Компания «Яндекс» запустила бета-тестирование двухфакторной аутентификации в своих сервисах. Выбранный метод избавляет от необходимости вводить пароль на сайте, но для входа в службу нужно будет иметь смартфон с камерой, подключенный к интернету.
Компания «Яндекс» запустила технологию двухфакторной аутентификации, которая пока работает в режиме открытого бета-тестирования.
Двухфакторная аутентификация — это метод установления подлинности пользователя в каком-либо сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.
Обычно двухфакторная аутентификация подразумевает ввод пароля на сайте, а затем подтверждение личности с помощью дополнительного кода, полученного в SMS-сообщении на мобильный телефон.
«У нас все еще проще», — говорит Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса». Компания предлагает вовсе не вводить пароль на веб-сайте. Вместо этого пользователю нужно будет сфотографировать QR-код на странице сервиса (например, «Яндекс.Почты») с помощью смартфона и ввести на смартфоне четырехзначный пин-код, рассказал он .
Фотография QR-кода поступит в приложение «Яндекс.Ключ» и в нем уже нужно будет ввести указанный код. Приложение «Яндекс.Ключ» нужно поставить на устройство заранее, если владелец желает пользоваться новой технологией «Яндекса». Кроме того, заранее нужно будет включить двухфакторную аутентификацию в «Яндекс.Паспорте», сообщил Иванов. Владельцы смартфонов и планшетов Apple вместо пин-кода могут использовать сканер отпечатка пальца Touch ID (при его наличии в модели).
Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.
Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть — из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», — добавили в «Яндексе».
Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.
После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль — он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.
«Если на смартфон установлены приложения «Яндекса», в которых используется логин (например, «Музыка», «Диск», «Почта», «Деньги»), авторизация в них будет осуществляться автоматическим «пробросом» данных из «Яндекс.Ключа», установленного на этот же смартфон, — продолжили в компании. — В случае, если автоматический сбор данных не сработал (технология работает в режиме беты) — можно открыть приложение «Яндекс.Ключ» и скопировать оттуда одноразовый пароль».