Компания Yahoo сообщила о двух разработках, которые должны повысить защищённость её сервисов (в первую очередь, почтового). Это система генерации одноразовых паролей и расширение для шифрования почты.
Каждый раз при авторизации пользователю на мобильный телефон высылают короткий одноразовый пароль, его нужно ввести в поле на сайте. Таким образом, вместо запоминания пароля, использования парольных менеджеров или небезопасного сохранения паролей в браузере предлагается тоже вполне удобная альтернатива. Несколько символов пароля несложно набрать на клавиатуре, в то же время временные пароли действуют короткое время, что защищает от атак. Это удобнее, чем стандартная двухфакторная аутентификация.
В случае, если человек потерял смартфон, пароль можно запросить на запасной почтовый ящик, указанный заранее. Когда выбираешь опцию одноразовых паролей, осуществляется активация телефонного номера.
В принципе, судя по презентации на конференции South by Southwest, всё работает действительно просто и понятно. Собственно, проверить её в деле можно уже сейчас (правда, она доступна пока только для США).
Ещё один анонс от Yahoo — расширение к браузеру Yahoo End-to-End для цифровой подписи и шифрования сообщений в веб-интерфейсе почтового сервиса. Расширение создано на основе исходного кода такого же расширения End-to-End Chrome, которое выпустила компания Google в июне 2014 года.
17.03.2015 в 08:23
Надоели! Да сколько можно? Уже без указания номера телефона невозможно зарегистрировать email.
17.03.2015 в 09:23
Учитывая несколько последних утечек паролей у Yahoo создание нескольких видов аутентификаций, в том числе возможность отказа от статичных паролей разумный ход.
Просто тут есть одна проблема. К примеру когда человек вводит свой постоянный пароль в коком либо сайте то в какой-то степени может контролировать безопасный ввод пароля. Но вот в случае с телефоном все ситуация иначе. Взломщик просто может украсть телефон и все — пароль у него. А в случае с статичными паролями пароль только у вас памяти, а то что предлагает Yahoo это уже телефон сам и является своего рода паролем.
Кроме того не исключается и возможность вредоносных приложений которые после установки на телефон смогут получать доступ к аккаунту пользователя самостоятельно получив пароль от Yahoo.
Верно написано что
Необходимо немного усложнить — использовать эту технологию в комбинации с другими.
Да и странно в слайдах я не заметил требований ввести captcha.
17.03.2015 в 10:26
Здравое замечание. А ещё — не надо забывать о сотовых компаниях. Теперь они, помимо звонков и СМС, ещё и почту контролировать смогут.
17.03.2015 в 11:12
Слишком большой объем обрабатывать придется, а если контроль определенного человека нужны данные, то это скорее всего дело секретных служб, которые могут получить доступ, а они уже могут получить доступ к почту и без сотовых операторов.
17.03.2015 в 14:09
А при чём тут большой объём? В каждом амбаре существуют свои крысы, которые не упустят случая получить свой кусочек сыра за доступ к почте определённого субъекта.
17.03.2015 в 11:05
А я вот не пойму, почему бы не взять к примеру защиту как у вк, при том там предлагаются разные уровни защиты. Ведь в вк, сначала надо ввести статичный пароль, а уж потом подтвердить пароль через смс. А так же сделать оповещение, когда производится вход в почту.
17.03.2015 в 11:07
Есть куча вариантов, но точно предложил Yahoo выглядит глупо. И уровень защиты ни коем образом не повышается. Ведь через дополнительный почтовый ящик можно угнать пароль, а вот так именно у меня и угнали яндек почту, через маил ру
18.03.2015 в 03:42
Интересно, что они делают с паролями в базе после активации этой функции? Если хранят, то какой смысл? На дворе 2015 — yahoo начинают внедрять одноразовые пароли… Чувак на картинке стоит довольный, думает: «Ух технологию забабахали».
18.03.2015 в 09:18
Думаю у них будут уникальные пароли. Так безопаснее. Например в английском 26 букв плюс 10 цифр и того 36 символов и предположим пароль будет длиной в 10 символов. То в данном случае у нас есть 3 656 158 440 062 976 уникальных паролей. У Yahoo насколько знаю 300 000 000 пользователей. Если каждый пользователь будет получать в день один уникальный пароль то у нас будет 12 187 194 дней в запасе что делает 33 389 лет.
17.03.2015 в 09:44
[quote]Это удобнее, чем стандартная двухфакторная аутентификация[/quote]
Чем же? Отсутствием основного пароля? Давайте тогда вообще почту без паролей сделаем. Так еще проще и удобнее.
17.03.2015 в 09:55
Не поможет.
17.03.2015 в 11:00
а чем же это защитит, если к примеру можно востановить пароль когда потерял смартфон через дополнительную почту, вот и решение проблемы для хакеров. Больше всего нравится защита в вк, активация через телефон так же, вот только при востановлении, почта не нужна, есть резервные коды, которые можно хранить дома у себя.