Блог Диска

Дополнительный замок для вашего аккаунта

22 июля 2015, 13:48

Некоторое время назад в Яндексе появилась двухфакторная аутентификация, а на прошлой неделе в веб-Диске связанная с ней возможность входа по QR-коду, поэтому мы решили дополнительно рассказать вам в нашем блоге о том, что это и зачем нужно.


Даже самый сложный пароль не гарантирует полной защиты: злоумышленники могут его украсть, а вы сами — просто забыть. Чтобы повысить безопасность аккаунта, включите двухфакторную аутентификацию и скачайте приложение Яндекс.Ключ для Android и iOS. Для настройки потребуется всего несколько минут.

После настройки вам также будет нужно один раз авторизовать приложения Диска заново, введя одноразовый пароль из Яндекс.Ключа. Для сторонних приложений (например, ES Проводник для Android) потребуется отдельный пароль, который можно получить здесь.

Если же у вас нет желания или возможности работать с Яндекс.Ключом, то напомним, что повысить безопасность вашего аккаунта также поможет регулярная смена пароля. Сделать это вы можете прямо сейчас.

Команда Яндекс.Диска

10 комментариев
Подписаться на комментарии к посту
Дмитрий Абашев
23 июля 2015, 17:28

А когда появится двухфакторная аутентификация через SMS, как у всех остальных?

Тимофей, служба поддержки
24 июля 2015, 15:34

Добрый день! Мы считаем отправку паролей через SMS менее надёжным способом, чем генерирование паролей офлайн на телефоне. Во-первых, есть нерешаемая проблема безопасности: SMS можно легко перехватить в силу устройтсва протокола передачи SMS. Во-вторых, к сожалению, SMS нередко задерживаются на 2-3-5 и более минут, а ждать такой срок, когда очень хочется зайти в свой Диск или почтовый ящик — очень раздражает. Плюс к этому стоит учитывать, что не всегда есть доступ к SMS: отсутствует по какой-то причине связь или же сообщение просто не было отправлено из-за проблем у компании, предоставляющей услуги отправки таких SMS.

В силу этих причин мы остановились на решении формировать пароли только через приложение, без SMS.

Мастер Груша х_х
24 июля 2015, 18:50

Тимофей, а если у меня под рукой нет телефона с приложением? 

Или я переустановил прошивку и ещё не успел / не могу скачать? 

А если у юзера на телефоне вирус, который не даст запустить приложение? 

 

Как решается проблема в этих ситуациях?

Тимофей, служба поддержки
27 июля 2015, 14:57

Если у Вас нет телефона с приложением, то, вероятнее всего, и телефона для SMS у Вас тоже в этот момент нет. Вы на этом примере показали ещё одно преимущество приложения: его можно поставить на несколько мобильных устройств (телефоны, планшеты). А SMS может прийти только на один номер. И пока Вы не восстановите доступ к этому номеру, ничего не сделать.

Во всех перечисленных случаях, при условии что Вы помните пин-код, можно восстановить доступ через Яндекс.Паспорт.

Вероятность же вирусов на телефонах, тем более таких, о которых Вы пишете, для нас на данный момент супер-критически мало вероятна по сравнению с вирусами на компьютере. Скорее уж на телефоне будет вирус, который будет читать все приходящие SMS.

Дмитрий Абашев
25 июля 2015, 16:57

Ваши доводы понятны и разумны, и я с ними полностью согласен, но есть еще два крайне важных фактора: распространенность и простота. Представляется, что это не тот случай, в котором можно ими пренебречь. И, видимо, так же рассуждают "Google", "ВКонтакте", большинство банков и других сервисов.

P.S. Сам я тоже не горю желанием (да и не буду) устанавливать очередное узкоспециализированное приложение на свой смартфон, да еще и усложнять себе жизнь необходимостью его запуска для входа в аккаунт. С SMS все гораздо проще и удобнее, а уровень безопасности я считаю вполне достаточным для обсуждаемых целей. Да вы и сами юзаете SMS для подтверждения платежей в "Яндекс.Деньгах", так что будем ждать, пока вы придете к этому и в отношении двухфакторной аутентификации :)

Тимофей, служба поддержки
27 июля 2015, 14:59

Вы правы, и приложение мы планируем развивать, чтобы оно не было узко специализированным. Google уже выпустил мобильное приложение, которое генерирует пароли, как и Facebook, например. Вконтакте тоже может работать через TOTP (стандарт одноразовых паролей). Все уходят от SMS.

Дмитрий Абашев
27 июля 2015, 15:25

"Все уходят от SMS" — кажется, это софизм и демагогия, ну да ладно)

Скажите, а ваш механизм двухфакторной аутентификации будет работать при использовании Google Authenticator для генерации кодов?

Тимофей, служба поддержки
27 июля 2015, 16:19

Пока что нет. О подробностях реализации и причинах можно почитать в технологическом блоге Яндекса на Хабрахабре.

Приветствую.

А скажите, нет ли у команды в планах добавить в мобильное приложение такую простую, но полезную функцию как вход по пин-коду, который будет запрашиваться когда ты запускаешь приложение или разворачиваешь из свернутого состояния.

В общем, вы и сами наверное знаете как это реализовано в конкурирующих клиентах. Очень не хватает чисто для номинальной защиты. А те, у кого на диске чертежи атомной бомбы - им и двухфакторка подойдет, и все остальное.

Тоже очень нужна эта функция. Вроде она не сложная в реализации, есть у конкурентов - Dropbox, OneDrive. Это единственное, чего мне сейчас не хватает для полноценного перехода на Яндекс.Диск.