Autenticación de dos factores yandex. Autenticación de dos factores Yandex: protección adicional de la cuenta

Hola de nuevo a todos. De acuerdo, lo más importante al trabajar en Internet es la seguridad. Ella necesita atención especial. Al registrarse en un sitio importante, debe crear una contraseña segura o usarla. Dado que cuanto más compleja sea la combinación de letras y números, más difícil será para los atacantes descifrarlo. Sin embargo, hay momentos en que los piratas informáticos logran obtener acceso a su cuenta, por ejemplo, a su correo personal. Esto es muy triste: información importante puede terminar en manos poco amables y puede usarse en su contra, la correspondencia con sus socios puede eliminarse por completo, etc. En una palabra, su cuenta debe estar protegida como la niña de un ojo.

Para mejorar la seguridad, muchos servicios ofrecen autenticación de dos factores. Hoy veremos qué está usando el correo de Yandex como ejemplo.

Cuando esta característica está habilitada, un atacante, incluso si elige su contraseña principal correctamente, no podrá ingresar a su buzón. Dado que para esto deberá especificar una contraseña aleatoria de un solo uso, que se genera mediante una aplicación especial en su teléfono inteligente o tableta. Ahora intentaremos describir en detalle cómo habilitar la autenticación de dos factores en Yandex. En el futuro, habrá una revisión similar en Google Mail y Mail.ru.

Entonces, para conectar esta función, necesitamos un teléfono inteligente o una tableta. Vamos a nuestro buzón de correo de Yandex. Si aún no tienes uno, créalo. ¿Cómo? Leer en .

Una vez que hayamos iniciado sesión en la cuenta, haga clic en su cuenta y seleccione el elemento " Administración de cuentas»

El pasaporte Yandex se abrirá con todo tipo de configuraciones. En el bloque " Control de acceso"ir al enlace" Configurar la autenticación de dos factores»

Ahora tenemos que pasar por 4 pasos.

1 paso verifica tu numero de telefono.

Su cuenta después de habilitar nueva caracteristica estará vinculado a su número de teléfono. Por tanto, indica el número al que tienes acceso gratuito. Después de eso, haga clic en el botón " para obtener el código»

Después de un par de segundos, llegará un mensaje SMS, donde se indicará el código que ingresamos en el campo ...

... y presione " Confirmar»

Paso 2. Código PIN.

Para que la aplicación pueda generar una contraseña de un solo uso, debe ingresar un código pin, el que ahora le indicaremos. ¡¡¡Atención!!! Recuerda este código y no lo compartas con nadie. Incluso si le roban su teléfono, sin conocer su código PIN, los atacantes no podrán usar esta aplicación.

Ingrese el código PIN, luego repita. Para abrir los símbolos, haga clic en el ojo. De esta manera, puede asegurarse de haber escrito todo correctamente. Y presione " Crear».

Paso 3. Aplicación móvil Yandex Key.

En esta etapa, necesitamos instalar la misma aplicación que creará contraseñas de un solo uso. Presionamos el botón " Obtener enlace al teléfono».

Vamos a repasarlo. teléfono encendido basado en Android abrir automáticamente el servicio Google Play con una propuesta para instalar la aplicación Yandex Key. Lo instalamos.

Abra la clave Yandex. Después de algunas páginas introductorias, se le pedirá que escanee un código QR. La aplicación le pedirá permiso para acceder a su cámara. Estamos de acuerdo. Luego, apunte la cámara a la pantalla del monitor para que el cuadrado con el código QR golpee la lente de la cámara. La aplicación escaneará y agregará automáticamente su cuenta. Si el escaneo falla, puede conservar la clave secreta. Para verlo, haz click en el enlace Mostrar clave privada» bajo el código QR. En la aplicación, seleccione también el método para ingresar la clave secreta.

Ahora pasemos al siguiente paso.

Paso 4. Ingresar una contraseña de un solo uso desde la clave Yandex.

Lanzamos nuestra aplicación en nuestro gadget. Ahora deberá ingresar su código PIN. Y después de eso, verá la misma contraseña aleatoria de un solo uso.

La contraseña se actualiza cada 30 segundos. Por lo tanto, tenga tiempo para ingresarlo en el campo antes de la actualización y haga clic en " Encender».

Eso es todo, hemos habilitado la autenticación de dos factores para nuestro Yandex.

Veamos cómo funciona. Cierra la sesión de la cuenta actual.

Ahora puede iniciar sesión en su cuenta de 2 maneras. 1) ingrese su nombre de usuario (o dirección Correo electrónico Yandex) y luego ingresamos NO la contraseña que usamos antes, permanente, sino la que recibimos en la clave de la aplicación móvil Yandex después de ingresar el código pin. Y presione el botón Iniciar sesión. segunda forma significa iniciar sesión con Código QR. Haga clic en el icono en forma de código qr (a la derecha del botón Iniciar sesión).

Entonces llegamos a esta página.

Seguimos las instrucciones: lanzamos Yandex Key, ingresamos nuestro código pin y luego seleccionamos " Iniciar sesión con código QR»

Luego apuntamos la cámara de la tableta o teléfono al código QR. La aplicación escanea el código y obtenemos acceso a nuestro correo.

Cómo deshabilitar la autenticación de dos factores en Yandex

Si por alguna razón decide deshabilitar la autenticación de dos factores, puede hacerlo rápida y fácilmente. Ingresamos a su buzón, vamos a Administración de cuentas (dónde y cómo hacer esto, consulte al comienzo de este artículo) y desactivamos esta función.

En el siguiente paso, debemos ingresar una contraseña de un solo uso desde la aplicación Yandex Key

Introdúcelo y confirma.

Nosotros creamos Nueva contraseña(esta vez constante), repítalo y guarde.

Eso es todo, ahora nuestra autenticación de dos factores está deshabilitada. La contraseña permanente creada en el paso anterior se utilizará para iniciar sesión.

Entonces, hoy vimos cómo hacer que nuestra cuenta de correo Yandex sea más segura al conectarle la autenticación de dos factores. ¿Está utilizando esta función? Comparte en los comentarios.

Y eso es todo por hoy. ¡Te veo pronto!

Cada persona debe tener un sueño. Un sueño es lo que impulsa a una persona. Cuando eres pequeño, sueñas con crecer. El sueño primero debe convertirse en una meta. Entonces debes lograr tu objetivo. ¡Y deberías tener un nuevo sueño!

desarrollo de iOS,

Desarrollo de aplicaciones móviles

Una publicación rara en el blog de Yandex, y especialmente una relacionada con la seguridad, se hizo sin autenticación. Llevamos mucho tiempo pensando cómo reforzar adecuadamente la protección de las cuentas de los usuarios, e incluso que puedan utilizarla sin todos los inconvenientes que conllevan las implementaciones más comunes en la actualidad. Y, por desgracia, son incómodos. Según algunos informes, en muchos sitios grandes, la proporción de usuarios que han habilitado herramientas de autenticación adicionales no supera el 0,1 %.

Esto parece deberse a que el esquema común de autenticación de dos factores es demasiado complicado e inconveniente. Intentamos encontrar un método que fuera más conveniente sin perder el nivel de protección, y hoy presentamos su versión beta.

Esperamos que se generalice más. Por nuestra parte, estamos dispuestos a trabajar en su mejora y posterior normalización.

Después de habilitar la autenticación de dos factores en Passport, deberá instalar la aplicación Yandex.Key en App Store o Google Play. En el formulario de autorización página de inicio Yandex, los códigos QR aparecieron en Mail and Passport. Para ingresar a la cuenta, debe leer el código QR a través de la aplicación, y eso es todo. Si el código QR no se puede leer, por ejemplo, la cámara del teléfono inteligente no funciona o no hay acceso a Internet, la aplicación creará una contraseña de un solo uso que será válida por solo 30 segundos.

Te diré por qué decidimos no utilizar mecanismos "estándar" como RFC 6238 o RFC 4226. ¿Cómo funcionan los esquemas comunes de autenticación de dos factores? Son de dos etapas. La primera etapa es la autenticación habitual con un nombre de usuario y contraseña. Si tuvo éxito, el sitio verifica si le "gusta" esta sesión de usuario o no. Y, si “no te gusta”, pide al usuario que “se vuelva a autenticar”. Hay dos métodos comunes de "autenticación": enviar un SMS al número de teléfono asociado con la cuenta y generar una segunda contraseña en el teléfono inteligente. Básicamente, para generar la segunda contraseña se usa TOTP según RFC 6238. Si el usuario ingresó la segunda contraseña correctamente, la sesión se considera completamente autenticada, y si no, entonces la sesión también pierde la autenticación "preliminar".

Ambos métodos ─enviar un SMS y generar una contraseña─ son prueba de posesión del teléfono y por lo tanto son un factor de disponibilidad. La contraseña ingresada en la primera etapa es el factor de conocimiento. Por lo tanto, este esquema de autenticación no solo es de dos etapas, sino también de dos factores.

¿Qué encontramos problemático en este esquema?

Comencemos con el hecho de que la computadora del usuario promedio no siempre puede llamarse un modelo de seguridad: aquí está el apagado actualizaciones de Windows, y una copia pirata del antivirus sin firmas modernas, y software de origen dudoso ─ todo esto no aumenta el nivel de protección. Según nuestra evaluación, comprometer la computadora de un usuario es la forma más extendida de "secuestrar" cuentas (y sucedió recientemente), y usted quiere protegerse de ello en primer lugar. En el caso de la autenticación en dos pasos, suponiendo que la computadora del usuario está comprometida, ingresar una contraseña en ella compromete la contraseña misma, que es el primer factor. Esto significa que el atacante solo necesita elegir el segundo factor. En el caso de implementaciones comunes de RFC 6238, el segundo factor es de 6 dígitos decimales (y el máximo de especificación es de 8 dígitos). De acuerdo con la calculadora de fuerza bruta para OTP, en tres días un atacante puede detectar el segundo factor si de alguna manera se da cuenta del primero. No está claro qué servicio puede contrarrestar este ataque sin interrumpir la experiencia normal del usuario. La única prueba posible de trabajo es captcha, que, en nuestra opinión, es el último recurso.

El segundo problema es la opacidad del juicio del servicio sobre la calidad de la sesión del usuario y la decisión sobre la necesidad de "autenticación". Peor aún, el servicio no está interesado en hacer que este proceso sea transparente, porque la seguridad por oscuridad realmente funciona aquí. Si un atacante sabe lo que el servicio decide sobre la legitimidad de la sesión, puede intentar falsificar estos datos. De consideraciones generales, podemos concluir que el juicio se realiza en base al historial de autenticación del usuario, teniendo en cuenta la dirección IP (y derivado de ella el número de sistema autónomo que identifica al proveedor, y la ubicación basada en la geobase) y los datos del navegador. , como el título Agente de usuario y un conjunto de cookies, flash lso y almacenamiento local html. Esto significa que si un atacante controla la computadora del usuario, tiene la oportunidad no solo de robar todos los datos necesarios, sino también de usar la dirección IP de la víctima. Además, si la decisión se toma sobre la base de ASN, entonces cualquier autenticación de Wi-Fi público en una cafetería puede conducir a un "envenenamiento" en términos de seguridad (y blanqueo en términos de servicio) del proveedor de esta cafetería y , por ejemplo, blanquear todas las cafeterías de la ciudad. Hablamos sobre el trabajo y podría aplicarse, pero el tiempo entre la primera y la segunda etapa de autenticación puede no ser suficiente para un juicio confiable sobre la anomalía. Además, este mismo argumento socava la idea de las computadoras "confiables": un atacante puede robar cualquier información que afecte el juicio de confianza.

Finalmente, la verificación en dos pasos es simplemente inconveniente: nuestros estudios de usabilidad muestran que nada irrita más a los usuarios que una pantalla intermedia, presionar botones adicionales y otras acciones "sin importancia", desde su punto de vista.
En base a esto, decidimos que la autenticación debe ser de un solo paso y el espacio de la contraseña debe ser mucho más grande de lo que es posible bajo el RFC 6238 "puro".
Al mismo tiempo, queríamos mantener la autenticación de dos factores como fuera posible.

La multifactorialidad en la autenticación se determina asignando elementos de autenticación (de hecho, se denominan factores) a una de tres categorías:

1. Factores de conocimiento (estas son contraseñas tradicionales, códigos pin y todo lo que se les parezca);
2. Factores de propiedad (en los esquemas OTP utilizados, este suele ser un teléfono inteligente, pero también puede ser un token de hardware);
3. Factores biométricos (huella digital ─ el más común ahora, aunque alguien recordará el episodio con el héroe de Wesley Snipes en la película Demolition Man).

Desarrollo de nuestro sistema.

Cuando empezamos a lidiar con el problema de la autenticación de dos factores (las primeras páginas de la wiki corporativa sobre este tema datan de 2012, pero se discutió detrás de escena antes), la primera idea fue tomar formas estándar autenticación y aplicarlos con nosotros. Entendimos que no podíamos contar con millones de nuestros usuarios para comprar un token de hardware, por lo que esta opción se pospuso para algunos casos exóticos (aunque no la abandonamos por completo, es posible que se nos ocurra algo interesante). El método SMS tampoco se pudo producir en masa: es un método de entrega muy poco confiable (en el momento más crucial, los SMS pueden retrasarse o no entregarse en absoluto), y enviar SMS cuesta dinero (y los operadores comenzaron a aumentar su precio) . Decidimos que el uso de SMS es cosa de bancos y otras empresas no tecnológicas, y queremos ofrecer a nuestros usuarios algo más cómodo. En general, la elección fue pequeña: usar un teléfono inteligente y el programa que contiene como segundo factor.

Esta forma de autenticación en un solo paso está muy extendida: el usuario recuerda el código PIN (primer factor), tiene un token de hardware o software (en un teléfono inteligente) que genera OTP (segundo factor). En el campo de ingreso de la contraseña, ingresa el código pin y el valor OTP actual.

En nuestra opinión, la principal desventaja de este esquema es la misma que la de la autenticación en dos pasos: si asumimos que el escritorio del usuario está comprometido, una sola entrada del código PIN conduce a su divulgación, y el atacante solo tiene que Elige el segundo factor.

Decidimos ir por el otro lado: la contraseña se genera completamente a partir del secreto, pero solo una parte del secreto se almacena en el teléfono inteligente, y el usuario ingresa la parte cada vez que se genera la contraseña. Así, el propio smartphone es un factor de propiedad, mientras que la contraseña permanece en la cabeza del usuario y es un factor de conocimiento.

El Nonce puede ser un contador o la hora actual. Decidimos elegir la hora actual, esto nos permite no tener miedo a la desincronización en caso de que alguien genere demasiadas contraseñas y aumente el contador.

Entonces, tenemos un programa para un teléfono inteligente, donde el usuario ingresa su parte del secreto, se mezcla con la parte almacenada, el resultado se usa como la clave HMAC, que firma la hora actual, redondeada a 30 segundos. La salida HMAC se representa en forma legible, y listo: ¡aquí está la contraseña de un solo uso!

Como ya se mencionó, RFC 4226 sugiere truncar el resultado HMAC a un máximo de 8 dígitos decimales. Decidimos que una contraseña de este tamaño no es adecuada para la autenticación en un solo paso y debería aumentarse. Al mismo tiempo, queríamos mantener la facilidad de uso (porque, recuerde, queremos hacer un sistema que la gente común use, y no solo los geeks de seguridad), así que como compromiso en la versión actual del sistema, eligió el truncamiento a 8 caracteres del alfabeto latino. Parece que 26^8 contraseñas válidas durante 30 segundos es bastante aceptable, pero si el margen de seguridad no nos conviene (o aparecen valiosos consejos en Habré sobre cómo mejorar este esquema), ampliaremos, por ejemplo, a 10 caracteres.

Obtenga más información sobre la fortaleza de tales contraseñas

De hecho, para letras latinas que no distinguen entre mayúsculas y minúsculas, el número de opciones por carácter es 26, para letras latinas grandes y pequeñas más números, el número de opciones es 26+26+10=62. Luego, log 62 (26 10) ≈ 7.9, es decir, una contraseña de 10 letras latinas pequeñas al azar es casi tan segura como una contraseña de 8 letras o números latinos en mayúsculas y minúsculas al azar. Esto es definitivamente suficiente para 30 segundos. Si hablamos de una contraseña de 8 caracteres de letras latinas, entonces su fuerza es log 62 (26 8) ≈ 6.3, es decir, un poco más que una contraseña de 6 caracteres de letras grandes, pequeñas y números. Creemos que esto sigue siendo aceptable para una ventana de 30 segundos.

Magia, sin contraseña, aplicaciones y próximos pasos

En general, podríamos quedarnos ahí, pero queríamos que el sistema fuera aún más conveniente. Cuando una persona tiene un teléfono inteligente en la mano, ¡no quiere ingresar la contraseña desde el teclado!

Por lo tanto, comenzamos a trabajar en el "inicio de sesión mágico". Con este método de autenticación, el usuario inicia la aplicación en el teléfono inteligente, ingresa su código PIN y escanea el código QR en la pantalla de su computadora. Si el código pin se ingresa correctamente, la página en el navegador se vuelve a cargar y el usuario se autentica. ¡Magia!

¿Como funciona?

El número de sesión está incrustado en el código QR, y cuando la aplicación lo escanea, este número se transmite al servidor junto con el generado de la manera habitual contraseña y nombre de usuario. Esto no es difícil, porque el teléfono inteligente casi siempre está en línea. En el diseño de la página que muestra el código QR, se está ejecutando JavaScript, esperando una respuesta del servidor para verificar la contraseña con esta sesión. Si el servidor responde que la contraseña es correcta, se establece una cookie de sesión con la respuesta y el usuario se considera autenticado.

Mejoró, pero aquí decidimos no parar. A partir del iPhone 5S en teléfonos y tabletas de manzana Apareció el escáner de huellas dactilares TouchID, y en Versiones de iOS 8 trabajar con él está disponible para aplicaciones de terceros. De hecho, la aplicación no obtiene acceso a la huella digital, pero si la huella digital es correcta, la sección de llavero adicional estará disponible para la aplicación. Esto es lo que aprovechamos. La segunda parte del secreto se coloca en la entrada del llavero protegido por TouchID, la que el usuario ingresó desde el teclado en el escenario anterior. Al desbloquear el llavero, las dos partes del secreto se mezclan y luego el proceso funciona como se describe anteriormente.

Pero se ha vuelto increíblemente conveniente para el usuario: abre la aplicación, coloca el dedo, escanea el código QR en la pantalla y se autentica en el navegador de la computadora. Así que reemplazamos el factor conocimiento por uno biométrico y, desde el punto de vista del usuario, abandonamos por completo las contraseñas. Estamos seguros de que la gente común encontrará este esquema mucho más conveniente que ingresar manualmente dos contraseñas.

Es discutible cuán técnicamente es la autenticación de dos factores, pero en realidad, aún necesita tener un teléfono y una huella digital válida para pasarla con éxito, por lo que creemos que hemos sido bastante buenos para deshacernos del factor de conocimiento, reemplazándolo. con biometría. Entendemos que confiamos en la seguridad ARM TrustZone que sustenta iOS Secure Enclave y creemos que este subsistema puede considerarse confiable dentro de nuestro modelo de amenazas por el momento. Por supuesto, somos conscientes de los problemas de la autenticación biométrica: una huella digital no es una contraseña y no se puede reemplazar si se ve comprometida. Pero, por otro lado, todo el mundo sabe que la seguridad es inversamente proporcional a la comodidad, y el propio usuario tiene derecho a elegir la proporción de uno y otro que le resulte aceptable.

Déjame recordarte que esto todavía es beta. Ahora, cuando habilita la autenticación de dos factores, deshabilitamos temporalmente la sincronización de contraseñas en Yandex.Browser. Esto se debe a cómo se organiza el cifrado de la base de datos de contraseñas. Ya estamos ideando una forma conveniente de autenticar el navegador en el caso de 2FA. Todas las demás funciones de Yandex funcionan como antes.

Esto es lo que tenemos. Parece que salió bien, pero tú eres el juez. Estaremos encantados de escuchar comentarios y recomendaciones, y nosotros mismos seguiremos trabajando para mejorar la seguridad de nuestros servicios: ahora, junto con todo lo demás, tenemos autenticación de dos factores. Tenga en cuenta que los servicios de autenticación y las aplicaciones de generación de OTP son fundamentales y, por lo tanto, los errores encontrados en ellos se pagan dos veces como bonificación en el programa Bug Bounty.

Etiquetas:

• seguridad
• autenticación
• 2FA

Agregar etiquetas

Atención. Las aplicaciones desarrolladas en Yandex requieren una contraseña de un solo uso; incluso las contraseñas de aplicaciones creadas correctamente no funcionarán.

1. Iniciar sesión con código QR
2. Transferencia de Yandex.Key
3. Contraseña maestra
4. Cómo las contraseñas de un solo uso dependen de la hora exacta

Inicie sesión en un servicio o aplicación de Yandex

Puede ingresar una contraseña de un solo uso en cualquier formulario de autorización de Yandex o aplicaciones desarrolladas por Yandex.

Nota.

La contraseña de un solo uso debe ingresarse a tiempo mientras se muestra en la aplicación. Si queda muy poco tiempo antes de la actualización, simplemente espere la nueva contraseña.

Para obtener una contraseña de un solo uso, inicie Yandex.Key e ingrese el código PIN que configuró al configurar la autenticación de dos factores. La aplicación comenzará a generar contraseñas cada 30 segundos.

Yandex.Key no verifica el PIN que ingresó y genera contraseñas de un solo uso, incluso si ingresó su PIN incorrectamente. En este caso, las contraseñas creadas también resultan incorrectas y no podrá iniciar sesión con ellas. Para ingresar el código PIN correcto, simplemente salga de la aplicación y vuelva a iniciarla.

Características de las contraseñas de un solo uso:

Iniciar sesión con código QR

Algunos servicios (por ejemplo, la página de inicio de Yandex, Pasaporte y Correo) le permiten iniciar sesión en Yandex simplemente apuntando la cámara al código QR. Al mismo tiempo, su dispositivo móvil debe estar conectado a Internet para que Yandex.Key pueda comunicarse con el servidor de autorización.

Haga clic en el icono del código QR en el navegador.

Si no hay tal icono en el formulario de inicio de sesión, entonces este servicio Solo puede iniciar sesión con una contraseña. En este caso, puede autorizar usando el código QR en el Pasaporte, y luego ir a el servicio correcto.

Ingrese el código pin en Yandex.Key y haga clic en Iniciar sesión usando el código QR.

Apunte la cámara de su dispositivo al código QR que se muestra en el navegador.

Yandex.Key reconoce el código QR y envía su nombre de usuario y contraseña de un solo uso a Yandex.Passport. Si pasan la prueba, iniciará sesión automáticamente en su navegador. Si la contraseña transmitida resulta ser incorrecta (por ejemplo, porque ingresó su PIN incorrectamente en Yandex.Key), el navegador mostrará un mensaje estándar sobre una contraseña incorrecta.

Iniciar sesión con una cuenta de Yandex en una aplicación o sitio web de terceros

Las aplicaciones o los sitios que necesitan acceso a sus datos de Yandex a veces requieren que ingrese una contraseña para iniciar sesión en su cuenta. En tales casos, las contraseñas de un solo uso no funcionarán; se debe crear una contraseña de aplicación separada para cada aplicación.

Atención. Solo las contraseñas de un solo uso funcionan en las aplicaciones y servicios de Yandex. Incluso si crea una contraseña de aplicación, por ejemplo, para Yandex.Disk, no podrá iniciar sesión con ella.

Transferencia de Yandex.Key

Puede transferir la generación de contraseñas de un solo uso a otro dispositivo o configurar Yandex.Key en varios dispositivos al mismo tiempo. Para hacer esto, abra la página de Control de acceso y haga clic en el botón Reemplazo de dispositivo.

Varias cuentas en Yandex.Key

El mismo Yandex.Key se puede usar para varias cuentas con contraseñas de un solo uso. Para agregar otra cuenta a la aplicación, al configurar contraseñas de un solo uso en el paso 3, toque el icono en la aplicación. Además, puede agregar la generación de contraseñas a Yandex.Key para otros servicios que admitan dicha autenticación de dos factores. Las instrucciones para los servicios más populares se proporcionan en la página sobre la creación de códigos de verificación que no son de Yandex.

Para desvincular una cuenta de Yandex.Key, toque y mantenga presionado el retrato correspondiente en la aplicación hasta que aparezca una cruz a la derecha. Cuando haga clic en la cruz, se eliminará la vinculación de su cuenta a Yandex.Key.

Atención. Si elimina una cuenta que tiene habilitadas las contraseñas de un solo uso, no podrá obtener una contraseña de un solo uso para iniciar sesión en Yandex. En este caso, será necesario restaurar el acceso.

Huella dactilar en lugar de PIN

Se puede usar una huella digital en lugar de un código PIN en los siguientes dispositivos:

teléfonos inteligentes bajo control androide 6.0 y un escáner de huellas dactilares;

iPhone a partir del modelo 5s;

iPad a partir de Air 2.

Nota.

En los teléfonos inteligentes y tabletas con iOS, la huella digital se puede omitir ingresando el código de acceso del dispositivo. Para protegerse contra esto, active la contraseña maestra o cambie la contraseña por una más compleja: abra la aplicación Configuración y seleccione Touch ID y contraseña.

Para habilitar la verificación de huellas dactilares:

Contraseña maestra

Para proteger aún más sus contraseñas de un solo uso, cree una contraseña maestra: → Contraseña maestra.

Con una contraseña maestra, puede:

asegúrese de que, en lugar de una huella digital, solo pueda ingresar la contraseña maestra de Yandex.Key, y no el código de bloqueo del dispositivo;

Copia de seguridad de los datos de Yandex.Key

puedes crear respaldo Datos clave en el servidor Yandex para que pueda restaurarlos si pierde su teléfono o tableta con la aplicación. Los datos de todas las cuentas agregadas a la clave en el momento en que se creó la copia se copian en el servidor. No se puede crear más de una copia de seguridad, cada siguiente copia de datos para un número de teléfono específico reemplaza a la anterior.

Para obtener datos de una copia de seguridad, debe:

tener acceso al número de teléfono que especificó al crearlo;

recuerde la contraseña que configuró para cifrar la copia de seguridad.

Atención. La copia de seguridad contiene solo los inicios de sesión y los secretos necesarios para generar contraseñas de un solo uso. Debe recordarse el código PIN que configuró cuando habilitó las contraseñas de un solo uso en Yandex.

Todavía no es posible eliminar una copia de seguridad del servidor Yandex. Se eliminará automáticamente si no lo usa dentro de un año después de la creación.

Crear una copia de seguridad

selecciona un artículo Crear una copia de seguridad en la configuración de la aplicación.

Ingrese el número de teléfono al que se vinculará la copia de seguridad (por ejemplo, "71234567890" "380123456789") y haga clic en Siguiente.

Yandex enviará un código de confirmación al número de teléfono ingresado. Una vez que reciba el código, ingréselo en la aplicación.

Cree una contraseña para cifrar la copia de seguridad de sus datos. Esta contraseña no se puede recuperar, así que asegúrese de no olvidarla ni perderla.

Ingrese su contraseña dos veces y haga clic en el botón Listo. Yandex.Key cifrará la copia de seguridad, la enviará al servidor de Yandex y le notificará al respecto.

Puede habilitar la autenticación de dos factores en . Necesitará la aplicación Yandex.Key, que se puede instalar en un dispositivo móvil iOS o Android. No se puede utilizar un dispositivo que no admita la instalación de aplicaciones (como Amazon Kindle Fire).

Después de habilitar la autenticación de dos factores:

Todas las aplicaciones, programas y servicios de Yandex requerirán una contraseña de un solo uso. También necesitará una contraseña de un solo uso cuando inicie sesión usando una red social e inicie sesión en su buzón de Correo para Dominios.

No tiene que ingresar su nombre de usuario y contraseña si inicia sesión en Yandex usando un código QR.

Para aplicaciones móviles de terceros, programas de computador y los recolectores de correo necesitarán usar contraseñas de aplicaciones individuales.

Nota. Para transferir su cuenta a otro teléfono inteligente o tableta, abra la página y haga clic en el botón Reemplazo de dispositivo.

La configuración toma varios pasos. La autenticación de dos factores se habilita solo después de hacer clic en el botón Finalizar configuración en el último paso.

1. Paso 2: Cree un PIN
2. Paso 3. Configurar Yandex.Key

Paso 1: Verifica tu número de teléfono

Si un número de teléfono está vinculado a su cuenta, el navegador mostrará este número y le pedirá que lo confirme o lo cambie. Si su número de teléfono actual no está vinculado a su cuenta, deberá vincularlo; de lo contrario, no podrá restaurar el acceso a su cuenta usted mismo.

Para vincular o verificar un número, solicita un código vía SMS e introdúcelo en el formulario. Si el código se ingresó correctamente, haga clic en el botón Confirmar para continuar con el siguiente paso.

Paso 2: Cree un PIN

Piense e ingrese un código PIN de cuatro dígitos para la autenticación de dos factores.

Atención. como con muchos tarjetas bancarias, solo usted conoce el código PIN y no puede cambiarlo. Si olvida su código PIN, Yandex.Key no podrá generar la contraseña única correcta y solo podrá restaurar el acceso a su cuenta con la ayuda del servicio de soporte.

Haga clic en el botón Crear para confirmar el PIN ingresado.

Paso 3. Configurar Yandex.Key

Se requiere Yandex.Key para generar contraseñas de un solo uso para su cuenta. Puede obtener un enlace a la aplicación directamente en su teléfono o instalarla desde App Store o Google Play.

Nota. Yandex.Key puede solicitar acceso a la cámara para reconocer códigos QR al agregar cuentas o al autorizar el uso de un código QR.

Haga clic en el botón en Yandex.Key Agregar una cuenta a la aplicación. Yandex.Key encenderá la cámara para escanear el código QR que se muestra en el navegador.

Si no puede leer el código QR, haga clic en el enlace en su navegador Mostrar clave privada, y en la aplicación - un enlace o agregarlo manualmente. En lugar del código QR, el navegador mostrará una secuencia de caracteres que se deben ingresar en la aplicación.

Después de reconocer la cuenta, la aplicación le pedirá el código PIN que creó en el paso anterior de configuración de 2FA.

Paso 4. Verifica la contraseña de un solo uso

Para asegurarse de que todo esté configurado correctamente, debe ingresar una contraseña de un solo uso en el último paso: la autenticación de dos factores solo se activará cuando ingrese la contraseña correcta.

Para hacer esto, debe ingresar correctamente el código PIN que creó en el segundo paso en Yandex.Key. La aplicación mostrará una contraseña de un solo uso. Introdúzcalo junto al botón Habilitar y haga clic en este botón.

No es coincidencia que haya muchos consejos en Internet sobre cómo proteger su cuenta contra piratería, y quizás el más popular de ellos es usar contraseñas complejas y cámbielos periódicamente. Esto, por supuesto, no está mal, pero recordar constantemente nuevas contraseñas complejas puede ser bastante agotador. Especialmente para aquellos que están preocupados por la seguridad de su cuenta, Yandex ha lanzado una versión beta de autenticación de dos factores. Con él, la llave de tu cuenta estará solo en tus manos. Más precisamente, en su teléfono inteligente. Al autorizar en Yandex, o en cualquier otro sitio, ingresa su nombre de usuario y contraseña. El sistema verifica si la contraseña coincide con el inicio de sesión y le permite ingresar si todo está en orden. Pero la contraseña es solo un factor de verificación. Hay sistemas para los que un factor no es suficiente. Además de la contraseña, requieren, por ejemplo, un código especial enviado por SMS o una llave USB que debe insertarse en la computadora. Estos sistemas utilizan autenticación de dos factores o de múltiples factores. Para nuestro esquema de autenticación de dos factores, creamos Yandex.Key - aplicación movil para iOS y Android. Basta con considerar el código QR en la página de inicio de Yandex, en el Pasaporte o en el campo Autorización de correo como una aplicación, y se encontrará en su cuenta. Para usar la clave, debe habilitar la autenticación de dos factores, instalar la aplicación y vincularla a su cuenta. Luego configura un código PIN de cuatro dígitos en la aplicación. Este código se convertirá en uno de los factores, parte del "secreto", en base al cual el algoritmo creará contraseñas de un solo uso. El segundo factor se almacena en el teléfono inteligente. Cuando luego lea el código QR en el formulario de autorización, la aplicación enviará su nombre de usuario y contraseña de un solo uso al servidor de Yandex. El servidor los revisará e indicará a la página que te deje entrar o que no te deje entrar. Cuando es imposible leer el código QR, por ejemplo, la cámara del teléfono inteligente no funciona o no hay acceso a Internet, puede ingresar la contraseña de un solo uso manualmente. En este caso, ingresar una contraseña reemplaza la lectura de un código QR; la única diferencia es que la contraseña no se envía a los servidores automáticamente, sino que la ingresa en el formulario de autorización junto con el inicio de sesión. La contraseña de un solo uso es válida solo por 30 segundos. Esto se hace para que no pueda ser robado de su computadora (por ejemplo, usando un programa que recuerda las contraseñas ingresadas en el navegador). Nadie excepto usted podrá usar la Clave para ingresar a su cuenta, porque al generar contraseñas, la Clave usa el código pin que usted ha creado. Sin el código PIN correcto, la aplicación creará contraseñas incorrectas que no funcionarán para su cuenta. Si tiene un teléfono inteligente o tableta Apple con Touch ID, puede usar su huella digital en lugar de un PIN. El mecanismo de autenticación de dos factores es otra herramienta que ayudará a que el trabajo de los usuarios de Yandex en Internet sea más seguro. Si necesita protección adicional para su cuenta, es hora de cerrarla en Yandex.Key.