«Яндекс.Ключ» к твоему сердцу Статьи редакции
«Яндекс» запустил приложение, позволяющее не запоминать сложные пароли, и включился в гонку за безопасность
Компания «Яндекс» запустила механизм двухфакторной аутентификации и новое приложение «Яндекс.Ключ», генерирующее на мобильном устройстве код доступа к аккаунту на «Яндексе». Это позволит не запоминать сложный пароль для обеспечения безопасности. Об этом TJ сообщили представители компании.
Обновлено: спустя два часа после анонса от «Яндекса» о введении двухфакторной аутентификации сообщили в Mail.Ru Group.
«Яндекс.Ключ» позволяет не запоминать сложные пароли
Для того, чтобы пользоваться «Яндекс.Ключом», всё-таки придётся придумать и запомнить четырёхзначный PIN-код. Временные пароли, с помощью которых можно будет войти в свой аккаунт на «Яндексе», будут приходить на мобильное устройство и действовать в течение 30 секунд.
Однако авторизоваться можно и без введения одноразового пароля. В форме авторизации на «Яндексе» появились QR-коды: их можно считать при помощи камеры смартфона через «Яндекс.Ключ». Пользователи мобильных устройств Apple могут и не запоминать свой PIN-код: для них доступ в приложение возможен через отпечаток пальца, считанный при помощи сенсора Touch ID.
Двумя факторами аутентификации в данном случае являются PIN-код (или отпечаток пальца), который имеется только у пользователя, и знание о связи между аккаунтом на «Яндексе» и мобильным устройством с «Яндекс.Ключом» — оно хранится на серверах компании. Секретные коды генерируются одновременно с использованием как PIN, так и «секрета» с серверов «Яндекса». В компании также пояснили, что процедура аутентификации является одноэтапной: для логина требуется всего одно действие (ввод одноразового кода или сканирование QR-кода).
После включения механизма двухфакторной аутентификации пользователю «Яндекса» придётся заново авторизоваться на всех сервисах компании и во всех установленных приложениях при помощи пароля из «Яндекс.Паспорта», но сделать это нужно будет только один раз. На мобильных устройствах в режиме бета-версии работает технология «проброса» данных о логине из «Яндекс.Ключа», однако в компании признаются, что пока она срабатывает не во всех случаях.
Приложение «Яндекс.Ключ» уже доступно в магазинах App Store (для iPhone и iPad) и Google Play.
Нужно больше безопасности
Это уже не первое появление в «Яндексе» двухфакторной аутентификации. До этого она использовалась в «Яндекс.Деньгах» и во внутренних сервисах компании, сообщили TJ в «Яндексе».
Представители компании заявляют, что их процедура двухфакторной аутентификации надёжнее, потому что временные пароли генерируются из букв, а не из цифр, как происходит у конкурентов. Кроме того, пользователю не требуется сначала вводить свой логин и пароль: он авторизуется при помощи лишь логина и QR-кода или временного пароля.
Обычно при двухфакторной аутентификации пользователя просят войти в учётную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS. У нас всё ещё проще. Достаточно включить двухфакторную аутентификацию в «Паспорте» и установить приложение Яндекс.Ключ. В форме авторизации на главной странице «Яндекса», в «Почте» и «Паспорте» появились QR-коды. Для входа в учётную запись пользователю необходимо считать QR-код через приложение — и всё.
Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса»
В случае, если пользователь одновременно забудет свой PIN-код и утратит доступ к привязанной к аккаунту SIM-карте, у него всё равно будет возможность восстановить свой аккаунт. Для этого ему придётся пройти стандартную процедуру: заполнить анкету и побеседовать со службой поддержки, объяснили в «Яндексе».
Пользователи, у которых включена двухфакторная аутентификация, обычно более тщательно относятся к подобным вещам — например, указывают реальные имя и фамилию, по которым можно восстановить доступ с помощью документа, удостоверяющего личность. А ещё из приложения «Яндекс.Ключ» можно открыть специальную анкету восстановления доступа — на случай, если смартфон украли с целью получения доступа, там есть секретный уровень защиты.
пресс-служба «Яндекса»
Процедура двухфакторной аутентификации запущена в виде бета-версии. В компании сообщили, что она участвует в программе bug bounty — за поиск уязвимостей можно получить денежную премию: судя по объявлению, она составляет от 5,5 до 170 тысяч рублей.
Массовое «убийство» паролей
Пользователи не хотят запоминать сложные пароли и в большинстве своём не пользуются двухфакторной аутентификацией, считая её слишком сложной. Как показывает статистика, в рейтинге самых популярных паролей 2014 года до сих пор лидируют «123456», «password» и «qwerty».
В «Яндексе» решили использовать QR-коды и Touch ID после анализа различных исследований, показавших, что стандартной процедурой двухфакторной аутентификации пользуются от 0,02% до 1% аудитории различных сервисов.
«Яндекс» — не первая компания, которая включилась в гонку за повышение безопасности пользователей и одновременный отказ от запоминания сложных паролей. В октябре Twitter запустил похожую на «Яндекс.Ключ» платформу под названием Digits, позиционируя её как «убийцу паролей».
При помощи Digits пользователи смогут авторизовываться сразу в нескольких сервисах: на старте Twitter анонсировал партнёрство с фитнес-трекером FitStar, сервисом резервирования столиков в ресторанах Resy и приложением для спортивных фанатов OneFootball. Платформа Digits также интегрирована в новый пакет ПО для разработчиков Twitter Fabric.
В «Яндексе» рассказали TJ, что собираются открыть возможность авторизовываться в других приложениях при помощи «Яндекс.Ключа» — её появление запланировано в следующих обновлениях программы
Как и большинство сервисов, Digits использует для регистрации и верификации мобильный телефон, присылая код по SMS или через контакт внутри мессенджера. Такой метод применяется, например, в мессенджерах WhatsApp и Telegram.
В мобильном приложении Facebook давно существует собственный сервис Code Generator, который позволяет авторизовываться при помощи временных кодов. В Google можно включить двухфакторную аутентификацию для аккаунта и использовать приложение Google Authentificator, дающее доступ по QR-коду или по вводу кода безопасности. После скандала с утечкой личных фотографий знаменитостей в Apple тоже озаботились безопасностью пользователей iCloud.
Аналогичная Google функциональность в июне появилась и во «ВКонтакте», однако в соцсети заявили, что такие меры безопасности для большинства пользователей являются излишними. В почтовом сервисе Mail.Ru двухэтапная аутентификация отсутствует.
Обновлено в 15:34: Спустя несколько часов после анонса от «Яндекса» портал Mail.Ru запустил двухфакторную аутентификацию для «Почты», «Облака», «Календаря», «Игрового центра» и других проектов, сообщили TJ представители компании. Для входа пользователю необходимо использовать свой пароль и код, полученный через SMS на мобильный телефон.
В компании подчеркнули, что закрытое бета-тестирование двухфакторной аутентификации началось в конце декабря при поддержке сообщества «Хабрахабра».
Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако «слабым звеном» часто оказывается сохранность пароля у самого пользователя. Если же включён второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее.
Реализовать эту функцию нас просили в основном продвинутые пользователи, но я очень надеюсь, что она станет популярна и у более широкой аудитории.
Анна Артамонова, вице-президент Mail.Ru Group
Яндекс.Отмычка
Комментарий удален модератором
Пока такое решение работает только внутри яндекса, это никому не нужно.
Но если яндекс даст возможность использовать такое решение разработчикам в своих приложениях, станет гораздо интереснее.
Для приложений есть OAuth https://tech.yandex.ru/oauth/
А никому — это всем пользователям Яндекса, которые волнуются за свои письма и файлы? :)
Алгоритм надежных паролей довольно прост.
1. Придумываешь базовый набор символов, который запоминаешь. Нужно, чтобы этого слова не существовало в словарях, в последовательностях букв на клавиатуре. Желательно в него воткнуть цифры. Что-то типа wt7nj10r.
2. Запоминаем его - есть всякие интересные мнемонические приемы.
3. Придумываем алгоритм усложнения пароля. Удобнее всего делать в зависимости от имени сайта.
Можно добавить, например, все согласные буквы к паролю типа wt7nj10rtjrnl
Можно добавить в обратном порядке. Можно добавить спереди надпись SMI если это пресса. Можно вообще кучу всего придумать. Да и потом нужно добавить больших букв. Например, Первую и Последнюю.
В итоге получится что-то типа
Wt7nj10rtjrnL
Абракадабра из 13 символов, будет безопасным такой пароль еще лет 10.
Итог: пароли не ломаемые перебором, для каждого сайта уникальный пароль.
Вы хоть понимаете, что НОРМАЛЬНЫЙ человек не запомнит этот пароль?
Хорошая идея! Я себе для автоматизации этого процесса накодил http://pass.wawan.pro/
Каким бы сложным не был пароль, это не спасет вас от его компрометации - кражи трояном, фишинговым сайтом, утечки при передаче. Основное назначение двухфакторной авторизации уберечь именно от такого типа угроз, потому как атака перебором на веб-сервис это в любом случае очень медленный и трудоемкий процесс.
Крутая идея с добавлением названия сайта в пароль. А то мне приходится 5 шестнадцатизначных паролей в голове держать. Использую их в соответствии с уровнем важности ресурса.
Вангую, что этой технологией будет пользоваться "от 0,02% до 1% аудитории", ибо всем остальным ***** (индифферентно).
вопрос времени. рано или поздно люди к этому приходят
А звездочки автоматически подставляются?
А просто по номеру телефона у них двухфакторной аутентификации нет? Что бы без всяких приложений, а тупо СМС с одноразовым паролем приходило?
Пока что только через приложение.
SMS удобнее чем QR (включать камеру, наводить на код)
надо какой то новый способ типа nfc
пользователь подносит телефон (с nfc) к ___(место вакантно)___
и происходит "магия"
в общем надо внедрять NFC в ноуты и ПК
Если бы NFC был распространен, сделали бы его. Мы про него думали. Если, скажем, через год ситуация улучшится, поддержим.
Включать камеру быстрее.
И не зависит от перебоев у твоего оператора и сигнала моб.связи (или как там это называется).
Про NFC да, согласен
Вот именно SMS — вряд ли удобнее, ведь это такой же код, который генерируется в приложении. Приложение же умеет не только QR.
Я сижу в офисе, где не ловит сеть почти. Расскажите мне про удобство смс :)
СМС? Расскажите это тем, у кого увели сим-карты через друзей в мобильных салонах.
Я по заголовку подумал, что это будет «Яндекс.Lastpass» с двухфакторной аутентификацией.
А оказалось, что это только про Яндекс. Meh.
Текст, кстати, по мне так тяжеловато читать, хорошо видео есть.
Осталось понять, а правда ли кто-то считает Touch ID достаточно секьюрной вещью. Да и каким боком это двухфакторная аутентификация, пин-код на приложение что-ли первый фактор?
А если Яндекс сделает Lastpass, будете пользоваться?
TouchID на мой взгляд неплохо сделан. Да, пин - это первый фактор? Коротковат?
То самое чувство, когда захотел поменять аккаунт Gmail на Яндекс.
И хорошо было бы, если такой способ авторизации сделали по умолчанию. По опыту общения со знакомыми знаю, что мало кто вообще когда-либо в настройки почты полезет, не то что в настройки "двухфакторной авторизации", что для среднего пользователя звучит как проклятие.
Если бы еще пин-код не надо было запоминать... А то я совсем намучился с этими запоминаниями неосмысленных последовательностей букв и цифр.
На первый взгляд кажется, что Яндекс сильно погорячились с созданием своей системы, потому что даже с миллионом комбинаций можно создать довольно надёжную систему противодействия подбору паролей.
Но если учесть, что ребята хотели вообще отойти от ввода логина и пароля в качестве первого фактора и главным желанием было сделать максимально удобную систему авторизации для обычных пользователей, то мне кажется, что тут игра вполне стоит свеч. 99% пользователей совершенно неважно, соответствует ли протокол RFC.
Довольно оригинальное решение. Жаль, не попользую.
Мне вот лень доставать смартфон. Нужен открытый протокол авторизации и устройство в виде браслета, считывающее qr код. Чтобы не лезть за смартом, а просто навести руку на код на 1-3 секунды. Для особых извращенцев - разбавить это снятием отпечатка пальца.
Мы опубликуем спецификацию в ближайшее время. Если получится - проведем через IETF в качестве RFC.
Соответственно, вводить такую авторизацию смогут любые сервисы.
Как вариант - приложение для Android Wear/Apple Watch
У вас просто нет на аккаунте счетчиков 20 компаний и почтовых сервисов для них же. Это правда не для всех нужно.
Яндекс под ключ, недорого.
Чего-то переиграли кажется. Я долго ждал появления двухфакторной авторизации на Яндексе, но никак не думал что она появится вот в таком вот виде.
Одноразовые пароли которые использует Google и еще куча сервисов (http://en.wikipedia.org/wiki/Google_Authenticator#Usage) помоему прекрасно справляются с задачей, плюс они удобно генерируются из одного приложения. То что там только цифры считаю не страшно, потому как все веб-банкинги используют одноразовые пароли в виде 6-10 цифр.
На Хабре большое объяснение, чем не устроил стандартный подход к 2FA http://habrahabr.ru/company/yandex/blog/249547
В дальнейшем есть планы внедрить этот стандарт в RFC
В один прекрасный день Яндекс, зная о нас практически все(логины, пароли, номера карт и документов), возьмет и сотрет из истории)) И ты как бы был и нету))
Слишком сложно. Долго ждал двухфакторной от Яндекса, но в таком виде это просто неудобно. Решили отказаться от устоявшхся стандартов (RFC6238) - ваше дело, конечно, но ставить отдельное приложение только для сервисов Яндекса... Выше были упоминания про Google Authenticator, поддерживающий почти всё, кроме, как теперь выясняется, Яндекса.
Я на хабре (http://habrahabr.ru/company/yandex/blog/249547/) написал, почему не RFC 6238. Серьезно, не от хорошей жизни.
Начал использовать одноразовый пароль в вк. В итоге через 2 месяца меня это начало неимоверно бесить. Все таки хороший пароль для меня пока что удобней.
Комментарий недоступен
Как раз решение Яндекса хорошо тем, что количество шагов и операций сведено к минимуму. Вплоть до авторизации по QR-коду.
Тебя никто не заставляет ей пользоваться.
Но-но, вебманивский Enum охрененный, я считаю. Приложение на телефоне открывается само (приходит push), работает быстро.
Я лично писал в Mail.ru гневное письмо о том, что у них пароль=вся безопасность, очень просил добавить хотя бы двухфакторную аутентификацию
Приятно, что прислушались
А почему новость не помечена стикером "Промо" или "Реклама"?
Потому что не оплачена.
Хорошая попытка, Яндекс. Но нет.
Да я понимаю что NFC слабо распространен, это не конкретно ваша "недоработка" а общая претензия(пожелание) к отрасли
Как уже сказано в комментариях Google Play - отдельное приложение не очень удобно. У меня есть Authy, который синхронизирует аккаунты, имеет десктопные расширения для браузеров. В нем я храню Google и VK (и потенциал для тех приложений, которые воспользуются этим же стандартом U2F). Почему Яндекс не смог поддержать тот же метод аутентификации?
Яндекс входит в FIDO Alliance, мы знаем про UAF и U2F. Собственно, если вы посмотрите на UAF Architecture (http://fidoalliance.org/specs/fido-uaf-v1.0-ps-20141208/fido-uaf-overview-v1.0-ps-20141208.html), видно, что это очень похоже на наш подход.
Все будет хорошо. :)
На самом деле вещь полезная,буду пользоваться,если подумать,то почту с такой защитой,практически не возможно взломать.
Во всей это теме меня беспокоит вопрос. Что будет если кто-то сопрет мой телефон или я его потеряю? А там установленный Яндекс.Ключ. Это уязвимость? Или Яндекс.Ключ просто калькулятор для чисел.
Там нужно вводить пин-код или приложить палец, чтобы получить доступ к одноразовым паролям.
Нафиг это нужно. У меня все пароли в ежедневнике записаны.И многие я и так запомнил.
Всё–же лучше перейти на нормальное хранилище паролей тогда. =)
Хороший антивирус и 16ти символьный пароль, лучше
Ребята, ставьте в таких материалах красную Р. Это можно принять за инфоповод, но коммерция тут перевешивает содержание