दोन-घटक प्रमाणीकरण Yandex. "Yandex.Key" तुमच्या हृदयावर

इतर मॉडेल 05.08.2019
इतर मॉडेल

यांडेक्स ब्लॉगवर ही एक दुर्मिळ पोस्ट होती, विशेषत: सुरक्षिततेशी संबंधित, द्वि-घटक प्रमाणीकरणाचा उल्लेख न करता. आम्ही बर्याच काळापासून वापरकर्ता खात्यांचे संरक्षण योग्यरित्या कसे मजबूत करावे याबद्दल विचार करत आहोत आणि अशा प्रकारे ते सर्व गैरसोयींशिवाय वापरले जाऊ शकते ज्यात आज सर्वात सामान्य अंमलबजावणी समाविष्ट आहे. आणि ते, अरेरे, गैरसोयीचे आहेत. काही डेटानुसार, बऱ्याच मोठ्या साइट्सवर अतिरिक्त प्रमाणीकरण साधन सक्षम केलेल्या वापरकर्त्यांची टक्केवारी 0.1% पेक्षा जास्त नाही.

असे दिसते की हे असे आहे कारण सामान्य द्वि-घटक प्रमाणीकरण योजना खूप गुंतागुंतीची आणि गैरसोयीची आहे. आम्ही संरक्षणाची पातळी न गमावता अधिक सोयीस्कर अशी पद्धत आणण्याचा प्रयत्न केला आणि आज आम्ही त्याची बीटा आवृत्ती सादर केली.

आम्ही आशा करतो की ते अधिक व्यापक होईल. आमच्या भागासाठी, आम्ही त्याच्या सुधारणा आणि त्यानंतरच्या मानकीकरणावर काम करण्यास तयार आहोत.

पासपोर्टमध्ये द्वि-घटक प्रमाणीकरण सक्षम केल्यानंतर, तुम्हाला App Store किंवा Google Play मध्ये Yandex.Key अनुप्रयोग स्थापित करणे आवश्यक आहे. QR कोड Yandex मुख्य पृष्ठावर, मेल आणि पासपोर्टमध्ये अधिकृतता फॉर्ममध्ये दिसू लागले आहेत. तुमच्या खात्यात लॉग इन करण्यासाठी, तुम्हाला अनुप्रयोगाद्वारे QR कोड वाचण्याची आवश्यकता आहे - आणि तेच. QR कोड वाचता येत नसल्यास, उदाहरणार्थ, स्मार्टफोन कॅमेरा काम करत नाही किंवा इंटरनेटवर प्रवेश नसल्यास, अनुप्रयोग एक-वेळ पासवर्ड तयार करेल जो केवळ 30 सेकंदांसाठी वैध असेल.

RFC 6238 किंवा RFC 4226 सारख्या "मानक" यंत्रणा न वापरण्याचे आम्ही का ठरवले ते मी तुम्हाला सांगेन. सामान्य द्वि-घटक प्रमाणीकरण योजना कशा कार्य करतात? ते दोन-टप्पे आहेत. पहिला टप्पा म्हणजे लॉगिन आणि पासवर्डसह सामान्य प्रमाणीकरण. ते यशस्वी झाल्यास, साइट हे वापरकर्ता सत्र "आवडते" की नाही ते तपासते. आणि, जर तुम्हाला ते आवडत नसेल, तर ते वापरकर्त्याला "पुन्हा-प्रमाणित" करण्यास सांगते. "प्री-ऑथेंटिकेशन" च्या दोन सामान्य पद्धती आहेत: खात्याशी संबंधित फोन नंबरवर एसएमएस पाठवणे आणि स्मार्टफोनवर दुसरा पासवर्ड तयार करणे. मुळात, RFC 6238 नुसार TOTP चा वापर दुसरा पासवर्ड तयार करण्यासाठी केला जातो, जर वापरकर्त्याने दुसरा पासवर्ड योग्यरित्या एंटर केला असेल, तर सत्र पूर्णपणे प्रमाणीकृत मानले जाते, आणि जर नसेल, तर सत्र "पूर्व-प्रमाणीकरण" देखील गमावेल.

दोन्ही पद्धती ─ एसएमएस पाठवणे आणि पासवर्ड व्युत्पन्न करणे ─ फोनच्या मालकीचा पुरावा आहे आणि त्यामुळे उपलब्धतेचा एक घटक आहे. पहिल्या टप्प्यावर प्रविष्ट केलेला पासवर्ड हा ज्ञानाचा घटक आहे. म्हणून, ही प्रमाणीकरण योजना केवळ दोन-चरण नाही तर दोन-घटक देखील आहे.

या योजनेत आम्हाला काय समस्याप्रधान वाटले?

चला या वस्तुस्थितीपासून सुरुवात करूया की सरासरी वापरकर्त्याच्या संगणकास नेहमीच सुरक्षिततेचे मॉडेल म्हटले जाऊ शकत नाही: विंडोज अपडेट्स बंद करणे, आधुनिक स्वाक्षरीशिवाय अँटीव्हायरसची पायरेटेड प्रत आणि संशयास्पद मूळ सॉफ्टवेअर - हे सर्व संरक्षणाची पातळी वाढवत नाही. आमच्या मूल्यांकनानुसार, वापरकर्त्याच्या संगणकाशी तडजोड करणे ही खाती "अपहरण" करण्याची सर्वात व्यापक पद्धत आहे (आणि अलीकडे याची आणखी एक पुष्टी झाली आहे) आणि यापासून आम्ही स्वतःचे संरक्षण करू इच्छितो. द्वि-घटक प्रमाणीकरणाच्या बाबतीत, जर तुम्ही असे गृहीत धरले की वापरकर्त्याच्या संगणकाशी तडजोड झाली आहे, तर त्यावर पासवर्ड टाकल्याने पासवर्डचीच तडजोड होते, जो पहिला घटक आहे. याचा अर्थ आक्रमणकर्त्याला फक्त दुसरा घटक निवडण्याची आवश्यकता आहे. RFC 6238 च्या सामान्य अंमलबजावणीच्या बाबतीत, दुसरा घटक 6 दशांश अंक आहे (आणि विनिर्देशानुसार अनुमत कमाल 8 अंक आहे). ओटीपीसाठी ब्रूटफोर्स कॅल्क्युलेटरनुसार, तीन दिवसांत हल्लेखोर दुसऱ्या घटकाचा शोध घेण्यास सक्षम असतो, जर त्याला पहिल्या गोष्टीची जाणीव झाली. वापरकर्त्याच्या सामान्य अनुभवात व्यत्यय न आणता सेवा या हल्ल्याचा काय प्रतिकार करू शकते हे स्पष्ट नाही. कामाचा एकमेव संभाव्य पुरावा म्हणजे कॅप्चा, जो आमच्या मते, शेवटचा उपाय आहे.

दुसरी समस्या म्हणजे वापरकर्ता सत्राच्या गुणवत्तेबद्दल सेवेच्या निर्णयाची अपारदर्शकता आणि "पूर्व-प्रमाणीकरण" च्या गरजेवर निर्णय घेणे. याहूनही वाईट म्हणजे ही प्रक्रिया पारदर्शक करण्यात सेवेला स्वारस्य नाही, कारण अस्पष्टतेची सुरक्षा येथे कार्य करते. जर एखाद्या आक्रमणकर्त्याला माहित असेल की सेवा कोणत्या आधारावर सत्राच्या वैधतेबद्दल निर्णय घेते, तर तो हा डेटा खोटे करण्याचा प्रयत्न करू शकतो. एक सामान्य नियम म्हणून, आम्ही असा निष्कर्ष काढू शकतो की वापरकर्त्याच्या प्रमाणीकरण इतिहासाच्या आधारावर, IP पत्ता (आणि प्रदाता आणि जिओबेसवर आधारित स्थान ओळखणारे स्वायत्त सिस्टम नंबरचे त्याचे डेरिव्हेटिव्ह) आणि ब्राउझर डेटा लक्षात घेऊन निर्णय घेतला जातो, उदाहरणार्थ, वापरकर्ता एजंट शीर्षलेख आणि कुकीजचा संच, फ्लॅश lso आणि html स्थानिक संचयन. याचा अर्थ असा की जर आक्रमणकर्त्याने वापरकर्त्याच्या संगणकावर नियंत्रण ठेवले तर तो केवळ सर्व आवश्यक डेटाच चोरू शकत नाही तर पीडिताचा IP पत्ता देखील वापरू शकतो. शिवाय, ASN वर आधारित निर्णय घेतल्यास, कॉफी शॉपमधील सार्वजनिक वाय-फाय वरून कोणतेही प्रमाणीकरण हे प्रदात्याच्या सुरक्षिततेच्या दृष्टिकोनातून (आणि सेवेच्या दृष्टिकोनातून पांढरे करणे) "विषबाधा" होऊ शकते. कॉफी शॉप आणि उदाहरणार्थ, शहरातील सर्व कॉफी शॉप्स व्हाईटवॉश करणे. विसंगती शोधण्याची प्रणाली कशी कार्य करते याबद्दल आम्ही बोललो आणि ती वापरली जाऊ शकते, परंतु प्रमाणीकरणाच्या पहिल्या आणि दुसऱ्या टप्प्यातील वेळ आत्मविश्वासाने विसंगतीचा न्याय करण्यासाठी पुरेसा असू शकत नाही. शिवाय, हाच युक्तिवाद "विश्वसनीय" संगणकाची कल्पना नष्ट करतो: आक्रमणकर्ता विश्वासाच्या निर्णयावर परिणाम करणारी कोणतीही माहिती चोरू शकतो.

शेवटी, द्वि-चरण प्रमाणीकरण फक्त गैरसोयीचे आहे: आमचे उपयोगिता संशोधन असे दर्शविते की वापरकर्त्यांना त्यांच्या दृष्टिकोनातून मध्यस्थ स्क्रीन, अतिरिक्त बटण क्लिक आणि इतर "महत्त्वाच्या" क्रियांपेक्षा काहीही त्रास होत नाही.
याच्या आधारे, आम्ही ठरविले की प्रमाणीकरण एक-चरण असावे आणि पासवर्डची जागा “शुद्ध” RFC 6238 च्या फ्रेमवर्कमध्ये शक्य आहे त्यापेक्षा खूप मोठी असावी.
त्याच वेळी, आम्हाला शक्य तितके द्वि-घटक प्रमाणीकरण जतन करायचे होते.

मल्टीफॅक्टर ऑथेंटिकेशनची व्याख्या प्रमाणीकरण घटक (वास्तविकपणे, त्यांना घटक म्हणतात) तीनपैकी एका श्रेणीला नियुक्त करून केली जाते:

  1. ज्ञान घटक (हे पारंपारिक पासवर्ड, पिन कोड आणि त्यांच्यासारखे दिसणारे सर्व काही आहेत);
  2. मालकी घटक (वापरलेल्या OTP योजनांमध्ये, हा सहसा स्मार्टफोन असतो, परंतु हार्डवेअर टोकन देखील असू शकतो);
  3. बायोमेट्रिक घटक (फिंगरप्रिंट आता सर्वात सामान्य आहे, जरी कोणीतरी Demolition Man चित्रपटातील वेस्ली स्निप्सच्या पात्राचा भाग लक्षात ठेवेल).

आमच्या प्रणालीचा विकास

जेव्हा आम्ही द्वि-घटक प्रमाणीकरणाच्या समस्येवर काम करण्यास सुरुवात केली (या अंकावरील कॉर्पोरेट विकीची पहिली पाने 2012 ची आहेत, परंतु त्याची पडद्यामागे चर्चा झाली होती), पहिली कल्पना मानक प्रमाणीकरण पद्धती घेणे आणि त्यांना लागू करणे ही होती. आम्हाला. आम्हाला समजले आहे की हार्डवेअर टोकन खरेदी करण्यासाठी आम्ही आमच्या लाखो वापरकर्त्यांवर विश्वास ठेवू शकत नाही, म्हणून आम्ही काही विचित्र प्रकरणांसाठी हा पर्याय पुढे ढकलला (जरी आम्ही ते पूर्णपणे सोडून देत नाही, कदाचित आम्ही काहीतरी मनोरंजक शोधण्यात सक्षम होऊ). एसएमएस पद्धत देखील व्यापक असू शकत नाही: ही एक अतिशय अविश्वसनीय वितरण पद्धत आहे (सर्वात निर्णायक क्षणी, एसएमएसला उशीर होऊ शकतो किंवा अजिबात येऊ शकत नाही), आणि एसएमएस पाठवण्याकरिता पैसे खर्च होतात (आणि ऑपरेटरने त्यांची किंमत वाढवण्यास सुरुवात केली आहे) . आम्ही ठरवले की एसएमएसचा वापर बँका आणि इतर कमी-तंत्रज्ञान कंपन्यांसाठी आहे आणि आम्ही आमच्या वापरकर्त्यांना काहीतरी अधिक सोयीस्कर देऊ इच्छितो. सर्वसाधारणपणे, निवड लहान होती: दुसरा घटक म्हणून स्मार्टफोन आणि त्यातील प्रोग्राम वापरा.

वन-स्टेप ऑथेंटिकेशनचा हा प्रकार व्यापक आहे: वापरकर्त्याला पिन कोड (पहिला घटक) लक्षात राहतो आणि त्याच्याकडे हार्डवेअर किंवा सॉफ्टवेअर (स्मार्टफोनमध्ये) टोकन आहे जे OTP (दुसरा घटक) तयार करते. पासवर्ड एंट्री फील्डमध्ये, तो पिन कोड आणि वर्तमान OTP मूल्य प्रविष्ट करतो.

आमच्या मते, या योजनेचा मुख्य तोटा द्वि-चरण प्रमाणीकरणासारखाच आहे: जर आपण असे गृहीत धरले की वापरकर्त्याच्या डेस्कटॉपशी तडजोड केली गेली आहे, तर एकदा पिन कोड प्रविष्ट केल्याने त्याचे प्रकटीकरण होईल आणि आक्रमणकर्त्याला फक्त दुसरा शोधता येईल. घटक

आम्ही वेगळ्या मार्गाने जाण्याचा निर्णय घेतला: संपूर्ण पासवर्ड गुप्ततेतून व्युत्पन्न केला जातो, परंतु गुप्ततेचा काही भाग स्मार्टफोनमध्ये संग्रहित केला जातो आणि प्रत्येक वेळी पासवर्ड व्युत्पन्न झाल्यावर वापरकर्त्याद्वारे काही भाग प्रविष्ट केला जातो. अशा प्रकारे, स्मार्टफोन स्वतःच मालकीचा एक घटक आहे आणि पासवर्ड वापरकर्त्याच्या डोक्यात राहतो आणि ज्ञानाचा घटक आहे.

Nonce एकतर काउंटर किंवा वर्तमान वेळ असू शकते. आम्ही सध्याची वेळ निवडण्याचे ठरविले आहे, हे आम्हाला डिसिंक्रोनाइझेशनची भीती बाळगू शकत नाही जर एखाद्याने खूप जास्त पासवर्ड व्युत्पन्न केले आणि काउंटर वाढवले.

तर, आमच्याकडे स्मार्टफोनसाठी एक प्रोग्राम आहे जिथे वापरकर्ता त्याच्या गुप्त भागामध्ये प्रवेश करतो, तो संग्रहित भागामध्ये मिसळला जातो, परिणाम HMAC की म्हणून वापरला जातो, जो वर्तमान वेळेवर स्वाक्षरी करण्यासाठी वापरला जातो, 30 सेकंदांपर्यंत पूर्ण केला जातो. HMAC आउटपुट वाचनीय फॉर्ममध्ये रूपांतरित केले जाते, आणि voila ─ येथे एक-वेळ पासवर्ड आहे!

आधी सांगितल्याप्रमाणे, RFC 4226 निर्दिष्ट करते की HMAC परिणाम कमाल 8 दशांश अंकांपर्यंत कापला जाईल. आम्ही ठरवले की या आकाराचा पासवर्ड वन-स्टेप ऑथेंटिकेशनसाठी योग्य नाही आणि तो वाढवला पाहिजे. त्याच वेळी, आम्हाला वापरात सुलभता राखायची होती (तरीही, लक्षात ठेवा, आम्हाला एक अशी प्रणाली बनवायची आहे जी सामान्य लोक वापरतील आणि फक्त सुरक्षा गीक्सच नाही), म्हणून सिस्टमच्या वर्तमान आवृत्तीमध्ये तडजोड म्हणून , आम्ही लॅटिन वर्णमाला 8 वर्णांपर्यंत कमी करणे निवडले. असे दिसते की 30 सेकंदांसाठी वैध असलेले 26^8 संकेतशब्द अगदी स्वीकार्य आहेत, परंतु जर सुरक्षा मार्जिन आम्हाला अनुकूल नसेल (किंवा ही योजना कशी सुधारायची यावरील मौल्यवान टिपा Habré वर दिसून येतील), आम्ही विस्तारित करू, उदाहरणार्थ, 10 वर्णांपर्यंत.

अशा पासवर्डच्या ताकदीबद्दल अधिक जाणून घ्या

खरं तर, केस-संवेदनशील लॅटिन अक्षरांसाठी, मोठ्या आणि लहान लॅटिन अक्षरांसाठी पर्यायांची संख्या 26 आहे, पर्यायांची संख्या 26+26+10=62 आहे. नंतर लॉग 62 (26 10) ≈ 7.9, म्हणजे 10 यादृच्छिक लहान लॅटिन अक्षरांचा पासवर्ड जवळजवळ 8 यादृच्छिक मोठ्या आणि लहान लॅटिन अक्षरे किंवा अंकांच्या पासवर्डइतका मजबूत असतो. हे निश्चितपणे 30 सेकंदांसाठी पुरेसे असेल. जर आपण लॅटिन अक्षरांनी बनवलेल्या 8-वर्णांच्या पासवर्डबद्दल बोललो, तर त्याची ताकद लॉग 62 (26 8) ≈ 6.3 आहे, म्हणजेच अपरकेस, लोअरकेस अक्षरे आणि संख्यांनी बनलेल्या 6-वर्णांच्या पासवर्डपेक्षा थोडा जास्त. आम्हाला वाटते की हे अद्याप 30 सेकंदांच्या विंडोसाठी स्वीकार्य आहे.

जादू, पासवर्डहीनता, अनुप्रयोग आणि पुढील चरण

सर्वसाधारणपणे, आम्ही तिथे थांबू शकलो असतो, परंतु आम्हाला प्रणाली आणखी सोयीस्कर बनवायची होती. जेव्हा एखाद्या व्यक्तीच्या हातात स्मार्टफोन असतो, तेव्हा तो कीबोर्डवरून पासवर्ड टाकू इच्छित नाही!

म्हणूनच आम्ही “जादू लॉगिन” वर काम करायला सुरुवात केली. या प्रमाणीकरण पद्धतीसह, वापरकर्ता त्याच्या स्मार्टफोनवर ॲप्लिकेशन लॉन्च करतो, त्यात त्याचा पिन कोड टाकतो आणि त्याच्या कॉम्प्युटर स्क्रीनवर QR कोड स्कॅन करतो. पिन कोड योग्यरित्या प्रविष्ट केल्यास, ब्राउझरमधील पृष्ठ रीलोड केले जाते आणि वापरकर्त्याचे प्रमाणीकरण केले जाते. जादू!

हे कस काम करत?

सत्र क्रमांक QR कोडमध्ये एम्बेड केलेला असतो आणि जेव्हा अनुप्रयोग ते स्कॅन करतो तेव्हा हा क्रमांक नेहमीच्या पद्धतीने तयार केलेल्या पासवर्ड आणि वापरकर्तानावासह सर्व्हरवर प्रसारित केला जातो. हे कठीण नाही, कारण स्मार्टफोन जवळजवळ नेहमीच ऑनलाइन असतो. QR कोड दर्शविणाऱ्या पृष्ठाच्या लेआउटमध्ये, JavaScript चालू आहे, या सत्रासाठी पासवर्ड तपासण्यासाठी सर्व्हरकडून प्रतिसादाची वाट पाहत आहे. पासवर्ड योग्य असल्याचे सर्व्हरने प्रतिसाद दिल्यास, प्रतिसादासोबत सत्र कुकीज सेट केल्या जातात आणि वापरकर्त्याला प्रमाणीकृत मानले जाते.

ते बरे झाले, पण आम्ही इथेही थांबायचे नाही असे ठरवले. iPhone 5S पासून सुरुवात करून, Apple फोन आणि टॅब्लेटने TouchID फिंगरप्रिंट स्कॅनर सादर केले आणि iOS आवृत्ती 8 मध्ये, तृतीय-पक्ष अनुप्रयोग देखील ते वापरू शकतात. प्रत्यक्षात, ऍप्लिकेशनला फिंगरप्रिंटमध्ये प्रवेश मिळत नाही, परंतु फिंगरप्रिंट योग्य असल्यास, ऍप्लिकेशनसाठी अतिरिक्त कीचेन विभाग उपलब्ध होतो. याचा फायदा आम्ही घेतला. गुपिताचा दुसरा भाग TouchID-संरक्षित कीचेन रेकॉर्डमध्ये ठेवला आहे, जो वापरकर्त्याने मागील परिस्थितीमध्ये कीबोर्डवरून प्रविष्ट केला होता. कीचेन अनलॉक करताना, गुप्ततेचे दोन भाग मिसळले जातात आणि नंतर प्रक्रिया वर वर्णन केल्याप्रमाणे कार्य करते.

परंतु वापरकर्त्यासाठी हे आश्चर्यकारकपणे सोयीचे झाले आहे: तो अनुप्रयोग उघडतो, त्याचे बोट ठेवतो, स्क्रीनवर QR कोड स्कॅन करतो आणि त्याच्या संगणकावरील ब्राउझरमध्ये स्वत: ला प्रमाणीकृत करतो! म्हणून आम्ही नॉलेज फॅक्टर बायोमेट्रिकने बदलले आणि वापरकर्त्याच्या दृष्टिकोनातून, पासवर्ड पूर्णपणे सोडून दिले. दोन पासवर्ड मॅन्युअली टाकण्यापेक्षा सामान्य लोकांना ही योजना अधिक सोयीची वाटेल याची आम्हाला खात्री आहे.

हे तांत्रिकदृष्ट्या किती द्वि-घटक प्रमाणीकरण आहे हे वादातीत आहे, परंतु प्रत्यक्षात ते यशस्वीरित्या पूर्ण करण्यासाठी आपल्याकडे अद्याप फोन असणे आणि योग्य फिंगरप्रिंट असणे आवश्यक आहे, त्यामुळे आम्हाला विश्वास आहे की नॉलेज फॅक्टर काढून टाकण्यात, बायोमेट्रिक्ससह बदलण्यात आम्ही यशस्वी झालो आहोत. . आम्ही समजतो की आम्ही ARM TrustZone च्या सुरक्षेवर अवलंबून आहोत जे iOS Secure Enclave अंतर्गत आहे आणि आम्हाला विश्वास आहे की ही उपप्रणाली सध्या आमच्या धोक्याच्या मॉडेलमध्ये विश्वसनीय मानली जाऊ शकते. अर्थात, आम्हाला बायोमेट्रिक प्रमाणीकरणातील समस्यांची जाणीव आहे: फिंगरप्रिंट हा पासवर्ड नसतो आणि तडजोड केल्यास बदलता येत नाही. परंतु, दुसरीकडे, प्रत्येकाला हे माहित आहे की सुरक्षितता सोयीनुसार व्यस्त प्रमाणात असते आणि वापरकर्त्याला स्वतःला एक आणि दुसरे गुणोत्तर निवडण्याचा अधिकार आहे जे त्याला मान्य आहे.

मी तुम्हाला आठवण करून देतो की हे अद्याप बीटा आहे. आता, जेव्हा द्वि-घटक प्रमाणीकरण सक्षम केले जाते, तेव्हा आम्ही यांडेक्स ब्राउझरमध्ये संकेतशब्द सिंक्रोनाइझेशन तात्पुरते अक्षम करतो. हे पासवर्ड डेटाबेस एन्क्रिप्ट केलेल्या मार्गामुळे आहे. 2FA च्या बाबतीत ब्राउझर ऑथेंटिकेट करण्याचा एक सोयीस्कर मार्ग आम्ही आधीच घेऊन येत आहोत. इतर सर्व Yandex कार्यक्षमता पूर्वीप्रमाणे कार्य करते.

हे आम्हाला मिळाले. हे चांगले झाले आहे असे दिसते, परंतु आपण न्यायाधीश व्हा. तुमचा अभिप्राय आणि शिफारशी ऐकून आम्हाला आनंद होईल आणि आम्ही आमच्या सेवांची सुरक्षा सुधारण्यासाठी कार्य करत राहू: आता, CSP, मेल ट्रान्सपोर्टचे एन्क्रिप्शन आणि इतर सर्व गोष्टींसह, आमच्याकडे आता द्वि-घटक प्रमाणीकरण आहे. हे विसरू नका की ऑथेंटिकेशन सेवा आणि OTP जनरेशन ॲप्लिकेशन्स गंभीर आहेत आणि त्यामुळे बग ​​बाउंटी प्रोग्रामचा भाग म्हणून त्यात आढळलेल्या त्रुटींसाठी दुहेरी बोनस दिला जातो.

टॅग: टॅग जोडा

लक्ष द्या.

  1. Yandex मध्ये विकसित केलेल्या अनुप्रयोगांना एक-वेळ संकेतशब्द आवश्यक आहे - अगदी योग्यरित्या तयार केलेले अनुप्रयोग संकेतशब्द देखील कार्य करणार नाहीत.
  2. QR कोड वापरून लॉगिन करा
  3. Yandex.Key चे हस्तांतरण

मास्टर पासवर्ड

Yandex सेवा किंवा अनुप्रयोगात लॉग इन करा

तुम्ही Yandex वरील अधिकृततेच्या कोणत्याही स्वरूपात किंवा Yandex द्वारे विकसित केलेल्या अनुप्रयोगांमध्ये एक-वेळचा पासवर्ड प्रविष्ट करू शकता.

नोंद.

अनुप्रयोगामध्ये प्रदर्शित होत असताना तुम्ही एक-वेळचा संकेतशब्द प्रविष्ट करणे आवश्यक आहे. अद्यतनापूर्वी खूप कमी वेळ शिल्लक असल्यास, फक्त नवीन पासवर्डची प्रतीक्षा करा.

वन-टाइम पासवर्ड मिळविण्यासाठी, Yandex.Key लाँच करा आणि द्वि-घटक प्रमाणीकरण सेट करताना तुम्ही निर्दिष्ट केलेला पिन कोड प्रविष्ट करा. ॲप्लिकेशन दर ३० सेकंदांनी पासवर्ड तयार करणे सुरू करेल.

Yandex.Key तुम्ही प्रविष्ट केलेला पिन कोड तपासत नाही आणि तुम्ही तुमचा पिन कोड चुकीचा टाकला असला तरीही एक-वेळ पासवर्ड जनरेट करते. या प्रकरणात, तयार केलेले संकेतशब्द देखील चुकीचे आहेत आणि आपण त्यांच्यासह लॉग इन करू शकणार नाही. योग्य पिन प्रविष्ट करण्यासाठी, फक्त अनुप्रयोगातून बाहेर पडा आणि तो पुन्हा लाँच करा.

Yandex मध्ये विकसित केलेल्या अनुप्रयोगांना एक-वेळ संकेतशब्द आवश्यक आहे - अगदी योग्यरित्या तयार केलेले अनुप्रयोग संकेतशब्द देखील कार्य करणार नाहीत.

वन-टाइम पासवर्डची वैशिष्ट्ये:

    काही सेवा (उदाहरणार्थ, Yandex मुखपृष्ठ, पासपोर्ट आणि मेल) तुम्हाला फक्त QR कोडवर कॅमेरा दाखवून Yandex मध्ये लॉग इन करण्याची परवानगी देतात. या प्रकरणात, आपले मोबाइल डिव्हाइस इंटरनेटशी कनेक्ट केलेले असणे आवश्यक आहे जेणेकरून Yandex.Key अधिकृतता सर्व्हरशी संपर्क साधू शकेल.

    तुमच्या ब्राउझरमधील QR कोड आयकॉनवर क्लिक करा.

    लॉगिन फॉर्ममध्ये असे कोणतेही चिन्ह नसल्यास, आपण केवळ पासवर्ड वापरून या सेवेमध्ये लॉग इन करू शकता. या प्रकरणात, आपण पासपोर्टमधील QR कोड वापरून लॉग इन करू शकता आणि नंतर इच्छित सेवेवर जाऊ शकता.

    ब्राउझरमध्ये प्रदर्शित होणाऱ्या QR कोडकडे तुमच्या डिव्हाइसचा कॅमेरा पॉइंट करा.

Yandex.Key QR कोड ओळखेल आणि Yandex.Passport वर तुमचा लॉगिन आणि वन-टाइम पासवर्ड पाठवेल. त्यांनी पडताळणी उत्तीर्ण केल्यास, तुम्ही आपोआप ब्राउझरमध्ये लॉग इन करता. जर प्रसारित केलेला पासवर्ड चुकीचा असेल (उदाहरणार्थ, तुम्ही Yandex.Key मध्ये पिन कोड चुकीचा प्रविष्ट केल्यामुळे), ब्राउझर चुकीच्या पासवर्डबद्दल एक मानक संदेश प्रदर्शित करेल.

तृतीय-पक्ष अनुप्रयोग किंवा वेबसाइटवर Yandex खात्यासह लॉग इन करणे

ज्या अनुप्रयोगांना किंवा साइट्सना Yandex वरील आपल्या डेटामध्ये प्रवेश आवश्यक आहे त्यांना कधीकधी आपल्या खात्यात लॉग इन करण्यासाठी पासवर्ड प्रविष्ट करण्याची आवश्यकता असते. अशा परिस्थितीत, एक-वेळचे संकेतशब्द कार्य करणार नाहीत - तुम्हाला अशा प्रत्येक अनुप्रयोगासाठी स्वतंत्र अनुप्रयोग पासवर्ड तयार करणे आवश्यक आहे.

लक्ष द्या.

QR कोड वापरून लॉगिन करा

Yandex ॲप्लिकेशन्स आणि सेवांमध्ये फक्त एक-वेळचे पासवर्ड काम करतात. जरी आपण अनुप्रयोग संकेतशब्द तयार केला तरीही, उदाहरणार्थ, Yandex.Disk साठी, आपण त्यासह लॉग इन करण्यास सक्षम राहणार नाही. तुम्ही वन-टाइम पासवर्डची निर्मिती दुसऱ्या डिव्हाइसवर हस्तांतरित करू शकता किंवा एकाच वेळी अनेक डिव्हाइसेसवर Yandex.Key कॉन्फिगर करू शकता. हे करण्यासाठी, प्रवेश नियंत्रण पृष्ठ उघडा आणि बटणावर क्लिक करा.

डिव्हाइस बदलत आहे

Yandex.Key मधील अनेक खाती

समान Yandex.Key एक-वेळ पासवर्डसह अनेक खात्यांसाठी वापरली जाऊ शकते. अनुप्रयोगात दुसरे खाते जोडण्यासाठी, चरण 3 मध्ये वन-टाइम पासवर्ड सेट करताना, अनुप्रयोगातील चिन्हावर क्लिक करा. याव्यतिरिक्त, अशा द्वि-घटक प्रमाणीकरणास समर्थन देणाऱ्या इतर सेवांसाठी आपण Yandex.Key वर संकेतशब्द निर्मिती जोडू शकता. Yandex साठी नसून सत्यापन कोड तयार करण्याबद्दल पृष्ठावर सर्वात लोकप्रिय सेवांसाठी सूचना प्रदान केल्या आहेत.

Yandex.Key वर खाते लिंक काढण्यासाठी, अनुप्रयोगातील संबंधित पोर्ट्रेट त्याच्या उजवीकडे एक क्रॉस दिसेपर्यंत दाबा आणि धरून ठेवा. जेव्हा तुम्ही क्रॉसवर क्लिक कराल, तेव्हा तुमच्या खात्याचे Yandex.Key शी लिंकिंग हटवले जाईल.

लक्ष द्या.

जर तुम्ही एखादे खाते हटवले ज्यासाठी एक-वेळ पासवर्ड सक्षम केले आहेत, तर तुम्ही Yandex मध्ये लॉग इन करण्यासाठी एक-वेळचा पासवर्ड मिळवू शकणार नाही. या प्रकरणात, प्रवेश पुनर्संचयित करणे आवश्यक असेल.

    पिन कोड ऐवजी फिंगरप्रिंट

    तुम्ही खालील उपकरणांवर पिन कोडऐवजी तुमचे फिंगरप्रिंट वापरू शकता:

    Android 6.0 चालणारे स्मार्टफोन आणि फिंगरप्रिंट स्कॅनर;

तुम्ही Yandex वरील अधिकृततेच्या कोणत्याही स्वरूपात किंवा Yandex द्वारे विकसित केलेल्या अनुप्रयोगांमध्ये एक-वेळचा पासवर्ड प्रविष्ट करू शकता.

iOS स्मार्टफोन आणि टॅब्लेटवर, डिव्हाइस पासवर्ड प्रविष्ट करून फिंगरप्रिंट बायपास केला जाऊ शकतो. यापासून संरक्षण करण्यासाठी, मास्टर पासवर्ड सक्षम करा किंवा पासवर्ड अधिक जटिल असा बदला: सेटिंग्ज ॲप उघडा आणि टच आयडी आणि पासकोड निवडा.

वापरण्यासाठी फिंगरप्रिंट पडताळणी सक्षम करा:

Yandex.Key चे हस्तांतरण

तुमचे वन-टाइम पासवर्ड अधिक संरक्षित करण्यासाठी, मास्टर पासवर्ड तयार करा: → मास्टर पासवर्ड.

मास्टर पासवर्डसह तुम्ही हे करू शकता:

    ते बनवा जेणेकरून फिंगरप्रिंटऐवजी, आपण फक्त Yandex.Key मास्टर पासवर्ड प्रविष्ट करू शकता, आणि डिव्हाइस लॉक कोड नाही;

Yandex.Key डेटाची बॅकअप प्रत

आपण Yandex सर्व्हरवर की डेटाची बॅकअप प्रत तयार करू शकता जेणेकरून आपण अनुप्रयोगासह आपला फोन किंवा टॅब्लेट गमावल्यास आपण ते पुनर्संचयित करू शकता. प्रत तयार केल्यावर की मध्ये जोडलेल्या सर्व खात्यांचा डेटा सर्व्हरवर कॉपी केला जातो. तुम्ही एकापेक्षा जास्त बॅकअप प्रत तयार करू शकत नाही;

बॅकअपमधून डेटा पुनर्प्राप्त करण्यासाठी, तुम्हाला हे करणे आवश्यक आहे:

    तो तयार करताना आपण निर्दिष्ट केलेल्या फोन नंबरवर प्रवेश आहे;

    तुम्ही बॅकअप एनक्रिप्ट करण्यासाठी सेट केलेला पासवर्ड लक्षात ठेवा.

लक्ष द्या.

बॅकअप कॉपीमध्ये फक्त एक-वेळ पासवर्ड व्युत्पन्न करण्यासाठी आवश्यक लॉगिन आणि रहस्ये असतात. तुम्ही Yandex वर वन-टाइम पासवर्ड सक्षम केल्यावर तुम्ही सेट केलेला पिन कोड लक्षात ठेवला पाहिजे.

यांडेक्स सर्व्हरवरून बॅकअप प्रत हटवणे अद्याप शक्य नाही. तुम्ही ते तयार केल्यानंतर एका वर्षाच्या आत न वापरल्यास ते आपोआप हटवले जाईल.

    बॅकअप तयार करणे एक आयटम निवडाबॅकअप तयार करा

    अनुप्रयोग सेटिंग्जमध्ये.

    ज्या फोन नंबरवर बॅकअप लिंक केला जाईल तो एंटर करा (उदाहरणार्थ, “71234567890” “380123456789”) आणि पुढे क्लिक करा.

    Yandex प्रविष्ट केलेल्या फोन नंबरवर एक पुष्टीकरण कोड पाठवेल. एकदा तुम्हाला कोड प्राप्त झाल्यानंतर, तो अनुप्रयोगात प्रविष्ट करा.

    एक पासवर्ड तयार करा जो तुमच्या डेटाची बॅकअप कॉपी एन्क्रिप्ट करेल. हा पासवर्ड रिकव्हर केला जाऊ शकत नाही, त्यामुळे तुम्ही तो विसरणार नाही किंवा गमावणार नाही याची खात्री करा.

तुम्ही दोनदा तयार केलेला पासवर्ड एंटर करा आणि Finish वर क्लिक करा. Yandex.Key बॅकअप प्रत एनक्रिप्ट करेल, ती Yandex सर्व्हरवर पाठवेल आणि त्याचा अहवाल देईल.

    बॅकअप तयार करणे बॅकअपमधून पुनर्संचयित करत आहेबॅकअप तयार करा

    बॅकअपमधून पुनर्संचयित करा

    निर्दिष्ट नंबरसाठी की डेटाची बॅकअप प्रत आढळल्यास, Yandex या फोन नंबरवर एक पुष्टीकरण कोड पाठवेल. एकदा तुम्हाला कोड प्राप्त झाल्यानंतर, तो अनुप्रयोगात प्रविष्ट करा.

    बॅकअप बनवण्याची तारीख आणि वेळ, तसेच डिव्हाइसचे नाव, तुम्हाला वापरण्याच्या बॅकअपशी जुळत असल्याची खात्री करा. नंतर पुनर्संचयित बटणावर क्लिक करा.

    बॅकअप तयार करताना तुम्ही सेट केलेला पासवर्ड एंटर करा. जर तुम्हाला ते आठवत नसेल, तर दुर्दैवाने, बॅकअप डिक्रिप्ट करणे अशक्य होईल.

    Yandex.Key बॅकअप डेटा डिक्रिप्ट करेल आणि तुम्हाला सूचित करेल की डेटा पुनर्संचयित केला गेला आहे.

एक-वेळ पासवर्ड कसे अचूक वेळेवर अवलंबून असतात

एक-वेळ पासवर्ड व्युत्पन्न करताना, Yandex.Key डिव्हाइसवर सेट केलेला वर्तमान वेळ आणि वेळ क्षेत्र विचारात घेते. जेव्हा इंटरनेट कनेक्शन उपलब्ध असते, तेव्हा की सर्व्हरकडून अचूक वेळेची विनंती करते: जर डिव्हाइसवरील वेळ चुकीचा सेट केला असेल, तर अनुप्रयोग यासाठी समायोजन करेल. परंतु काही परिस्थितींमध्ये, दुरुस्त केल्यानंतर आणि योग्य पिन कोडसह, वन-टाइम पासवर्ड चुकीचा असेल.

  • यांडेक्स कंपनी ब्लॉग,
  • मोबाइल अनुप्रयोग विकास

    • Yandex ब्लॉगवर ही एक दुर्मिळ पोस्ट होती, विशेषत: सुरक्षेशी संबंधित, प्रमाणीकरणाशिवाय. आम्ही बर्याच काळापासून वापरकर्ता खात्यांचे संरक्षण योग्यरित्या कसे मजबूत करावे याबद्दल विचार करत आहोत आणि अशा प्रकारे ते सर्व गैरसोयींशिवाय वापरले जाऊ शकते ज्यात आज सर्वात सामान्य अंमलबजावणी समाविष्ट आहे. आणि ते, अरेरे, गैरसोयीचे आहेत. काही डेटानुसार, बऱ्याच मोठ्या साइट्सवर अतिरिक्त प्रमाणीकरण साधन सक्षम केलेल्या वापरकर्त्यांची टक्केवारी 0.1% पेक्षा जास्त नाही.

    असे दिसते की हे असे आहे कारण सामान्य द्वि-घटक प्रमाणीकरण योजना खूप गुंतागुंतीची आणि गैरसोयीची आहे. आम्ही संरक्षणाची पातळी न गमावता अधिक सोयीस्कर अशी पद्धत आणण्याचा प्रयत्न केला आणि आज आम्ही त्याची बीटा आवृत्ती सादर केली.

    आम्ही आशा करतो की ते अधिक व्यापक होईल. आमच्या भागासाठी, आम्ही त्याच्या सुधारणा आणि त्यानंतरच्या मानकीकरणावर काम करण्यास तयार आहोत.

    पासपोर्टमध्ये द्वि-घटक प्रमाणीकरण सक्षम केल्यानंतर, तुम्हाला App Store किंवा Google Play मध्ये Yandex.Key अनुप्रयोग स्थापित करणे आवश्यक आहे. QR कोड Yandex मुख्य पृष्ठावर, मेल आणि पासपोर्टमध्ये अधिकृतता फॉर्ममध्ये दिसू लागले आहेत. तुमच्या खात्यात लॉग इन करण्यासाठी, तुम्हाला अनुप्रयोगाद्वारे QR कोड वाचण्याची आवश्यकता आहे - आणि तेच. QR कोड वाचता येत नसल्यास, उदाहरणार्थ, स्मार्टफोन कॅमेरा काम करत नाही किंवा इंटरनेटवर प्रवेश नसल्यास, अनुप्रयोग एक-वेळ पासवर्ड तयार करेल जो केवळ 30 सेकंदांसाठी वैध असेल.

    RFC 6238 किंवा RFC 4226 सारख्या "मानक" यंत्रणा न वापरण्याचे आम्ही का ठरवले ते मी तुम्हाला सांगेन. सामान्य द्वि-घटक प्रमाणीकरण योजना कशा कार्य करतात? ते दोन-टप्पे आहेत. पहिला टप्पा म्हणजे लॉगिन आणि पासवर्डसह सामान्य प्रमाणीकरण. ते यशस्वी झाल्यास, साइट हे वापरकर्ता सत्र "आवडते" की नाही ते तपासते. आणि, जर तुम्हाला ते आवडत नसेल, तर ते वापरकर्त्याला "पुन्हा-प्रमाणित" करण्यास सांगते. "प्री-ऑथेंटिकेशन" च्या दोन सामान्य पद्धती आहेत: खात्याशी संबंधित फोन नंबरवर एसएमएस पाठवणे आणि स्मार्टफोनवर दुसरा पासवर्ड तयार करणे. मुळात, RFC 6238 नुसार TOTP चा वापर दुसरा पासवर्ड तयार करण्यासाठी केला जातो, जर वापरकर्त्याने दुसरा पासवर्ड योग्यरित्या एंटर केला असेल, तर सत्र पूर्णपणे प्रमाणीकृत मानले जाते, आणि जर नसेल, तर सत्र "पूर्व-प्रमाणीकरण" देखील गमावेल.

    दोन्ही पद्धती ─ एसएमएस पाठवणे आणि पासवर्ड व्युत्पन्न करणे ─ फोनच्या मालकीचा पुरावा आहे आणि त्यामुळे उपलब्धतेचा एक घटक आहे. पहिल्या टप्प्यावर प्रविष्ट केलेला पासवर्ड हा ज्ञानाचा घटक आहे. म्हणून, ही प्रमाणीकरण योजना केवळ दोन-चरण नाही तर दोन-घटक देखील आहे.

    या योजनेत आम्हाला काय समस्याप्रधान वाटले?

    चला या वस्तुस्थितीपासून सुरुवात करूया की सरासरी वापरकर्त्याच्या संगणकास नेहमीच सुरक्षिततेचे मॉडेल म्हटले जाऊ शकत नाही: विंडोज अपडेट्स बंद करणे, आधुनिक स्वाक्षरीशिवाय अँटीव्हायरसची पायरेटेड प्रत आणि संशयास्पद मूळ सॉफ्टवेअर - हे सर्व संरक्षणाची पातळी वाढवत नाही. आमच्या मूल्यांकनानुसार, वापरकर्त्याच्या संगणकाशी तडजोड करणे ही खाती "अपहरण" करण्याची सर्वात व्यापक पद्धत आहे (आणि हे अलीकडेच घडले आहे) आणि यापासून आम्हाला स्वतःचे संरक्षण करायचे आहे. द्वि-घटक प्रमाणीकरणाच्या बाबतीत, जर तुम्ही असे गृहीत धरले की वापरकर्त्याच्या संगणकाशी तडजोड झाली आहे, तर त्यावर पासवर्ड टाकल्याने पासवर्डचीच तडजोड होते, जो पहिला घटक आहे. याचा अर्थ आक्रमणकर्त्याला फक्त दुसरा घटक निवडण्याची आवश्यकता आहे. RFC 6238 च्या सामान्य अंमलबजावणीच्या बाबतीत, दुसरा घटक 6 दशांश अंक आहे (आणि विनिर्देशानुसार अनुमत कमाल 8 अंक आहे). ओटीपीसाठी ब्रूटफोर्स कॅल्क्युलेटरनुसार, तीन दिवसांत हल्लेखोर दुसऱ्या घटकाचा शोध घेण्यास सक्षम असतो, जर त्याला पहिल्या गोष्टीची जाणीव झाली. वापरकर्त्याच्या सामान्य अनुभवात व्यत्यय न आणता सेवा या हल्ल्याचा काय प्रतिकार करू शकते हे स्पष्ट नाही. कामाचा एकमेव संभाव्य पुरावा म्हणजे कॅप्चा, जो आमच्या मते, शेवटचा उपाय आहे.

    दुसरी समस्या म्हणजे वापरकर्ता सत्राच्या गुणवत्तेबद्दल सेवेच्या निर्णयाची अपारदर्शकता आणि "पूर्व-प्रमाणीकरण" च्या गरजेवर निर्णय घेणे. याहूनही वाईट म्हणजे ही प्रक्रिया पारदर्शक करण्यात सेवेला स्वारस्य नाही, कारण अस्पष्टतेची सुरक्षा येथे कार्य करते. जर एखाद्या आक्रमणकर्त्याला माहित असेल की सेवा कोणत्या आधारावर सत्राच्या वैधतेबद्दल निर्णय घेते, तर तो हा डेटा खोटे करण्याचा प्रयत्न करू शकतो. एक सामान्य नियम म्हणून, आम्ही असा निष्कर्ष काढू शकतो की वापरकर्त्याच्या प्रमाणीकरण इतिहासाच्या आधारावर, IP पत्ता (आणि प्रदाता आणि जिओबेसवर आधारित स्थान ओळखणारे स्वायत्त सिस्टम नंबरचे त्याचे डेरिव्हेटिव्ह) आणि ब्राउझर डेटा लक्षात घेऊन निर्णय घेतला जातो, उदाहरणार्थ, वापरकर्ता एजंट शीर्षलेख आणि कुकीजचा संच, फ्लॅश lso आणि html स्थानिक संचयन. याचा अर्थ असा की जर आक्रमणकर्त्याने वापरकर्त्याच्या संगणकावर नियंत्रण ठेवले तर तो केवळ सर्व आवश्यक डेटाच चोरू शकत नाही तर पीडिताचा IP पत्ता देखील वापरू शकतो. शिवाय, ASN वर आधारित निर्णय घेतल्यास, कॉफी शॉपमधील सार्वजनिक वाय-फाय वरून कोणतेही प्रमाणीकरण हे प्रदात्याच्या सुरक्षिततेच्या दृष्टिकोनातून (आणि सेवेच्या दृष्टिकोनातून पांढरे करणे) "विषबाधा" होऊ शकते. कॉफी शॉप आणि उदाहरणार्थ, शहरातील सर्व कॉफी शॉप्स व्हाईटवॉश करणे. आम्ही कामाबद्दल बोललो, आणि ते लागू केले जाऊ शकते, परंतु प्रमाणीकरणाच्या पहिल्या आणि दुसऱ्या टप्प्यातील वेळ आत्मविश्वासाने विसंगतीचा न्याय करण्यासाठी पुरेसा असू शकत नाही. शिवाय, हाच युक्तिवाद "विश्वसनीय" संगणकाची कल्पना नष्ट करतो: आक्रमणकर्ता विश्वासाच्या निर्णयावर परिणाम करणारी कोणतीही माहिती चोरू शकतो.

    शेवटी, द्वि-चरण प्रमाणीकरण फक्त गैरसोयीचे आहे: आमचे उपयोगिता संशोधन असे दर्शविते की वापरकर्त्यांना त्यांच्या दृष्टिकोनातून मध्यस्थ स्क्रीन, अतिरिक्त बटण क्लिक आणि इतर "महत्त्वाच्या" क्रियांपेक्षा काहीही त्रास होत नाही.
    याच्या आधारे, आम्ही ठरविले की प्रमाणीकरण एक-चरण असावे आणि पासवर्डची जागा “शुद्ध” RFC 6238 च्या फ्रेमवर्कमध्ये शक्य आहे त्यापेक्षा खूप मोठी असावी.
    त्याच वेळी, आम्हाला शक्य तितके द्वि-घटक प्रमाणीकरण जतन करायचे होते.

    मल्टीफॅक्टर ऑथेंटिकेशनची व्याख्या प्रमाणीकरण घटक (वास्तविकपणे, त्यांना घटक म्हणतात) तीनपैकी एका श्रेणीला नियुक्त करून केली जाते:

    1. ज्ञान घटक (हे पारंपारिक पासवर्ड, पिन कोड आणि त्यांच्यासारखे दिसणारे सर्व काही आहेत);
    2. मालकी घटक (वापरलेल्या OTP योजनांमध्ये, हा सहसा स्मार्टफोन असतो, परंतु हार्डवेअर टोकन देखील असू शकतो);
    3. बायोमेट्रिक घटक (फिंगरप्रिंट आता सर्वात सामान्य आहे, जरी कोणीतरी Demolition Man चित्रपटातील वेस्ली स्निप्सच्या पात्राचा भाग लक्षात ठेवेल).

    आमच्या प्रणालीचा विकास

    जेव्हा आम्ही द्वि-घटक प्रमाणीकरणाच्या समस्येवर काम करण्यास सुरुवात केली (या अंकावरील कॉर्पोरेट विकीची पहिली पाने 2012 ची आहेत, परंतु त्याची पडद्यामागे चर्चा झाली होती), पहिली कल्पना मानक प्रमाणीकरण पद्धती घेणे आणि त्यांना लागू करणे ही होती. आम्हाला. आम्हाला समजले आहे की हार्डवेअर टोकन खरेदी करण्यासाठी आम्ही आमच्या लाखो वापरकर्त्यांवर विश्वास ठेवू शकत नाही, म्हणून आम्ही काही विचित्र प्रकरणांसाठी हा पर्याय पुढे ढकलला (जरी आम्ही ते पूर्णपणे सोडून देत नाही, कदाचित आम्ही काहीतरी मनोरंजक शोधण्यात सक्षम होऊ). एसएमएस पद्धत देखील व्यापक असू शकत नाही: ही एक अतिशय अविश्वसनीय वितरण पद्धत आहे (सर्वात निर्णायक क्षणी, एसएमएसला उशीर होऊ शकतो किंवा अजिबात येऊ शकत नाही), आणि एसएमएस पाठवण्याकरिता पैसे खर्च होतात (आणि ऑपरेटरने त्यांची किंमत वाढवण्यास सुरुवात केली आहे) . आम्ही ठरवले की एसएमएसचा वापर बँका आणि इतर कमी-तंत्रज्ञान कंपन्यांसाठी आहे आणि आम्ही आमच्या वापरकर्त्यांना काहीतरी अधिक सोयीस्कर देऊ इच्छितो. सर्वसाधारणपणे, निवड लहान होती: दुसरा घटक म्हणून स्मार्टफोन आणि त्यातील प्रोग्राम वापरा.

    वन-स्टेप ऑथेंटिकेशनचा हा प्रकार व्यापक आहे: वापरकर्त्याला पिन कोड (पहिला घटक) लक्षात राहतो आणि त्याच्याकडे हार्डवेअर किंवा सॉफ्टवेअर (स्मार्टफोनमध्ये) टोकन आहे जे OTP (दुसरा घटक) तयार करते. पासवर्ड एंट्री फील्डमध्ये, तो पिन कोड आणि वर्तमान OTP मूल्य प्रविष्ट करतो.

    आमच्या मते, या योजनेचा मुख्य तोटा द्वि-चरण प्रमाणीकरणासारखाच आहे: जर आपण असे गृहीत धरले की वापरकर्त्याच्या डेस्कटॉपशी तडजोड केली गेली आहे, तर एकदा पिन कोड प्रविष्ट केल्याने त्याचे प्रकटीकरण होईल आणि आक्रमणकर्त्याला फक्त दुसरा शोधता येईल. घटक

    आम्ही वेगळ्या मार्गाने जाण्याचा निर्णय घेतला: संपूर्ण पासवर्ड गुप्ततेतून व्युत्पन्न केला जातो, परंतु गुप्ततेचा काही भाग स्मार्टफोनमध्ये संग्रहित केला जातो आणि प्रत्येक वेळी पासवर्ड व्युत्पन्न झाल्यावर वापरकर्त्याद्वारे काही भाग प्रविष्ट केला जातो. अशा प्रकारे, स्मार्टफोन स्वतःच मालकीचा एक घटक आहे आणि पासवर्ड वापरकर्त्याच्या डोक्यात राहतो आणि ज्ञानाचा घटक आहे.

    Nonce एकतर काउंटर किंवा वर्तमान वेळ असू शकते. आम्ही सध्याची वेळ निवडण्याचे ठरविले आहे, हे आम्हाला डिसिंक्रोनाइझेशनची भीती बाळगू शकत नाही जर एखाद्याने खूप जास्त पासवर्ड व्युत्पन्न केले आणि काउंटर वाढवले.

    तर, आमच्याकडे स्मार्टफोनसाठी एक प्रोग्राम आहे जिथे वापरकर्ता त्याच्या गुप्त भागामध्ये प्रवेश करतो, तो संग्रहित भागामध्ये मिसळला जातो, परिणाम HMAC की म्हणून वापरला जातो, जो वर्तमान वेळेवर स्वाक्षरी करण्यासाठी वापरला जातो, 30 सेकंदांपर्यंत पूर्ण केला जातो. HMAC आउटपुट वाचनीय फॉर्ममध्ये रूपांतरित केले जाते, आणि voila ─ येथे एक-वेळ पासवर्ड आहे!

    आधी सांगितल्याप्रमाणे, RFC 4226 निर्दिष्ट करते की HMAC परिणाम कमाल 8 दशांश अंकांपर्यंत कापला जाईल. आम्ही ठरवले की या आकाराचा पासवर्ड वन-स्टेप ऑथेंटिकेशनसाठी योग्य नाही आणि तो वाढवला पाहिजे. त्याच वेळी, आम्हाला वापरात सुलभता राखायची होती (तरीही, लक्षात ठेवा, आम्हाला एक अशी प्रणाली बनवायची आहे जी सामान्य लोक वापरतील आणि फक्त सुरक्षा गीक्सच नाही), म्हणून सिस्टमच्या वर्तमान आवृत्तीमध्ये तडजोड म्हणून , आम्ही लॅटिन वर्णमाला 8 वर्णांपर्यंत कमी करणे निवडले. असे दिसते की 30 सेकंदांसाठी वैध असलेले 26^8 संकेतशब्द अगदी स्वीकार्य आहेत, परंतु जर सुरक्षा मार्जिन आम्हाला अनुकूल नसेल (किंवा ही योजना कशी सुधारायची यावरील मौल्यवान टिपा Habré वर दिसून येतील), आम्ही विस्तारित करू, उदाहरणार्थ, 10 वर्णांपर्यंत.

    अशा पासवर्डच्या ताकदीबद्दल अधिक जाणून घ्या

    खरं तर, केस-संवेदनशील लॅटिन अक्षरांसाठी, मोठ्या आणि लहान लॅटिन अक्षरांसाठी पर्यायांची संख्या 26 आहे, पर्यायांची संख्या 26+26+10=62 आहे. नंतर लॉग 62 (26 10) ≈ 7.9, म्हणजे 10 यादृच्छिक लहान लॅटिन अक्षरांचा पासवर्ड जवळजवळ 8 यादृच्छिक मोठ्या आणि लहान लॅटिन अक्षरे किंवा अंकांच्या पासवर्डइतका मजबूत असतो. हे निश्चितपणे 30 सेकंदांसाठी पुरेसे असेल. जर आपण लॅटिन अक्षरांनी बनवलेल्या 8-वर्णांच्या पासवर्डबद्दल बोललो, तर त्याची ताकद लॉग 62 (26 8) ≈ 6.3 आहे, म्हणजेच अपरकेस, लोअरकेस अक्षरे आणि संख्यांनी बनलेल्या 6-वर्णांच्या पासवर्डपेक्षा थोडा जास्त. आम्हाला वाटते की हे अद्याप 30 सेकंदांच्या विंडोसाठी स्वीकार्य आहे.

    जादू, पासवर्डहीनता, अनुप्रयोग आणि पुढील चरण

    सर्वसाधारणपणे, आम्ही तिथे थांबू शकलो असतो, परंतु आम्हाला प्रणाली आणखी सोयीस्कर बनवायची होती. जेव्हा एखाद्या व्यक्तीच्या हातात स्मार्टफोन असतो, तेव्हा तो कीबोर्डवरून पासवर्ड टाकू इच्छित नाही!

    म्हणूनच आम्ही “जादू लॉगिन” वर काम करायला सुरुवात केली. या प्रमाणीकरण पद्धतीसह, वापरकर्ता त्याच्या स्मार्टफोनवर ॲप्लिकेशन लॉन्च करतो, त्यात त्याचा पिन कोड टाकतो आणि त्याच्या कॉम्प्युटर स्क्रीनवर QR कोड स्कॅन करतो. पिन कोड योग्यरित्या प्रविष्ट केल्यास, ब्राउझरमधील पृष्ठ रीलोड केले जाते आणि वापरकर्त्याचे प्रमाणीकरण केले जाते. जादू!

    हे कस काम करत?

    सत्र क्रमांक QR कोडमध्ये एम्बेड केलेला असतो आणि जेव्हा अनुप्रयोग ते स्कॅन करतो तेव्हा हा क्रमांक नेहमीच्या पद्धतीने तयार केलेल्या पासवर्ड आणि वापरकर्तानावासह सर्व्हरवर प्रसारित केला जातो. हे कठीण नाही, कारण स्मार्टफोन जवळजवळ नेहमीच ऑनलाइन असतो. QR कोड दर्शविणाऱ्या पृष्ठाच्या लेआउटमध्ये, JavaScript चालू आहे, या सत्रासाठी पासवर्ड तपासण्यासाठी सर्व्हरकडून प्रतिसादाची वाट पाहत आहे. पासवर्ड योग्य असल्याचे सर्व्हरने प्रतिसाद दिल्यास, प्रतिसादासोबत सत्र कुकीज सेट केल्या जातात आणि वापरकर्त्याला प्रमाणीकृत मानले जाते.

    ते बरे झाले, पण आम्ही इथेही थांबायचे नाही असे ठरवले. iPhone 5S पासून सुरुवात करून, Apple फोन आणि टॅब्लेटने TouchID फिंगरप्रिंट स्कॅनर सादर केले आणि iOS आवृत्ती 8 मध्ये, तृतीय-पक्ष अनुप्रयोग देखील ते वापरू शकतात. प्रत्यक्षात, ऍप्लिकेशनला फिंगरप्रिंटमध्ये प्रवेश मिळत नाही, परंतु फिंगरप्रिंट योग्य असल्यास, ऍप्लिकेशनसाठी अतिरिक्त कीचेन विभाग उपलब्ध होतो. याचा फायदा आम्ही घेतला. गुपिताचा दुसरा भाग TouchID-संरक्षित कीचेन रेकॉर्डमध्ये ठेवला आहे, जो वापरकर्त्याने मागील परिस्थितीमध्ये कीबोर्डवरून प्रविष्ट केला होता. कीचेन अनलॉक करताना, गुप्ततेचे दोन भाग मिसळले जातात आणि नंतर प्रक्रिया वर वर्णन केल्याप्रमाणे कार्य करते.

    परंतु वापरकर्त्यासाठी हे आश्चर्यकारकपणे सोयीचे झाले आहे: तो अनुप्रयोग उघडतो, त्याचे बोट ठेवतो, स्क्रीनवर QR कोड स्कॅन करतो आणि त्याच्या संगणकावरील ब्राउझरमध्ये स्वत: ला प्रमाणीकृत करतो! म्हणून आम्ही नॉलेज फॅक्टर बायोमेट्रिकने बदलले आणि वापरकर्त्याच्या दृष्टिकोनातून, पासवर्ड पूर्णपणे सोडून दिले. दोन पासवर्ड मॅन्युअली टाकण्यापेक्षा सामान्य लोकांना ही योजना अधिक सोयीची वाटेल याची आम्हाला खात्री आहे.

    हे तांत्रिकदृष्ट्या किती द्वि-घटक प्रमाणीकरण आहे हे वादातीत आहे, परंतु प्रत्यक्षात ते यशस्वीरित्या पूर्ण करण्यासाठी आपल्याकडे अद्याप फोन असणे आणि योग्य फिंगरप्रिंट असणे आवश्यक आहे, त्यामुळे आम्हाला विश्वास आहे की नॉलेज फॅक्टर काढून टाकण्यात, बायोमेट्रिक्ससह बदलण्यात आम्ही यशस्वी झालो आहोत. . आम्ही समजतो की आम्ही ARM TrustZone च्या सुरक्षेवर अवलंबून आहोत जे iOS Secure Enclave अंतर्गत आहे आणि आम्हाला विश्वास आहे की ही उपप्रणाली सध्या आमच्या धोक्याच्या मॉडेलमध्ये विश्वसनीय मानली जाऊ शकते. अर्थात, आम्हाला बायोमेट्रिक प्रमाणीकरणातील समस्यांची जाणीव आहे: फिंगरप्रिंट हा पासवर्ड नसतो आणि तडजोड केल्यास बदलता येत नाही. परंतु, दुसरीकडे, प्रत्येकाला हे माहित आहे की सुरक्षितता सोयीनुसार व्यस्त प्रमाणात असते आणि वापरकर्त्याला स्वतःला एक आणि दुसरे गुणोत्तर निवडण्याचा अधिकार आहे जे त्याला मान्य आहे.

    मी तुम्हाला आठवण करून देतो की हे अद्याप बीटा आहे. आता, जेव्हा द्वि-घटक प्रमाणीकरण सक्षम केले जाते, तेव्हा आम्ही यांडेक्स ब्राउझरमध्ये संकेतशब्द सिंक्रोनाइझेशन तात्पुरते अक्षम करतो. हे पासवर्ड डेटाबेस एन्क्रिप्ट केलेल्या मार्गामुळे आहे. 2FA च्या बाबतीत ब्राउझर ऑथेंटिकेट करण्याचा एक सोयीस्कर मार्ग आम्ही आधीच घेऊन येत आहोत. इतर सर्व Yandex कार्यक्षमता पूर्वीप्रमाणे कार्य करते.

    हे आम्हाला मिळाले. हे चांगले झाले आहे असे दिसते, परंतु आपण न्यायाधीश व्हा. तुमचा अभिप्राय आणि शिफारशी ऐकून आम्हाला आनंद होईल आणि आम्ही आमच्या सेवांची सुरक्षा सुधारण्यासाठी कार्य करत राहू: आता, इतर सर्व गोष्टींसह, आमच्याकडे आता द्वि-घटक प्रमाणीकरण आहे. हे विसरू नका की ऑथेंटिकेशन सेवा आणि OTP जनरेशन ॲप्लिकेशन्स गंभीर आहेत आणि त्यामुळे बग ​​बाउंटी प्रोग्रामचा भाग म्हणून त्यात आढळलेल्या त्रुटींसाठी दुहेरी बोनस दिला जातो.

    टॅग्ज:

    • सुरक्षितता
    • प्रमाणीकरण
    • 2FA
    टॅग जोडा

    मी तुम्हाला Yandex मध्ये द्वि-घटक प्रमाणीकरण कसे सेट करायचे ते दाखवतो, हे तुम्हाला तुमचे Yandex खाते हॅकिंगपासून संरक्षित करण्यात मदत करेल.

    येथे पासवर्ड व्यवस्थापनावर जा passport.yandex.ru/profile/access. येथे तुम्ही तुमचा पासवर्ड बदलू शकता किंवा तुमच्या खात्यासाठी अतिरिक्त संरक्षण सक्षम करू शकता - द्वि-घटक प्रमाणीकरण. ते सक्षम करण्यासाठी टू-फॅक्टर ऑथेंटिकेशन स्लाइडरवर क्लिक करा.

    द्वि-घटक प्रमाणीकरण सक्षम करणे अनेक चरणांमध्ये होते. तुम्हाला Yandex.Passport आणि Yandex.Key मोबाईल ॲप्लिकेशन एकाच वेळी उघडावे लागेल. सेटअप पूर्ण केल्यानंतर, तुम्हाला सर्व डिव्हाइसेसवर पुन्हा लॉग इन करणे आवश्यक आहे.

    सेटअप सुरू करा क्लिक करा.

    हा तुमचा फोन नंबर आहे ज्यावर सेटअपसाठी कोड पाठवले जातील. येथे तुम्ही तुमच्या Yandex खात्याशी संबंधित फोन नंबर बदलू शकता.

    द्वि-घटक प्रमाणीकरण सेट करत आहे. 5 पैकी 1 पायरी.

    तुमच्या फोन नंबरची पुष्टी करा. यांडेक्सवर हा तुमचा मुख्य क्रमांक आहे. तुम्ही तुमच्या खात्यात प्रवेश गमावल्यास तुम्हाला त्याची आवश्यकता असेल. कोड मिळवा क्लिक करा.

    Yandex कडून एक SMS कोड तुमच्या नंबरवर पाठवला जाईल.

    येथे Yandex वरून SMS कोड प्रविष्ट करा आणि पुष्टी करा क्लिक करा.

    द्वि-घटक प्रमाणीकरण सेट करत आहे. 5 पैकी 2 पायरी.

    Yandex.Key अनुप्रयोग डाउनलोड करा. आता तुमच्या iPhone किंवा iPad वर AppStore वर जा किंवा तुमच्या Android स्मार्टफोन किंवा टॅबलेटवरील Play Store वर जा आणि Yandex.Key ऍप्लिकेशन शोधा. किंवा तुमच्या फोनवर लिंक प्राप्त करण्यासाठी क्लिक करा.

    App Store किंवा Play Market उघडेल, Yandex.Key अनुप्रयोग डाउनलोड करण्यासाठी डाउनलोड वर क्लिक करा आणि ते तुमच्या स्मार्टफोन किंवा टॅबलेटवर स्थापित करा.

    तुम्हाला तुमचा Apple आयडी पासवर्ड एंटर करायचा असल्यास, तुमचा Apple आयडी पासवर्ड एंटर करा.

    ३० सेकंदांनंतर ॲप्लिकेशन तुमच्या स्मार्टफोनवर डाउनलोड होईल, त्यावर क्लिक करून ते लॉन्च करा.

    द्वि-घटक प्रमाणीकरण सेट करत आहे. 5 पैकी 3 पायरी.

    तुमचा फोन कॅमेरा QR कोडकडे दाखवा आणि तुमचे खाते आपोआप ॲप्लिकेशनमध्ये जोडले जाईल. कोड वाचण्यात अयशस्वी झाल्यास, पुन्हा प्रयत्न करा किंवा गुप्त की प्रविष्ट करा.

    चला पुन्हा स्मार्टफोनवर जाऊया.

    Yandex.Key ऍप्लिकेशन Yandex मध्ये लॉग इन करण्यासाठी एक-वेळ पासवर्ड तयार करतो. तुम्ही तुमच्या कॉम्प्युटरवर टू-फॅक्टर ऑथेंटिकेशन सेट करणे सुरू केले असल्यास, “ॲप्लिकेशनमध्ये खाते जोडा” बटणावर क्लिक करा.

    अनुप्रयोगात खाते जोडा क्लिक करा.

    "की" प्रोग्राम "कॅमेरा" मध्ये प्रवेशाची विनंती करतो. संगणक मॉनिटर स्क्रीनवरून QR कोड स्कॅन करण्यासाठी तुमच्या स्मार्टफोनवरील कॅमेऱ्यावर ऍप्लिकेशनला प्रवेश देण्यासाठी अनुमती द्या क्लिक करा.

    तुमच्या संगणकाच्या मॉनिटरवर प्रदर्शित होणाऱ्या QR कोडकडे कॅमेरा पॉइंट करा आणि खाते जोडले जाण्याची प्रतीक्षा करा किंवा ते व्यक्तिचलितपणे जोडा.

    तयार. QR कोड स्कॅन केला गेला आहे. Yandex.Key अनुप्रयोग वापरासाठी तयार आहे.

    आता संगणकाच्या मॉनिटरवर जाऊया.

    पिन कोड तयार करा क्लिक करा.

    प्रत्येक वेळी तुम्हाला Yandex.Key मध्ये एक-वेळचा पासवर्ड मिळेल, तसेच तुमच्या खात्यात प्रवेश पुनर्संचयित करण्यासाठी पिन कोड आवश्यक आहे. तुमचा पिन गुप्त ठेवा. यांडेक्स सेवा कर्मचारी त्याला कधीही विचारत नाहीत.

    आम्ही चार-अंकी पिन कोड घेऊन आलो आणि सुरू ठेवा क्लिक करा.

    द्वि-घटक प्रमाणीकरण सेट करत आहे. 5 पैकी 4 पायरी.

    तुमचा पिन कोड तपासत आहे. तुमचा पिन कोड लक्षात ठेवण्याची खात्री करा. सेटिंग पूर्ण झाल्यावर, ते बदलता येत नाही. तुम्ही ऍप्लिकेशनमध्ये चुकीचा पिन कोड टाकल्यास, तो चुकीचा वन-टाइम पासवर्ड तयार करेल.

    तुम्ही पूर्वी तयार केलेला पिन कोड प्रविष्ट करा आणि तपासा क्लिक करा.

    चला स्मार्टफोन आणि Yandex.Key ऍप्लिकेशनवर परत जाऊया. एक-वेळ पासवर्ड प्राप्त करण्यासाठी तुमचा पिन कोड प्रविष्ट करा.

    पिन कोड एंटर केल्यानंतर, तुम्हाला एक-वेळचा पासवर्ड मिळेल जो २० सेकंदांसाठी वैध असेल; जर तुमच्याकडे 20 सेकंदात पासवर्ड एंटर करण्यासाठी वेळ नसेल, तर तो दुसऱ्यामध्ये बदलला जाईल आणि असेच. तुमच्या स्मार्टफोनच्या स्क्रीनवर दिसणारा पासवर्ड टाका.

    शेवटची पायरी. Yandex.Key वरून संकेतशब्द प्रविष्ट करा.

    पिन कोड वापरून, तुम्हाला ॲप्लिकेशनमध्ये एक-वेळचा पासवर्ड मिळेल. सेटअप पूर्ण झाल्यानंतर तुम्हाला पिन कोड लक्षात असल्याची खात्री करा, तुम्ही तो बदलू शकणार नाही.

    द्वि-घटक प्रमाणीकरण सक्षम केल्यानंतर काय बदलेल:

    • जुना पासवर्ड यापुढे काम करणार नाही.
    • तुम्हाला सर्व डिव्हाइसेसवर (वेब ​​सेवा आणि मोबाइल ॲप्लिकेशन्स) Yandex वर पुन्हा-अधिकृत करण्याची आवश्यकता असेल.
    • पासवर्ड न टाकता QR कोड वापरून Yandex वेब सेवांमध्ये प्रवेश करणे शक्य होईल. तुम्ही कोड वाचू शकत नसल्यास, Yandex.Key वरून एक-वेळचा पासवर्ड वापरा.
    • तुम्ही एक-वेळचा पासवर्ड वापरून Yandex मोबाइल ॲप्लिकेशन्समध्ये प्रवेश करू शकाल. तुम्ही ती Yandex.Key वरून प्रदीर्घ दाबून कॉपी करू शकता.
    • तुमच्या खात्याशी संबंधित इतर प्रोग्रामसाठी (उदाहरणार्थ, ईमेल क्लायंट किंवा मेल कलेक्टर्स), तुमच्या पासपोर्टमध्ये ॲप्लिकेशन पासवर्ड मिळवा.

    तुमच्या स्मार्टफोनच्या स्क्रीनवर प्रदर्शित होणारा वन-टाइम पासवर्ड एंटर करा आणि पूर्ण सेटअप क्लिक करा.

    आता वन-टाइम पासवर्ड टाकल्यानंतर, तुम्हाला जुन्या खात्याचा पासवर्ड टाकणे आवश्यक आहे. Yandex ला खात्री करणे आवश्यक आहे की सुरक्षा सेटिंग्जमध्ये असा गंभीर बदल खाते मालकाने केला आहे.

    तुमच्या Yandex खात्यासाठी जुना पासवर्ड एंटर करा आणि ओके क्लिक करा.

    तयार. द्वि-घटक प्रमाणीकरण पूर्ण झाले आहे. तुम्ही तुमचे खाते वन-टाइम पासवर्डने संरक्षित केले आहे. आता तुम्हाला सर्व डिव्हाइसेसवर Yandex वर पुन्हा-अधिकृत करण्याची आवश्यकता आहे. जर तुम्ही ईमेल प्रोग्राम वापरत असाल, उदाहरणार्थ, त्यांच्यासाठी ॲप्लिकेशन पासवर्ड मिळवण्याची खात्री करा.

    बंद करा वर क्लिक करा.

    आता तुम्ही तुमच्या स्मार्टफोनवर Yandex खाते मेलबॉक्स वापरत असल्यास, तुम्हाला त्यासाठी पासवर्ड तयार करणे आवश्यक आहे.

    अर्ज प्रकार > मेल प्रोग्राम निवडा.

    आणि तुमच्या ईमेल प्रोग्रामची ऑपरेटिंग सिस्टम निवडा. मी आयफोन वापरतो, म्हणून मी iOS निवडतो.

    आणि तुमच्या स्मार्टफोनवरील ईमेल प्रोग्रामसाठी पासवर्ड तयार करण्यासाठी पासवर्ड तयार करा क्लिक करा.

    तुमचा iOS ईमेल पासवर्ड व्युत्पन्न केला गेला आहे.

    पासवर्ड कसा वापरायचा:

    • ॲप्लिकेशनला तुमच्या डेटामध्ये प्रवेश देण्यासाठी, हा पासवर्ड त्याच्या सेटिंग्जमध्ये निर्दिष्ट करा.
    • तुमचा पासवर्ड लक्षात ठेवण्याची गरज नाही: तुम्हाला तो फक्त एकदाच लागेल. जेव्हा तुम्ही Yandex वर तुमचा पासवर्ड बदलता, तेव्हा तुम्हाला नवीन ऍप्लिकेशन पासवर्ड मिळवावा लागेल.
    • ऍप्लिकेशन पासवर्ड फक्त एकदाच दाखवला जातो. आपण पृष्ठ बंद केल्यास आणि ते वापरण्यासाठी वेळ नसल्यास, फक्त एक नवीन मिळवा.

    तुमच्या संगणकाच्या मॉनिटरवर प्रदर्शित होणारा पासवर्ड आम्ही तुमच्या स्मार्टफोनवरील Yandex मेल मोबाइल ऍप्लिकेशनमध्ये एंटर करतो.

    तयार. यांडेक्स द्वि-घटक प्रमाणीकरण कार्य करते, आपण आपल्या जीवनासह पुढे जाऊ शकता.

    आता, जर तुम्ही तुमच्या Yandex खात्यातून लॉग आउट केले आणि तुमचे वापरकर्तानाव आणि पासवर्ड पुन्हा एंटर केल्यास, ते तुम्हाला लिहतील:

    चुकीची लॉगिन-पासवर्ड जोडी!लॉगिन अयशस्वी. तुम्ही वेगळा कीबोर्ड लेआउट निवडला असेल किंवा कॅप्स लॉक की दाबली असेल. तुम्ही द्वि-घटक प्रमाणीकरण वापरत असल्यास, नेहमीच्या ऐवजी Yandex.Key अनुप्रयोगावरून एक-वेळचा संकेतशब्द प्रविष्ट केल्याची खात्री करा. पुन्हा लॉग इन करण्याचा प्रयत्न करा.

    आता तुम्हाला Yandex.Key ऍप्लिकेशन उघडणे आवश्यक आहे, तुमचा पिन कोड प्रविष्ट करा आणि तुमचा स्मार्टफोन कॅमेरा QR कोडकडे निर्देशित करा. स्मार्टफोन मॉनिटर स्क्रीनवरून QR कोड वाचल्यानंतर आपण स्वयंचलितपणे आपल्या Yandex खात्यात लॉग इन कराल.

    सुरक्षा आणि द्वि-चरण सत्यापनावरील इतर पोस्ट:

    हे योगायोग नाही की इंटरनेटवर आपल्या खात्याचे हॅकिंगपासून संरक्षण कसे करावे याबद्दल अनेक टिपा आहेत आणि कदाचित त्यापैकी सर्वात लोकप्रिय म्हणजे जटिल संकेतशब्द वापरणे आणि ते नियमितपणे बदलणे. हे नक्कीच वाईट नाही, परंतु सतत नवीन जटिल पासवर्ड लक्षात ठेवणे खूप त्रासदायक असू शकते. विशेषत: ज्यांना त्यांच्या खात्याच्या सुरक्षिततेची काळजी आहे त्यांच्यासाठी, Yandex ने द्वि-घटक प्रमाणीकरणाची बीटा आवृत्ती लाँच केली आहे. त्यासह, तुमच्या खात्याची चावी फक्त तुमच्या हातात असेल. अधिक तंतोतंत, आपल्या स्मार्टफोनमध्ये. Yandex - किंवा इतर कोणत्याही साइटवर लॉग इन करताना - तुम्ही तुमचे वापरकर्तानाव आणि पासवर्ड टाकता. पासवर्ड लॉगिनशी जुळतो की नाही हे सिस्टम तपासते आणि सर्वकाही व्यवस्थित असल्यास तुम्हाला आत येऊ देते. परंतु पासवर्ड हा फक्त एक पडताळणी घटक आहे. अशा प्रणाली आहेत ज्यासाठी एक घटक पुरेसे नाही. पासवर्ड व्यतिरिक्त, त्यांना आवश्यक आहे, उदाहरणार्थ, एसएमएसद्वारे पाठवलेला एक विशेष कोड किंवा संगणकात समाविष्ट केलेली USB की. या प्रणाली दोन-घटक किंवा बहु-घटक प्रमाणीकरण वापरतात. आमच्या द्वि-घटक प्रमाणीकरण योजनेसाठी, आम्ही Yandex.Key - iOS आणि Android साठी एक मोबाइल अनुप्रयोग तयार केला आहे. पासपोर्टमध्ये किंवा मेल ऑथोरायझेशन फील्डमध्ये यांडेक्सच्या मुख्य पृष्ठावरील क्यूआर कोड एक अनुप्रयोग म्हणून विचारात घेणे पुरेसे आहे - आणि आपणास आपल्या खात्यात सापडेल. की वापरण्यासाठी, तुम्हाला द्वि-घटक प्रमाणीकरण सक्षम करणे आवश्यक आहे, अनुप्रयोग स्थापित करणे आणि ते तुमच्या खात्याशी लिंक करणे आवश्यक आहे. त्यानंतर तुम्ही ॲप्लिकेशनमध्ये चार अंकी पिन कोड सेट करा. हा कोड घटकांपैकी एक बनेल, “गुप्त” चा भाग, ज्याच्या आधारे अल्गोरिदम वन-टाइम पासवर्ड तयार करेल. दुसरा घटक स्मार्टफोनमध्ये साठवला जातो. जेव्हा तुम्ही नंतर अधिकृतता फॉर्ममध्ये QR कोड वाचता, तेव्हा अनुप्रयोग तुमचे लॉगिन आणि एक-वेळ पासवर्ड Yandex सर्व्हरला पाठवेल. सर्व्हर त्यांची तपासणी करेल आणि तुम्हाला आत येऊ द्या किंवा न देण्यासाठी पेजला कमांड देईल. जेव्हा तुम्ही QR कोड वाचू शकत नाही, उदाहरणार्थ, तुमचा स्मार्टफोन कॅमेरा काम करत नाही किंवा तुम्हाला इंटरनेटवर प्रवेश नाही, तेव्हा तुम्ही मॅन्युअली एक-वेळ पासवर्ड टाकू शकता. या प्रकरणात पासवर्ड एंटर करणे QR कोड वाचण्याची जागा घेते - फरक एवढाच आहे की पासवर्ड स्वयंचलितपणे सर्व्हरवर पाठविला जात नाही, त्याऐवजी तुम्ही तो तुमच्या लॉगिनसह अधिकृतता फॉर्ममध्ये प्रविष्ट करा. एक-वेळचा पासवर्ड फक्त 30 सेकंदांसाठी वैध असतो. हे केले जाते जेणेकरून ते आपल्या संगणकावरून चोरले जाऊ शकत नाही (उदाहरणार्थ, ब्राउझरमध्ये प्रविष्ट केलेले संकेतशब्द लक्षात ठेवणारा प्रोग्राम वापरणे). तुमच्या खात्यामध्ये लॉग इन करण्यासाठी तुमच्याशिवाय कोणीही नाही, कारण की तुमच्या खात्यावर लॉग इन करण्यासाठी वापरता येणार नाही, कारण पासवर्ड जनरेट करताना, तुम्हाला आलेला पिन कोड वापरतो. योग्य पिन कोडशिवाय, अनुप्रयोग चुकीचे पासवर्ड तयार करेल जे तुमच्या खात्यासाठी काम करणार नाहीत. तुमच्याकडे टच आयडी असलेला Apple स्मार्टफोन किंवा टॅबलेट असल्यास, तुम्ही पिन कोडऐवजी फिंगरप्रिंट वापरू शकता. द्वि-घटक प्रमाणीकरण यंत्रणा हे दुसरे साधन आहे जे इंटरनेटवरील Yandex वापरकर्त्यांचे कार्य अधिक सुरक्षित करण्यात मदत करेल. तुम्हाला तुमच्या खात्यासाठी अतिरिक्त संरक्षण हवे असल्यास, ते Yandex.Key वर बंद करण्याची वेळ आली आहे.



    आम्ही वाचण्याची शिफारस करतो