Mail.ru и «Яндекс» запустили собственные сервисы двухфакторной аутентификации с разницей в несколько часов

    Mail.ru и Yandex в один день (с интервалом в несколько часов) сообщили о запуске возможности двухфакторной аутентификации для доступа к своим интернет-сервисам, сообщает Roem. Mail.ru проводили тестирование своей системы уже месяц, «Яндекс» успел презентовать новый функционал в своем блоге на три часа раньше конкурентов, а затем оперативно опубликовал отдельный пост для аудитории «Хабра». Информация о запуске нового функционала от Mail.ru освещена в официальном пресс-релизе на странице компании. При этом принцип работы презентованных функционалов разительно отличается.

    При двухфакторной аутентификации в «Яндексе» можно вообще не вводить логин и пароль в браузере — поэтому и украсть их с компьютера пользователя будет практически невозможно, заявляют разработчики. Для подтверждения личности используются смартфон и специальное мобильное приложение Яндекс.Ключ для iOS и Android, которое необходимо связать со своей учетной записью.

    Приложение, попасть в которое можно только после введения четырехзначного пин-кода, позволяет считать QR-код, который в свою очередь отображается на экране при попытке входа в учетную запись с использованием двухфакторной аутентификации. В QR-коде зашит номер сессии, и, когда приложение сканирует его, этот номер передается на сервер вместе с одноразовым паролем и именем пользователя. После получения сервером данных открытая в браузере страница автоматически осуществляет вход в учетную запись.

    Согласно информации от Mail.ru, в их варианте двухфакторной аутентификации первым фактором является пароль, а вторым выступает код, который пользователь получает при помощи традиционной SMS на привязанный к учетной записи номер телефона. По мнению разработчиков решения, это наиболее доступный способ, охватывающий в том числе аудиторию, которая не пользуется смартфонами на популярных операционных системах.

    Почти одновременную презентацию схожих функционалов защиты учетных записей прокомментировала в своем Facebook вице-президент Mail.ru Group Анна Артамонова:
    Да, хорошо, что мы запустили тестирование на месяц раньше и вряд ли можно сказать, что мы врем — habrahabr.ru/company/mailru/blog/246607. Как вышло так, что на день, когда был назначен релиз, кое-кто успел на 3 часа раньше — хороший вопрос, но не хочется никого подозревать.

    Через некоторое время в сети пошли разговоры о «перестрелке» между компаниями с использованием демотиваторов.

    Руководитель направления персональных сервисов «Яндекса» Антон Забанных с подачи IT-журналиста Павла Кушелева опубликовал на своей странице в Facebook демотиватор, сравнивающий функциональность обеих систем аутентификации:

    image

    Но тот же Кушелев уже сам опубликовал еще один демотиватор, на этот раз делая выпад в сторону «Яндекса», авторство которого некоторые ошибочно приписывают Mail.ru:

    image

    Из-за принципиальных отличий в работе обоих сервисов, сказать, какой из них окажется комфортнее не представляется возможным. Понять это можно будет только спустя некоторое время, так как Яндекс пошел по пути инноваций, что накладывает ограничения (только пользователи с устройствами на iOS и Android и постоянным доступом к сети), а Mail.ru использовал классический подход к обеспечению защиты учетной записи с использованием SMS. Что окажется удобнее — решат пользователи.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 34
    • 0
      Мне вот больше стандартный вариант нравится, как минимум можно под него сделать софт, который после связи компа и телефона будет автоматически код подтверждения на компе вводить сразу после прихода смс, в «проприетарном» и антистандартовом варианте яндекса так не выйдет уже…
      • 0
        ну как миниимум на iOS/OS X так это и работает — код прилетает в родное приложение на мак
        • 0
          знаю, у самого айфон и прошка, весьма удобная вещь.
          • +18
            Теперь осталось выяснить, кто с вами третий на фото! :D
            • –5
              что?
              • +6
                Шутка не удалась :(

                Второй демотиватор, из двух фотографий, на фото слева — стоят трое, вы, двое, уже отметились, третий ещё нет… примерно так я это увидел.
                • 0
                  Эм, не понял, мне-то как раз-таки не нравится вариант яндекса…
                  • +5
                    Да, нет же! Шутка заключалась в стиле одежды на фото, такие люди точно станут пользоваться iДевайсами, как и вы оба, отписавшиеся про яблочные устройства.

                    Теперь, блин, с объяснением, шутка тупее некуда стала :(
                    • –2
                      Стереотипы — это глупо.
                      • +6
                        Шутка же… просто шутка.

                        Только что придумал: надо было просто спросить меня — «третьим будешь?» и мне было бы не отмазаться, и шутка получилась бы лучше.

                        И, нет, я не считаю всех пользователей яблочной продукции фриками, какие показаны на фото (разве что чуть-чуть).
      • 0
        Вариант с SMS менее надежен, т.к. SIM карту можно клонировать (для этого не нужно иметь доступ к оригинальной SIM карте, нужен только свой человек у оператора (можно найти такие услуги на различных тематических форумах) и перехватить код (где-то здесь у человека был пост про то, как у него склонировав SIM карту увели деньги с QIWI кошелька).
        Плюс SMS со временем могут стать платными (например, у Webmoney с недавних пор получение SMS кода стоит 1.5 руб).

        Мне лично нравится вариант от Microsoft — там достаточно подтвердить запрос на мобильном устройстве и все. Не надо вводить никаких кодов, сканировать QR коды.
        • 0
          Только не клонировать, а перевыпустить. Раньше можно было и клонировать и вообще б владелец фиг бы догадался.
      • +5
        Отдельное приложение у Яндекса неудобное для меня решение. Почему бы не использовать Google Authenticator или Authy…
        • +5
          Оба этих варианта совмещены в один у украинского ПриватБанка: можно СМС (по старинке), можно отсканировать QR на мобильном приложении…
          А почему им пришлось выбирать что-то одно?
          • +1
            Странно почему яндекс помимо инновационного не добавил ещё и обычный, как у mail.ru.
            • 0
              SMS, все таки, стоят денег. Не знаю как в масштабах Яндекса, но, возможно, при массовом использовании этой функции это слишком дорого.
              • 0
                Как раз в масштабах Яндекса, это не деньги ;)
            • +1
              Более интересным выглядит такой вариант.
              1. Ввод логина и пароля.
              2. Автозапуск приложения на смартфоне, где только одна кнопка — «войти». Всякие цифровые коды скрыты и не видны.
              3. При её нажатии автовход на компьютере без лишних действий.

              Это быстрее чем смс, и надежнее чем путь яндекса, где достаточно завладеть временно смартфоном и узнать/подглядеть/подобрать 4х значный код.
              • 0
                Можно вообще так:
                1. Ввод только логина;
                2. Отображается QR-код (в котором шифруем сессию этого пользователя и какой-нибудь публичный ключ, например)
                3. У пользователя с ассоциированным номером телефона автозапуск/уведомление приложения.
                4. Направляем телефон камерой на QR-код. Он автоматом его фотографирует и отправляет запрос на удаленный сервер об успешном (или нет) входе.
                Или это неудачный вариант?
                • 0
                  Это несекурно. Я отошёл, а кто-то взял мой телефон и навёл его на экран. Поэтому яндекс и добавил ещё 4х значный пин, но это тоже ерунда по сравнению с нормальным паролем.
                  • 0
                    Понятно, спасибо за объяснение)
                • 0
                  Кстати, именно так сделали Microsoft. Там даже приложение запускать не надо, уведомление в шторку сваливается (Запрос такой-то, Разрешить, Запретить).
                  • +1
                    Меня немного волнует, что ситуации, когда нет интернета на телефоне они всё же чаще, чем когда нет связи вообще. Например в роуминге авторизация яндекса — не лучший вариант.
                    • 0
                      Поэтому можно соеденить два способа. Всегда приходит смс, приложение само читает смс и само входит. Как viber при регистрации.
                  • +4
                    Поддержка Google Authenticator есть?
                    Лишние сущности не нужны.
                    • 0
                      Вы предлагаете компаниям пользоваться сервисами конкурента?
                      • +3
                        А у этих компаний когда-то были подобные сервисы, чтобы называть сервис от гугла конкурирующим? Речь, естественно, о генераторе токенов, а не о почтовом сервисе.
                        • 0
                          Он опенсорсный под лицензией GPL. Есть в репозиториях F-Droid. Так что если бы захотели взяли бы. Например, двухфакторная авторизация у вконтакте работает именно через Google Authenticator. Яндексу, видимо, нужно было создать что-то своё.
                          • 0
                            Видимо Яндекс нашёл фатальный недостаток в готовом решении.
                        • 0
                          Поддерживаю, кроме того Authenticator не требует постоянного доступа к сети. С учетом опенсоурсности, о которой написали ниже — самое то.
                        • 0
                          Я бы рад пользоваться приложением Яндекса для аутентификации, однако не вышел версией андроида.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.