«Яндекс» запустил приложение, позволяющее не запоминать сложные пароли, и включился в гонку за безопасность

Вторник, 3 февраля 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Компания «Яндекс» запустила механизм двухфакторной аутентификации и новое приложение «Яндекс.Ключ», генерирующее на мобильном устройстве код доступа к аккаунту на «Яндексе». Это позволит не запоминать сложный пароль для обеспечения безопасности. Об этом TJ сообщили представители компании.

«Яндекс.Ключ» позволяет не запоминать сложные пароли

Для того, чтобы пользоваться «Яндекс.Ключом», всё-таки придётся придумать и запомнить четырёхзначный PIN-код. Временные пароли, с помощью которых можно будет войти в свой аккаунт на «Яндексе», будут приходить на мобильное устройство и действовать в течение 30 секунд.

Однако авторизоваться можно и без введения одноразового пароля. В форме авторизации на «Яндексе» появились QR-коды: их можно считать при помощи камеры смартфона через «Яндекс.Ключ». Пользователи мобильных устройств Apple могут и не запоминать свой PIN-код: для них доступ в приложение возможен через отпечаток пальца, считанный при помощи сенсора Touch ID.

Двумя факторами аутентификации в данном случае являются PIN-код (или отпечаток пальца), который имеется только у пользователя, и знание о связи между аккаунтом на «Яндексе» и мобильным устройством с «Яндекс.Ключом» — оно хранится на серверах компании. Секретные коды генерируются одновременно с использованием как PIN, так и «секрета» с серверов «Яндекса». В компании также пояснили, что процедура аутентификации является одноэтапной: для логина требуется всего одно действие (ввод одноразового кода или сканирование QR-кода).

После включения механизма двухфакторной аутентификации пользователю «Яндекса» придётся заново авторизоваться на всех сервисах компании и во всех установленных приложениях при помощи пароля из «Яндекс.Паспорта», но сделать это нужно будет только один раз. На мобильных устройствах в режиме бета-версии работает технология «проброса» данных о логине из «Яндекс.Ключа», однако в компании признаются, что пока она срабатывает не во всех случаях.

Приложение «Яндекс.Ключ» уже доступно в магазинах App Store (для iPhone и iPad) и Google Play.

Нужно больше безопасности Это уже не первое появление в «Яндексе» двухфакторной аутентификации. До этого она использовалась в «Яндекс.Деньгах» и во внутренних сервисах компании, сообщили TJ в «Яндексе».

Представители компании заявляют, что их процедура двухфакторной аутентификации надёжнее, потому что временные пароли генерируются из букв, а не из цифр, как происходит у конкурентов. Кроме того, пользователю не требуется сначала вводить свой логин и пароль: он авторизуется при помощи лишь логина и QR-кода или временного пароля.

Обычно при двухфакторной аутентификации пользователя просят войти в учётную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS. У нас всё ещё проще. Достаточно включить двухфакторную аутентификацию в «Паспорте» и установить приложение Яндекс.Ключ. В форме авторизации на главной странице «Яндекса», в «Почте» и «Паспорте» появились QR-коды. Для входа в учётную запись пользователю необходимо считать QR-код через приложение — и всё. Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса»

В случае, если пользователь одновременно забудет свой PIN-код и утратит доступ к привязанной к аккаунту SIM-карте, у него всё равно будет возможность восстановить свой аккаунт. Для этого ему придётся пройти стандартную процедуру: заполнить анкету и побеседовать со службой поддержки, объяснили в «Яндексе».

Пользователи, у которых включена двухфакторная аутентификация, обычно более тщательно относятся к подобным вещам — например, указывают реальные имя и фамилию, по которым можно восстановить доступ с помощью документа, удостоверяющего личность. А ещё из приложения «Яндекс.Ключ» можно открыть специальную анкету восстановления доступа — на случай, если смартфон украли с целью получения доступа, там есть секретный уровень защиты. пресс-служба «Яндекса»

Процедура двухфакторной аутентификации запущена в виде бета-версии. В компании сообщили, что она участвует в программе bug bounty — за поиск уязвимостей можно получить денежную премию: судя по объявлению, она составляет от 5,5 до 17 тысяч рублей.

Массовое «убийство» паролейПользователи не хотят запоминать сложные пароли и в большинстве своём не пользуются двухфакторной аутентификацией, считая её слишком сложной. Как показывает статистика, в рейтинге самых популярных паролей 2014 года до сих пор лидируют »123456», «password» и «qwerty».

В «Яндексе» решили использовать QR-коды и Touch ID после анализа различных исследований, показавших, что стандартной процедурой двухфакторной аутентификации пользуются от 0,02% до 1% аудитории различных сервисов.

«Яндекс» — не первая компания, которая включилась в гонку за повышение безопасности пользователей и одновременный отказ от запоминания сложных паролей. В октябре Twitter запустил похожую на «Яндекс.Ключ» платформу под названием Digits, позиционируя её как «убийцу паролей».

При помощи Digits пользователи смогут авторизовываться сразу в нескольких сервисах: на старте Twitter анонсировал партнёрство с фитнес-трекером FitStar, сервисом резервирования столиков в ресторанах Resy и приложением для спортивных фанатов OneFootball. Платформа Digits также интегрирована в новый пакет ПО для разработчиков Twitter Fabric.

В «Яндексе» рассказали TJ, что собираются открыть возможность авторизовываться в других приложениях при помощи «Яндекс.Ключа» — её появление запланировано в следующих обновлениях программы

Как и большинство сервисов, Digits использует для регистрации и верификации мобильный телефон, присылая код по SMS или через контакт внутри мессенджера. Такой метод применяется, например, в мессенджерах WhatsApp и Telegram.

В мобильном приложении Facebook давно существует собственный сервис Code Generator, который позволяет авторизовываться при помощи временных кодов. В Google можно включить двухфакторную аутентификацию для аккаунта и использовать приложение Google Authentificator, дающее доступ по QR-коду или по вводу кода безопасности. После скандала с утечкой личных фотографий знаменитостей в Apple тоже озаботились безопасностью пользователей iCloud.

Аналогичная Google функциональность в июне появилась и во «ВКонтакте», однако в соцсети заявили, что такие меры безопасности для большинства пользователей являются излишними. В почтовом сервисе Mail.Ru двухэтапная аутентификация отсутствует.

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 733
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003