Рубрика развивается при поддержке
Advertisement

«Яндекс.Ключ» к твоему сердцу Статьи редакции

«Яндекс» запустил приложение, позволяющее не запоминать сложные пароли, и включился в гонку за безопасность

Компания «Яндекс» запустила механизм двухфакторной аутентификации и новое приложение «Яндекс.Ключ», генерирующее на мобильном устройстве код доступа к аккаунту на «Яндексе». Это позволит не запоминать сложный пароль для обеспечения безопасности. Об этом TJ сообщили представители компании.

Обновлено: спустя два часа после анонса от «Яндекса» о введении двухфакторной аутентификации сообщили в Mail.Ru Group.

«Яндекс.Ключ» позволяет не запоминать сложные пароли

Для того, чтобы пользоваться «Яндекс.Ключом», всё-таки придётся придумать и запомнить четырёхзначный PIN-код. Временные пароли, с помощью которых можно будет войти в свой аккаунт на «Яндексе», будут приходить на мобильное устройство и действовать в течение 30 секунд.

Однако авторизоваться можно и без введения одноразового пароля. В форме авторизации на «Яндексе» появились QR-коды: их можно считать при помощи камеры смартфона через «Яндекс.Ключ». Пользователи мобильных устройств Apple могут и не запоминать свой PIN-код: для них доступ в приложение возможен через отпечаток пальца, считанный при помощи сенсора Touch ID.

Двумя факторами аутентификации в данном случае являются PIN-код (или отпечаток пальца), который имеется только у пользователя, и знание о связи между аккаунтом на «Яндексе» и мобильным устройством с «Яндекс.Ключом» — оно хранится на серверах компании. Секретные коды генерируются одновременно с использованием как PIN, так и «секрета» с серверов «Яндекса». В компании также пояснили, что процедура аутентификации является одноэтапной: для логина требуется всего одно действие (ввод одноразового кода или сканирование QR-кода).

После включения механизма двухфакторной аутентификации пользователю «Яндекса» придётся заново авторизоваться на всех сервисах компании и во всех установленных приложениях при помощи пароля из «Яндекс.Паспорта», но сделать это нужно будет только один раз. На мобильных устройствах в режиме бета-версии работает технология «проброса» данных о логине из «Яндекс.Ключа», однако в компании признаются, что пока она срабатывает не во всех случаях.

Приложение «Яндекс.Ключ» уже доступно в магазинах App Store (для iPhone и iPad) и Google Play.

Нужно больше безопасности

Это уже не первое появление в «Яндексе» двухфакторной аутентификации. До этого она использовалась в «Яндекс.Деньгах» и во внутренних сервисах компании, сообщили TJ в «Яндексе».

Представители компании заявляют, что их процедура двухфакторной аутентификации надёжнее, потому что временные пароли генерируются из букв, а не из цифр, как происходит у конкурентов. Кроме того, пользователю не требуется сначала вводить свой логин и пароль: он авторизуется при помощи лишь логина и QR-кода или временного пароля.

Обычно при двухфакторной аутентификации пользователя просят войти в учётную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS. У нас всё ещё проще. Достаточно включить двухфакторную аутентификацию в «Паспорте» и установить приложение Яндекс.Ключ. В форме авторизации на главной странице «Яндекса», в «Почте» и «Паспорте» появились QR-коды. Для входа в учётную запись пользователю необходимо считать QR-код через приложение — и всё.

Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса»

В случае, если пользователь одновременно забудет свой PIN-код и утратит доступ к привязанной к аккаунту SIM-карте, у него всё равно будет возможность восстановить свой аккаунт. Для этого ему придётся пройти стандартную процедуру: заполнить анкету и побеседовать со службой поддержки, объяснили в «Яндексе».

Пользователи, у которых включена двухфакторная аутентификация, обычно более тщательно относятся к подобным вещам — например, указывают реальные имя и фамилию, по которым можно восстановить доступ с помощью документа, удостоверяющего личность. А ещё из приложения «Яндекс.Ключ» можно открыть специальную анкету восстановления доступа — на случай, если смартфон украли с целью получения доступа, там есть секретный уровень защиты.

пресс-служба «Яндекса»

Процедура двухфакторной аутентификации запущена в виде бета-версии. В компании сообщили, что она участвует в программе bug bounty — за поиск уязвимостей можно получить денежную премию: судя по объявлению, она составляет от 5,5 до 170 тысяч рублей.

Массовое «убийство» паролей

Пользователи не хотят запоминать сложные пароли и в большинстве своём не пользуются двухфакторной аутентификацией, считая её слишком сложной. Как показывает статистика, в рейтинге самых популярных паролей 2014 года до сих пор лидируют «123456», «password» и «qwerty».

В «Яндексе» решили использовать QR-коды и Touch ID после анализа различных исследований, показавших, что стандартной процедурой двухфакторной аутентификации пользуются от 0,02% до 1% аудитории различных сервисов.

«Яндекс» — не первая компания, которая включилась в гонку за повышение безопасности пользователей и одновременный отказ от запоминания сложных паролей. В октябре Twitter запустил похожую на «Яндекс.Ключ» платформу под названием Digits, позиционируя её как «убийцу паролей».

При помощи Digits пользователи смогут авторизовываться сразу в нескольких сервисах: на старте Twitter анонсировал партнёрство с фитнес-трекером FitStar, сервисом резервирования столиков в ресторанах Resy и приложением для спортивных фанатов OneFootball. Платформа Digits также интегрирована в новый пакет ПО для разработчиков Twitter Fabric.

В «Яндексе» рассказали TJ, что собираются открыть возможность авторизовываться в других приложениях при помощи «Яндекс.Ключа» — её появление запланировано в следующих обновлениях программы

Как и большинство сервисов, Digits использует для регистрации и верификации мобильный телефон, присылая код по SMS или через контакт внутри мессенджера. Такой метод применяется, например, в мессенджерах WhatsApp и Telegram.

В мобильном приложении Facebook давно существует собственный сервис Code Generator, который позволяет авторизовываться при помощи временных кодов. В Google можно включить двухфакторную аутентификацию для аккаунта и использовать приложение Google Authentificator, дающее доступ по QR-коду или по вводу кода безопасности. После скандала с утечкой личных фотографий знаменитостей в Apple тоже озаботились безопасностью пользователей iCloud.

Аналогичная Google функциональность в июне появилась и во «ВКонтакте», однако в соцсети заявили, что такие меры безопасности для большинства пользователей являются излишними. В почтовом сервисе Mail.Ru двухэтапная аутентификация отсутствует.

Обновлено в 15:34: Спустя несколько часов после анонса от «Яндекса» портал Mail.Ru запустил двухфакторную аутентификацию для «Почты», «Облака», «Календаря», «Игрового центра» и других проектов, сообщили TJ представители компании. Для входа пользователю необходимо использовать свой пароль и код, полученный через SMS на мобильный телефон.

В компании подчеркнули, что закрытое бета-тестирование двухфакторной аутентификации началось в конце декабря при поддержке сообщества «Хабрахабра».

Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако «слабым звеном» часто оказывается сохранность пароля у самого пользователя. Если же включён второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее.

Реализовать эту функцию нас просили в основном продвинутые пользователи, но я очень надеюсь, что она станет популярна и у более широкой аудитории.

Анна Артамонова, вице-президент Mail.Ru Group
0
111 комментариев
Популярные
По порядку
Написать комментарий...
Абстрактный дебаркадер

Мы опубликуем спецификацию в ближайшее время. Если получится - проведем через IETF в качестве RFC.

Абстрактный дебаркадер

Яндекс.Отмычка

13

Комментарий удален

Абстрактный дебаркадер

Пока такое решение работает только внутри яндекса, это никому не нужно.
Но если яндекс даст возможность использовать такое решение разработчикам в своих приложениях, станет гораздо интереснее.

8
Абстрактный дебаркадер

Для приложений есть OAuth https://tech.yandex.ru/oauth/
А никому — это всем пользователям Яндекса, которые волнуются за свои письма и файлы? :)

2
Абстрактный дебаркадер

Да, никому — это всем пользователям Яндекса, которые волнуются за свои письма и файлы.

4
Абстрактный дебаркадер

Алгоритм надежных паролей довольно прост.
1. Придумываешь базовый набор символов, который запоминаешь. Нужно, чтобы этого слова не существовало в словарях, в последовательностях букв на клавиатуре. Желательно в него воткнуть цифры. Что-то типа wt7nj10r.
2. Запоминаем его - есть всякие интересные мнемонические приемы.
3. Придумываем алгоритм усложнения пароля. Удобнее всего делать в зависимости от имени сайта.
Можно добавить, например, все согласные буквы к паролю типа wt7nj10rtjrnl
Можно добавить в обратном порядке. Можно добавить спереди надпись SMI если это пресса. Можно вообще кучу всего придумать. Да и потом нужно добавить больших букв. Например, Первую и Последнюю.
В итоге получится что-то типа
Wt7nj10rtjrnL
Абракадабра из 13 символов, будет безопасным такой пароль еще лет 10.
Итог: пароли не ломаемые перебором, для каждого сайта уникальный пароль.

8
Абстрактный дебаркадер

Вы хоть понимаете, что НОРМАЛЬНЫЙ человек не запомнит этот пароль?

4
Абстрактный дебаркадер

Там Вадим верно все понял, нужно запомнить пароль и правило. И вот, из головы можно достать много уникальных паролей.
Если есть сложности с запоминанием одного базового пароля, то тут на помощь придет пара приемов.
1. Запомнить фразу, взять от нее первые буквы. Может это будет даже строчка из любимой песни. Или пословица.
Или так:
Я сдал 300 мл крови для Елизаветы Второй
ys300mkdE2 - вот базовое слово.
2. Представляешь комнату, там располагаешь предметы с названием на буквы пароля на всяких разных местах.

Да, основная проблема, это не память, а лень, элементарная лень, чтобы потратить минуту своего времени, чтобы запомнить пароль. Поэтому там у кучи людей пароли типа Iap30121980
Иванов Андрей Петрович 30 декабря 1980 года
И удовлетворяют всем признакам - от 6 символов, большая, маленькая буква и цифра. А пароль говно.

7
Абстрактный дебаркадер

а тем более если таких паролей нужно несколько десятков

–1
Абстрактный дебаркадер

Хорошая идея! Я себе для автоматизации этого процесса накодил http://pass.wawan.pro/

2
Абстрактный дебаркадер

Щас ага, буду себе пароль для онлайн-банкинга там генерить :D

1
Абстрактный дебаркадер

А на основании чего примерно генерируется сам пароль? Какого правила-алгоритма.
Если не секрет)

0
Абстрактный дебаркадер

Каким бы сложным не был пароль, это не спасет вас от его компрометации - кражи трояном, фишинговым сайтом, утечки при передаче. Основное назначение двухфакторной авторизации уберечь именно от такого типа угроз, потому как атака перебором на веб-сервис это в любом случае очень медленный и трудоемкий процесс.

2
Абстрактный дебаркадер

абсолютно согласен. И считаю, что безопасность должна идти от головы:
1. Использовать криптосойкий паролью
2. Использовать по возможности https
3. Не лазать по сомнительным сайтам
4. Не заниматься важными операциями через общественный вай-фай
5. Не хранить пароли в текстовом виде на компе. Да даже на картинке не желательно.
и тд и тп

Но не думаю, что этим рекомендациям следует хотя бы 20% рядовых пользователей (на ТЖ побольше процент, тут люди в целом грамоные сидят)
Но и двухфакторную аутентификацию используют гораздо меньше людей. Вот, если ее сделают типа стандарта и заставят людей ее использовать - это правильно.

Меня что беспокоит в таком случае.
Бывает срочно нужен сайт, а телефон лежит разряженный убитый. И жопа.

Плюс еще какой риск. Он в принципе для всего есть. Злоумышленник может стащить телефон, сбросить пароль с интересующего сайта на электронку, и вуаля.

Спасение, по моему мнению, двухфакторный NFC на телефоне, браслете или смарт-карте + ПИН

1
Абстрактный дебаркадер

Крутая идея с добавлением названия сайта в пароль. А то мне приходится 5 шестнадцатизначных паролей в голове держать. Использую их в соответствии с уровнем важности ресурса.

1
Абстрактный дебаркадер

Вангую, что этой технологией будет пользоваться "от 0,02% до 1% аудитории", ибо всем остальным ***** (индифферентно).

7
Абстрактный дебаркадер

вопрос времени. рано или поздно люди к этому приходят

0
Абстрактный дебаркадер

А звездочки автоматически подставляются?

0
Абстрактный дебаркадер

Я же говорил, у меня была только #идеядлястартапа, но не сам стартап.

1
Абстрактный дебаркадер

А просто по номеру телефона у них двухфакторной аутентификации нет? Что бы без всяких приложений, а тупо СМС с одноразовым паролем приходило?

4
Абстрактный дебаркадер

Пока что только через приложение.

2
Абстрактный дебаркадер

Обидно

0
Абстрактный дебаркадер

SMS удобнее чем QR (включать камеру, наводить на код)
надо какой то новый способ типа nfc
пользователь подносит телефон (с nfc) к ___(место вакантно)___
и происходит "магия"

в общем надо внедрять NFC в ноуты и ПК

4
Абстрактный дебаркадер

Если бы NFC был распространен, сделали бы его. Мы про него думали. Если, скажем, через год ситуация улучшится, поддержим.

5
Абстрактный дебаркадер

NFC? Не распространен?!?! Если на iPhone его нет, это не значит, что он не распространен.

2
Абстрактный дебаркадер

Вы тот Иванов который - директор по информационным технологиям Яндекса?

0
Абстрактный дебаркадер

Владимир, вы участвовали в разработке этой системы авторизации? Вы из Яндекса?

0
Абстрактный дебаркадер

Да я понимаю что NFC слабо распространен, это не конкретно ваша "недоработка" а общая претензия(пожелание) к отрасли

0
Абстрактный дебаркадер

Включать камеру быстрее.
И не зависит от перебоев у твоего оператора и сигнала моб.связи (или как там это называется).
Про NFC да, согласен

2
Абстрактный дебаркадер

Вот именно SMS — вряд ли удобнее, ведь это такой же код, который генерируется в приложении. Приложение же умеет не только QR.

0
Абстрактный дебаркадер

Я сижу в офисе, где не ловит сеть почти. Расскажите мне про удобство смс :)

0
Абстрактный дебаркадер

СМС? Расскажите это тем, у кого увели сим-карты через друзей в мобильных салонах.

0
Абстрактный дебаркадер

Я по заголовку подумал, что это будет «Яндекс.Lastpass» с двухфакторной аутентификацией.
А оказалось, что это только про Яндекс. Meh.

Текст, кстати, по мне так тяжеловато читать, хорошо видео есть.

Осталось понять, а правда ли кто-то считает Touch ID достаточно секьюрной вещью. Да и каким боком это двухфакторная аутентификация, пин-код на приложение что-ли первый фактор?

3
Абстрактный дебаркадер

А если Яндекс сделает Lastpass, будете пользоваться?

TouchID на мой взгляд неплохо сделан. Да, пин - это первый фактор? Коротковат?

2
Абстрактный дебаркадер

Я не знаю, конкурировать с LastPass и 1Password будет тяжело, конечно. Но я бы это обдумал.
С другой стороны, уж у Яндекса есть возможность этот сервис распространить среди тех людей, которые о конкурентах не слышали и не задумывались.

К TouchID у меня претензия точно такая же, как к любому сканеру отпечатков — один раз скомпрометируешь и пользоваться больше нельзя.
Это пока не касается всяких суперсканеров в банкоматах, которые сканируют в том числе рисунок вен, но и это рано или поздно научатся обходить.

Пин-код, да, на мой взгляд коротковат и проще подглядывается с телефона. И это, на мой взгляд, даже важнее — чтобы зайти, нужно всего лишь подглядеть пин-код, доступ к телефону тут практически сам собой разумеется.

1
Абстрактный дебаркадер

Если сделаете бесплатный аналог LastPass, то, конечно же, будем, Владимир.

0
Абстрактный дебаркадер

Из ролика кажется что в пине могут быть только цифры, это действительно так?

0
Абстрактный дебаркадер

То самое чувство, когда захотел поменять аккаунт Gmail на Яндекс.

3
Абстрактный дебаркадер

И хорошо было бы, если такой способ авторизации сделали по умолчанию. По опыту общения со знакомыми знаю, что мало кто вообще когда-либо в настройки почты полезет, не то что в настройки "двухфакторной авторизации", что для среднего пользователя звучит как проклятие.

1
Абстрактный дебаркадер

Но ведь не всем и нужна вообще такая защита.

0
Абстрактный дебаркадер

Если бы еще пин-код не надо было запоминать... А то я совсем намучился с этими запоминаниями неосмысленных последовательностей букв и цифр.

0
Абстрактный дебаркадер

Если есть iPhone с TouchID, можно не запоминать. Правда, он понадобится, если нужно будет восстановить доступ.

0
Абстрактный дебаркадер

На первый взгляд кажется, что Яндекс сильно погорячились с созданием своей системы, потому что даже с миллионом комбинаций можно создать довольно надёжную систему противодействия подбору паролей.

Но если учесть, что ребята хотели вообще отойти от ввода логина и пароля в качестве первого фактора и главным желанием было сделать максимально удобную систему авторизации для обычных пользователей, то мне кажется, что тут игра вполне стоит свеч. 99% пользователей совершенно неважно, соответствует ли протокол RFC.

3
Абстрактный дебаркадер

Довольно оригинальное решение. Жаль, не попользую.

2
Абстрактный дебаркадер

Мне вот лень доставать смартфон. Нужен открытый протокол авторизации и устройство в виде браслета, считывающее qr код. Чтобы не лезть за смартом, а просто навести руку на код на 1-3 секунды. Для особых извращенцев - разбавить это снятием отпечатка пальца.

2
Абстрактный дебаркадер

Мы опубликуем спецификацию в ближайшее время. Если получится - проведем через IETF в качестве RFC.

19
Абстрактный дебаркадер

Соответственно, вводить такую авторизацию смогут любые сервисы.

1
Абстрактный дебаркадер

Как вариант - приложение для Android Wear/Apple Watch

1
Абстрактный дебаркадер

У вас просто нет на аккаунте счетчиков 20 компаний и почтовых сервисов для них же. Это правда не для всех нужно.

0
Абстрактный дебаркадер

Яндекс под ключ, недорого.

2
Абстрактный дебаркадер

Чего-то переиграли кажется. Я долго ждал появления двухфакторной авторизации на Яндексе, но никак не думал что она появится вот в таком вот виде.
Одноразовые пароли которые использует Google и еще куча сервисов (http://en.wikipedia.org/wiki/Google_Authenticator#Usage) помоему прекрасно справляются с задачей, плюс они удобно генерируются из одного приложения. То что там только цифры считаю не страшно, потому как все веб-банкинги используют одноразовые пароли в виде 6-10 цифр.

2
Абстрактный дебаркадер

На Хабре большое объяснение, чем не устроил стандартный подход к 2FA http://habrahabr.ru/company/yandex/blog/249547
В дальнейшем есть планы внедрить этот стандарт в RFC

0
Абстрактный дебаркадер

Да, уже прочитал, спасибо. Полагаю, что даже внедрение стандарта в RFC меня от лишнего приложения на телефоне не спасет.

0
Абстрактный дебаркадер

В один прекрасный день Яндекс, зная о нас практически все(логины, пароли, номера карт и документов), возьмет и сотрет из истории)) И ты как бы был и нету))

1
Абстрактный дебаркадер

Слишком сложно. Долго ждал двухфакторной от Яндекса, но в таком виде это просто неудобно. Решили отказаться от устоявшхся стандартов (RFC6238) - ваше дело, конечно, но ставить отдельное приложение только для сервисов Яндекса... Выше были упоминания про Google Authenticator, поддерживающий почти всё, кроме, как теперь выясняется, Яндекса.

1
Абстрактный дебаркадер

Я на хабре (http://habrahabr.ru/company/yandex/blog/249547/) написал, почему не RFC 6238. Серьезно, не от хорошей жизни.

1
Абстрактный дебаркадер

На Хабре уже читал, нет возможности там комментировать. Мысль ваша (разработчиков) понятна. Скооперируйтесь с остальным сообществом, а то вы пока в одиночестве, и это не совсем удобно конечному пользователю. Либо вы стандартизуйтесь, либо добавляйте их стандарты в своё приложение.

0
Абстрактный дебаркадер

Начал использовать одноразовый пароль в вк. В итоге через 2 месяца меня это начало неимоверно бесить. Все таки хороший пароль для меня пока что удобней.

1
Абстрактный дебаркадер

Ой блин, опять эта сраная стопицот-дверная система как в webmoney..

1
Абстрактный дебаркадер

Как раз решение Яндекса хорошо тем, что количество шагов и операций сведено к минимуму. Вплоть до авторизации по QR-коду.

1
Абстрактный дебаркадер

Тебя никто не заставляет ей пользоваться.

0
Абстрактный дебаркадер

Но-но, вебманивский Enum охрененный, я считаю. Приложение на телефоне открывается само (приходит push), работает быстро.

0
Абстрактный дебаркадер

Я лично писал в Mail.ru гневное письмо о том, что у них пароль=вся безопасность, очень просил добавить хотя бы двухфакторную аутентификацию
Приятно, что прислушались

1
Абстрактный дебаркадер

А почему новость не помечена стикером "Промо" или "Реклама"?

0
Абстрактный дебаркадер

Потому что не оплачена.

4
Абстрактный дебаркадер
4
Абстрактный дебаркадер

Хорошая попытка, Яндекс. Но нет.

–4
Абстрактный дебаркадер

Да я понимаю что NFC слабо распространен, это не конкретно ваша "недоработка" а общая претензия(пожелание) к отрасли

0
Абстрактный дебаркадер

Как уже сказано в комментариях Google Play - отдельное приложение не очень удобно. У меня есть Authy, который синхронизирует аккаунты, имеет десктопные расширения для браузеров. В нем я храню Google и VK (и потенциал для тех приложений, которые воспользуются этим же стандартом U2F). Почему Яндекс не смог поддержать тот же метод аутентификации?

0
Абстрактный дебаркадер

Яндекс входит в FIDO Alliance, мы знаем про UAF и U2F. Собственно, если вы посмотрите на UAF Architecture (http://fidoalliance.org/specs/fido-uaf-v1.0-ps-20141208/fido-uaf-overview-v1.0-ps-20141208.html), видно, что это очень похоже на наш подход.

Все будет хорошо. :)

0
Абстрактный дебаркадер

На самом деле вещь полезная,буду пользоваться,если подумать,то почту с такой защитой,практически не возможно взломать.

0
Абстрактный дебаркадер

Во всей это теме меня беспокоит вопрос. Что будет если кто-то сопрет мой телефон или я его потеряю? А там установленный Яндекс.Ключ. Это уязвимость? Или Яндекс.Ключ просто калькулятор для чисел.

0
Абстрактный дебаркадер

Там нужно вводить пин-код или приложить палец, чтобы получить доступ к одноразовым паролям.

0
Абстрактный дебаркадер

Нафиг это нужно. У меня все пароли в ежедневнике записаны.И многие я и так запомнил.

0
Абстрактный дебаркадер

Всё–же лучше перейти на нормальное хранилище паролей тогда. =)

0
Абстрактный дебаркадер

Хороший антивирус и 16ти символьный пароль, лучше

0
Абстрактный дебаркадер

Ребята, ставьте в таких материалах красную Р. Это можно принять за инфоповод, но коммерция тут перевешивает содержание

–1
Читать все 111 комментариев
null