Подтверждение платежей fido или ifaa что это
Блокировка и защита смартфона Xiaomi
В целях защиты личных данных и ограничения доступа к ним посторонних лиц настоятельно советую обратить особое внимание настройкам безопасности и защиты в вашем телефоне. В будущем они могут предотвратить потерю паролей, личных фото, денег в интернет банке при потере или краже смартфона.
Все настройки безопасности расположены здесь: Настройки > Блокировка и защита.
Биометрия
Если в вашем телефоне установлен сканер отпечатков пальцев или используется распознавание лиц, обязательно используйте эту защиту.
Управление отпечатками. Добавьте свой отпечаток пальца для разблокировки телефона. Для этого приложите палец к сканеру несколько раз (почувствуете вибрацию). Затем немного сместите палец для записи краев вашего отпечатка. Можно добавить несколько отпечатков, например для нескольких членов семьи (родители и ребенок). Ненужные отпечатки в дальнейшем можно удалить.
Установите, в каких случаях будет запрашиваться отпечаток пальца, для подтверждения каких действий:
Добавить данные лица. Разблокировка по лицу. Это менее безопасный способ, чем использование кода или графического ключа. Телефон можно разблокировать с помощью вашей фотографии, а также людьми с похожей внешностью.
Перед съемкой убедитесь, что ваше лицо ничем не закрыто, а вокруг хорошее освещение. Снимок лица и последующая разблокировка будет происходить с использованием передней камеры.
После добавления лица доступны 2 опции:
Защита устройства
Убедитесь, что защита телефона включена. Если вы отключите защиту, то сохраненные отпечатки пальцев будут удалены. Т.е. дальше вы не сможете использовать сканер отпечатков для разблокировки телефона.
Выберите способ защиты для настроек безопасности: графический ключ, цифровой код или пароль (цифры + буквы). Т.е. для изменения настроек безопасности постоянно нужно будет вводить пароль. Это защита от удаления биометрии.
Включите защиту личных данных. Пароль защитит ваши фотографии, сообщения, заметки и файлы на телефоне. Для защиты личных данных используйте графический ключ. ОБЯЗАТЕЛЬНО привяжите Mi аккаунт, чтобы иметь возможность сбросить пароль, если вы его забыли. иначе не сможете отключить защиту.
Настройте защищаемые объекты: смс, фото, файлы, заметки. Они будут храниться в скрытом режиме, никто посторонний не сможет их прочитать/просмотреть.
Экран блокировки
Экран блокировки – самая распространенная защита на всех смартфонах. В случае бездействия экран телефона выключается и блокируется. Чтобы затем его включить и разблокировать, нужен пароль или отпечаток пальца.
И в конце в разделе “Прочие настройки” можно прочитать положение о конфиденциальности на офиц. сайте MIUI.
Палец вместо пароля: будущее мобильных платежей с биометрией
Биометрия всё шире применяется в повседневной жизни. В ноутбуках используется распознавание лиц, а владельцы iPhone 5 уже сейчас могут оплатить со своего аккаунта приложения или музыку на iTunes, разблокировав его отпечатком пальца. Однако это всё косвенное применение. Маленькая революция свершится этой весной, когда обладатели смартфона Samsung Galaxy S5 смогут осуществлять универсальные платежи с биометрической аутентификацией.
С 11 апреля для обладателей смартфона Galaxy S5 станет доступна покупка товаров и услуг в интернете с подтверждением по отпечатку пальца на всех сайтах, принимающих платежи через систему PayPal. Для этого будет использоваться дактилоскопический сканер, размещённый на кнопке Home, а биометрическая аутентификация пользователя станет выполняться через соответствующие мобильное приложение компании PayPal. На территории США таким образом можно будет оплачивать даже покупки в некоторых традиционных (офлайновых) магазинах.
Презентация новой системы мобильных платежей с биометрической защитой (фото: (фото: businessinsider.com).
В ближайшие месяцы на этой платёжной системе пройдёт широкомасштабное тестирование нового протокола с биометрическим подтверждением платежей. Его продвигает альянс FIDO (Fast IDentity Online) — группа компаний во главе с PayPal и Lenovo, стремящихся заменить парольную авторизацию на что-то более надёжное и удобное.
Старший директор по глобальным решениям PayPal Джоэл Ярбро (Joel Yarbrough) так комментирует необходимость этой инициативы: «Сегодня люди вынуждены набирать как минимум девятизначные пароли везде, в том числе одной рукой в метро. Использование биометрических процедур значительно упростит процесс и повысит безопасность».
Использование мобильного приложения PayPal и сканера отпечатков на смартфоне Samsung Galaxy S5 (фото: technologyreview.com).
Судя по методике использования, под кнопкой «Домой» будет располагаться протяжный сканер, но вот о его конкретном типе достоверных сведений пока нет. Вопрос этот не праздный, так как радиочастотные модели и термосканеры имеют улучшенную защиту от муляжей, в отличие от ёмкостных и оптических вариантов.
Так или иначе, делать какие-то выводы о безопасности перспективной платёжной системы ещё рано. Часто проблемы возникают вовсе не там, где их ожидают. Оценивать практическую степень защищённости можно будет только тогда, когда технология станет массовой.
Сам процесс использования отпечатков для разблокировки смартфона или выполнения платежей выглядит максимально просто: пользователь проводит пальцем по кнопке Home при появлении соответствующего запроса на экране. Однако так легко может получаться не сразу, поскольку программе требуется предварительная настройка, а пользователю — привычка.
Алгоритмы биометрической аутентификации всегда балансируют между числом ложноотрицательных и ложноположительных результатов распознавания. Иногда пользователь проводит по сканеру неуверенно или слишком быстро убирает палец. Часть папиллярного рисунка может выступать за край кнопки, быть загрязнённой или повреждённой.
Всё это приведёт к ложноотрицательному результату — ситуации, в которой легитимный владелец смартфона не может пройти авторизацию. На этот случай предусмотрен альтернативный способ — подтверждение с помощью пароля.
Обратная ситуация заключается в том, что биометрической системой принимается использование муляжа на основе снятого отпечатка пальца. Для обмана примитивных систем хватает прозрачной плёнки, а более сложные трудно ввести в заблуждение даже при создании довольно точной «анатомической» имитации пальца.
Сканер отпечатков пальцев в iPhone 5s (фото: pcmag.com).
Технология получила название Touch ID, а сторонним разработчикам даже не будет предоставляться API для работы с ней. На мой взгляд, возможный недочёт здесь скрывается в самом типе используемого сканера отпечатков. По косвенным признакам, он полупроводниковый, ёмкостного типа. Если это так, то вся технология Touch ID имеет относительно высокий процент ложноположительных срабатываний.
В протоколе, продвигаемом альянсом FIDO, биометрическая аутентификация тоже выполняется нетривиальным способом. Отпечатки пальцев вообще нигде не хранятся. Вместо этого папиллярный узор используется для генерирования криптографического ключа непосредственно в момент сканирования.
Использование отпечатка в протоколе FIDO аналогично для схем защищённой регистрации, логина и подтверждения платёжных транзакций (фото: businessinsider.com).
Далее они объединяются с другим ключом, уникальным для каждого устройства. На основе этих сочетаний формируется новый ключ, участвующий в платёжной транзакции. Более подробная схема будет представлена партнёрам Samsung и PayPal позднее.
Старший советник по безопасности компании PayPal и вице-президент альянса FIDO Бретт Макдауэлл (Brett McDowell) отмечает, что Samsung далеко не единственная компания, заинтересованная в расширенном использовании сканеров отпечатков на своих устройствах. «Многие производители вкладываются сейчас в такие технологии, а их широкое внедрение — основная миссия нашего альянса», — сообщил он в интервью изданию Ars Technica. В Сети можно найти упоминания о том, что сканеры отпечатков встраивают в свои смартфоны HTC, Pantech, Konka и другие производители.
Предпосылки для создания FIDO возникли ещё в 2007 году, когда PayPal стала исследовать новые механизмы защиты платёжных транзакций. Фактически альянс появился летом 2012-го, когда отдельные договорённости с заинтересованными участниками рынка привели к появлению новой организации. Публичную деятельность FIDO стал вести лишь с февраля 2013 года, но за это время его членами стали более ста крупнейших компаний, включая Microsoft, Google, Lenovo, Infineon, LG и Mastercard. В Apple намерены продвигать альтернативную технологию Touch ID своими силами.
FIDO U2F — Универсальная Двухфакторная Аутентификация. Введение
Ни для кого не секрет, что сегодня существует большая проблема с безопасностью в интернете. Пользователи используют легкие пароли и переиспользуют их на других ресурсах. Парольные менеджеры все еще в новинку для обычного пользователя, и вашу бабушку вы вряд ли заставите использовать случайные одноразовые пароли с высокой энтропией. Жизнь тлен и боль…
На заре веб2.0 мы стали понимать, что паролей недостаточно и изобрели двухфакторную аутентификацию или 2FA.
Что из себя представляют 2FA решения сегодня?
SMS — одноразовые пароли отправленные с помощью SMS.
OTP(TOTP/HOTP) — одноразовые пароли, сгенерированные на основе мастер ключей. Примеры: Google Authenticator, Yubikey, банковские OTP токены.
При большом выборе решений, у пользователей до сих пор уводят аккаунты. Так почему существующие технологии не решили проблему?
Фишинг — практически все перечисленные решения уязвимы к MITM (человек посередине) атакам, и соответственно фишингу. Что остановит пользователя, который уже ввел свой логин и пароль, от введения одноразового пароля?
Безопасность — в данном случае я буду говорить именно про SMS. SMS на данный момент самое популярное решение 2FA на рынке. Истории о перевыпуске сим карты случались не только в России, но и в США, ЮАР, Великобритании и других странах. Почти все провайдеры предоставляют возможность восстановления сим-карт, и методы социальной инженерии еще никто не отменял.
Стоимость — если вы швейцарский банк, и ваш клиент хранит семизначные суммы иностранной валюты, то RSA токены это мизерная цена для обеспечения безопасности аккаунтов ваших клиентов. А если вы Twitter или Facebook, то выдавать недешевые токены каждому пользователю просто невозможно. SMS тоже стоит денег, и если вы держите любительский аниме форум о дискуссиях про то как пропатчить KDE под FreeBSD, то вы вряд ли сможете позволить себе SMS.
Совместимость — никто не любит возиться с драйверами, и это одна из причин того, что RSA и Рутокен все еще не завоевали мир.
Этот список можно еще долго продолжать, но я думаю что мысль донесена. Сегодняшние решения не в состоянии надежно защитить пользователя, сложны в применении, дороги и не универсальны.
FIDO U2F — Универсализируем второй фактор
В 2013 году в Кремниевой Долине был организован FIDO (Fast IDentity Online) альянс для того, чтобы адресовать проблемы легкой и безопасной аутентификации в интернете. На данный момент FIDO имеет более трёхсот ассоциативных членов и тридцать членов правления. В список членов правления входят такие компании как Google, Yubico, Microsoft, Visa, Mastercard, American Express, Paypal и другие.
Основные цели, которые FIDO ставит перед собой, это простые в использовании, безопасные, приватные и стандартизированные решения.
На данный момент FIDO представили два стандарта: U2F (Universal Second Factor) — универсальный второй фактор, UAF (Universal Authentication Framework) — универсальный аутентификационный фреймворк для биометрической аутентификации. Сегодня мы поговорим о U2F. Если тема будет интересна, то в будущем я могу написать статью по UAF.
U2F это открытый, бездрайверный протокол для двухфакторной аутентификации, основанный на вызов-ответной аутентификации с помощью электронной цифровой подписи.
Как это работает?
У U2F протокола три уровня абстракции: Пользователь, Браузер(тех. Клиент) и сам Протокол.
Пользователь
Для пользователя все достаточно просто. Пользователь вводит логин и пароль, вставляет U2F устройство, нажимает кнопку и успешно проходит аутентификацию. Собственно об этом ранее уже писали на ХабраХабре.
Браузер
Алгоритм взаимодействия с U2F на стороне браузера такой:
Пользователь проходит верификацию логина и пароля
Зависимая сторона, Google например, через U2F JS API запрашивает подпись вызова(challenge)
Если пользователь подтвердил, например с помощью нажатия кнопки или иным образом, свое желание произвести двухфакторную аутентификацию, то устройство возвращает подпись вызова
Браузер передает подпись зависимой стороне
Протокол — или пять с половиной шагов к безопасной двухфакторной аутентификации
Шаг первый — Вызов-Ответ
Для начала мы производим простой вызов-ответ. Сервер посылает нам случайный вызов. Наше устройство подписывает вызов и возвращает подпись серверу, после чего сервер сверяет подпись.
Шаг второй — Защита от фишинга
Подписываем оригинальный URL и Channel ID
Сам по себе вызов-ответ не решает проблемы фишинга, так как если вы залогинились на rnail.ru вместо mail.ru, то ваша подпись все еще может быть использована для входа в ваш аккаунт. Для защиты от этого браузер к вызову добавляет URL, с которого был произведен запрос на подпись, и ID канала TLS, после чего зависимая сторона сверяет эти данные.
Шаг третий — Приватность или регистрационно-зависимая пара ключей
Генерируем регистрационно-зависимую пару
На данный момент наше устройство подписывает все одной парой ключей. Это создает проблему для приватности, в связи с тем что публичный ключ будет везде одинаковый. Для примера скажем если бы вы были зарегистрированы на печально известном AshleyMadison.com, то атакующий мог бы связать слитый публичный ключ и ваши другие аккаунты и потенциально причинить физический и моральный вред.
Чтобы сохранить приватность при регистрации, зависимая сторона передает ID приложения (AppID) и семя (случайное число). На основе этих данных устройство генерирует уникальную регистрационно-зависимую пару ключей. Как устройство генерирует пару не описано в протоколе, а полностью отдано на усмотрение изготовителя устройства. Например, каждый Yubikey имеет свой мастер ключ, который в связке с HMAC и ГПСЧ (Генератор псевдослучайных чисел) генерирует новую пару.
За счет того, что пара ключей уникальна для каждой регистрации, становится возможным использовать совместно одно U2F устройство для множества аккаунтов.
Шаг четвертый — Защита от клонирования
Так как U2F это только протокол, то он может иметь разные имплементации, в железе и ПО. Некоторые имплементации могут быть не устойчивыми к клонированию. Для защиты от этого U2F устройство имеет встроенный счетчик. Каждая подпись и регистрация увеличивает состояние счетчика на единицу. Состояние счетчика подписывается и возвращается зависимой стороне. Если U2F устройство было склонировано, то состояние счетчика клонированного устройства скорее всего будет меньше чем состояние счетчика оригинального устройства, что вызовет ошибку во время верификации.
Шаг пятый— Аттестация Ключа
Разные имплементации протокола могут быть быть небезопасны. Чтобы избежать этого, каждое U2F устройство имеет встроенный партийный сертификат, который устанавливается приблизительно на каждые сто тысяч устройств. Каждая подпись и регистрация дополнительно подписывается сертификатом, публичный ключ которого находится в публичной директории.
Зачем это надо? Например, если вы — форум о котятах, то вы возможно не сильно волнуетесь о том, насколько безопасны U2F устройства ваших пользователей, а если вы банк, то возможно вы разрешите только устройства, выполненные в железе, и только если они сертифицированы FIDO альянсом.
Шаг шесть с половиной — Защита от перебора
В ситуации, когда пользователь находится вдали от своего устройства, вредоносное программное обеспечение может попытаться атаковать устройство методом полного перебора или другими видами атак. Для защиты от этого U2F стандарт требует чтобы все имплементации, в железе и ПО, активировались пользователем. Пользователь обязан подтвердить свое решение на двухфакторную аутентификацию. Этим действием может быть простое нажатие на кнопку, ввод пин-кода, снятие отпечатка пальца или другое.
Сервисы с множественными точками входа
Возьмем для примера Gmail.
В Gmail можно войти как с веб интерфейса, так и с мобильного. Как можно произвести авторизацию пользователя с андроид приложения, если AppID нашего приложения и AppID сервиса будут различаться?
Для этого есть фасеты (facets).
Фасеты — это JSON файл со списком всех ID, которым разрешается производить аутентификацию для выбранного сервиса. Для примера, вот фасеты Google:
Фасеты должны быть в том же доменном пространстве что и AppID. Например, если наше AppID это https://example.com/facets.json, то https://**security**.example**.com пройдет проверку, а https://security.example.net **нет.
Для мобильных приложений фасеты имеют URI схему вида “OS:TYPE:ID”. Для андроида вычисляется SHA-1 сертификата подписи apk. Для IOS это bundle ID.
Фасеты обязаны раздаваться по HTTPS!
Спецификации
На данный момент готовы спецификации для USB, NFC и Bluetooth LE.
Поддержка браузерами
Chrome поддерживает U2F из коробки с начала 2015. U2F поддержка в Firefox в данный момент в активной разработке. Microsoft анонсировала поддержку U2F как для Windows 10 так и для Edge как часть FIDO2.0 стека, и она уже доступна в Insider Build.
Кто использует?
Google, Github, WordPress, Dropbox, Evernote. Правительство Великобритании недавно ввело поддержку U2F для своих государственных сайтов, что немало доставляет.
Что нужно учесть при переходе на U2F?
HTTPS ОБЯЗАТЕЛЕН —мало того, что если вы не предоставляете HTTPS своим пользователям, то вас не заботит их безопасность, и U2F вам будет мало интересен. Firefox, Chrome, и Edge требуют HTTPS соединения для использования U2F API.
Попробуйте TLS SessionID.
Подводим итоги
U2F это хорошо продуманная, сильная, открытая и стандартизированная технология. Она была успешно протестирована Google на своих сотрудниках, кои используют U2F на данный момент в качестве основного метода двухфакторной аутентификации.
U2F всего лишь протокол, что влечет за собой создание огромного рынка решений на основе его. От крипто-ключей с безопасным элементом, JavaCard имплементаций, до мобильных приложений и биометрически-защищенных U2F устройств, U2F дает свободу вашей фантазии втом, где его можно применить.
Примечания
Если вы хотели бы больше узнать о U2F и его внедрении, а так же о других решениях FIDO альянса, пишите в комментариях.
Подтверждение платежей FIDO или IFAA: что это значит, что выбрать?
Сегодня мы живем в такое время, когда очень важно заботиться о персональной безопасности. В первую очередь, о безопасности данных пользователя в сети, например, на смартфоне, в онлайн-банкинге, e-mail и пр.
Одним из примеров является подтверждение платежей посредством FIDO или IFAA, как вариантов двухфакторной идентификации. 
Что это такое
С учетом того, что сегодня технологии с каждым годом становятся все более и более продвинутыми и того, что у каждого человека имеется мобильный телефон, сопоставимый с компьютерами и носителями важной информации, надо быть начеку.
Современные условия обеспечивают возможность использовать смартфон в качестве ключа для двухфакторной аутентификации. И если человеку важно максимально защититься, то такую аутентификацию можно использовать для всех аккаунтов в сети.
Наиболее уязвимы сегодня сервисы Google и проведение платежей через них. Обусловлено это частыми атаками со стороны хакеров.
Чтобы обеспечить своим клиентам защиту, разработчики создали специальные способы защиты в качестве ключей FIDO и IFAA. Когда пользователь захочет войти в один или несколько своих профилей, тогда ему обязательно придется пройти все эти этапы.
В качестве ключа сможет выступать смартфон. Иными словами, телефон будет выполнять функции верификатора всех попыток входа на устройства и тогда будет возможность подтверждать подобные попытки, либо отклонять их.
Наиболее часто используется ключ безопасности FIDO, на втором месте пот популярности – IFAA. Речь идет о стандарте аутентификации U2F Open.
Кому доступна данная возможность?
Обычно подобная мера безопасности нужна уязвимым личностям, к примеру:
Однако, фактически, воспользоваться данными функциями сможет абсолютно любой человек. Это поможет предотвратить атаку на личные данные. 
Важно! Чтобы использовать ключи FIDO или IFAA, требуется, чтобы на смартфоне стояла современная версия ОС IOS или Андроид. В идеале должна быть установлена последняя версия ОС.
Чтобы начать использовать указанные ключи, потребуется зайти в меню настроек устройства, перейти к безопасности, далее к аккаунтам Apple или Google, а затем уже – к двухфакторной аутентификации.
После этого останется просто добавить электронный ключ и начать им пользоваться. Никаких рисков применение данной технологии не подразумевает.
[Вопросы и Ответы] что такое IFAA подтверждение платежей
И как этим пользоваться?  |
avatar.png (27.76 KB, Downloads: 155)
2018-04-02 07:47:18 Upload
| Это функция в MIUI 9 Global ROM. С помощью платежей по отпечаткам пальцев вы можете авторизовать платежи в различных платежных приложениях, используя свой отпечаток пальца, а не вводить пин-Коды и пароли. Но эта функция не имеет смысла здесь, в Индии, потому что большинство приложений не будет поддерживать платежи по отпечаткам пальцев. Они все еще следуют традиционной структуре PIN |
| А у меня такой вопрос. Для чего данный сертификат вообще нужен, если нет nfc? |
| Мне тоже интересно что это такое и для чего это нужно скажите пожалуйста |
| сообщество производителей так же разрабатывающий простой и удобный способ авторизации для IOT устройств и смартфонов IFAA |
1802712959
Это функция в MIUI 9 Global ROM. С помощью платежей по отпечаткам пальцев вы можете авторизовать платежи в различных платежных приложениях, используя свой отпечаток пальца, а не вводить пин-Коды и пароли. Но эта функция не имеет смысла здесь, в Индии, потому что большинство приложений не будет поддерживать платежи по отпечаткам пальцев. Они все еще следуют традиционной структуре PIN
IMG_20200904_001406.jpg (50.47 KB, Downloads: 138)
2020-09-04 05:14:37 Upload
Xiaomi Comm APP
Stay updated on Mi Products and MIUI
Featured
* Recommended to upload a 720*312 image as the cover image
* Changes are irreversible after submitting
Cookies Preference Center
We use cookies on this website. To learn in detail about how we use cookies, please read our full Cookies Notice. To reject all non-essential cookies simply click «Save and Close» below. To accept or reject cookies by category please simply click on the tabs to the left. You can revisit and change your settings at any time. read more
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.