Хабрахабр

Спорное новшество от Яндекса — вход в аккаунт через письмо

Входя в очередной раз в аккаунт Яндекса через браузер, заметил под кнопкой входа новшество — возможность войти в аккаунт, просто перейдя по ссылке в письме, которая придет в почту этого аккаунта.


По всей видимости, эта функция находится в A/B-тестировании, поскольку кнопка отображается не всегда.

Никакого ввода пароля или кода из письма в форму входа. Согласно описанию функции, после нажатия на кнопку, вам приходит письмо, в котором предлагается сравнить картинки с отображаемыми на форме входа, и затем подтвердить вход нажатием на кнопку входа.

В описании на текущий момент последним пунктом значится:

Можно ли отключить вход через письмо?
Отключить вход через письмо пока невозможно.

Единственный вариант, при котором вход через письмо невозможен — использование 2FA, которая работает только с приложением «Яндекс.Ключ» и полностью исключает ввод пароля.

Интересный факт: в посте с анонсом 2FA от Яндекса (2015 год) первым пунктом в объяснении их подхода к 2FA было:

По нашей оценке, компрометация компьютера пользователя ─ самый массовый способ «угона» учетных записей Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности: тут и выключение обновлений Windows, и пиратская копия антивируса без современных сигнатур, и ПО сомнительного происхождения ─ все это не повышает уровень защиты.

Разделяя мнение о меньшей безопасности ПК относительно смартфонов, я обратился в поддержку Яндекса с вопросом о возможности отключения входа по письму для аккаунтов без 2FA — ведь, пожалуй, большинство сохраняют авторизацию на личных ПК в куках.

— достаточно просто полминутного доступа к мышке и монитору незаблокированного ПК с открытой почтой, чтобы сделать три клика (клик по письму, по ссылке в письме, и по кнопке подтверждения) для входа в аккаунт. Говоря о новом методе авторизации, можно даже не рассматривать вариант вирусов, возможности пересылки писем и т.п. Еще три-четыре клика требуется на бесследное удаление письма, тогда об авторизации можно будет узнать только по журналу безопасности — как часто вы туда заглядываете?

Ответили мне так:

Вход через письмо вполне безопасен, а в описанном вами случае с незалоченным ПК получить доступ к открытому на нем аккаунту можно и проще — например, посмотрев сохраненный в браузере пароль.

Скриншот

Отвечая на вопрос о возможности отключения функции — «Мы записали ваше пожелание, подумаем над ним.»

Или может только мне это кажется ухудшением безопасности? Неочевидные новшества по упрощению авторизации могут вылиться в очень неприятные сюрпризы для пользователей, не ожидающих подвоха.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть