Doppelte Authentifizierung Yandex. Aktivieren Sie die Zwei-Faktor-Authentifizierung. Erstellen eines Backups

Doppelte Authentifizierung Yandex. Aktivieren Sie die Zwei-Faktor-Authentifizierung. Erstellen eines Backups

Wir setzen unsere Überprüfung der Authentifikatoren für Android fort. Ich möchte Sie daran erinnern, dass wir im letzten Artikel nicht nur bekannte Anwendungen für die Zwei-Faktor-Authentifizierung – Google Authenticator und Azure Authenticator – untersucht haben, sondern auch eine universelle Lösung eines spezialisierten Entwicklers – Authy 2-Faktor-Authentifizierung. Das ist optimal geworden.

Jetzt werden wir über den inländischen Authentifikator „Yandex.Key“ sprechen, der den Google Authenticator ersetzen soll. Die Anwendung sieht interessant aus, bietet zwei Arten der Autorisierung und einen eigenen Schutz. Allerdings werden wir ihm vorab keine positiven Noten geben und alles gründlich prüfen.

Der zweite Teilnehmer wird FreeOTP Authenticator sein, ein Open-Source-Programm, das wiederum zum Standard für ähnliche Lösungen werden kann. Aber das sind nur erste Vermutungen, also reden wir nicht um den heißen Brei herum und fangen wir an.

Als Testgerät diente ein DEXP Ursus 8EV2 3G Tablet (Android 4.4.2, MT8382 Prozessor, 4 x Cortex-A7 1,3 GHz, Mali-400 MP2 Videokern, 1 GB RAM, 4.000 mAh Akku, 3G Modul, WLAN 802.11 b/g/n) und Smartphone Homtom HT3 Pro (Android 5.1 Lollipop, MT6735P-Prozessor, 4 x Cortex-A53 1,0 GHz, 64-Bit, Mali-T720-Videokern, 2 GB RAM, 3.000-mAh-Akku, 4G-Modul, Wi -Fi 802.11b/g/n)

„Yandex.Key“

Bekanntschaft

„Dies ist ein Authentifikator, der Einmalpasswörter (OTP) für die Anmeldung bei Yandex, Facebook, Google, GitHub, Dropbox, VKontakte und anderen Diensten erstellt, die die Zwei-Faktor-Authentifizierung (2FA) unterstützen. Bei Yandex geben Sie anstelle des regulären Passworts das von „Key“ erstellte Passwort ein, bei anderen Diensten zusätzlich zum regulären.“

Die Beschreibung bei Google Play spricht für sich und es gibt nicht viel hinzuzufügen, außer der Tatsache, dass einige Nutzer diese Anwendung bevorzugen

Aufmerksamkeit. In Yandex entwickelte Anwendungen erfordern ein Einmalpasswort – selbst korrekt erstellte Anwendungspasswörter funktionieren nicht.

  1. Melden Sie sich mit dem QR-Code an
  2. Übertragung von Yandex.Key
  3. Master Passwort
  4. Wie Einmalpasswörter von der genauen Zeit abhängen

Melden Sie sich bei einem Yandex-Dienst oder einer Yandex-Anwendung an

Sie können ein Einmalpasswort in jeder Autorisierungsform auf Yandex oder in von Yandex entwickelten Anwendungen eingeben.

Notiz.

Sie müssen das Einmalpasswort eingeben, während es in der Anwendung angezeigt wird. Wenn bis zum Update zu wenig Zeit bleibt, warten Sie einfach auf das neue Passwort.

Um ein Einmalpasswort zu erhalten, starten Sie Yandex.Key und geben Sie den PIN-Code ein, den Sie beim Einrichten der Zwei-Faktor-Authentifizierung angegeben haben. Die Anwendung beginnt alle 30 Sekunden mit der Generierung von Passwörtern.

Yandex.Key überprüft den von Ihnen eingegebenen PIN-Code nicht und generiert keine Einmalpasswörter, selbst wenn Sie Ihren PIN-Code falsch eingegeben haben. In diesem Fall erweisen sich auch die erstellten Passwörter als falsch und Sie können sich damit nicht anmelden. Um die richtige PIN einzugeben, beenden Sie einfach die Anwendung und starten Sie sie erneut.

Merkmale von Einmalpasswörtern:

Melden Sie sich mit dem QR-Code an

Bei einigen Diensten (z. B. der Yandex-Homepage, Passport and Mail) können Sie sich bei Yandex anmelden, indem Sie einfach die Kamera auf den QR-Code richten. In diesem Fall muss Ihr Mobilgerät mit dem Internet verbunden sein, damit Yandex.Key Kontakt zum Autorisierungsserver aufnehmen kann.

    Klicken Sie in Ihrem Browser auf das QR-Code-Symbol.

    Wenn im Anmeldeformular kein solches Symbol vorhanden ist, können Sie sich bei diesem Dienst nur mit einem Passwort anmelden. In diesem Fall können Sie sich mit dem QR-Code im Passport anmelden und dann zum gewünschten Dienst gehen.

    Geben Sie Ihren PIN-Code in Yandex.Key ein und klicken Sie auf „Mit QR-Code anmelden“.

    Richten Sie die Kamera Ihres Geräts auf den im Browser angezeigten QR-Code.

Yandex.Key erkennt den QR-Code und sendet Ihren Login und Ihr Einmalpasswort an Yandex.Passport. Wenn sie die Überprüfung bestehen, werden Sie automatisch beim Browser angemeldet. Wenn das übermittelte Passwort falsch ist (z. B. weil Sie den PIN-Code in Yandex.Key falsch eingegeben haben), zeigt der Browser eine Standardmeldung über das falsche Passwort an.

Anmelden mit einem Yandex-Konto bei einer Drittanbieteranwendung oder -website

Anwendungen oder Websites, die Zugriff auf Ihre Daten auf Yandex benötigen, erfordern manchmal die Eingabe eines Passworts, um sich bei Ihrem Konto anzumelden. In solchen Fällen funktionieren Einmalpasswörter nicht – Sie müssen für jede dieser Anwendungen ein separates Anwendungspasswort erstellen.

Aufmerksamkeit. In Yandex-Anwendungen und -Diensten funktionieren nur Einmalkennwörter. Selbst wenn Sie ein Anwendungskennwort erstellen, beispielsweise für Yandex.Disk, können Sie sich damit nicht anmelden.

Übertragung von Yandex.Key

Sie können die Generierung von Einmalpasswörtern auf ein anderes Gerät übertragen oder Yandex.Key auf mehreren Geräten gleichzeitig konfigurieren. Öffnen Sie dazu die Seite „Zugriffskontrolle“ und klicken Sie auf die Schaltfläche Austausch des Geräts.

Mehrere Konten in Yandex.Key

Derselbe Yandex.Key kann für mehrere Konten mit Einmalpasswörtern verwendet werden. Um der Anwendung ein weiteres Konto hinzuzufügen, klicken Sie beim Einrichten von Einmalkennwörtern in Schritt 3 auf das Symbol in der Anwendung. Darüber hinaus können Sie Yandex.Key um die Passwortgenerierung für andere Dienste erweitern, die eine solche Zwei-Faktor-Authentifizierung unterstützen. Anweisungen für die beliebtesten Dienste finden Sie auf der Seite zum Erstellen von Bestätigungscodes, die nicht für Yandex gelten.

Um eine Kontoverknüpfung mit Yandex.Key zu entfernen, halten Sie das entsprechende Porträt in der Anwendung gedrückt, bis rechts davon ein Kreuz erscheint. Wenn Sie auf das Kreuz klicken, wird das mit Yandex.Key verknüpfte Konto gelöscht.

Aufmerksamkeit. Wenn Sie ein Konto löschen, für das Einmalpasswörter aktiviert sind, können Sie kein Einmalpasswort mehr erhalten, um sich bei Yandex anzumelden. In diesem Fall muss der Zugriff wiederhergestellt werden.

Fingerabdruck statt PIN-Code

Auf folgenden Geräten können Sie Ihren Fingerabdruck anstelle eines PIN-Codes verwenden:

    Smartphones mit Android 6.0 und einem Fingerabdruckscanner;

    iPhone ab Modell 5s;

    iPad ab Air 2.

Notiz.

Auf iOS-Smartphones und -Tablets kann der Fingerabdruck durch Eingabe des Gerätepassworts umgangen werden. Um sich davor zu schützen, aktivieren Sie ein Master-Passwort oder ändern Sie das Passwort in ein komplexeres: Öffnen Sie die App „Einstellungen“ und wählen Sie „Touch ID & Passcode“.

So aktivieren Sie die Fingerabdrucküberprüfung:

Master Passwort

Um Ihre Einmalpasswörter zusätzlich zu schützen, erstellen Sie ein Master-Passwort: → Master-Passwort.

Mit einem Master-Passwort können Sie:

    Stellen Sie sicher, dass Sie anstelle eines Fingerabdrucks nur das Yandex.Key-Master-Passwort und nicht den Gerätesperrcode eingeben können.

Sicherungskopie der Yandex.Key-Daten

Sie können eine Sicherungskopie der Schlüsseldaten auf dem Yandex-Server erstellen, damit Sie diese wiederherstellen können, wenn Sie Ihr Telefon oder Tablet mit der Anwendung verlieren. Die Daten aller Konten, die zum Zeitpunkt der Erstellung der Kopie zum Schlüssel hinzugefügt wurden, werden auf den Server kopiert. Sie können nicht mehr als eine Sicherungskopie erstellen; jede weitere Kopie der Daten für eine bestimmte Telefonnummer ersetzt die vorherige.

Um Daten aus einem Backup abzurufen, müssen Sie Folgendes tun:

    Zugriff auf die Telefonnummer haben, die Sie beim Erstellen angegeben haben;

    Merken Sie sich das Passwort, das Sie zum Verschlüsseln des Backups festgelegt haben.

Aufmerksamkeit. Die Sicherungskopie enthält nur die Logins und Geheimnisse, die zum Generieren von Einmalpasswörtern erforderlich sind. Sie müssen sich den PIN-Code merken, den Sie festgelegt haben, als Sie Einmalkennwörter auf Yandex aktiviert haben.

Es ist noch nicht möglich, eine Sicherungskopie vom Yandex-Server zu löschen. Es wird automatisch gelöscht, wenn Sie es nicht innerhalb eines Jahres nach Erstellung verwenden.

Erstellen eines Backups

    Wählen Sie einen Artikel aus Erstellen Sie ein Backup in den Anwendungseinstellungen.

    Geben Sie die Telefonnummer ein, mit der das Backup verknüpft werden soll (z. B. „71234567890“, „380123456789“), und klicken Sie auf „Weiter“.

    Yandex sendet einen Bestätigungscode an die eingegebene Telefonnummer. Sobald Sie den Code erhalten haben, geben Sie ihn in die Anwendung ein.

    Erstellen Sie ein Passwort, das die Sicherungskopie Ihrer Daten verschlüsselt. Dieses Passwort kann nicht wiederhergestellt werden. Stellen Sie daher sicher, dass Sie es nicht vergessen oder verlieren.

    Geben Sie das von Ihnen erstellte Passwort zweimal ein und klicken Sie auf Fertig stellen. Yandex.Key verschlüsselt die Sicherungskopie, sendet sie an den Yandex-Server und meldet sie.

Yandex hat ein Zwei-Faktor-Autorisierungssystem eingeführt und die Anwendung Yandex.Key veröffentlicht, mit der Sie sich bei Ihrem Konto anmelden können, ohne sich ein komplexes Passwort merken und eingeben zu müssen. Die Anwendung ist bereits für Android und iOS verfügbar und die Anmeldung bei neuen iPhone-Modellen kann mit einem Fingerabdruckscanner geschützt werden.

Es gibt mehrere Möglichkeiten, sich über Yandex.Key bei Ihrem Konto anzumelden, aber zuerst müssen Sie zur Einstellungsseite yandex.ru/promo/2fa gehen und die Zwei-Faktor-Authentifizierung aktivieren.

Bestätigen Sie Ihre Telefonnummer mit dem per SMS erhaltenen Code.

Installieren Sie die Yandex.Key-Anwendung auf Ihrem Smartphone oder Tablet.

Starten Sie die Anwendung und scannen Sie den QR-Code auf der Yandex-Website. Wenn Ihr Mobilgerät keine Kamera hat, klicken Sie auf „Geheimen Schlüssel anzeigen“ und geben Sie die angezeigten Zeichen in die Anwendung ein.

Erstellen Sie einen PIN-Code und geben Sie ihn auf der Website oder App ein.

Geben Sie das von der Anwendung auf der Website generierte Einmalpasswort ein. Dieses Passwort ist nur 30 Sekunden lang gültig, danach erscheint ein neues. Um die Einrichtung abzuschließen, müssen Sie Ihr permanentes Kontopasswort erneut eingeben.

Diese Schritte müssen nur einmal durchgeführt werden. Nach der Aktivierung der Zwei-Faktor-Authentifizierung müssen Sie sich auf allen Geräten auf Yandex-Websites erneut autorisieren. Sie können separate Passwörter für den Zugriff auf Anwendungen erstellen.

Jetzt erscheint auf der Anmeldeseite des Yandex-Kontos eine Schaltfläche mit einem QR-Code-Symbol.

Es war ein seltener Beitrag im Yandex-Blog, insbesondere zum Thema Sicherheit, ohne die Zwei-Faktor-Authentifizierung zu erwähnen. Wir haben lange darüber nachgedacht, wie wir den Schutz von Benutzerkonten richtig stärken können, und zwar so, dass er ohne alle Unannehmlichkeiten genutzt werden kann, die die heute gängigsten Implementierungen mit sich bringen. Und sie sind leider unbequem. Einigen Daten zufolge liegt der Prozentsatz der Benutzer, die zusätzliche Authentifizierungsmittel aktiviert haben, auf vielen großen Websites nicht über 0,1 %.

Dies liegt offenbar daran, dass das gängige Zwei-Faktor-Authentifizierungsschema zu komplex und unpraktisch ist. Wir haben versucht, eine Methode zu finden, die bequemer ist, ohne das Schutzniveau zu verlieren, und präsentieren heute die Beta-Version.

Wir hoffen, dass es weitere Verbreitung findet. Wir sind unsererseits bereit, an seiner Verbesserung und anschließenden Standardisierung zu arbeiten.

Nachdem Sie die Zwei-Faktor-Authentifizierung in Passport aktiviert haben, müssen Sie die Yandex.Key-Anwendung im App Store oder bei Google Play installieren. QR-Codes wurden im Autorisierungsformular auf der Yandex-Hauptseite in Mail und Passport angezeigt. Um sich bei Ihrem Konto anzumelden, müssen Sie den QR-Code über die Anwendung lesen – und das ist alles. Wenn der QR-Code nicht gelesen werden kann, weil beispielsweise die Smartphone-Kamera nicht funktioniert oder kein Internetzugang besteht, erstellt die Anwendung ein Einmalpasswort, das nur 30 Sekunden gültig ist.

Ich erzähle Ihnen, warum wir uns entschieden haben, keine „Standard“-Mechanismen wie RFC 6238 oder RFC 4226 zu verwenden. Wie funktionieren gängige Zwei-Faktor-Authentifizierungsschemata? Sie sind zweistufig. Der erste Schritt ist die normale Authentifizierung mit Login und Passwort. Bei Erfolg prüft die Site, ob ihr diese Benutzersitzung „fällt“ oder nicht. Und wenn „es mir nicht gefällt“, wird der Benutzer aufgefordert, sich „erneut zu authentifizieren“. Es gibt zwei gängige Methoden der „Vorauthentifizierung“: Senden einer SMS an die mit dem Konto verknüpfte Telefonnummer und Generieren eines zweiten Passworts auf dem Smartphone. Zur Generierung des zweiten Passworts wird grundsätzlich TOTP nach RFC 6238 verwendet. Wenn der Benutzer das zweite Passwort korrekt eingegeben hat, gilt die Sitzung als vollständig authentifiziert, andernfalls verliert die Sitzung auch die „Vorauthentifizierung“.

Beide Methoden – SMS-Versand und Passwortgenerierung – stellen den Besitznachweis des Telefons dar und sind daher ein Faktor der Verfügbarkeit. Das im ersten Schritt eingegebene Passwort ist der Wissensfaktor. Daher ist dieses Authentifizierungsschema nicht nur zweistufig, sondern auch zweifaktoriell.

Was erschien uns an diesem Schema problematisch?

Beginnen wir mit der Tatsache, dass der Computer eines durchschnittlichen Benutzers nicht immer als Vorbild für Sicherheit bezeichnet werden kann: Das Ausschalten von Windows-Updates, eine Raubkopie eines Antivirenprogramms ohne moderne Signaturen und Software zweifelhafter Herkunft – all dies erhöht das Schutzniveau nicht. Nach unserer Einschätzung ist die Kompromittierung des Computers eines Benutzers die am weitesten verbreitete Methode zum „Hijacking“ von Konten (und kürzlich gab es eine weitere Bestätigung dafür), und davor wollen wir uns in erster Linie schützen. Wenn Sie bei der Zwei-Faktor-Authentifizierung davon ausgehen, dass der Computer des Benutzers kompromittiert ist, gefährdet die Eingabe eines Passworts das Passwort selbst, das den ersten Faktor darstellt. Das bedeutet, dass der Angreifer nur den zweiten Faktor auswählen muss. Bei gängigen Implementierungen von RFC 6238 beträgt der zweite Faktor 6 Dezimalstellen (und die Spezifikation erlaubt maximal 8 Stellen). Laut dem Brute-Force-Rechner für OTP kann ein Angreifer in drei Tagen den zweiten Faktor finden, wenn er irgendwie auf den ersten aufmerksam geworden ist. Es ist nicht klar, wie der Dienst diesem Angriff entgegenwirken kann, ohne das normale Benutzererlebnis zu beeinträchtigen. Der einzig mögliche Arbeitsnachweis ist Captcha, was unserer Meinung nach das letzte Mittel ist.

Das zweite Problem ist die Undurchsichtigkeit der Beurteilung der Qualität der Benutzersitzung durch den Dienst und der Entscheidung über die Notwendigkeit einer „Vorauthentifizierung“. Schlimmer noch: Der Dienst ist nicht daran interessiert, diesen Prozess transparent zu machen, denn hier funktioniert Security by Obscurity tatsächlich. Wenn ein Angreifer weiß, auf welcher Grundlage der Dienst über die Legitimität einer Sitzung entscheidet, kann er versuchen, diese Daten zu fälschen. Als allgemeine Regel können wir den Schluss ziehen, dass die Beurteilung auf der Grundlage des Authentifizierungsverlaufs des Benutzers unter Berücksichtigung der IP-Adresse (und ihrer Ableitungen der autonomen Systemnummer, die den Anbieter identifiziert, und des Standorts basierend auf der Geobasis) und Browserdaten erfolgt. zum Beispiel der User-Agent-Header und eine Reihe von Cookies, Flash-LSO und lokaler HTML-Speicher. Das heißt, wenn ein Angreifer den Computer eines Benutzers kontrolliert, kann er nicht nur alle notwendigen Daten stehlen, sondern auch die IP-Adresse des Opfers nutzen. Wenn die Entscheidung außerdem auf der Grundlage der ASN getroffen wird, kann jede Authentifizierung über öffentliches WLAN in einem Café zu einer „Vergiftung“ aus Sicherheitssicht (und einer Beschönigung aus Servicesicht) des Anbieters führen Coffeeshop und zum Beispiel die Übertünchung aller Coffeeshops in der Stadt. Wir haben darüber gesprochen, wie ein Anomalieerkennungssystem funktioniert und wie es eingesetzt werden könnte, aber die Zeit zwischen der ersten und zweiten Authentifizierungsstufe reicht möglicherweise nicht aus, um eine Anomalie zuverlässig beurteilen zu können. Darüber hinaus zerstört das gleiche Argument die Idee „vertrauenswürdiger“ Computer: Ein Angreifer kann alle Informationen stehlen, die das Vertrauensurteil beeinflussen.

Schließlich ist die zweistufige Authentifizierung einfach unbequem: Unsere Usability-Studie zeigt, dass nichts den Benutzer mehr irritiert als ein Zwischenbildschirm, zusätzliche Tastenklicks und andere aus seiner Sicht „unwichtige“ Aktionen.
Auf dieser Grundlage haben wir entschieden, dass die Authentifizierung einstufig erfolgen und der Passwortraum deutlich größer sein sollte, als dies im Rahmen des „reinen“ RFC 6238 möglich ist.
Gleichzeitig wollten wir die Zwei-Faktor-Authentifizierung so weit wie möglich beibehalten.

Die Multifaktor-Authentifizierung wird durch die Zuweisung von Authentifizierungselementen (eigentlich werden sie Faktoren genannt) zu einer von drei Kategorien definiert:

  1. Wissensfaktoren (das sind herkömmliche Passwörter, PIN-Codes und alles, was so aussieht);
  2. Eigentumsfaktoren (in den verwendeten OTP-Systemen ist dies normalerweise ein Smartphone, kann aber auch ein Hardware-Token sein);
  3. Biometrische Faktoren (Fingerabdruck ist derzeit am häufigsten, obwohl sich jemand an die Episode mit der Figur von Wesley Snipes im Film „Demolition Man“ erinnern wird).

Entwicklung unseres Systems

Als wir anfingen, uns mit dem Problem der Zwei-Faktor-Authentifizierung zu beschäftigen (die ersten Seiten des Unternehmens-Wikis zu diesem Thema stammen aus dem Jahr 2012, aber es wurde zuvor hinter den Kulissen diskutiert), bestand die erste Idee darin, Standard-Authentifizierungsmethoden zu übernehmen und diese anzuwenden zu uns. Uns war klar, dass wir nicht damit rechnen konnten, dass Millionen unserer Benutzer einen Hardware-Token kaufen würden, deshalb haben wir diese Option für einige exotische Fälle verschoben (obwohl wir sie nicht ganz aufgeben, können wir uns vielleicht etwas Interessantes einfallen lassen). Auch die SMS-Methode konnte nicht weit verbreitet sein: Es handelt sich um eine sehr unzuverlässige Zustellungsmethode (im entscheidenden Moment kann es sein, dass die SMS verzögert ankommt oder überhaupt nicht ankommt), und das Versenden von SMS kostet Geld (und die Betreiber haben begonnen, ihre Preise zu erhöhen). . Wir haben entschieden, dass die Verwendung von SMS für Banken und andere Low-Tech-Unternehmen gedacht ist, und wir möchten unseren Benutzern etwas Bequemeres bieten. Generell war die Auswahl gering: Nutzen Sie als zweiten Faktor das Smartphone und das darin enthaltene Programm.

Diese Form der einstufigen Authentifizierung ist weit verbreitet: Der Benutzer merkt sich den PIN-Code (erster Faktor) und verfügt über einen Hardware- oder Software-Token (in einem Smartphone), der ein OTP generiert (zweiter Faktor). Im Passworteingabefeld gibt er den PIN-Code und den aktuellen OTP-Wert ein.

Unserer Meinung nach ist der Hauptnachteil dieses Schemas derselbe wie der der zweistufigen Authentifizierung: Wenn wir davon ausgehen, dass der Desktop des Benutzers kompromittiert ist, führt die einmalige Eingabe des PIN-Codes zu dessen Offenlegung und der Angreifer kann nur den zweiten finden Faktor.

Wir haben uns für einen anderen Weg entschieden: Das gesamte Passwort wird aus dem Geheimnis generiert, aber nur ein Teil des Geheimnisses wird im Smartphone gespeichert und ein Teil wird vom Benutzer bei jeder Passwortgenerierung eingegeben. So ist das Smartphone selbst ein Besitzfaktor, das Passwort bleibt im Kopf des Nutzers und ist ein Wissensfaktor.

Die Nonce kann entweder ein Zähler oder die aktuelle Zeit sein. Wir haben uns entschieden, die aktuelle Zeit zu wählen, damit wir keine Angst vor einer Desynchronisierung haben, falls jemand zu viele Passwörter generiert und den Zähler erhöht.

Wir haben also ein Programm für ein Smartphone, bei dem der Benutzer seinen Teil des Geheimnisses eingibt, dieser mit dem gespeicherten Teil gemischt wird und das Ergebnis als HMAC-Schlüssel verwendet wird, mit dem die aktuelle Uhrzeit signiert wird, gerundet auf 30 Sekunden. Die HMAC-Ausgabe wird in eine lesbare Form konvertiert, und voilà – hier ist das Einmalpasswort!

Wie bereits erwähnt, legt RFC 4226 fest, dass das HMAC-Ergebnis auf maximal 8 Dezimalstellen gekürzt wird. Wir haben entschieden, dass ein Passwort dieser Größe nicht für die One-Step-Authentifizierung geeignet ist und erhöht werden sollte. Gleichzeitig wollten wir die Benutzerfreundlichkeit beibehalten (denken Sie daran, wir wollen ein System schaffen, das von normalen Menschen und nicht nur von Sicherheitsfreaks verwendet werden kann), also als Kompromiss in der aktuellen Version des Systems haben wir uns dafür entschieden, das lateinische Alphabet auf 8 Zeichen zu kürzen. Es scheint, dass 26^8 Passwörter, die 30 Sekunden lang gültig sind, durchaus akzeptabel sind, aber wenn uns der Sicherheitsspielraum nicht zusagt (oder wertvolle Tipps zur Verbesserung dieses Schemas auf Habré erscheinen), erweitern wir beispielsweise auf 10 Zeichen.

Erfahren Sie mehr über die Stärke solcher Passwörter

Tatsächlich beträgt die Anzahl der Optionen pro Zeichen für lateinische Buchstaben ohne Berücksichtigung der Groß-/Kleinschreibung 26; für große und kleine lateinische Buchstaben plus Zahlen beträgt die Anzahl der Optionen 26+26+10=62. Dann ist log 62 (26 10) ≈ 7,9, das heißt, ein Passwort aus 10 zufälligen kleinen lateinischen Buchstaben ist fast so sicher wie ein Passwort aus 8 zufälligen großen und kleinen lateinischen Buchstaben oder Zahlen. Das wird auf jeden Fall für 30 Sekunden reichen. Wenn wir von einem 8-stelligen Passwort aus lateinischen Buchstaben sprechen, dann beträgt seine Stärke log 62 (26 8) ≈ 6,3, also etwas mehr als ein 6-stelliges Passwort aus Großbuchstaben, Kleinbuchstaben und Zahlen. Wir denken, dass dies für ein 30-Sekunden-Fenster immer noch akzeptabel ist.

Magie, Passwortlosigkeit, Anwendungen und nächste Schritte

Generell hätten wir hier aufhören können, aber wir wollten das System noch komfortabler machen. Wenn jemand ein Smartphone in der Hand hält, möchte er das Passwort nicht über die Tastatur eingeben!

Deshalb haben wir mit der Arbeit am „magischen Login“ begonnen. Bei dieser Authentifizierungsmethode startet der Nutzer die Anwendung auf seinem Smartphone, gibt dort seinen PIN-Code ein und scannt den QR-Code auf seinem Computerbildschirm. Bei korrekter Eingabe des PIN-Codes wird die Seite im Browser neu geladen und der Benutzer authentifiziert. Magie!

Wie funktioniert es?

Die Sitzungsnummer ist in den QR-Code eingebettet und wird beim Scannen durch die Anwendung zusammen mit dem wie gewohnt generierten Passwort und Benutzernamen an den Server übermittelt. Das ist nicht schwer, da das Smartphone fast immer online ist. Im Layout der Seite mit dem QR-Code läuft JavaScript und wartet auf eine Antwort vom Server, um das Passwort für diese Sitzung zu überprüfen. Wenn der Server antwortet, dass das Passwort korrekt ist, werden zusammen mit der Antwort Sitzungscookies gesetzt und der Benutzer gilt als authentifiziert.

Es wurde besser, aber wir beschlossen, auch hier nicht aufzuhören. Beginnend mit dem iPhone 5S führten Apple-Telefone und -Tablets den TouchID-Fingerabdruckscanner ein, und in der iOS-Version 8 können ihn auch Anwendungen von Drittanbietern verwenden. In Wirklichkeit erhält die Anwendung keinen Zugriff auf den Fingerabdruck. Wenn der Fingerabdruck jedoch korrekt ist, steht der Anwendung der zusätzliche Abschnitt „Schlüsselbund“ zur Verfügung. Das haben wir ausgenutzt. Der zweite Teil des Geheimnisses wird im TouchID-geschützten Schlüsselbunddatensatz abgelegt, den der Benutzer im vorherigen Szenario über die Tastatur eingegeben hat. Beim Entsperren des Schlüsselbunds werden die beiden Teile des Geheimnisses gemischt und dann funktioniert der Vorgang wie oben beschrieben.

Aber es ist für den Benutzer unglaublich bequem geworden: Er öffnet die Anwendung, legt seinen Finger auf, scannt den QR-Code auf dem Bildschirm und wird im Browser seines Computers authentifiziert! Also haben wir den Wissensfaktor durch einen biometrischen ersetzt und aus Nutzersicht komplett auf Passwörter verzichtet. Wir sind sicher, dass normale Leute dieses Schema viel bequemer finden werden, als zwei Passwörter manuell einzugeben.

Es ist fraglich, wie technisch gesehen die Zwei-Faktor-Authentifizierung funktioniert, aber in Wirklichkeit muss man immer noch über ein Telefon und den richtigen Fingerabdruck verfügen, um sie erfolgreich abzuschließen. Daher sind wir der Meinung, dass es uns ziemlich gelungen ist, den Wissensfaktor zu eliminieren und ihn durch Biometrie zu ersetzen . Wir verstehen, dass wir auf die Sicherheit der ARM TrustZone vertrauen, die iOS Secure Enclave zugrunde liegt, und wir glauben, dass dieses Subsystem derzeit in unserem Bedrohungsmodell als vertrauenswürdig angesehen werden kann. Natürlich sind wir uns der Probleme der biometrischen Authentifizierung bewusst: Ein Fingerabdruck ist kein Passwort und kann im Falle einer Kompromittierung nicht ersetzt werden. Aber andererseits weiß jeder, dass Sicherheit umgekehrt proportional zur Bequemlichkeit ist und der Benutzer selbst das Recht hat, das für ihn akzeptable Verhältnis zwischen dem einen und dem anderen zu wählen.

Ich möchte Sie daran erinnern, dass dies noch eine Betaversion ist. Wenn jetzt die Zwei-Faktor-Authentifizierung aktiviert ist, deaktivieren wir vorübergehend die Passwortsynchronisierung im Yandex Browser. Dies liegt an der Art und Weise, wie die Passwortdatenbank verschlüsselt ist. Wir entwickeln bereits eine bequeme Möglichkeit, den Browser im Fall von 2FA zu authentifizieren. Alle anderen Yandex-Funktionen funktionieren wie zuvor.

Das haben wir bekommen. Es scheint gut gelaufen zu sein, aber Sie sind der Richter. Wir freuen uns über Ihr Feedback und Ihre Empfehlungen und werden weiter daran arbeiten, die Sicherheit unserer Dienste zu verbessern: Jetzt verfügen wir neben CSP, Verschlüsselung des E-Mail-Transports und allem anderen auch über eine Zwei-Faktor-Authentifizierung. Vergessen Sie nicht, dass Authentifizierungsdienste und OTP-Generierungsanwendungen von entscheidender Bedeutung sind und daher im Rahmen des Bug Bounty-Programms ein doppelter Bonus für darin gefundene Fehler gezahlt wird.

Tags: Tags hinzufügen

Beliebt in der Kategorie:
Coxsackie-Virus: Symptome und Behandlung bei Kindern (Fotos), Virus bei Erwachsenen
Coxsackie-Virus: Symptome und Behandlung bei Kindern (Fotos), Virus bei Erwachsenen
lesen
Befehlszeile. Befehlszeile. Grundlegende Befehle zum Arbeiten mit Systemverzeichnissen
Befehlszeile. Befehlszeile. Grundlegende Befehle für die Arbeit mit...
lesen
Beschreibung der Tasten der Computertastatur. Alle wichtigen Funktionen der Computertastatur
Beschreibung der Tasten der Computertastatur Die Computertastatur ist alles...
lesen
Tastaturtastenbelegung
Tastaturtastenbelegung
lesen

Neueste Artikel
Häufige Fehler in SZV und wie man sie korrigiert Typen...
lesen
Was steckten Kuriere in Briefkästen?
lesen
Programm zum Brennen von Musik auf CD und DVD
lesen
Lenovo TAB A10: technische Spezifikationen und...
lesen
Wie man ein Mobiltelefon abhört: möglich...
lesen
Welches Sony Xperia Smartphone ist besser?
lesen
Alcatel OneTouch Idol X - Technische...
lesen
Regex - Beispiele - htaccess-Regeln validieren ...
lesen
Spitze