Après m'être à nouveau
connecté au compte Yandex via un navigateur, j'ai remarqué une innovation sous le bouton de connexion - la
possibilité de se connecter à votre compte simplement en cliquant sur le lien dans la lettre qui sera envoyée par courrier électronique dans ce compte.
Apparemment, cette fonction est en test A / B, car le bouton n'est pas toujours affiché.
Selon la
description de la fonction , après avoir cliqué sur le bouton, vous recevrez une lettre dans laquelle il vous sera demandé de comparer les images affichées sur le formulaire de connexion, puis de confirmer l'entrée en cliquant sur le bouton de connexion. Pas de saisie de mot de passe ou de code de la lettre au formulaire de connexion.
Dans la description du moment, le dernier élément est:
Puis-je désactiver la connexion par e-mail?
Il n'est pas encore possible de désactiver la connexion par e-mail.
La seule option où la saisie par une lettre est impossible est d'utiliser 2FA, qui ne fonctionne qu'avec l'application Yandex.Key et exclut complètement la saisie du mot de passe.
Un fait intéressant: dans un
article avec l'annonce de 2FA de Yandex (2015), le premier point pour expliquer leur approche de la 2FA était:
Pour commencer, l'ordinateur de l'utilisateur moyen ne peut pas toujours être appelé un modèle de sécurité: ici, vous pouvez désactiver les mises à jour Windows et une copie piratée de l'antivirus sans signatures modernes et des logiciels d'origine douteuse - tout cela n'augmente pas le niveau de protection. À notre avis, compromettre l'ordinateur d'un utilisateur est le moyen le plus massif de «détourner» des comptes
Partageant l'opinion que les PC sont moins sécurisés en ce qui concerne les smartphones, je me suis tourné vers le support Yandex avec la question de la possibilité de désactiver la connexion par e-mail pour les comptes sans 2FA - car, peut-être, la plupart des gens conservent l'autorisation sur les PC personnels dans les cookies.
En parlant d'une nouvelle méthode d'autorisation, vous ne pouvez même pas envisager l'option des virus, la possibilité d'envoyer des lettres, etc. - il suffit d'une demi-minute d'accès à la souris et au moniteur d'un PC déverrouillé avec mail ouvert pour faire trois clics (cliquer sur la lettre, sur le lien dans la lettre, et sur le bouton de confirmation) pour accéder au compte. Trois ou quatre clics supplémentaires sont nécessaires pour supprimer un message sans laisser de trace, vous pouvez alors vous renseigner sur l'autorisation uniquement par le journal de sécurité - à quelle fréquence y consultez-vous?
Ils m'ont répondu comme ceci:
La connexion via la lettre est totalement sûre et dans le cas que vous avez décrit avec un PC déverrouillé, l'accès au compte ouvert dessus peut être plus facile - par exemple, en regardant le mot de passe stocké dans le navigateur.
Répondre à la question sur la possibilité de désactiver la fonction - "Nous avons enregistré votre souhait, nous y réfléchirons."
Des innovations non évidentes pour simplifier l'autorisation peuvent entraîner des surprises très désagréables pour les utilisateurs qui ne s'attendent pas à une astuce. Ou peut-être ne me semble-t-il qu'une détérioration de la sécurité?