Yandex и Mail.Ru усилили защиту аккаунтов от кражи
Две крупнейшие российские интернет-компании Yandex и Mail.Ru фактически одновременно заявили о внедрении в свои сервисы нового способа защиты от кражи пользовательских аккаунтов. Их подходы отличаются друг от друга, но в основе их решений лежит один и тот же принцип. Речь идет о двухфакторной аутентификации.
Этот способ защиты данных призван заменить или дополнить существующие многие годы ненадежные сложные пароли. Принцип работы этого метода заключается в запросе у пользователя двух типов данных, подтверждающих его личность.
На практике это часто означает, что у пользователя сначала спрашивают его логин и пароль, а затем требуют дополнительное подтверждение в виде кода, приходящего по смс. Иными словами, проверяют пользователя по его памяти, а затем по наличию у него его телефона.
Существуют и другие личностные факторы — отпечатки пальцев, персональные USB-ключи и так далее.
В виду большей надежности двухфакторной аутентификации, ее уже многие годы используют в сфере онлайн-банкинга. С недавних пор ей обзавелись и другие интернет-сервисы, включая и популярные социальные сети. Первым почтовым сервисом, который реализовал такой двухфакторный подход, был Google.
Помимо подтверждения по смс, Google может определять пользователя и по специальному мобильному приложению. Однако статистики его популярности нет, а есть подозрение, что его устанавливают лишь немногие гики и люди, всерьез озабоченные безопасностью.
Решение Яндекса тоже основывается на мобильном приложении под названием Яндекс.Ключ — оно все еще находится в режиме бета-тестирования. Отказ от использования смс-рассылок в Яндексе обуславливают их дороговизной и ненадежностью. В компании надеются, что с помощью приложения пользователю больше не придется запоминать уникальные сложные пароли.
Используя Яндекс.Ключ, пользователь может войти в систему, отсканировав QR-код на сайте или введя автоматически сгенерированный приложением пароль.
При запуске Яндекс.Ключ будет требовать ввода четырехзначного пинкода.
Альтернативно владельцы новых устройств Apple могут войти в приложение по отпечатку своего пальца. Это и есть первый фактор защиты — подтверждение личности пользователя приложения. Сканирование QR-кода в данном случае — второй фактор, подтверждающий наличие смартфона в руках этого пользователя.
В своем роде решение Яндекса уникально — пароль в виде пинкода, по сути, вводится только на мобильном. После сканирования QR-кода страница осуществляет залогинивание сама. Правда, если смартфон не подключен к Интернету, пользователю все же придет смс с кодом.
Решение Mail.Ru, напротив, основывается на стандартной смс-рассылке. И на это у компании есть свои причины.
По заявлению разработчиков, смс-подтверждения позволяют охватить максимальную аудиторию, включая тех, кто не пользуется смартфонами в принципе или использует редкую операционную систему.
От идеи использования логина и пароля почтовый гигант решил не отказываться. Первым фактором все еще является сложный пароль. А в качестве второго фактора будет использоваться код, поступающий на телефон по смс. Впрочем, по словам представителей Mail.Ru, отдельное приложение тоже увидит свет. Скорее всего, оно будет основано на уже существующем решении Google. Правда, когда оно появится — не известно.
Поскольку анонс двух похожих систем Яндекса и Mail.Ru был фактически одновременным, обе компании взаимно заподозрили друг друга в контрпрограммировании и выложили в сеть серию демотиваторов. Можно сказать, что мы наблюдаем за новым для российского интернет-бизнеса стилем пиара, который используют наиболее понятный интернет-пользователю формат — мемы.