По всей видимости, эта функция находится в A/B-тестировании, поскольку кнопка отображается не всегда.
Согласно описанию функции, после нажатия на кнопку вам приходит письмо, в котором предлагается сравнить картинки с отображаемыми на форме входа, и затем подтвердить вход нажатием на кнопку входа. Никакого ввода пароля или кода из письма в форму входа.
В описании на текущий момент последним пунктом значится:
Можно ли отключить вход через письмо?Единственный вариант, при котором вход через письмо невозможен — использование 2FA, которая работает только с приложением «Яндекс.Ключ» и полностью исключает ввод пароля.
Отключить вход через письмо пока невозможно.
Интересный факт: в посте с анонсом 2FA от Яндекса (2015 год) первым пунктом в объяснении их подхода к 2FA было:
Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности: тут и выключение обновлений Windows, и пиратская копия антивируса без современных сигнатур, и ПО сомнительного происхождения - все это не повышает уровень защиты. По нашей оценке, компрометация компьютера пользователя - самый массовый способ «угона» учетных записейРазделяя мнение о меньшей безопасности ПК относительно смартфонов, я обратился в поддержку Яндекса с вопросом о возможности отключения входа по письму для аккаунтов без 2FA — ведь, пожалуй, большинство сохраняют авторизацию на личных ПК в куках.
Говоря о новом методе авторизации, можно даже не рассматривать вариант вирусов, возможности пересылки писем и т.п. — достаточно просто полминутного доступа к мышке и монитору незаблокированного ПК с открытой почтой, чтобы сделать три клика (клик по письму, по ссылке в письме, и по кнопке подтверждения) для входа в аккаунт. Еще три-четыре клика требуется на бесследное удаление письма, тогда об авторизации можно будет узнать только по журналу безопасности — как часто вы туда заглядываете?
Ответили мне так:
Вход через письмо вполне безопасен, а в описанном вами случае с незалоченным ПК получить доступ к открытому на нем аккаунту можно и проще — например, посмотрев сохраненный в браузере пароль.
Отвечая на вопрос о возможности отключения функции — «Мы записали ваше пожелание, подумаем над ним.»
Неочевидные новшества по упрощению авторизации могут вылиться в очень неприятные сюрпризы для пользователей, не ожидающих подвоха. Или, может, только мне это кажется ухудшением безопасности?
Комментарии (38)
Magn
17.06.2019 14:32+3получить доступ к открытому на нем аккаунту можно и проще — например, посмотрев сохраненный в браузере пароль.
Пароли могут не сохранятся браузером (как у меня, например), но в почту пользователь может быть залогинен. Так что это не аргумент.
ArSoron
17.06.2019 14:49Хром чуь ли не по умолчанию (?) требует ввода пароля от аккаунта для просмотра сохраненных паролей.
steck
17.06.2019 15:25Но в консольке у предзаполенного поля можно поменять тип. Или в свойствах посмотреть value. И будет пароль в открытом виде без необходимости ввода пароля.
HardWrMan
17.06.2019 16:35FF так же при первом сохранённом логине предлагает установить пароль на просмотр сохранённых логинов. При отказе эта возможность остаётся в настройках, там где эти логины и сохранены.
Magn
17.06.2019 20:02И хром и фф (остальные, уверен, тоже) хранят пароли в открытом виде. Просто откройте инструменты разработчика на странице с звездочками сохраненного пароля и измените тип поля с "password" на любой другой. Вуаля, пароль в открытом виде.
Peter03
17.06.2019 22:39На незалоченный компьютер можно установить троян или кейлоггер.
Так что они в принципе правы, что не отменяет необходимости разрешать такую функциональность только по явному решению пользователя.
Т.е. пользователь должен opt-in, а не opt-out
FRAGIL3
17.06.2019 14:34-1Интересно, ключи ФСБ они давать не очень хотели как раз аргументируя тем, что ключи дадут доступ не только к почте, но и ко всем сервисам. Видимо решили уравнять в правах.
aamonster
17.06.2019 15:06"Возможность пересылки писем", как я понимаю, дыру не открывает: ссылку ведь надо открыть в браузере, в котором уже залогинен.
Но да, фича пока выглядит сырой. Недаром чтобы "посмотреть сохранённый в браузере пароль" — надо вначале ввести локальный пароль пользователя. При использовании смартфона — тоже хочется, чтобы после перехода по ссылке — пришлось бы на смартфоне приложить палец или ввести пин.
botka4aet
17.06.2019 17:28«Возможность пересылки писем», как я понимаю, дыру не открывает: ссылку ведь надо открыть в браузере, в котором уже залогинен.
Что-то не вижу инфы об этом в ФАКе от яндексаaamonster
17.06.2019 18:00В скриншоте: "откройте его на устройстве, где вы авторизованы". В описании функции — "чтобы войти через письмо, нужно сначала войти в Яндекс.Почту на другом устройстве".
Может, конечно, я что-то неправильно понял, но вроде довольно однозначно написано. Т.е. подойти к незалоченному компу — сработает, а вот настроить переадресацию — уже нет.
Gurturok
17.06.2019 15:36+1Когда они уже перестанут требовать «Контрольный вопрос» для удаления аккаунта…
irsick
17.06.2019 17:51Это "новшество" существует уже лет 20 как минимум в таких древних ресурсах, как craigslist.org
Mur81
17.06.2019 18:49+1У них вообще в последние годы понятие о безопасности странное какое-то. Проследите эволюцию входа в аккаунт:
— Сначала (и долгое время) было стандартное окно ввода логина/пароля и галочка «Запомнить меня» (по умолчанию не стояла).
— Потом галочка превратилась в «Чужой компьютер» т.е. по умолчанию авторизация стала сохраняться в куках, а если не хотим, то надо вручную галку тыкать каждый раз.
— Затем вход стал двухэтапный — вводим сначала логин, потом на следующем окне пароль. При этом отказаться от сохранения в куках стало вовсе не возможно — теперь надо либо логофиться вручную, либо использовать сразу режим инкогнито.
— И вишенка на торте — валидность логина проверяется сразу после его ввода. Если такого логина нет, то об этом сразу же сообщается и до ввода пароля дело не доходит. Тут я даже комментировать не буду.
А еще этот их Коннект где всему домену принудительно назначается список рассылки all@my_domain.tld. Ребят, вы серьёзно? Т.е. если ты фишер, то раньше тебе надо было узнать адреса, а теперь ты в тупую можешь парсить DNS на предмет поиска доменов с MX на Яндексе и рассылать письма на all@.
Я им писал тоже про это, мол что вы творите-то? В ответ — да, мы приняли, подумаем над этим (год уже прошёл).
Oplkill
18.06.2019 09:33+1— И вишенка на торте — валидность логина проверяется сразу после его ввода. Если такого логина нет, то об этом сразу же сообщается и до ввода пароля дело не доходит. Тут я даже комментировать не буду.
Правильно делают, что выводят проверку на логин. И не надо сразу кидаться камнем о «безопасности». Свободен или занят логин, можно узнать через страницу регистрации и эта проверка работает на всех сайтах. Наоборот всегда бесило, что на большинства сайтах ввода логина пароля тебе не пишут, что именно не правильно, логин или пароль, хотя на странице регистрации ты всегда с лёгкостью проверяешь есть ли такой логин или нет…Mur81
18.06.2019 11:30Не совсем так. Я согласен, что в системах с открытой регистрацией логин можно узнать через регистрацию. Но Яндекс таковой системой является лишь отчасти. Вспомните уже упомянутый Коннект — там логины имеют вид login@my_domain.tld. И существование логина из пространства @my_domain.tld через открытую регистрацию проверить нельзя. Зато можно теперь проверить через форму логина. Я конечно надеюсь, что там есть хотя бы защита от тупого брута.
Впрочем касаемо Коннекта я уже написал, что пакости слать можно сразу на all@my_domain.tld и с вероятностью 99% это получат все имеющие адрес в данном домене (1% оставим на тех кто поменял этот адрес при переезде с Яндекс.ПДД — единственный момент когда это можно было сделать). Но если же ваша атака более избирательна, то вот пожалуйста — готовый инструмент для проверки адресов имеется. И кстати еще можно узнать является ли уже известный адрес реальным почтовым ящиком или списком рассылки.
Если всё это кажется не убедительным, то вот сценарий который я сейчас придумал за 3 сек (основываясь впрочем на опыте из жизни). Скажем вы хотите посредством почты применить социальную инженерию к бухгалтеру Марине Ивановой из компании Ромашка (все совпадения конечно случайны), которая там единственный бухгалтер. При этом не желательно, что бы ваши письма попали другим сотрудникам, дабы не спалиться раньше времени. Из DNS вы узнали, что почта домена romashka.tld хостится на Яндексе. Какая удача! Вы начинаете пробивать адреса: marina.ivanova@romashka.tld, m.ivanova@romashka.tld… нет ничего… а ну ка… marina@romashka.tld. Тоже нет! И тут вы вспоминаете, что на сайте у них указан е-мейл бухгалтерии — buh@romashka.tld. Весьма вероятно, что это и есть адрес Марины, ведь она там единственный бухгалтер. Однако кто его знает — вдруг это список рассылки и входящие на этот адрес читает еще и директор? Пробуем логинится под buh@romashka.tld и у нас спрашивают пароль — значит это реальный почтовый ящик, и вероятно это ящик именно бухгалтера Марины (в случае если buh@romashka.tld является списком рассылки Яндекс скажет, что такого логина не существует).
В общем насколько это всё критично или не очень пусть каждый сам решает. Однако такое отношение к ИБ со стороны крупной ИТ-компании мягко говоря удивляет.
DerRotBaron
18.06.2019 15:21Есть еще вот такая не баг а фича Яндекса.
https://habr.com/ru/post/357410/
Работала месяцев 7 назад, с того момента не проверял, но что-то подсказывает...
lotse8
18.06.2019 10:26Это из серии:
«Мыши плакали, кололись, но продолжали грызть кактус»
Правильно написал выше 1c80, если нужна нормальная почта, то владей собственной.
vtc
18.06.2019 13:25Все как обычно или удобство или безопасность… думаю что отключение сделают со временем…
v1z
19.06.2019 09:36Так а что такого? Это бывает на самом деле удобно. А если нужна безопасность, включайте 2fa, юзайте protonmail или свой сервер, и разлогинивайтесь когда отходите от рабочего места. Яндекс тут точно не добавляет проблем.
shpaker
-
1c80
каждый раз убеждаюсь, что для важных дел надо свой почтовик иметь, а паблики под спам всякий оставлять, ни разу ещё не пожалел.
upviqq
А сколько у стоит аренда сервера с дублированием в другой датацентр
1c80
Я таким не занимался, обычный шаред хостинг, цепляешь аутлук и работаешь себе.
Почта в аутлуке и не сервере, зачем второй датацентр.
upviqq
Бесплатная почта тоже в аутлуке и на сервере. Если уж сравнивать бесплатные почтовики со своим сервером, то без резервирования смысла нет.
Я с таким же успехом могу сказать, что у меня бесплатная почта работает, ни разу ещё не пожалел.
1c80
Щаред хостинг не бесплатный совсем, я такое не говорил.
upviqq
Я тоже не говорил, это уже ваши выводы.
У бесплатных почтовиков тоже куча плюсов, а у своего — куча минусов. А вы так пишете, будто поднял свой почтовик и никаких проблем.
1c80
Совершенно верно, только его провайдер поднял, а не я.
Я же только почту принимаю и да проблем нет у меня, только платить раз в год надо.
upviqq
Один провайдер, который может отказать.
Я ж говорю, у меня с бесплатной почтой тоже проблем нет, пока не возникнут. И у вас тоже до первой аварии.
1c80
Ну отказать все что угодно может, тут уж без вариантов.
Просто почта моя, что хочу там то и делаю, как мне надо, так и настраиваю и никто мне там своих приколов не добавит.
Могу пароль забыть, могу любой ящик завести, я про то, что не зависишь от ненужных людей.
upviqq
В почте с доменом тоже можно пароли забывать и создавать любые ящики.
Ну а тонкая настройка, это уже не альтернатива бесплатному почтовику, а собственное решение, тут сравнтвать бесполезно.