Блог Денег

Новый способ защиты счёта: одноразовые пароли в мобильном приложении!

16 октября 2014, 19:49

Сегодня в Яндекс.Деньгах появился новый удобный и безопасный способ подтверждения операций: одноразовые пароли в мобильном приложении. Если у вас Android — вы можете скачать обновлённое приложение Яндекс.Денег из Google Play прямо сейчас. А для iPhone, iPad и Windows Phone такая возможность появится через пару недель.

Мы давно рекомендуем всем нашим пользователям перейти на одноразовые пароли: в этом случае каждая операция подтверждается новым, автоматически сгенерированным, паролем, так что даже если кто-то подсмотрит или перехватит пароль при вводе — использовать его второй раз не получится, подобрать или угадать — тоже. Если вы заботитесь о защите своих денег и данных в интернете, вы наверняка знаете о преимуществах одноразовых паролей и уже пользуетесь нашими SMS-паролями таблицей кодов или токеном

Одноразовые пароли в мобильном приложении могут оказаться удобнее SMS-паролей, если вы часто путешествуете и используете в поездках SIM-карты разных операторов; или если у вашего сотового оператора технические проблемы с доставкой SMS; или если вы пользуетесь Яндекс.Деньгами в бункере, где мобильная сеть не ловится. В конце концов, пароль в SMS нужно ждать, а в приложении он генерируется мгновенно! Таблица кодов и электронный токен по способу «доставки» паролей похожи на пароли в приложении — но если у вас и так всегда при себе смартфон, то зачем носить с собой и стеречь отдельный носитель для паролей к Яндекс.Деньгам?

Чтобы защитить свой счёт одноразовыми паролями из приложения нужно, во-первых, установить приложение Яндекс.Денег на свой смартфон, а во-вторых — привязать его к своему кошельку на сайте. Вот как это сделать:

В управлении кошельком щёлкните мышкой по области «Пароль» и выберите «Перейти на одноразовые пароли» (если у вас постоянный платёжный пароль) или «Изменить способ защиты» (если используете одноразовые — SMS-пароли, таблицы кодов или токен). Подтвердите операцию своим текущим паролем.

В приложении Яндекс.Денег на своём смартфоне выберите «Получить пароли», авторизуйтесь в кошельке и отсканируйте QR-код на экране своего компьютера — учётная запись появится в приложении и тут же отобразит шестизначный пароль: введите код в поле на сайте, ещё раз подтвердите операцию своим действующим паролем (платёжным или из SMS).

Теперь приложение связано с вашей учётной записью, и для подтверждения всех последующих операций вам нужно будет ввести только шестизначный пароль из приложения.

Какой бы способ защиты счёта вы не использовали — вам обязательно стоит выпустить аварийные коды, распечатать их и сохранить в надёжном, не доступном никому, кроме вас, месте (только не сохраняйте их в цифровом виде на компьютере или смартфоне). Что бы ни случилось с вашим основным способом подтверждения — забыли, потеряли, оказались вне зоны доступа, села батарея, уронили телефон в реку — вы сможете воспользоваться аварийными кодами, чтобы получить доступ к деньгам или настроить другой способ авторизации.

34 комментария

Спасибо, давно ждал этот способ подтверждения операций!

 

Орлов Евгений
17 октября 2014, 17:06

2FA это прорыв, молотцы..теперь не нужно быть привязанным к сотовому оператору!

Долгожданное обновление, спасибо. 

Скажите, пожалуйста, для одноразовых паролей используется тот же алгоритм, что у Google Authenticator и Authy? Есть ли какие-то причины, по которым для генерации паролей следует использовать приложение Я.Денег, а не тот же Authy?

Похоже, что тот же самый. Во всяком случае, у меня FreeOTP нормально отработал и генерирует тот же самый пароль, что приложение яндекс.денег.

Да, верно, используется TOTP — так что работать можно и с другими приложениями, поддерживающими  этот алгоритм. Причины использовать то или другое решение — в простом удобстве: если вы используете приложение Яндекс.Денег (а мы надеемся, что это так) — вы сможете здесь же получать пароли для сайта. Ну а если вы используете другой TOTP-генератор одноразовых паролей для разных сервисов и вам удобнее управлять доступами там — можно добавить туда Яндекс.Деньги, это не запрещено.  

Яндекс.Деньги
21 октября 2014, 23:38

Использовать пароль из приложения предполагается на сайте (в вебе). В приложении подтверждать паролем из приложения ничего не нужно :)

Стоит, пожалуй, добавить, что хотя сторонние приложения могут и работают с нашей авторизацией, мы несём перед пользователями ответственность за работу нашего приложения — и поэтому рекомендуем нашим пользователям именно его.

Спасибо за ответы. 

 

У меня, пользователя android, есть такая сложность: в отличие от iOS у нас много проблем с бэкапом установленных приложений. Если телефон потеряется или сломается, восстановить данные, в том числе токены, бывает сложно. 

 

Для авторизации в гугле можно одновременно использовать пароли из приложения или смс (причем для смс можно указать два телефонны номера). А в Я.Деньгах можно выбрать что-то одно. Таким образом, при потере или поломке телефона, единственным способом вернуть доступ к сервиcу будут распечатанные резервные коды.

 

В этой связи и хочется использовать authy или иное приложение, с предсказуемым поведением резервного копирования.

Так то, что что-то одно - в том и смысл. То, что пароли больше по СМС не передаются, закрывают тот способ хищения денег, когда 'левую' SIM выпускают на мой номер, сговорившись с сотрудниками или еще как-то сломав сотового оператора.

В этом есть смысл, да. Однако:

1. В моем частном случае такого риска нет: я плачу только с привязанных карт, а при такой схеме все равно требуется ввод одноразовых паролей из смс банка-эмитента и cvv. Так что сам по себе доступ к я.деньгам ничего не даст.

2. Есть общая практика, которой следует большинство аналогичных сервисов: Dropbox, Evernote, Google, Zoho, Facebook  - кажется, у всех них, вам не дадут пользоваться кодами из приложений если вы не создадите резервный канал в виде смс. Яндекс поступает иначе, может быть он прав, но вот привычная практика иная, а подход Яндекса заставляет лишний раз задуматься о бэкапе.

Очень хороший и понятный вопрос, сейчас задам его разработчикам.

Прикрутите верификацию пользователя и разервную авторизацию через ЕСИА/госуслуги. У них даже пакет документов приготовлен. Хотя и несколько по другому поводу. Государству должно понравится.

Откройте мне расходные операции, из-за ваших SMS  я теперь остался без денег на Новый год.

Здравствуйте, вы обратились в службу поддержки? 

Обратился, а толку нет.

Разработчики продукта подсказывают, что резервная SMS-авторизация у нас в работе, пока — аварийные коды. И подтверждает, что сторонние приложения использовать можно.

Маша, большое спасибо за информацию.

Орлов Евгений
26 октября 2014, 01:59

Генератор одноразовых паролей как функция безусловно хороша, ну как же ее нет при авторизации в почтовый ящик Яндекса, только что заметил  Пожалуйста, добавьте эту безопасность и на вход в почтовую систему Яндекса, благодарю Вас!

p.s. только по этой причине пользуюсь почтовой системой Gmail там это реализовано..

Цитата из письма
"Мы больше не выдаем таблицы кодов и электронные токены. Это значит, вы не сможете платить, когда у вас закончатся комбинации кодов в таблице. Или заряд батарейки в токене."

Весело. 8-( Т.е. если утопил телефон, на который прилетают смски и в котором стоял привязанный генератор паролей, то заплатить ничего не сможешь.
С токеном (кстати, мне его никто не выдавал, я его покупал за свои деньги) всё-таки проще, он воды не боится.
Жаль, очень жаль. 

Специально для таких случаев есть аварийные коды.

Угу. Как Вы себе представляете их ношение? На бумажке в кармашке? Токен удобнее по определению и живёт дольше листка бумаги находясь в кармане или бумажнике.

И потом, если токены всё равно продавались, зачем было отказываться от их поддержки? Я не понимаю логики отказа от продажи токенов.

С моей точки зрения, вариант с токеном это вообще единственный способ обеспечить неперехватываемость пароля.

СМС - сейчас большая часть телефонов смартфоны, т.е. могут подхватить троянца, который может перехватывать их содержание.

Приложение-генератор - аналогично.

Таблица одноразовых кодов - опять-таки информация идёт по недоверенному каналу (троянец может быть на компьютере).

Токен оставался единственным надёжным вариантом источника паролей, которые не могут быть перехвачены скрытно от владельца.

 

 

 

Аварийные коды — не для ношения с собой, а как раз для случаев «если утопил телефон, на который прилетают смски и в котором стоял привязанный генератор паролей». Утопил — купил новый, пришёл домой, достал из ящика аварийные коды и восстановил генератор паролей :) Собственно, генератор паролей — это то, чем мы и заменили токены. 

Маша, скажите, какое устройство лучше перенесёт утопление, падение, что-то ещё - герметичный и лёгкий токен или гораздо более сложный и хрупкий телефон?

Старая инженерная истина "Чем проще - тем надёжнее". Вариант же с программным генератором паролей только кажется проще, но на деле он зависит от более сложного и менее надёжного устройства - телефона.

"Пришёл достал из ящика аварийные коды" - хорошая идея. А если я на даче, а коды у меня дома, в городе, в ящике стола? Пока не вернусь домой сосать лапу?

 

 

а если пароль от яндекса опять "утечет" в сеть,то установив приложение незнакомец сможет сгенерить и войти? уж лучше смс-пароли.
комиссии я.деньги не планируют снижать? а то уж больно высоки(особенно на вывод)-проще интернет-банком (практически любым) воспользоваться

«Незнакомец сможет сгенерить» — нет, не сможет. Вы по сути «привязываете» свое устройство к кошельку, для этого нужны оба ваши пароля: на Яндексе и в Яндекс.Деньгах (SMS-пароль).

Воспользоваться интернет-банком для вывода денег со счёта в Яндекс.Деньгах — это как? :) О каком сценарии вы говорите?

я о том, что с тарифами интернет-банков обычных банков (о как вышло!) удобней и выгодней обходиться имим, без я.денег. те же кошелек ТКС и paypal давно дешевле в плане комиссий

Наверное, не очень корректно сравнивать комиссию у разных компаний как некий общий/средний показатель. Банки, принимающие деньги на депозит, ещё и проценты платят — потому что у них другая бизнес-модель. Яндекс.Деньги, конечно же, стараются снизить стоимость сервисов для пользователей. Как правило, самые дорогие услуги — это вывод денег, а платить за товары и услуги можно в большинстве случаев без комиссии.

смотря как сравнивать:при чем здесь депозиты,например? даже сервис переводов тот же у яд дороже. 
а чтобы диалог был короче, стоило просто ответить на мой вопрос-"нет, новостей об изменении комиссий не предвидится". без обид,надеюсь

Я постаралась ответить на ваш вопрос по существу, а не «чтобы диалог был короче» — только вот комментировать я могу или то, что уже произошло, или то, что происходит. Планы и события в будущем — без комментариев :) Без обид, конечно :)

"Вы по сути «привязываете» свое устройство к кошельку" - привязал,телефон украли и что? или логиниться для генерации кода надо тоже двумя паролями?
вообще как-то не особо понятна выгода от генерации пароля в приложении. Номер телефона свободно теперь можно оставлять за собой при переходе на другого оператора, невозможность получить смс-никогда не сталкивались ни я,ни знакомые, а подождать минуту смс - это уж..

Приложение защищено четырёхзначным кодом, то есть украсть телефон — недостаточно для получения пароля и доступа к счёту. Ну и у современных смартфонов есть разнообразные варианты защиты доступа к самому устройству: паролем, рисунком, отпечатком пальца и т.д. В любом случае ситуация, которую вы моделируете (массовая "утечка" + кража телефона у реального живого человека, чей пароль оказался в базе скомпрометированных) — на практике не очень реальна, разве что речь идёт об адресной атаке на кошелёк миллионера.

По поводу выгоды — мы же не уговариваем вас поменять способ авторизации :) Эта возможность — для тех, кому она нужна, у нас есть и такие пользователи. Например, в некоторых странах плохо с доставкой SMS, оператор один на всех и работает нестабильно. Или если вы много путешествуете и меняете SIM-карты. 

ок. про комиссии - вы не знаете, верно?

alexvshinkarenko
1 июня 2015, 19:55

Мария, добрый день.

 

Наблюдаю глобальную техническую проблему с получением SMS подтверждений, как на мобильной версии Я.Деньги, так и на полной. От техподдержки нет ответа уже 11 дней. Заявка номер - 2015052233011787 от  10:48 утра 23.05.15.

Поспособствуйте, пожалуйста, решению проблемы.

Заранее благодарен.

А если я не хочу одноразовые пароли? Мне нужно оплатить с компьютера на работе. Телефон забыт дома (или сел в поездке) и как это сделать? без СМС кода не прокатит. А вот использование постоянного пароля решает эти проблемы - плати везде, с любого устройства.