ბატარეა და ენერგიის მოხმარება 

დააყენეთ 2 ფაქტორიანი გადამოწმების მოწყობილობა. მრავალ დონის ავთენტიფიკაციის უპირატესობები. ორფაქტორიანი ავთენტიფიკაციის დადებითი და უარყოფითი მხარეები

რომ გაერკვია რა არის ორფაქტორიანი ავთენტიფიკაციადა როგორ ხორციელდება ის ჩვეულებრივ, თქვენ უნდა გაარკვიოთ რა არის ავთენტიფიკაცია ზოგადად. მარტივი რომ შევინარჩუნოთ, ავტორიზაცია არის პროცესი, როდესაც მომხმარებელი ამტკიცებს, რომ ის არის ზუსტად ის, ვინც თქვა.

მაგალითად, სისტემაში შესვლისას შეიყვანთ თქვენს მომხმარებლის სახელს და პაროლს და ამით ამტკიცებთ, რომ იცით საიდუმლო გასაღები, რაც ნიშნავს, რომ ადასტურებთ, რომ თქვენ ხართ და არა უცხო. ამ შემთხვევაში, პაროლის ცოდნა არის ეგრეთ წოდებული "ავთენტიფიკაციის ფაქტორი".

მაგრამ პაროლი შეიძლება იყოს ძალიან მარტივი და თავდამსხმელს შეუძლია ადვილად გამოიცნოს იგი, ან უბრალოდ შეიძლება იყოს კლავიატურის ქვეშ მდებარე ფურცელზე (რაც, რა თქმა უნდა, არასწორია). პაროლის შეყვანა საშუალებას მისცემს თავდამსხმელს დაუმტკიცოს სისტემას, რომ მან იცის პაროლი და, შესაბამისად, აქვს უფლება გამოიყენოს ეს სისტემა.

ამიტომ, სისტემის დასაცავად ასეთი სიტუაციებისგან, ჩვეულებრივია გამოიყენოთ ორი ავთენტიფიკაციის ფაქტორი ერთდროულად: მაგალითად, პაროლი და ჭკვიანი ბარათი. ამ შემთხვევაში ავთენტიფიკაციის მეორე ფაქტორი იქნება სმარტ ბარათის ფლობის ფაქტი. სისტემა შეამოწმებს თქვენს პაროლს და სმარტ ბარათს და თუ ყველაფერი სწორია, სისტემაში შეგიშვებთ.

ორფაქტორიანი ავთენტიფიკაცია და ელექტრონული ციფრული ხელმოწერა

ხშირად, ორფაქტორიანი ავთენტიფიკაცია გამოიყენება ელექტრონული ხელმოწერებისთვის. დოკუმენტზე ციფრული ხელმოწერა, როგორც წესი, მსგავსია ხელნაწერი ხელმოწერის ქაღალდის დოკუმენტზე, ამიტომ ძალიან მნიშვნელოვანია, რომ თქვენი ელექტრონული ხელმოწერა თქვენს ნაცვლად თავდამსხმელებმა არ დააყენონ.

ყველაზე ხშირად, თქვენი ელექტრონული ხელმოწერის დასაცავად, იგი იწერება (უფრო ზუსტად, ელექტრონული ხელმოწერის სერტიფიკატი) ჟეტონზე. Ნიშანიარის სპეციალური მოწყობილობა, რომელიც ხშირად გამოიყენება ელექტრონული ხელმოწერის სერტიფიკატების შესანახად. თქვენი ელექტრონული ხელმოწერა ჟეტონზე დაცულია პაროლით, ასე რომ, მისი მოპარვის შემთხვევაშიც კი, თავდამსხმელები ვერ გამოიყენებენ მას. ამ შემთხვევაში, პირველი ავტორიზაციის ფაქტორი იქნება ტოკენის ფლობის ფაქტი, ხოლო მეორე იქნება პაროლის ცოდნა ტოკენზე ელექტრონულ ხელმოწერაზე წვდომისათვის.

ელექტრონული ხელმოწერის სერთიფიკატების შესანახად, ჩვენ გირჩევთ შემდეგი ნიშნების მოდელებს:

ორფაქტორიანი ავთენტიფიკაცია შესვლისთვის

ხშირად, ორგანიზაციები ინახავენ ძალიან მნიშვნელოვან მონაცემებს თავიანთ კომპიუტერებზე, რაც შეიძლება წარმოადგენდეს სავაჭრო საიდუმლოებას, რაზეც, რა თქმა უნდა, ნადირობენ კონკურენტები და სხვა თავდამსხმელები. და რეგულარული პაროლების გამოყენება საკმარისი არ არის ინფორმაციის უსაფრთხოების გარანტიისთვის.

თქვენი თანამშრომლების კომპიუტერებზე მონაცემების დასაცავად, ავთენტიფიკაციის ორი მიდგომა გამოიყენება:

  • დაიცავით შესვლის პროცესი

ამ მიდგომის ფარგლებში, კომპიუტერზე ინსტალირებულია პროგრამული პროდუქტი, რომელიც იწყებს ჟეტონის მოთხოვნას სისტემაში შესვლისას და ასევე უზრუნველყოფს ჟეტონის მუდმივად ჩასმას. თუ ჟეტონს ამოიღებთ, კომპიუტერი მაშინვე დაიბლოკება.

ეს მეთოდი კარგია გამოსაყენებლად იქ, სადაც შენობები დაცულია და არავის შეუძლია ფიზიკურად მოიპაროს კომპიუტერი ან მისი მყარი დისკი.

  • დაიცავით ყველა მონაცემი თქვენს კომპიუტერში

ასევე არსებობს კომპიუტერის ყველა მონაცემის დაშიფვრის საშუალება და კომპიუტერის ჩატვირთვისას, მომხმარებლისგან მოითხოვოს პაროლის შეყვანა და ჟეტონის ჩასმა. თუ პაროლი არასწორია ან ჟეტონი არასწორია, მაშინ მონაცემები უბრალოდ არ იქნება გაშიფრული და თუნდაც მოპარული, თავდამსხმელი ვერ გამოიყენებს ინფორმაციას კომპიუტერიდან.

მე გაჩვენებთ, თუ როგორ დაიცვათ თქვენი ფოსტის ანგარიში ფოსტაზე ორფაქტორიანი ავთენტიფიკაციის ჩართვით. თქვენი ფოსტის ანგარიშის პაროლის შეყვანის შემდეგ, ტელეფონზე მიიღებთ SMS კოდს, რომელიც უნდა შეიყვანოთ თქვენს ფოსტის ანგარიშში შესასვლელად.

1. ჩართეთ ორფაქტორიანი ავთენტიფიკაცია.

გადადით mail.ru-ზე, შემდეგ შედით თქვენს ანგარიშში მომხმარებლის სახელისა და პაროლის შეყვანით. შემდეგ, ზედა მარჯვენა კუთხეში თქვენს ანგარიშში შესვლის შემდეგ დააჭირეთ პარამეტრებს.

პარამეტრებში შეიყვანეთ პაროლი და უსაფრთხოება. და მარჯვნივ არის ელემენტი, სახელწოდებით უსაფრთხო შესვლა SMS დადასტურებით. დააჭირეთ ჩართვას.

ნამდვილად გსურთ Yandex-ის ორფაქტორიანი ავთენტიფიკაციის ჩართვა?

ორფაქტორიანი ავთენტიფიკაცია უზრუნველყოფს თქვენი ანგარიშის დაცვის დამატებით ფენას. ავტორიზაციის ჩართვის შემდეგ, როდესაც თქვენ ცდილობთ შეხვიდეთ თქვენს საფოსტო ყუთში, მოგიწევთ შეიყვანოთ კოდი, რომელიც გაგზავნილია SMS-ის სახით დაკავშირებულ ტელეფონის ნომერზე.

შეიყვანეთ თქვენი ანგარიშის პაროლი, მიუთითეთ თქვენი ტელეფონის ნომერი და დააჭირეთ გაგრძელება.

ჩართულია ორფაქტორიანი ავთენტიფიკაცია.

დაამატეთ პაროლები თითოეული აპლიკაციისთვის.

გთხოვთ, გაითვალისწინოთ, რომ ყველა გარე აპლიკაცია, რომლებშიც იყენებდით ამ საფოსტო ყუთს, შეწყვეტილია მუშაობა. მათი ხელახლა გამოყენების დასაწყებად გადადით პარამეტრებში და შექმენით პაროლები თითოეულისთვის.

დააჭირეთ ორფაქტორიანი ავთენტიფიკაციის დაყენებას.

Სულ ეს არის. ორფაქტორიანი ავთენტიფიკაცია უკვე მუშაობს. ახლა, თქვენი mail.ru ანგარიშის პაროლის შეყვანის შემდეგ, ტელეფონზე მიიღებთ SMS კოდს, რომელიც უნდა შეიყვანოთ თქვენს ანგარიშში შესასვლელად. ამრიგად, თუ ვინმე გაიგებს თქვენი ანგარიშის პაროლს, ის მაინც ვერ შეძლებს მასში შესვლას, რადგან მათ დასჭირდებათ SMS კოდის შეყვანა, ხოლო SMS კოდი გაიგზავნება თქვენს ტელეფონში.

2. შექმენით პაროლი გარე აპლიკაციებისთვის.

შეგიძლიათ გააგრძელოთ The Bat-ის დაყენება და მორგება! და Microsoft Outlook, თუ იყენებთ მათ და იქ დამატებული გაქვთ თქვენი mail.ru საფოსტო ყუთი. დააჭირეთ აპლიკაციის დამატებას.

ახალი აპლიკაციის შექმნა. აპლიკაციის პაროლი საჭიროა იმისთვის, რომ ფოსტა იმუშაოს მესამე მხარის აპლიკაციებში.

შექმენით სახელი ამ აპლიკაციისთვის და დააჭირეთ შექმნას.

შეიყვანეთ თქვენი mail.ru ანგარიშის მიმდინარე პაროლი და დააჭირეთ მიღებას.

აპლიკაცია წარმატებით შეიქმნა. თქვენ იხილავთ ავტომატურად გენერირებულ პაროლს თქვენი The Bat-ისთვის! ან Microsoft Outlook, თუ მათ საერთოდ იყენებთ.

3. შექმენით ერთჯერადი კოდები.

თქვენ ასევე შეგიძლიათ შექმნათ ერთჯერადი პაროლი. ეს იმ შემთხვევაში, თუ თქვენი ტელეფონი მიუწვდომელია ან ის მოგპარეს და ვერ იყენებთ თქვენს ნომერს.

ერთჯერადი კოდის გამოყენება შესაძლებელია, როდესაც არ არის წვდომა დაკავშირებულ მობილურ ტელეფონზე. გამოყენების შემდეგ თითოეული მათგანი უმოქმედო ხდება. კოდების ხელახალი გენერირების შემდეგ, ყველა ძველი კოდი არასწორი ხდება. გთხოვთ გაითვალისწინოთ, რომ ისინი მხოლოდ ერთხელ გაჩვენებთ. რეკომენდირებულია დაბეჭდოთ გენერირებული კოდები და შეინახოთ ისინი უსაფრთხო ადგილას.

დააწკაპუნეთ გენერირება.

დარწმუნებული ხართ, რომ გსურთ ახალი კოდის ცხრილის გენერირება? გთხოვთ გაითვალისწინოთ, რომ თქვენი ძველი კოდები აღარ იქნება მოქმედი.

დააჭირეთ გაგრძელება.

შეიყვანეთ თქვენი mail.ru ანგარიშის მიმდინარე პაროლი და SMS კოდი, რომელიც გაიგზავნება თქვენს ნომერზე.

დააჭირეთ მიღებას.

ერთჯერადი კოდები (რომლებიც ჩვეულებრივ გენერირებულია და გიგზავნით SMS-ის საშუალებით) გენერირებული იქნება თქვენთვის. შეინახეთ ისინი სადმე (უბრალოდ არა თქვენს ტელეფონში, როგორც ეს ხდება იმ შემთხვევაში, თუ ტელეფონი არ გაქვთ თქვენთან ერთად). კარგი, არ აჩვენო ისინი არავის. ხოლო თუ ტელეფონი ყოველთვის თან გაქვთ და დარწმუნებული ხართ, რომ ის არ მოიპარება და ყოველთვის შეგიძლიათ თქვენი ნომრის აღდგენა, მაშინ საერთოდ არ შეგიძლიათ გამოიყენოთ ერთჯერადი კოდები და წაშალოთ ისინი.

ახლა, როდესაც ცდილობთ შეხვიდეთ თქვენს ფოსტაში სმარტფონზე ან პლანშეტზე ან სხვაგან, შეიყვანეთ თქვენი მომხმარებლის სახელი და პაროლი და დააჭირეთ შესვლას.

თქვენ ასევე უნდა შეიყვანოთ SMS კოდი, რომელიც გაიგზავნება თქვენს ნომერზე ან გენერირებული ერთჯერადი კოდი. თუ, მაგალითად, აღარ გსურთ SMS კოდის შეყვანა ყოველ ჯერზე, როცა ელფოსტას ამოწმებთ თქვენს სმარტფონზე, მაშინ მონიშნეთ არ მოითხოვოთ ველი ამ მოწყობილობისთვის.

და თუ არ მიიღებთ SMS კოდს, დააჭირეთ სისტემაში შესვლის პრობლემას?

თუ შეტყობინებას რამდენიმე წამში ან წუთში არ მიიღებთ, შეგიძლიათ მოითხოვოთ ხელახლა გაგზავნა. დააჭირეთ მოთხოვნას.

და როდესაც SMS კოდი მოვა თქვენს ტელეფონზე, შეიყვანეთ და დააჭირეთ Enter.

ორფაქტორიანი ავთენტიფიკაცია ან 2FA არის სერვისში მომხმარებლის იდენტიფიკაციის მეთოდი, რომელიც იყენებს ორი სხვადასხვა ტიპის ავტორიზაციის მონაცემებს. უსაფრთხოების დამატებითი დონის დანერგვა უზრუნველყოფს თქვენი ანგარიშის უფრო ეფექტურ დაცვას არაავტორიზებული წვდომისგან.

ორფაქტორიანი ავთენტიფიკაცია მომხმარებელს მოითხოვს, რომ ჰქონდეს ორი სამი ტიპის საიდენტიფიკაციო ინფორმაცია.

ეს არის ტიპები:

  • რაღაც იცის;
  • რაღაც აქვს;
  • რაღაც თანდაყოლილი მისთვის (ბიომეტრია).
ცხადია, პირველი პუნქტი მოიცავს სხვადასხვა პაროლს, PIN კოდებს, საიდუმლო ფრაზებს და ა.შ., ანუ ის, რასაც მომხმარებელი ახსოვს და მოთხოვნის შემთხვევაში შედის სისტემაში.

მეორე წერტილი არის ჟეტონი, ანუ კომპაქტური მოწყობილობა, რომელიც მომხმარებლის საკუთრებაშია. უმარტივესი ჟეტონები არ საჭიროებენ ფიზიკურ კავშირს კომპიუტერთან - მათ აქვთ დისპლეი, რომელიც აჩვენებს იმ ნომერს, რომელსაც მომხმარებელი შეაქვს სისტემაში შესასვლელად - უფრო რთული კომპიუტერებს უერთდება USB და Bluetooth ინტერფეისის საშუალებით.

დღეს სმარტფონებს შეუძლიათ იმოქმედონ როგორც სიმბოლოები, რადგან ისინი ჩვენი ცხოვრების განუყოფელი ნაწილი გახდა. ამ შემთხვევაში, ეგრეთ წოდებული ერთჯერადი პაროლი გენერირდება ან სპეციალური აპლიკაციის გამოყენებით (მაგალითად Google Authenticator), ან იგზავნება SMS-ით - ეს არის უმარტივესი და ყველაზე მოსახერხებელი მეთოდი, რომელსაც ზოგიერთი ექსპერტი აფასებს, როგორც ნაკლებად სანდო.

კვლევის მსვლელობისას, რომელშიც მონაწილეობდა სხვადასხვა სქესის, ასაკისა და პროფესიის 219 ადამიანი, ცნობილი გახდა, რომ გამოკითხულთა ნახევარზე მეტი იყენებს ორფაქტორიან SMS აუთენტიფიკაციას სოციალურ ქსელებში (54,48%) და ფინანსებთან მუშაობისას (69,42%). ) .

თუმცა, რაც შეეხება სამუშაო საკითხებს, უპირატესობა ენიჭება ტოკენებს (45.36%). მაგრამ საინტერესო ის არის, რომ რესპონდენტთა რიცხვი, რომლებიც იყენებენ ამ ტექნოლოგიებს როგორც ნებაყოფლობით, ასევე უფროსების ბრძანებით (ან სხვა დამაჯერებელი გარემოებების გამო) დაახლოებით ერთნაირია.

სხვადასხვა ტექნოლოგიების პოპულარობის გრაფიკი საქმიანობის სფეროების მიხედვით

რესპონდენტთა ინტერესის გრაფიკი 2FA

ჟეტონები მოიცავს დროში სინქრონიზებულ ერთჯერად პაროლს და ერთჯერად პაროლებს მათემატიკური ალგორითმის საფუძველზე. დროში სინქრონიზებული ერთჯერადი პაროლები მუდმივად და პერიოდულად იცვლება. ასეთი ნიშნები მეხსიერებაში ინახავს წამების რაოდენობას, რომელიც გავიდა 1970 წლის 1 იანვრიდან და აჩვენებს ამ რიცხვის ნაწილს ეკრანზე.

იმისათვის, რომ მომხმარებელი შევიდეს სისტემაში, უნდა არსებობდეს სინქრონიზაცია კლიენტის ჟეტონსა და ავთენტიფიკაციის სერვერს შორის. მთავარი პრობლემა ის არის, რომ დროთა განმავლობაში ისინი შეიძლება სინქრონიზებული აღმოჩნდნენ, მაგრამ ზოგიერთი სისტემა, როგორიცაა RSA's SecurID, უზრუნველყოფს სერვერთან ტოკენის ხელახლა სინქრონიზაციის შესაძლებლობას მრავალი წვდომის კოდის შეყვანით. უფრო მეტიც, ამ მოწყობილობათაგან ბევრს არ აქვს შესაცვლელი ბატარეები და, შესაბამისად, აქვს შეზღუდული მომსახურების ვადა.

როგორც სახელი გვთავაზობს, მათემატიკური ალგორითმის პაროლები იყენებენ ალგორითმებს (როგორიცაა ჰეშის ჯაჭვები) საიდუმლო გასაღების საფუძველზე ერთჯერადი პაროლების სერიის შესაქმნელად. ამ შემთხვევაში, შეუძლებელია იმის პროგნოზირება, თუ რა იქნება შემდეგი პაროლი, თუნდაც იცოდეთ ყველა წინა.

ზოგჯერ 2FA ხორციელდება ბიომეტრიული მოწყობილობების და ავთენტიფიკაციის მეთოდების გამოყენებით (მესამე წერტილი). ეს შეიძლება იყოს, მაგალითად, სახის, თითის ანაბეჭდის ან ბადურის სკანერები.

აქ პრობლემა ის არის, რომ ასეთი ტექნოლოგიები ძალიან ძვირია, თუმცა ზუსტია. ბიომეტრიული სკანერების გამოყენების კიდევ ერთი პრობლემა არის ის, რომ არ არის აშკარა სიზუსტის საჭირო ხარისხის განსაზღვრა.

თუ თქვენ დააყენეთ თითის ანაბეჭდის სკანერის გარჩევადობა მაქსიმუმზე, მაშინ რისკავთ, რომ ვერ შეძლებთ სერვისზე ან მოწყობილობაზე წვდომას, თუ დამწვრობა მიიღებთ ან ხელები უბრალოდ გაყინულია. ამიტომ, ამ ავთენტიფიკატორის წარმატებით დასადასტურებლად, საკმარისია თითის ანაბეჭდის არასრული შესაბამისობა სტანდარტთან. ასევე აღსანიშნავია, რომ ფიზიკურად შეუძლებელია ასეთი „ბიოპაროლის“ შეცვლა.

რამდენად უსაფრთხოა ორფაქტორიანი ავთენტიფიკაცია?

ეს კარგი კითხვაა. 2FA არ არის შეუღწევადი თავდამსხმელებისთვის, მაგრამ ეს მათ ცხოვრებას ბევრად ართულებს. „2FA-ს გამოყენებით თქვენ აღმოფხვრის შეტევების საკმაოდ დიდ კატეგორიას“, ამბობს ჯიმ ფენტონი, OneID-ის უსაფრთხოების დირექტორი. ორფაქტორიანი ავთენტიფიკაციის გასარღვევად, ცუდ ბიჭებს მოუწევთ მოიპარონ თქვენი თითის ანაბეჭდები ან მიიღონ წვდომა ქუქი-ფაილებზე ან ტოკენების მიერ გენერირებულ კოდებზე.

ამ უკანასკნელის მიღწევა შესაძლებელია, მაგალითად, ფიშინგის შეტევებით ან მავნე პროგრამებით. არსებობს კიდევ ერთი უჩვეულო მეთოდი: თავდამსხმელებმა მოიპოვეს წვდომა Wired-ის ჟურნალისტ მეთ ჰონანის ანგარიშზე ანგარიშის აღდგენის ფუნქციის გამოყენებით.

ანგარიშის აღდგენა მოქმედებს როგორც ინსტრუმენტი ორფაქტორიანი ავთენტიფიკაციის გვერდის ავლით. ფენტონმა, მეტის ამბის შემდეგ, პირადად შექმნა Google-ის ანგარიში, გაააქტიურა 2FA და ვითომ „დაკარგა“ შესვლის ინფორმაცია. "ანგარიშის აღდგენას გარკვეული დრო დასჭირდა, მაგრამ სამი დღის შემდეგ მე მივიღე ელ.წერილი, რომ 2FA გამორთული იყო", - აღნიშნავს ფენტონი. თუმცა, ამ პრობლემასაც აქვს გამოსავალი. ყოველ შემთხვევაში მათზე მუშაობენ.

"ვფიქრობ, ბიომეტრია ერთ-ერთი მათგანია", - ამბობს Duo Security CTO ჯონ ობერჰაიდი. - თუ ტელეფონს დავკარგავ, სამუდამოდ არ დამჭირდება ყველა ჩემი ანგარიშის აღდგენა. კარგი ბიომეტრიული მეთოდი რომ არსებობდეს, ეს იქნებოდა აღდგენის საიმედო და სასარგებლო მექანიზმი“. არსებითად, ჯონი გვთავაზობს 2FA-ს ერთი ფორმის გამოყენებას ავთენტიფიკაციისთვის და მეორეს აღდგენისთვის.

სად გამოიყენება 2FA?

აქ მოცემულია რამდენიმე ძირითადი სერვისი და სოციალური ქსელი, რომლებიც გვთავაზობენ ამ ფუნქციას: Facebook, Gmail, Twitter, LinkedIn, Steam. მათი დეველოპერები გვთავაზობენ არჩევანს: SMS ავთენტიფიკაცია, ერთჯერადი პაროლების სია, Google Authenticator და ა.შ. Instagram-მა ცოტა ხნის წინ წარმოადგინა 2FA თქვენი ყველა ფოტოს დასაცავად.

თუმცა, აქ არის ერთი საინტერესო წერტილი. უნდა გვახსოვდეს, რომ ორფაქტორიანი ავთენტიფიკაცია დამატებით საფეხურს მატებს ავტორიზაციის პროცესს და განხორციელებიდან გამომდინარე, ამან შეიძლება გამოიწვიოს შესვლის უმნიშვნელო (ან არა) პრობლემები ან სერიოზული პრობლემები.

უმეტესწილად, ამის მიმართ დამოკიდებულება დამოკიდებულია მომხმარებლის მოთმინებაზე და ანგარიშის უსაფრთხოების გაზრდის სურვილზე. ფენტონმა თქვა: ”2FA კარგია, მაგრამ მას შეუძლია გაურთულოს ცხოვრება მომხმარებლებს. აქედან გამომდინარე, აზრი აქვს მის შეყვანას მხოლოდ იმ შემთხვევებისთვის, როდესაც შესვლა არის უცნობი მოწყობილობიდან.

ორფაქტორიანი ავთენტიფიკაცია არ არის პანაცეა, მაგრამ მას შეუძლია მნიშვნელოვნად გააუმჯობესოს თქვენი ანგარიშის უსაფრთხოება მინიმალური ძალისხმევით. ჰაკერებისთვის ცხოვრების გაძნელება ყოველთვის კარგია, ასე რომ თქვენ შეგიძლიათ და უნდა გამოიყენოთ 2FA.

რა ელის 2FA-ს?

უსაფრთხოების მეთოდებს, რომლებიც დაფუძნებულია მრავალფაქტორიანი ავთენტიფიკაციის ტექნიკაზე, ახლა ენდობა უამრავ კომპანიას, მათ შორის ორგანიზაციებს მაღალი ტექნოლოგიების სექტორიდან, ბაზრის ფინანსური და სადაზღვევო სექტორიდან, მსხვილი საბანკო დაწესებულებები და საჯარო სექტორის საწარმოები, დამოუკიდებელი საექსპერტო ორგანიზაციები, ასევე. კვლევითი ფირმები.

ობერჰეიდი აღნიშნავს, რომ ბევრმა მომხმარებელმა, რომლებიც სკეპტიკურად უყურებდნენ ორფაქტორიან ავთენტიფიკაციას, მალევე აღმოაჩინა, რომ ეს არც ისე რთული იყო. დღეს 2FA ნამდვილ ბუმს განიცდის და ნებისმიერი პოპულარული ტექნოლოგიის გაუმჯობესება ბევრად უფრო ადვილია. მიუხედავად სირთულეებისა, მას ნათელი მომავალი ელის.

P.S. სხვათა შორის, ჩვენ ახლახან შემოვიღეთ ორფაქტორიანი ავთენტიფიკაცია თქვენი 1cloud პირადი ანგარიშის უსაფრთხოების გაზრდის მიზნით. ამ მეთოდის გააქტიურების შემდეგ, საკონტროლო პანელში შესასვლელად მომხმარებელს სჭირდება არა მხოლოდ ელექტრონული ფოსტის მისამართი და პაროლი, არამედ SMS-ით მიღებული უნიკალური კოდი.

ორფაქტორიანი ავთენტიფიკაცია ეფუძნება არა მხოლოდ ტრადიციული შესვლა-პაროლის კომბინაციის გამოყენებას, არამედ დაცვის დამატებით დონეს - ეგრეთ წოდებულ მეორე ფაქტორს, რომლის ფლობა უნდა დადასტურდეს ანგარიშზე წვდომის მისაღებად ან სხვა მონაცემები.

ორფაქტორიანი ავთენტიფიკაციის უმარტივესი მაგალითი, რომელსაც ყოველი ჩვენგანი მუდმივად ვაწყდებით, არის ბანკომატიდან ნაღდი ფულის ამოღება. ფულის მისაღებად გჭირდებათ ბარათი, რომელიც მხოლოდ თქვენ გაქვთ და PIN კოდი, რომელიც მხოლოდ თქვენ იცით. თქვენი ბარათის მოპოვების შემდეგ, თავდამსხმელი ვერ შეძლებს ნაღდი ფულის ამოღებას PIN კოდის ცოდნის გარეშე და ასევე ვერ მიიღებს ფულს, თუ იცის, მაგრამ არ აქვს ბარათი.

ორფაქტორიანი ავთენტიფიკაციის იგივე პრინციპი გამოიყენება თქვენს ანგარიშებზე წვდომისთვის სოციალურ ქსელებში, ფოსტაზე და სხვა სერვისებზე. პირველი ფაქტორი არის ლოგინისა და პაროლის კომბინაცია, ხოლო მეორე ფაქტორი შეიძლება იყოს შემდეგი 5 რამ.

SMS კოდები

კენ ბენქსი/flickr.com

SMS კოდების გამოყენებით გადამოწმება ძალიან მარტივად მუშაობს. ჩვეულებისამებრ, შეიყვანთ მომხმარებლის სახელს და პაროლს, რის შემდეგაც კოდით SMS იგზავნება თქვენს ტელეფონის ნომერზე, რომელიც უნდა შეიყვანოთ თქვენს ანგარიშში შესასვლელად. Სულ ეს იყო. შემდეგ ჯერზე შესვლისას, იგზავნება სხვა SMS კოდი, რომელიც მოქმედებს მხოლოდ მიმდინარე სესიისთვის.

უპირატესობები

  • შექმენით ახალი კოდები ყოველ ჯერზე შესვლისას. თუ თავდამსხმელები თქვენს მომხმარებლის სახელსა და პაროლს ჩაჭრიან, კოდის გარეშე ვერაფერს გააკეთებენ.
  • ბმული ტელეფონის ნომერზე. შესვლა შეუძლებელია თქვენი ტელეფონის ნომრის გარეშე.

ხარვეზები

  • თუ ფიჭური სიგნალი არ არის, თქვენ ვერ შეძლებთ შესვლას.
  • არსებობს ნომრის ჩანაცვლების თეორიული შესაძლებლობა ოპერატორის ან საკომუნიკაციო მაღაზიების თანამშრომლების სერვისით.
  • თუ შეხვალთ და მიიღებთ კოდებს ერთსა და იმავე მოწყობილობაზე (მაგალითად, სმარტფონზე), მაშინ დაცვა წყვეტს ორფაქტორიანობას.

ავთენტიფიკატორის აპლიკაციები


authy.com

ეს ვარიანტი მრავალი თვალსაზრისით ჰგავს წინას, ერთადერთი განსხვავება ისაა, რომ კოდების SMS-ით მიღების ნაცვლად, ისინი გენერირდება მოწყობილობაზე სპეციალური აპლიკაციის (Google Authenticator, Authy) გამოყენებით. დაყენების დროს თქვენ იღებთ პირველად გასაღებს (ყველაზე ხშირად QR კოდის სახით), რომლის საფუძველზეც კრიპტოგრაფიული ალგორითმების გამოყენებით გენერირდება ერთჯერადი პაროლები მოქმედების ვადით 30-დან 60 წამამდე. მაშინაც კი, თუ ვივარაუდებთ, რომ თავდამსხმელებს შეუძლიათ 10, 100 ან თუნდაც 1000 პაროლის ჩაჭრა, მათი დახმარებით უბრალოდ შეუძლებელია პროგნოზირება, თუ რა იქნება შემდეგი პაროლი.

უპირატესობები

  • ავთენტიფიკატორი არ საჭიროებს ფიჭური ქსელის სიგნალს საწყის დაყენებისას საკმარისია ინტერნეტის კავშირი.
  • მხარს უჭერს მრავალ ანგარიშს ერთ ავთენტიფიკატორში.

ხარვეზები

  • თუ თავდამსხმელები მიიღებენ წვდომას თქვენი მოწყობილობის მთავარ გასაღებზე ან სერვერის გატეხვით, ისინი შეძლებენ მომავალი პაროლების გენერირებას.
  • თუ იყენებთ ავთენტიფიკატორს იმავე მოწყობილობაზე, საიდანაც შედიხართ, დაკარგავთ ორფაქტორიან ფუნქციონირებას.

შესვლის დადასტურება მობილური აპლიკაციების გამოყენებით

ამ ტიპის ავთენტიფიკაციას შეიძლება ეწოდოს ყველა წინა ჯიში. ამ შემთხვევაში, კოდების ან ერთჯერადი პაროლების მოთხოვნის ნაცვლად, თქვენ უნდა დაადასტუროთ შესვლა თქვენი მობილური მოწყობილობიდან დაინსტალირებული სერვისის აპლიკაციით. მოწყობილობაზე ინახება პირადი გასაღები, რომელიც მოწმდება ყოველი შესვლისას. ეს მუშაობს Twitter-ზე, Snapchat-ზე და სხვადასხვა ონლაინ თამაშებზე. მაგალითად, როდესაც შედიხართ თქვენს Twitter ანგარიშში ვებ ვერსიაში, შეიყვანთ თქვენს მომხმარებლის სახელს და პაროლს, შემდეგ თქვენს სმარტფონზე მოდის შეტყობინება, რომელიც მოგთხოვთ შეხვიდეთ სისტემაში, დადასტურების შემდეგ, თუ რომელი არხი იხსნება ბრაუზერში.

უპირატესობები

  • შესვლისას არაფრის შეყვანა არ გჭირდებათ.
  • დამოუკიდებლობა ფიჭური ქსელისგან.
  • მხარს უჭერს მრავალ ანგარიშს ერთ აპლიკაციაში.

ხარვეზები

  • თუ თავდამსხმელები თქვენს პირად გასაღებს შეაკავებენ, მათ შეუძლიათ თქვენს პირადობას.
  • ორფაქტორიანი ავთენტიფიკაციის წერტილი იკარგება სისტემაში ერთი და იგივე მოწყობილობის გამოყენებისას.

ტექნიკის ნიშნები


yubico.com

ფიზიკური (ან აპარატურის) ნიშნები ორფაქტორიანი ავთენტიფიკაციის ყველაზე უსაფრთხო მეთოდია. როგორც ცალკეული მოწყობილობები, ტექნიკის ნიშნები, ზემოთ ჩამოთვლილი ყველა მეთოდისგან განსხვავებით, არავითარ შემთხვევაში არ დაკარგავს ორფაქტორიან კომპონენტს. ყველაზე ხშირად ისინი წარმოდგენილია USB keychains სახით საკუთარი პროცესორით, რომელიც წარმოქმნის კრიპტოგრაფიულ გასაღებებს, რომლებიც ავტომატურად შეიყვანება კომპიუტერთან დაკავშირებისას. გასაღების არჩევანი დამოკიდებულია კონკრეტულ სერვისზე. მაგალითად, Google გირჩევთ გამოიყენოთ FIDO U2F ტოკენები, რომელთა ფასები იწყება $6-დან, მიწოდების გამოკლებით.

უპირატესობები

  • არანაირი SMS ან აპები.
  • არ არის საჭირო მობილური მოწყობილობა.
  • ეს არის სრულიად დამოუკიდებელი მოწყობილობა.

ხარვეზები

  • ცალკე ყიდვაა საჭირო.
  • არ არის მხარდაჭერილი ყველა სერვისში.
  • მრავალი ანგარიშის გამოყენებისას, თქვენ მოგიწევთ ატაროთ ტოკენების მთელი თაიგული.

სარეზერვო გასაღებები

სინამდვილეში, ეს არ არის ცალკე მეთოდი, არამედ სარეზერვო ვარიანტი სმარტფონის დაკარგვის ან მოპარვის შემთხვევაში, რომელიც იღებს ერთჯერად პაროლს ან დადასტურების კოდებს. როდესაც აყენებთ ორფაქტორიან ავთენტიფიკაციას თითოეული სერვისით, გეძლევათ რამდენიმე სარეზერვო გასაღები საგანგებო სიტუაციებში გამოსაყენებლად. მათი დახმარებით შეგიძლიათ შეხვიდეთ თქვენს ანგარიშში, გააუქმოთ კონფიგურირებული მოწყობილობები და დაამატოთ ახალი. ეს გასაღებები უნდა ინახებოდეს უსაფრთხო ადგილას და არა როგორც სკრინშოტი სმარტფონზე ან ტექსტურ ფაილად კომპიუტერზე.

როგორც ხედავთ, არსებობს რამდენიმე ნიუანსი ორფაქტორიანი ავთენტიფიკაციის გამოყენებაში, მაგრამ ისინი მხოლოდ ერთი შეხედვით რთულად გამოიყურება. როგორი უნდა იყოს დაცვისა და მოხერხებულობის იდეალური თანაფარდობა, ყველა გადაწყვეტს თავისთვის. მაგრამ ნებისმიერ შემთხვევაში, ყველა უბედურება გამართლებულია, როდესაც საქმე ეხება გადახდის მონაცემების უსაფრთხოებას ან პერსონალურ ინფორმაციას, რომელიც არ არის განკუთვნილი ცნობისმოყვარე თვალებისთვის.

შეგიძლიათ წაიკითხოთ, სადაც შეგიძლიათ და უნდა ჩართოთ ორფაქტორიანი ავთენტიფიკაცია, ასევე, რომელი სერვისები მხარს უჭერენ მას.

ეს იყო იშვიათი პოსტი Yandex-ის ბლოგზე, განსაკუთრებით უსაფრთხოებასთან დაკავშირებული, ორფაქტორიანი ავთენტიფიკაციის ხსენების გარეშე. ჩვენ დიდი ხანია ვფიქრობთ იმაზე, თუ როგორ სწორად გავაძლიეროთ მომხმარებლის ანგარიშების დაცვა და ისე, რომ მისი გამოყენება შესაძლებელი იყოს ყველა იმ უხერხულობის გარეშე, რაც მოიცავს დღეს ყველაზე გავრცელებულ განხორციელებას. და ისინი, სამწუხაროდ, მოუხერხებელია. ზოგიერთი მონაცემის მიხედვით, ბევრ დიდ საიტზე მომხმარებელთა პროცენტული მაჩვენებელი, რომლებმაც ჩართოთ ავტორიზაციის დამატებითი საშუალებები, არ აღემატება 0,1%-ს.

როგორც ჩანს, ეს იმიტომ ხდება, რომ ორფაქტორიანი ავთენტიფიკაციის საერთო სქემა ძალიან რთული და მოუხერხებელია. ჩვენ შევეცადეთ შეგვექმნა მეთოდი, რომელიც უფრო მოსახერხებელი იქნებოდა დაცვის დონის დაკარგვის გარეშე და დღეს წარმოგიდგენთ მის ბეტა ვერსიას.

ვიმედოვნებთ, რომ ის უფრო ფართოდ გავრცელდება. ჩვენი მხრივ, ჩვენ მზად ვართ ვიმუშაოთ მის გაუმჯობესებაზე და შემდგომ სტანდარტიზაციაზე.

პასპორტში ორფაქტორიანი ავთენტიფიკაციის ჩართვის შემდეგ, თქვენ უნდა დააინსტალიროთ Yandex.Key აპლიკაცია App Store-ში ან Google Play-ში. QR კოდები გამოჩნდა ავტორიზაციის ფორმაში Yandex-ის მთავარ გვერდზე, ფოსტასა და პასპორტში. თქვენს ანგარიშში შესასვლელად, თქვენ უნდა წაიკითხოთ QR კოდი აპლიკაციის საშუალებით - და ეს არის ის. თუ QR კოდის წაკითხვა შეუძლებელია, მაგალითად, სმარტფონის კამერა არ მუშაობს ან არ არის ინტერნეტთან წვდომა, აპლიკაცია შექმნის ერთჯერად პაროლს, რომელიც მოქმედებს მხოლოდ 30 წამის განმავლობაში.

მე გეტყვით, რატომ გადავწყვიტეთ არ გამოვიყენოთ ისეთი „სტანდარტული“ მექანიზმები, როგორიცაა RFC 6238 ან RFC 4226. როგორ მუშაობს ორფაქტორიანი ავთენტიფიკაციის ჩვეულებრივი სქემები? ისინი ორეტაპიანია. პირველი ეტაპი არის ნორმალური ავტორიზაცია შესვლისა და პაროლით. თუ ის წარმატებულია, საიტი ამოწმებს, „მოწონს“ თუ არა მომხმარებლის ეს სესია. და თუ არ მოგწონთ, ის სთხოვს მომხმარებელს „ხელახლა ავთენტიფიკაცია“. არსებობს „წინასწარი ავთენტიფიკაციის“ ორი გავრცელებული მეთოდი: SMS-ის გაგზავნა ანგარიშთან დაკავშირებულ ტელეფონის ნომერზე და სმარტფონზე მეორე პაროლის გენერირება. ძირითადად, TOTP RFC 6238-ის მიხედვით გამოიყენება მეორე პაროლის გენერირებისთვის, თუ მომხმარებელმა სწორად შეიყვანა მეორე პაროლი, სესია ითვლება სრულად ავთენტიფიცირებულად, ხოლო თუ არა, მაშინ სესია კარგავს „წინასწარ ავთენტიფიკაციასაც“.

ორივე მეთოდი - SMS-ის გაგზავნა და პაროლის გენერირება - არის ტელეფონის საკუთრების დამადასტურებელი და, შესაბამისად, ხელმისაწვდომობის ფაქტორი. პირველ ეტაპზე შეყვანილი პაროლი არის ცოდნის ფაქტორი. ამრიგად, ავტორიზაციის ეს სქემა არა მხოლოდ ორსაფეხურიანი, არამედ ორფაქტორიანია.

რა გვეჩვენა პრობლემური ამ სქემაში?

დავიწყოთ იმით, რომ საშუალო მომხმარებლის კომპიუტერს ყოველთვის არ შეიძლება ეწოდოს უსაფრთხოების მოდელი: Windows განახლებების გამორთვა, ანტივირუსის პირატული ასლი თანამედროვე ხელმოწერების გარეშე და საეჭვო წარმოშობის პროგრამული უზრუნველყოფა - ეს ყველაფერი არ ზრდის დაცვის დონეს. ჩვენი შეფასებით, მომხმარებლის კომპიუტერის კომპრომეტირება არის ანგარიშების „გატაცების“ ყველაზე გავრცელებული მეთოდი (და ცოტა ხნის წინ ამის კიდევ ერთი დადასტურება იყო) და სწორედ ამისგან გვინდა დავიცვათ თავი პირველ რიგში. ორფაქტორიანი ავთენტიფიკაციის შემთხვევაში, თუ ჩათვლით, რომ მომხმარებლის კომპიუტერი დაზიანებულია, მასზე პაროლის შეყვანა არღვევს თავად პაროლს, რაც პირველი ფაქტორია. ეს ნიშნავს, რომ თავდამსხმელს მხოლოდ მეორე ფაქტორის არჩევა სჭირდება. RFC 6238-ის საერთო განხორციელების შემთხვევაში, მეორე ფაქტორი არის 6 ათობითი ციფრი (და მაქსიმალური დასაშვები სპეციფიკაციებით არის 8 ციფრი). OTP-სთვის bruteforce კალკულატორის თანახმად, თავდამსხმელს სამი დღის განმავლობაში შეუძლია მეორე ფაქტორის პოვნა, თუ როგორმე გაიგო პირველის შესახებ. გაუგებარია, რა შეუძლია სერვისს დაუპირისპირდეს ამ შეტევას მომხმარებლის ნორმალური გამოცდილების შეფერხების გარეშე. მუშაობის ერთადერთი შესაძლო მტკიცებულება არის კაპჩა, რომელიც, ჩვენი აზრით, უკანასკნელი საშუალებაა.

მეორე პრობლემა არის სერვისის განსჯის გაუმჭვირვალობა მომხმარებლის სესიის ხარისხთან დაკავშირებით და გადაწყვეტილების მიღება „წინასწარი ავთენტიფიკაციის“ საჭიროების შესახებ. კიდევ უფრო უარესი, სამსახური არ არის დაინტერესებული ამ პროცესის გამჭვირვალობით, რადგან გაურკვევლობის უსაფრთხოება აქ რეალურად მუშაობს. თუ თავდამსხმელმა იცის, რის საფუძველზე იღებს სამსახური გადაწყვეტილებას სესიის ლეგიტიმურობის შესახებ, მას შეუძლია სცადოს ამ მონაცემების გაყალბება. როგორც ზოგადი წესი, შეგვიძლია დავასკვნათ, რომ გადაწყვეტილება მიიღება მომხმარებლის ავთენტიფიკაციის ისტორიის საფუძველზე, IP მისამართის (და ავტონომიური სისტემის ნომრის მისი წარმოებულების, რომელიც განსაზღვრავს პროვაიდერს და მდებარეობას გეობაზაზე დაყრდნობით) და ბრაუზერის მონაცემების გათვალისწინებით. მაგალითად, მომხმარებლის აგენტის სათაური და ქუქიების ნაკრები, ფლეშ lso და html ლოკალური მეხსიერება. ეს ნიშნავს, რომ თუ თავდამსხმელი აკონტროლებს მომხმარებლის კომპიუტერს, მას შეუძლია არა მხოლოდ მოიპაროს ყველა საჭირო მონაცემი, არამედ გამოიყენოს მსხვერპლის IP მისამართი. უფრო მეტიც, თუ გადაწყვეტილება მიიღება ASN-ზე დაყრდნობით, მაშინ ნებისმიერმა ავტორიზაციამ ყავის მაღაზიაში საჯარო Wi-Fi-დან შეიძლება გამოიწვიოს „მოწამვლა“ ამ პროვაიდერის უსაფრთხოების თვალსაზრისით (და გათეთრება სერვისის თვალსაზრისით). ყავის მაღაზია და, მაგალითად, ქალაქის ყველა ყავის მაღაზიის გათეთრება. ჩვენ ვისაუბრეთ იმაზე, თუ როგორ მუშაობს ანომალიის გამოვლენის სისტემა და შეიძლება მისი გამოყენება, მაგრამ ავტორიზაციის პირველ და მეორე ეტაპებს შორის დრო შეიძლება არ იყოს საკმარისი იმისათვის, რომ დამაჯერებლად განსაჯოთ ანომალია. უფრო მეტიც, იგივე არგუმენტი ანადგურებს „სანდო“ კომპიუტერების იდეას: თავდამსხმელს შეუძლია მოიპაროს ნებისმიერი ინფორმაცია, რომელიც გავლენას ახდენს ნდობის განსჯაზე.

დაბოლოს, ორეტაპიანი ავთენტიფიკაცია უბრალოდ მოუხერხებელია: ჩვენი გამოყენებადობის კვლევა აჩვენებს, რომ არაფერი აღიზიანებს მომხმარებლებს ისე, როგორც შუამავალი ეკრანი, დამატებითი ღილაკების დაწკაპუნება და სხვა „არამნიშვნელოვანი“ ქმედებები მათი თვალსაზრისით.
ამის საფუძველზე გადავწყვიტეთ, რომ ავთენტიფიკაცია უნდა იყოს ერთსაფეხურიანი და პაროლის სივრცე გაცილებით დიდი უნდა იყოს, ვიდრე ეს შესაძლებელია „სუფთა“ RFC 6238-ის ფარგლებში.
ამავდროულად, გვინდოდა შეძლებისდაგვარად შენარჩუნებულიყო ორფაქტორიანი ავთენტიფიკაცია.

მრავალფაქტორიანი ავთენტიფიკაცია განისაზღვრება ავთენტიფიკაციის ელემენტების მინიჭებით (სინამდვილეში, მათ უწოდებენ ფაქტორებს) სამი კატეგორიიდან ერთ-ერთს:

  1. ცოდნის ფაქტორები (ეს არის ტრადიციული პაროლები, PIN კოდები და ყველაფერი, რაც მათ ჰგავს);
  2. საკუთრების ფაქტორები (გამოყენებულ OTP სქემებში, ეს ჩვეულებრივ სმარტფონია, მაგრამ ასევე შეიძლება იყოს ტექნიკის ნიშანი);
  3. ბიომეტრიული ფაქტორები (თითის ანაბეჭდი ახლა ყველაზე გავრცელებულია, თუმცა ვინმეს ემახსოვრება ეპიზოდი უესლი სნაიპსის პერსონაჟთან ერთად ფილმში Demolition Man).

ჩვენი სისტემის განვითარება

როდესაც ჩვენ დავიწყეთ მუშაობა ორფაქტორიანი ავთენტიფიკაციის პრობლემაზე (კორპორატიული ვიკის პირველი გვერდები ამ საკითხთან დაკავშირებით 2012 წლით თარიღდება, მაგრამ მანამდე კულისებში იყო განხილული), პირველი იდეა იყო სტანდარტული ავთენტიფიკაციის მეთოდების მიღება და მათი გამოყენება. ჩვენთვის. ჩვენ გვესმოდა, რომ არ შეგვეძლო ჩვენი მილიონობით მომხმარებლის იმედი ვიქონიოთ ტექნიკის ჟეტონის შესაძენად, ამიტომ გადავდეთ ეს ვარიანტი ზოგიერთი ეგზოტიკური შემთხვევისთვის (თუმცა სრულებით არ ვტოვებთ მას, ალბათ, რაიმე საინტერესოს გამოვიგონებთ). SMS მეთოდი ასევე არ შეიძლება იყოს ფართოდ გავრცელებული: ეს არის ძალიან არასანდო მიწოდების მეთოდი (ყველაზე გადამწყვეტ მომენტში SMS შეიძლება შეფერხდეს ან საერთოდ არ ჩამოვიდეს), ხოლო SMS გაგზავნა ჯდება (და ოპერატორებმა დაიწყეს მათი ფასის გაზრდა) . ჩვენ გადავწყვიტეთ, რომ SMS-ის გამოყენება ბანკებისა და სხვა დაბალტექნოლოგიური კომპანიებისთვისაა და გვინდა ჩვენს მომხმარებლებს შევთავაზოთ რაღაც უფრო მოსახერხებელი. ზოგადად არჩევანი მცირე იყო: მეორე ფაქტორად გამოიყენეთ სმარტფონი და მასში არსებული პროგრამა.

ერთსაფეხურიანი ავთენტიფიკაციის ეს ფორმა ფართოდაა გავრცელებული: მომხმარებელს ახსოვს PIN კოდი (პირველი ფაქტორი) და აქვს აპარატურა ან პროგრამული უზრუნველყოფა (სმარტფონში) ჟეტონი, რომელიც ქმნის OTP-ს (მეორე ფაქტორი). პაროლის შეყვანის ველში ის შეაქვს PIN კოდს და მიმდინარე OTP მნიშვნელობას.

ჩვენი აზრით, ამ სქემის მთავარი მინუსი იგივეა, რაც ორეტაპიანი ავთენტიფიკაციის: თუ ვივარაუდებთ, რომ მომხმარებლის დესკტოპი დაზიანებულია, მაშინ PIN კოდის ერთხელ შეყვანა გამოიწვევს მის გამჟღავნებას და თავდამსხმელი მხოლოდ მეორეს პოულობს. ფაქტორი.

ჩვენ გადავწყვიტეთ სხვა გზით წავსულიყავით: მთელი პაროლი გენერირდება საიდუმლოდან, მაგრამ საიდუმლოს მხოლოდ ნაწილი ინახება სმარტფონში, ნაწილი კი მომხმარებლის მიერ შეიყვანება პაროლის გენერირებისას. ამრიგად, სმარტფონი თავად არის საკუთრების ფაქტორი, ხოლო პაროლი რჩება მომხმარებლის თავში და არის ცოდნის ფაქტორი.

Nonce შეიძლება იყოს მრიცხველი ან მიმდინარე დრო. ჩვენ გადავწყვიტეთ ავირჩიოთ მიმდინარე დრო, ეს საშუალებას გვაძლევს არ შეგვეშინდეს დესინქრონიზაციისა იმ შემთხვევაში, თუ ვინმე ძალიან ბევრ პაროლს გამოიმუშავებს და გაზრდის მრიცხველს.

ასე რომ, ჩვენ გვაქვს პროგრამა სმარტფონისთვის, სადაც მომხმარებელი შეაქვს საიდუმლოს თავის ნაწილს, მას ურევენ შენახულ ნაწილს, შედეგი გამოიყენება როგორც HMAC გასაღები, რომელიც გამოიყენება მიმდინარე დროის დასაწერად, დამრგვალებულია 30 წამამდე. HMAC გამომავალი გარდაიქმნება წასაკითხად ფორმაში და voila ─ აქ არის ერთჯერადი პაროლი!

როგორც უკვე აღვნიშნეთ, RFC 4226 განსაზღვრავს, რომ HMAC შედეგი შეკვეცილი იქნება მაქსიმუმ 8 ათობითი ციფრამდე. ჩვენ გადავწყვიტეთ, რომ ამ ზომის პაროლი არ არის შესაფერისი ერთსაფეხურიანი ავთენტიფიკაციისთვის და უნდა გაიზარდოს. ამავდროულად, ჩვენ გვინდოდა შეგვენარჩუნებინა გამოყენების სიმარტივე (ბოლოს და ბოლოს, გახსოვდეთ, ჩვენ გვინდა შევქმნათ სისტემა, რომელსაც გამოიყენებენ ჩვეულებრივი ადამიანები, და არა მხოლოდ უსაფრთხოების გეიკები), ასე რომ, როგორც კომპრომისი სისტემის მიმდინარე ვერსიაში. , ჩვენ ავირჩიეთ ლათინური ანბანის შეკვეცა 8 სიმბოლომდე. როგორც ჩანს, 30 წამის განმავლობაში მოქმედი 26^8 პაროლი საკმაოდ მისაღებია, მაგრამ თუ უსაფრთხოების ზღვარი არ ჯდება (ან ღირებული რჩევები ამ სქემის გაუმჯობესების შესახებ გამოჩნდება Habré-ზე), ჩვენ გავაფართოვებთ, მაგალითად, 10 სიმბოლომდე.

შეიტყვეთ მეტი ასეთი პაროლების სიძლიერის შესახებ

ფაქტობრივად, დიდი და პატარა ლათინური ასოებისთვის, ვარიანტების რაოდენობა სიმბოლოზე არის 26, დიდი და პატარა ლათინური ასოებისთვის პლუს რიცხვებისთვის, ვარიანტების რაოდენობაა 26+26+10=62. შემდეგ log 62 (26 10) ≈ 7.9, ანუ 10 შემთხვევითი პატარა ლათინური ასოების პაროლი თითქმის ისეთივე ძლიერია, როგორც 8 შემთხვევითი დიდი და პატარა ლათინური ასოების ან რიცხვების პაროლი. ეს აუცილებლად საკმარისი იქნება 30 წამისთვის. თუ ლათინური ასოებით დამზადებულ 8-სიმბოლოიან პაროლზე ვსაუბრობთ, მაშინ მისი სიძლიერეა log 62 (26 8) ≈ 6.3, ანუ ცოტა მეტი, ვიდრე 6-სიმბოლოიანი პაროლი, რომელიც დამზადებულია დიდი, პატარა ასოებიდან და რიცხვებით. ჩვენ ვფიქრობთ, რომ ეს ჯერ კიდევ მისაღებია 30 წამის ფანჯრისთვის.

მაგია, პაროლის უქონლობა, აპლიკაციები და შემდეგი ნაბიჯები

ზოგადად, იქ გაჩერება შეგვეძლო, მაგრამ გვინდოდა სისტემა კიდევ უფრო მოსახერხებელი გაგვეხადა. როდესაც ადამიანს ხელში სმარტფონი აქვს, მას არ სურს პაროლის შეყვანა კლავიატურიდან!

სწორედ ამიტომ დავიწყეთ „ჯადოსნურ ლოგინზე“ მუშაობა. ავტორიზაციის ამ მეთოდით მომხმარებელი უშვებს აპლიკაციას თავის სმარტფონზე, შეაქვს მასში PIN კოდი და სკანირებს QR კოდს კომპიუტერის ეკრანზე. თუ PIN კოდი სწორად არის შეყვანილი, ბრაუზერში გვერდი ხელახლა იტვირთება და მომხმარებლის ავტორიზაცია ხდება. მაგია!

Როგორ მუშაობს?

სესიის ნომერი ჩასმულია QR კოდში და როდესაც აპლიკაცია მას სკანირებს, ეს ნომერი გადაეცემა სერვერს ჩვეული წესით გენერირებულ პაროლთან და მომხმარებლის სახელთან ერთად. ეს არ არის რთული, რადგან სმარტფონი თითქმის ყოველთვის ონლაინ რეჟიმშია. გვერდის განლაგებაში, სადაც ნაჩვენებია QR კოდი, მუშაობს JavaScript, რომელიც ელოდება სერვერის პასუხს ამ სესიის პაროლის შესამოწმებლად. თუ სერვერი პასუხობს, რომ პაროლი სწორია, პასუხთან ერთად დაყენებულია სესიის ქუქი-ფაილები და მომხმარებელი ითვლება ავთენტიფიცირებულად.

გაუმჯობესდა, მაგრამ გადავწყვიტეთ არც აქ გავჩერებულიყავით. iPhone 5S-ით დაწყებული, Apple-ის ტელეფონებმა და პლანშეტებმა წარადგინეს TouchID თითის ანაბეჭდის სკანერი, ხოლო iOS მე-8 ვერსიაში მისი გამოყენება მესამე მხარის აპლიკაციებსაც შეუძლიათ. სინამდვილეში, აპლიკაცია არ იძენს წვდომას თითის ანაბეჭდზე, მაგრამ თუ თითის ანაბეჭდი სწორია, მაშინ აპლიკაციისთვის ხელმისაწვდომი გახდება დამატებითი Keychain განყოფილება. ჩვენ ამით ვისარგებლეთ. საიდუმლოს მეორე ნაწილი მოთავსებულია TouchID-ით დაცულ Keychain ჩანაწერში, რომელიც მომხმარებელმა შეიყვანა კლავიატურიდან წინა სცენარში. Keychain-ის განბლოკვისას საიდუმლოს ორი ნაწილი ერევა და შემდეგ პროცესი მუშაობს ისე, როგორც ზემოთ იყო აღწერილი.

მაგრამ ეს მომხმარებლისთვის წარმოუდგენლად მოსახერხებელი გახდა: ის ხსნის აპლიკაციას, დებს თითს, ასკანირებს QR კოდს ეკრანზე და კომპიუტერის ბრაუზერში ავთენტიფიცირებული აღმოჩნდება! ასე რომ, ჩვენ შევცვალეთ ცოდნის ფაქტორი ბიომეტრიულით და, მომხმარებლის თვალსაზრისით, სრულიად მიტოვებული პაროლები. დარწმუნებულები ვართ, რომ უბრალო ადამიანებს ეს სქემა ბევრად უფრო მოსახერხებელი აღმოაჩენთ, ვიდრე ორი პაროლის ხელით შეყვანა.

საკამათოა, რამდენად ტექნიკურად არის ეს ორფაქტორიანი ავტორიზაცია, მაგრამ სინამდვილეში თქვენ ჯერ კიდევ გჭირდებათ ტელეფონი და გქონდეთ სწორი თითის ანაბეჭდი მისი წარმატებით დასასრულებლად, ამიტომ მიგვაჩნია, რომ საკმაოდ წარმატებულად აღმოვჩნდით ცოდნის ფაქტორის აღმოფხვრაში, მისი ჩანაცვლება ბიომეტრიით. . ჩვენ გვესმის, რომ ჩვენ ვეყრდნობით ARM TrustZone-ის უსაფრთხოებას, რომელიც საფუძვლად უდევს iOS-ის უსაფრთხო ანკლავს და გვჯერა, რომ ეს ქვესისტემა ამჟამად შეიძლება ჩაითვალოს სანდო ჩვენი საფრთხის მოდელში. რა თქმა უნდა, ჩვენ ვიცით ბიომეტრიული ავთენტიფიკაციის პრობლემების შესახებ: თითის ანაბეჭდი არ არის პაროლი და არ შეიძლება შეიცვალოს, თუ კომპრომეტირებულია. მაგრამ, მეორეს მხრივ, ყველამ იცის, რომ უსაფრთხოება უკუპროპორციულია მოხერხებულობისა და მომხმარებელს თავად აქვს უფლება აირჩიოს ერთისა და მეორის მისთვის მისაღები თანაფარდობა.

შეგახსენებთ, რომ ეს ჯერ კიდევ ბეტა ვერსიაა. ახლა, როდესაც ჩართულია ორფაქტორიანი ავთენტიფიკაცია, ჩვენ დროებით გამორთავთ პაროლის სინქრონიზაციას Yandex Browser-ში. ეს გამოწვეულია პაროლის მონაცემთა ბაზის დაშიფვრის გზით. ჩვენ უკვე ვიპოვით მოსახერხებელ გზას ბრაუზერის ავთენტიფიკაციისთვის 2FA-ს შემთხვევაში. Yandex-ის ყველა სხვა ფუნქცია მუშაობს ისე, როგორც ადრე.

ეს არის ის, რაც მივიღეთ. როგორც ჩანს, კარგად გამოვიდა, მაგრამ თქვენ იყავით მოსამართლე. მოხარული ვიქნებით მოვისმინოთ თქვენი გამოხმაურება და რეკომენდაციები და გავაგრძელებთ მუშაობას ჩვენი სერვისების უსაფრთხოების გაუმჯობესებაზე: ახლა, CSP-თან, საფოსტო ტრანსპორტის დაშიფვრასთან და სხვა ყველაფერთან ერთად, ახლა გვაქვს ორფაქტორიანი ავთენტიფიკაცია. არ დაგავიწყდეთ, რომ ავთენტიფიკაციის სერვისები და OTP თაობის აპლიკაციები კრიტიკულია და, შესაბამისად, ორმაგი ბონუსი იხდის მათში აღმოჩენილ შეცდომებს, როგორც Bug Bounty პროგრამის ნაწილი.

ტეგები: ტეგების დამატება



გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა