Setelah sekali lagi
masuk ke akun Yandex melalui browser, saya melihat sebuah inovasi di bawah tombol login -
kemampuan untuk masuk ke akun Anda hanya dengan mengklik tautan dalam surat yang akan dikirim ke surat di akun ini.
Tampaknya, fungsi ini dalam pengujian A / B, karena tombol tidak selalu ditampilkan.
Menurut
deskripsi fungsi , setelah mengklik tombol, Anda menerima surat yang meminta Anda untuk membandingkan gambar dengan yang ditampilkan pada formulir login, dan kemudian mengkonfirmasi entri dengan mengklik tombol login. Tidak ada kata sandi atau entri kode dari surat ke formulir login.
Dalam deskripsi untuk saat ini, item terakhir adalah:
Bisakah saya menonaktifkan info masuk melalui email?
Belum dimungkinkan untuk menonaktifkan proses masuk melalui email.
Satu-satunya pilihan di mana memasukkan melalui surat tidak mungkin adalah dengan menggunakan 2FA, yang hanya berfungsi dengan aplikasi Yandex.Key dan benar-benar mengecualikan entri kata sandi.
Fakta menarik: dalam sebuah
posting dengan pengumuman 2FA dari Yandex (2015), poin pertama dalam menjelaskan pendekatan mereka terhadap 2FA adalah:
Untuk mulai dengan, komputer pengguna rata-rata tidak selalu dapat disebut model keamanan: di sini Anda dapat mematikan pembaruan Windows, dan salinan antivirus bajakan tanpa tanda tangan modern, dan perangkat lunak yang asal usulnya meragukan ─ semua ini tidak meningkatkan tingkat perlindungan. Menurut perkiraan kami, kompromi komputer pengguna adalah cara paling masif untuk "membajak" akun
Berbagi pendapat bahwa PC kurang aman sehubungan dengan smartphone, saya beralih ke dukungan Yandex dengan pertanyaan tentang kemungkinan menonaktifkan info masuk email untuk akun tanpa 2FA - karena, mungkin, kebanyakan orang menyimpan otorisasi pada PC pribadi dalam cookie.
Berbicara tentang metode otorisasi baru, Anda bahkan tidak dapat mempertimbangkan opsi virus, kemungkinan mengirim surat, dll. - hanya akses setengah menit ke mouse dan monitor PC yang tidak terkunci dengan surat terbuka sudah cukup untuk membuat tiga klik (klik pada surat itu, pada tautan dalam surat itu, dan pada tombol konfirmasi) untuk masuk ke akun. Diperlukan tiga atau empat klik lagi untuk menghapus pesan tanpa jejak, lalu Anda dapat mengetahui tentang otorisasi hanya dengan log keamanan - seberapa sering Anda melihat di sana?
Mereka menjawab saya seperti ini:
Masuk melalui surat itu benar-benar aman, dan dalam kasus yang Anda jelaskan dengan PC yang tidak terkunci, akses ke akun yang dibuka bisa lebih mudah - misalnya, dengan melihat kata sandi yang tersimpan di browser.
Menjawab pertanyaan tentang kemungkinan menonaktifkan fungsi - "Kami telah mencatat keinginan Anda, kami akan memikirkannya."
Inovasi yang tidak jelas untuk menyederhanakan otorisasi dapat menghasilkan kejutan yang sangat tidak menyenangkan bagi pengguna yang tidak mengharapkan trik. Atau mungkin hanya bagi saya kemerosotan keamanan?