Рубрика развивается при поддержке
Advertisement

«Яндекс.Ключ» к твоему сердцу Статьи редакции

«Яндекс» запустил приложение, позволяющее не запоминать сложные пароли, и включился в гонку за безопасность

Компания «Яндекс» запустила механизм двухфакторной аутентификации и новое приложение «Яндекс.Ключ», генерирующее на мобильном устройстве код доступа к аккаунту на «Яндексе». Это позволит не запоминать сложный пароль для обеспечения безопасности. Об этом TJ сообщили представители компании.

Обновлено: спустя два часа после анонса от «Яндекса» о введении двухфакторной аутентификации сообщили в Mail.Ru Group.

«Яндекс.Ключ» позволяет не запоминать сложные пароли

Для того, чтобы пользоваться «Яндекс.Ключом», всё-таки придётся придумать и запомнить четырёхзначный PIN-код. Временные пароли, с помощью которых можно будет войти в свой аккаунт на «Яндексе», будут приходить на мобильное устройство и действовать в течение 30 секунд.

Однако авторизоваться можно и без введения одноразового пароля. В форме авторизации на «Яндексе» появились QR-коды: их можно считать при помощи камеры смартфона через «Яндекс.Ключ». Пользователи мобильных устройств Apple могут и не запоминать свой PIN-код: для них доступ в приложение возможен через отпечаток пальца, считанный при помощи сенсора Touch ID.

Двумя факторами аутентификации в данном случае являются PIN-код (или отпечаток пальца), который имеется только у пользователя, и знание о связи между аккаунтом на «Яндексе» и мобильным устройством с «Яндекс.Ключом» — оно хранится на серверах компании. Секретные коды генерируются одновременно с использованием как PIN, так и «секрета» с серверов «Яндекса». В компании также пояснили, что процедура аутентификации является одноэтапной: для логина требуется всего одно действие (ввод одноразового кода или сканирование QR-кода).

После включения механизма двухфакторной аутентификации пользователю «Яндекса» придётся заново авторизоваться на всех сервисах компании и во всех установленных приложениях при помощи пароля из «Яндекс.Паспорта», но сделать это нужно будет только один раз. На мобильных устройствах в режиме бета-версии работает технология «проброса» данных о логине из «Яндекс.Ключа», однако в компании признаются, что пока она срабатывает не во всех случаях.

Приложение «Яндекс.Ключ» уже доступно в магазинах App Store (для iPhone и iPad) и Google Play.

Нужно больше безопасности

Это уже не первое появление в «Яндексе» двухфакторной аутентификации. До этого она использовалась в «Яндекс.Деньгах» и во внутренних сервисах компании, сообщили TJ в «Яндексе».

Представители компании заявляют, что их процедура двухфакторной аутентификации надёжнее, потому что временные пароли генерируются из букв, а не из цифр, как происходит у конкурентов. Кроме того, пользователю не требуется сначала вводить свой логин и пароль: он авторизуется при помощи лишь логина и QR-кода или временного пароля.

Обычно при двухфакторной аутентификации пользователя просят войти в учётную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS. У нас всё ещё проще. Достаточно включить двухфакторную аутентификацию в «Паспорте» и установить приложение Яндекс.Ключ. В форме авторизации на главной странице «Яндекса», в «Почте» и «Паспорте» появились QR-коды. Для входа в учётную запись пользователю необходимо считать QR-код через приложение — и всё.

Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса»

В случае, если пользователь одновременно забудет свой PIN-код и утратит доступ к привязанной к аккаунту SIM-карте, у него всё равно будет возможность восстановить свой аккаунт. Для этого ему придётся пройти стандартную процедуру: заполнить анкету и побеседовать со службой поддержки, объяснили в «Яндексе».

Пользователи, у которых включена двухфакторная аутентификация, обычно более тщательно относятся к подобным вещам — например, указывают реальные имя и фамилию, по которым можно восстановить доступ с помощью документа, удостоверяющего личность. А ещё из приложения «Яндекс.Ключ» можно открыть специальную анкету восстановления доступа — на случай, если смартфон украли с целью получения доступа, там есть секретный уровень защиты.

пресс-служба «Яндекса»

Процедура двухфакторной аутентификации запущена в виде бета-версии. В компании сообщили, что она участвует в программе bug bounty — за поиск уязвимостей можно получить денежную премию: судя по объявлению, она составляет от 5,5 до 170 тысяч рублей.

Массовое «убийство» паролей

Пользователи не хотят запоминать сложные пароли и в большинстве своём не пользуются двухфакторной аутентификацией, считая её слишком сложной. Как показывает статистика, в рейтинге самых популярных паролей 2014 года до сих пор лидируют «123456», «password» и «qwerty».

В «Яндексе» решили использовать QR-коды и Touch ID после анализа различных исследований, показавших, что стандартной процедурой двухфакторной аутентификации пользуются от 0,02% до 1% аудитории различных сервисов.

«Яндекс» — не первая компания, которая включилась в гонку за повышение безопасности пользователей и одновременный отказ от запоминания сложных паролей. В октябре Twitter запустил похожую на «Яндекс.Ключ» платформу под названием Digits, позиционируя её как «убийцу паролей».

При помощи Digits пользователи смогут авторизовываться сразу в нескольких сервисах: на старте Twitter анонсировал партнёрство с фитнес-трекером FitStar, сервисом резервирования столиков в ресторанах Resy и приложением для спортивных фанатов OneFootball. Платформа Digits также интегрирована в новый пакет ПО для разработчиков Twitter Fabric.

В «Яндексе» рассказали TJ, что собираются открыть возможность авторизовываться в других приложениях при помощи «Яндекс.Ключа» — её появление запланировано в следующих обновлениях программы

Как и большинство сервисов, Digits использует для регистрации и верификации мобильный телефон, присылая код по SMS или через контакт внутри мессенджера. Такой метод применяется, например, в мессенджерах WhatsApp и Telegram.

В мобильном приложении Facebook давно существует собственный сервис Code Generator, который позволяет авторизовываться при помощи временных кодов. В Google можно включить двухфакторную аутентификацию для аккаунта и использовать приложение Google Authentificator, дающее доступ по QR-коду или по вводу кода безопасности. После скандала с утечкой личных фотографий знаменитостей в Apple тоже озаботились безопасностью пользователей iCloud.

Аналогичная Google функциональность в июне появилась и во «ВКонтакте», однако в соцсети заявили, что такие меры безопасности для большинства пользователей являются излишними. В почтовом сервисе Mail.Ru двухэтапная аутентификация отсутствует.

Обновлено в 15:34: Спустя несколько часов после анонса от «Яндекса» портал Mail.Ru запустил двухфакторную аутентификацию для «Почты», «Облака», «Календаря», «Игрового центра» и других проектов, сообщили TJ представители компании. Для входа пользователю необходимо использовать свой пароль и код, полученный через SMS на мобильный телефон.

В компании подчеркнули, что закрытое бета-тестирование двухфакторной аутентификации началось в конце декабря при поддержке сообщества «Хабрахабра».

Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако «слабым звеном» часто оказывается сохранность пароля у самого пользователя. Если же включён второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее.

Реализовать эту функцию нас просили в основном продвинутые пользователи, но я очень надеюсь, что она станет популярна и у более широкой аудитории.

Анна Артамонова, вице-президент Mail.Ru Group
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441_\u043a\u043b\u044e\u0447","\u044f\u043d\u0434\u0435\u043a\u0441","\u0441\u0442\u0430\u0442\u044c\u044f","\u043d\u0430\u0434\u0451\u0436\u043d\u044b\u0435_\u043f\u0430\u0440\u043e\u043b\u0438","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f"], "comments": 111, "likes": 22, "favorites": 1, "is_advertisement": false, "subsite_label": "tech", "id": 53937, "is_wide": true, "is_ugc": true, "date": "Tue, 03 Feb 2015 13:09:48 +0300", "is_special": false }
0
111 комментариев
Популярные
По порядку
Написать комментарий...
Оранжевый браслет

Мы опубликуем спецификацию в ближайшее время. Если получится - проведем через IETF в качестве RFC.

Итальянский фонарь

Яндекс.Отмычка

13

Комментарий удален

Французский Артем

Пока такое решение работает только внутри яндекса, это никому не нужно.
Но если яндекс даст возможность использовать такое решение разработчикам в своих приложениях, станет гораздо интереснее.

8
Должностной щит

Для приложений есть OAuth https://tech.yandex.ru/oauth/
А никому — это всем пользователям Яндекса, которые волнуются за свои письма и файлы? :)

2
Французский Артем

Да, никому — это всем пользователям Яндекса, которые волнуются за свои письма и файлы.

4
Виновный глобус

Алгоритм надежных паролей довольно прост.
1. Придумываешь базовый набор символов, который запоминаешь. Нужно, чтобы этого слова не существовало в словарях, в последовательностях букв на клавиатуре. Желательно в него воткнуть цифры. Что-то типа wt7nj10r.
2. Запоминаем его - есть всякие интересные мнемонические приемы.
3. Придумываем алгоритм усложнения пароля. Удобнее всего делать в зависимости от имени сайта.
Можно добавить, например, все согласные буквы к паролю типа wt7nj10rtjrnl
Можно добавить в обратном порядке. Можно добавить спереди надпись SMI если это пресса. Можно вообще кучу всего придумать. Да и потом нужно добавить больших букв. Например, Первую и Последнюю.
В итоге получится что-то типа
Wt7nj10rtjrnL
Абракадабра из 13 символов, будет безопасным такой пароль еще лет 10.
Итог: пароли не ломаемые перебором, для каждого сайта уникальный пароль.

8
Годовой Орзэмэс

Вы хоть понимаете, что НОРМАЛЬНЫЙ человек не запомнит этот пароль?

4
Виновный глобус

Там Вадим верно все понял, нужно запомнить пароль и правило. И вот, из головы можно достать много уникальных паролей.
Если есть сложности с запоминанием одного базового пароля, то тут на помощь придет пара приемов.
1. Запомнить фразу, взять от нее первые буквы. Может это будет даже строчка из любимой песни. Или пословица.
Или так:
Я сдал 300 мл крови для Елизаветы Второй
ys300mkdE2 - вот базовое слово.
2. Представляешь комнату, там располагаешь предметы с названием на буквы пароля на всяких разных местах.

Да, основная проблема, это не память, а лень, элементарная лень, чтобы потратить минуту своего времени, чтобы запомнить пароль. Поэтому там у кучи людей пароли типа Iap30121980
Иванов Андрей Петрович 30 декабря 1980 года
И удовлетворяют всем признакам - от 6 символов, большая, маленькая буква и цифра. А пароль говно.

7
Французский Артем

а тем более если таких паролей нужно несколько десятков

–1
Похожий татарин

Хорошая идея! Я себе для автоматизации этого процесса накодил http://pass.wawan.pro/

2
Общий пёс_анон

Щас ага, буду себе пароль для онлайн-банкинга там генерить :D

1
Виновный глобус

А на основании чего примерно генерируется сам пароль? Какого правила-алгоритма.
Если не секрет)

0
Ровный бас

Каким бы сложным не был пароль, это не спасет вас от его компрометации - кражи трояном, фишинговым сайтом, утечки при передаче. Основное назначение двухфакторной авторизации уберечь именно от такого типа угроз, потому как атака перебором на веб-сервис это в любом случае очень медленный и трудоемкий процесс.

2
Виновный глобус

абсолютно согласен. И считаю, что безопасность должна идти от головы:
1. Использовать криптосойкий паролью
2. Использовать по возможности https
3. Не лазать по сомнительным сайтам
4. Не заниматься важными операциями через общественный вай-фай
5. Не хранить пароли в текстовом виде на компе. Да даже на картинке не желательно.
и тд и тп

Но не думаю, что этим рекомендациям следует хотя бы 20% рядовых пользователей (на ТЖ побольше процент, тут люди в целом грамоные сидят)
Но и двухфакторную аутентификацию используют гораздо меньше людей. Вот, если ее сделают типа стандарта и заставят людей ее использовать - это правильно.

Меня что беспокоит в таком случае.
Бывает срочно нужен сайт, а телефон лежит разряженный убитый. И жопа.

Плюс еще какой риск. Он в принципе для всего есть. Злоумышленник может стащить телефон, сбросить пароль с интересующего сайта на электронку, и вуаля.

Спасение, по моему мнению, двухфакторный NFC на телефоне, браслете или смарт-карте + ПИН

1
Общий пёс_анон

Крутая идея с добавлением названия сайта в пароль. А то мне приходится 5 шестнадцатизначных паролей в голове держать. Использую их в соответствии с уровнем важности ресурса.

1
Параллельный франт

Вангую, что этой технологией будет пользоваться "от 0,02% до 1% аудитории", ибо всем остальным ***** (индифферентно).

7
Дневной химик

вопрос времени. рано или поздно люди к этому приходят

0
Акционерный цвет

А звездочки автоматически подставляются?

0
Параллельный франт

Я же говорил, у меня была только #идеядлястартапа, но не сам стартап.

1
Древний глобус

А просто по номеру телефона у них двухфакторной аутентификации нет? Что бы без всяких приложений, а тупо СМС с одноразовым паролем приходило?

4
Должностной щит

Пока что только через приложение.

2
Древний глобус

Обидно

0
Полезный меч

SMS удобнее чем QR (включать камеру, наводить на код)
надо какой то новый способ типа nfc
пользователь подносит телефон (с nfc) к ___(место вакантно)___
и происходит "магия"

в общем надо внедрять NFC в ноуты и ПК

4
Оранжевый браслет

Если бы NFC был распространен, сделали бы его. Мы про него думали. Если, скажем, через год ситуация улучшится, поддержим.

5
Годовой Орзэмэс

NFC? Не распространен?!?! Если на iPhone его нет, это не значит, что он не распространен.

2
Должностной Данила

Вы тот Иванов который - директор по информационным технологиям Яндекса?

0
Французский Артем

Владимир, вы участвовали в разработке этой системы авторизации? Вы из Яндекса?

0
Полезный меч

Да я понимаю что NFC слабо распространен, это не конкретно ваша "недоработка" а общая претензия(пожелание) к отрасли

0
Французский Артем

Включать камеру быстрее.
И не зависит от перебоев у твоего оператора и сигнала моб.связи (или как там это называется).
Про NFC да, согласен

2
Должностной щит

Вот именно SMS — вряд ли удобнее, ведь это такой же код, который генерируется в приложении. Приложение же умеет не только QR.

0
Акционерный цвет

Я сижу в офисе, где не ловит сеть почти. Расскажите мне про удобство смс :)

0
Советский Валера

СМС? Расскажите это тем, у кого увели сим-карты через друзей в мобильных салонах.

0
Вынужденный франт

Я по заголовку подумал, что это будет «Яндекс.Lastpass» с двухфакторной аутентификацией.
А оказалось, что это только про Яндекс. Meh.

Текст, кстати, по мне так тяжеловато читать, хорошо видео есть.

Осталось понять, а правда ли кто-то считает Touch ID достаточно секьюрной вещью. Да и каким боком это двухфакторная аутентификация, пин-код на приложение что-ли первый фактор?

3
Оранжевый браслет

А если Яндекс сделает Lastpass, будете пользоваться?

TouchID на мой взгляд неплохо сделан. Да, пин - это первый фактор? Коротковат?

2
Вынужденный франт

Я не знаю, конкурировать с LastPass и 1Password будет тяжело, конечно. Но я бы это обдумал.
С другой стороны, уж у Яндекса есть возможность этот сервис распространить среди тех людей, которые о конкурентах не слышали и не задумывались.

К TouchID у меня претензия точно такая же, как к любому сканеру отпечатков — один раз скомпрометируешь и пользоваться больше нельзя.
Это пока не касается всяких суперсканеров в банкоматах, которые сканируют в том числе рисунок вен, но и это рано или поздно научатся обходить.

Пин-код, да, на мой взгляд коротковат и проще подглядывается с телефона. И это, на мой взгляд, даже важнее — чтобы зайти, нужно всего лишь подглядеть пин-код, доступ к телефону тут практически сам собой разумеется.

1
Советский Валера

Если сделаете бесплатный аналог LastPass, то, конечно же, будем, Владимир.

0
Следственный мангал

Из ролика кажется что в пине могут быть только цифры, это действительно так?

0
Компьютерный химик

То самое чувство, когда захотел поменять аккаунт Gmail на Яндекс.

3
Компьютерный химик

И хорошо было бы, если такой способ авторизации сделали по умолчанию. По опыту общения со знакомыми знаю, что мало кто вообще когда-либо в настройки почты полезет, не то что в настройки "двухфакторной авторизации", что для среднего пользователя звучит как проклятие.

1
Должностной щит

Но ведь не всем и нужна вообще такая защита.

0
Компьютерный химик

Если бы еще пин-код не надо было запоминать... А то я совсем намучился с этими запоминаниями неосмысленных последовательностей букв и цифр.

0
Оранжевый браслет

Если есть iPhone с TouchID, можно не запоминать. Правда, он понадобится, если нужно будет восстановить доступ.

0
Колючий колос

На первый взгляд кажется, что Яндекс сильно погорячились с созданием своей системы, потому что даже с миллионом комбинаций можно создать довольно надёжную систему противодействия подбору паролей.

Но если учесть, что ребята хотели вообще отойти от ввода логина и пароля в качестве первого фактора и главным желанием было сделать максимально удобную систему авторизации для обычных пользователей, то мне кажется, что тут игра вполне стоит свеч. 99% пользователей совершенно неважно, соответствует ли протокол RFC.

3
Оптимальный Мурод

Довольно оригинальное решение. Жаль, не попользую.

2
Блестящий цвет

Мне вот лень доставать смартфон. Нужен открытый протокол авторизации и устройство в виде браслета, считывающее qr код. Чтобы не лезть за смартом, а просто навести руку на код на 1-3 секунды. Для особых извращенцев - разбавить это снятием отпечатка пальца.

2
Оранжевый браслет

Мы опубликуем спецификацию в ближайшее время. Если получится - проведем через IETF в качестве RFC.

19
Блестящий цвет

Соответственно, вводить такую авторизацию смогут любые сервисы.

1
Годовой Орзэмэс

Как вариант - приложение для Android Wear/Apple Watch

1
Акционерный цвет

У вас просто нет на аккаунте счетчиков 20 компаний и почтовых сервисов для них же. Это правда не для всех нужно.

0
Значимый каякер

Яндекс под ключ, недорого.

2
Ровный бас

Чего-то переиграли кажется. Я долго ждал появления двухфакторной авторизации на Яндексе, но никак не думал что она появится вот в таком вот виде.
Одноразовые пароли которые использует Google и еще куча сервисов (http://en.wikipedia.org/wiki/Google_Authenticator#Usage) помоему прекрасно справляются с задачей, плюс они удобно генерируются из одного приложения. То что там только цифры считаю не страшно, потому как все веб-банкинги используют одноразовые пароли в виде 6-10 цифр.

2
Должностной щит

На Хабре большое объяснение, чем не устроил стандартный подход к 2FA http://habrahabr.ru/company/yandex/blog/249547
В дальнейшем есть планы внедрить этот стандарт в RFC

0
Ровный бас

Да, уже прочитал, спасибо. Полагаю, что даже внедрение стандарта в RFC меня от лишнего приложения на телефоне не спасет.

0
Милицейский американец

В один прекрасный день Яндекс, зная о нас практически все(логины, пароли, номера карт и документов), возьмет и сотрет из истории)) И ты как бы был и нету))

1
Классный каякер

Слишком сложно. Долго ждал двухфакторной от Яндекса, но в таком виде это просто неудобно. Решили отказаться от устоявшхся стандартов (RFC6238) - ваше дело, конечно, но ставить отдельное приложение только для сервисов Яндекса... Выше были упоминания про Google Authenticator, поддерживающий почти всё, кроме, как теперь выясняется, Яндекса.

1
Оранжевый браслет

Я на хабре (http://habrahabr.ru/company/yandex/blog/249547/) написал, почему не RFC 6238. Серьезно, не от хорошей жизни.

1
Классный каякер

На Хабре уже читал, нет возможности там комментировать. Мысль ваша (разработчиков) понятна. Скооперируйтесь с остальным сообществом, а то вы пока в одиночестве, и это не совсем удобно конечному пользователю. Либо вы стандартизуйтесь, либо добавляйте их стандарты в своё приложение.

0
Верный дебаркадер

Начал использовать одноразовый пароль в вк. В итоге через 2 месяца меня это начало неимоверно бесить. Все таки хороший пароль для меня пока что удобней.

1
Типичный глобус

Ой блин, опять эта сраная стопицот-дверная система как в webmoney..

1
Должностной щит

Как раз решение Яндекса хорошо тем, что количество шагов и операций сведено к минимуму. Вплоть до авторизации по QR-коду.

1
Советский Валера

Тебя никто не заставляет ей пользоваться.

0
Заслуженный Гоша

Но-но, вебманивский Enum охрененный, я считаю. Приложение на телефоне открывается само (приходит push), работает быстро.

0
Бедный диод

Я лично писал в Mail.ru гневное письмо о том, что у них пароль=вся безопасность, очень просил добавить хотя бы двухфакторную аутентификацию
Приятно, что прислушались

1
Печальный фитиль

А почему новость не помечена стикером "Промо" или "Реклама"?

0
Белорусский ГОСТ

Потому что не оплачена.

4
Печальный фитиль
4
Горный яд

Хорошая попытка, Яндекс. Но нет.

–4
Полезный меч

Да я понимаю что NFC слабо распространен, это не конкретно ваша "недоработка" а общая претензия(пожелание) к отрасли

0
Умный лолипоп

Как уже сказано в комментариях Google Play - отдельное приложение не очень удобно. У меня есть Authy, который синхронизирует аккаунты, имеет десктопные расширения для браузеров. В нем я храню Google и VK (и потенциал для тех приложений, которые воспользуются этим же стандартом U2F). Почему Яндекс не смог поддержать тот же метод аутентификации?

0
Оранжевый браслет

Яндекс входит в FIDO Alliance, мы знаем про UAF и U2F. Собственно, если вы посмотрите на UAF Architecture (http://fidoalliance.org/specs/fido-uaf-v1.0-ps-20141208/fido-uaf-overview-v1.0-ps-20141208.html), видно, что это очень похоже на наш подход.

Все будет хорошо. :)

0
Действующий файл

На самом деле вещь полезная,буду пользоваться,если подумать,то почту с такой защитой,практически не возможно взломать.

0
Следственный мангал

Во всей это теме меня беспокоит вопрос. Что будет если кто-то сопрет мой телефон или я его потеряю? А там установленный Яндекс.Ключ. Это уязвимость? Или Яндекс.Ключ просто калькулятор для чисел.

0
Колючий колос

Там нужно вводить пин-код или приложить палец, чтобы получить доступ к одноразовым паролям.

0
Удачный жар

Нафиг это нужно. У меня все пароли в ежедневнике записаны.И многие я и так запомнил.

0
Вынужденный франт

Всё–же лучше перейти на нормальное хранилище паролей тогда. =)

0
Дипломатический алмаз

Хороший антивирус и 16ти символьный пароль, лучше

0
Просторный американец

Ребята, ставьте в таких материалах красную Р. Это можно принять за инфоповод, но коммерция тут перевешивает содержание

–1
Читать все 111 комментариев
null