y el máximo permitido por la especificación es de 8 dígitos). Según la calculadora de fuerza bruta de OTP, en tres días un atacante puede encontrar el segundo factor si de alguna manera se da cuenta del primero. No está claro qué servicio puede contrarrestar este ataque sin interrumpir la experiencia normal del usuario. La única prueba posible de trabajo es el captcha, que, en nuestra opinión, es el último recurso.

El segundo problema es la opacidad del juicio del servicio sobre la calidad de la sesión del usuario y la toma de decisiones sobre la necesidad de una “autenticación previa”. Peor aún, el servicio no está interesado en hacer que este proceso sea transparente, porque la seguridad por oscuridad realmente funciona aquí. Si un atacante sabe sobre qué base el servicio toma una decisión sobre la legitimidad de una sesión, puede intentar falsificar estos datos. Como regla general, podemos concluir que el juicio se realiza en base al historial de autenticación del usuario, teniendo en cuenta la dirección IP (y sus derivados del número del sistema autónomo que identifica al proveedor y la ubicación según la geobase) y los datos del navegador. por ejemplo, el encabezado del Agente de usuario y un conjunto de cookies, flash lso y almacenamiento local html. Esto significa que si un atacante controla la computadora de un usuario, no sólo puede robar todos los datos necesarios, sino también utilizar la dirección IP de la víctima. Además, si la decisión se toma en base a ASN, entonces cualquier autenticación desde una red Wi-Fi pública en una cafetería puede provocar un "envenenamiento" desde el punto de vista de la seguridad (y un blanqueo desde el punto de vista del servicio) del proveedor de este cafetería y, por ejemplo, blanquear todas las cafeterías de la ciudad. Hablamos sobre cómo funciona un sistema de detección de anomalías y cómo podría usarse, pero el tiempo entre la primera y la segunda etapa de autenticación puede no ser suficiente para juzgar con confianza la anomalía. Además, el mismo argumento destruye la idea de computadoras "confiables": un atacante puede robar cualquier información que influya en el juicio de confianza.

Finalmente, la autenticación en dos pasos es simplemente un inconveniente: nuestra investigación de usabilidad muestra que nada irrita más a los usuarios que una pantalla intermedia, clics adicionales en botones y otras acciones "sin importancia" desde su punto de vista.
En base a esto, decidimos que la autenticación debería ser de un solo paso y el espacio de contraseña debería ser mucho mayor de lo que es posible dentro del marco del RFC 6238 "puro".
Al mismo tiempo, queríamos preservar la autenticación de dos factores tanto como fuera posible.

La autenticación multifactor se define asignando elementos de autenticación (en realidad, se llaman factores) a una de tres categorías:

Factores de conocimiento (estas son contraseñas tradicionales, códigos PIN y todo lo que se les parezca);
Factores de propiedad (en los esquemas OTP utilizados, suele ser un teléfono inteligente, pero también puede ser un token de hardware);
Factores biométricos (la huella dactilar es la más común ahora, aunque alguien recordará el episodio con el personaje de Wesley Snipes en la película Demolition Man).

Desarrollo de nuestro sistema

Cuando comenzamos a trabajar en el problema de la autenticación de dos factores (las primeras páginas de la wiki corporativa sobre este tema se remontan a 2012, pero ya se discutió entre bastidores antes), la primera idea fue tomar métodos de autenticación estándar y aplicarlos. a nosotros. Entendimos que no podíamos contar con que millones de nuestros usuarios compraran un token de hardware, por lo que pospusimos esta opción para algunos casos exóticos (aunque no la abandonaremos por completo, tal vez podamos encontrar algo interesante). El método SMS tampoco puede estar muy extendido: es un método de entrega muy poco fiable (en el momento más crucial, el SMS puede retrasarse o no llegar), y enviar SMS cuesta dinero (y los operadores han empezado a aumentar su precio). . Decidimos que el uso de SMS es para bancos y otras empresas de baja tecnología y queremos ofrecer a nuestros usuarios algo más conveniente. En general, la elección era pequeña: utilizar el teléfono inteligente y el programa que contiene como segundo factor.

Esta forma de autenticación en un solo paso está muy extendida: el usuario recuerda el código PIN (primer factor) y tiene un token de hardware o software (en un teléfono inteligente) que genera una OTP (segundo factor). En el campo de ingreso de contraseña, ingresa el código PIN y el valor OTP actual.

En nuestra opinión, la principal desventaja de este esquema es la misma que la de la autenticación en dos pasos: si asumimos que el escritorio del usuario está comprometido, al ingresar el código PIN una vez se revelará y el atacante solo podrá encontrar el segundo. factor.

Decidimos tomar una ruta diferente: la contraseña completa se genera a partir del secreto, pero solo una parte del secreto se almacena en el teléfono inteligente y el usuario ingresa una parte cada vez que se genera la contraseña. Así, el propio teléfono inteligente es un factor de propiedad, y la contraseña permanece en la cabeza del usuario y es un factor de conocimiento.

El Nonce puede ser un contador o la hora actual. Decidimos elegir la hora actual, esto nos permite no tener miedo a la desincronización en caso de que alguien genere demasiadas contraseñas y aumente el contador.

Entonces, tenemos un programa para un teléfono inteligente donde el usuario ingresa su parte del secreto, se mezcla con la parte almacenada, el resultado se usa como una clave HMAC, que se usa para firmar la hora actual, redondeada a 30 segundos. La salida HMAC se convierte a un formato legible y listo, ¡aquí está la contraseña de un solo uso!

Como se indicó anteriormente, RFC 4226 especifica que el resultado HMAC se truncará a un máximo de 8 dígitos decimales. Decidimos que una contraseña de este tamaño no es adecuada para la autenticación en un solo paso y debería aumentarse. Al mismo tiempo, queríamos mantener la facilidad de uso (después de todo, recuerde, queremos crear un sistema que sea utilizado por personas comunes y corrientes, y no solo por expertos en seguridad), como compromiso en la versión actual del sistema. , elegimos truncar el alfabeto latino a 8 caracteres. Parece que 26^8 contraseñas válidas durante 30 segundos son bastante aceptables, pero si el margen de seguridad no nos conviene (o aparecen valiosos consejos sobre cómo mejorar este esquema en Habré), las ampliaremos, por ejemplo, a 10 caracteres.

Obtenga más información sobre la solidez de dichas contraseñas

De hecho, para letras latinas que no distinguen entre mayúsculas y minúsculas, el número de opciones por carácter es 26, para letras latinas grandes y pequeñas más números, el número de opciones es 26+26+10=62. Luego log 62 (26 10) ≈ 7,9, es decir, una contraseña de 10 letras latinas pequeñas aleatorias es casi tan segura como una contraseña de 8 letras o números latinos grandes y pequeños aleatorios. Esto definitivamente será suficiente durante 30 segundos. Si hablamos de una contraseña de 8 caracteres formada por letras latinas, entonces su fuerza es log 62 (26 8) ≈ 6,3, es decir, un poco más que una contraseña de 6 caracteres formada por letras mayúsculas, minúsculas y números. Creemos que esto sigue siendo aceptable para una ventana de 30 segundos.

Magia, sin contraseña, aplicaciones y próximos pasos

En general, podríamos habernos detenido ahí, pero queríamos que el sistema fuera aún más conveniente. Cuando una persona tiene un teléfono inteligente en la mano, ¡no quiere ingresar la contraseña desde el teclado!

Por eso empezamos a trabajar en el “inicio de sesión mágico”. Con este método de autenticación, el usuario inicia la aplicación en su teléfono inteligente, ingresa su código PIN y escanea el código QR en la pantalla de su computadora. Si el código PIN se ingresa correctamente, la página en el navegador se recarga y el usuario se autentica. ¡Magia!

¿Cómo funciona?

El número de sesión está incrustado en el código QR, y cuando la aplicación lo escanea, este número se transmite al servidor junto con la contraseña y el nombre de usuario generados de la forma habitual. Esto no es difícil, porque el teléfono inteligente casi siempre está en línea. En el diseño de la página que muestra el código QR, se ejecuta JavaScript, esperando una respuesta del servidor para verificar la contraseña de esta sesión. Si el servidor responde que la contraseña es correcta, las cookies de sesión se configuran junto con la respuesta y se considera que el usuario está autenticado.

La cosa mejoró, pero decidimos no quedarnos aquí tampoco. A partir del iPhone 5S, los teléfonos y tabletas de Apple introdujeron el escáner de huellas dactilares TouchID y, en la versión 8 de iOS, las aplicaciones de terceros también pueden utilizarlo. En realidad, la aplicación no obtiene acceso a la huella digital, pero si la huella digital es correcta, la sección adicional del Llavero queda disponible para la aplicación. Aprovechamos esto. La segunda parte del secreto se coloca en el registro de llavero protegido por TouchID, el que el usuario ingresó desde el teclado en el escenario anterior. Al desbloquear el Llavero, se mezclan las dos partes del secreto y luego el proceso funciona como se describe anteriormente.

Pero se ha vuelto increíblemente conveniente para el usuario: abre la aplicación, coloca el dedo, escanea el código QR en la pantalla y se encuentra autenticado en el navegador de su computadora. Así que reemplazamos el factor conocimiento por uno biométrico y, desde el punto de vista del usuario, abandonamos por completo las contraseñas. Estamos seguros de que la gente común encontrará este esquema mucho más conveniente que ingresar dos contraseñas manualmente.

Es discutible qué tan técnicamente es la autenticación de dos factores, pero en realidad todavía necesitas tener un teléfono y tener la huella digital correcta para completarla con éxito, por lo que creemos que hemos tenido bastante éxito en eliminar el factor de conocimiento, reemplazándolo con biometría. . Entendemos que confiamos en la seguridad de ARM TrustZone que subyace a iOS Secure Enclave y creemos que este subsistema actualmente puede considerarse confiable dentro de nuestro modelo de amenazas. Por supuesto, somos conscientes de los problemas de la autenticación biométrica: una huella digital no es una contraseña y no puede ser reemplazada si se ve comprometida. Pero, por otro lado, todo el mundo sabe que la seguridad es inversamente proporcional a la comodidad, y el propio usuario tiene derecho a elegir la proporción entre uno y otro que le resulte aceptable.

Déjame recordarte que esto todavía es una versión beta. Ahora, cuando la autenticación de dos factores está habilitada, deshabilitamos temporalmente la sincronización de contraseñas en el navegador Yandex. Esto se debe a la forma en que está cifrada la base de datos de contraseñas. Ya estamos ideando una forma cómoda de autenticar el navegador en el caso de 2FA. Todas las demás funciones de Yandex funcionan como antes.

Esto es lo que tenemos. Parece que ha salido bien, pero juzgad vosotros. Estaremos encantados de escuchar sus comentarios y recomendaciones y continuaremos trabajando para mejorar la seguridad de nuestros servicios: ahora, junto con CSP, el cifrado del transporte de correo y todo lo demás, ahora contamos con autenticación de dos factores. No olvide que los servicios de autenticación y las aplicaciones de generación de OTP son críticos y por lo tanto se paga una bonificación doble por los errores encontrados en ellos como parte del programa Bug Bounty.

Etiquetas: Agregar etiquetas

Atención. Las aplicaciones desarrolladas en Yandex requieren una contraseña de un solo uso; ni siquiera las contraseñas de aplicaciones creadas correctamente funcionarán.

Iniciar sesión usando el código QR
Transferir Yandex.Key
Contraseña maestra

Inicie sesión en un servicio o aplicación de Yandex

Puede ingresar una contraseña de un solo uso en cualquier forma de autorización en Yandex o en aplicaciones desarrolladas por Yandex.

Nota.

Debe ingresar la contraseña de un solo uso mientras se muestra en la aplicación. Si queda muy poco tiempo antes de la actualización, simplemente espere la nueva contraseña.

Para obtener una contraseña de un solo uso, inicie Yandex.Key e ingrese el código PIN que especificó al configurar la autenticación de dos factores. La aplicación comenzará a generar contraseñas cada 30 segundos.

Yandex.Key no verifica el código PIN que ingresó y genera contraseñas de un solo uso, incluso si ingresó su código PIN incorrectamente. En este caso, las contraseñas creadas también resultan incorrectas y no podrás iniciar sesión con ellas. Para ingresar el PIN correcto, simplemente salga de la aplicación y ejecútela nuevamente.

Características de las contraseñas de un solo uso:

Iniciar sesión usando el código QR

Algunos servicios (por ejemplo, la página de inicio de Yandex, Passport y Mail) le permiten iniciar sesión en Yandex simplemente apuntando con la cámara al código QR. En este caso, su dispositivo móvil debe estar conectado a Internet para que Yandex.Key pueda comunicarse con el servidor de autorización.

Haga clic en el icono del código QR en su navegador.

Si no existe dicho icono en el formulario de inicio de sesión, entonces podrá iniciar sesión en este servicio solo con una contraseña. En este caso, puede iniciar sesión utilizando el código QR en el Pasaporte y luego ir al servicio deseado.

Ingrese su código PIN en Yandex.Key y haga clic en Iniciar sesión usando el código QR.

Apunte la cámara de su dispositivo al código QR que se muestra en el navegador.

Yandex.Key reconocerá el código QR y enviará su nombre de usuario y contraseña de un solo uso a Yandex.Passport. Si pasan la verificación, iniciará sesión automáticamente en el navegador. Si la contraseña transmitida es incorrecta (por ejemplo, porque ingresó incorrectamente el código PIN en Yandex.Key), el navegador mostrará un mensaje estándar sobre la contraseña incorrecta.

Iniciar sesión con una cuenta Yandex en una aplicación o sitio web de terceros

Las aplicaciones o sitios que necesitan acceder a sus datos en Yandex a veces requieren que ingrese una contraseña para iniciar sesión en su cuenta. En tales casos, las contraseñas de un solo uso no funcionarán; deberá crear una contraseña de aplicación separada para cada aplicación.

Atención. En las aplicaciones y servicios de Yandex solo funcionan las contraseñas de un solo uso. Incluso si crea una contraseña para una aplicación, por ejemplo, para Yandex.Disk, no podrá iniciar sesión con ella.

Transferir Yandex.Key

Puede transferir la generación de contraseñas de un solo uso a otro dispositivo o configurar Yandex.Key en varios dispositivos al mismo tiempo. Para hacer esto, abra la página de Control de acceso y haga clic en el botón Reemplazo del dispositivo.

Varias cuentas en Yandex.Key

Se puede utilizar el mismo Yandex.Key para varias cuentas con contraseñas de un solo uso. Para agregar otra cuenta a la aplicación, al configurar contraseñas de un solo uso en el paso 3, haga clic en el icono de la aplicación. Además, puede agregar la generación de contraseñas a Yandex.Key para otros servicios que admitan dicha autenticación de dos factores. Las instrucciones para los servicios más populares se proporcionan en la página sobre cómo crear códigos de verificación que no son para Yandex.

Para eliminar el enlace de una cuenta a Yandex.Key, mantenga presionado el retrato correspondiente en la aplicación hasta que aparezca una cruz a su derecha. Al hacer clic en la cruz, se eliminará la vinculación de su cuenta a Yandex.Key.

Atención. Si elimina una cuenta para la cual están habilitadas contraseñas de un solo uso, no podrá obtener una contraseña de un solo uso para iniciar sesión en Yandex. En este caso, será necesario restablecer el acceso.

Huella digital en lugar de código PIN

Puede utilizar su huella digital en lugar de un código PIN en los siguientes dispositivos:

teléfonos inteligentes con Android 6.0 y un escáner de huellas dactilares;

iPhone a partir del modelo 5s;

iPad a partir de Air 2.

Nota.

En teléfonos inteligentes y tabletas iOS, la huella digital se puede omitir ingresando la contraseña del dispositivo. Para protegerse contra esto, habilite una contraseña maestra o cambie la contraseña por una más compleja: abra la aplicación Configuración y seleccione Touch ID y contraseña.

Para utilizar habilitar la verificación de huellas dactilares:

Contraseña maestra

Para proteger aún más sus contraseñas de un solo uso, cree una contraseña maestra: → Contraseña maestra.

Con una contraseña maestra puedes:

hágalo de modo que, en lugar de una huella digital, solo pueda ingresar la contraseña maestra de Yandex.Key y no el código de bloqueo del dispositivo;

Copia de seguridad de los datos de Yandex.Key

Puede crear una copia de seguridad de los datos clave en el servidor Yandex para poder restaurarla si pierde su teléfono o tableta con la aplicación. Los datos de todas las cuentas agregadas a la Clave en el momento en que se creó la copia se copian al servidor. No puede crear más de una copia de seguridad; cada copia posterior de datos para un número de teléfono específico reemplaza la anterior.

Para recuperar datos de una copia de seguridad, necesita:

tener acceso al número de teléfono que especificaste al crearlo;

Recuerde la contraseña que estableció para cifrar la copia de seguridad.

Atención. La copia de seguridad contiene sólo los inicios de sesión y los secretos necesarios para generar contraseñas de un solo uso. Debe recordar el código PIN que estableció cuando habilitó contraseñas de un solo uso en Yandex.

Todavía no es posible eliminar una copia de seguridad del servidor Yandex. Se eliminará automáticamente si no lo utiliza dentro de un año después de su creación.

Creando una copia de seguridad

Seleccione un artículo Crear una copia de seguridad en la configuración de la aplicación.

Ingrese el número de teléfono al que se vinculará la copia de seguridad (por ejemplo, "380123456789") y haga clic en Siguiente.

Yandex enviará un código de confirmación al número de teléfono ingresado. Una vez que reciba el código, ingréselo en la aplicación.

Cree una contraseña que cifrará la copia de seguridad de sus datos. Esta contraseña no se puede recuperar, así que asegúrese de no olvidarla ni perderla.

Ingrese la contraseña que creó dos veces y haga clic en Finalizar. Yandex.Key cifrará la copia de seguridad, la enviará al servidor Yandex y la informará.

Restaurar desde una copia de seguridad

Seleccione un artículo Restaurar desde copia de seguridad en la configuración de la aplicación.

Ingrese el número de teléfono que utilizó al crear la copia de seguridad (por ejemplo, "380123456789") y haga clic en Siguiente.

Si se encuentra una copia de seguridad de los datos clave para el número especificado, Yandex enviará un código de confirmación a este número de teléfono. Una vez que reciba el código, ingréselo en la aplicación.

Asegúrese de que la fecha y hora en que se creó la copia de seguridad, así como el nombre del dispositivo, coincidan con la copia de seguridad que desea utilizar. Luego haga clic en el botón Restaurar.

Ingrese la contraseña que estableció al crear la copia de seguridad. Si no lo recuerda, lamentablemente será imposible descifrar la copia de seguridad.

Yandex.Key descifrará los datos de la copia de seguridad y le notificará que los datos han sido restaurados.

Cómo las contraseñas de un solo uso dependen del tiempo preciso

Al generar contraseñas de un solo uso, Yandex.Key tiene en cuenta la hora actual y la zona horaria configuradas en el dispositivo. Cuando hay una conexión a Internet disponible, la Clave también solicita la hora exacta al servidor: si la hora en el dispositivo está configurada incorrectamente, la aplicación hará un ajuste para esto. Pero en algunas situaciones, incluso después de la corrección y con el código PIN correcto, la contraseña de un solo uso será incorrecta.

Si está seguro de haber ingresado su código PIN y contraseña correctamente, pero no puede iniciar sesión:

Asegúrese de que su dispositivo esté configurado en la hora y zona horaria correctas. Después de eso, intente iniciar sesión con una nueva contraseña de un solo uso.

Conecte su dispositivo a Internet para que Yandex.Key pueda obtener la hora exacta por sí solo. Luego reinicie la aplicación e intente ingresar una nueva contraseña de un solo uso.

Si el problema no se resuelve, comuníquese con el soporte técnico mediante el siguiente formulario.

Deje comentarios sobre la autenticación de dos factores

Hola, queridos lectores del blog. Me gustaría continuar con el tema de la interpretación en palabras simples de términos comunes que se pueden encontrar en todas partes en nuestra era informática. Un poco antes ya, así como sobre y sobre.

Hoy tenemos un turno. autenticación. ¿Qué significa esta palabra? ¿Es este concepto diferente de autorización o identificación? ¿Qué métodos de autenticación existen, qué tan seguros son, por qué pueden ocurrir errores y por qué la autenticación de dos factores es mejor que la autenticación de un solo factor?

¿Interesante? Entonces continuemos y trataré de no decepcionarte.

¿Qué es la autenticación?

De hecho, este es un procedimiento que conocemos bien no solo nosotros (los residentes modernos), sino también nuestros ancestros lejanos (casi desde tiempos inmemoriales).

Para decirlo brevemente, entonces La autenticación es el proceso de verificar la autenticidad.(autenticidad). Y no importa de qué forma (existen al menos varios tipos). El ejemplo más simple. Entras a tu apartamento usando la llave para abrir la cerradura. Y si la puerta se abre, significa que ha pasado la autenticación con éxito.

Analicemos todo en este ejemplo:

La llave de la cerradura es su identificador (insertada y girada: está identificado). En el mundo de la informática, esto es análogo al hecho de que usted le dice al sistema el suyo.
El proceso de apertura (coincidencia de llave y cerradura) es autenticación. En el mundo de la informática, esto es análogo a pasar por la etapa de autenticación (verificar la contraseña ingresada).
Abrir la puerta y entrar al apartamento ya es autorización (acceso). En línea es una entrada a un sitio, servicio, programa o aplicación.

Como probablemente ya habrás entendido, la autenticación de dos factores en este ejemplo será respondida por la presencia de una segunda cerradura en la puerta (o la presencia de un perro en la casa, que ya realizará su propia autenticación basada en signos biométricos). olor, apariencia, presencia de golosinas en el bolsillo) .

Otro ejemplo. Sello en un documento (en un pasaporte, sello de cera en cartas antiguas).

Como puedes ver, todo es sumamente sencillo. Pero hoy en día este término se entiende más a menudo como autenticación electrónica, es decir. el proceso de iniciar sesión en sitios web, servicios, sistemas, programas e incluso conectarse a la red WiFi de su hogar. Pero, en esencia, existen pocas diferencias con el ejemplo dado.

En la versión electrónica, también tendrá un identificador (en el caso más simple) y una contraseña (análoga a un candado) necesarios para la autenticación (iniciar sesión en el sistema, acceder a Internet, iniciar sesión en un servicio en línea, etc.) .

Como dije anteriormente, hay varios tipos de autenticadores:

Como puedes ver, no existe un ideal. Por lo tanto, la llamada autenticación de dos factores (dos pasos) se utiliza a menudo para mejorar la seguridad. Veamos un ejemplo.

Autenticación de dos factores (2FA - dos pasos)

Por ejemplo, en y otros servicios relacionados con el acceso al dinero, la autenticación de dos factores se reduce a lo siguiente:

¿Qué aporta esto? Mejore significativamente la seguridad y reduzca el riesgo de que los estafadores se autentiquen por usted. El hecho es que interceptar una contraseña de un solo uso es mucho más difícil que encontrar una contraseña de uso múltiple. Además, obtener acceso a un teléfono móvil (y simplemente averiguar su número) es mucho más difícil que buscar en su computadora o correo electrónico.

Pero este es sólo uno de ejemplos de autenticación de dos factores (2FA). Tomemos las tarjetas bancarias ya mencionadas anteriormente. Aquí también se utilizan dos etapas: autenticación mediante el dispositivo (código de identificación en la tarjeta) e introducción de una contraseña personal (código PIN).

Otro ejemplo de películas es cuando primero se ingresa el código de acceso y luego se verifica la retina o la huella digital. En teoría, puedes hacer tres etapas, cuatro o cinco. Todo está determinado por la conveniencia de mantener entre una paranoia elevada y un número razonable de controles, que en algunos casos deben realizarse con bastante frecuencia.

En la mayoría de los casos, combinar dos factores es suficiente y no causa grandes inconvenientes con un uso frecuente.

Errores de autenticación

Al utilizar cualquiera de los tipos de autenticadores mencionados anteriormente (contraseñas, dispositivos y datos biométricos), pueden ocurrir errores. ¿De dónde vienen y cómo pueden evitarse y resolverse? Veamos un ejemplo.

Digamos que deseas conectar una computadora o un teléfono inteligente a la red inalámbrica que tienes en tu departamento. Para ello, se le pedirá que introduzca el nombre de la red (identificador) y la contraseña de acceso (autenticador). Si ingresas todo correctamente estarás autorizado y tendrás acceso a Internet desde el dispositivo conectado.

Pero a veces puedes mostrar un mensaje de error de autenticación. ¿Qué debes hacer en este caso?

Bueno, primero, verifique la exactitud de los datos ingresados. A menudo, al ingresar, la contraseña se cierra con asteriscos, lo que dificulta comprender la causa del error.
Se suelen utilizar contraseñas con caracteres en diferentes casos (con letras mayúsculas y minúsculas), que no todo el mundo tiene en cuenta a la hora de escribir.
En ocasiones el error puede deberse a un sistema de autenticación de dos factores que no es del todo evidente. Por ejemplo, el enrutador puede tener habilitado el bloqueo de acceso. En este caso, el sistema comprueba no sólo si el nombre de usuario y la contraseña se han introducido correctamente, sino también si la dirección Mac del dispositivo (desde el que inicia sesión) coincide con la lista de direcciones permitidas. En este caso, deberá ingresar a la configuración del enrutador (a través de un navegador desde una computadora conectada a través de Lan) y agregar la dirección de este dispositivo en la configuración de seguridad de la red inalámbrica.

Los sistemas biométricos también pueden producir errores de reconocimiento debido a su imperfección o debido a cambios en sus datos biométricos (ronquera, hinchazón, ojos entumecidos, corte en el dedo). Lo mismo puede suceder con las aplicaciones utilizadas para la autenticación de dos factores. Es para estos casos que un sistema de obtención acceso mediante códigos de respaldo. Básicamente, se trata de contraseñas de un solo uso que deberán imprimirse y guardarse en un cajón del escritorio (caja fuerte).

Si no puede autenticarse utilizando el método habitual (se muestra un error), los códigos de respaldo le permitirán iniciar sesión. Para el próximo inicio de sesión, deberá utilizar un nuevo código de respaldo. Pero este salvavidas también tiene la otra cara de la moneda: si estos códigos de respaldo son robados o atraídos (como me pasó a mí), funcionarán como una llave maestra (llave maestra universal) y toda la protección se desperdiciará.

¡Buena suerte para ti! Nos vemos pronto en las páginas del blog.

Puedes ver más vídeos entrando a

");">

Cómo habilitar la autenticación de dos factores en Google

Haga clic en la página de perfil en la esquina superior derecha de la pantalla y haga clic en el botón "Mi cuenta".
Una vez que se cargue la página de la cuenta, seleccione la página "Seguridad e inicio de sesión".
En la sección "Contraseña y método de inicio de sesión de la cuenta", seleccione "Verificación en dos pasos".
En este punto, si desea realizar cambios en el procedimiento de autenticación, es posible que Google le solicite que vuelva a ingresar su contraseña. Ingrese su contraseña para continuar configurando la seguridad.
Ahora puedes configurar la verificación en dos pasos. Haga clic en el botón "Continuar".
Ingrese su número de teléfono. Podrás recibir mensajes de texto o llamadas telefónicas a este número. Seleccione la opción deseada y haga clic en "Siguiente".
Después de esto, recibirás un mensaje SMS o una llamada telefónica con un código de acceso. Simplemente ingrese los números sin el prefijo “-G” y haga clic en “Siguiente”.
Después de esto, se abrirá la siguiente página con el mensaje "¡Exitoso!" ¿Quieres habilitar la verificación en dos pasos? Haga clic en "Habilitar".

Luego puedes ir a la página de configuración de la Verificación en 2 pasos, donde puedes configurar un segundo factor alternativo en caso de que no puedas recibir mensajes de texto o llamadas de voz. Tenga en cuenta que la opción predeterminada es recibir códigos por SMS. La funcionalidad de este método depende de su operador de telefonía móvil. Además, este método es menos seguro que otros métodos disponibles. Otra opción muy popular es utilizar la aplicación Google Authenticator o Google Prompt. También requerirán un dispositivo móvil.

Cómo agregar Google Authenticator como segundo factor de autenticación

Instale la aplicación Google Authenticator en su dispositivo móvil
Vaya a la página de configuración de autenticación en dos pasos de la cuenta de Google y en el panel "Aplicación de autenticación", haga clic en el botón "Crear".
Seleccione el sistema operativo de su teléfono inteligente: Android o iOS y haga clic en "Siguiente"
Abra la aplicación Google Authenticator en su dispositivo móvil y seleccione la opción "Escanear código de barras"
Escanea el código QR que aparece en la pantalla de tu computadora y haz clic en Siguiente
Aparecerá una notificación “código secreto guardado” en la pantalla del teléfono móvil y se mostrará un código digital. Ingrese este código en su computadora y haga clic en "Confirmar"

Cómo agregar Google Prompt como segundo factor de autenticación

Vaya a la página de verificación en dos pasos de la cuenta de Google y en el panel "Mensaje de Google", haga clic en el botón "Agregar teléfono".
En la siguiente pantalla, haga clic en "Comenzar"
Luego seleccione el teléfono vinculado a su cuenta de Google. Asegúrese de que su teléfono tenga instalada la aplicación de búsqueda de Google y esté conectado a Internet. Haga clic en "Siguiente".
En la notificación que aparece en su teléfono móvil, haga clic en el botón “Sí”.
Luego haga clic en el botón "Finalizar" en su computadora. La configuración de Google Prompt está completa.

Cómo crear una contraseña de aplicación de Google

La contraseña de una aplicación es un código de acceso de 16 dígitos que le otorga permiso a una aplicación o dispositivo para acceder a su cuenta de Google. Si utiliza la verificación en dos pasos y ve un error de "contraseña incorrecta" cuando intenta iniciar sesión en su cuenta de Google, una contraseña de la aplicación puede resolver el problema. En la mayoría de los casos, solo necesitarás ingresar la contraseña de tu aplicación una vez por aplicación o dispositivo, así que no te preocupes por recordarla.

Haga clic en el enlace "contraseñas de aplicaciones" en la sección "Contraseña y método de inicio de sesión" de la página de configuración de seguridad de la cuenta de Google. Es posible que se le solicite que inicie sesión en su cuenta de Google.
En la parte inferior, seleccione la aplicación que está utilizando en la lista desplegable.
En la siguiente lista desplegable, seleccione el dispositivo que está utilizando.
Haga clic en el botón "Crear".
Siga las instrucciones para ingresar la contraseña de la aplicación (código de 16 dígitos en la línea amarilla) en su dispositivo.
Haga clic en "Listo".

Popular en la categoría: