Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые распространённые ныне реализации. А они, увы, неудобны. По некоторым данным, на многих крупных сайтах доля пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

Кажется, это потому, что распространенная схема двухфакторной аутентификации слишком сложна и неудобна. Мы постарались придумать способ, который был бы удобнее без потери уровня защиты, и сегодня представляем его бета-версию.

Надеемся, он получит более широкое распространение. Мы со своей стороны готовы работать над его улучшением и последующей стандартизацией.

После включения двухфакторной аутентификации в Паспорте вам надо будет установить приложение Яндекс.Ключ в App Store или Google Play . В форме авторизации на главной странице Яндекса, в Почте и Паспорте появились QR-коды. Для входа в учётную запись необходимо считать QR-код через приложение - и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Расскажу о том, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226 . Как работают распространенные схемы двухфакторной аутентификации? Они двухэтапные. Первый этап ─ обычная аутентификация логином и паролем. Если он прошел успешно, сайт проверяет, «нравится» ему эта пользовательская сессия или нет. И, если «не нравится», просит пользователя «доаутентифицироваться». Распространенных методов «доаутентификации» два: отсылка SMS на привязанный к аккаунту номер телефона и генерация второго пароля на смартфоне. В основном для генерации второго пароля используется TOTP по RFC 6238. Если пользователь ввел второй пароль верно, сессия считается полностью аутентифицированной, а если нет, то сессия теряет и «предварительную» аутентификацию.

Оба способа ─ отправка SMS и генерация пароля ─ доказательства обладания телефоном и потому являются фактором наличия. Пароль, вводимый на первом этапе, ─ фактор знания. Поэтому такая схема аутентификации ─ не только двухэтапная, но и двухфакторная.

Что показалось нам проблемным в этой схеме?

Вторая проблема ─ непрозрачность суждения сервиса о качестве пользовательской сессии и принятия решения о необходимости «доаутентификации». Хуже того, сервис не заинтересован в том, что бы сделать этот процесс прозрачным, ─ ведь тут фактически работает security by obscurity. Если злоумышленник знает, на основании чего сервис принимает решение о легитимности сессии, он может попытаться подделать эти данные. Из общих соображений можно заключить, что суждение делается на основе истории аутентификаций пользователя с учетом IP-адреса (и производных от него номера автономной системы, идентифицирующей провайдера, и местоположения на основе геобазы) и данных браузера, например заголовка User Agent и набора cookies, flash lso и html local storage. Это означает, что если злоумышленник контролирует компьютер пользователя, то он имеет возможность не только украсть все необходимые данные, но и воспользоваться IP-адресом жертвы. Более того, если решение принимается на основе ASN, то любая аутентификация из публичного Wi-Fi в кофейне может привести к «отравлению» с точки зрения безопасности (и обелению с точки зрения сервиса) провайдера этой кофейни и, например, обелению всех кофеен в городе. Мы рассказывали о работе , и ее можно было бы применить, но времени между первым и вторым этапом аутентификации может оказаться недостаточно для уверенного суждения об аномалии. Кроме того, этот же аргумент разрушает идею «доверенных» компьютеров: злоумышленник может украсть любую информацию, влияющую на суждение о доверенности.

Наконец, двухэтапная аутентификация попросту неудобна: наши usability-исследования показывают, что ничто так не раздражает пользователей, как промежуточный экран, дополнительные нажатия на кнопки и прочие «неважные», с его точки зрения, действия.
Исходя из этого, мы решили, что аутентификация должна быть одноэтапной и пространство паролей должно быть намного больше, чем возможно сделать в рамках «чистого» RFC 6238.
При этом нам хотелось по возможности сохранить двухфакторность аутентификации.

Многофакторность в аутентификации определяется отнесением элементов аутентификации (собственно, они и называются факторами) к одной из трех категорий:

1. Факторы знания (это традиционные пароли, пин-коды и все, что на них похоже);
2. Факторы владения (в используемых OTP-схемах, как правило, это смартфон, но может быть и аппаратный токен);
3. Биометрические факторы (отпечаток пальца ─ самый распространенный сейчас, хотя кто-то вспомнит эпизод с героем Уэсли Снайпса в фильме Demolition Man).

Разработка нашей системы

Широко распространена такая форма одноэтапной аутентификации: пользователь помнит пин-код (первый фактор), имеет на руках аппаратный или программный (в смартфоне) токен, генерирующий OTP (второй фактор). В поле ввода пароля он вводит пин-код и текущее значение OTP.

На наш взгляд, главный недостаток этой схемы такой же, как и у двухэтапной аутентификации: если считать, что десктоп пользователя скомпрометирован, то однократный ввод пин-кода приводит к его раскрытию и злоумышленнику остается только подобрать второй фактор.

Мы решили пойти другим путем: пароль целиком генерируется из секрета, но в смартфоне сохраняется только часть секрета, а часть вводится пользователем при каждой генерации пароля. Таким образом смартфон сам по себе является фактором владения, а пароль остается в голове пользователя и является фактором знания.

В качестве Nonce может выступать либо счетчик, либо текущее время. Мы решили выбрать текущее время, это позволяет не бояться рассинхронизации в случае, если кто-то сгенерирует слишком много паролей и увеличит счетчик.

Итак, у нас есть программа для смартфона, куда пользователь вводит свою часть секрета, та смешивается с хранимой частью, результат используется в качестве ключа HMAC , которым подписывается текущее время, округленное до 30 секунд. Выход HMAC приводится к читаемому виду, и вуаля ─ вот и одноразовый пароль!

Как уже было сказано, RFC 4226 предполагает усечение результата работы HMAC до максимум 8 десятичных цифр. Мы решили, что пароль такого размера непригоден для одноэтапной аутентификации и должен быть увеличен. При этом нам хотелось сохранить простоту использования (ведь, напомним, хочется сделать такую систему, которой будут пользоваться обычные люди, а не только security-гики), так что в качестве компромисса в текущей версии системы мы выбрали усечение до 8 символов латинского алфавита. Кажется, что 26^8 паролей, действующих в течение 30 секунд, вполне приемлемо, но если security margin нас не будет устраивать (или на Хабре появятся ценные советы, как улучшить эту схему), расширим, например, до 10 символов.

Подробнее о стойкости таких паролей

Магия, беспарольность, приложения и дальнейшие шаги

Поэтому мы начали работы над «магическим логином». С таким способом аутентификации пользователь запускает приложение на смартфоне, вводит в него свой пин-код и сканирует QR-код на экране своего компьютера. Если пин-код введен правильно, страница в браузере перезагружается и пользователь оказывается аутентифицирован. Магия!

Как это устроено?

Стало лучше, но и тут мы решили не останавливаться. Начиная с iPhone 5S в телефонах и планшетах Apple появился сканер отпечатков пальцев TouchID, а в iOS версии 8 работа с ним доступна и сторонним приложениям. На деле приложение не получает доступ к отпечатку пальца, но если отпечаток верен, то приложению становится доступен дополнительный раздел Keychain. Этим мы и воспользовались. В защищенную TouchID запись Keychain помещается вторая часть секрета, та, которую в предыдущем сценарии пользователь вводил с клавиатуры. При разблокировке Keychain две части секрета смешиваются, и дальше процесс работает так, как описано выше.

Зато пользователю стало невероятно удобно: он открывает приложение, прикладывает палец, сканирует QR-код на экране и оказывается аутентифицированным в браузере на компьютере! Так мы заменили фактор знания на биометрический и, с точки зрения пользователя, совсем отказались от паролей. Мы уверены, что обычным людям такая схема покажется куда более удобной, чем ручной ввод двух паролей.

Можно подискутировать, насколько формально двухфакторной является такая аутентификация, но на деле для успешного ее прохождения все еще необходимо иметь телефон и обладать правильным отпечатком пальца, так что мы считаем, что нам вполне удалось отказаться от фактора знания, заменив его биометрией. Мы понимаем, что полагаемся на безопасность ARM TrustZone , лежащей в основе iOS Secure Enclave , и считаем, что на настоящий момент эту подсистему можно считать доверенной в рамках нашей модели угроз. Разумеется, нам известны проблемы биометрической аутентификации: отпечаток пальца ─ не пароль и заменить его в случае компрометации нельзя. Но, с другой стороны, всем известно, что безопасность обратно пропорциональна удобству, и пользователь сам вправе выбрать приемлемое для него соотношение одного и другого.

Напомню, что пока это бета. Сейчас при включении двухфакторной аутентификации мы временно выключаем синхронизацию паролей в Яндекс.Браузере. Связано это с тем, как устроено шифрование базы паролей. Мы уже придумываем удобный способ аутентификации Браузера в случае 2FA. Вся остальная функциональность Яндекса работает в прежнем режиме.

Вот что у нас получилось. Кажется, вышло неплохо, но судить вам. Мы будем рады услышать отзывы и рекомендации, а сами продолжим работу над улучшением безопасности наших сервисов: теперь вместе с , и всего остального у нас появилась и двухфакторная аутентификация . Не забывайте, что сервисы аутентификации и приложения генерации OTP относятся к критичным и поэтому за обнаруженные в них ошибки в рамках программы Bug Bounty выплачивается двойная премия.

Теги:

• безопасность
• аутентификация
• 2FA

Двухфакторная аутентификация обеспечивает повышенный уровень безопасности по сравнению с традиционным паролем. Даже сложный и эффективный пароль может быть уязвимым для вирусов, кейлоггеров и фишинга-атак.

Вы можете включить двухфакторную аутентификацию на странице управления аккаунтом Яндекс . Чтобы настроить доступ по Яндекс.Ключу вам потребуется мобильное устройство Android или iOS.

После включения двухфакторной аутентификации:

• Вместо использования стандартного пароля для доступа к сервисам и приложениям Яндекс нужно будет вводить одноразовый пароль (например, для входа в аккаунт или изменения номера телефона). При использовании QR кода вам не придется вводить логин или пароли для входа в аккаунт Яндекс.
• Для сторонних мобильных приложений, компьютерных программ и почтовым клиентов нужно будет использовать отдельные пароли приложений.
• Страница восстановления к аккаунту Яндекс будет изменена.

Для включения двухфакторной аутентификации нажмите на ссылку “Настроить двухфакторную аутентификацию” на странице “Персональные данные” в разделе “Управление доступом” и выполните несколько шагов:

Если ваш номер телефона уже привязан к аккаунту, то подтвердите или измените его. Если номер телефона не указан, вам нужно его добавить, в противном случае, вы не сможете восстановить доступ к аккаунту.

Чтобы привязать новый номер или подтвердить номер телефона, запросите код и затем введите его в соответствующее поле. Затем нажмите кнопку “Подтвердите” и перейдите на следующий шаг.

2. Создайте ПИН-код .

Придумайте 4-значный ПИН-код и введите его для двухфакторной аутентификации.

Важно: вы не должны сообщать ПИН-код другим лицам. ПИН-код нельзя изменить. Если вы забудете свой ПИН-код, то приложение Яндекс.Ключ не сможет сгенерировать одноразовый пароль, вы сможете восстановить доступ к аккаунту только с помощью специалиста технической поддержки.

После ввода ПИН-кода, нажмите кнопку “Создать”.

Приложение Яндекс.Ключ требуется для генерации одноразовых паролей для аккаунта. Можно отправить ссылку для установки приложения прямо на экране настройки двухфакторная аутентификации, а можно загрузить приложение из магазина приложений App Store или Google Play.

Примечание: для работы Яндекс.Ключ может потребоваться доступ к камере устройства для распознавания штрихкодов (QR кодов).

В приложении Яндекс.Ключ нажмите кнопку “Добавить аккаунт в приложение”. Затем запуститься камера устройства. Просканируйте штрихкод, который показывается в браузере.

Если QR код невозможно распознать, нажмите кнопку “Показать секретный ключ” и нажмите в приложении “Добавить ключ вручную”. Вместо QR-кода в браузере будет показываться последовательность символов, которые нужно ввести в приложение.

После распознавания аккаунта, устройство попросит ввести ПИН-код, созданный на предыдущем шаге.

Чтобы удостовериться, что настройка прошла успешно, введите одноразовый пароль, сгенерированный на предыдущем шаге. Двухфакторная аутентификация будет включены только, если вы введете правильный пароль.

Просто введите ПИН-код, созданные на шаге 2 в приложение Яндекс.Ключ. Приложение сгенерирует одноразовый пароль. Введите его рядом с кнопкой “Включить”, а затем нажмите кнопку.

Примечание: вам нужно ввести одноразовый пароль до того, как он сменится на экране. Иногда лучше подождать создания нового пароля и ввести его.

Если вы ввели корректный пароль, то двухфакторная аутентификация для вашего аккаунта Яндекс.Паспорт будет включена.

Как отключить двухфакторную аутентификацию в Яндекс

1. Перейдите на вкладку “Управление доступом” в вашем аккаунте Яндекс.Паспорт.
2. Переместите переключатель в положение “Выкл”.
3. Откроется страница, на которой нужно ввести одноразовый пароль из приложения Яндекс.Ключ.
4. Если пароль введен корректно, пользователю будет предложено задать новый основной пароль для аккаунта.

Примечание: После отключения двухфакторной аутентификации, старые пароли приложений перестанут работать. Вам нужно будет создать новые пароли приложений, чтобы восстановить работоспособность связанных сервисов и приложений, например, почтовых клиентов.

Пользователь может настроить доступ сторонних приложений к аккаунту Яндекс с помощью паролей приложений. Обратите внимание, что каждый отдельный пароль приложения предоставляет доступ к какому-либо конкретному сервису. Например, пароль, созданный для почтового клиента, не позволит получить доступ к облачному хранилищу Яндекс.Диск.

Создать пароли приложений можно на вкладке “Управление доступом” в панели управления аккаунтом Яндекс.Паспорт. Переместите переключатель “Пароли приложений” в положение “Вкл”. Если включена двухфакторная аутентификация, то пароли приложений будут принудительно активированы, и их нельзя будет отключить.

Вам нужно будет создать отдельный пароль приложения для каждой сторонней программы, которая запрашивает пароль Яндекс, включая:

• Почтовые клиенты (Mozilla Thunderbird, Microsoft Outlook, The Bat! и др.)
• WebDAV клиенты для Яндекс.Диск
• CalDAV клиенты для Яндекс.Календарь
• Клиенты Jabber
• Приложения для импорта из других почтовых сервисов

Чтобы создать пароль приложения:

1. Перейдите на вкладку “Управление доступом” в панели управления аккаунтом Яндекс.Паспорт.
2. Включите опцию “Пароли приложений”, если она отключена (переключатель не будет отображаться, если вы не включили двухфакторную аутентификацию).
3. Нажмите "Получить пароль приложения"
4. Выберите сервис Яндекс, которому нужно получить доступ в приложении, и операционную систему.
5. Введите название приложения, для которого вы создаете пароль, и нажмите "Добавить".
6. Пароль будет показан на следующей вкладке. Нажмите "Готово".

Примечание: вы можете посмотреть сгенерированный пароль всего один раз. Если вы ввели пароль некорректно и уже закрыли окно, то удалите текущий пароль и создайте новый.

Здравствуйте, уважаемые друзья. Сегодня я расскажу, как настроить двухфакторную аутентификацию аккаунта Яндекс и установить пароль на Яндекс.Диск. Это позволит защитить основной аккаунт и повысить безопасность отдельных приложений Яндекса.

Защита личных данных это самая большая проблема в интернете. Зачастую пользователи пренебрегают правилами безопасности. Создают простые и одинаковые пароли для разных интернет-ресурсов, хранят их в электронных ящиках, пароли от которых тоже используют на других ресурсах. Это лишь малая доля распространённых ошибок.

Если злоумышленник получит доступ к одному из аккаунтов, под угрозой окажутся и другие ресурсы пользователя. А если учесть тот факт, что вирусы способны запоминать ввод паролей с клавиатуры, то ситуация покажется ещё печальнее. Вот поэтому каждый пользователь интернета должен следовать элементарным правилам безопасности:

— Создавать сложные пароли.

— Не использовать одинаковые пароли для разных интернет-ресурсов.

— Регулярно менять пароли.

А также использовать дополнительные способы защиты. Одним из таких способов является двухфакторная аутентификация аккаунта Яндекс.

Как работает двухфакторная аутентификация?

Как вы знаете для доступа в закрытую область, такую как электронная почта, административная панель сайта, аккаунты социальных сетей, необходимы логин и пароль. Но, это лишь один уровень защиты. Для того чтобы усилить защиту многие сервисы водят дополнительные способы аутентификации, такие как sms подтверждение, usb ключи мобильные приложения.

Я уже рассказывала вам о . Где в дополнение к логину и паролю, мобильное приложение генерирует код безопасности. Так вот двухфакторная аутентификация Яндекс работает примерно так же.

То есть, дополнительным уровнем защиты является мобильное приложение Яндекс.Ключ, которое отменяет старый пароль от аккаунта Яндекс и генерирует новый, одноразовый пароль каждые 30 секунд.

При таком уровне защиты, вход в аккаунт возможет только по одноразовому паролю или QR-коду.

Это просто достаточно выполнить определённые настройки и в будущем вы наводите камеру смартфона на QR-код и получаете доступ к аккаунту Яндекс.

А в случае если вы не можете использовать камеру смартфона или нет доступа к интернету, вы всегда можете воспользоваться одноразовым паролем, который генерируется в мобильном приложении даже без интернета.

Безопасность же самого мобильного приложения Яндекс.Ключ, обеспечивает PIN код, которые вы создаёте при подключении аккаунта к приложению.

Ну а если у вас смартфон или планшет Apple, вы можете использовать Touch ID вместо пин-кода.

Таким образом, доступ к вашим данным будет надёжнее закрыт.

Настройка двухфакторной аутентификации.

Для начала, на главной странице Яндекс войдите в свой аккаунт, традиционным способом. После чего нажмите на имя вашей учётной записи (название почтового ящика) и выберите пункт «Паспорт» .

На вновь открывшейся странице, нажмите на графический переключатель, напротив «Двухфакторная аутентификация» , а далее на кнопку «Начать настройку» .

Сама процедура настройки состоит из 4 шагов, которые нужно будет выполнить на компьютере и мобильном устройстве.

Шаг 1. Подтверждение номера телефона.

Если вы ранее привязали номер телефона к аккаунту Яндекса, то можно сразу получить код подтверждения. Если же нет, то вводите телефонный номер и нажимаете кнопку «Получить код» .

Код, придёт на указанный номер. Его нужно ввести в специальное поле и нажать кнопку «Подтвердить» .

Шаг 2. Пин-код для мобильного приложения.

На этом шаге необходимо придумать и дважды ввести пин-код для мобильного приложения. Именно этот код будет открывать доступ к приложению на смартфоне или планшете.

Вводите код и нажимаете на кнопку «Создать» .

Шаг 3. Установка мобильного приложения Яндекс.Ключ и добавление аккаунта.

Итак, со своего смартфона или планшета вы заходите в Google Play (для Android) и App Store (для яблочных гаджетов). Далее, скачиваете и устанавливаете приложение Яндекс.Ключ.

Открываете приложение и нажимаете на кнопку «Добавить аккаунт в приложение» .

Добавление аккаунта в мобильное приложение Яндекс.Ключ

После чего нужно будет навести камеру мобильного устройства на экран монитора, где на тот момент у вас будет отображаться QR-код. Наводите на этот код.

Итак, возвращаетесь к компьютеру, и нажимаете на кнопку «Следующий шаг» .

Шаг 4. Ввод пароля от мобильного приложения Яндекс.Ключ.

Дождавшись нового обновления ключа в мобильном приложении, вводите его на компьютере и нажимаете кнопку «Включить» .

После чего нужно будет ввести старый пароль от аккаунта Яндекс и нажать кнопку «Подтвердить» .

Завершение подключения двухфакторной аутентификации

Всё готово. Вы защитили свой аккаунт с помощью двухфакторной аутентификации. Теперь нужно заново зайти в аккаунт на всех устройства с использованием одноразового пароля или QR-кода.

Как войти в аккаунт с помощью Яндекс.Ключа.

Всё предельно просто. На главной странице Яндекса, в панели входа и регистрации, нажимаете на иконку троеточие (…), и в меню выбираете Я.Ключ.

Либо, вы можете использовать традиционный способ входа, с использованием логина (адрес почтового ящика) и пароля (одноразовый пароль мобильного приложения Яндекс.Ключ).

Как установить пароль на Яндекс.Диск.

Подключив двухфакторную аутентификацию, вы сможете создать отдельные пароли для сторонних приложений, которые подключаются к аккаунту. Этот механизм включается автоматически, после подключения.

Таким образом, вы будете использовать пароль, который подходит только для диска.

Использую разные пароли для приложений, вы усиливает рубеж защиты ваших данных.

Для создания пароля нужно перейти на страницу управления доступом , выбрать приложение, ввести название и нажать кнопку «Создать пароль» .

Пароль будет сгенерирован автоматически и отобразится лишь раз. Поэтому скопируйте этот пароль в надёжное место. В противном случае этот пароль нужно будет удалить и создать новый.

Теперь при подключении Яндекс.Диска через протокол WebDAV вы будете использовать именно этот пароль.

Примечание: пароли для приложений следует использовать, даже если вы отключите двухфакторную аутентификацию. Это позволит уберечь вас от раскрытия основного пароля к аккаунту Яндекс.

Как отключить двухфакторную аутентификацию.

Для того чтобы отключить двухфакторную аутентификацию нужно перейти на страницу управления доступом и нажать переключатель (Вкл/Выкл).

После чего ввести одноразовый пароль из мобильного приложения Яндекс.Ключ и нажать кнопку «Подтвердить» .

Создание нового пароля к аккаунту Яндекс

Теперь для входа в аккаунт вы будете использовать логин и пароль, как делали это ранее.

Важно: при отключении аутентификации, пароли, созданные для приложений, сбрасываются. Их следует создать заново.

А теперь предлагаю посмотреть видеоурок, где я наглядно показываю всю процедуру.

На этом у меня сегодня всё, друзья. Если у вас остались вопросы, с удовольствием отвечу на них в комментариях.

Я желаю вам успехов, до встречи в новых видеоуроках и статьях.

С уважением, Максим Зайцев.

Всем снова здравствуйте. Согласитесь, самое важное, во время работы в интернете — это безопасность. Ей нужно уделять особое внимание. Во время регистрации на важном сайте следует создать надежный пароль или воспользоваться . Поскольку чем сложней будет комбинация букв и цифр, тем трудней будет злоумышленникам его взломать. Однако, бывают случаи, когда хакерам удается получить доступ к вашему аккаунту, например, к вашей личной почте. Это очень печально: важная информация может оказаться в недобрых руках и ею могут воспользоваться против вас, переписка с вашими партнерами может и вовсе быть удалена и т.д. Одним словом, ваш аккаунт нужно беречь как зеницу ока.

Для повышения безопасности многие сервисы предлагают двухфакторную аутентификацию. Сегодня мы рассмотрим, что это такое на примере Яндекс почта.

При включении этой функции, злоумышленник, даже если верно подберет ваш основной пароль, не сможет попасть в ваш почтовый ящик. Поскольку для этого нужно будет указать случайный одноразовый пароль, который генерирует специальное приложение на вашем смартфоне или планшете. Сейчас мы постараемся подробно рассказать, как подключить двухфакторную аутентификацию в Яндекс. В дальнейшем подобный обзор будет по Google Mail и Mail.ru.

Итак, для подключения этой функции нам понадобится смартфон или планшет. Заходим в свой почтовый ящик Яндекс почты. Если у вас еще нет его, создайте. Как? Читайте в .

После того, как мы вошли в аккаунт, кликаем по своей учетной записи и выбираем пункт «Управление аккаунтом »

Откроется Яндекс паспорт со всевозможными настройками. В блоке «Управлением доступом » переходим по ссылке «Настроить двухфакторную аутентификацию »

Теперь нам предстоит пройти 4 шага.

1 шаг. Подтверждение номера вашего телефона .

Ваш аккаунт после включения новой функции будет привязан к вашему номеру телефона. Поэтому указывайте тот номер, к которому вы имеете свободный доступ. После этого нажимаем на кнопку «Получить код »

Через пару секунд придет смс-сообщение, где будет указан код, который мы вводим в поле…

… и нажимаем «Подтвердить »

Шаг 2. Пин-код .

Для того, чтобы приложение смогло сгенерировать одноразовый пароль, вам нужно ввести пин-код, тот, который мы сейчас укажем. Внимание!!! Запомните этот код и никому его не сообщайте. Даже если у вас украдут телефон, не зная вашего пин-кода злоумышленники не смогут воспользоваться этим приложением.

Вводим пин-код, затем повторяем. Для открытия символов, нажмите на глазик. Так вы сможете убедиться, что набрали все правильно. И жмем «Создать ».

Шаг 3. Мобильное приложение Яндекс Ключ.

На этом этапе нам нужно установить то самое приложение, которое и будет создавать одноразовые пароли. Нажимаем на кнопочку «Получить ссылку на телефон ».

Переходим по ней. Телефон на базе Android автоматически откроет сервис Google Play с предложением установить приложение Яндекс Ключ. Устанавливаем его.

Открываем Яндекс Ключ. После нескольких ознакомительных страниц вам предложат просканировать QR-код. Приложение попросит разрешение на доступ к вашей камере. Соглашаемся. Далее наводим камеру на экран монитора, так чтобы квадратик с QR-кодом попал в объектив камеры. Приложение автоматически просканирует и добавит ваш аккаунт. Если сканирование не удалось, можно вести секретный ключ. Для его просмотра кликните по ссылке «Показать секретный ключ » под QR-кодом. В приложении также выберите способ введения секретного ключа.

Теперь переходим к следующему шагу.

Шаг 4. Ввод одноразового пароля из Яндекс ключа .

Запускаем наше приложение на нашем гаджете. Сейчас нужно будет ввести свой пин-код. И после этого вы увидите тот самый случайный одноразовый пароль.

Пароль обновляется каждые 30 секунд. Поэтому успейте ввести его в поле до обновления и нажать кнопку «Включить ».

Все, мы подключили двухфакторную аутентификацию для своего аккаунта в Яндекс.

Давайте проверим, как это работает. Выходим из текущего аккаунта.

Теперь можно войти в свой аккаунт 2 способами. 1) вводим свой логин (или адрес электронной почты Яндекс) и далее вводим НЕ тот пароль, которым мы раньше использовали, постоянный, а ТОТ, который мы получаем в мобильном приложении Яндекс ключ после ввода пин-кода. И нажимаем кнопку Войти. Второй способ подразумевает вход с помощью QR-кода . Нажимаем на иконку в виде qr-кода (справа от кнопки Войти).

После чего мы попадаем на эту страницу

Следуем указаниям: запускаем Яндекс Ключ, вводим наш пин-код и далее выбираем «Войти по QR-коду »

Затем наводим камеру планшета или телефона на QR-код. Приложение сканирует код, и мы получаем доступ к своей почте.

Как отключить двухфакторную аутентификацию в Яндекс

Если по каким-то причинам вы решили отключить двухфакторную аутентификацию, то это можно сделать быстро и легко. Входим в свой почтовый ящик, переходим в Управление аккаунтом (где и как это сделать смотрите в начале данной статьи) и выключаем данную функцию.

На следующем шаге нам нужно ввести одноразовый пароль из приложения Яндекс Ключ

Вводим его и подтверждаем.

Создаем новый пароль (на этот раз постоянный), повторяем его и сохраняем.

Все, теперь наша двухфакторная аутентификация отключена. Для входа будет использоваться постоянный пароль, созданный на предыдущем шаге.

Итак, сегодня мы рассмотрели, как сделать более безопасным наш аккаунт в Яндекс почте, подключив к нему двухфакторную аутентификацию. А вы используете эту функцию? Поделитесь в комментариях.

А на сегодня это все. До новых встреч!

У каждого человека должна быть мечта. Мечта — это то, что движет человеком. Когда ты маленький, ты мечтаешь вырасти. Мечта должна сначала стать целью. Потом вы должны добиться своей цели. И у вас должна появиться новая мечта!

Внимание. Приложения, разработанные в Яндексе, требуют именно одноразового пароля - даже правильно созданные пароли приложений не подойдут.

1. Вход с помощью QR-кода
2. Перенос Яндекс.Ключа
3. Мастер-пароль
4. Как одноразовые пароли зависят от точного времени

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Одноразовый пароль нужно успеть ввести, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.

Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также оказываются некорректными и авторизоваться с ними не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.

Особенности одноразовых паролей:

Вход с помощью QR-кода

Некоторые сервисы (например, главная страница Яндекса, Паспорт и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

Нажмите на иконку QR-кода в браузере.

Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте , а затем перейти к нужному сервису.

Введите пин-код в Яндекс.Ключе и нажмите Войти по QR-коду .

Наведите камеру вашего устройства на QR-код, отображенный в браузере.

Яндекс.Ключ распознает QR-код и передаст в Яндекс.Паспорт ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически авторизуетесь в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.

Вход с аккаунтом Яндекса в стороннее приложение или сайт

Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают - для каждого такого приложения необходимо создать отдельный пароль приложения .

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, авторизоваться с ним не получится.

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Управление доступом и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок . Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса .

Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа на Яндекс. В этом случае будет необходимо восстанавливать доступ .

Отпечаток пальца вместо пин-кода

Отпечаток пальца вместо пин-кода можно использовать на следующих устройствах:

смартфоны под управлением Android 6.0 и сканером отпечатков пальца;

iPhone, начиная с модели 5s;

iPad, начиная с модели Air 2.

Примечание.

На смартфонах и планшетах с iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите мастер-пароль или измените пароль на более сложный: откройте приложение Настройки и выберите пункт Touch ID и пароль .

Чтобы воспользоваться включить проверку отпечатка:

Мастер-пароль

Чтобы дополнительно защитить ваши одноразовые пароли, создайте мастер-пароль: → Мастер-пароль .

С помощью мастер-пароля вы можете:

сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;

Резервная копия данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить их, если вы потеряли телефон или планшет с приложением. На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.

Чтобы получить данные из резервной копии, нужно:

иметь доступ к номеру телефона, который вы указали при ее создании;

помнить пароль, который вы задали для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для генерации одноразовых паролей. Пин-код, который вы задали, когда включали одноразовые пароли на Яндексе, необходимо помнить.

Удалить резервную копию с сервера Яндекса пока невозможно. Она будет удалена автоматически, если вы ей не воспользуетесь в течение года после создания.

Создание резервной копии

Выберите пункт Создать резервную копию в настройках приложения.

Введите номер телефона, к которому будет привязана резервная копия (например, «71234567890» «380123456789» ), и нажмите кнопку Далее .

Яндекс отправит код подтверждения на введенный номер телефона. Как только вы получите код, введите его в приложении.

Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.

Введите придуманный пароль два раза и нажмите кнопку Готово . Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и сообщит об этом.