Почтовый сервис Mail.ru ввёл новый способ идентификации: через одноразовые коды, которые отправляются по SMS или через push-уведомления.
Такой способ представляет собой упрощённый вариант стандартной двухфакторной аутентификации. При стандартной 2FA пользователь должен ввести свой постоянный пароль и код, полученный на телефон (второй фактор). В системе Mail.ru реализован вариант, когда свой постоянный пароль вводить не нужно. Собственно, он вообще отсутствует. Можно спросить, а что в таком случае является вторым фактором 2FA? По логике разработчиков, вероятно, это пинкод от телефона.
Но Mail.ru не позиционирует одноразовые коды в качестве 2FA, а просто как более безопасную замену стандартным паролям. Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Компания подчёркивает, что одноразовый пароль невозможно подобрать или угадать. Кроме того, невозможно и использовать и подсмотренный пароль — он действует в течение ограниченного времени и только для одной авторизации.
«Зачастую почта является „ключом” ко всем остальным сервисам пользователя, поэтому забота о безопасности почтового ящика критически важна. В перспективе нововведение существенно усилит безопасность почты, ведь если пароль отсутствует, то его нельзя потерять или подобрать», — пояснила вице-президент Mail.Ru Group Анна Артамонова.
Сейчас пользователям почтового сервиса Mail.ru предлагают установить «лёгкий браузер Атом»
В дальнейшем Mail.ru планирует полностью отказаться от использования авторизации с помощью текстовых паролей. Сервис планирует внедрить новые способы авторизации, в том числе с помощью биометрии (сканирование отпечатков пальцев, определения лица и т.п.) и физических ключей.
Сейчас почтовые ящики Mail.ru работают по старой системе. Получить доступ можно по логину и паролю, в том числе без двухфакторной аутентификации. Доступ по протоколу POP3 тоже не изменился. Судя по всему, новая система одноразовых паролей по SMS существует пока только в пресс-релизе, а пользователи смогут воспользоваться новой возможностью чуть позже.
Почта Mail.ru была запущена в 1998 году. Сейчас у сервиса около 100 миллионов активных аккаунтов. Ежедневно пользователи отправляют около 380 миллионов писем.
О методах обхода двухфакторной аутентификации с чтением пуш-уведомлений на Android-устройстве пользователя см. здесь.
Поправка. В первой версии статьи было ошибочно указано, что при установке браузера «Атом» меняется поисковая система по умолчанию в других браузерах. Руководитель разработки браузера Сергей Свистунов (svistunov) пояснил нам, что это не так.
Комментарии (87)
user_man
25.06.2019 13:50+6Ну вот, теперь они хотят обязать всех сдавать им свои телефоны.
Придётся уходить на альтернативные сервисы.
manok
25.06.2019 14:39+3Будто это единственная причина почему стоит отказаться от использования продуктов Мейла.
ksr123
25.06.2019 19:50+1А в чем проблема с их почтой? Нет, честно, не понимаю. Лет 15 пользовался, ни единой проблемы не было ни на одном ящике.
Забросил потому, что ящики эти просто стали не нужны, хватает одного.
JustDont
25.06.2019 13:51+7Это поможет защититься от слива БД с пользователями
«Защита от незаконных врезок в трубопровод путем прокачки через него сточных вод» (с) Mail.ru
s37
25.06.2019 13:57Очень напоминает сегодняшнюю ситуацию с тем, что у одного оператора связи проблемы с доставкой смс из банков и бухгалтерия полдня сидит без банков, поскольку «все на телефон завязано». Т.е. без телефона они вообще ничего не могут, даже просто зайти.
MINYSMOAL
25.06.2019 14:44А пуши?
s37
25.06.2019 15:02Логично, но думать об этом должен айтишник когда уже не работает, а не бухгалтерия которая это все подключала когда еще работало. Я у них тоже спросил, может, говорю, уведомления какие есть или аварийные коды? "Ничегонезнаемничегонивидели" вот и весь ответ.
DGG
25.06.2019 13:57+3Учитывая, что в России ваши СМС может читать любой хрен через СОРМ не спрашивая разрешения оператора, шикарная идея.
Телеграм, помнится, как-раз обжегшись на авторизации по СМС, ввёл пароли.DGG
25.06.2019 14:03Да и даже без СОРМ — атака от мошенников, получающих новую сим-карту вместо вас (уже распространенный вариант) и теперь они будут сразу иметь доступ не только к телефону, но и почте. А для кучи сервисов это уже позволяет сменить пароль.
s37
25.06.2019 14:05Вот мне когда из бухгалтерии сказали что смс не приходят, я сразу же полетел проверять не заменяли ли сим карту и только потом, когда перебрал все мошеннические варианты, стал смотреть в сторону того, что, может быть, банально проблема у оператора.
namikiri
25.06.2019 14:56Чисто технически можно прослушать и расшифровать SMS, прилетевшую по воздуху.
user_man
26.06.2019 14:16СОРМ даёт доступ ко всем вашим данным на мэйл.ру, в том числе к тем, которые вы считаете удалёнными. Есть такой «пакет Яровой», вот там всех на это нагнули. Поэтому СМС или пароль здесь уже ничем и никому из пользователей СОРМа не помешает.
Yuriy_krd
25.06.2019 14:08+1Это все очень здорово, но я часто провожу время в таком населенном пункте, где из ОПСОСов — только Билайн. Причем, я — не пользователь данного оператора. И как тогда мне быть? При этом, там есть инет (оптика). Значит, котиков на ютубе я могу посмотреть, а почту проверить — мне сервер покажет комбинацию из трех пальцев?
Gurturok
25.06.2019 14:19+1Это точно не утка? Звучит слишком бредово.
Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Нет базы — нечему утекать! Стандартный 2FA в качестве защиты от утечек и принудительное требование смены пароля при намеке на утечку — более чем достаточно.
Доступ по протоколу POP3 тоже не изменился.
Вот кстати да, что будет с POP/IMAP/SMTP? Зарежут и оставят доступ только через фирменное приложение/webui?
Ну и для всех параноиков, которые считают что mail будет сливать временные пароли спец. службам — успокойтесь, у них и так есть доступ к вашем письмам и они могут их сливать хоть сейчас.user_man
26.06.2019 14:18Сейчас слив анонимный (относительно), а будет гарантированно привязанный к конкретному паспорту — конкретно к вашему.
zojl
25.06.2019 14:22+3Печальная новость.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.Gurturok
25.06.2019 14:31переставил симку
pin-код жежzojl
25.06.2019 14:35+1Как правило, сим-карты в последние года выдаются с пин-кодами 0000 или 1234, выключенными по умолчанию. Большинство пользователей не стремится их включать, поскольку это затягивает процесс включения телефона, но при этом нечасто (пока ещё) даёт эффективную защиту.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.
Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.wlr398
25.06.2019 14:43Графический ключ тоже легко подсматривается через плечо. Или по жировому следу под лампой.
Уязвимость графического пароля
Кстати, на днях заметил на Protonmail, что они сделали возможность авторизации только по одному паролю. Видимо слишком неудобно было для многих пользователей вводить два пароля, с этим ещё и проблемы у запоминалок паролей.zojl
25.06.2019 15:00Легко, соглашусь. Однако, пин-код подсматривается, как мне кажется, проще: пользователь совершает отрывистые нажатия на «клавиши» с чётко определёнными границами, имеющими иногда свойство неотключаемо подсвечиваться после нажатия. Для сравнения, жест при вводе графического ключа, если отключить демонстрацию ввода, выглядит как хаотичное движение пальцем по экрану, в котором опасность представляет только анализ жирового следа.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.
>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.Gurturok
25.06.2019 15:48>отрывистые нажатия на «клавиши» с чётко определёнными границами
на LegeaneOS есть возможность перемешивать цифры при каждом запросе пароля
staticmain
25.06.2019 16:25Теперь читать почту близких людей будет проще.
У меня в семье даже в браузере заведены оба аккаунта на всех компьтерах — можно переключиться на «чужой» аккаунт в два клика. Но зачем? Вам есть что скрывать от близких?ClearAirTurbulence
25.06.2019 18:18У меня тоже, но не нужно всех по себе равнять. У кого-то действительно есть секреты (иногба обоснованно), у кого-то просто иные представления о personal space.
Wesha
25.06.2019 19:36+2Вам есть что скрывать от близких?
Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?
staticmain
25.06.2019 19:38Запах. Находиться там вдвоем вполне обычное явление, особенно когда санузел совмещенный.
Wesha
25.06.2019 19:50-1
Вы это… того… к гастроэнтерологу обращаться не пробовали?Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?
Запах
А если запах в ванной — ну что я могу сказать, мыться чаще надо.staticmain
25.06.2019 19:53Могу вас поздравить, если ваши фекалии пахнут бабочками.
Wesha
25.06.2019 19:59Могу Вам посочувствовать, если у Вы не можете себе позволить товар ценою в 10 долларов. Вариантов запахов около 20, правда, бабочек среди них нет.
ksr123
25.06.2019 19:53Один моется, второй срёт? Сорри, не в курсе, как оно бывает, никогда не жил с совмещенным санузлом.
zojl
26.06.2019 10:46Есть, что скрывать.
Примеры:
- У меня есть доступ с личных компьютеров к сведениям под NDA. Специфика работы по фрилансу над некоторыми проектами.
- Иногда друзья обращаются ко мне с просьбами или советами и просят не раскрывать полученную информацию никому. Если я обязался не сообщать никому, то «ну уж этому-то человеку можно сказать» недопустимо.
А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.
Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
c0t0d0
25.06.2019 14:22Сервис планирует внедрить новые способы авторизации, в том числе с помощью биометрии (сканирование отпечатков пальцев, определения лица и т.п.) и физических ключей.
То есть захочешь пользоваться сервисами mailru — иди сдавай биометрию? Небось к единой базе МВД, ой, то есть ростелекома подключатся. То есть пользователь должен будет пойти в сбербанк и сдать там биометрию. И только потом его допустят до сервисов mailru. Гениальный маркетинговый ход. :)
ps: из серии «как сделать органам удобно»Wesha
25.06.2019 19:45+1Пароль:
- можно сделать любой желаемой сложности;
- поменять на новый элементарно;
- хранится в голове (пока не открыта телепатия)
Биометрия:
- сложность ограничена тем, что есть (пальцами, радужкой и т.п.);
- (для отпечатков пальцев) можно поменять не более 9 раз (с трудом — ещё 10, у мужчин — 11);
- находясь в общественном месте, Вы постоянно светите эту самую биометрию (фото морды лица сделать элементарно; отпечатки остаются на всём, чего Вы касаетесь, копии снимаются элементарным скотчем; уже были сообщения о сканах радужки с 2 метров, и т.п.)
Хм, наверно, биометрия и правда надёжнее… (сарказм)
FibYar
25.06.2019 14:28Компания подчёркивает, что одноразовый пароль невозможно подобрать или угадать.
А кто-нибудь может объяснить не слишком подкованному техническими знаниями человеку, почему одноразовый пароль невозможно подобрать? Очень многие присылают комбинации из 4 цифр. Нажать на сайте «выслать одноразовый код», ввести «1111», если не подошёл, нажать «отправить заново», снова пробовать «1111». И так, пока не подойдёт. Или же mail.ru использует сложные одноразовые пароли? Но в таком случае постоянно их вводить вполне может утомить.zojl
25.06.2019 15:25Код может быть шестизначным, и тогда перебор будет ощутимо дольше.
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».
Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.vlivyur
25.06.2019 19:37Берём один «пароль», теперь подбираем к нему пользователя. Да, на конкретного пользователя не работает, а на любого должно сработать.
elegos
25.06.2019 14:29Очень плохая тенденция, особенно для тех, кто часто меняет номера. Столько сервисов нужно будет отвязывать.
TyVik
25.06.2019 14:29Пытаются найти баланс между удобством и безопасностью. Для кого-то важнее первое, для кого-то второе. Надеюсь, что они оставят оба варианта.
AbstractGaze
25.06.2019 14:43Т.е. mail.ru не рассматривает вообще вариантов что у человека может быть больше чем одна почта? например для форумов одна, для игр вторая, для работы третья? Или код будет приходить один единый на все подключенные аккаунты на этот номер телефона?
DrVooDoo
25.06.2019 15:37Так, интересно, их сайт загажен рекламой, поэтому выкачивал почту клиентом. Как теперь быть?
DeniSun
25.06.2019 15:49Т.е. периодическая автоматическая проверка почты телефоном/сервисом станет невозможной? Или я что-то пропустил?
Neuromantix
25.06.2019 15:53Т.е. теперь для входа в почту нужно еще второе устройство — телефон? «У» — «удобство» новых технологий.
keydon2
25.06.2019 16:02+1Вход по смс БЕЗ пароля СНИЖАЕТ безопасность.
Насчёт пушей не скажу, но насколько мне известно они контролируются целиком apple/google, что опять же без пароля снижает безопасность.
orion76
25.06.2019 16:40Хм… а как «слив базы» зависит от авторизации по паролю?
У каждого пользователя mail.ru есть доступ ко всей базе пользователей mail.ru?user_man
26.06.2019 14:23>> а как «слив базы» зависит от авторизации по паролю?
Так же, как слив базы телефонов зависит от авторизации по смс.orion76
26.06.2019 21:35Похоже старею-((
Как это связано??user_man
27.06.2019 11:01Никак. Это была реклама акции мэйл ру по сбору телефонов пользователей.
Pak911
27.06.2019 16:55Еще раз. Речь не про мейл.ру
Речь про автора статьи, который написал отсебятину про слив базы и что это как-то связано с возможностью заходить по смс. И в оригинальной новости этого тоже нет.
Это не реклама мейл.ру, у них для этого, вроде, есть свой блог. Если на комменты посмотреть, то скорее антиреклама.
Это просто редактор «отработал инфоповод», отработал на от… странь. Странно, что такие статьи попадают в топ.user_man
28.06.2019 11:08>> Это не реклама мейл.ру
Это реклама их нововведения.
>> Если на комменты посмотреть, то скорее антиреклама
Задумано как реклама, ну а по факту получился сбор мнений, опрос. Но цель — налить в уши много сладковатого дерьма. Прочитайте самый первый комментарий — вот так они хотели. Ну а дальше получилось «не по плану».
>> Странно, что такие статьи попадают в топ.
Ничего странного. Народ научился отличать вкус дерьма даже в весьма скромной концентрации, поэтому комментариев много, а из-за их количества поднялся рейтинг статьи.orion76
28.06.2019 11:19По сути, в первом комменте данной ветки я про это и намекнул.
Извиняюсь, наверное я не достаточно явно обозначил сарказм.
Am0ralist
25.06.2019 17:44Итак, у половины юзеров, если не больше, текст смсок даже на залоченном телефоне показывается. В винфонах это было только начало сообщения (то есть сколько-то первых символов), но даже это позволяло с помощью залоченного телефона спокойно зайти в управление аккаунтом того же Теле2.
При этом операторы никак не могут победить выдачу дубликатов симок мошенникам, даже ставя запреты в своей системе на выдачу вида: только по оригиналу паспорта и только в таком-то отделении. Читать увлекательные истории взлома года два назад.
Какой СОРМ, какие перехваты СМСок по воздуху. Это всё равно что калитка в заборе в деревне на петельку закрытая, блин.
Ну почему у нас всё так?
AngReload
25.06.2019 18:05+1Вроде только месяц прошел с той новости как «российские власти пытались взломать аккаунты оппозиционеров перехватывая СМСки»
https://habr.com/news/t/453488/
Jouretz
25.06.2019 19:36+1Что, ради всего святого, заставляет людей в 2019 иметь почту на mail.ru?
Am0ralist
25.06.2019 20:40+1почта, созданная в 2002?
Jouretz
25.06.2019 20:4217 лет не хватило чтоб раскидать логины/контакты по более стабильным почтовикам?)
Некоторые за это время успевают вырастить детей, которые начинают делать уже своих детей.Wesha
25.06.2019 20:46Некоторые за это время успевают вырастить детей, которые начинают делать уже своих детей.
Плавали, знаем.Gurturok
25.06.2019 21:35Многие используют vk и ok которые как-бы тоже mail.ru пренадлежат, если они для почты такое введут, то и туда протащат. Думаю это и есть конечная цель — окончательно деанонимизировать пользователей популярных соц. сетей.
jrthwk
25.06.2019 22:32Заведено много лет назад. С ящиком работа исключительно с почтой, исключительно из нормального локального клиента, по smtp/pop3.
В этом режиме оно вполне себе нормально работает.
yudinetz
26.06.2019 08:50Номер телефона я им не дам. Особенно если учесть, что если бы у меня его не было — я что, не смог бы пользоваться их почтой? Что за дискриминация?
Сейчас не 1994 год, почту можно завести много где, в том числе и на своем домене.
Dekmabot
Хорошее начинание. Понятно что в чём-то даже такой способ будет не удобный, придётся привыкать, но я рад что Mail.ru двигается в сторону ухода от паролей.
AbstractGaze
Только если сейчас можно зарегистрироваться без телефона, т.е. аноним полный, то потом у вас это не получится в принципе.
vsb
Apple вводит новую услугу — анонимный почтовый ящик для регистраций. Может быть мобильные операторы придумают что-то похожее. Какой-нибудь 20-тизначный номер телефона, никак внешне не связанный с оригинальным номером телефона. Конечно если прячетесь от ФСБ, это не поможет, но в случае продажи или утечки базы данных сайта было бы удобней текущего варианта.
AbstractGaze
Да причем тут фсб, я не хочу лишний раз показывать свой номер телефона всяким спам сервисам. Плюс он уже может быть привязан к другому аккаунту этой почты.
tvr
сливать более полный комплект информации о пользователе — теперь и с подтверждённым номером мобильного телефона!
tvr
Какие обидчивые мылорушники нынче пошли, уже и в неназываемое наплевали.
В чём я не прав? В том, что чем больше информации у мэйл.ру соберётся, тем больше её и будет слито?
Dekmabot
Спасибо всем что слили карму за моё личное субъективное мнение. Так держать. Поясню для минусующих:
Открытие пароля (даже если хеша) — это прямая угроза безопасности, так как один пароль люди часто используют на нескольких сайтах.
В сравнении с этим привязка телефона — гораздо меньшее зло, напрямую не компрометирует учётки на других сайтах, а только допускает возможность спама и слежки.
nerudo
Через 50 лет за хэш с солью нобеля дадут!
Wesha
Я так понимаю, благородный дон про злонамеренную переадресацию SMS не слышал?
Fenzales
Поголовная смсизация систем авторизации превращает потерю телефона в катастрофу личного масштаба.
Ну и вдогонку ситуация из жизни: как-то так случилось, что я потерял паспорт, а на следующий день в телефоне умерла симка. Паспорт делают несколько недель (находился не в родном городе), симку без паспорта перевыпустить невозможно. Вот весело бы было, если бы у меня на мыле была авторизация только через смс.
user_man
>> так как один пароль люди часто используют на нескольких сайтах
То есть если кто-то, кому не важны его данные, действует не самым безопасным образом, то значит абсолютно всех надо нагибать на слив всех персональных данных? Браво! Вам за подобную «рекламу» не только карму слить надо…
sHaggY_caT
Есть сомнения в безопасности телефонов, особенно в РФ (где основная аудитория mail.ru) в связи с популярностью noname китайских смартфонов c троянами
Лучше давать пользователям выбор. Кто хочет безопасности, тому второй фактор. И предоставить выбор этого второго фактора, например, я бы предпочла(правда я не пользователь mail.ru) FreeOTP пушам/SMS.