"Yandex.Key" თქვენი გულისთვის. როგორ ჩართოთ ორფაქტორიანი ავთენტიფიკაცია Yandex ანგარიშისთვის

ბევრი მომხმარებელი, რომელთა საქმიანობა დაკავშირებულია ინტერნეტში ფულის გამომუშავებასთან ან მნიშვნელოვანი ინფორმაციის ონლაინ შენახვასთან, ცდილობს დაიცვას თავისი ანგარიშები გატეხვისა და კონფიდენციალური მონაცემების ქურდობისაგან.

რა თქმა უნდა, რთული პაროლი, მათ შორის რიცხვები და ასოები, ასევე სპეციალური სიმბოლოები, საკმაოდ საიმედო დაცვაა, მაგრამ ორფაქტორიანი ავთენტიფიკაცია უზრუნველყოფს მაქსიმალურ ეფექტს.

თუმცა, ყველამ არ იცის თავისი ანგარიშების დაცვის ამ ვარიანტის შესახებ და ეს იმისდა მიუხედავად, რომ დღეს უფრო და უფრო მეტი სერვისი (ფოსტის პროვაიდერები, სოციალური ქსელები და ა.შ.) გვთავაზობს ისარგებლოს ამ შესაძლებლობით.

რა არის ორფაქტორიანი ავთენტიფიკაცია?

მაშ, რა ტიპის დაცვაზეა საუბარი? სინამდვილეში, თქვენ უკვე ნახეთ ორეტაპიანი გადამოწმება. მაგალითად, როცა WebMoney-ის ვებსაიტზე ფულით რაიმე ოპერაციის შესრულებას აპირებთ, მაშინ, თქვენი შესვლისა და პაროლის გარდა, მოგიწევთ მიუთითოთ დამადასტურებელი კოდი, რომელიც გამოგიგზავნეთ მობილურ ტელეფონში.

სხვა სიტყვებით რომ ვთქვათ, ორფაქტორიანი ავთენტიფიკაცია არის თქვენი ანგარიშის მეორე გასაღები. თუ თქვენ გაააქტიურებთ ამ პარამეტრს, მაგალითად, Evernote-ში (არსებობს ასეთი ვარიანტი), მაშინ თავდამსხმელს, რომელმაც მოახერხა ამ შენიშვნების სერვისის პაროლის გამოცნობა, შეექმნება სხვა პრობლემა - ერთჯერადი კოდის მითითების მოთხოვნა, რომელიც იგზავნება თქვენი ტელეფონის ნომერი. აღსანიშნავია, რომ თუ თქვენი ანგარიშის გატეხვის მცდელობა იქნება, თქვენ მიიღებთ SMS-ს და შეძლებთ მყისიერად შეცვალოთ პაროლი.

დამეთანხმებით, რომ ეს არის ძალიან მოსახერხებელი ვარიანტი, რომლის გამოყენებითაც ნაკლებად ინერვიულებთ პირადი ინფორმაციის დაკარგვაზე.

სად არის მისი გამოყენების საუკეთესო ადგილი?

რა თქმა უნდა, ზოგიერთმა მომხმარებელმა შეიძლება გააპროტესტოს, ამტკიცებს, რომ ორფაქტორიანი ავთენტიფიკაცია ძალიან ბევრი „არასაჭირო ნაბიჯია“ და ზოგადად, ის განკუთვნილია პარანოიდული ადამიანებისთვის, რომლებიც ყოველთვის ფიქრობენ, რომ ვიღაც უყურებს მათ.

შესაძლოა ისინი გარკვეულწილად მართლები არიან. მაგალითად, სოციალური ქსელებისთვის საერთოდ არ არის საჭირო დაცვის ამ მეთოდის გამოყენება. თუმცა აქ შეიძლება კამათი. როგორც წესი, თავდამსხმელები ცდილობენ გატეხონ პოპულარული „პუბლიკის“ ადმინისტრატორების ანგარიშები. და თქვენ, სავარაუდოდ, ასევე არ გსურთ ერთ დღეს შეამჩნიოთ, რომ თქვენი ანგარიში ერთ-ერთ "სოციალურ ქსელში" გატეხეს და "კედელზე" განთავსდა სრულიად უხამსი ფოტოები.

რაც შეეხება სხვა სერვისებს, მაგალითად, Yandex-ის ორფაქტორიანი ავთენტიფიკაცია საშუალებას მოგცემთ უსაფრთხოდ შეინახოთ თქვენი სარეგისტრაციო მონაცემები WebMoney-დან და სხვებიდან) ან საიდუმლო ინფორმაციის შემცველი წერილები.

Google ანგარიშის დაცვა

დღეს ერთ-ერთი ყველაზე პოპულარული სერვისი არის Google. აქ შეგიძლიათ დაარეგისტრიროთ ელ.ფოსტის ანგარიში, შეინახოთ დოკუმენტები Google Drive-ზე, შექმნათ ბლოგი ან არხი YouTube-ზე უფასოდ, რამაც მოგვიანებით მოგება მოგიტანათ.

იმისათვის, რომ მომხმარებლები დარწმუნებულნი იყვნენ ფოსტაზე ან დისკზე შენახული დოკუმენტების უსაფრთხოებაში, მათ სთავაზობენ Google-ის მიერ ორფაქტორიან ავთენტიფიკაციას. მის გასააქტიურებლად, თქვენ უნდა შეხვიდეთ თქვენს ანგარიშში.

ახლა, მაგალითად, თქვენი საფოსტო ყუთის გახსნის შემდეგ, ყურადღება მიაქციეთ ავატარს ზედა მარჯვენა კუთხეში. დააჭირეთ მასზე და გადადით "ჩემი ანგარიში". აქ გჭირდებათ "უსაფრთხოება და შესვლა" განყოფილება, კერძოდ, ბმული "შესვლა Google ანგარიშში".

მარჯვნივ დაინახავთ „ორეტაპიანი გადამოწმების“ ვარიანტს, სადაც უნდა დააჭიროთ ისარს მის გასააქტიურებლად. გაიხსნება ფანჯარა, რომელშიც გაინტერესებთ ღილაკი "გააგრძელეთ დაყენება". შეიყვანეთ თქვენი პაროლი და მიჰყევით შემდგომ მითითებებს.

ორფაქტორიანი ავთენტიფიკაცია "Yandex"

Yandex ასევე სთავაზობს მომხმარებლებს საკმაოდ ბევრ სასარგებლო სერვისს. Yandex.Disk-ზე ინფორმაციის ღრუბლოვანი შენახვის გარდა, შეგიძლიათ მიიღოთ ელექტრონული საფულე, სადაც გამოიტანთ ინტერნეტში გამომუშავებულ ფულს.

და, რა თქმა უნდა, Yandex არ დგას განზე და ასევე სთავაზობს თავის მომხმარებლებს გამოიყენონ ორფაქტორიანი ავთენტიფიკაცია საფოსტო ყუთში შენახული დოკუმენტების დასაცავად.

მის გასააქტიურებლად, თქვენ უნდა შეასრულოთ რამდენიმე მარტივი ნაბიჯი. შედით თქვენს ანგარიშში და დააწკაპუნეთ LMB თქვენი პროფილის ფოტოზე (ზედა მარჯვენა კუთხე). ჩამოსაშლელი მენიუდან აირჩიეთ "პასპორტი". გაიხსნება ფანჯარა, რომელშიც თქვენ უნდა დააჭიროთ ბმულს "წვდომის კონტროლი". დააყენეთ „სლაიდერი“ „ON“ პოზიციაზე. თქვენ გადამისამართდებით გვერდზე, სადაც თქვენ უნდა დააჭიროთ ღილაკს "დაწყება დაყენება". ახლა გაიარეთ 4 ნაბიჯი ორფაქტორიანი დაცვის გასააქტიურებლად.

სოციალური ქსელი "VKontakte"

როგორც ზემოთ აღინიშნა, თავდამსხმელები ჩვეულებრივ ცდილობენ მიიღონ წვდომა პოპულარული ჯგუფების „ადმინისტრატორების“ ანგარიშებზე. მაგრამ ეს ყოველთვის ასე არ არის, რადგან უბრალოდ ინტერნეტში ცნობილი ადამიანის პირადი მიმოწერა შეიძლება იყოს საინტერესო.

აღსანიშნავია, რომ ზოგიერთი მომხმარებლისთვის, ანგარიშის დაცვის ეს მეთოდი დროთა განმავლობაში იწყებს გაღიზიანებას, რადგან ის მოითხოვს საიდუმლო კოდის მუდმივ შეყვანას, გარდა შესვლისა და პაროლისა. ასეთ შემთხვევებში, თქვენ უნდა იცოდეთ როგორ გამორთოთ ორფაქტორიანი ავთენტიფიკაცია. თუმცა, ჯერ ამ ოფციის გააქტიურებასთან გვაქვს საქმე.

სინამდვილეში, ორეტაპიანი გადამოწმების ჩართვა ძალიან მარტივია. აირჩიეთ "ჩემი პარამეტრები" და შემდეგ გადადით "უსაფრთხოების" ჩანართზე. "შესვლის დადასტურების" განყოფილებაში დააჭირეთ ღილაკს "დაკავშირება". ახლა დაიცავით ყველა მოთხოვნა სათითაოდ.

გამორთეთ ორფაქტორიანი ავთენტიფიკაცია

Yandex-ში ორეტაპიანი დაცვის გამორთვისთვის, თქვენ უნდა დაბრუნდეთ თქვენს "პასპორტში" ავატარზე დაწკაპუნებით. ამის შემდეგ, გახსენით "Access Control" განყოფილება და დააყენეთ სლაიდერი "Off" პოზიციაზე.

დასკვნა

ახლა თქვენ იცით, რა არის ორი მარყუჟის ავტორიზაცია და რატომ არის საჭირო. კონკრეტული სერვისის გამოყენებისას შეგიძლიათ გაააქტიუროთ ეს დამატებითი დაცვა ან უარი თქვათ ამ ფუნქციაზე.

რა თქმა უნდა, ზოგიერთ შემთხვევაში რეკომენდირებულია ორეტაპიანი გადამოწმების ჩართვა. მაგალითად, WebMoney-ზე დარეგისტრირებისას თქვენ მიუთითეთ თქვენი ელ.წერილი Yandex-იდან. ინტერნეტში მუშაობისას შეიძლება გახდეთ ჰაკერების მსხვერპლი, რომლებიც გატეხენ თქვენს საფოსტო ყუთს და მოიპოვებენ წვდომას თქვენს ელექტრონულ საფულეზე. ამის თავიდან ასაცილებლად, უმჯობესია დააინსტალიროთ და დაუკავშიროთ თქვენი ელექტრონული ფოსტა თქვენს ტელეფონს. ამ გზით თქვენ შეგიძლიათ სწრაფად რეაგირება, თუ ისინი შეეცდებიან თქვენს გატეხვას.

ეს იყო იშვიათი პოსტი Yandex-ის ბლოგზე, განსაკუთრებით უსაფრთხოებასთან დაკავშირებული, ორფაქტორიანი ავთენტიფიკაციის ხსენების გარეშე. ჩვენ დიდი ხანია ვფიქრობთ იმაზე, თუ როგორ სწორად გავაძლიეროთ მომხმარებლის ანგარიშების დაცვა და ისე, რომ მისი გამოყენება შესაძლებელი იყოს ყველა იმ უხერხულობის გარეშე, რაც მოიცავს დღეს ყველაზე გავრცელებულ განხორციელებას. და ისინი, სამწუხაროდ, მოუხერხებელია. ზოგიერთი მონაცემის მიხედვით, ბევრ მსხვილ საიტზე მომხმარებელთა პროცენტი, რომლებმაც ჩართოთ ავთენტიფიკაციის დამატებითი საშუალებები, არ აღემატება 0,1%-ს.

როგორც ჩანს, ეს იმიტომ ხდება, რომ ორფაქტორიანი ავთენტიფიკაციის საერთო სქემა ძალიან რთული და მოუხერხებელია. ჩვენ შევეცადეთ შეგვექმნა მეთოდი, რომელიც უფრო მოსახერხებელი იქნებოდა დაცვის დონის დაკარგვის გარეშე და დღეს წარმოგიდგენთ მის ბეტა ვერსიას.

ვიმედოვნებთ, რომ ის უფრო ფართოდ გავრცელდება. ჩვენი მხრივ, ჩვენ მზად ვართ ვიმუშაოთ მის გაუმჯობესებაზე და შემდგომ სტანდარტიზაციაზე.

პასპორტში ორფაქტორიანი ავთენტიფიკაციის ჩართვის შემდეგ, თქვენ უნდა დააინსტალიროთ Yandex.Key აპლიკაცია App Store-ში ან Google Play-ში. QR კოდები გამოჩნდა ავტორიზაციის ფორმაში Yandex-ის მთავარ გვერდზე, ფოსტაში და პასპორტში. თქვენს ანგარიშში შესასვლელად, თქვენ უნდა წაიკითხოთ QR კოდი აპლიკაციის საშუალებით - და ეს არის ის. თუ QR კოდის წაკითხვა შეუძლებელია, მაგალითად, სმარტფონის კამერა არ მუშაობს ან არ არის ინტერნეტთან წვდომა, აპლიკაცია შექმნის ერთჯერად პაროლს, რომელიც მოქმედებს მხოლოდ 30 წამის განმავლობაში.

მე გეტყვით, რატომ გადავწყვიტეთ არ გამოვიყენოთ ისეთი „სტანდარტული“ მექანიზმები, როგორიცაა RFC 6238 ან RFC 4226. როგორ მუშაობს ორფაქტორიანი ავთენტიფიკაციის ჩვეულებრივი სქემები? ისინი ორეტაპიანია. პირველი ეტაპი არის ნორმალური ავტორიზაცია შესვლისა და პაროლით. თუ ის წარმატებულია, საიტი ამოწმებს, „მოწონს“ თუ არა მომხმარებლის ეს სესია. და თუ არ მოგწონთ, ის სთხოვს მომხმარებელს „ხელახლა ავთენტიფიკაცია“. არსებობს „წინასწარი ავთენტიფიკაციის“ ორი გავრცელებული მეთოდი: SMS-ის გაგზავნა ანგარიშთან დაკავშირებულ ტელეფონის ნომერზე და სმარტფონზე მეორე პაროლის გენერირება. ძირითადად, TOTP RFC 6238-ის მიხედვით გამოიყენება მეორე პაროლის გენერირებისთვის, თუ მომხმარებელმა სწორად შეიყვანა მეორე პაროლი, სესია ითვლება სრულად ავთენტიფიცირებულად, ხოლო თუ არა, მაშინ სესია კარგავს „წინასწარ ავთენტიფიკაციასაც“.

ორივე მეთოდი - SMS-ის გაგზავნა და პაროლის გენერირება - არის ტელეფონის საკუთრების დამადასტურებელი და, შესაბამისად, ხელმისაწვდომობის ფაქტორი. პირველ ეტაპზე შეყვანილი პაროლი არის ცოდნის ფაქტორი. ამრიგად, ავტორიზაციის ეს სქემა არა მხოლოდ ორსაფეხურიანი, არამედ ორფაქტორიანია.

რა გვეჩვენა პრობლემური ამ სქემაში?

დავიწყოთ იმით, რომ საშუალო მომხმარებლის კომპიუტერს ყოველთვის არ შეიძლება ეწოდოს უსაფრთხოების მოდელი: Windows განახლებების გამორთვა, ანტივირუსის პირატული ასლი თანამედროვე ხელმოწერების გარეშე და საეჭვო წარმოშობის პროგრამული უზრუნველყოფა - ეს ყველაფერი არ ზრდის დაცვის დონეს. ჩვენი შეფასებით, მომხმარებლის კომპიუტერის კომპრომეტირება არის ანგარიშების „გატაცების“ ყველაზე გავრცელებული მეთოდი (და ცოტა ხნის წინ ამის კიდევ ერთი დადასტურება იყო) და ეს არის ის, რისგანაც პირველ რიგში გვინდა დავიცვათ თავი. ორფაქტორიანი ავთენტიფიკაციის შემთხვევაში, თუ ჩათვლით, რომ მომხმარებლის კომპიუტერი დაზიანებულია, მასზე პაროლის შეყვანა არღვევს თავად პაროლს, რაც პირველი ფაქტორია. ეს ნიშნავს, რომ თავდამსხმელს მხოლოდ მეორე ფაქტორის არჩევა სჭირდება. RFC 6238-ის საერთო განხორციელების შემთხვევაში, მეორე ფაქტორი არის 6 ათობითი ციფრი (და მაქსიმალური დასაშვები სპეციფიკაციებით არის 8 ციფრი). OTP-სთვის bruteforce კალკულატორის თანახმად, თავდამსხმელს სამი დღის განმავლობაში შეუძლია მეორე ფაქტორის პოვნა, თუ როგორმე გაიგო პირველის შესახებ. გაუგებარია, რა შეუძლია სერვისს დაუპირისპირდეს ამ შეტევას მომხმარებლის ნორმალური გამოცდილების შეფერხების გარეშე. მუშაობის ერთადერთი შესაძლო მტკიცებულება არის კაპჩა, რომელიც, ჩვენი აზრით, უკანასკნელი საშუალებაა.

მეორე პრობლემა არის სერვისის განსჯის გაუმჭვირვალობა მომხმარებლის სესიის ხარისხთან დაკავშირებით და გადაწყვეტილების მიღება „წინასწარი ავთენტიფიკაციის“ საჭიროების შესახებ. უფრო უარესი, სერვისი არ არის დაინტერესებული ამ პროცესის გამჭვირვალობით, რადგან გაურკვევლობის უსაფრთხოება აქ რეალურად მუშაობს. თუ თავდამსხმელმა იცის, რის საფუძველზე იღებს სამსახური გადაწყვეტილებას სესიის ლეგიტიმურობის შესახებ, მას შეუძლია სცადოს ამ მონაცემების გაყალბება. როგორც ზოგადი წესი, შეგვიძლია დავასკვნათ, რომ გადაწყვეტილება მიიღება მომხმარებლის ავთენტიფიკაციის ისტორიის საფუძველზე, IP მისამართის (და ავტონომიური სისტემის ნომრის მისი წარმოებულების, რომელიც განსაზღვრავს პროვაიდერს და მდებარეობას გეობაზაზე დაყრდნობით) და ბრაუზერის მონაცემების გათვალისწინებით. მაგალითად, მომხმარებლის აგენტის სათაური და ქუქიების ნაკრები, ფლეშ lso და html ლოკალური მეხსიერება. ეს ნიშნავს, რომ თუ თავდამსხმელი აკონტროლებს მომხმარებლის კომპიუტერს, მას შეუძლია არა მხოლოდ მოიპაროს ყველა საჭირო მონაცემი, არამედ გამოიყენოს მსხვერპლის IP მისამართი. უფრო მეტიც, თუ გადაწყვეტილება მიიღება ASN-ზე დაყრდნობით, მაშინ ნებისმიერმა ავტორიზაციამ ყავის მაღაზიაში საჯარო Wi-Fi-დან შეიძლება გამოიწვიოს „მოწამვლა“ ამ პროვაიდერის უსაფრთხოების თვალსაზრისით (და გათეთრება სერვისის თვალსაზრისით). ყავის მაღაზია და, მაგალითად, ქალაქის ყველა ყავის მაღაზიის გათეთრება. ჩვენ ვისაუბრეთ იმაზე, თუ როგორ მუშაობს ანომალიის გამოვლენის სისტემა და შეიძლება მისი გამოყენება, მაგრამ ავტორიზაციის პირველ და მეორე ეტაპებს შორის დრო შეიძლება არ იყოს საკმარისი იმისათვის, რომ დამაჯერებლად განსაჯოთ ანომალია. უფრო მეტიც, იგივე არგუმენტი ანადგურებს „სანდო“ კომპიუტერების იდეას: თავდამსხმელს შეუძლია მოიპაროს ნებისმიერი ინფორმაცია, რომელიც გავლენას ახდენს ნდობის განსჯაზე.

დაბოლოს, ორეტაპიანი ავთენტიფიკაცია უბრალოდ მოუხერხებელია: ჩვენი გამოყენებადობის კვლევა აჩვენებს, რომ არაფერი აღიზიანებს მომხმარებლებს ისე, როგორც შუამავალი ეკრანი, დამატებითი ღილაკების დაწკაპუნება და სხვა „არამნიშვნელოვანი“ ქმედებები მათი თვალსაზრისით.
ამის საფუძველზე გადავწყვიტეთ, რომ ავთენტიფიკაცია უნდა იყოს ერთსაფეხურიანი და პაროლის სივრცე გაცილებით დიდი უნდა იყოს, ვიდრე ეს შესაძლებელია „სუფთა“ RFC 6238-ის ფარგლებში.
ამავდროულად, გვინდოდა შეძლებისდაგვარად შენარჩუნებულიყო ორფაქტორიანი ავთენტიფიკაცია.

მრავალფაქტორიანი ავთენტიფიკაცია განისაზღვრება ავთენტიფიკაციის ელემენტების მინიჭებით (სინამდვილეში, მათ უწოდებენ ფაქტორებს) სამი კატეგორიიდან ერთ-ერთს:

1. ცოდნის ფაქტორები (ეს არის ტრადიციული პაროლები, PIN კოდები და ყველაფერი, რაც მათ ჰგავს);
2. საკუთრების ფაქტორები (გამოყენებულ OTP სქემებში, ეს ჩვეულებრივ სმარტფონია, მაგრამ ასევე შეიძლება იყოს ტექნიკის ნიშანი);
3. ბიომეტრიული ფაქტორები (თითის ანაბეჭდი ახლა ყველაზე გავრცელებულია, თუმცა ვინმეს ემახსოვრება ეპიზოდი უესლი სნაიპსის პერსონაჟთან ერთად ფილმში Demolition Man).

ჩვენი სისტემის განვითარება

როდესაც ჩვენ დავიწყეთ მუშაობა ორფაქტორიანი ავთენტიფიკაციის პრობლემაზე (კორპორატიული ვიკის პირველი გვერდები ამ საკითხთან დაკავშირებით 2012 წლით თარიღდება, მაგრამ მანამდე კულისებში იყო განხილული), პირველი იდეა იყო სტანდარტული ავთენტიფიკაციის მეთოდების მიღება და მათი გამოყენება. ჩვენთვის. ჩვენ გვესმოდა, რომ არ შეგვეძლო ჩვენი მილიონობით მომხმარებლის იმედი ვიქონიოთ ტექნიკის ჟეტონის შესაძენად, ამიტომ გადავდეთ ეს ვარიანტი ზოგიერთი ეგზოტიკური შემთხვევისთვის (თუმცა სრულებით არ ვტოვებთ მას, ალბათ, რაიმე საინტერესოს გამოვიგონებთ). SMS მეთოდი ასევე არ შეიძლება ფართოდ გავრცელდეს: ეს არის ძალიან არასანდო მიწოდების მეთოდი (ყველაზე გადამწყვეტ მომენტში SMS შეიძლება შეფერხდეს ან საერთოდ არ ჩამოვიდეს), ხოლო SMS გაგზავნა ღირს (და ოპერატორებმა დაიწყეს მათი ფასის გაზრდა). ჩვენ გადავწყვიტეთ, რომ SMS-ის გამოყენება ბანკებისა და სხვა დაბალტექნოლოგიური კომპანიებისთვისაა და გვინდა ჩვენს მომხმარებლებს შევთავაზოთ რაღაც უფრო მოსახერხებელი. ზოგადად არჩევანი მცირე იყო: მეორე ფაქტორად გამოიყენეთ სმარტფონი და მასში არსებული პროგრამა.

ერთსაფეხურიანი ავთენტიფიკაციის ეს ფორმა ფართოდაა გავრცელებული: მომხმარებელს ახსოვს PIN კოდი (პირველი ფაქტორი) და აქვს აპარატურა ან პროგრამული უზრუნველყოფა (სმარტფონში) ჟეტონი, რომელიც ქმნის OTP (მეორე ფაქტორი). პაროლის შეყვანის ველში ის შეაქვს PIN კოდს და მიმდინარე OTP მნიშვნელობას.

ჩვენი აზრით, ამ სქემის მთავარი მინუსი იგივეა, რაც ორეტაპიანი ავთენტიფიკაციის: თუ ვივარაუდებთ, რომ მომხმარებლის დესკტოპი დაზიანებულია, მაშინ PIN კოდის ერთხელ შეყვანა გამოიწვევს მის გამჟღავნებას და თავდამსხმელი მხოლოდ მეორეს პოულობს. ფაქტორი.

ჩვენ გადავწყვიტეთ სხვა გზით წავსულიყავით: მთელი პაროლი გენერირდება საიდუმლოდან, მაგრამ საიდუმლოს მხოლოდ ნაწილი ინახება სმარტფონში, ნაწილი კი მომხმარებლის მიერ შეიყვანება პაროლის გენერირებისას. ამრიგად, სმარტფონი თავად არის საკუთრების ფაქტორი, ხოლო პაროლი რჩება მომხმარებლის თავში და არის ცოდნის ფაქტორი.

Nonce შეიძლება იყოს მრიცხველი ან მიმდინარე დრო. ჩვენ გადავწყვიტეთ ავირჩიოთ მიმდინარე დრო, ეს საშუალებას გვაძლევს არ შეგვეშინდეს დესინქრონიზაციისა იმ შემთხვევაში, თუ ვინმე ძალიან ბევრ პაროლს გამოიმუშავებს და გაზრდის მრიცხველს.

ასე რომ, ჩვენ გვაქვს პროგრამა სმარტფონისთვის, სადაც მომხმარებელი შეაქვს საიდუმლოს თავის ნაწილს, მას ურევენ შენახულ ნაწილს, შედეგი გამოიყენება როგორც HMAC გასაღები, რომელიც გამოიყენება მიმდინარე დროის დასაწერად, დამრგვალებულია 30 წამამდე. HMAC გამომავალი გარდაიქმნება წასაკითხად ფორმაში და voila ─ აქ არის ერთჯერადი პაროლი!

როგორც უკვე აღვნიშნეთ, RFC 4226 განსაზღვრავს, რომ HMAC შედეგი შეკვეცილი იქნება მაქსიმუმ 8 ათობითი ციფრამდე. ჩვენ გადავწყვიტეთ, რომ ამ ზომის პაროლი არ არის შესაფერისი ერთსაფეხურიანი ავთენტიფიკაციისთვის და უნდა გაიზარდოს. ამავდროულად, ჩვენ გვინდოდა შეგვენარჩუნებინა გამოყენების სიმარტივე (ბოლოს და ბოლოს, გახსოვდეთ, ჩვენ გვინდა შევქმნათ სისტემა, რომელსაც გამოიყენებენ ჩვეულებრივი ადამიანები, და არა მხოლოდ უსაფრთხოების გეიკები), ასე რომ, როგორც კომპრომისი სისტემის მიმდინარე ვერსიაში. , ჩვენ ავირჩიეთ ლათინური ანბანის შეკვეცა 8 სიმბოლომდე. როგორც ჩანს, 30 წამის განმავლობაში მოქმედი 26^8 პაროლი საკმაოდ მისაღებია, მაგრამ თუ უსაფრთხოების ზღვარი არ ჯდება (ან ღირებული რჩევები ამ სქემის გაუმჯობესების შესახებ გამოჩნდება Habré-ზე), ჩვენ გავაფართოვებთ, მაგალითად, 10 სიმბოლომდე.

შეიტყვეთ მეტი ასეთი პაროლების სიძლიერის შესახებ

ფაქტობრივად, დიდი და პატარა ლათინური ასოებისთვის, ოპციების რაოდენობა არის 26, პლუს რიცხვები, ვარიანტების რაოდენობა არის 26+26+10=62; შემდეგ log 62 (26 10) ≈ 7.9, ანუ 10 შემთხვევითი პატარა ლათინური ასოების პაროლი თითქმის ისეთივე ძლიერია, როგორც 8 შემთხვევითი დიდი და პატარა ლათინური ასოების ან რიცხვების პაროლი. ეს აუცილებლად საკმარისი იქნება 30 წამისთვის. თუ ვსაუბრობთ ლათინური ასოებით დამზადებულ 8-სიმბოლოიან პაროლზე, მაშინ მისი სიძლიერეა log 62 (26 8) ≈ 6.3, ანუ ცოტა მეტი, ვიდრე 6-სიმბოლოიანი პაროლი, რომელიც დამზადებულია დიდი, პატარა ასოებიდან და რიცხვებით. ჩვენ ვფიქრობთ, რომ ეს ჯერ კიდევ მისაღებია 30 წამიანი ფანჯრისთვის.

მაგია, პაროლის უქონლობა, აპლიკაციები და შემდეგი ნაბიჯები

ზოგადად, იქ გაჩერება შეგვეძლო, მაგრამ გვინდოდა სისტემა კიდევ უფრო მოსახერხებელი გაგვეხადა. როდესაც ადამიანს ხელში სმარტფონი აქვს, მას არ სურს პაროლის შეყვანა კლავიატურიდან!

სწორედ ამიტომ დავიწყეთ „ჯადოსნურ ლოგინზე“ მუშაობა. ავტორიზაციის ამ მეთოდით მომხმარებელი უშვებს აპლიკაციას თავის სმარტფონზე, შეაქვს მასში PIN კოდი და სკანირებს QR კოდს კომპიუტერის ეკრანზე. თუ PIN კოდი სწორად არის შეყვანილი, ბრაუზერში გვერდი ხელახლა იტვირთება და მომხმარებლის ავტორიზაცია ხდება. მაგია!

როგორ მუშაობს?

QR კოდი შეიცავს სესიის ნომერს და როდესაც აპლიკაცია მას სკანირებს, ეს ნომერი გადაეცემა სერვერს ჩვეულ რეჟიმში გენერირებულ პაროლთან და მომხმარებლის სახელთან ერთად. ეს არ არის რთული, რადგან სმარტფონი თითქმის ყოველთვის არის ონლაინ რეჟიმში. გვერდის განლაგებაში, სადაც ნაჩვენებია QR კოდი, მუშაობს JavaScript, რომელიც ელოდება სერვერის პასუხს ამ სესიის პაროლის შესამოწმებლად. თუ სერვერი პასუხობს, რომ პაროლი სწორია, პასუხთან ერთად დაყენებულია სესიის ქუქი-ფაილები და მომხმარებელი ითვლება ავთენტიფიცირებულად.

გაუმჯობესდა, მაგრამ გადავწყვიტეთ არც აქ გავჩერებულიყავით. iPhone 5S-ით დაწყებული, Apple-ის ტელეფონებმა და პლანშეტებმა წარადგინეს TouchID თითის ანაბეჭდის სკანერი, ხოლო iOS მე-8 ვერსიაში მისი გამოყენება მესამე მხარის აპლიკაციებსაც შეუძლიათ. სინამდვილეში, აპლიკაცია არ იძენს წვდომას თითის ანაბეჭდზე, მაგრამ თუ თითის ანაბეჭდი სწორია, მაშინ აპლიკაციისთვის ხელმისაწვდომი გახდება დამატებითი Keychain განყოფილება. ჩვენ ამით ვისარგებლეთ. საიდუმლოს მეორე ნაწილი მოთავსებულია TouchID-ით დაცულ Keychain ჩანაწერში, რომელიც მომხმარებელმა შეიყვანა კლავიატურიდან წინა სცენარში. Keychain-ის განბლოკვისას საიდუმლოს ორი ნაწილი ერევა და შემდეგ პროცესი მუშაობს ისე, როგორც ზემოთ იყო აღწერილი.

მაგრამ ეს მომხმარებლისთვის წარმოუდგენლად მოსახერხებელი გახდა: ის ხსნის აპლიკაციას, დებს თითს, ასკანირებს QR კოდს ეკრანზე და კომპიუტერის ბრაუზერში ავთენტიფიცირებული აღმოჩნდება! ასე რომ, ჩვენ შევცვალეთ ცოდნის ფაქტორი ბიომეტრიულით და, მომხმარებლის თვალსაზრისით, სრულიად მიტოვებული პაროლები. დარწმუნებულები ვართ, რომ უბრალო ადამიანებს ეს სქემა ბევრად უფრო მოსახერხებელი აღმოაჩენთ, ვიდრე ორი პაროლის ხელით შეყვანა.

საკამათოა, რამდენად ფორმალურად არის ორფაქტორიანი ავთენტიფიკაცია, მაგრამ სინამდვილეში თქვენ ჯერ კიდევ გჭირდებათ ტელეფონი და გქონდეთ სწორი თითის ანაბეჭდი მისი წარმატებით დასასრულებლად, ამიტომ მიგვაჩნია, რომ საკმაოდ წარმატებულები გავხდით ცოდნის ფაქტორის აღმოფხვრაში და მისი ბიომეტრიით ჩანაცვლებაში. ჩვენ გვესმის, რომ ჩვენ ვეყრდნობით ARM TrustZone-ის უსაფრთხოებას, რომელიც ემყარება iOS უსაფრთხო ანკლავს და გვჯერა, რომ ეს ქვესისტემა ამჟამად შეიძლება ჩაითვალოს სანდო ჩვენი საფრთხის მოდელის ფარგლებში. რა თქმა უნდა, ჩვენ ვიცით ბიომეტრიული ავთენტიფიკაციის პრობლემების შესახებ: თითის ანაბეჭდი არ არის პაროლი და არ შეიძლება შეიცვალოს, თუ კომპრომეტირებულია. მაგრამ, მეორე მხრივ, ყველამ იცის, რომ უსაფრთხოება უკუპროპორციულია მოხერხებულობისა და მომხმარებელს თავად აქვს უფლება აირჩიოს ერთისა და მეორეს მისთვის მისაღები თანაფარდობა.

შეგახსენებთ, რომ ეს ჯერ კიდევ ბეტაა. ახლა, როდესაც ჩართულია ორფაქტორიანი ავთენტიფიკაცია, ჩვენ დროებით გამორთავთ პაროლის სინქრონიზაციას Yandex Browser-ში. ეს გამოწვეულია პაროლის მონაცემთა ბაზის დაშიფვრის გზით. ჩვენ უკვე ვიპოვით მოსახერხებელ გზას ბრაუზერის ავთენტიფიკაციისთვის 2FA-ს შემთხვევაში. Yandex-ის ყველა სხვა ფუნქცია მუშაობს ისე, როგორც ადრე.

ეს არის ის, რაც მივიღეთ. როგორც ჩანს, კარგად გამოვიდა, მაგრამ თქვენ იყავით მოსამართლე. მოხარული ვიქნებით მოვისმინოთ თქვენი გამოხმაურება და რეკომენდაციები და გავაგრძელებთ მუშაობას ჩვენი სერვისების უსაფრთხოების გაუმჯობესებაზე: ახლა, CSP-თან, საფოსტო ტრანსპორტის დაშიფვრასთან და სხვა ყველაფერთან ერთად, ახლა გვაქვს ორფაქტორიანი ავთენტიფიკაცია. არ დაგავიწყდეთ, რომ ავთენტიფიკაციის სერვისები და OTP თაობის აპლიკაციები კრიტიკულია და, შესაბამისად, ორმაგი ბონუსი იხდის მათში აღმოჩენილ შეცდომებს, როგორც Bug Bounty პროგრამის ნაწილი.

ტეგები: ტეგების დამატება

ჩვენ ვაგრძელებთ Android-ისთვის აუთენტიფიკატორების მიმოხილვას. შეგახსენებთ, რომ ბოლო სტატიაში ჩვენ შევისწავლეთ არა მხოლოდ ცნობილი აპლიკაციები ორფაქტორიანი ავტორიზაციისთვის - Google Authenticator და Azure Authenticator, არამედ უნივერსალური გადაწყვეტა სპეციალიზებული დეველოპერისგან - Authy 2-Factor Authentication. ეს არის ის, რაც გახდა ოპტიმალური.

ახლა ჩვენ ვისაუბრებთ შიდა ავთენტიფიკატორზე - "Yandex.Key", რომელიც შექმნილია Google Authenticator-ის ჩასანაცვლებლად. აპლიკაცია საინტერესოდ გამოიყურება, გთავაზობთ ორი ტიპის ავტორიზაციას და საკუთარ დაცვას. თუმცა, წინასწარ არ მივცემთ დადებით ქულებს და ყველაფერს საფუძვლიანად შევამოწმებთ.

მეორე მონაწილე იქნება FreeOTP Authenticator, ღია კოდის პროგრამა, რომელიც თავის მხრივ შეიძლება გახდეს სტანდარტი მსგავსი გადაწყვეტილებებისთვის. მაგრამ ეს მხოლოდ პირველი ვარაუდებია, ასე რომ, მოდი, არ ვიაროთ ბუჩქის გარშემო და დავიწყოთ.

გამოყენებული სატესტო მოწყობილობა იყო DEXP Ursus 8EV2 3G ტაბლეტი (Android 4.4.2, MT8382 პროცესორი, 4 x Cortex-A7 1.3 GHz, Mali-400 MP2 ვიდეო ბირთვი, 1 GB ოპერატიული მეხსიერება, 4000 mAh ბატარეა, 3G მოდული, Wi-Fi 802.11 b/g/n) და სმარტფონი Homtom HT3 Pro (Android 5.1 Lollipop, MT6735P პროცესორი, 4 x Cortex-A53 1.0 GHz, 64-bit, Mali-T720 ვიდეო ბირთვი, 2 GB ოპერატიული მეხსიერება, 3,000 mAh ბატარეა, მოდული Wi-Fi. -Fi 802.11b/g/n)

"Yandex.Key"

გაცნობა

”ეს არის ავთენტიფიკატორი, რომელიც ქმნის ერთჯერად პაროლებს (OTP) Yandex-ში, Facebook-ში, Google-ში, GitHub-ში, Dropbox-ში, VKontakte-ში და სხვა სერვისებში შესასვლელად, რომლებიც მხარს უჭერენ ორფაქტორიან ავთენტიფიკაციას (2FA). Yandex-ზე, ჩვეულებრივი პაროლის ნაცვლად შეიყვანთ "Key"-ს მიერ შექმნილ პაროლს, ხოლო სხვა სერვისებზე, ჩვეულებრივთან ერთად."

Google Play-ზე აღწერილობა თავისთავად მეტყველებს და დასამატებელი არაფერია, გარდა იმისა, რომ ზოგიერთი მომხმარებელი უპირატესობას ანიჭებს ამ აპლიკაციას

ორფაქტორიანი ავთენტიფიკაცია უზრუნველყოფს უსაფრთხოების გაზრდილ დონეს ტრადიციულ პაროლთან შედარებით. რთული და ეფექტური პაროლიც კი შეიძლება იყოს დაუცველი ვირუსების, keylogger-ების და ფიშინგის შეტევების მიმართ.

შეგიძლიათ ჩართოთ ორფაქტორიანი ავთენტიფიკაცია Yandex ანგარიშის მართვის გვერდზე. Yandex.Key წვდომის დასაყენებლად დაგჭირდებათ Android ან iOS მობილური მოწყობილობა.

ორფაქტორიანი ავთენტიფიკაციის ჩართვის შემდეგ:

• Yandex-ის სერვისებსა და აპლიკაციებზე წვდომისთვის სტანდარტული პაროლის გამოყენების ნაცვლად, მოგიწევთ ერთჯერადი პაროლის შეყვანა (მაგალითად, თქვენს ანგარიშში შესასვლელად ან ტელეფონის ნომრის შესაცვლელად). QR კოდის გამოყენებისას, თქვენ არ გჭირდებათ თქვენი შესვლის ან პაროლების შეყვანა Yandex-ის ანგარიშში შესასვლელად.
• მესამე მხარის მობილური აპლიკაციებისთვის, კომპიუტერული პროგრამებისთვის და ელ.ფოსტის კლიენტებისთვის, დაგჭირდებათ აპლიკაციის ცალკეული პაროლების გამოყენება.
• თქვენი Yandex ანგარიშის აღდგენის გვერდი შეიცვლება.

ორფაქტორიანი ავთენტიფიკაციის ჩასართავად დააწკაპუნეთ ბმულზე „ორფაქტორიანი ავთენტიფიკაციის დაყენება“ „პერსონალური ინფორმაციის“ გვერდზე „წვდომის მენეჯმენტის“ განყოფილებაში და მიჰყევით რამდენიმე ნაბიჯს:

თუ თქვენი ტელეფონის ნომერი უკვე დაკავშირებულია თქვენს ანგარიშთან, დაადასტურეთ ან შეცვალეთ იგი. თუ ტელეფონის ნომერი არ არის მითითებული, თქვენ უნდა დაამატოთ ის, წინააღმდეგ შემთხვევაში თქვენ ვერ შეძლებთ თქვენს ანგარიშზე წვდომის აღდგენას.

ახალი ნომრის დასაკავშირებლად ან ტელეფონის ნომრის დასადასტურებლად, მოითხოვეთ კოდი და შემდეგ შეიყვანეთ იგი შესაბამის ველში. შემდეგ დააჭირეთ ღილაკს "დადასტურება" და გადადით შემდეგ ეტაპზე.

2. შექმენით PIN.

შექმენით 4-ნიშნა PIN და შეიყვანეთ იგი ორფაქტორიანი ავთენტიფიკაციისთვის.

მნიშვნელოვანია: არ უნდა გაუზიაროთ თქვენი PIN სხვებს. PIN-ის შეცვლა შეუძლებელია. თუ დაგავიწყდათ თქვენი PIN კოდი, Yandex.Key აპლიკაცია ვერ შეძლებს ერთჯერადი პაროლის გენერირებას, შეგიძლიათ აღადგინოთ წვდომა თქვენს ანგარიშზე მხოლოდ ტექნიკური მხარდაჭერის სპეციალისტის დახმარებით.

PIN კოდის შეყვანის შემდეგ დააჭირეთ ღილაკს "შექმნა".

Yandex.Key აპლიკაცია საჭიროა თქვენი ანგარიშისთვის ერთჯერადი პაროლების შესაქმნელად. თქვენ შეგიძლიათ გაგზავნოთ ბმული აპის დასაინსტალირებლად პირდაპირ ორფაქტორიანი ავტორიზაციის დაყენების ეკრანზე, ან შეგიძლიათ ჩამოტვირთოთ აპლიკაცია App Store-დან ან Google Play-დან.

შენიშვნა: იმისათვის, რომ Yandex.Key-მ იმუშაოს, შესაძლოა დაგჭირდეთ მოწყობილობის კამერაზე წვდომა შტრიხკოდების ამოცნობისთვის (QR კოდები).

Yandex.Key აპლიკაციაში დააწკაპუნეთ ღილაკზე "ანგარიშის დამატება აპლიკაციაში". შემდეგ მოწყობილობის კამერა ამოქმედდება. დაასკანირეთ შტრიხკოდი, რომელიც გამოჩნდება თქვენს ბრაუზერში.

თუ QR კოდის ამოცნობა შეუძლებელია, დააწკაპუნეთ ღილაკზე „საიდუმლო გასაღების ჩვენება“ და აპლიკაციაში „გასაღების ხელით დამატება“. QR კოდის ნაცვლად, ბრაუზერი აჩვენებს სიმბოლოების თანმიმდევრობას, რომელიც უნდა იყოს შეყვანილი აპლიკაციაში.

ანგარიშის ამოცნობის შემდეგ, მოწყობილობა მოგთხოვთ შეიყვანოთ წინა ეტაპზე შექმნილი PIN კოდი.

იმის დასადასტურებლად, რომ დაყენება წარმატებული იყო, შეიყვანეთ წინა ეტაპზე გენერირებული ერთჯერადი პაროლი. ორფაქტორიანი ავთენტიფიკაცია მხოლოდ სწორი პაროლის შეყვანის შემთხვევაში ჩაირთვება.

უბრალოდ შეიყვანეთ მე-2 ეტაპზე შექმნილი PIN კოდი Yandex.Key აპლიკაციაში. აპლიკაცია გამოიმუშავებს ერთჯერად პაროლს. შეიყვანეთ იგი ღილაკზე „ჩართვა“ და შემდეგ დააჭირეთ ღილაკს.

შენიშვნა: თქვენ უნდა შეიყვანოთ OTP, სანამ ის ეკრანზე შეიცვლება. ზოგჯერ ჯობია დაელოდოთ ახალი პაროლის შექმნას და შეიყვანოთ იგი.

თუ სწორი პაროლი შეიყვანეთ, თქვენი Yandex.Passport ანგარიშისთვის ჩაირთვება ორფაქტორიანი ავთენტიფიკაცია.

როგორ გამორთოთ ორფაქტორიანი ავტორიზაცია Yandex-ში

1. გადადით "წვდომის მენეჯმენტის" ჩანართზე თქვენს Yandex.Passport ანგარიშში.
2. გადაიტანეთ გადამრთველი "გამორთული" პოზიციაზე.
3. გაიხსნება გვერდი, რომელზეც უნდა შეიყვანოთ ერთჯერადი პაროლი Yandex.Key აპლიკაციიდან.
4. თუ პაროლი სწორად არის შეყვანილი, მომხმარებელს მოეთხოვება დააყენოს ახალი ძირითადი პაროლი ანგარიშისთვის.

შენიშვნა: ორფაქტორიანი ავთენტიფიკაციის გამორთვის შემდეგ, თქვენი ძველი აპის პაროლები აღარ იმუშავებს. თქვენ უნდა შექმნათ ახალი აპლიკაციის პაროლები, რათა აღადგინოთ დაკავშირებული სერვისებისა და აპლიკაციების ფუნქციონირება, როგორიცაა ელ.ფოსტის კლიენტები.

მომხმარებელს შეუძლია მესამე მხარის აპლიკაციების წვდომის კონფიგურაცია Yandex ანგარიშზე აპლიკაციის პაროლების გამოყენებით. გთხოვთ გაითვალისწინოთ, რომ თითოეული ინდივიდუალური აპლიკაციის პაროლი ანიჭებს წვდომას კონკრეტულ სერვისზე. მაგალითად, ელ.ფოსტის კლიენტისთვის შექმნილი პაროლი არ დაუშვებს Yandex.Disk ღრუბლოვან საცავზე წვდომას.

შეგიძლიათ შექმნათ აპლიკაციის პაროლები "წვდომის მენეჯმენტის" ჩანართზე Yandex.Passport ანგარიშის მართვის პანელში. გადაიტანეთ „აპლიკაციის პაროლები“ ​​გადამრთველი „ჩართული“ პოზიციაზე. თუ ჩართულია ორფაქტორიანი ავთენტიფიკაცია, აპლიკაციის პაროლები ამოქმედდება და მათი გამორთვა შეუძლებელია.

თქვენ უნდა შექმნათ ცალკე აპლიკაციის პაროლი თითოეული მესამე მხარის პროგრამისთვის, რომელიც ითხოვს Yandex-ის პაროლს, მათ შორის:

• ფოსტის კლიენტები (Mozilla Thunderbird, Microsoft Outlook, The Bat! და ა.შ.)
• WebDAV კლიენტები Yandex.Disk-ისთვის
• CalDAV კლიენტები Yandex.Calendar-ისთვის
• ჯაბერის კლიენტები
• აპლიკაციები ელ.ფოსტის სხვა სერვისებიდან იმპორტისთვის

აპლიკაციის პაროლის შესაქმნელად:

1. გადადით "წვდომის მენეჯმენტის" ჩანართზე Yandex.Passport ანგარიშის მართვის პანელში.
2. ჩართეთ „აპლიკაციის პაროლები“ ​​ოფცია, თუ ის გამორთულია (გადამრთველი არ გამოჩნდება, თუ არ გაქვთ ჩართული ორფაქტორიანი ავტორიზაცია).
3. დააჭირეთ "აპლიკაციის პაროლის მიღებას"
4. აირჩიეთ Yandex სერვისი, რომელზეც გსურთ წვდომა აპლიკაციაში და ოპერაციულ სისტემაში.
5. შეიყვანეთ აპლიკაციის სახელი, რომლისთვისაც პაროლს ქმნით და დააჭირეთ "დამატებას".
6. პაროლი გამოჩნდება შემდეგ ჩანართზე. დააწკაპუნეთ "შესრულებულია".

შენიშვნა: გენერირებული პაროლის ნახვა შეგიძლიათ მხოლოდ ერთხელ. თუ პაროლი არასწორად შეიყვანეთ და უკვე დახურეთ ფანჯარა, წაშალეთ მიმდინარე პაროლი და შექმენით ახალი.

პირველ რიგში, შედით თქვენს მთავარ Yandex ანგარიშზე, თუ გაქვთ. თუ ის ჯერ არ არსებობს, ყოველთვის შეგიძლიათ შექმნათ მარტივი რეგისტრაციის შემდეგ.

ორფაქტორიანი ავთენტიფიკაციის ჩართვა და კონფიგურაცია

ასე რომ, თქვენს Yandex ანგარიშში დააწკაპუნეთ ანგარიშზე და გადადით განყოფილებაში პასპორტი.შემდეგ - განყოფილებაში წვდომის კონტროლიპრესა დააყენეთ ორფაქტორიანი ავთენტიფიკაცია.

იხსნება ამავე სახელწოდების ფანჯარა, რომელშიც თქვენ უნდა გაიაროთ ორფაქტორიანი ავთენტიფიკაციის ჩართვა და კონფიგურაციის საფეხურები.

პირველ ეტაპზე მივუთითებთ ტელეფონის ნომერს და ვადასტურებთ კოდის მიღებით ტელეფონით SMS-ით.

შემდეგი ნაბიჯი არის PIN კოდის შექმნა. საჭიროა თქვენს სმარტფონზე ან ტაბლეტზე დაინსტალირებული Yandex.Key აპლიკაციაზე წვდომა.

PIN კოდი შეიძლება შედგებოდეს 4-დან 16 ციფრამდე. შეიყვანეთ ისინი ველში და დააწკაპუნეთ შექმნა.

გაიხსნება ფანჯარა QR კოდით და წინადადებით თქვენი ანგარიშის დამატება Yandex.Key აპლიკაციაში.

Yandex.Key აპლიკაციის ინსტალაცია

ჩვენ გავუშვით და ყვითელი ღილაკი გამოჩნდება ფანჯრის ბოლოში, რომელიც იხსნება წინადადებით - დაამატეთ ანგარიში აპლიკაციას.

ჩვენ ვაჭერთ ღილაკს, სმარტფონის ეკრანზე გაიხსნება ფანჯარა, რომელშიც უნდა შეიყვანოთ ადრე გამოგონილი PIN კოდი.

PIN კოდის შეყვანის შემდეგ, კამერა ავტომატურად ჩაირთვება. ჩვენ მივმართავთ კამერას QR კოდს მონიტორის ფანჯარაში და ველოდებით ავტორიზაციას.

შესვლის კიდევ ერთი გზა

წინააღმდეგ შემთხვევაში, PIN კოდის შეყვანის შემდეგ ორფაქტორიანი ავთენტიფიკაციის ორგანიზებისთვის, შეგიძლიათ აირჩიოთ 30 წამიანი ერთჯერადი პაროლის მიღების ვარიანტი.

ორფაქტორიანი ავთენტიფიკაციის დაყენების მეოთხე ეტაპზე, თქვენ უნდა დაუკავშიროთ Yandex.Key პროგრამა თქვენს Yandex ანგარიშს. ამისათვის შეიყვანეთ თქვენს სმარტფონზე მიღებული ერთჯერადი პაროლი.

თუ აღმოჩნდება, რომ მისი დროულად შეყვანა შეუძლებელია, მაშინ უნდა დაელოდოთ შემდეგ ჯერზე, როდესაც ნომრები გამოჩნდება სმარტფონზე და შეიყვანეთ იგი.

შესვლის შემდეგ დააჭირეთ ღილაკს ჩართეთდა ეს ყველაფერია, Yandex.Key პროგრამა გააქტიურებულია და ამიერიდან ორფაქტორიანი ავთენტიფიკაცია უნდა მუშაობდეს.

ახლა ყველა მოწყობილობაზე - კომპიუტერზე, სმარტფონზე - თქვენ უნდა გამოხვიდეთ და კვლავ შეხვიდეთ თქვენს ანგარიშში არსებული ერთჯერადი პაროლით, ან QR კოდით, თქვენს მობილურ ტელეფონზე Yandex.Key აპლიკაციის გამოყენებით.

Yandex.Mail-ში ვიღებთ წერილს, რომელიც გვაცნობებს, რომ მუშაობს ორფაქტორიანი ავთენტიფიკაცია.

მიღებულ წერილში ასევე შეგიძლიათ იპოვოთ რეკომენდაციები ახალი წვდომის დაყენებისა და ორფაქტორიანი ავთენტიფიკაციის გამოყენების შესახებ.

Yandex-ის ორფაქტორიანი ავთენტიფიკაცია სხვა სერვისებისთვის

Yandex.Mail, Ya.Disk და Yandex-ის სხვა სერვისებისთვის შესაძლებელია სხვადასხვა პაროლების შექმნა. ეს მნიშვნელოვნად გაზრდის პერსონალური მონაცემების და მთლიანად ანგარიშის უსაფრთხოების დონეს. შეგიძლიათ წაიკითხოთ მათი უსაფრთხო შენახვის შესახებ.

ამისათვის კვლავ გადადით განყოფილებაში პასპორტი - წვდომის კონტროლი. ჩვენ ვირჩევთ პროგრამას, ამ შემთხვევაში - დისკზე წვდომა.

მოხერხებულობისთვის ჩვენ ვუწოდებთ ამ კავშირს, მაგალითად, ჩემი დრაივიდა დააჭირეთ შექმენით პაროლი.

ასე რომ, პაროლი შეიქმნა და ის მხოლოდ ერთხელ გამოჩნდება. ამიტომ, თუ ის არ არის შენახული, უმჯობესია მომავალში წაშალოთ და ხელახლა შექმნათ.

ახლა შეგიძლიათ დაუკავშირდეთ Yandex ქსელის დისკს. ნებისმიერი ფაილის მენეჯერის საშუალებით ჩვენ ვიღებთ წვდომას Yandex.Disk-ზე ამ პაროლის გამოყენებით.

ამრიგად, Yandex.Disk და Yandex-ის მთავარი ანგარიში დაცული იქნება ცალკეული პაროლებით ორფაქტორიანი ავტორიზაციის ფუნქციის გამოყენებით.

გამორთეთ ორფაქტორიანი ავთენტიფიკაცია

თუ მომავალში გსურთ შეწყვიტოთ ორფაქტორიანი ავთენტიფიკაციის გამოყენება, უბრალოდ გადადით განყოფილებაში წვდომის კონტროლიდა გაიარეთ გამორთვის პროცედურა.

ანუ ვაჭერთ გადამრთველს გამორთულიაშეიყვანეთ Yandex.Key-ის მიერ გაცემული ერთჯერადი პაროლი, დააწკაპუნეთ დაადასტურეთ.

ამრიგად, Yandex ანგარიშის ორფაქტორიანი ავთენტიფიკაცია გამორთულია. უნდა გაითვალისწინოთ, რომ ამ შემთხვევაში, Yandex.Disk-ისა და სხვა სერვისების პაროლები, თუ ისინი შეიქმნა, ასევე აღდგება.