Яндекс запустил новый способ защиты аккаунтов
Команда Яндекса объявила о запуске новой функции по защите учётных записей «Яндекс ID». Разработчики добавили ещё один способ защиты аккаунтов — путём проверки номера телефона.
Как отмечают разработчики, если у SIM-карты сменился владелец, сервис не даст войти по коду из SMS в аккаунт. А значит, он даже случайно не попадёт в чужие руки.
Новый механизм защиты появился благодаря сотрудничеству Яндекса с операторами сотовой связи, включая крупнейшую четвёрку. Каждый раз, когда человек при входе в аккаунт вводит код из SMS, Яндекс мгновенно узнаёт у партнёров, не изменился ли у SIM-карты владелец. При этом сервис не получает сведений о том, от кого и кому перешёл номер телефона, — это обезличенные данные.
Также пользователи теперь могут быстро попасть в нужный аккаунт, если их несколько. Стоит ввести код из SMS — и сервис покажет все «Яндекс ID», привязанные к номеру. Это безопасно, так как сервис предварительно проверит, прежний ли владелец у SIM-карты.
Проверка номера телефона — только один из способов защиты. Когда пользователь входит в аккаунт, Яндекс проверяет также, безопасен ли его пароль. Для этого он сверяет его с базой из 1,2 миллиона паролей, попавших в открытый доступ. Кроме того, сервис просит подтвердить права на аккаунт, если человек пытается войти в него с незнакомого устройства или из нового региона.
Яндекс блокирует аккаунты, к которым не привязан номер телефона
Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.
В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО…
Небольшой разбор ситуации под катом.
Почтовый ящик я создал в 14 июня этого года. Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.
При регистрации можно не указывать номер мобильного телефона
Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?
Ладно, раз можно не указывать номер телефона, то не будем его указывать. Правда нужно указать контрольный вопрос, придумать на него ответ. И ввести капчу. Хорошо, так и сделал.
Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.
Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Потом поток писем иссяк. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик. Последнее письмо было 14 июля.
Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю — ну ок, нужно читать.
И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление:
Вот это да! Аккаунт взломали? Подобрали пароль из 20 символов, а потом его НЕ поменяли? Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму:
Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. И как же его вводить, если у меня его нет? Или есть, но не мобильный, а стационарный?
Ладно, до дыр читаю Help на тему, как восстановить учетку. Да и еще не вводя номер телефона. Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню (вернее помнит KeePass).
Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Например, нужно ввести дату рождения. Которую я конечно не заполнял.
Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется.
В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так
Но второй раз все получилось и я попал в почту.
Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. Нашел, что его можно отвязать от аккаунта. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете. А номер этот через некоторое время выдадут другому человеку.
Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И конечно же не нашел никаких вирусов.
Предположим, подобрали пароль. Или «угнали» cookie. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)
Посмотрим логи входов:
14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан).
Посмотрим логи активности в аккаунте (читать снизу вверх):
А вот тут интересно
- Истории действий ранее 15 июля нет, хотя история входов — есть
- 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)
- А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксировалась
- Отдельно доставило про «восстановление через: undefined»
2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.
Блокировка произошла ровно через месяц после регистрации (регистрация 14 июня, блокировка ночью 15 июля), наверняка автоматическая.
Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.
Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».
Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.
UPD: чукча не читатель, чукча писатель. Не первый раз такая проблема и я еще легко отделался — Очередная подлянка от Яндекс-почты
UPD2: ответ сотрудника Яндекса:
Конечно же, для использования Яндекс.Почты не требуется номер телефона в обязательном порядке. Многие наши пользователи используют Почту годами без привязанного номера и не сталкиваются с запросами дополнительной информации.
В вашем случае, скорее всего, сработала наша антифрод-система. Она работает уже не первый год и создана специально для выявления новых аккаунтов, из которых формируются спам- и фрод-фермы.
Система анализирует более ста различных факторов. Наличие привязанного телефона – один из них, но не решающий. Поэтому и потребовалась дополнительная идентификация аккаунта.
UPD3: Вспомнил, что у меня есть аккаунт на Яндексе без привязанного номера, зарегистрированный еще в 2011г и которым очень редко пользуются. Последний вход был наверное в конце 2017г. Зашел сейчас в него и получил такой баннер
Привяжите номер телефона
Правда [пока еще] есть возможность отказаться от ввода номера. Так что про возможность «использовать Почту годами без привязанного номера» наверное правда, но только для старых пользователей. Из комментариев очевидно, что практически все (а может и вообще все) новые аккаунты блокируются и требуется ввод номера телефона.
- сбор данных
- яндекс
- яндекс.почта
- обман пользователей
- Информационная безопасность
- Управление сообществом
- IT-компании
Добавить несколько ящиков в Почту
В Mail.ru вы можете подключить несколько почтовых ящиков и добавить ящики сторонних сервисов: Gmail, Yahoo, «Яндекса» и так далее. Переключение между ящиками занимает два клика — логин и пароль не придётся вводить заново каждый раз.
Как добавить несколько почтовых ящиков
- Перейдите в свой ящик.
- Нажмите на имя ящика в правом верхнем углу страницы.
- Нажмите .
- Введите логин и пароль.
- Нажмите «Войти».
Повторите, если хотите добавить другие ящики.
В Mail.ru можно подключить максимум 20 почтовых ящиков.
Как переключаться между ящиками
Чтобы перейти из одного почтового ящика в другой, нажмите на имя ящика и в выпадающем списке выберите тот ящик, в который вы хотите войти. Напротив имени почтового ящика отображается количество непрочитанных писем.
Как выйти из ящиков
Чтобы выйти из ящика, нажмите «Выход» в правом верхнем углу или напротив его имени.
Компьютерная грамотность с Надеждой
Заполняем пробелы — расширяем горизонты!
Сколько аккаунтов Яндекса можно привязать к одному номеру телефона
Вопрос о том, сколько аккаунтов Яндекса можно привязать к одному номеру телефона, можно сформулировать по-другому. Сколько можно зарегистрировать почтовых ящиков в Яндекс.Почте на один смартфон?
p, blockquote 1,0,0,0,0 —>
p, blockquote 2,0,0,0,0 —>
p, blockquote 3,0,0,0,0 —>
Что такое Яндекс ID
Рис. 1. Перечислены только популярные приложения Яндекса. Доступ к ним можно получить по Яндекс ID.
Почтовый ящик в Яндекс.Почте — это Яндекс ID, который дает доступ ко всем сервисам Яндекса: к почте, к Диску, к различным покупкам, к музыке, картам и так далее.
p, blockquote 4,0,0,0,0 —>
У Яндекса огромное количество различных сервисов и приложений (больше 80), к которым можно получить доступ благодаря наличию Яндекс ID, то есть, наличию Яндекс.Почты.
p, blockquote 5,0,1,0,0 —>
Возникает вопрос, сколько можно зарегистрировать почтовых ящиков в Яндекс Почте? Счастлив тот пользователь, который зарегистрировал одну Яндекс.Почту, и ему этого хватает.
p, blockquote 6,0,0,0,0 —>
Но многим пользователям этого явно недостаточно. Они регистрируют 5, и 10, и больше ящиков.
p, blockquote 7,0,0,0,0 —>
О регистрации почтового ящика или аккаунта Яндекса
Рис. 2. Чтобы зарегистрировать новую Яндекс почту, нужно ввести номер телефона и подтвердить с помощью кода.
Для регистрации Яндекс почты, нужно ввести имя, фамилию. Придумать логин так, чтобы он был уникальным (единственный на весь Яндекс). А также придумать пароль, повторить его и обязательно ввести номер телефона.
p, blockquote 8,0,0,0,0 —>
При вводе номера телефона есть автоматическая проверка. Если ввести липовый номер, непременно появится сообщение про недопустимый формат телефона. Например, иногда вводят по порядку все цифры 1234567890.
p, blockquote 9,0,0,0,0 —>
Ввод несуществующего номера бесполезен, потому что потребуется получить код и подтвердить номер телефона. А по липовому номеру это нельзя сделать. Таким образом, при регистрации почты обязательно нужно указывать действующий номер телефона.
p, blockquote 10,1,0,0,0 —>
Когда только появилась Яндекс.Почта (это было очень давно), для регситрации почтового ящика достаточно было указать только логин и пароль. И больше ничего было не нужно.
p, blockquote 11,0,0,0,0 —>
Потом появилось пожелание, что если вы хотите быстрее восстанавливать пароль к своей почте или какие-то другие нюансы решать, то желательно привязать телефон. В последнее время установлено жесткое требование, что Яндекс.почту (Яндекс.аккаунт) зарегистрировать без номера телефона вообще нельзя.
p, blockquote 12,0,0,0,0 —>
Сколько можно создать почтовых ящиков и привязать их к одному номеру телефона
Один номер нельзя привязать более чем к 10 аккаунтам одновременно. То есть на один номер телефона можно создать десять почтовых ящиков, десять email-адресов яндекса.
p, blockquote 13,0,0,0,0 —>
Если введенный номер уже привязан к 10 аккаунтам, то яндекс автоматически, не спрашивая, отвяжет его от самого первого аккаунта, который был создан самым первым и привяжет его к новому аккаунту.
p, blockquote 14,0,0,0,0 —>
Про этот нюанс надо знать, и учитывать его. Если Яндекс автоматически отвязывает номер телефона от первого аккаунта, это такой сюрприз, который для многих пользователей является неожиданностью. А потом, при входе в первый аккаунт, Яндекс требует срочно привязать к нему номер телефона.
p, blockquote 15,0,0,1,0 —>
Видео: Сколько почтовых ящиков можно зарегистрировать в Яндекс.Почте на один номер телефона
p, blockquote 16,0,0,0,0 —>
Спасибо за внимание!
p, blockquote 17,0,0,0,0 —>
p, blockquote 18,0,0,0,0 —>
p, blockquote 19,0,0,0,0 —> p, blockquote 20,0,0,0,1 —>