Компания
362,50
рейтинг
18 февраля 2013 в 13:52

Разработка → Яндекс.Деньги ввели одноразовые SMS-пароли

Яндекс.Деньги в пятницу запустили один из самых востребованных сервисов — защиту любой операции одноразовым SMS-паролем. Теперь на сайте есть три способа усиленной авторизации: таблица кодов, электронный токен и пароли в SMS.

image

Сервис бесплатный. Для того чтобы начать им пользоваться, нужно:

  1. Привязать актуальный номер мобильного телефона на этой странице (вам понадобится ввести платёжный пароль);
  2. Перейти на страницу усиленной авторизации и включить сервис;
  3. Выпустить пять аварийных кодов: они пригодятся, если вы потеряете мобильный и не сможете получать SMS.

image

Эти аварийные коды, кстати, работают и для владельцев токенов, и для владельцев таблиц с паролями. Если вы уже перешли на усиленную авторизацию раньше, выпустить коды можно здесь.

Одноразовые SMS-пароли — традиционный банковский сервис, но Яндекс.Деньги — не банк, поэтому это сложный и важный запуск. SMS проще получать, они бесплатны, вам не нужно носить с собой токен или хранить распечатанную табличку с паролями.

Аварийные коды можно один раз распечатать и сохранить в безопасном месте на физическом носителе — кейлоггеры и составители фишинговых писем их не найдут. Только учтите, что если вы потеряете и мобильный, и таблицу с аварийными кодами, вам придётся писать бумажное заявление.

Если у вас есть токен или табличка с кодами, переключиться на SMS-пароли можно на этой же странице. Вернуться к платёжному паролю после этого действия будет нельзя. SMS придётся подтверждать каждую операцию в Яндекс.Деньгах.

image

Усиленная авторизация доступна пользователям любой страны мира. Главное, привязать нужный номер телефона в международном формате. Для фрилансеров: один номер телефона можно привязать к трём счетам в Яндекс.Деньгах.
Автор: @Kirby
Яндекс
рейтинг 362,50

Комментарии (73)

  • +9
    Как долог был путь! Всегда удивляло, почему вебмани это ввели уже черт знает когда, а Яндекс все не вводил.
    • +3
      Главное, что всё хорошо закончилось.
    • +5
      Хотелось это сделать правильно и не менее безопасно, чем существующие одноразовые пароли. Я про таблицы и токены.
    • +5
      На самом деле вебмани ввели это всего года полтора-два назад, после массового угона аккаунтов и денег.
      Ну а так очень рад, что ЯД стал хорошо защищенной системой. Еще бы сделали комиссию поменьше на обмен между вебманями и ядом.
      • 0
        Мы пытались с угоном бороться иначе. Переход на одноразовые пароли — дело добровольное, от мошенников помогает только пользователям, заботящимся о безопасности сознательно.
      • 0
        Ввели принудительную для всех (кроме переводов тем, кто добавлен в список или как-то так). Но енум же давно был. Или это не то?
        • 0
          Не совсем, там все сильно хитрее и енум тут совсем не при чем. К сожалению, рассказать подробно не могу, NDA. :) Там про определение устройств. Судя по статистике, помогло.
          • 0
            Не понял причем тут ваш ответ, мой комментарий был к комментарию FireWind про вебмани.
            • 0
              Случайно промахнулся, извиняюсь.
        • 0
          Enum был и раньше, но угоняли и с ним, существовали схемы. А вот такая авторизация — очень и очень нужная штука
        • +1
          Причем не только принудительно ввели всем (даже тем, кто номер уже давно сменил или потерял), но еще теперь и при каждом переводе через кипер предлагают отключить подтверждение. Но, более того, если вы не хотите отключать, то окно будет возникать снова, снова и снова, фактически вынуждая вас либо терпеть задалбывающие окна, либо отключить единственную эффективную защиту. В общем, вебмани не только сделали все плохо, но еще и самым наихудшим способом из всех возможных.

          Предложенное решение от ЯДа кажется более чем адекватным.
    • 0
      На киви жду когда тоже сделают двухфакторную авторизацию. Там, впрочем, сделано все так что без владения телефоном все равно деньги не снимешь, но все же увидеть сколько у меня денег можно владея только паролем.
  • 0
    Хотелось это сделать правильно и не менее безопасно, чем существующие одноразовые пароли. Я про таблицы и токены.
  • 0
    Сказывается влияние Сбера...?
    • 0
      Сомневаюсь, что там есть хоть какое-то влияние, вывод на те же карты сбера все еще по усложненной схеме, и деньги доходят через 2-3 дня, не раньше.
    • 0
      Всё впереди: Яндекс.Деньги, Яндекс и Сбербанк ещё не подписали сделку до конца. То есть новые сервисы будут, но этот пока к сделке никакого отношения не имеет )
  • 0
    Подскажите, а можно пользовататься одноразовыми паролями без электронного устройства? Если там стандартный алгоритм (TOTP RFC), я бы предпочел загнать это в приложение на мобильном или в часах…
    • 0
      Так ведь пост как раз о том, что ЯД наконец-то ввели возможность получать одноразовые пароли по смс, а не через электронное устройство :)
      • 0
        Так о том и речь, что по СМС. А через мобильное приложение на основе откр. стандартов — не ввели. Хотя, подозреваю, физический токен работает вполне себе по RFC в духе гугловской 2 factor auth, а значит, я вполне могу использовать для генерации OTP свои средства — например, программируемые наручные часы. Вопрос именно об этом.
        • 0
          Без электронного устройства есть бумажные таблички с кодами. Один раз распечатать и всё.
          • 0
            Спасибо, это действительно ответ на мой вопрос (айрони).

            Попробую сформулировать максимально четко.

            Подскажите, пожалуйста, есть ли в планах команды Яндекс.Денег ввести поддержку Google Authenticator? В данном случае «Google Authenticator» выбран как пример одного из наиболее популярных приложений для генерации time-based one time passwords в соответствии со стандартом RFC 6238, который используется также в Amazon, Dropbox и т.д.
            • 0
              Извините, но мы планы традиционно не раскрываем.
              • 0
                Жаль. Удачи. Сервис хороший.
  • +1
    Ребят, извините, пользуясь случаем — я уже продолжительное время доказываю вашей поддержке (тут же есть люди из Яндекс, ведь правда же?), что я не верблют белый человек.
    Нагрянул гром и у меня перестал работать токен. В техподдержке без номера заказа, по которому я покупал этот токен, помочь не могут. Аргументы в виде скана паспорта, серийного номера токена, истории всех транзакций, заявления или мой личный визит не могут убедить, что я — это я.

    Все бы ничего, но прошло сильно больше одного года с момента покупки и писем с подтверждением покупки… Ну вообщем-то не осталось.

    Освободите меня из плена этого рабства :'( я тоже хочу смс получать…
    • +2
      Пользуясь случаем — схожая проблема, никак не могу восстановить пароль, техподдержка Денег перекидывает на техподдержку Яндекса, а оттуда молчание уже четыре месяца… Если тут кто есть из Яндекса — помогите, хочу снова пользоваться вашими услугами.
      • 0
        Пароль платежный или от аккаунта в Яндексе?
        • 0
          от аккакунта, платёжный знаю.
          • +1
            Тогда это действительно к саппорту Яндекса, не Яндекс.Денег. Этот пароль единый для всех сервисов Яндекса: passport.yandex.ru/passport?mode=restore
    • +1
      К сожалению, тут единственный вариант — это подавать заявление. Т.е., как раз личный визит и подача вот этого заявления поможет: money.yandex.ru/security/doc.xml?id=523430
      • 0
        Спасибо большое. На мое сообщение «может мне прийти, готов заявления написать» получил ответ «без номера заказа мы вам не сможем помочь».

        То есть другими словами, идти в офис и привлекать к себе внимание любым удобным способом? :)
        • 0
          Да, идти в офис. У нас симпатичные и отзывчивые девушки на рецепшене. :) Достаточно к ним подойти и сказать, что хотите подать заявление на восстановление доступа к счету. Они помогут и все расскажут.
          • 0
            Спасибо :)

            PS в Питерском офисе же тоже можно все сделать?
            • 0
              Да, конечно. Пискаревский, д.2, БЦ «Бенуа», 4 эт, с 9 до 19. От м. «Пл. Ленина» бесплатный автобус ходит.
  • –2
    Хм, в Z-Payment это было уже годика как три…
  • 0
    Отличное нововведение, я вот забыл продлить таблицу кодов, надеялся перейти на смс подтверждения — ФИГ, придется вначале видимо продлевать таблицу кодов новую (бумажное заявление заверенное нотариусом отправлять по ПОЧТЕ РОССИИ), далее через несколько недель, когда подтвердят статус снова паспортизованного пользователя, смогу перейти на СМС. Верно? геморойно же…
    • 0
      Почтой России не обязательно, можно любой курьеркой. Что такое «паспортизованный» пользователь, я не знаю, видимо, имеется в виду идентифицированный? Ситуация та же, что и спаролями, мы не можем восстановить доступ к счету, если не уверены, что обратился именно владелец счета.
      • 0
        Все верно :) раньше можно было просто пополнить кошелек CONTACT почему сейчас также нельзя? для идентификации.
        • 0
          Потому что это разные вещи: идентификация и восстановление доступа к счету. Идентифицировать можно и сейчас через Контакт, это для увеличения лимитов и разблокировки счета. А вот при утере доступа придется писать заявление. Нам нужно быть уверенными, что обратившийся — владелец счета.

          Чтобы минимизировать такие ситуации с «протуханием» ключей, мы запустили вместе с SMS аварийные коды. Они не «протухают», получить можно в любой момент, если есть действующий ключ для авторизации.
          • 0
            Спасибо за ответы, надо ли заявление заверять?
            Или просто:
            1. Скачал
            2. Заполнил
            3. Отправил
            • 0
              Если Вы отправляете заявление по почте, то нужно заверить у нотариуса. Если несёте в офис CONTACT — там собственно его и заверят.
              • 0
                Нет, Контакт тут не поможет. Через них нельзя подать заявление на восстановление доступа. Только идентификация.
            • 0
              Нужно заверить у нотариуса подпись на заявлении. Это необходимо к сожалению.
            • 0
              Прошу прощения, перепутала ветки и начала расписывать процедуру идентификации :)
  • 0
    Давно пора. Всё лучше, чем белиберду с каптчи вводить.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      А можете скинуть модель телефона и название приложения? Попробуем найти, в чем проблема. Специально такого не делали.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Что-то странное. Специально потестили на разных аппаратах с этой софтинкой, везде все отображается даже без языкового пакета. Можете скинуть скрины?
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Понятно. Это просто разные процессы. Теперь понятно, что это происходит при сбросе платежного пароля.
              • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Планируется ли введение двухэтапной авторизации на остальных сервисах Яндекса? В первую очередь меня интересует Диск.

    Заодно хотелось бы узнать, можно ли будет в Андроид-приложение того же Диска входить через аккаунт Гугла, коль скоро это возможно в браузере?
  • +3
    Вот бы еще приложение для двухфакторной авторизации типа Google Authenticator.
    • 0
      Поддерживаю! Гораздо удобнее! В роуминге иногда приходится смс ждать по 15 минут. :( Один раз помучился с вебмани и быстро перешел на enum со сканированием QR-кода, и все остальное перевел на GA. Моментально и очень удобно.
      • 0
        Мы вместе с одноразовыми паролями в SMS сделали еще и аварийные коды. Можно ими подтверждать в роуминге, они работают параллельно с SMS.
        • 0
          Ну это аварийный способ — его использование сопряжено с особыми сложностями. А просканировать код с экрана — это проще простого.
          • 0
            Ну, я просто предлагаю выход из ситуации на настоящий момент. Все и сразу сделать никак не получается.
            • 0
              Надеюсь сделаете, NIH синдром не преобладает.
    • +2
      Не все сразу, к сожалению. Пока, только SMS и аварийные коды.
      • 0
        Ну, я надеюсь, вы к этому придёте. Гугл к этому тоже долго шел. И вам желаю тоже в будущем глобально двухэтапной авторизации по всем сервисам.
  • 0
    Только бы не делали подтверждение обязательным.
    • 0
      Как и остальные способы усиленной авторизации, этот остаётся сугубо добровольным.
  • 0
    а то что уже было «ваш аккаунт используется с нового компьютера, введите код из смс» — тоже остается? и можно ли это отключить?
    • 0
      Это отключается само, если Вы переходите на любой способ усиленной авторизации. Если Вы часто меняете устройства, и система их не запоминает, и при этом Вам надоело вводить SMS и вообще ими пользоваться неудобно, оптимальный способ — заказать токен или распечатать табличку с кодами.
  • +1
    А Яндекс планирует привязать «усиленную авторизацию» к Почте?

    Как это сделал Гугл с «двухэтапной аутентификацией». Очень не хватает.
  • 0
    Еще вариант:
    Реализация авторизации HASH-CRAM с пользовательским SALT.
    1. Сам SALT — пользователь размещает на любом ресурсе в интернете в виде строки текста или файла (аналог подтверждения владения сайтом).
    2. Путь к странице — храним в cookies-браузера и на сервере.
    3. При авторизации — формируем ответный хэш с этим SALT и отдаем серверу.

    Не зная строки SALT и пароля — невозможно осуществить операцию.
    Пользовательский SALT всегда передается по каналу: сервер <-> SALT-host
    Таким образом формируется замена канала GSM/SMS.
    • 0
      Боюсь, что пользователей у такого способа будет немного. Для большинства способ получается слишком сложный.
      • 0
        Можно совсем убрать SALT и добавить анализ времени на Response (2-я фаза алгоритма).
        1. Challenge — формируем на сервере с привязкой IP-адреса пользователя.
        2. В момент нажатия кнопки «Вход» выполняем полный цикл HASH-CRAM аутентификации (js+ajax).

        Никаких двойных аутентификаций и лишних паролей!
        Нужно только два поля: Login и Password (как и раньше)
        Если даже известен пароль пользователя, остаётся еще IP-адрес подделать… и все это за 3 секунды надо успеть)))
  • 0
    Давно уже сделал карточку Яндекс денег, думаю пароли с ней не нужны.
    • 0
      Карточка — это не способ защиты счета. Мошенник вполне может увести платежный пароль с помощью трояна и вывести деньги пользователя на другой счет, сотовый телефон и т.п. Включите. Услуга бесплатная, а лишней не будет.
  • 0
    IOS приложение было к этому не готово. Говорит «обновите меня», но обновлений нет.
    • 0
      Для Android выложили 18 февраля, iOS скоро будет.
    • 0
      И только что появилось приложение для iPad, если у Вас есть планшет, проверьте — оно SMS-пароли поддерживает.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка