Мобил 1 проверка на подлинность: Проверка телефона Huawei на подлинность по IMEI

IBKR — Android

Обзор:

На этой странице описаны конкретные моменты установки IBKR Mobile и использования мобильной аутентификации IBKR для целей аутентификации и использования протокола IB Key на устройствах Android. Общие вопросы по мобильной аутентификации IBKR можно найти в KB2260.

Содержание

Требования

• Должен быть установлен на телефоне Android без рутирования.
Версия Android устройства
• должна быть 6.0 или новее.

Установка

Вы можете загрузить приложение IBKR Mobile на свой смартфон прямо с;
Google Play Store , 360 Mobile Assistant или Baidu Mobile Assistant.

1. На телефоне Android нажмите на приложение Play Store .
2. Нажмите на строку поиска вверху , введите IBKR Mobile , затем нажмите Search .
3. Найдите приложение IBKR Mobile от Interactive Brokers Group , затем выберите его ( Рисунок 1. ).
4. Нажмите на Установите справа (Рисунок 2.) .
   
5. После завершения установки нажмите Открыть , чтобы запустить приложение IBKR Mobile .

Рисунок 1. Рисунок 2.

Активация

После того, как приложение будет установлено на вашем устройстве, вам нужно будет активировать его для имени пользователя, которое вы хотите зарегистрировать. Эта операция происходит полностью на вашем телефоне, требует доступа в Интернет и возможности получать SMS (текстовые сообщения).

1. На телефоне откройте приложение IBKR Mobile :

1.a. Если вы открываете IBKR Mobile впервые с момента его установки, переходите к шагу 2.

1.b. Если при открытии IBKR Mobile вы попадаете на экран входа в систему, нажмите Services в левом верхнем углу ( Рисунок 3. ) и перейдите к шагу 2.

1.c. Если при открытии IBKR Mobile вы попадаете на свою домашнюю страницу, портфолио, списки наблюдения или что-то подобное, коснитесь значка меню вверху слева ( Рисунок 4.). Затем нажмите Двухфакторная аутентификация ( Рисунок 5. ), затем нажмите Активировать IB-ключ ( Рисунок 6. ) и перейдите к шагу 2.

Рисунок 3. Рисунок 4. Рисунок 5.

Рисунок 6.

2. Нажмите Регистр двухфакторного ( Рисунок 7.), просмотрите инструкции и нажмите Продолжить ( Рисунок 8. ).

Рисунок 7. Рисунок 8.

3. Введите свой счет IBKR , имя пользователя и пароль , затем нажмите Продолжить .

Рисунок 9.

4. Номер мобильного телефона по умолчанию, зарегистрированный для вашей учетной записи, будет уже выбран.Если вы не можете получать текстовые сообщения (SMS) на этот номер, вам следует выбрать другой из списка (если применимо) или добавить новый. Чтобы добавить новый номер мобильного телефона, нажмите Добавить номер телефона , введите новый номер ¹ и соответствующую страну. После того, как вы выбрали предпочитаемый номер мобильного телефона из списка или добавили новый номер мобильного телефона, нажмите Получить код активации .

Рисунок 10.

5.Будет отправлено SMS-сообщение с кодом активации . Введите токен в поле Код активации , создайте PIN ² , затем нажмите Активировать .

Рисунок 11. Рисунок 12.

6. Вы получите сообщение о результате операции. Нажмите Готово , чтобы завершить процедуру (Рисунок 13.) .

Рисунок 13. Рисунок 14.

После активации аутентификации IB-ключа через IBKR Mobile вы можете закрыть приложение. См. Инструкции по эксплуатации ниже, чтобы узнать, как использовать IBKR Mobile для аутентификации.

Примечания:

1. Вы должны ввести свой номер телефона без префикса соединительной линии страны (123 вместо 1123 или 0123) и вводить только цифры без пробелов и специальных символов.
2. PIN должен состоять от 4 до 6 символов (буквы, цифры и специальные символы разрешены). Обратитесь к KB2269 за дополнительными инструкциями.

Эксплуатация

После активации вы можете использовать IBKR Mobile для аутентификации вашей попытки входа в систему следующим образом:
I ВАЖНОЕ ПРИМЕЧАНИЕ: Если у вас нет доступа в Интернет во время использования IBKR Mobile , обратитесь к разделу « Что делать, если я не получаю уведомление? »

1) Введите учетные данные своей учетной записи IBKR в свою торговую платформу или на экран входа в клиентский портал и нажмите Вход .Если ваши учетные данные были приняты, на ваш телефон будет отправлено уведомление.

Рисунок 15.

2) Проведите по телефону сверху вниз и проверьте панель уведомлений. Нажмите на уведомление IBKR Mobile . Если вы не получили уведомление, обратитесь к KB3234.

Рисунок 16.

3) Откроется приложение IBKR Mobile , в котором вам будет предложено ввести отпечаток пальца или PIN-код в соответствии с аппаратными возможностями вашего телефона.Предоставьте требуемый элемент безопасности.

Рисунок 17. Рисунок 18.

4) Если аутентификация прошла успешно, торговая платформа или процесс входа в клиентский портал автоматически перейдут к следующим этапам.

Рисунок 19.

Что делать, если я не получаю уведомление?

Если уведомление не доходит до вашего телефона, это может быть связано с тем, что уведомления отключены, нет доступа к Интернету или у вас плохое, нестабильное соединение.В этих случаях бесшовная аутентификация может быть недоступна, но вы все равно можете использовать ручной метод аутентификации запрос / ответ, как описано ниже:

1) На вашей торговой платформе или экране входа в клиентский портал щелкните ссылку « Щелкните здесь, если вы не получили уведомление» .

Рисунок 20.

2) На экране отобразится код Challenge .

Рисунок 21.

3) Запустите приложение IBKR Mobile на своем смартфоне, выберите Аутентифицировать (при необходимости), введите свой PIN и код Challenge , который вы получили в предыдущий шаг. Нажмите Создать код доступа .

Рисунок 22. Рисунок 23.

4) Отобразится строка ответа .

Рисунок 24.

5) Введите строку ответа в вашу торговую платформу или на экран входа в клиентский портал. Затем нажмите ОК .

Рисунок 25.

6) Если аутентификация прошла успешно, торговая платформа или процесс входа в клиентский портал автоматически перейдут к следующим этапам.

Рисунок 26.

Вернуться к началу

Артикул:

• См. KB2748 для получения инструкций по восстановлению мобильной аутентификации IBKR.
• См. KB3234 для устранения неполадок с отсутствующими уведомлениями IBKR Mobile
• См. KB2745 для получения инструкций о том, как очистить кеш для мобильного приложения IBKR.

Мобильный аутентификатор Steam Guard, бета

Вот и проблема: я не могу войти в систему, пока не получу в приложении для телефона код, который есть в приложении для телефона, в которое я не могу снова войти. У меня есть пароль, у меня есть имя пользователя, у меня есть доказательства того, что я являюсь пользователем, НО Я НЕ МОГУ ПРЕДОСТАВИТЬ КОД!

Перед тем, как все это произошло, я пытался найти код восстановления, который он мне дал, потому что телефон перешел в режим энергосбережения и выключил экран, но я не мог его вернуть. Затем я искал повсюду, и мне пришлось повторно войти на форумы, и я обнаружил, что мне нужен код приложения с этого момента.Значит, я облажался, если выйду из системы.

Но подождите, это еще не все, теперь на этом этапе приложение перестает выдавать мне какие-либо коды, будь то одноразовый код или код резервного копирования, который я пытался найти. Затем внезапно приложение упало, и это, в свою очередь, привело к перезагрузке моего телефона, заметьте, это могло быть телефонное обновление ОС, но когда он перезагрузился, я вышел из Steam на телефоне, и теперь, когда я пытаюсь получить его для входа в систему. Меня просят ввести код поверх пароля и имени пользователя, и поскольку я не могу его дать, так как мне нужно войти в систему, чтобы получить его в первую очередь.

Итак, я заблокирован и не могу получить код восстановления или отключить Steam Guard без единовременного кода для эфира или восстановления. И я не могу выключить свой компьютер из опасения, что выйду из системы и не смогу снова войти в систему даже для моих билетов поддержки.

И поскольку я не получаю электронные письма или даже SMS-сообщения на свой телефон с кодом, и я не могу найти способ заставить систему сделать это, мне как бы интересно, может ли кто-нибудь чертовски помочь меня с этим. Потому что прямо сейчас я не могу рискнуть выключить свой компьютер или выйти из системы через веб-страницу.Пожалуйста, помогите кому-нибудь! КТО УГОДНО!

Быстрая аутентификация с использованием мобильных устройств и QR-кодов

Isaac Potoczny-Jones

18 февраля 2014 г.: Этот проект недавно был преобразован в новую стартап-компанию Tozny — подробнее об этой технологии безопасного входа в систему мирового класса можно узнать на сайте www.tozny.com.

Введение

В этом сообщении блога мы предлагаем схему аутентификации с использованием QR-кодов и подключенных к Интернету смартфонов, чтобы позволить пользователю быстро войти на веб-сайт без необходимости запоминать или вводить имя пользователя и пароль.Пользователь должен только доказать, что у него есть мобильный телефон. Мы разработали демонстрационное приложение и веб-сайт для этого подхода, который вы можете попробовать, если у вас есть смартфон Android. Или вы можете посмотреть видео-демонстрацию. Мы также начали работу над черновиком протокола REST и приветствуем отзывы.

Работа предварительная, поэтому нам очень интересны отзывы о концепции и прототипе.

В общем, аутентификация может выполняться с использованием нескольких «факторов».Чем больше факторов используется, тем больше у веб-сайта уверенности в том, что они действительно идентифицировали пользователя:

• то, что знает пользователь , например пароль
• то, что есть у пользователя , например смарт-карта или криптографический ключ
• то, что есть пользователь , , например, отпечаток пальца пользователя
• местоположение пользователя
• и, вероятно, многие другие

Многие веб-сайты в настоящее время используют единственный фактор: пароль.Наша схема может использовать мобильный телефон как второй фактор или как единственный фактор: то, что у пользователя есть . Фактически использование мобильного телефона в качестве единственного фактора может быть более удобным для пользователя и в некоторых случаях более безопасным, чем пароль. Отличительной особенностью этого подхода является то, что это не только второй коэффициент , но также и второй канал . В отличие от таких систем, как Google Auth, пользователь вводит свои вторые учетные данные не через компьютер, а напрямую через сетевое соединение телефона.

О QR-кодах

— это двухмерные штрих-коды, которые могут содержать значительный объем информации, такой как общий ключ или файл cookie сеанса. Как показано на следующей фотографии, можно разместить QR-код на экране компьютера и отсканировать этот код с помощью мобильного телефона. Это очень распространенная вещь для пользователей Android, когда они хотят загрузить приложения, обнаруженные на своих компьютерах. Мы используем эту возможность для безопасного обмена секретной информацией между веб-сайтом и пользователем.

Пользовательский опыт

В этой схеме есть один шаг как для создания учетной записи, так и для последующего входа в систему: пользователь сканирует QR-код. Изменить: мы значительно изменили этот рабочий процесс. См. Черновик протокола на основе REST.

Создание учетной записи: Когда пользователь посещает веб-сайт в первый раз, сайт генерирует и отображает QR-код для входа в систему, а пользователь его сканирует. Для них создается учетная запись. Им не нужно создавать и записывать имя пользователя, пароль или любую другую информацию.

Вход в систему: Когда пользователь впоследствии посещает веб-сайт и ему необходимо войти в систему, на сайте отображается QR-код, который пользователь сканирует с помощью того же мобильного телефона. Пользователь входит в систему без необходимости помнить имя пользователя или пароль или даже помнить, посещали ли они этот веб-сайт раньше.

Пользователь может повысить безопасность, заблокировав свой телефон и зашифровав его данные. Поскольку веб-сайт и телефон могут обмениваться сложными данными, надежный пароль может быть сгенерирован и сохранен без необходимости запоминания пользователем.

В следующих разделах мы расширяем этот обмен, подробно описывая рабочий процесс, что хранится каждой стороной, какие атаки смягчаются и какие атаки не смягчаются.

Рабочий процесс создания учетной записи

1. Пользователь впервые посещает веб-сайт на своем компьютере.
2. Веб-сайт генерирует и отображает код аутентификации (AC), , который представляет собой QR-код.
   • Веб-сайт должен создать новый файл cookie сеанса , чтобы предотвратить атаки фиксации сеанса.
   • AC кодирует URL-адрес веб-сайта и случайный секрет . Это будет общий секрет . (РЕДАКТИРОВАТЬ: есть компромиссы, чтобы это стало общим секретом, и это увеличивает доверие к QR-коду и компьютеру пользователя. В некоторых обстоятельствах может быть лучше, чтобы приложение генерировало общий секрет.)
   • Случайный секрет связан с файлом cookie сеанса, хранящимся в браузере компьютера.
3. Пользователь сканирует код аутентификации с помощью « Animate Login App» (ALApp) .
4. ALApp декодирует AC и ищет веб-сайт в таблице паролей ALApp.
5. Поскольку веб-сайт отсутствует в таблице паролей ALApp, ALApp создает новую запись и сохраняет случайный секрет. (РЕДАКТИРОВАТЬ: вместо этого приложение должно сгенерировать новый случайный секрет. Он станет общим секретом . )
6. ALApp также генерирует случайный идентификатор пользователя или выбирает предпочтительное имя пользователя.
7. ALApp использует Интернет-соединение мобильного телефона для передачи общего секрета, случайного секрета, файла cookie сеанса и идентификатора пользователя на веб-сайт.
8. Веб-сайт проверяет, соответствует ли cookie сеанса случайному секрету. Этот случайный секрет может использоваться только для аутентификации этого файла cookie сеанса.
9. Веб-сайт создает учетную запись для пользователя и добавляет идентификатор пользователя вместе со случайным секретом в свою базу данных пользователей.
10. Веб-сайт отмечает файл cookie сеанса как аутентифицированный и перенаправляет браузер на аутентифицированную часть веб-сайта.

Рабочий процесс входа пользователя

1. Пользователь посещает веб-сайт на своем компьютере.

2. Веб-сайт генерирует и отображает код аутентификации (AC), cookie сеанса, и случайный секрет , как указано выше. (РЕДАКТИРОВАТЬ: использование как файла cookie сеанса, так и случайного секрета не требуется. Мы разъяснили это в черновике протокола.)

3. Пользователь сканирует код авторизации с помощью приложения Animate Login (ALApp).

4. ALApp декодирует AC и ищет веб-сайт в своей таблице паролей.

5. Поскольку на веб-сайте уже есть запись в таблице паролей ALApp, ALApp ищет общий секрет , и идентификатор пользователя .

6. ALApp использует подключение мобильного телефона к Интернету для передачи случайного секрета, общего секрета и идентификатора пользователя на веб-сайт.

7. Веб-сайт ищет идентификатор пользователя и проверяет общий секрет.

8. Веб-сайт проверяет, соответствует ли cookie сеанса случайному секрету.Этот случайный секрет может использоваться только для аутентификации этого файла cookie сеанса.

9. Веб-сайт помечает файл cookie сеанса как аутентифицированный и перенаправляет браузер на аутентифицированную часть веб-сайта.

Примечания к формату сообщения

• Поскольку никто не должен запоминать общий секрет, он может быть длинным и сложным, защищая от атак методом грубой силы и простого угадывания.
• Общий секрет может быть сгенерирован веб-сайтом, и поэтому следуйте политике сложности пароля этого сайта.Однако, если он включен в QR-код, код будет более чувствительным.
• Если на телефоне пользователя нет сигнала для подключения к Интернету, у пользователя есть резервная опция: ALApp отображает общий секрет, чтобы пользователь мог его ввести.
• Все сообщения должны использовать HTTPS для аутентификации веб-сайта для пользователя и смартфона.
• Идентификаторы пользователей могут быть случайными числами и могут генерироваться пользователем или веб-сайтом. В качестве альтернативы, пользователь может установить предпочтение в ALApp для своих любимых имен пользователей, и ALApp может согласовывать с веб-сайтом выбор имени пользователя.
• Идентификатором пользователя может быть адрес электронной почты.
• Во время создания учетной записи ALApp может быть проинструктирован предоставлять или не делиться информацией с веб-сайтом в зависимости от предпочтений пользователя. Например, ALApp может делиться адресом электронной почты, настоящим именем, фотографией и т. Д. Пользователя. С другой стороны, ALApp может использовать только случайно сгенерированное имя пользователя, которое нельзя привязать к именам пользователей на других веб-сайтах. Конечно, для некоторых сайтов может потребоваться дополнительная информация, и в таком случае пользователь может отказаться от создания учетной записи на этом веб-сайте.

Повышение безопасности с помощью другого фактора

Эта схема наиболее интересна (для нас) как однофакторная аутентификация для веб-сайтов, которые в настоящее время используют только комбинации имени пользователя и пароля. Эта схема позволяет быстро и легко входить на такие сайты. Однако эту схему можно использовать как однофакторную или как часть многофакторного входа в систему. Есть несколько способов добавить второй множитель:

• Веб-сайт может сохранять имя пользователя и пароль, как и раньше.Таким образом веб-сайт может обеспечить многофакторную аутентификацию.
• Пользователь может держать свой телефон заблокированным, запрашивая пароль для входа, графический ключ (как на Android) или другой способ разблокировки телефона. В этом случае пользователь несет ответственность за принятие решения об использовании второго фактора.
• Точно так же пользователь может хранить все общие секреты в зашифрованном виде на своем телефоне. Им потребуется мастер-пароль для шифрования и расшифровки этих секретов, поэтому процесс входа в систему будет немного медленнее, но им все равно нужно будет запомнить только один пароль.(РЕДАКТИРОВАТЬ: это реализует новейшая версия кода в репозитории git.)
• В качестве альтернативы, пользователь может выбрать, какие общие секреты они ценят наиболее высоко, а только шифрует эти пароли, позволяя им быстро входить на малоценные веб-сайты, а более дорогие веб-сайты только расшифровывая эти пароли.

Снижение атак и другие преимущества

• Поскольку общий секрет (пароль) не нужно запоминать или даже вводить человеком, он может быть длинным и сложным.Это снижает защиту от взломщиков паролей, таких как John the Ripper (Песляк, 2010) и Cain and Abel (Montoro, n.d.), как со стороны пользователя, так и со стороны веб-сайта. Это предотвратит атаки, подобные тем, которые используются для взлома паролей многих пользователей в базе данных паролей Gawker, описанной в (Kennedy, 2010).
• Поскольку пользователь не вводит свой пароль в компьютер, установленный вирусами кейлоггер или плечевой серфер не может перехватить его пароль.
• Точно так же пользователь может использовать ненадежный компьютер (например, в интернет-кафе или отеле), не раскрывая свой пароль.
• Фишинговый веб-сайт не может перехватить пароль пользователя, обманом заставив его ввести его. Телефон отправляет общий секрет, и отправляет его только на веб-сайт в своей базе данных.
• Поскольку пароль генерируется случайным образом, пользователь не будет повторно использовать пароли на разных веб-сайтах, поэтому взлом пароля на одном веб-сайте не приведет к эскалации привилегий на другом, опять же, как это произошло в разливе базы данных паролей Gawker (Помпео , 2010).
• Если пользователь решает использовать случайно сгенерированное имя пользователя, учетная запись пользователя на одном веб-сайте не может быть связана с учетной записью пользователя на другом веб-сайте, как это опять же произошло при разливе базы данных паролей Gawker.
• У пользователей есть больше возможностей для обеспечения конфиденциальности, так как им легче генерировать и вспоминать случайные пароли.
• Пользователь не потеряет доступ к веб-сайту, потому что не может вспомнить пароль.
• Поскольку код аутентификации отправляется в зашифрованном виде, и веб-сайт аутентифицируется для пользователя через HTTPS, случайный секрет не может быть перехвачен для аутентификации сеанса другого пользователя.
• В некоторых отношениях этот подход похож на браузер, хранящий пароли от имени пользователя.Основное преимущество этого подхода заключается в том, что можно легко перемещать идентификаторы между машинами.
• Наконец, процесс входа в систему быстрее и проще, чем ввод имени пользователя и пароля.

Уязвимости

• Эта схема не предотвращает атаки типа «злоумышленник в середине»; их необходимо смягчить с помощью HTTPS.
• Edit: уязвимость, указанная Майклом Чанненом, представляет собой вариант фиксации сеанса, требующий фишинг-атаки. Злоумышленник генерирует AC для целевого сайта и, следовательно, знает cookie сеанса.Злоумышленник обманом заставляет пользователя посетить менее надежный сайт и пытается войти на него. Злоумышленник помещает AC для целевого сайта на (поддельный) менее надежный сайт. Пользователь сканирует AC, аутентифицируя злоумышленника на целевом сайте. Это можно смягчить двумя способами: 1) потребовать, чтобы пользователь выбрал сайт, на который он входит в ALApp, или 2) подтвердил пользователю сайт, на который он входит, перед отправкой общего секрета.
• Если телефон потерян или поврежден, пользователь не сможет получить доступ к своим веб-сайтам.Этого можно избежать, сохранив адрес электронной почты пользователя для сброса пароля или авторизовав новый телефон. Другой вариант — зашифровать базу паролей телефона и сохранить ее в облаке или сделать ее резервную копию.
• Если телефон украден, злоумышленник может выдать себя за пользователя; поэтому, скорее всего, желательно зашифровать общие секреты на телефоне и аутентифицировать пользователя в телефоне с помощью одного пароля, как указано выше. Это может быть необязательно для веб-сайтов, не представляющих большой ценности для пользователя.
• Если телефон украден, может быть желательно отозвать сразу все связанные пароли, а не выполнять индивидуальный вход на разные веб-сайты.
• При использовании ненадежного компьютера (компьютер с вирусом или в холле отеля) учетная запись пользователя остается уязвимой, пока сеанс активен.
• Многие из этих уязвимостей эквивалентны любой системе, хранящей пароли пользователей на их телефонах.

Связанные системы аутентификации

• ALApp может быть интегрирован с клиентом InfoCard / CardSpace на телефоне.
• Как и любой другой механизм аутентификации, он может использоваться для аутентификации провайдера OpenID.
• Рабочий процесс можно изменить для использования инфраструктуры открытого ключа вместо общих секретов. Это может обеспечить более плавный отзыв путем выдачи сертификата отзыва в случае кражи телефона.

Примечания к демонстрационной системе

Мы внедрили демонстрационную систему, с которой вы можете попробовать поэкспериментировать с этим методом входа в систему. Она имеет ряд ограничений, наиболее очевидным из которых является то, что ее можно использовать только для входа на демонстрационный веб-сайт; он запомнит только одно имя пользователя и пароль.Мы реализовали вход на веб-сайт, создав модуль Drupal в надежде, что в конечном итоге станет возможным разрешить этот тип входа, установив модуль. Не все функции, обсуждаемые в этой статье, присутствуют в текущей версии модуля. Мы планируем выпустить модуль и приложение с открытым исходным кодом.

Одной из привлекательных особенностей этой схемы является то, что веб-сайтам не нужно отказываться от использования файлов cookie, имен пользователей и паролей, поэтому их внутренняя функциональность не должна изменяться, только процесс входа в систему.

Zebra Crossing (ZXing) — это считыватель QR-кода на Android, который можно легко интегрировать с другими приложениями, такими как ALApp.

OI Safe — это зашифрованное хранилище паролей на Android, которое имеет API, позволяющий другим авторизованным приложениям, таким как ALApp, хранить и извлекать пароли (Potoczny-Jones, 2009).

Сопутствующие работы

Требуется много работы по использованию мобильных телефонов в качестве фактора аутентификации. Веб-приложения Google можно настроить для использования второго фактора: либо приложение, установленное на телефоне, либо текстовое сообщение, отправленное на телефон (Feigenbaum, 2010).В каждом случае пользователю предоставляется код, который он вводит на веб-сайте. Предлагаемая нами схема не требует от пользователя вводить что-либо на веб-сайте. Он также использует отдельный канал и, таким образом, в некоторой степени снижает риск атак типа «человек в браузере».

Liao & Lee (2010) предлагают систему аутентификации с помощью QR-кода для генерации одноразовых паролей. Их система более сложна, поскольку она обеспечивает взаимную аутентификацию (мы используем HTTPS) и все же требует некоторого безопасного канала между веб-сайтом и мобильным приложением.

Safelayer описывает аналогичную систему аутентификации с использованием асимметричного шифрования (Safelayer, n.d.). Однако это описывается как многофакторная система, и веб-сайты должны модифицировать свои серверные системы для использования пар открытых / закрытых ключей. Предлагаемая нами система по-прежнему использует простые комбинации имени пользователя и пароля.

Система аутентификации транзакций на ненадежных терминалах с использованием QR-кодов описана в (Starnberger, Froihofer and Goeschka, 2009), но также использует PKI и требует от пользователя ввода кода в компьютер после того, как смартфон выполнит вычисление.

Заключение

Мы ждем отзывов об этом подходе. Если вы заметили какие-либо проблемы с безопасностью, сообщите нам об этом. РЕДАКТИРОВАТЬ: Мы получили много хороших отзывов. По netsec на Reddit прошла хорошая дискуссия, в основном положительная.

Мы обрисовали схему, согласно которой мобильный телефон может использоваться в качестве механизма аутентификации с использованием QR-кодов. Эта схема может позволить пользователям входить на веб-сайт, используя один шаг: сканирование QR-кода со своих мобильных телефонов. В качестве альтернативы эту схему можно использовать как один из факторов многофакторной аутентификации.

QR-коды, многофакторная аутентификация и подключенные к Интернету смартфоны «витают в воздухе», и другие, вероятно, придумали аналогичные схемы. Мы написали эту статью, потому что не нашли другого описания такой системы и не видели ни одного в дикой природе. В основном мы хотели бы, чтобы использовали такую ​​систему , так как это повысит безопасность и удобство в Интернете, поэтому, пожалуйста, реализуйте это и выпустите его с открытым исходным кодом или помогите нам в этом 🙂

Список литературы

Фейгенбаум, Э.(2010). Более безопасное облако для миллионов пользователей Google Apps. Официальный корпоративный блог Google. Получено с http://googleenterprise.blogspot.com/2010/09/more-secure-cloud-for-millions-of.html

Кеннеди, Д. (2010). Реальные уроки беспорядка безопасности Gawker, Брандмауэр. Forbes. Получено с http://blogs.forbes.com/firewall/2010/12/13/the-lessons-of-gawkers-security-mess/

Ляо, К., и Ли, В. (2010). Новая схема аутентификации пользователей на основе QR-кода. Журнал сетей, вып.5, вып. 8. Получено с http://www.academypublisher.com/ojs/index.php/jnw/article/viewFile/0508937941/2055

Монторо, М. (нет данных). Руководство пользователя Cain & Abel. Получено с http://www.oxid.it/ca_um/

Песляк А. (2010). Руководство пользователя John the Ripper. Получено с http://www.openwall.com/john/doc/CREDITS.shtml

Помпео, Дж. (2010). Утечка паролей Gawker вызывает проблемы в Gmail и Twitter [запись в веб-журнале]. Получено с http://news.yahoo.com/s/yblog_thecutline/20101213/bs_yblog_thecutline/leaked-gawker-passwords-cause-problems-on-twitter-gmail

Поточны-Джонс, И.(2009). CryptoIntents, обсуждение криптографии и намерений хранилища ключей в OI Safe. Получено с https://code.google.com/p/openintents/wiki/CryptoIntents

Сейф. (нет данных) QR-Scan OTP: эргономичная аутентификация. Получено с http://sandbox.safelayer.com/index.php?option=com_content&view=article&id=466%3Aqr-scan-otp-ergonomic-authentication&catid=1%3Asemantic-web-trust-portal&Itemid=2&lang=en

Штарнбергер Г., Фройхофер Л., Гёшка К. М.(2009). QR-TAN: безопасная аутентификация мобильных транзакций. Компьютерное общество IEEE. Получено с http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.149.2315&rep=rep1&type=pdf

Что такое аутентификация Amazon Cognito | Внешний интерфейс для Интернета и мобильных устройств

Amazon Cognito помогает создавать уникальные идентификаторы для конечных пользователей, которые будут согласованы на всех устройствах и платформах. Cognito также предоставляет вашему приложению временные учетные данные с ограниченными правами для доступа к ресурсам AWS.Сегодня я расскажу об основах работы аутентификации в Cognito и объясню жизненный цикл идентификатора в вашем пуле идентификаторов.

Основной поток аутентификации

Как указывалось в предыдущих сообщениях в блоге, пользователь, аутентифицирующийся через Cognito, будет выполнять трехэтапный процесс загрузки своих учетных данных:

1. GetId
2. GetOpenIdToken
3. AssumeRoleWithWebIdentity

По завершении этого трехэтапного процесса они смогут получить доступ к другим сервисам AWS, которые были определены в политиках доступа вашей роли.

GetId

GetId API-вызов — это первый вызов, необходимый для установления новой личности в Cognito.

Доступ без аутентификации

Одна из лучших функций Cognito — это возможность разрешить «гостевой» доступ без аутентификации в ваших приложениях. Если эта функция включена в пуле идентификаторов, пользователи могут запросить новый идентификатор идентификатора в любое время через API GetId . Ожидается, что приложение будет кэшировать этот идентификатор личности для последующих вызовов Cognito (у AWS SDK для iOS, AWS SDK для Android и AWS SDK для JavaScript в браузере есть поставщики учетных данных, которые обрабатывают это кеширование за вас).

Доступ с аутентификацией

Когда вы настроили свое приложение с поддержкой общедоступного провайдера входа (Facebook, Google+, Login with Amazon), пользователи также смогут предоставлять токены (OAuth или OpenID Connect), которые идентифицируют их у этих провайдеров. При использовании в вызове GetId Cognito либо создаст новый аутентифицированный идентификатор , либо вернет идентификатор, уже связанный с этим конкретным логином. Cognito делает это, проверяя токен у поставщика и гарантируя, что:

1. Токен действительный и от настроенного провайдера.
2. Срок действия токена не истек.
3. Маркер соответствует идентификатору приложения, созданному этим поставщиком (например, идентификатору приложения Facebook).
4. Маркер соответствует идентификатору пользователя.

GetOpenIdToken

Вызов API GetOpenIdToken вызывается после того, как у нас есть установленный идентификатор личности. Если у нас есть кэшированный идентификатор личности, это может быть первый вызов, который мы делаем во время сеанса приложения.

Доступ без аутентификации

Если у нас нет аутентифицированного удостоверения, все, что необходимо для получения токена для этого удостоверения, — это сам идентификатор удостоверения.Если идентификатор аутентифицирован (или отключен), получить неаутентифицированный токен для этого идентификатора невозможно.

Доступ с аутентификацией

Если у нас есть аутентифицированное удостоверение, мы должны передать хотя бы один действительный токен для входа в систему, уже связанного с этим удостоверением. Все токены, переданные во время вызова GetOpenIdToken , должны пройти ту же проверку, о которой говорилось ранее; если какой-либо из них не удается, весь вызов не выполняется. Ответ на вызов GetOpenIdToken также включает идентификатор личности.Это связано с тем, что в случае аутентификации переданный вами идентификатор личности может не совпадать с возвращаемым.

Связывание логинов

Если мы передаем токен входа в систему, еще не связанный с каким-либо идентификатором , этот вход считается «связанным» с соответствующим идентификатором. Вы можете связать только один логин на общедоступного провайдера , попытки связать более одного приведут к ResourceConflictException . Если логин просто связан с существующим идентификатором, идентификатор идентификатора, возвращенный из GetOpenIdToken , будет таким же, как и переданный.

Объединение идентичностей

Если мы передадим токен входа в систему, который в настоящее время не связан с данным идентификатором, но связан с другим идентификатором , эти два идентификатора будут объединены . После слияния один идентификатор становится родительским / владельцем всех связанных логинов, а другой — отключен . В этом случае возвращается идентификатор родителя / владельца. Ожидается, что вы обновите свой локальный кеш, если это значение отличается (это выполняется за вас, если вы используете поставщиков в iOS SDK, Android SDK или JavaScript SDK).

AssumeRoleWithWebIdentity

Когда у нас есть токен OpenID Connect, мы можем обменять его на временные учетные данные AWS через вызов API AssumeRoleWithWebIdentity в STS. Этот вызов ничем не отличается от использования Facebook, Google+ или входа через Amazon напрямую, за исключением того, что мы передаем токен Cognito вместо токена от одного из других общедоступных провайдеров.

Поскольку ограничений на количество создаваемых удостоверений нет, важно понимать, какие разрешения предоставляются вашим пользователям.Команда Cognito рекомендует иметь две разные роли для вашего приложения: одну для пользователей, не прошедших аутентификацию, и одну для пользователей, прошедших аутентификацию. Консоль Cognito создаст их по умолчанию при первой настройке пула идентификаторов. Политика доступа для этих двух ролей будет точно такой же: она предоставит пользователям доступ к сервису Amazon Cognito Sync, а также возможность отправлять события в Amazon Mobile Analytics. Приглашаем вас изменить эти роли в соответствии со своими потребностями.

Доверие ролей и разрешения

Эти роли различаются между собой в их доверительных отношениях . Давайте посмотрим на пример политики доверия для роли, не прошедшей проверку подлинности:

{
  «Версия»: «2012-10-17»,
  "Утверждение": [
    {
      "Сид": "",
      «Эффект»: «Разрешить»,
      "Директор": {
        "Федеративный": "ognito-identity.amazonaws.com "
      },
      "Действие": "sts: AssumeRoleWithWebIdentity",
      "Состояние": {
        "StringEquals": {
          «когнитоидентичность.amazonaws.com:aud ":" us-east-1: 12345678-dead-beef-cafe-123456790ab "
        },
        "ForAnyValue: StringLike": {
          "cognito-identity.amazonaws.com:amr": "не аутентифицировано"
        }
      }
    }
  ]
}
 

Эта политика определяет, что мы хотим разрешить федеративным пользователям из cognito-identity.amazonaws.com (эмитент токена OpenID Connect) брать на себя эту роль. Кроме того, мы делаем ограничение, что и токена, в нашем случае идентификатор пула идентификаторов, соответствуют нашему пулу идентификаторов.Наконец, мы указываем, что amr токена содержит значение unauthenticated .

Когда Cognito создает токен, он устанавливает amr токена как без проверки подлинности или с проверкой подлинности , а в случае с проверкой подлинности будет включать любых поставщиков, используемых во время проверки подлинности. Это означает, что вы можете создать роль, которая доверяет только пользователям, которые вошли в систему через Facebook, просто изменив пункт amr , чтобы он выглядел следующим образом:

"ForAnyValue: StringLike": {
  «когнитоидентичность.amazonaws.com:amr ":" graph.facebook.com "
}
 

Будьте осторожны при изменении доверительных отношений в ролях или при попытке использовать роли в пулах удостоверений. Если ваша роль не настроена так, чтобы правильно доверять пулу удостоверений, вы увидите исключение из STS, например:

AccessDenied - не авторизован для выполнения sts: AssumeRoleWithWebIdentity
 

Если вы видите это, дважды проверьте, что вы используете подходящую роль для вашего пула удостоверений и типа аутентификации.

Заключение

Я надеюсь, что это проясняет, как работает аутентификация Cognito и как поставщики учетных данных в различных SDK могут обрабатывать эти детали за вас. Если у вас есть какие-либо комментарии или вопросы, пожалуйста, оставьте комментарий здесь или посетите наш форум, и мы постараемся вам помочь.

Сервер аутентификации OpenOTP — RCDevs

Мобильная аутентификация в одно касание

RCDevs OpenOTP Token для Android и IOS обеспечивает удобные рабочие процессы аутентификации с помощью мобильных push-уведомлений.Наш программный токен также был разработан для лучшего взаимодействия с пользователем с двумя дополнительными режимами работы: в стандартном режиме токен получает уведомление во время процесса входа в систему и отображает детали транзакции с кодом OTP. Для большего удобства он может дополнительно озвучивать OTP. Конечно, голосовые коды не могут быть подделаны и могут использоваться только для текущей пользовательской транзакции. Затем идет режим Simple-Push, в котором токен отображает детали транзакции и ожидает одобрения пользователя одним нажатием (с «Утвердить / Отклонить»).Лучше всего то, что наш токен может обеспечить биометрическую разблокировку и смягчение фишинговых атак путем проверки местоположения доступа пользователей.

Пароли приложений

Пароли приложений — это длинные случайные ключи, которые могут быть созданы пользователями в самообслуживании и специфичны для клиентского приложения. Эти ключи можно использовать как замену логину по умолчанию, если приложение не поддерживает OTP или U2F. Типичный вариант использования — это почтовый сервер, доступ к которому осуществляется через мобильные устройства.Почтовые клиенты на устройствах настроены с использованием пароля приложения почтового сервера, чтобы избежать ввода пароля OTP при каждом подключении.

Контекстная аутентификация

Контекстная аутентификация OpenOTP может разумно снизить требования к безопасности для входа пользователя в систему при проверке доверенного контекста. Доверенный контекст входа в систему основан на IP-адресах пользователя в сочетании с отпечатками пальцев клиентского устройства.Если контекст входа является доверенным, пользователь входит в систему с использованием единственного фактора (пароля домена). Если происходит сбой входа в систему, снова применяется многофакторность.

Предоставление ключа QRCode

Благодаря предоставлению ключей OpenOTP QRCode самостоятельная регистрация токенов еще никогда не была такой простой. Не требуется ручная настройка токена или ввод секретного ключа: с помощью Google Authenticator или FreeOTP пользователи регистрируют свой программный токен, просто сканируя регистрационный QR-код на своем iPhone или мобильном устройстве Android.Используя другие программные токены, пользователи просто сканируют отображаемый токен-ключ с помощью считывателя штрих-кода и копируют / вставляют его в свой токен-ключ для регистрации.

Двухфакторная аутентификация | Информация о безопасности

Для повышения уровня онлайн-безопасности Компания (кроме Po Sang) предоставляет клиентам полный набор инструментов двухфакторной аутентификации для защиты назначенных транзакций и определенных инвестиционных транзакций *, выполняемых клиентами через Интернет / мобильный банк.

Типы средств двухфакторной аутентификации:

«Мобильный токен»

«Мобильный токен» — это встроенная функция мобильного банкинга BOCHK. Как только «Мобильный токен» будет активирован, вы избавитесь от необходимости носить с собой отдельное физическое «Устройство безопасности», чтобы по-настоящему насладиться удобным и безопасным банковским делом.

После активации «Мобильного токена» на совместимом мобильном устройстве вы можете подтвердить назначенные транзакции мобильного банкинга или назначенные инвестиционные транзакции * с помощью предварительно установленного кода доступа или с помощью «Биометрической аутентификации».Кроме того, вы также можете подтвердить определенные транзакции в интернет-банке или определенные инвестиционные транзакции *, создав одноразовый «Код безопасности» / «Код подтверждения транзакции» с помощью «Мобильного токена».

Характеристики:

Биометрическая аутентификация

Вы можете зарегистрировать «Биометрическую аутентификацию» (напр.г. Fingerprint, Face ID) на вашем мобильном устройстве для следующих услуг при активации «Mobile Token»:

• Вход в Мобильный банк
• Включите «Мобильный токен» для подтверждения назначенных транзакций мобильного банкинга или определенных инвестиционных транзакций *
• Включите «Мобильный токен», чтобы генерировать одноразовый «Код безопасности» / «Код подтверждения транзакции» для подтверждения назначенных транзакций в интернет-банке или определенных инвестиционных транзакций *

Активация мобильного токена

Частные клиенты:

Корпоративным клиентам:

Требования к операционной системе и совместимое мобильное устройство:

Скачать Mobile Banking:

Загрузите BOCHK Mobile Banking сейчас, чтобы активировать «Мобильный токен»

Очков для заметок по «Мобильному токену»:

• Из соображений безопасности клиент может активировать «Мобильный токен» только на одном мобильном устройстве.