Information Security
June 17

Спорное новшество от Яндекса — вход в аккаунт через письмо

Входя в очередной раз в аккаунт Яндекса через браузер, заметил под кнопкой входа новшество — возможность войти в аккаунт, просто перейдя по ссылке в письме, которая придет в почту этого аккаунта.



По всей видимости, эта функция находится в A/B-тестировании, поскольку кнопка отображается не всегда.

Согласно описанию функции, после нажатия на кнопку вам приходит письмо, в котором предлагается сравнить картинки с отображаемыми на форме входа, и затем подтвердить вход нажатием на кнопку входа. Никакого ввода пароля или кода из письма в форму входа.

В описании на текущий момент последним пунктом значится:
Можно ли отключить вход через письмо?
Отключить вход через письмо пока невозможно.
Единственный вариант, при котором вход через письмо невозможен — использование 2FA, которая работает только с приложением «Яндекс.Ключ» и полностью исключает ввод пароля.

Интересный факт: в посте с анонсом 2FA от Яндекса (2015 год) первым пунктом в объяснении их подхода к 2FA было:
Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности: тут и выключение обновлений Windows, и пиратская копия антивируса без современных сигнатур, и ПО сомнительного происхождения ─ все это не повышает уровень защиты. По нашей оценке, компрометация компьютера пользователя ─ самый массовый способ «угона» учетных записей
Разделяя мнение о меньшей безопасности ПК относительно смартфонов, я обратился в поддержку Яндекса с вопросом о возможности отключения входа по письму для аккаунтов без 2FA — ведь, пожалуй, большинство сохраняют авторизацию на личных ПК в куках.

Говоря о новом методе авторизации, можно даже не рассматривать вариант вирусов, возможности пересылки писем и т.п. — достаточно просто полминутного доступа к мышке и монитору незаблокированного ПК с открытой почтой, чтобы сделать три клика (клик по письму, по ссылке в письме, и по кнопке подтверждения) для входа в аккаунт. Еще три-четыре клика требуется на бесследное удаление письма, тогда об авторизации можно будет узнать только по журналу безопасности — как часто вы туда заглядываете?

Ответили мне так:
Вход через письмо вполне безопасен, а в описанном вами случае с незалоченным ПК получить доступ к открытому на нем аккаунту можно и проще — например, посмотрев сохраненный в браузере пароль.
Скриншот

Отвечая на вопрос о возможности отключения функции — «Мы записали ваше пожелание, подумаем над ним.»

Неочевидные новшества по упрощению авторизации могут вылиться в очень неприятные сюрпризы для пользователей, не ожидающих подвоха. Или, может, только мне это кажется ухудшением безопасности?
+28
10.9k 18
Comments 38
Top of the day