Comments 25
Регистрация у юр.лиц проходит в два этапа — ввод ИНН с проверкой, ввод номера телефона.
Вы правы, один номер телефона использовать на два аккаунта (физ.лицо и юр.лицо) не получится.
Почему так? Верификация аккаунтов по номеру телефона была введена для безопасности аккаунтов наших клиентов — чтобы злоумышленники не могли попасть в аккаунт без кода из СМС-сообщения.
Подумаем над возможностью заводить два разных типа аккаунтов на один номер, спасибо за фидбек.
Лучше выбрать один номер, который будет использоваться в учётной записи юридического лица и не отвязывать его.
Процесс верификации точно останется таким же, но мы подумаем над разделением в системе аккаунтов физ.лиц и юр.лиц таким образом, чтобы на один номер можно было завести по одному аккаунту разного типа.
Теоретически да, вы можете зарегистрироваться с одним номером телефона, после чего отвязать его и оформлять заказ с другим номером. В момент оформления заказа с другим номером, привяжется к аккаунту именно он.
К аккаунту в любом случае должен быть привязан один номер телефона, так как при входе на сайт нужно подтверждение владельца аккаунта по коду из смс.
Одновременно на один телефон привязать несколько аккаунтов нельзя, также нельзя использовать несколько телефонов для входа в один аккаунт — вход будет по одному верифицированному номеру, а номер получателя в заказах может быть любой, он не влияет на вход в учётную запись.
Понимаю, что это может быть несколько неудобно, но повторюсь, что подтвреждение по коду из смс безопаснее, чем вход по связке логин/пароль.
К аккаунту юр.лица можно привязать абсолютно любой номер для входа, а при оформлении использовать любой другой в качестве номера получателя. Так получится, даже если этот номер сейчас используется в другом аккаунте.
Как выше писал — в таком случае он останется верифицированным в аккаунте физ.лица, так как аккаунт юр.лица не пустой и там есть основной номер для входа.
Вообще-то, всегда было, что логин, пароль ПЛЮС одноразовый код безопаснее.
Вы правы — чем больше факторов, тем лучше (безопаснее). Но у самого фактора пароля есть длинная и обширная история проблем. В качестве второго фактора в такой схеме обычно используется либо всё тот же СМС-код, либо HOTP/TOTP-решения. У каждого из этих вариантов есть свои плюсы и минусы. Ниже в комментариях я постарался развёрнуто ответить по вопросу развития нашей системы аутентификации.
Физический доступ к устройству со знанием номера телефона жертвы — это, согласитесь, достаточно серьёзный фактор для реализации угрозы в контексте конкретного человека. Имея такой доступ, вы сможете многое. Но мы конечно принимаем во внимание и такие типы угроз, поэтому следите за нашими анонсами. Будем добавлять больше разных интересных фишек безопасности тут.
Давайте всё-таки определимся, что и как мы сравниваем в контексте безопасности. Вероятность и сложность угрозы с физическим доступом к личному устройству просто не сопоставимы с таковыми при получения злонамеренного доступа к учётной записи из-за проблем парольной аутентификации. Особенно в контексте атак на большое количество пользователей и удобства сценария аутентификации для них же.
войти на озон и личный кабинет оператора связи, да.
А также получить доступ (на разном уровне) к куче мессенджеров и других популярных приложений, к кодам банковских приложений и восстановлению аккаунтов на других сервисах, а также просто попробовать тогда и сразу разблокировать устройство, раз уж оно оказалось у вас в руках. При этом я специально выше явным образом обозначил, что:
Но мы конечно принимаем во внимание и такие типы угроз, поэтому следите за нашими анонсами. Будем добавлять больше разных интересных фишек безопасности тут.
Смс отправляем клиентам, но не по всем сценариям. Например о поступлении заказа в пункт выдачи или постамат можно узнать из почтового письма или push-уведомления от приложения.
Больше 60% наших клиентов оформляют заказы через мобильное приложение и мы видим, что им удобно получать пуши.
Мы следим за реакцией клиентов и собираем фидбек по частичной замене смс на письма и пуши, чтобы у нас было понимание, насколько это удобно/не удобно нашим клиентам.
Такую практику используем уже больше месяца, пока не встретили негатива, но спасибо вам за обратную связь.
Ага, а еще бесит тот факт, что для входа на сайт оставили безальтернативный вариант по одноразовому SMS-коду, убрав пару «логин-пароль» в принципе.
Аутентификация с помощью логина и пароля уже давно считается небезопасной сама по себе и требует усиления с помощью 2FA. Если кратко, то человеку сложно придумать уникальный и достаточно стойкий пароль, также как и запомнить его. Парольные менеджеры конечно помогают, но этого не достаточно. Поэтому интернет-индустрия активно исследует и испытывает новые способы аутентификации, в том числе и безпарольные. Например, в рамках известного проекта FIDO2, о котором были материалы тут же на Хабре. Мы поддерживаем это движение и планируем дальше повышать безопасность системы аутентификации.
Bug bounty Ozon: вопросы и ответы