«Яндекс.Ключ» к твоему сердцу
Компания «Яндекс» запустила механизм двухфакторной аутентификации и новое приложение «Яндекс.Ключ», генерирующее на мобильном устройстве код доступа к аккаунту на «Яндексе». Это позволит не запоминать сложный пароль для обеспечения безопасности. Об этом TJ сообщили представители компании.
Обновлено: спустя два часа после анонса от «Яндекса» о введении двухфакторной аутентификации сообщили в Mail.Ru Group.
«Яндекс.Ключ» позволяет не запоминать сложные пароли
Для того, чтобы пользоваться «Яндекс.Ключом», всё-таки придётся придумать и запомнить четырёхзначный PIN-код. Временные пароли, с помощью которых можно будет войти в свой аккаунт на «Яндексе», будут приходить на мобильное устройство и действовать в течение 30 секунд.
Однако авторизоваться можно и без введения одноразового пароля. В форме авторизации на «Яндексе» появились QR-коды: их можно считать при помощи камеры смартфона через «Яндекс.Ключ». Пользователи мобильных устройств Apple могут и не запоминать свой PIN-код: для них доступ в приложение возможен через отпечаток пальца, считанный при помощи сенсора Touch ID.
Двумя факторами аутентификации в данном случае являются PIN-код (или отпечаток пальца), который имеется только у пользователя, и знание о связи между аккаунтом на «Яндексе» и мобильным устройством с «Яндекс.Ключом» — оно хранится на серверах компании. Секретные коды генерируются одновременно с использованием как PIN, так и «секрета» с серверов «Яндекса». В компании также пояснили, что процедура аутентификации является одноэтапной: для логина требуется всего одно действие (ввод одноразового кода или сканирование QR-кода).
После включения механизма двухфакторной аутентификации пользователю «Яндекса» придётся заново авторизоваться на всех сервисах компании и во всех установленных приложениях при помощи пароля из «Яндекс.Паспорта», но сделать это нужно будет только один раз. На мобильных устройствах в режиме бета-версии работает технология «проброса» данных о логине из «Яндекс.Ключа», однако в компании признаются, что пока она срабатывает не во всех случаях.
Приложение «Яндекс.Ключ» уже доступно в магазинах App Store (для iPhone и iPad) и Google Play.
Нужно больше безопасности
Это уже не первое появление в «Яндексе» двухфакторной аутентификации. До этого она использовалась в «Яндекс.Деньгах» и во внутренних сервисах компании, сообщили TJ в «Яндексе».
Представители компании заявляют, что их процедура двухфакторной аутентификации надёжнее, потому что временные пароли генерируются из букв, а не из цифр, как происходит у конкурентов. Кроме того, пользователю не требуется сначала вводить свой логин и пароль: он авторизуется при помощи лишь логина и QR-кода или временного пароля.
Обычно при двухфакторной аутентификации пользователя просят войти в учётную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS. У нас всё ещё проще. Достаточно включить двухфакторную аутентификацию в «Паспорте» и установить приложение Яндекс.Ключ. В форме авторизации на главной странице «Яндекса», в «Почте» и «Паспорте» появились QR-коды. Для входа в учётную запись пользователю необходимо считать QR-код через приложение — и всё.
Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса»
В случае, если пользователь одновременно забудет свой PIN-код и утратит доступ к привязанной к аккаунту SIM-карте, у него всё равно будет возможность восстановить свой аккаунт. Для этого ему придётся пройти стандартную процедуру: заполнить анкету и побеседовать со службой поддержки, объяснили в «Яндексе».
Пользователи, у которых включена двухфакторная аутентификация, обычно более тщательно относятся к подобным вещам — например, указывают реальные имя и фамилию, по которым можно восстановить доступ с помощью документа, удостоверяющего личность. А ещё из приложения «Яндекс.Ключ» можно открыть специальную анкету восстановления доступа — на случай, если смартфон украли с целью получения доступа, там есть секретный уровень защиты.
пресс-служба «Яндекса»
Процедура двухфакторной аутентификации запущена в виде бета-версии. В компании сообщили, что она участвует в программе bug bounty — за поиск уязвимостей можно получить денежную премию: судя по объявлению, она составляет от 5,5 до 170 тысяч рублей.
Массовое «убийство» паролей
Пользователи не хотят запоминать сложные пароли и в большинстве своём не пользуются двухфакторной аутентификацией, считая её слишком сложной. Как показывает статистика, в рейтинге самых популярных паролей 2014 года до сих пор лидируют «123456», «password» и «qwerty».
В «Яндексе» решили использовать QR-коды и Touch ID после анализа различных исследований, показавших, что стандартной процедурой двухфакторной аутентификации пользуются от 0,02% до 1% аудитории различных сервисов.
«Яндекс» — не первая компания, которая включилась в гонку за повышение безопасности пользователей и одновременный отказ от запоминания сложных паролей. В октябре Twitter запустил похожую на «Яндекс.Ключ» платформу под названием Digits, позиционируя её как «убийцу паролей».
При помощи Digits пользователи смогут авторизовываться сразу в нескольких сервисах: на старте Twitter анонсировал партнёрство с фитнес-трекером FitStar, сервисом резервирования столиков в ресторанах Resy и приложением для спортивных фанатов OneFootball. Платформа Digits также интегрирована в новый пакет ПО для разработчиков Twitter Fabric.
В «Яндексе» рассказали TJ, что собираются открыть возможность авторизовываться в других приложениях при помощи «Яндекс.Ключа» — её появление запланировано в следующих обновлениях программы
Как и большинство сервисов, Digits использует для регистрации и верификации мобильный телефон, присылая код по SMS или через контакт внутри мессенджера. Такой метод применяется, например, в мессенджерах WhatsApp и Telegram.
В мобильном приложении Facebook давно существует собственный сервис Code Generator, который позволяет авторизовываться при помощи временных кодов. В Google можно включить двухфакторную аутентификацию для аккаунта и использовать приложение Google Authentificator, дающее доступ по QR-коду или по вводу кода безопасности. После скандала с утечкой личных фотографий знаменитостей в Apple тоже озаботились безопасностью пользователей iCloud.
Аналогичная Google функциональность в июне появилась и во «ВКонтакте», однако в соцсети заявили, что такие меры безопасности для большинства пользователей являются излишними. В почтовом сервисе Mail.Ru двухэтапная аутентификация отсутствует.
Обновлено в 15:34: Спустя несколько часов после анонса от «Яндекса» портал Mail.Ru запустил двухфакторную аутентификацию для «Почты», «Облака», «Календаря», «Игрового центра» и других проектов, сообщили TJ представители компании. Для входа пользователю необходимо использовать свой пароль и код, полученный через SMS на мобильный телефон.
В компании подчеркнули, что закрытое бета-тестирование двухфакторной аутентификации началось в конце декабря при поддержке сообщества «Хабрахабра».
Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако «слабым звеном» часто оказывается сохранность пароля у самого пользователя. Если же включён второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее.
Реализовать эту функцию нас просили в основном продвинутые пользователи, но я очень надеюсь, что она станет популярна и у более широкой аудитории.
Анна Артамонова, вице-президент Mail.Ru Group
#Статья #Яндекс #двухфакторная_аутентификация #надёжные_пароли #Яндекс_Ключ
Где взять qr код для яндекс ключа
Будь в курсе последних новостей из мира гаджетов и технологий
iGuides для смартфонов Apple
«Яндекс.Ключ» — приложение для входа в учетную запись «Яндекса» без пароля
Александр Кузнецов — 3 февраля 2015, 14:12
«Яндекс» запустил систему двухфакторной авторизации и выпустил приложение «Яндекс.Ключ» для входа в аккаунт без необходимости запоминать и вводить сложный пароль. Приложение уже доступно на Android и iOS, а вход в него на новых моделях iPhone можно защитить сканером отпечатков пальцев.
Авторизоваться в учетной записи через «Яндекс.Ключ» можно несколькими способами, но для начала нужно зайти на страницу настроек yandex.ru/promo/2fa и включить двухфакторную авторизацию.
Подтвердите свой номер телефона кодом, полученным по SMS.
Установите на смартфон или планшет приложение «Яндекс.Ключ».
Запустите приложение и отсканируйте QR-код на сайте «Яндекса». Если у мобильного устройства нет камеры, нажмите «Показать секретный ключ» и введите в приложении отображенные символы.
Придумайте PIN-код и введите его на сайте или в приложении.
Введите на сайте сгенерированный приложением одноразовый пароль. Этот пароль действует только 30 секунд, а затем появляется новый. В завершение настройки потребуется еще раз ввести постоянный пароль от учетной записи.
Эти действия нужно выполнить только один раз. После активации двухфакторной авторизации потребуется повторно авторизовываться в сайтах «Яндекса» на всех устройствах. Для доступа к приложениям можно создать отдельные пароли.
Теперь на странице входа в аккаунт «Яндекса» появится кнопка со значком QR-кода.
Нажмите на нее — откроется страница для входа через приложение «Яндекс.Ключ». Войти можно двумя способами: отсканировав QR-код через приложение или по одноразовому паролю, который показывается в приложении в течение 30 секунд.
Вход в приложение «Яндекс.Ключ» защищен четырехзначным PIN-кодом, который вы ввели в процессе настройки двухфакторной авторизации. Если вы забыли PIN-код, его можно задать заново, пройдя заново все шаги настройки.
«Яндекс.Ключ» — не уникальное приложение. Аналогичным способом можно входить в аккаунты Google и «ВКонтакте» через приложение Google Authentificator.
Как прикрутить к сайту логин по QR из Яндекс.Ключа?
который позволит логиниться (НЕ Яндекс учёткой) в сайт по QR как в сервисах яндекса?
Если да, то как получить Magic ID связанный с «учёткой» в ключе?
Какой необходим api на сервере?
TL;TR; Имеем сайт, включаем 2FA. добавляем учётку в Яндекс.Ключ. Вместо ручного ввода OTP используем Login with QR.
- Вопрос задан более года назад
- 688 просмотров
Комментировать
Решения вопроса 1
Невозможно создать собственный QR-код, который позволит вам войти на свой сайт с помощью Яндекс.Ключа, поскольку QR-код, предоставленный Яндекс.Ключом, относится к их системе аутентификации и не может использоваться для внешних сайтов.
Чтобы использовать Яндекс.Ключ для аутентификации на вашем сайте, вам потребуется использовать API Яндекс.Ключа — набор инструментов и протоколов, предоставляемых Яндексом для интеграции Яндекс.Ключа со сторонними сайтами и приложениями.
Чтобы начать работу с API Яндекс.Ключа, вам необходимо зарегистрировать учетную запись Яндекса и зарегистрировать свое приложение в Яндексе. Это даст вам доступ к необходимым API-ключам и документации для интеграции Яндекс.Ключа на ваш сайт.
После того, как вы зарегистрировали свое приложение и получили необходимые API-ключи, вы можете использовать API Яндекс.Ключа для аутентификации пользователей на вашем сайте с помощью сервиса Яндекс.Ключ. Обычно это включает создание QR-кода, который пользователи могут сканировать с помощью своего приложения Яндекс.Ключ, а затем проверку запроса аутентификации на вашем сервере с помощью точки доступа Яндекс.Ключа.
Яндекс.Ключ – защита аккаунта с помощью QR-кода
Как и любая серьёзная IT-компания, Яндекс заботится о безопасности пользователей.
Если раньше вопросы защиты в сети решались всевозможными jx34Hjkm1984 в качестве пароля, то теперь возвести линии обороны стало значительно проще.
Естественно, речь идёт о защите Яндекс-аккаунта. Теперь получить к нему доступ можно через Яндекс.Ключ – приложение для Android и iOS, где всё происходит методом двухфакторной аутентификации. Проект работает в тестовом режиме и доступен для трёх сервисах отечественного IT-гиганта: Почта, Паспорт и Поиск.
Чтобы всё заработало, достаточно установить приложение, которое совершенно бесплатное.
Примечательно, что спустя пару часов аналогичный способ защиты представила другая российская компания – Mail.Ru. Отличие заключается в том, что вторым шагом аутентификации выступает не QR-код, а пароль на привязанном мобильном номере.