الابتكار المثير للجدل من Yandex - تسجيل الدخول إلى حسابك من خلال خطاب

بعد تسجيل الدخول مرة أخرى إلى حساب Yandex من خلال متصفح ، لاحظت وجود ابتكار تحت زر تسجيل الدخول - القدرة على تسجيل الدخول إلى حسابك ببساطة عن طريق النقر على الرابط في الرسالة التي سيتم إرسالها إلى البريد في هذا الحساب.



على ما يبدو ، هذه الوظيفة في اختبار A / B ، حيث لا يتم عرض الزر دائمًا.

وفقًا لوصف الوظيفة ، بعد النقر على الزر ، ستتلقى خطابًا يُطلب منك فيه مقارنة الصور المعروضة في نموذج تسجيل الدخول ، ثم تأكيد الإدخال بالنقر فوق زر تسجيل الدخول. لا كلمة مرور أو إدخال رمز من الرسالة إلى نموذج تسجيل الدخول.

في وصف اللحظة ، العنصر الأخير هو:

هل يمكنني تعطيل تسجيل الدخول عبر البريد الإلكتروني؟
لا يمكن بعد تعطيل تسجيل الدخول عبر البريد الإلكتروني.

الخيار الوحيد الذي يستحيل فيه الدخول عبر رسالة هو استخدام 2FA ، والذي يعمل فقط مع تطبيق Yandex.Key ويستبعد إدخال كلمة المرور تمامًا.

حقيقة مثيرة للاهتمام: في منشور مع الإعلان عن 2FA من Yandex (2015) ، كانت النقطة الأولى في شرح طريقة تعاملهم مع 2FA هي:

بادئ ذي بدء ، لا يمكن دائمًا تسمية كمبيوتر المستخدم العادي كنموذج أمان: حيث يمكنك إيقاف تشغيل تحديثات Windows ، ونسخة مُقرصنة من برامج مكافحة الفيروسات بدون توقيعات حديثة ، والبرامج ذات الأصل المريب - كل هذا لا يزيد من مستوى الحماية. في تقديرنا ، يعد المساس بجهاز الكمبيوتر الخاص بالمستخدم الطريقة الأكثر ضخامة "لاختطاف" الحسابات

بمشاركة الرأي القائل بأن أجهزة الكمبيوتر أقل أمانًا فيما يتعلق بالهواتف الذكية ، التفتت إلى دعم Yandex مع مسألة إمكانية تعطيل تسجيل الدخول عبر البريد الإلكتروني للحسابات دون 2FA - لأنه ، على الأرجح ، يحتفظ معظم الأشخاص بترخيص على أجهزة الكمبيوتر الشخصية في ملفات تعريف الارتباط.

عند الحديث عن طريقة ترخيص جديدة ، لا يمكنك حتى التفكير في خيار الفيروسات وإمكانية إرسال الرسائل وما إلى ذلك. - يكفي الوصول لمدة نصف دقيقة فقط إلى الماوس وشاشة جهاز كمبيوتر غير مؤمّن مع البريد المفتوح لإجراء ثلاث نقرات (انقر على الرسالة وعلى الرابط في الرسالة وعلى زر التأكيد) لإدخال الحساب. هناك حاجة إلى ثلاث أو أربع نقرات أخرى لحذف رسالة دون تتبع ، ثم يمكنك معرفة التفويض فقط عن طريق سجل الأمان - كم عدد المرات التي تبحث فيها؟

أجابوا لي مثل هذا:

تسجيل الدخول عبر الرسالة آمن تمامًا ، وفي الحالة التي وصفتها بجهاز كمبيوتر غير مؤمّن ، يمكن أن يكون الوصول إلى الحساب المفتوح عليه أسهل - على سبيل المثال ، من خلال النظر إلى كلمة المرور المخزنة في المستعرض.

الإجابة على سؤال حول إمكانية تعطيل الوظيفة - "لقد سجلنا رغبتك ، وسوف نفكر في ذلك."

يمكن أن تؤدي الابتكارات غير الواضحة لتبسيط التفويض إلى حدوث مفاجآت غير سارة للمستخدمين الذين لا يتوقعون حدوث خدعة. أو ربما يبدو لي فقط تدهور في الأمن؟