«Яндекс» ввел двухфакторную аутентификацию

«Специально для тех, кто беспокоится о безопасности своего аккаунта, Яндекс запустил бета-версию двухфакторной аутентификации. С ней ключ от вашего аккаунта будет только в ваших руках. Точнее, в вашем смартфоне.

При авторизации на Яндексе — или на любом другом сайте — вы вводите свои логин и пароль. Система проверяет, соответствует ли пароль логину и впускает вас, если всё в порядке. Но пароль — это только один фактор проверки. Существуют системы, которым одного фактора недостаточно. Помимо пароля они требуют, например, специальный код, присылаемый в смс, или USB-ключ, который надо вставить в компьютер. Эти системы используют двухфакторную или многофакторную аутентификацию.

Для своей схемы двухфакторной аутентификации мы создали Яндекс.Ключ — мобильное приложение для iOS и Android. Достаточно считать приложением QR-код на главной странице Яндекса, в Паспорте или в поле авторизации Почты — и вы окажетесь в своём аккаунте.

Чтобы воспользоваться Ключом, вам нужно включить двухфакторную аутентификацию, установить приложение и привязать его к вашей учётной записи. Потом вы задаёте в приложении четырёхзначный пин-код. Этот код станет одним из факторов, частью «секрета», на основе которого алгоритм будет создавать одноразовые пароли. Второй фактор хранится в смартфоне. Когда вы будете в дальнейшем считывать в форме авторизации QR-код, приложение отправит на сервера Яндекса ваш логин и одноразовый пароль. Сервер проверит их и даст странице команду пустить или не пустить вас внутрь.

Когда считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, вы можете ввести одноразовый пароль вручную. Ввод пароля в этом случае заменяет считывание QR-кода — разница только в том, что пароль не отправляется на сервера автоматически, вместо этого вы вводите его в форме авторизации вместе с логином. Одноразовый пароль действует всего 30 секунд. Это сделано для того, чтобы его нельзя было украсть с вашего компьютера (например, с помощью программы, запоминающей введённые в браузер пароли).

Никто кроме вас не сможет воспользоваться Ключом для входа в ваш аккаунт, ведь при генерации паролей Ключ использует пин-код, который придумали вы. Без правильного пин-кода приложение будет создавать неверные пароли, которые не подойдут к вашей учётной записи. Если у вас смартфон или планшет от Apple с Touch ID, то вместо пин-кода можно использовать отпечаток пальца.

Механизм двухфакторной аутентификации — это ещё один инструмент, который поможет сделать работу пользователей Яндекса в интернете более безопасной. Если вам нужна дополнительная защита вашего аккаунта — самое время закрыть его на Яндекс.Ключ.»