Comments 28
Хм, яндекс решил пойти своим путем? Те же банки, например, проверяют не смену владельца, а смену сим карты путём запроса IMSI у оператора связи.
А как обрабатывается ситуация, когда человек меняет старую симку обычного формата на какую-нибудь nano-sim?
В этом случае сама физическая симкарта тоже меняется, следовательно и IMSI
Я и спрашиваю: как обрабатывается-то эта ситуация в банках? Если я верно понял суть новости и комментария выше, то когда я поменяю симку, банки могут не дать мне залогиниться в их сервисах, так?
А ещё, раньше (не знаю как сейчас) Мегафон при смене симки в целях безопасности отключал СМС часов на 6, и нельзя было включить их обратно до истечения этого времени. Чтобы при незаконном перевыпуске симки у настоящего владельца было время заметить это и принять меры.
Да, SMS отрубаются вровень на сутки. К тому же, схема такая у всех операторов при замене SIM.
Это сейчас все или почти все операторы стали делать, временно блокировать СМС. Причём кто-то из них раньше ещё и досрочно снимал блокировку после пополнения баланса минимум на 100 рублей, что несколько странная "защита" в условиях, когда можно обокрасть пользователя на гораздо более крупную сумму.
Вообще-то это не "свой путь", а тот же самый, которым пошли банки. Которые смену владельца, между прочим, тоже проверяют.
«Яндекс» в рамках сотрудничества с операторами сотовой связи проверяет
С Moldcell уже согласовали? Тогда дайте полный список с какими именно операторами ? А если карточка PrePaid которую можно выкинуть, как узнает о смене абонента?
> нажимаю кнопку «подтверждаю»
лучше бы нормальный 2fa сделали на основе TOTP
А как же добавить номер в метаданные...
Ну в него можно добавить сторонние токены totp. Но сам яндекс в другие totp аппы не засунешь, вот в чем проблема. У них там свое нечто. Хотелось бы именно в одном аппе иметь все totp, а не отдельный для Я.
Да о чём говорить если с них даже почту по IMAP'у забрать нормально не возможно (точнее возможно но это вызывает побочные эффекты в веб-интерфейсе), а с Я.Диском не возможно работать через WebDav (хотя это декларируется). Так что у них везде "своё нечто". А что поделать? Нужно пользователя привязывать к своей экосистеме, ничего личного.
Но сам яндекс в другие totp аппы не засунешь
Можно было засунуть в KeePass и Aegis (в транке поддержка была, в релиз не попала)
Но с выпуском 3-й версии Ключа, похоже, уже нельзя.
Да, в том то все и дело. Оно как бы и было, но теперь особо нет.
Не знаю, как у других, у меня Я.Ключ в этом году только дважды сюрпризы выдавал с апдейтами приложения, из-за чего простое "зайти в учетку с ключом" превратилось в "удалить ключ и восстановить доступ к учетке через саппорт". Поэтому и хочется чего-то более универсального и более рабочего.
«Яндекс» в рамках сотрудничества.
С одной стороны, на эту новость можно посмотреть немного скептически, как некоторые отметили ""А от чего они "защищают" таким образом?"" ( Цитата Михаила Климарева в его канале ) и могут появиться вопросы и шапочки из фольги.
С другой стороны, отвечая сразу и на недоумение Михаила Климарева "пользователь просрал номер телефона? Какой процент пользователей ведёт себя таким образом?"
Я наблюдаю много таких людей, что крайне безалаберно относятся к своему номеру и таких людей довольно большое количество, численность которых явно выходит за пределы условного миллиона.
И причем не всегда это отсталые от жизни люди, даже вполне образованные люди, не всегда помнят про срок инактива номера ( который существует лет цать уже ), после которого происходит расторжение. Уж про чтение договора я и вовсе молчу.
Более того, куча людей даже не знает, на кого в реальности оформлена их SIM карта, они этого не помнят\не знают\не уточняли. Кто-то купил давно в переходе и даже не задумывался об этом. Но это немного другой кейс.
Условная ситуация - учётка зарегана на второй номер, который используется только для приема SMS, банков и всяких авторизаций. Но входящая SMS у многих операторов не является активностью. Поэтому решается это либо периодическими платными звонками, либо небольшими пополнениями. Но вот ну забыли в срок сделать это и номер потом спокойно ушел.
Поэтому в целом, для обычных пользователей, которые не особо разбираются в технологиях, фича скорее даже за благо. Для опытных, конечно, не так очевидно. Хотелось бы и отключать такую фичу, конечно, по возможности.
p.s. И да, сделайте нормальный TOTP.... Я.Ключ за этот год дважды подставлял из-за проблем с обновами и необходимости переустановки. Но не хочу я им пользоваться.
Есть еще одна условная ситуация: с человеком что случается. Кома, инвалидность или вообще смерть. Что будет происходить с его телефоном? Да, может быть, родственники могли бы позаботиться, но будет ли это так? Может они забудут, может просто не разбираются и им и в голову это не придет, а в итоге номер попадает в оборот, кому-то достается и этот кто-то, теоретически, может много куда заиметь доступ. Я не о банках, а о множестве других сервисов.
«Яндекс» защитит аккаунты пользователей «Яндекс ID» с помощью операторов связи