Одноразовые пароли и шифрование на Yahoo

Компания Yahoo сообщила о двух разработках, которые должны повысить защищённость её сервисов (в первую очередь, почтового). Это система генерации одноразовых паролей и расширение для шифрования почты.

Каждый раз при авторизации пользователю на мобильный телефон высылают короткий одноразовый пароль, его нужно ввести в поле на сайте. Таким образом, вместо запоминания пароля, использования парольных менеджеров или небезопасного сохранения паролей в браузере предлагается тоже вполне удобная альтернатива. Несколько символов пароля несложно набрать на клавиатуре, в то же время временные пароли действуют короткое время, что защищает от атак. Это удобнее, чем стандартная двухфакторная аутентификация.

В случае, если человек потерял смартфон, пароль можно запросить на запасной почтовый ящик, указанный заранее. Когда выбираешь опцию одноразовых паролей, осуществляется активация телефонного номера.

В принципе, судя по презентации на конференции South by Southwest, всё работает действительно просто и понятно. Собственно, проверить её в деле можно уже сейчас (правда, она доступна пока только для США).

Ещё один анонс от Yahoo — расширение к браузеру Yahoo End-to-End для цифровой подписи и шифрования сообщений в веб-интерфейсе почтового сервиса. Расширение создано на основе исходного кода такого же расширения End-to-End Chrome, которое выпустила компания Google в июне 2014 года.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (12)

  • Надоели! Да сколько можно? Уже без указания номера телефона невозможно зарегистрировать email.

  • Учитывая несколько последних утечек паролей у Yahoo создание нескольких видов аутентификаций, в том числе возможность отказа от статичных паролей разумный ход.

    Просто тут есть одна проблема. К примеру когда человек вводит свой постоянный пароль в коком либо сайте то в какой-то степени может контролировать безопасный ввод пароля. Но вот в случае с телефоном все ситуация иначе. Взломщик просто может украсть телефон и все - пароль у него. А в случае с статичными паролями пароль только у вас памяти, а то что предлагает Yahoo это уже телефон сам и является своего рода паролем.
    Кроме того не исключается и возможность вредоносных приложений которые после установки на телефон смогут получать доступ к аккаунту пользователя самостоятельно получив пароль от Yahoo.

    Верно написано что

    всё работает действительно просто и понятно

    Необходимо немного усложнить - использовать эту технологию в комбинации с другими.
    Да и странно в слайдах я не заметил требований ввести captcha.

    • Здравое замечание. А ещё - не надо забывать о сотовых компаниях. Теперь они, помимо звонков и СМС, ещё и почту контролировать смогут.

      • Слишком большой объем обрабатывать придется, а если контроль определенного человека нужны данные, то это скорее всего дело секретных служб, которые могут получить доступ, а они уже могут получить доступ к почту и без сотовых операторов.

        • А при чём тут большой объём? В каждом амбаре существуют свои крысы, которые не упустят случая получить свой кусочек сыра за доступ к почте определённого субъекта.

    • А я вот не пойму, почему бы не взять к примеру защиту как у вк, при том там предлагаются разные уровни защиты. Ведь в вк, сначала надо ввести статичный пароль, а уж потом подтвердить пароль через смс. А так же сделать оповещение, когда производится вход в почту.

    • Есть куча вариантов, но точно предложил Yahoo выглядит глупо. И уровень защиты ни коем образом не повышается. Ведь через дополнительный почтовый ящик можно угнать пароль, а вот так именно у меня и угнали яндек почту, через маил ру

    • Интересно, что они делают с паролями в базе после активации этой функции? Если хранят, то какой смысл? На дворе 2015 — yahoo начинают внедрять одноразовые пароли… Чувак на картинке стоит довольный, думает: «Ух технологию забабахали».

      • Думаю у них будут уникальные пароли. Так безопаснее. Например в английском 26 букв плюс 10 цифр и того 36 символов и предположим пароль будет длиной в 10 символов. То в данном случае у нас есть 3 656 158 440 062 976 уникальных паролей. У Yahoo насколько знаю 300 000 000 пользователей. Если каждый пользователь будет получать в день один уникальный пароль то у нас будет 12 187 194 дней в запасе что делает 33 389 лет.

  • [quote]Это удобнее, чем стандартная двухфакторная аутентификация[/quote]
    Чем же? Отсутствием основного пароля? Давайте тогда вообще почту без паролей сделаем. Так еще проще и удобнее.

  • а чем же это защитит, если к примеру можно востановить пароль когда потерял смартфон через дополнительную почту, вот и решение проблемы для хакеров. Больше всего нравится защита в вк, активация через телефон так же, вот только при востановлении, почта не нужна, есть резервные коды, которые можно хранить дома у себя.

Похожие материалы