Windows. Железо. Интернет. Безопасность. Оптимизация
Вы здесь: » »

Система двухфакторной аутентификации. Как включить двухфакторную аутентификацию в Google

Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля - и совершенно неважно, какой он будет длины и сложности, - уже недостаточно для надежной защиты. Двухфакторная аутентификация - это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.

В теории все выглядит неплохо, да и на практике, в общем-то, работает. Двухфакторная аутентификация действительно усложняет взлом учетной записи. Теперь злоумышленнику недостаточно выманить, украсть или взломать основной пароль. Для входа в учетную запись необходимо ввести еще и одноразовый код, который... А вот каким именно образом получается этот одноразовый код - и есть самое интересное.

Ты неоднократно сталкивался с двухфакторной аутентификацией, даже если никогда не слышал о ней. Когда-нибудь вводил одноразовый код, который тебе присылали через СМС? Это оно, частный случай двухфакторной аутентификации. Помогает? Честно говоря, не очень: злоумышленники уже научились обходить и этот вид защиты.

Сегодня мы рассмотрим все виды двухфакторной аутентификации, применяемой для защиты учетных записей Google Account, Apple ID и Microsoft Account на платформах Android, iOS и Windows 10 Mobile.

Apple

Впервые двухфакторная аутентификация появилась в устройствах Apple в 2013 году. В те времена убедить пользователей в необходимости дополнительной защиты было непросто. В Apple не стали и стараться: двухфакторная аутентификация (получившая название двухэтапной проверки, или Two-Step Verification) использовалась только для защиты от прямого финансового ущерба. Например, одноразовый код требовался при совершении покупки с нового устройства, смене пароля и для общения со службой поддержки на темы, связанные с учетной записью Apple ID.

Добром это все не кончилось. В августе 2014 года произошла массовая утечка фотографий знаменитостей . Хакеры сумели получить доступ к учетным записям жертв и скачали фото из iCloud. Разразился скандал, в результате которого Apple в спешном порядке расширила поддержку двухэтапной проверки на доступ к резервным копиям и фотографиям в iCloud. В это же время в компании продолжались работы над методом двухфакторной аутентификации нового поколения.

Двухэтапная проверка

Для доставки кодов двухэтапная проверка использует механизм Find My Phone, изначально предназначенный для доставки push-уведомлений и команд блокировки в случае потери или кражи телефона. Код выводится поверх экрана блокировки, соответственно, если злоумышленник добудет доверенное устройство, он сможет получить одноразовый код и воспользоваться им, даже не зная пароля устройства. Такой механизм доставки - откровенно слабое звено.

Также код можно получить в виде СМС или голосового звонка на зарегистрированный телефонный номер. Такой способ ничуть не более безопасен. SIM-карту можно извлечь из неплохо защищенного iPhone и вставить в любое другое устройство, после чего принять на нее код. Наконец, SIM-карту можно клонировать или взять у сотового оператора по поддельной доверенности - этот вид мошенничества сейчас приобрел просто эпидемический характер.

Если же у тебя нет доступа ни к доверенному iPhone, ни к доверенному телефонному номеру, то для доступа к учетной записи нужно использовать специальный 14-значный ключ (который, кстати, рекомендуется распечатать и хранить в безопасном месте, а в поездках - держать при себе). Если же ты потеряешь и его, то мало не покажется: доступ в учетную запись может быть закрыт навсегда.

Насколько это безопасно?

Если честно, не очень. Двухэтапная проверка реализована из рук вон плохо и заслуженно получила репутацию худшей системы двухфакторной аутентификации из всех игроков «большой тройки». Если нет другого выбора, то двухэтапная проверка - это все же лучше, чем ничего. Но выбор есть: с выходом iOS 9 Apple представила совершенно новую систему защиты, которой дали бесхитростное название «двухфакторная аутентификация».

В чем именно слабость этой системы? Во-первых, одноразовые коды, доставленные через механизм Find My Phone, отображаются прямо на экране блокировки. Во-вторых, аутентификация на основе телефонных номеров небезопасна: СМС могут быть перехвачены как на уровне провайдера, так и заменой или клонированием SIM-карты. Если же есть физический доступ к SIM-карте, то ее можно просто установить в другое устройство и получить код на совершенно законных основаниях.

Также имей в виду, что преступники научились получать SIM-карты взамен «утерянных» по поддельным доверенностям. Если твой пароль украли, то уж узнать твой номер телефона - плевое дело. Подделывается доверенность, получается новая SIM-карта - собственно, для доступа к твоей учетной записи больше ничего и не требуется.

Как взломать аутентификацию Apple

Взломать этот вариант двухфакторной аутентификации достаточно несложно. Есть несколько вариантов:

  • считать одноразовый код с доверенного устройства - разблокировать не обязательно;
  • переставить SIM-карту в другой аппарат, получить СМС;
  • клонировать SIM-карту, получить код на нее;
  • воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.

Как защититься

Защита с помощью двухэтапной проверки несерьезна. Не используй ее вообще. Вместо нее включи настоящую двухфакторную аутентификацию.

Двухфакторная аутентификация

Вторая попытка Apple носит официальное название «двухфакторная аутентификация». Вместо того чтобы сменить предыдущую схему двухэтапной проверки, две системы существуют параллельно (впрочем, в рамках одной учетной записи может использоваться лишь одна из двух схем).

Двухфакторная аутентификация появилась как составная часть iOS 9 и вышедшей одновременно с ней версии macOS. Новый метод включает дополнительную проверку при любой попытке зайти в учетную запись Apple ID с нового устройства: на все доверенные устройства (iPhone, iPad, iPod Touch и компьютеры под управлением свежих версий macOS) моментально приходит интерактивное уведомление. Чтобы получить доступ к уведомлению, нужно разблокировать устройство (паролем или датчиком отпечатка пальцев), а для получения одноразового кода потребуется нажать на кнопку подтверждения в диалоговом окне.

Как и в предыдущем методе, в новой схеме возможно получение одноразового пароля в виде СМС или голосового звонка на доверенный телефонный номер. Однако, в отличие от двухэтапной проверки, пользователю в любом случае будут доставлены push-уведомления, и неавторизованную попытку зайти в учетную запись пользователь может заблокировать с любого из своих устройств.


Поддерживаются и пароли приложений. А вот от кода восстановления доступа в Apple отказались: если ты потеряешь свой единственный iPhone вместе с доверенной SIM-картой (которую по каким-то причинам не сможешь восстановить), для восстановления доступа к учетной записи тебе придется пройти настоящий квест с подтверждением личности (и нет, скан паспорта таким подтверждением не является... да и оригинал, что называется, «не канает»).

Зато в новой системе защиты нашлось место для удобной и привычной офлайновой схемы генерации одноразовых кодов. Для нее используется совершенно стандартный механизм TOTP (time-based one-time password), который каждые тридцать секунд генерирует одноразовые коды, состоящие из шести цифр. Эти коды привязаны к точному времени, а в роли генератора (аутентификатора) выступает само доверенное устройство. Коды добываются из недр системных настроек iPhone или iPad через Apple ID -> Password and Security.


Мы не станем подробно объяснять, что такое TOTP и с чем его едят, но об основных отличиях реализации этого метода в iOS от аналогичной схемы в Android и Windows рассказать все-таки придется.

В отличие от основных конкурентов, Apple позволяет использовать в качестве аутентификаторов исключительно устройства собственного производства. В их роли могут выступать доверенные iPhone, iPad или iPod Touch под управлением iOS 9 или 10. При этом каждое устройство инициализируется уникальным секретом, что позволяет в случае его утраты легко и безболезненно отозвать с него (и только с него) доверенный статус. Если же скомпрометирован окажется аутентификатор от Google, то отзывать (и заново инициализировать) придется статус всех инициализированных аутентификаторов, так как в Google решили использовать для инициализации единственный секрет.

Насколько это безопасно

В сравнении с предыдущей реализацией новая схема все же более безопасна. Благодаря поддержке со стороны операционной системы новая схема более последовательна, логична и удобна в использовании, что немаловажно с точки зрения привлечения пользователей. Система доставки одноразовых паролей также существенно переработана; единственное оставшееся слабое звено - доставка на доверенный телефонный номер, который пользователь по-прежнему должен верифицировать в обязательном порядке.

Теперь при попытке входа в учетную запись пользователь мгновенно получает push-уведомления на все доверенные устройства и имеет возможность отклонить попытку. Тем не менее при достаточно быстрых действиях злоумышленник может успеть получить доступ к учетной записи.

Как взломать двухфакторную аутентификацию

Так же как и в предыдущей схеме, двухфакторную аутентификацию можно взломать с помощью маркера аутентификации, скопированного с компьютера пользователя. Атака на SIM-карту тоже сработает, но попытка получить код через СМС все же вызовет уведомления на всех доверенных устройствах пользователя, и он может успеть отклонить вход. А вот подсмотреть код на экране заблокированного устройства уже не удастся: придется разблокировать девайс и дать подтверждение в диалоговом окне.


Как защититься

Уязвимостей в новой системе осталось не так много. Если бы Apple отказалась от обязательного добавления доверенного телефонного номера (а для активации двухфакторной аутентификации хотя бы один телефонный номер верифицировать придется в обязательном порядке), ее можно было бы назвать идеальной. Увы, необходимость верифицировать телефонный номер добавляет серьезную уязвимость. Попытаться защититься можно точно так же, как ты защищаешь номер, на который приходят одноразовые пароли от банка.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Добрый день!. В прошлый раз я вам подробно рассказал, каким образом вы можете защитить свою флешку от вирусов и вредоносных программ , сегодня еще раз поговорим, о защите ваших данных и сервисов. Речь пойдет, о двухфакторной аутентификации, или как ее еще называют двухфакторная защита . Которую вы можете встретить, абсолютно на любом нормальном сервисе или сайте. Уверен, что многим эта информация будет актуальной, так как процентов 80 пользователей на это просто забивают, за что потом и платятся.

Что такое двухфакторная аутентификация (2FA)

Представим классическую ситуацию, на примере России. Есть популярная социальная сеть Вконтакте, которой пользуются огромное количество людей. Для доступа к ней, большинство людей использует логин и пароль, а так как человек существо ленивое и наивное, то он не особо напрягается безопасностью своего аккаунта, что в итоге влечет за собой его взлом, тем самым потерю аккаунта и доступа, и не факт, что он его потом восстановит, так как мог даже не привязывать номер телефона к нему. А вот если бы он заранее настроил двухфакторную защиту , то даже при компрометации пароля ему было бы по барабану, так как еще нужен был бы дополнительные этап проверки, который привязывается к телефону.

Двухфакторная аутентификация (Two-Factor Authentication) - это дополнительный, надежный процесс обеспечения безопасности, я бы назвал его расширенная аутентификация, которая требует от пользователя, получающего доступ к устройству или сервису. еще один из ключей безопасности, в качестве которого можете быть код безопасности из SMS, временный код сгенерированный с помощью специального приложения. которое обновляет их каждые 25 секунд.

В роли бастиона двухфакторной защиты, выступает ваш мобильный телефон, к номеру которого привязывается аккаунт или устройство, для которой он будет дополнительным средством подтверждения личности истинного хозяина.

Как работает двухфакторная защита

Давайте я вам опишу алгоритм работы двухфакторной защиты, понимая принцип, вам будет легко его настроить, где угодно, на любом сервисе. И так у нас есть замечательный пользователь Таня, люблю я это имя. Таня решила завести себе аккаунт в Gmail.com. Она проходит процедуру регистрации, где указывает какой логин и пароль у нее будет при входе на почту. Gmail подтверждает ее регистрацию и активирует ее логин и пароль по которому она будет авторизовываться.

Таня логиниться на почте, указывая логин и пароль. Gmail предлагает ей настроить двухфакторную аутентификацию, через привязку к номеру телефона, где будет получать SMS коды или через установку приложения Authenticator, которое будет генерировать каждые 25 секунд коды безопасности, если его не успели ввести, то будет новый 6-ти значный код. Таня их устанавливает и включает двухфакторную защиту.

Теперь при следующей авторизации, Тане нужно будет ввести по мимо классических средств защиты (Логина и пароля), код из SMS или из утилиты Authenticator, так же установленной на ее смартфоне. Как только она это делает, то получает доступ к сервису.

Плюсы и минусы двухфакторной аутентификации

Начну с плюсов, этой технологии:

  • Очень высокая степень защиты, я бы ей дал 99%, так как все привязано к номеру телефона, который будет очень сложно скомпрометировать
  • Всегда под рукой
  • Коды доступа часто меняются

Из минусов можно выделить вот что:

  • Так как все привязано к номеру телефона, то при его утере, будет затруднены доступы к вашим сервисам, хотя на большинстве из них и есть процедура восстановления, но она очень трудоемкая
  • Вероятность установить или занести вирус в устройство, которое будет передавать ваши данные злоумышленникам
  • Может разрядиться устройство в нужный момент
  • Мобильный телефон всегда должен видеть сеть оператора, иначе не будет возможности получать SMS или коды.
  • Бывают сервисы, которые в качестве многофакторной защиты используют, дополнительный код отправленный на электронную почту, поэтому, чтобы вас не скомпрометировали, обязательно включите двухфакторную аутентификацию на самой почте, а то ее взломают и будет веселье.
  • Например, SMS оповещения, могут приходить с задержкой, такое встречал у Сбербанка или ВТБ24 .

Виды двухфакторной аутентификации

Давайте рассмотрим основные виды реализации двухфакторной защиты, которые вы легко можете повстречать на текущий момент, они со временем могут обновляться и расширяться, но пока есть такие:

Какой метод двухфакторной аутентификации 2FA лучше

Тут я долго расписывать не буду, выделю два, и оба они будут привязаны к вашему мобильному телефону. Это SMS и Push -уведомления и более надежный с использованием программ Authenticator . Плюсы, что все это бесплатно, телефон мобильный есть у всех, и главное, это надежно.

Какой выбрать программный Authenticator 2FA

Давайте я вам опишу, какой аутентификатор я бы посоветовал выбрать

  • Google Authenticator - самый популярный в мире аутентификатор,используемый при двухфакторной защите, в виду популярности Google как компании и конечно же количеству сервисов, которая она предоставляет.
  • Fido - второй по популярности защитник (https://www.yubico.com/solutions/fido-u2f/)

Как взломать двухфакторную аутентификацию 2FA

Для того, чтобы обойти двухфакторную аутентификацию, хакеры используют вот такие методы:

Как восстановить двухфакторную аутентификацию

Если вы потеряли свой телефон и хотите восстановить свой доступ, то алгоритм такой:

  1. Если есть возможность быстрее восстановите симкарту и телефон
  2. Перед активацией программного Authenticator, сервисы вам выдают секретные коды восстановления или QR-код, у вас огни должны быть
  3. Если кодов нет, то придется писать в техническую поддержку, и доказывать, что вы это вы, подготовьте обязательно все ваши данные и документы, но это прокатит, если у вас все было корректно и полностью заполнено, а не просто хозяин учетной записи megapixar123:))

Как отключить двухфакторную защиту?

Вообще я вам не советую отключить двухфакторный код, в виду уменьшения безопасности ваших данных, но если вы все же решились, то тут у каждого сервиса своя процедура, которая в 99% случаев, сводится к выставлению тумблера в настройках, отключающего двух этапную проверку, чтобы ее отключить. нужно так же будет указать проверочный код или же ответ на секретный вопрос. С вами был, Иван Семин, автор и создатель IT блога сайт,

Использование парольной аутентификации в ИС предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, вероятно, само существование предприятия.

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как впрочем, и ряду компаний выполняющих НИОКР в высокотехнологичных секторах рынка. Давайте рассмотрим основания для столь многозначительного вывода.

Согласно стандарту РФ о защите информации, три основных свойства определяют безопасное состояние обрабатываемой информации - её конфиденциальность, доступность и целостность. Вспомним, что парольная аутентификация , а именно она в деле защиты данных является одним из первых барьеров, появившихся в ИТ-системах одновременно с операционными системами, реализующими множественный доступ к информационным ресурсам, без малого 20 лет стоит на первом рубеже контроля. Очевидно, что среди основных достоинств этой методики защиты её привычность и простота. И вряд ли кто-то станет оспаривать достаточность применения во многих организациях парольной аутентификации и уровня безопасности использования информации, при соответствующем организационном подходе. Однако...

80% инцидентов в сфере информационной безопасности случаются вследствие использования слабых паролей - к такому выводу пришла компания Trustwave по результатам собственного исследования, охватившего ряд компаний в 18 регионах мира. Аналитики посвятили исследование уязвимости элементов в системах информационной безопасности , в процессе коего изучили более 300 инцидентов, имевших место в 2011 году. Главное заключение, сделанное в итоге: слабые пароли пользователей в ИС - наиболее уязвимое место, используемое злоумышленниками, как в крупных, так и в небольших компаниях.

Слабый пароль - это плохо, но обратная сторона применения сложных паролей - трудность удержания в памяти человека. Как следствие - небрежность их хранения в виде рабочих записей, а в этом случае уже не имеет значения, будет ли пара логин/пароль записана в личном блокноте сотрудника или закреплена на мониторе липким листком. Зная традицию обращения с такими данными работниками российских компаний, к примеру, для злоумышленника не составит особого труда получить эти сведения... Если еще учесть часто применяемую "синхронизацию" паролей для доступа к различным приложениям и корпоративным системам... И вот, минимум два из трёх столпов информационной безопасности предприятия повержены в цифровую пыль.

Некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен сказаться не то, что потерями - разорением. Ежегодные потери от утечек информации в США оцениваются в миллиардах долларов. Российский отраслевой портал "Информационная Безопасность Банков" в оценке финансового ущерба от возможных злоупотреблений сотрудников ссылается на исследования Ассоциации экспертов по борьбе с мошенничеством (ACFE, США), которая видит эту сумму в размере 6% прибыли банка за год. По наблюдениям ассоциации, потери при подобных инцидентах, в среднем, достигали $100 тыс., а в 14,6% превысили $1 млн.

Исследовательская компания Javelin Strategy в своем ежегодном исследовании, опубликованном в феврале 2012 года, оценила мировой объем мошенничества и утечек данных из компаний и организаций за 2011 год в $18 млрд. Не доверять экспертам нет оснований, а поправку на отставание России в области информатизации и не публичность российских банков и компаний каждый вправе сделать сам.

Невзирая на множество средств вычтехники и широкий спектр технологических решений, выбор методов аутентификации для компаний, планирующих своё будущее, невелик - многофакторная аутентификация (конечно, если в ближайшее время не случится технологический прорыв в управлении вычислительными системами при помощи мысли). Однофакторной или парольной аутентификации для безопасной работы с информационными системами в развитом бизнесе уже не достаточно.

Сильные и слабые стороны многофакторной аутентификации, в общем, известны. К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию , отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга , мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в настоящее время рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.


Несколько примеров двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца , который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы:

  • геометрия кисти руки;
  • очертания и размеры лица;
  • характеристики голоса;
  • узор радужной оболочки и сетчатки глаз;
  • рисунок вен пальцев.

При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Но! Стоит понимать - биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно не полного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией, в этом направлении, в недалеком будущем может стать голосовая аутентификация и признаки тому на лицо. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID -меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов - Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатывать поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации , сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации, по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе - с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании, Дании и ряда других стран.

Материал подготовлен компанией "Индид"

Метод контроля доступа, требующий одновременного наличия двух компонентов со стороны пользователя. Помимо традиционных логина и пароля, принцип двухфакторности предполагает подтверждение личности пользователя с помощью того, что у него есть. Это может быть: смарт-карта, токен, ОТР-брелки, биометрические датчики и так далее. Чаще всего для второго этапа идентификации используется мобильный телефон, на который отсылается одноразовый код доступа.

Также в качестве второго идентификатора могут быть использованы биометрические данные человека: отпечаток пальца, радужная оболочка глаза и т.п. В системах контроля доступа для этого используются комбинированные (мультиформатные) считыватели, которые работают и с различного рода картами, и с биометрическими параметрами пользователей.

Двухфакторная аутентификация (Мировой рынок)

Двухфакторная аутентификация как лучший способ защиты прав доступа

Осенью 2016 года SecureAuth Corporation совместно с Wakefield Research провели исследование, опросив 200 руководиителей IT отделов в США.

Исследование показало, что 69% организаций, скорее всего, отказаться от паролей в течение ближайших пяти лет.

"В сегодняшнем, все более цифровом, мире уже недостаточны даже многие традиционные подходы по двухфакторной аутентификации, не говоря уже о Single-факторе на основе пароля. Расходы, связанные с кибератаками, обходятся в миллионы долларов в год - в интересах каждого, чтобы сделать несанкционированный доступ наиболее проблематичным," - говорит Крейг Лунд, генеральный директор SecureAuth.

99% респондентов согласились с тем, что двухфакторная аутентификация является лучшим способом защиты прав доступа.

При этом, только 56% опрошенных защищают свои активы мультифакторными методами . 42% - в качестве причин, сдерживающих улучшение стратегии идентификации, называют: сопротивление от руководителей компании и нарушение традиционного уклада для пользователей.

Другие причины отказа от принятия улучшенной стратегии аутентификации:

  • отсутствие ресурсов для поддержки технического обслуживания (40%);
  • необходимостью обучения сотрудников (30%);
  • опасения, что улучшения не будут работать (26%).

"Организации используют устаревшие подходы аутентификации, которые требуют дополнительных шагов для пользователей, и неэффективны против современных продвинутых атак" , - говорит Кит Грэм, главный технический директор компании SecureAuth.

Среди мер, необходимых для включения в состав систем аутентификации респонденты называют:

  • распознавание устройства (59%);
  • биометрический фактор (например, сканирование отпечатков пальцев, лица или радужной оболочки глаза) (55%);
  • одноразовые секретные коды (49%);
  • информация о гео-локации (34%).

А вот двухфакторная аутентификация на основе одноразовых SMS паролей - признана неэффективной в результате достаточного количества успешных фишинг-атак. Национальный институт стандартов и технологий (NIST) недавно сделал официальное заявление о том, что не рекомендует двухфакторную аутентификацию с помощью поставляемых по SMS одноразовых кодов.

Gartner Magic Quadrant в сегменте строгой аутентификации пользователей

Аналитическое агентство Gartner при формировании отчетов рассматривает не только качество и возможности продукта, но и характеристики вендора в целом, например, опыт продаж и работы с клиентами, полноту понимания рынка, бизнес-модель, инновации, стратегии маркетинга, продаж, развития индустрии и т.д.

Результатом оценки является MAGIC QUADRANT GARTNER (магический квадрат Gartner) - графическое отображение ситуации на рынке, позволяющее оценить возможности продуктов и самих производителей сразу по двум направлениям: по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). При этом, по ключевым параметрам вендоры разбиваются на 4 группы: лидеры, претенденты на лидерство, дальновидные и нишевые игроки.

Что касается аутентификации пользователей, аналитики Gartner отмечают увеличение инвестиции в контекстные и адаптивные методы. уже заняла конкретную нишу. Мобильные и облачные технологии находятся в процессе развития, накапливая пользовательский опыт для будущих разработок. По мнению специалистов, будущее аутентификаторов - Умные вещи.


Отметим, что только три компании, представленные в исследовании, присутствуют на Российском рынке решений для аутентификации. Это компании Gemalto, HID Global и SafeNet.

Мобильная аутентификация

84% пользователей готовы заменить пароли на другие способы авторизации

Apple внедрила двухфакторную аутентификацию

Сегодня многие сайты поддерживают двухфакторную аутентификации, так как простая комбинация «логин-пароль» не гарантирует должного уровня безопасности. Это стало очевидно после взлома iCloud.

07.09.2014 в iCloud произошла массовая утечка приватных фотографий. Используя метод атак перебором, направленных на учетные записи. Ответ Apple: компания развернула двухфакторную аутентификацию (2FA) для всех своих онлайн-служб.

Перспективы многофакторной мобильной аутентификации

"Используя мобильную платформу, строгая аутентификация может быть реализована в удобном для пользователя виде. Ближайшей тренд для мобильной платформы: использование преимуществ безопасных аппаратных элементов и доверенных сред исполнения. Это также относится и к (IOT), где востребованы более высокие уровни безопасности," - говорит Джейсон Сороко, менеджер по технологиям безопасности Entrust Datacard.


Использование только одного пароля не является эффективным средством защиты: его можно украсть или взломать. Использование дополнительных одноразовых паролей (на жестких носителях или в виде SMS сообщений) повышает уровень безопасности системы. Однако, SMS маркеры также могут быть взломаны и перенаправлены. Например, при помощи таких вредоносных программ, как Zitmo и Eurograbber в сочетании с Zeus и ее вариантами.

Хранение криптографических учетных данных в безопасной среде, такой как аппаратно защищенные элементы и доверенные среды исполнения, позволяет осуществить цифровую идентификацию внутри мобильной платформы: данные не покидают устройство и, таким образом, защищены от перехвата. При этом сохраняется возможность аутентификации при помощи удобного форм-фактора, который всегда у пользователя в кармане.

Терминология

Факторы аутентификации

Информационный фактор (логический, фактор знания) – т.е. кода для идентификации требуется конфиденциальная информация, известная пользователю. Например, пароль, кодовое слово и т.п.

Физический фактор (фактор владения) – пользователь предоставляет для идентификации предмет, которым обладает. Например, или RIFD-метку. По сути, когда в процессе верификации на мобильный телефон или токен (пейджер) приходит одноразовый пароль – это тоже физический фактор: пользователь подтверждает, что владеет указанным устройством, путем введения полученного кода.

Биометрический фактор (биологический, фактор сущности) – пользователь предоставляет для идентификации уникальные данные, являющиеся его неотъемлемой сутью. Например, уникальный рисунок вен и другие биометрические особенности.

Многофакторная аутентификация является методом многогранного , когда пользователь может успешно пройти верификацию, продемонстрировав не менее двух факторов аутентификации.

Требование предъявить для верификации более одного независимого фактора увеличивает сложность предоставления ложных учетных данных. Двухфакторная аутентификация , как следует из названия, требует предоставления для проверки подлинности двух из трех независимых факторов аутентификации. Число и независимость факторов имеют важное значение, так как более независимые факторы подразумевают более высокую вероятность того, что носитель удостоверения идентичности на самом деле и есть зарегистрированный пользователь с соответствующими правами доступа.

Строгая аутентификация

Строгая аутентификация подразумевает, что для установления личности пользователя требуется проверка дополнительных сведений, т.е. одного пароля или одного ключа недостаточно. Это решение повышает уровень безопасности СКУД, как правило, без существенных дополнительных затрат или роста сложности системы. Зачастую, понятие строгой аутентификации, путают с двухфакторной или мультифакторной аутентификацией. Однако это не совсем верно.

Строгая аутентификация может быть реализована без использования нескольких независимых факторов. Например, система контроля доступа, требующая от пользователя пароль + ответ на один или несколько контрольных вопросов, - относится к сегменту строгой аутентификации, но не является многофакторной, т.к. использует только один фактор, логический. Также строгая аутентификация происходит в биометрической системе, требующей последовательно предъявить разные пальцы пользователя для считывания отпечатков. Таким образом, строгая аутентификация не всегда многофакторная, но многофакторная аутентификация – всегда строгая.

Кроме того, строгая аутентификация часто используется для организации доступа к корпоративным сетям и интернет-ресурсам компании. В таком случае в качестве одного из компонентов защиты может использоваться программный анализ поведения пользователя в сети (от географии точки входа и пути переходов внутри сети, до частоты нажатия клавиш). Если поведение пользователя кажется подозрительным (несвойственным ему) – система может заблокировать доступ и потребовать повторной верификации, и/или сформировать тревожное сообщение для службы безопасности.

Современные пользователи желают иметь постоянный доступ к рабочим ресурсам с любых мобильных и стационарных устройств (смартфон, планшет, ноутбук, домашний компьютер), что делает физический контроль доступа в рабочие помещения малоэффективным для защиты корпоративных сетей. При этом, защита только одним паролем не является достаточным гарантом кибербезопасности. Строгая аутентификация пользователей для доступа к сетевым ресурсам компании и разграничение прав доступа позволяют значительно снизить риски.

"На сегодняшний день остро стоит вопрос защиты от угроз «в собственных стенах». 81% компаний уже столкнулись с проблемой утечки данных вследствие халатности или умышленных действий сотрудников и других инсайдеров", - утверждают специалисты HID Global.


Тем временем, количество пользователей, которым необходим доступ к информации и ресурсам организации, только увеличивается. Кроме постоянных сотрудников компании, доступ порой требуется партнерам, консультантам, подрядчиками, заказчикам и т.д.

Простые в обращении и управлении системы строгой аутентификации могут работать с множеством различных типов пользователей, максимально обеспечивая потребности различных групп. При этом уменьшаются риски, связанные с доступом этих пользователей к инфраструктуре предприятия.

Многофакторная аутентификация

Многофакторная аутентификация является наиболее эффективным методом защиты от несанкционированного доступа, так как использование нескольких совершенно независимых факторов значительно уменьшает вероятность, что они будут использованы одновременно.

Самым простым и бюджетным решением являются двухфакторные системы, использующие сочетание физического и логического факторов доступа. Например, пароль + proximity карта, или пароль + RIFD метка.


Комбинаций бесчисленное множество. Чем больше независимых факторов используется в системе, тем выше уровень защиты. Но и стоимость возрастает пропорционально. Так, мультифакторная аутентификация из составляющих: карта доступа+палец+PIN – уже обойдется намного дороже.

Естественно, надежность решения складывается из надежности его элементов. Использование в предыдущем варианте многофакторной системы смарт-карт и биометрических считывателей с технологией живого пальца – значительно увеличивает ее эффективность.

Производители стремятся обеспечить возможность интеграции своих средств контроля доступа и программного обеспечения, с другими элементами и устройствами. Поэтому состав многофакторной системы аутентификации зависит исключительно от желаний заказчика (основанных обычно на оценке целесообразности повышения уровня защиты) и его бюджета.

Мультибиометрия

Мультибиометрические системы – еще один пример строгой аутентификации, использующей для защиты от несанкционированного доступа только один фактор – биометрию. Тем не менее, такие решения часто называют многофакторными биометрическими системами, т.к. они используют для идентификации пользователя несколько различных биометрических характеристик. Например: отпечаток пальца + радужная оболочка глаза, отпечаток пальца + строение лица + уникальные характеристики голоса. Комбинации также могут различаться.

Мультибиометрические решения обеспечивают крайне высокий уровень защиты, ведь даже – занятие крайне трудоемкое. Не говоря уже об имитации сразу нескольких биометрических особенностей пользователя и обхода соответствующих алгоритмов защиты от подделок.

Основным недостатком СКУД с мультибиометрией является высокая цена. Впрочем, это не останавливает развитие рынка систем, совмещающих аутентификацию по нескольким биометрическим характеристикам в одном устройстве.

Миниатюрное, портативное, мультимодальное

Перспективный американский стартап, компания Tascent, выпустила устройство, имеющее небольшой форм-фактор, но при этом совмещающее распознавание голоса, лица, отпечатка пальца и радужной оболочки глаза - Tascent M6.

Новинка работает на базе смартфонов Apple iPhone 6 или iPhone 6S и представляете собой футляр для телефона толщиной всего 38 мм, который для обеспечения надежного, высокоскоростного подключения использует разъем Lightning.

Tascent M6 включает считыватель для распознавания сразу двух отпечатков пальцев при помощи сенсора Sherlock (Integrated Biometrics), дает возможность распознавания голоса, лица по фотографии. Распознавание радужной оболочки глаза, на базе собственной разработки компании InSight Duo, проводится сразу по двум глазам (является опцией). Кроме того, для устройство позволяет осуществлять быстрое считывание информации с универсальных проездных документов включая паспорта, туристические визы и национальные удостоверения личности.

Портативное миниатюрное мультибиометрическое оборудование Tascent M6 позволяет записывать в память до 100000 шаблонов, весит всего 425 грамм (включая вес смартфона), имеет класс защиты IP65 и может работать не менее 8 часов без подзарядки. Открытая архитектура и совместимость с мировыми стандартами обеспечивают быструю интеграцию и развертывание с помощью новых или существующих систем.

"Наше третье поколение Tascent Mobile, в Tascent M6, - сочетает в себе ведущие мировые смартфоны с передовыми технологиями мультимодальной биометрии, что обеспечивает прорыв в использовании мобильных биометрических возможностей тонко настроенных на потребности конечных пользователей. Например, в сфере путешествий, управления границами, гуманитарной помощи, правоохранительных органов и гражданского ID," - говорят разработчики в компании Tascent.

Мультибиометрия рисунка вен и отпечатка пальца

Не так давно ZKAccess объявила о выпуске FV350 - первого в отрасли мультибиометрического считывателя, совмещающего одновременное считывание отпечатка пальца и рисунка вен. Устройство способно хранить комбинированные биометрические данные 1000 пользователей и провести идентификацию менее чем за две секунды.

И вот уже новый виток развития биометрических устройств - гибкий датчик отпечатков пальцев на пластике, разработанный для биометрических приложений компаниями FlexEnable и ISORG.

Мультибиометрический датчик может измерять отпечаток пальца, а также конфигурацию вен на пальцах. Чувствительный элемент имеет размеры 8,6х8,6 см, толщину 0,3 мм, а главное может быть закреплен на любой поверхности или даже обернут вокруг нее (например, вокруг руля автомобиля, дверной ручки или кредитной карты).

"Этот прорыв вызовет развитие производства биометрических продуктов нового поколения. Ни одно другое решение не может предложить комбинацию большой чувствительной области, считывания отпечатков пальцев и рисунка вен, а также гибкости, легкости и прочности," - говорит Жан-Ив Гомес, генеральный директор ISORG.

Многофакторная аутентификация через Облако

Bio-Metrica выпустила новую Облачную версию BII портативной системы многофакторной аутентификации, включающей биометрию. Облачная BII обеспечивает быстрое развертывание, высокую производительность и возможность быстрого масштабирования в сторону увеличения или уменьшения системы в течение нескольких часов.

Основное преимущество такой мультисистемы – отсутствие необходимости построения ИТ-инфраструктуры (серверы, административные системы, сетевое оборудование и т.д.) и дополнительного обслуживающего персонала. Как следствие, сокращаются расходы на инсталляцию системы.

Это при высоком уровне безопасности за счет многофакторной аутентификации, а также, благодаря облачному сервису, больших ресурсах по вычислительной мощности, доступной оперативной памяти, дополнительным сетевых каналам и т.д.

CloudBII также может быть развернут в качестве аппаратной установки для . Именно это направление компания намеренна активно развивать в будущем.

Материал спецпроекта "Без ключа"

Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт

Статьи

Выберите год: Выберите месяц:

Зворотний зв">","icon":"//yastatic.net/iconostasis/_/qOYT2LWpAjy_Ig4gGx3Kn6YO9ZE.svg","type":"service","id":96,"slug":"passport","nameKey":"96_name"},"alerts":,"documentPath":"passport/authorization/twofa-login.html","doccenter":{"html_heads":{"sources":{"meta":{"copyright":"(C) Copyright 2020","DC.rights.owner":"(C) Copyright 2020","DC.Type":"concept","DC.Relation":"../authorization/twofa.html","prodname":"Паспорт","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language":"ru","generator":"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"","doc_id":"passport-guide","doc_name":"Помощь","component_id":"","component_name":"","product_id":"passport","product_name":"Паспорт","description":"","product":"passport","product_realname":"Паспорт","doc_group":"passport-guide","doc_group_name":"passport-guide","section_name":"Вход с двухфакторной аутентификацией","langs":"uk ru"},"title":"Вход с двухфакторной аутентификацией","js":["//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.ru.no-bem.js"],"inlineJs":,"css":["//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.css"],"common":{"js":["//yastatic.net/jquery/1.12.4/jquery.min.js"]},"legacy":{"js":["//yastatic.net/es5-shims/0.0.1/es5-shims.min.js"],"css":["//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.ie8.css"]}},"meta":" \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n ","bundle":{"styles":"\n ","js":"\n "},"lang":"ru","title":"Вход с двухфакторной аутентификацией"},"menu":"","document":"

Вход с двухфакторной аутентификацией

  1. Вход с помощью QR-кода
  2. Перенос Яндекс.Ключа
  3. Мастер-пароль

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Вход с помощью QR-кода

    Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте , а затем перейти к нужному сервису.

Вход с аккаунтом Яндекса в стороннее приложение или сайт

пароль приложения .

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Управление доступом и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

настройке одноразовых паролей .

восстанавливать доступ .

Отпечаток пальца вместо пин-кода

    iPhone, начиная с модели 5s;

    iPad, начиная с модели Air 2.

Примечание.

мастер-пароль

Мастер-пароль

С помощью мастер-пароля вы можете:

    сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;

Резервная копия данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить их, если вы потеряли телефон или планшет с приложением. На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.

Чтобы получить данные из резервной копии, нужно:

    иметь доступ к номеру телефона, который вы указали при ее создании;

    помнить пароль, который вы задали для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для генерации одноразовых паролей. Пин-код, который вы задали, когда включали одноразовые пароли на Яндексе, необходимо помнить.

Удалить резервную копию с сервера Яндекса пока невозможно. Она будет удалена автоматически, если вы ей не воспользуетесь в течение года после создания.

Создание резервной копии

    Выберите пункт Создать резервную копию в настройках приложения.

    Введите номер телефона, к которому будет привязана резервная копия (например, «380123456789» ), и нажмите кнопку Далее .

    Яндекс отправит код подтверждения на введенный номер телефона. Как только вы получите код, введите его в приложении.

    Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.

    Введите придуманный пароль два раза и нажмите кнопку Готово . Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и сообщит об этом.

Восстановление из резервной копии

    Выберите пункт Восстановить из резервной копии в настройках приложения.

    Введите номер телефона, который вы использовали при создании резервной копии (например, «380123456789» ), и нажмите кнопку Далее .

    Если для указанного номера найдена резервная копия данных Ключа, Яндекс отправит код подтверждения на этот номер телефона. Как только вы получите код, введите его в приложении.

    Убедитесь, что дата и время создания резервной копии, а также имя устройства, соответствует той резервной копии, которую вы хотите использовать. Затем нажмите кнопку Восстановить .

    Введите пароль, который вы задали при создании резервной копии. Если вы не помните его, к сожалению, расшифровать резервную копию будет невозможно.

    Яндекс.Ключ расшифрует данные резервной копии и сообщит о том, что данные восстановлены.

Как одноразовые пароли зависят от точного времени

При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и часовой пояс, установленные на устройстве. Когда доступно интернет-соединение, Ключ также запрашивает точное время с сервера: если на устройстве время выставлено неверно, приложение сделает поправку на это. Но в некоторых ситуациях даже после поправки и при корректном пин-коде одноразовый пароль будет неправильным.

Если вы уверены, что вводите пин-код и пароль верно, но авторизоваться не получается:

    Убедитесь, что на вашем устройстве установлено корректное время и часовой пояс. После этого попробуйте войти с новым одноразовым паролем.

    Подключите устройство к интернету, чтобы Яндекс.Ключ мог получить точное время самостоятельно. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.

Если проблема не разрешилась, обратитесь в службу поддержки через форму ниже.

Оставить отзыв о двухфакторной аутентификации

\n ","minitoc":[{"text":"Вход на сервис или в приложение Яндекса","href":"#login"},{"text":"Вход с помощью QR-кода","href":"#qr"},{"text":"Вход с аккаунтом Яндекса в стороннее приложение или сайт","href":"#third-party"},{"text":"Перенос Яндекс.Ключа","href":"#concept_mh4_sxt_s1b"},{"text":"Несколько аккаунтов в Яндекс.Ключе","href":"#more-accounts"},{"text":"Отпечаток пальца вместо пин-кода","href":"#touch-id"},{"text":"Мастер-пароль","href":"#master-pass"},{"text":"Резервная копия данных Яндекс.Ключа","href":"#backup"},{"text":"Как одноразовые пароли зависят от точного времени","href":"#time"}],"mobile_menu":"","prev_next":{"prevItem":{"disabled":false,"title":"Вход через письмо","link":"/support/passport/mail-login.html"},"nextItem":{"disabled":false,"title":"Привязка телефонных номеров","link":"/support/passport/authorization/phone.html"}},"breadcrumbs":[{"url":"/support/passport/auth.html","title":"Вход на Яндекс"},{"url":"/support/passport/authorization/twofa-login.html","title":"Вход с двухфакторной аутентификацией"}],"useful_links":"","meta":{"copyright":"(C) Copyright 2020","DC.rights.owner":"(C) Copyright 2020","DC.Type":"concept","DC.Relation":"../authorization/twofa.html","prodname":"Паспорт","DC.Format":"XHTML","DC.Identifier":"twofa-login","DC.Language":"ru","generator":"Yandex Yoda DITA","topic_id":"twofa-login","topic_name":"Вход с двухфакторной аутентификацией","doc_id":"passport-guide","doc_name":"Помощь","component_id":"","component_name":"","product_id":"passport","product_name":"Паспорт","description":"Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.","product":"passport","product_realname":"Паспорт","doc_group":"passport-guide","doc_group_name":"passport-guide","section_name":"Вход с двухфакторной аутентификацией","langs":"uk ru"},"voter":"

Была ли статья полезна?

Нет Да

Уточните, почему:

    нет ответа на мой вопрос

    текст трудно понять

    содержание статьи не соответствует заголовку

    мне не нравится, как это работает

    другая причина

Спасибо за ваш отзыв!

Расскажите, что вам не понравилось в статье:

Отправить

","lang":{"current":"ru","available":["uk","ru"]}},"extra_meta":[{"tag":"meta","attrs":{"name":"copyright","content":"(C) Copyright 2020"}},{"tag":"meta","attrs":{"name":"DC.rights.owner","content":"(C) Copyright 2020"}},{"tag":"meta","attrs":{"name":"DC.Type","content":"concept"}},{"tag":"meta","attrs":{"name":"DC.Relation","content":"../authorization/twofa.html"}},{"tag":"meta","attrs":{"name":"prodname","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"DC.Format","content":"XHTML"}},{"tag":"meta","attrs":{"name":"DC.Identifier","content":"twofa-login"}},{"tag":"meta","attrs":{"name":"DC.Language","content":"ru"}},{"tag":"meta","attrs":{"name":"generator","content":"Yandex Yoda DITA"}},{"tag":"meta","attrs":{"name":"topic_id","content":"twofa-login"}},{"tag":"meta","attrs":{"name":"topic_name","content":"Вход с двухфакторной аутентификацией"}},{"tag":"meta","attrs":{"name":"doc_id","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"doc_name","content":"Помощь"}},{"tag":"meta","attrs":{"name":"component_id","content":""}},{"tag":"meta","attrs":{"name":"component_name","content":""}},{"tag":"meta","attrs":{"name":"product_id","content":"passport"}},{"tag":"meta","attrs":{"name":"product_name","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"description","content":"Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях."}},{"tag":"meta","attrs":{"name":"product","content":"passport"}},{"tag":"meta","attrs":{"name":"product_realname","content":"Паспорт"}},{"tag":"meta","attrs":{"name":"doc_group","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"doc_group_name","content":"passport-guide"}},{"tag":"meta","attrs":{"name":"section_name","content":"Вход с двухфакторной аутентификацией"}},{"tag":"meta","attrs":{"name":"langs","content":"uk ru"}}],"title":"Вход с двухфакторной аутентификацией - Паспорт. Помощь","productName":"Паспорт","extra_js":[[{"elem":"js","url":"//yastatic.net/jquery/1.12.4/jquery.min.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/jquery/1.12.4/jquery.min.js","nonce":"8SC4/+KPXkDGYAMHMFtJPw=="},"__func66":true}],[{"elem":"js","url":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.ru.no-bem.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.ru.no-bem.js","nonce":"8SC4/+KPXkDGYAMHMFtJPw=="},"__func66":true}],[{"elem":"js","url":"//yastatic.net/es5-shims/0.0.1/es5-shims.min.js","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func136":true,"tag":"script","bem":false,"attrs":{"src":"//yastatic.net/es5-shims/0.0.1/es5-shims.min.js","nonce":"8SC4/+KPXkDGYAMHMFtJPw=="},"__func66":true}]],"extra_css":[,[{"elem":"css","ie":null,"url":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.css","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func68":true,"__func67":true,"bem":false,"tag":"link","attrs":{"rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.css"}}],[{"elem":"css","ie":"lte IE 8","url":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.ie8.css","block":"b-page","elemMods":{},"mods":{"html-only":""},"__func68":true,"__func67":true,"bem":false,"tag":"link","attrs":{"rel":"stylesheet","href":"//yastatic.net/s3/locdoc/static/doccenter/2.295.0/bundles/index/_index.bidi.ie8.css"}}]],"csp":{"script-src":},"lang":"ru"}}}">

Русский

Українська

Русский

Вход с двухфакторной аутентификацией

Для авторизации в сторонних приложениях и программах (почтовых клиентах, мессенджерах, сборщиках почты и т. п.), следует использовать пароли приложений .

Внимание. Приложения, разработанные в Яндексе, требуют именно одноразового пароля - даже правильно созданные пароли приложений не подойдут.

  1. Вход на сервис или в приложение Яндекса
  2. Вход с помощью QR-кода
  3. Вход с аккаунтом Яндекса в стороннее приложение или сайт
  4. Перенос Яндекс.Ключа
  5. Несколько аккаунтов в Яндекс.Ключе
  6. Отпечаток пальца вместо пин-кода
  7. Мастер-пароль
  8. Резервная копия данных Яндекс.Ключа
  9. Как одноразовые пароли зависят от точного времени

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Одноразовый пароль нужно успеть ввести, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.

Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также оказываются некорректными и авторизоваться с ними не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.

Вход с помощью QR-кода

Некоторые сервисы (например, главная страница Яндекса, Паспорт и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

    Нажмите на иконку QR-кода в браузере.

    Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в , а затем перейти к нужному сервису.

    Введите пин-код в Яндекс.Ключе и нажмите Войти по QR-коду .

    Наведите камеру вашего устройства на QR-код, отображенный в браузере.


Яндекс.Ключ распознает QR-код и передаст в Яндекс.Паспорт ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически авторизуетесь в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.

Вход с аккаунтом Яндекса в стороннее приложение или сайт

Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают - для каждого такого приложения необходимо создать отдельный пароль приложения .

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, авторизоваться с ним не получится.

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок . Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса .

Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа на Яндекс. В этом случае будет необходимо восстанавливать доступ .

Отпечаток пальца вместо пин-кода

Отпечаток пальца вместо пин-кода можно использовать на следующих устройствах:

    смартфоны под управлением Android 6.0 и сканером отпечатков пальца;

    iPhone, начиная с модели 5s;

    iPad, начиная с модели Air 2.

Примечание.

На смартфонах и планшетах с iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите мастер-пароль или измените пароль на более сложный: откройте приложение Настройки и выберите пункт Touch ID и пароль .

Чтобы воспользоваться включить проверку отпечатка:

Мастер-пароль

Чтобы дополнительно защитить ваши одноразовые пароли, создайте мастер-пароль: → Мастер-пароль .

Рубрика: Установка драйверов
Поделиться