iPhone & iPad

«Яндекс» запустил приложение для авторизации на сайте с помощью Touch ID

«Яндекс» запустил собственную систему двухфакторной аутентификации пользователей. Система позволяет защитить учетную запись с помощью мобильного приложения «Яндекс. Ключ».

acc-4

Двухфакторная аутентификация «Яндекса» пока работает в режиме открытого бета-тестирования. Данный метод установления подлинности пользователя в каком-либо сервисе предусматривает запрос аутентификационных двух разных типов, что обеспечивает  более эффективную защиту аккаунта от несанкционированного проникновения.

Как рассказали в пресс-службе «Яндекса», приложение «Яндекс. Ключ» позволяет привязать смартфон к аккаунту. Доступ к приложению защищен пин-кодом или сканером отпечатков Touch ID на смартфонах iPhone.

acc-2

Обычно двухфакторная аутентификация подразумевает ввод пароля на сайте, а затем подтверждение личности с помощью дополнительного кода, полученного в SMS-сообщении на мобильный телефон. «Яндекс» же предлагает вовсе не вводить пароль на веб-сайте. Вместо этого пользователю нужно будет сфотографировать QR-код на странице сервиса с помощью смартфона и ввести на смартфоне четырехзначный пин-код.

Как рассказали в компании, два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и отпечаток пальца пользователя (или знание четырехзначного пина). Каждый раз при срабатывании Touch ID (или вводе пин-кода) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из кода, который знают только пользователь и «Яндекс», и часть — из данных приложения. В одноразовом коде зашифрованы оба «секрета».

«Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», — добавили в «Яндексе».

Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету, приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.

acc-1

После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль — он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.

«Если на смартфон установлены приложения «Яндекса», в которых используется логин (например, «Музыка», «Диск», «Почта», «Деньги»), авторизация в них будет осуществляться автоматическим «пробросом» данных из «Яндекс.Ключа», установленного на этот же смартфон, — продолжили в компании. — В случае, если автоматический сбор данных не сработал (технология работает в режиме беты) — можно открыть приложение «Яндекс.Ключ» и скопировать оттуда одноразовый пароль».

5 комментариев

  • В принципе ничего удивительного. Рано или поздно все так сделают. Зато это очень удобно. =) 4 года назад
  • А

    Александр 4 года назад
    0
    Теперь и Яндекс собирает не только базу данных паролей, но и базу отпечатков. А через некоторое время появятся новость о том, что типа хакеры взломали и украли данные... Мне-то фиолетово, я манией преследования не страдаю, да и скрывать мне нечего. Просто, мысль такая посетила... 4 года назад
    • Глупая мысль! Твои отпечатки никому не передаюся, они хранятся в защищеном месте в зашифрованном виде в памяти процессора! Тем более, даже если твои отпечатки кто-то сможет вытащить из телефона, их не различат, потому что когда ты сканируешь отпечаток для TouchID, ты много раз прикладываешь палец, так что там такая каша будет визуально! 4 года назад
      • Это ты глупый! Из этих несколькоразовых прикладываний пальца к сенсору, потом запросто составляется полная картина т.е. самый подробный отпечаток пальца. Так что не успокаивай себя и других :) А яндекс потом с удовольствием сольет твои отпечатки в МВД! 4 года назад
        • Глупый ты как крендель. Доступа к отпечаткам нет и не будет, идет запрос от сервиса на подтверждение и в случае их совпадения в базе смартфона идет ответ на сервис как положительный. Никто отпечатков твоих клешен не увидит, ни МВД, ни ФСБ, ни Яндекс ни хацкер Macanoff, разве что АНБ и ЦРУ но ты им нах ненужен, как впрочем нетолько им. 4 года назад

Написать комментарий