Çift kimlik doğrulama Yandex. İki faktörlü kimlik doğrulamayı etkinleştirin. Yedekleme Oluşturma

Çift kimlik doğrulama Yandex. İki faktörlü kimlik doğrulamayı etkinleştirin. Yedekleme Oluşturma

Android için kimlik doğrulayıcıları incelememize devam ediyoruz. Son makalede yalnızca iki faktörlü kimlik doğrulamaya yönelik ünlü uygulamaları (Google Authenticator ve Azure Authenticator) değil, aynı zamanda uzman bir geliştiricinin evrensel çözümünü (Authy 2-Factor Authentication) incelediğimizi hatırlatmama izin verin. Optimal hale gelen şey budur.

Şimdi Google Authenticator'ın yerini almak üzere tasarlanan yerli kimlik doğrulayıcı - “Yandex.Key” hakkında konuşacağız. Uygulama ilginç görünüyor, iki tür yetkilendirme ve kendi korumasını sunuyor. Ancak kendisine önceden olumlu not vermeyeceğiz ve her şeyi iyice kontrol edeceğiz.

İkinci katılımcı ise benzer çözümler için standart haline gelebilecek açık kaynaklı bir program olan FreeOTP Authenticator olacak. Ancak bunlar sadece ilk tahminler, o yüzden boş boş dolaşmayalim ve başlayalım.

Kullanılan test ekipmanı DEXP Ursus 8EV2 3G tabletti (Android 4.4.2, MT8382 işlemci, 4 x Cortex-A7 1.3 GHz, Mali-400 MP2 video çekirdeği, 1 GB RAM, 4.000 mAh pil, 3G modül, Wi-Fi) 802.11 b/g/n) ve akıllı telefon Homtom HT3 Pro (Android 5.1 Lollipop, MT6735P işlemci, 4 x Cortex-A53 1,0 GHz, 64 bit, Mali-T720 video çekirdeği, 2 GB RAM, 3.000 mAh pil, 4G modül, Wi-Fi -Fi 802.11b/g/n)

"Yandex.Anahtar"

tanıdık

“Bu, Yandex, Facebook, Google, GitHub, Dropbox, VKontakte ve iki faktörlü kimlik doğrulamayı (2FA) destekleyen diğer hizmetlere giriş yapmak için tek kullanımlık şifreler (OTP) oluşturan bir kimlik doğrulayıcıdır. Yandex'de normal şifre yerine “Anahtar” tarafından oluşturulan şifreyi, diğer servislerde ise normal şifreyle birlikte gireceksiniz.”

Google Play'deki açıklama kendini anlatıyor ve bazı kullanıcıların bu uygulamayı tercih etmesi dışında eklenecek pek bir şey yok.

Dikkat. Yandex'de geliştirilen uygulamalar tek kullanımlık şifre gerektirir; doğru oluşturulmuş uygulama şifreleri bile çalışmaz.

  1. QR kodunu kullanarak giriş yapın
  2. Yandex.Anahtarın Aktarılması
  3. Ana parola
  4. Tek kullanımlık şifreler kesin zamana nasıl bağlıdır?

Bir Yandex servisine veya uygulamasına giriş yapın

Yandex'de veya Yandex tarafından geliştirilen uygulamalarda herhangi bir yetkilendirme biçiminde tek kullanımlık şifre girebilirsiniz.

Not.

Tek kullanımlık şifreyi uygulamada görüntülenirken girmeniz gerekmektedir. Güncellemeye çok az süre kaldıysa yeni şifreyi bekleyin.

Tek kullanımlık şifre almak için Yandex.Anahtar'ı başlatın ve iki faktörlü kimlik doğrulamayı ayarlarken belirttiğiniz PIN kodunu girin. Uygulama her 30 saniyede bir şifre oluşturmaya başlayacaktır.

Yandex.Anahtar, girdiğiniz PIN kodunu kontrol etmez ve PIN kodunuzu yanlış girmiş olsanız bile tek kullanımlık şifreler üretir. Bu durumda oluşturulan şifreler de hatalı çıkar ve onlarla giriş yapamazsınız. Doğru PIN'i girmek için uygulamadan çıkıp tekrar başlatmanız yeterlidir.

Tek kullanımlık şifrelerin özellikleri:

QR kodunu kullanarak giriş yapın

Bazı hizmetler (örneğin, Yandex ana sayfası, Pasaport ve Posta), kamerayı QR koduna doğrultarak Yandex'te oturum açmanıza olanak tanır. Bu durumda Yandex.Anahtar'ın yetkilendirme sunucusuyla iletişim kurabilmesi için mobil cihazınızın internete bağlı olması gerekir.

    Tarayıcınızdaki QR kodu simgesine tıklayın.

    Giriş formunda böyle bir simge yoksa, bu hizmete yalnızca şifre kullanarak giriş yapabilirsiniz. Bu durumda Pasaporttaki QR kodunu kullanarak giriş yapabilir ve ardından istediğiniz hizmete gidebilirsiniz.

    PIN kodunuzu Yandex.Anahtar'a girin ve QR kodunu kullanarak giriş yap'a tıklayın.

    Cihazınızın kamerasını tarayıcıda görüntülenen QR koduna doğrultun.

Yandex.Anahtar QR kodunu tanıyacak ve giriş bilgilerinizi ve tek kullanımlık şifrenizi Yandex.Pasaport'a gönderecektir. Doğrulamayı geçerlerse tarayıcıda otomatik olarak oturum açarsınız. Aktarılan şifre yanlışsa (örneğin PIN kodunu Yandex.Anahtar'a yanlış girdiğiniz için), tarayıcı yanlış şifreyle ilgili standart bir mesaj görüntüler.

Üçüncü taraf bir uygulamaya veya web sitesine Yandex hesabıyla giriş yapmak

Yandex'deki verilerinize erişmesi gereken uygulamalar veya siteler bazen hesabınıza giriş yapmak için şifre girmenizi gerektirir. Bu gibi durumlarda tek kullanımlık şifreler işe yaramayacaktır; bu tür her uygulama için ayrı bir uygulama şifresi oluşturmanız gerekir.

Dikkat. Yandex uygulama ve hizmetlerinde yalnızca tek kullanımlık şifreler çalışır. Örneğin Yandex.Disk için bir uygulama şifresi oluştursanız bile bu şifreyle oturum açamazsınız.

Yandex.Anahtarın Aktarılması

Tek kullanımlık şifrelerin oluşturulmasını başka bir cihaza aktarabilir veya Yandex.Anahtarı aynı anda birden fazla cihazda yapılandırabilirsiniz. Bunu yapmak için Erişim Kontrolü sayfasını açın ve düğmesine tıklayın. Cihazın değiştirilmesi.

Yandex.Anahtar'da birden fazla hesap

Aynı Yandex.Anahtar, tek kullanımlık şifrelere sahip birden fazla hesap için kullanılabilir. Uygulamaya başka bir hesap eklemek için 3. adımda tek kullanımlık şifreler ayarlarken uygulamadaki simgeye tıklayın. Ayrıca, iki faktörlü kimlik doğrulamayı destekleyen diğer hizmetler için Yandex.Anahtar'a şifre oluşturma özelliği de ekleyebilirsiniz. Yandex için olmayan doğrulama kodlarının oluşturulmasıyla ilgili sayfada en popüler hizmetlere ilişkin talimatlar verilmektedir.

Hesap bağlantısını Yandex.Anahtar'a kaldırmak için, uygulamada ilgili portrenin sağında bir çarpı işareti görünene kadar basılı tutun. Çarpı işaretine tıkladığınızda hesabınızın Yandex.Anahtar'a bağlantısı silinecektir.

Dikkat. Tek kullanımlık şifrelerin etkin olduğu bir hesabı silerseniz, Yandex'e giriş yapmak için tek kullanımlık şifre alamazsınız. Bu durumda erişimi yeniden sağlamak gerekli olacaktır.

PIN kodu yerine parmak izi

Aşağıdaki cihazlarda PIN kodu yerine parmak izinizi kullanabilirsiniz:

    Android 6.0 çalıştıran akıllı telefonlar ve parmak izi tarayıcısı;

    iPhone model 5'lerden başlayarak;

    Air 2 ile başlayan iPad.

Not.

İOS akıllı telefonlarda ve tabletlerde, cihaz şifresi girilerek parmak izi atlanabilir. Buna karşı korunmak için bir ana şifreyi etkinleştirin veya şifreyi daha karmaşık bir şifreyle değiştirin: Ayarlar uygulamasını açın ve Touch ID ve Şifre'yi seçin.

Parmak izi doğrulamayı etkinleştirmeyi kullanmak için:

Ana parola

Tek kullanımlık şifrelerinizi daha fazla korumak için bir ana şifre oluşturun: → Ana Şifre.

Ana parolayla şunları yapabilirsiniz:

    parmak izi yerine cihazın kilit kodunu değil, yalnızca Yandex.Anahtar ana şifresini girebileceğiniz şekilde yapın;

Yandex.Anahtar verilerinin yedek kopyası

Uygulamayla birlikte telefonunuzu veya tabletinizi kaybederseniz geri yükleyebilmeniz için Yandex sunucusunda Anahtar verilerinin yedek bir kopyasını oluşturabilirsiniz. Kopyanın oluşturulduğu sırada Anahtara eklenen tüm hesapların verileri sunucuya kopyalanır. Birden fazla yedek kopya oluşturamazsınız; belirli bir telefon numarasına ait verilerin sonraki her kopyası bir öncekinin yerine geçer.

Bir yedeklemeden veri almak için şunları yapmanız gerekir:

    oluştururken belirttiğiniz telefon numarasına erişebilirsiniz;

    yedeği şifrelemek için belirlediğiniz şifreyi unutmayın.

Dikkat. Yedek kopya yalnızca tek kullanımlık şifreler oluşturmak için gerekli olan oturum açma bilgilerini ve gizli bilgileri içerir. Yandex'de tek kullanımlık şifreleri etkinleştirirken belirlediğiniz PIN kodunu hatırlamanız gerekir.

Yedek kopyanın Yandex sunucusundan silinmesi henüz mümkün değildir. Oluşturulduktan sonraki bir yıl içerisinde kullanmazsanız otomatik olarak silinecektir.

Yedekleme Oluşturma

    Bir öğe seçin Yedek oluştur uygulama ayarlarında.

    Yedeğin bağlanacağı telefon numarasını girin (örneğin, “71234567890” “380123456789”) ve İleri'ye tıklayın.

    Yandex, girilen telefon numarasına bir onay kodu gönderecektir. Kodu aldıktan sonra uygulamaya girin.

    Verilerinizin yedek kopyasını şifreleyecek bir şifre oluşturun. Bu şifre kurtarılamaz, bu yüzden unutmadığınızdan veya kaybetmediğinizden emin olun.

    Oluşturduğunuz şifreyi iki kez girin ve Son'a tıklayın. Yandex.Anahtar yedek kopyayı şifreleyip Yandex sunucusuna gönderecek ve raporlayacaktır.

Yandex, iki faktörlü bir yetkilendirme sistemi başlattı ve karmaşık bir şifreyi hatırlamanıza ve girmenize gerek kalmadan hesabınıza giriş yapmak için Yandex.Key uygulamasını yayınladı. Uygulama zaten Android ve iOS'ta mevcut ve yeni iPhone modellerinde uygulamaya giriş yapmak bir parmak izi tarayıcıyla korunabiliyor.

Yandex.Anahtar aracılığıyla hesabınıza giriş yapmanın birkaç yolu vardır, ancak önce yandex.ru/promo/2fa ayarlar sayfasına gitmeniz ve iki faktörlü kimlik doğrulamayı etkinleştirmeniz gerekir.

SMS ile gelen kod ile telefon numaranızı doğrulayın.

Yandex.Anahtar uygulamasını akıllı telefonunuza veya tabletinize yükleyin.

Uygulamayı başlatın ve Yandex web sitesindeki QR kodunu tarayın. Mobil cihazınızın kamerası yoksa “Gizli anahtarı göster” seçeneğine tıklayın ve görüntülenen karakterleri uygulamaya girin.

Bir PIN kodu oluşturun ve bunu web sitesine veya uygulamaya girin.

Web sitesinde uygulama tarafından oluşturulan tek kullanımlık şifreyi girin. Bu şifre yalnızca 30 saniye süreyle geçerlidir ve ardından yeni bir şifre belirir. Kurulumu tamamlamak için kalıcı hesap şifrenizi tekrar girmeniz gerekecektir.

Bu adımların yalnızca bir kez tamamlanması gerekir. İki faktörlü kimlik doğrulamayı etkinleştirdikten sonra, tüm cihazlarda Yandex web sitelerinde yeniden yetkilendirme yapmanız gerekecektir. Uygulamalara erişim için ayrı şifreler oluşturabilirsiniz.

Artık Yandex hesabı giriş sayfasında QR kod simgeli bir düğme görünecektir.

Yandex blogunda, iki faktörlü kimlik doğrulamadan bahsetmeden, özellikle güvenlikle ilgili nadir bir gönderiydi. Kullanıcı hesaplarının korunmasını, günümüzün en yaygın uygulamalarını içeren tüm sakıncalar olmadan kullanılabilecek şekilde nasıl düzgün bir şekilde güçlendirebileceğimizi uzun zamandır düşünüyoruz. Ve ne yazık ki onlar sakıncalıdır. Bazı verilere göre birçok büyük sitede ek kimlik doğrulama araçlarını etkinleştiren kullanıcıların yüzdesi %0,1'i geçmiyor.

Görünüşe göre bunun nedeni, yaygın iki faktörlü kimlik doğrulama şemasının çok karmaşık ve kullanışsız olmasıdır. Koruma seviyesini kaybetmeden daha kullanışlı bir yöntem bulmaya çalıştık ve bugün beta sürümünü sunuyoruz.

Daha da yaygınlaşmasını umuyoruz. Kendi açımızdan, bunun iyileştirilmesi ve daha sonra standardizasyonu üzerinde çalışmaya hazırız.

Passport'ta iki faktörlü kimlik doğrulamayı etkinleştirdikten sonra App Store veya Google Play'den Yandex.Key uygulamasını yüklemeniz gerekecektir. QR kodları, Yandex ana sayfasındaki Mail ve Passport'taki yetkilendirme formunda göründü. Hesabınıza giriş yapmak için uygulama aracılığıyla QR kodunu okumanız gerekir - hepsi bu. QR kodun okunamaması, örneğin akıllı telefonun kamerasının çalışmaması veya internete erişimin olmaması durumunda uygulama, yalnızca 30 saniye geçerli olacak tek kullanımlık bir şifre oluşturacaktır.

Size neden RFC 6238 veya RFC 4226 gibi "standart" mekanizmaları kullanmamaya karar verdiğimizi anlatacağım. Yaygın iki faktörlü kimlik doğrulama şemaları nasıl çalışır? İki aşamalıdırlar. İlk aşama, kullanıcı adı ve şifreyle normal kimlik doğrulamadır. Başarılı olursa site, bu kullanıcı oturumunu "beğenip beğenmediğini" kontrol eder. Ve eğer "beğenmedim" ise kullanıcıdan "yeniden kimlik doğrulaması" yapmasını ister. "Ön kimlik doğrulamanın" iki yaygın yöntemi vardır: hesapla ilişkili telefon numarasına SMS göndermek ve akıllı telefonda ikinci bir şifre oluşturmak. Temel olarak, RFC 6238'e göre TOTP, ikinci şifreyi oluşturmak için kullanılır.Kullanıcı ikinci şifreyi doğru girerse, oturum tamamen doğrulanmış olarak kabul edilir ve eğer girilmemişse, oturum "ön kimlik doğrulamayı" da kaybeder.

Her iki yöntem de (SMS göndermek ve şifre oluşturmak) telefonun sahibi olduğunuzun kanıtıdır ve bu nedenle kullanılabilirlik faktörüdür. İlk aşamada girilen şifre bilgi faktörüdür. Bu nedenle, bu kimlik doğrulama şeması yalnızca iki adımlı değil aynı zamanda iki faktörlüdür.

Bu şemada bize sorunlu görünen neydi?

Ortalama bir kullanıcının bilgisayarının her zaman bir güvenlik modeli olarak adlandırılamayacağı gerçeğiyle başlayalım: Windows güncellemelerini kapatmak, modern imzaları olmayan korsan bir antivirüs kopyası ve kaynağı şüpheli yazılım - tüm bunlar koruma düzeyini artırmaz. Değerlendirmemize göre, bir kullanıcının bilgisayarının ele geçirilmesi, hesapların "ele geçirilmesinin" en yaygın yöntemidir (ve yakın zamanda bunun bir başka onayı daha olmuştur) ve her şeyden önce kendimizi korumak istediğimiz şey budur. İki faktörlü kimlik doğrulama durumunda, kullanıcının bilgisayarının ele geçirildiğini varsayarsanız, bilgisayara bir parola girilmesi, ilk faktör olan parolanın kendisinin tehlikeye atılmasına neden olur. Bu, saldırganın yalnızca ikinci faktörü seçmesi gerektiği anlamına gelir. RFC 6238'in yaygın uygulamaları durumunda, ikinci faktör 6 ondalık basamaktır (ve spesifikasyonun izin verdiği maksimum sayı 8 basamaktır). OTP'nin kaba kuvvet hesaplayıcısına göre, bir saldırgan bir şekilde birinci faktörün farkına varırsa üç gün içinde ikinci faktörü bulabilir. Hizmetin kullanıcının normal deneyimini bozmadan bu saldırıya nasıl karşı koyabileceği açık değil. Çalışmanın mümkün olan tek kanıtı, bizce son çare olan captcha'dır.

İkinci sorun, hizmetin kullanıcı oturumunun kalitesine ilişkin yargısının ve "ön kimlik doğrulama" ihtiyacına ilişkin kararın şeffaf olmamasıdır. Daha da kötüsü, hizmet bu süreci şeffaf hale getirmekle ilgilenmiyor çünkü gizlilik yoluyla güvenlik aslında burada çalışıyor. Saldırgan, hizmetin bir oturumun meşruluğuna ilişkin kararı neye dayanarak verdiğini biliyorsa, bu verileri taklit etmeye çalışabilir. Genel bir kural olarak, kararın, IP adresi (ve sağlayıcıyı tanımlayan otonom sistem numarasının türevleri ve coğrafi tabana dayalı konumu) ve tarayıcı verileri dikkate alınarak kullanıcının kimlik doğrulama geçmişine dayalı olarak verildiği sonucuna varabiliriz. örneğin, Kullanıcı Aracısı başlığı ve bir dizi çerez, flash lso ve html yerel depolama. Bu, bir saldırganın kullanıcının bilgisayarını kontrol etmesi durumunda yalnızca gerekli tüm verileri çalmakla kalmayıp aynı zamanda kurbanın IP adresini de kullanabileceği anlamına gelir. Üstelik karar ASN'ye göre verilirse, bir kafede halka açık Wi-Fi üzerinden yapılan herhangi bir kimlik doğrulama, bu sağlayıcının güvenlik açısından (ve hizmet açısından aklama) "zehirlenmesine" yol açabilir. kahvehane ve örneğin şehirdeki tüm kahvehanelerin badanalanması. Bir anormallik tespit sisteminin nasıl çalıştığından ve kullanılabildiğinden bahsettik, ancak kimlik doğrulamanın birinci ve ikinci aşamaları arasındaki süre, bir anormalliği güvenle yargılamak için yeterli olmayabilir. Üstelik aynı argüman "güvenilir" bilgisayarlar fikrini de yerle bir ediyor: Bir saldırgan, güven kararını etkileyen her türlü bilgiyi çalabilir.

Son olarak, iki adımlı kimlik doğrulama kesinlikle sakıncalıdır: Kullanılabilirlik araştırmamız, kullanıcıları bir ara ekran, ek düğme tıklamaları ve onların bakış açısından diğer "önemsiz" eylemlerden daha fazla rahatsız eden hiçbir şeyin olmadığını göstermektedir.
Bundan yola çıkarak kimlik doğrulamanın tek adımlı olması ve şifre alanının “saf” RFC 6238 çerçevesinde mümkün olandan çok daha geniş olması gerektiğine karar verdik.
Aynı zamanda iki faktörlü kimlik doğrulamayı mümkün olduğunca korumak istedik.

Çok faktörlü kimlik doğrulama, kimlik doğrulama öğelerinin (aslında bunlara faktör denir) üç kategoriden birine atanmasıyla tanımlanır:

  1. Bilgi faktörleri (bunlar geleneksel şifreler, PIN kodları ve bunlara benzeyen her şeydir);
  2. Sahiplik faktörleri (kullanılan OTP şemalarında bu genellikle bir akıllı telefondur ancak aynı zamanda bir donanım belirteci de olabilir);
  3. Biyometrik faktörler (parmak izi şu anda en yaygın olanıdır, ancak birisi Demolition Man filmindeki Wesley Snipes karakterinin olduğu bölümü hatırlayacaktır).

Sistemimizin geliştirilmesi

İki faktörlü kimlik doğrulama sorunu üzerinde çalışmaya başladığımızda (bu konuyla ilgili kurumsal wiki'nin ilk sayfaları 2012'ye dayanıyor, ancak daha önce perde arkasında tartışılmıştı), ilk fikir standart kimlik doğrulama yöntemlerini alıp bunları uygulamaktı. bize. Milyonlarca kullanıcımızın bir donanım tokenı satın almasına güvenemeyeceğimizi anladık ve bu nedenle bu seçeneği bazı egzotik durumlar için erteledik (her ne kadar bundan tamamen vazgeçmiyorsak da, belki ilginç bir şey bulabiliriz). SMS yöntemi de yaygın olamazdı: Çok güvenilmez bir dağıtım yöntemidir (en kritik anda SMS gecikebilir veya hiç ulaşmayabilir) ve SMS göndermek paraya mal olur (ve operatörler fiyatlarını artırmaya başlamıştır) . SMS kullanımının bankalar ve diğer düşük teknolojili şirketler için olduğuna karar verdik ve kullanıcılarımıza daha kullanışlı bir şey sunmak istiyoruz. Genel olarak seçim küçüktü: ikinci faktör olarak akıllı telefonu ve içindeki programı kullanın.

Bu tek adımlı kimlik doğrulama biçimi yaygındır: Kullanıcı PIN kodunu hatırlar (birinci faktör) ve OTP (ikinci faktör) oluşturan bir donanım veya yazılım (akıllı telefonda) belirtecine sahiptir. Şifre giriş alanına PIN kodunu ve güncel OTP değerini girer.

Bize göre, bu planın ana dezavantajı iki adımlı kimlik doğrulamayla aynı: Kullanıcının masaüstünün tehlikeye girdiğini varsayarsak, PIN kodunu bir kez girmek, şifrenin açığa çıkmasına yol açacaktır ve saldırgan yalnızca ikincisini bulabilir. faktör.

Farklı bir rota izlemeye karar verdik: Şifrenin tamamı sırdan üretiliyor, ancak sırrın yalnızca bir kısmı akıllı telefonda saklanıyor ve şifre her oluşturulduğunda bir kısmı kullanıcı tarafından giriliyor. Dolayısıyla akıllı telefonun kendisi bir sahiplik faktörüdür ve şifre kullanıcının kafasında kalır ve bir bilgi faktörüdür.

Nonce bir sayaç veya geçerli saat olabilir. Güncel saati seçmeye karar verdik; bu, birisinin çok fazla şifre oluşturup sayacı artırması durumunda senkronizasyonun bozulmasından korkmamamızı sağlıyor.

Yani, bir akıllı telefon için, kullanıcının sırrın kendi kısmını girdiği, saklanan kısımla karıştırıldığı, sonucun, geçerli zamanı imzalamak için kullanılan ve 30 saniyeye yuvarlanan bir HMAC anahtarı olarak kullanıldığı bir programımız var. HMAC çıktısı okunabilir forma dönüştürülür ve işte ─ işte tek kullanımlık şifre!

Daha önce belirtildiği gibi RFC 4226, HMAC sonucunun maksimum 8 ondalık basamağa kısaltılacağını belirtir. Bu boyuttaki bir şifrenin tek adımlı kimlik doğrulamaya uygun olmadığına ve arttırılması gerektiğine karar verdik. Aynı zamanda, sistemin mevcut sürümünden ödün vermek amacıyla kullanım kolaylığını da korumak istedik (sonuçta, yalnızca güvenlik meraklılarının değil, sıradan insanların da kullanabileceği bir sistem oluşturmak istediğimizi unutmayın) Latin alfabesini 8 karaktere indirmeyi seçtik. 30 saniye boyunca geçerli olan 26^8 şifre oldukça kabul edilebilir gibi görünüyor, ancak güvenlik marjı bize uymuyorsa (veya bu planın nasıl geliştirileceğine dair değerli ipuçları Habré'de görünüyorsa), örneğin 10 karaktere kadar genişleteceğiz.

Bu tür şifrelerin gücü hakkında daha fazla bilgi edinin

Hatta büyük/küçük harfe duyarlı olmayan Latin harfleri için karakter başına seçenek sayısı 26, büyük ve küçük Latin harfleri artı rakamlar için ise seçenek sayısı 26+26+10=62'dir. O halde log 62 (26 10) ≈ 7,9, yani rastgele 10 küçük Latin harfinden oluşan bir şifre neredeyse 8 rastgele büyük ve küçük Latin harfinden veya rakamından oluşan bir şifre kadar güçlüdür. Bu kesinlikle 30 saniye için yeterli olacaktır. Latin harflerinden oluşan 8 karakterlik bir şifreden bahsedecek olursak, gücü log 62 (26 8) ≈ 6,3 yani büyük, küçük harf ve rakamlardan oluşan 6 karakterlik bir şifreden biraz daha fazladır. Bunun 30 saniyelik bir süre için hala kabul edilebilir olduğunu düşünüyoruz.

Sihir, şifresizlik, uygulamalar ve sonraki adımlar

Genel olarak orada durabilirdik ama sistemi daha da kullanışlı hale getirmek istedik. Bir kişinin elinde akıllı telefon varken klavyeden şifre girmek istemez!

Bu yüzden “sihirli giriş” üzerinde çalışmaya başladık. Bu kimlik doğrulama yöntemiyle kullanıcı, akıllı telefonundaki uygulamayı başlatıyor, PIN kodunu giriyor ve bilgisayar ekranındaki QR kodunu tarıyor. PIN kodu doğru girilirse tarayıcıdaki sayfa yeniden yüklenir ve kullanıcının kimliği doğrulanır. Büyü!

O nasıl çalışır?

Oturum numarası QR kodun içine gömülüdür ve uygulama bunu taradığında bu numara, her zamanki gibi oluşturulan şifre ve kullanıcı adı ile birlikte sunucuya iletilir. Bu zor değil çünkü akıllı telefon neredeyse her zaman çevrimiçi. QR kodunu gösteren sayfanın düzeninde JavaScript çalışıyor ve bu oturumun şifresini kontrol etmek için sunucudan yanıt bekliyor. Sunucu, şifrenin doğru olduğu yönünde yanıt verirse, yanıtla birlikte oturum çerezleri de ayarlanır ve kullanıcının kimliği doğrulanmış sayılır.

Daha iyiye gitti ama biz burada da durmamaya karar verdik. iPhone 5S'den itibaren Apple telefonları ve tabletleri TouchID parmak izi tarayıcısını tanıttı ve iOS 8 sürümünde üçüncü taraf uygulamalar da bunu kullanabiliyor. Gerçekte uygulama parmak izine erişim sağlayamıyor ancak parmak izi doğruysa ek Anahtarlık bölümü uygulamanın kullanımına açılıyor. Biz de bundan faydalandık. Sırrın ikinci kısmı, önceki senaryoda kullanıcının klavyeden girdiği TouchID korumalı Anahtarlık kaydına yerleştirilir. Anahtarlığın kilidini açarken sırrın iki parçası karışır ve ardından süreç yukarıda anlatıldığı gibi çalışır.

Ancak kullanıcı için inanılmaz derecede kullanışlı hale geldi: Uygulamayı açıyor, parmağını yerleştiriyor, ekrandaki QR kodunu tarıyor ve bilgisayarının tarayıcısında kimliğinin doğrulandığını görüyor! Böylece bilgi faktörünü biyometrik bir faktörle değiştirdik ve kullanıcının bakış açısından şifreleri tamamen terk ettik. Sıradan insanların bu şemayı iki şifreyi manuel olarak girmekten çok daha uygun bulacağından eminiz.

Bunun teknik olarak iki faktörlü kimlik doğrulamanın ne kadar olduğu tartışmalıdır, ancak gerçekte bunu başarılı bir şekilde tamamlamak için yine de bir telefona ve doğru parmak izine sahip olmanız gerekir; bu nedenle, bilgi faktörünü ortadan kaldırarak yerine biyometriyi koyma konusunda oldukça başarılı olduğumuza inanıyoruz. . iOS Secure Enclave'in temelini oluşturan ARM TrustZone'un güvenliğine güvendiğimizi anlıyoruz ve bu alt sistemin şu anda tehdit modelimiz kapsamında güvenilir olarak kabul edilebileceğine inanıyoruz. Elbette biyometrik kimlik doğrulamayla ilgili sorunların farkındayız: Parmak izi bir şifre değildir ve ele geçirildiğinde değiştirilemez. Ancak öte yandan güvenliğin rahatlıkla ters orantılı olduğunu herkes bilir ve kullanıcının kendisi için kabul edilebilir olan birinin ve diğerinin oranını seçme hakkı vardır.

Bunun henüz bir beta olduğunu hatırlatmama izin verin. Artık iki faktörlü kimlik doğrulama etkinleştirildiğinde, Yandex Tarayıcı'da şifre senkronizasyonunu geçici olarak devre dışı bırakıyoruz. Bunun nedeni şifre veritabanının şifrelenme şeklidir. 2FA durumunda Tarayıcının kimliğini doğrulamak için zaten uygun bir yol buluyoruz. Diğer tüm Yandex işlevleri eskisi gibi çalışır.

Elimizde olan bu. İyi sonuçlanmış gibi görünüyor, ama yargıç siz olun. Geri bildiriminizi ve önerilerinizi duymaktan mutluluk duyacağız ve hizmetlerimizin güvenliğini artırmak için çalışmaya devam edeceğiz: artık CSP, posta aktarımının şifrelenmesi ve diğer her şeyin yanı sıra iki faktörlü kimlik doğrulamaya da sahibiz. Kimlik doğrulama hizmetlerinin ve OTP oluşturma uygulamalarının kritik öneme sahip olduğunu ve bu nedenle Bug Bounty programı kapsamında bunlarda bulunan hatalar için çifte bonus ödendiğini unutmayın.

Etiketler: Etiket ekleyin

Kategoride popüler:
İki faktörlü kimlik doğrulamayı etkinleştir
İki faktörlü kimlik doğrulamayı etkinleştir
Okumak
Usta sınıfı
Master sınıfı "görüntülerden beyaz arka plan nasıl kaldırılır"
Okumak
İnternetteki ifadelerin anlamı
İnternetteki ifadelerin anlamı
Okumak
Silinen dosyaları R-Studio kullanarak kurtarma R studio programıyla bir flash sürücü nasıl formatlanır
Silinen dosyaları R-Studio kullanarak kurtarma Nasıl...
Okumak

En son makaleler
Hata kritik süreç öldü ki...
Okumak
Bir değişkene değer atamak
Okumak
iTunes şifre kurtarma
Okumak
Haberlere abone olun Farklı iphone 5c
Okumak
PS3 joystick'i bilgisayara nasıl bağlanır
Okumak
Android'i bir bilgisayara veya dizüstü bilgisayara yükleme
Okumak
Akıllı telefon pilleri nasıl düzgün şekilde şarj edilir?
Okumak
GBI El Flip 4 satın al
Okumak
Tepe