Depois de
entrar novamente
na conta Yandex por meio de um navegador, notei uma inovação sob o botão de login - a
capacidade de fazer login na sua conta simplesmente clicando no link na carta que chegará ao correio dessa conta.
Aparentemente, esta função está no teste A / B, pois o botão nem sempre é exibido.
De acordo com a
descrição da função , depois de clicar no botão, você receberá uma carta na qual é solicitado que você compare as imagens exibidas no formulário de login e, em seguida, confirme a entrada clicando no botão de login. Nenhuma senha ou entrada de código da carta para o formulário de login.
Na descrição do momento, o último item é:
Posso desativar o login por e-mail?
Ainda não é possível desativar o login por email
A única opção em que é impossível digitar uma carta é usar o 2FA, que funciona apenas com o aplicativo Yandex.Key e exclui completamente a entrada de senha.
Um fato interessante: em um
post com o anúncio do 2FA de Yandex (2015), o primeiro ponto para explicar sua abordagem ao 2FA foi:
Para começar, o computador do usuário comum nem sempre pode ser chamado de modelo de segurança: aqui você pode desativar as atualizações do Windows e uma cópia pirata de antivírus sem assinaturas modernas e software de origem duvidosa - tudo isso não aumenta o nível de proteção. Em nossa opinião, comprometer o computador de um usuário é a maneira mais massiva de "seqüestrar" contas
Compartilhando a opinião de que os PCs são menos seguros em relação aos smartphones, virei para o suporte do Yandex com a questão da possibilidade de desativar o login de email para contas sem o 2FA - porque, talvez, a maioria das pessoas mantenha autorização em PCs pessoais em cookies.
Falando em um novo método de autorização, você não pode nem considerar a opção de vírus, a possibilidade de enviar cartas etc. - basta apenas meio minuto de acesso ao mouse e ao monitor de um PC desbloqueado com correio aberto, o suficiente para dar três cliques (clique na letra, no link da carta e no botão de confirmação) para entrar na conta. São necessários mais três ou quatro cliques para excluir uma mensagem sem deixar vestígios, e você pode descobrir sobre autorização apenas pelo log de segurança - com que frequência você procura lá?
Eles me responderam assim:
O login através da carta é totalmente seguro e, no caso descrito com um PC desbloqueado, o acesso à conta aberta pode ser mais fácil - por exemplo, observando a senha armazenada no navegador.
Respondendo à pergunta sobre a possibilidade de desativar a função - "Registramos seu desejo, vamos pensar sobre isso".
Inovações não óbvias para simplificar a autorização podem resultar em surpresas muito desagradáveis para usuários que não esperam um truque. Ou talvez me pareça apenas uma deterioração da segurança?