Как работает аутентификация Яндекса через QR-код?

Question

[krv2k]

Пытаюсь разобраться с вариантами аутентификации в Яндексе, и никак не могу найти ответ что же происходит при использовании входа с помощью QR-кода (вопрос к режиму "Пароль + одноразовый пароль" как на скрине). Прочитал всю документацию, но такое ощущение, что она не совсем актуальная, да и ответа на мой вопрос в ней в принципе нет.

- Если входим по логину и паролю, то нужно еще ввести одноразовый код. Здесь все понятно, вопросов нет.
- Если входим по QR-коду, то никаких паролей не запрашивается и сразу выполняется вход.

К тому же, в документации к способам входа "Пароль + одноразовый пароль" и "Одноразовый пароль" почему-то один и тот же текст для описания входа по QR-коду:

Если приложение Яндекс Ключ распознает QR-код, то передаст в Яндекс ваш логин и одноразовый пароль и вы автоматически войдете в браузере.

Как это понимать? Не сервер при любых настройках просто отправляется одноразовый код?

https://yandex.ru/support/id/ru/auth
https://yandex.ru/support/id/ru/authorization/twofa

Также еще есть второй бонусный вопрос. Почему в настройках (см. скрин) нет варианта "Одноразовый пароль"? Это у меня какие-то ограничения или такую возможность убрали?

Answer 1

[knigaman]

Абсолютно банально работает эта схема. На бекэнде генерируется токен который отправляется в браузер и из него формируется QR код который ты и видишь. Каждую секунду (или другой промежуток времени) браузер делает запрос на сервер с этим токеном и ждет команды на вход в аккаунт или какое-то другое действие (к примеру отклонение входа или устаревание токена и, соответственно, QR кода - это нужно чтобы иногда менять QR коды в целях безопасности). Если мы со своей мобилы сканируем QR код и одобряем вход то с мобилы летит на бекэнд команда для одобрения входа. Когда браузер снова обратится на бекэнд с токеном то бекэнд поймет что этот токен одобрен и выдаст сессию браузеру (кукисы или jwt токены или еще что).

В целом это все, дальше уже различные нюансы. Ежесекундные запросы можно заменить на лонгпулинг или вебсокеты. Можно сделать нехранимые токены чтобы не засорять базу при каждом посещении страницы входа, можно показывать карту с точкой откуда происходит вход, расшифровывать user-agent чтобы показывать какое устройство входит и т.д. и т.п. Но в общем схема выглядит именно так.

UPD: Тут важный нюанс: если мы показываем токен в QR коде и потом им же стучимся на бекэнд за сессией то возникает уязвимость - любой прохожий отсканирует этот QR код и начнет в своем браузере стучаться с этим же токеном, ты одобряешь вход и в состоянии гонки злоумышленник может достучаться первым до бекэнда и перехватить твою сессию, а ты останешься с носом. Поэтому нужно генерировать пару открытый токен-закрытый токен. Открытый будет загоняться в QR код, а по закрытому будем стучаться к бекэнду за сессией. В этом случае не залазя в устройство перехватить вход будет невозможно.

Comments

[krv2k]

с мобилы летит на бекэнд команда

Вот тут поподробней. На каком основании бекэнд "слушается" эту команду? Например, если используется 2FA с одноразовыми кодами, то этот бекэнд уже получил от нас "пароль" и ожидает кода. Но здесь как оно работает? Что-то типа Passkey или что-то другое?

[Довольный Айтишникъ]

krv2k, приложение на телефоне сканируя qr код расшифровывает токен, который в нём зашит, добавляет одноразовый пароль, который в этот момент времени сгенерирован приложением и отправляет на сервер с меткой времени. Это минимально рабочий вариант, но что именно мог придумать Яндекс - никто сказать не сможет.

[Василий Банников]

Довольный Айтишникъ, вполне можно сказать, если подслушать, что там отправляет приложение на сервер

[knigaman]

krv2k, вот бекэнд сгенировал какой-то токен к примеру "5eb63bbbe01eeed093cb22bb8f5acdc3" (это простой md5 от строки hello world, это так чисто для примера, токен на самом деле рандомный) и отправил этот токен в твой браузер, а твой браузер уже этот токен загнал в QR код и показал тебе. Далее ты берешь телефон и сканируешь этот QR код в приложения яндекса и этот токен отправляется на сервер с пометкой "все хорошо, пользователь подтвердил вход, когда в следующий раз какой-то браузер постучится к тебе с этим токеном - выдай ему сессию". Твой браузер по интервалу стучится на бекэнд с этим токеном и получает в ответ данные о сессии и переходит в статус "Аутентифицировано".

Тут важный нюанс: если мы показываем токен в QR коде и потом им же стучимся на бекэнд за сессией то возникает уязвимость - любой прохожий отсканирует этот QR код и начнет в своем браузере стучаться с этим же токеном, ты одобряешь вход и в состоянии гонки злоумышленник может достучаться первым до бекэнда и перехватить твою сессию, а ты останешься с носом. Поэтому нужно генерировать пару открытый токен-закрытый токен. Открытый будет загоняться в QR код, а по закрытому будем стучаться к бекэнду за сессией. В этом случае не залазя в устройство перехватить вход будет невозможно.

[krv2k]

а по закрытому будем стучаться к бекэнду за сессией

- Это предположение или так и работает?
- Как закрытый токен попадет на телефон, чтобы он мог его отправить на бекэнд?

[GavriKos]

krv2k,

- Как закрытый токен попадет на телефон, чтобы он мог его отправить на бекэнд?

Вы ведь на телефоне должны быть авторизированы в приложении яндекса. ВОт так и попадает - через эту сессию авторизации. Это как вариант. Можно чтобы вообще не попадал никак - например используется опять таки ваш аккаунт в котором вы авторизированы на телефоне как seed рандома

[krv2k]

GavriKos,

на телефоне должны быть авторизированы в приложении яндекса

Правильно ли я понимаю, что здесь просто с помощью одной открытой сессии авторизуется другая на другом устройстве? Это предположение или Яндекс именно так и работает?

[GavriKos]

krv2k, кроме разработчиков яндекса на 100% вам никто не скажет как что там работает.
Но да, я лично предполагаю что кейс именно такой - с помощью одной открытой сессии авторизуется другая. Ведь вы QR-код сканируете именно в приложении яндекса, а не просто условно камерой.

[krv2k]

GavriKos, смущает описание в документации:

Если приложение Яндекс Ключ распознает QR-код, то передаст в Яндекс ваш логин и одноразовый пароль и вы автоматически войдете в браузере.

Но, возможно, оно просто неполное или излишне упрощенное. Жаль, конечно, что нет полноценного описания.

[GavriKos]

krv2k, а что смущает? Это же именно "с помощью одной сессии авторизируется другая".

[krv2k]

GavriKos, смущает то, что, судя по описанию, передается логин и какой-то одноразовый пароль (исходя из названия, это код TOTP), хотя нужно передавать идентификатор для второй сессии, который зашит в QR-коде.

[GavriKos]

krv2k, я уверен на 99% что он передается и это просто не указано в доках. Но - помимо идентификатора передаются и авторизационные данные для него.

Документация яндекса да, местами не оч

[krv2k]

GavriKos, спасибо за помощь.