Массовые утечки паролей к почтовым ящикам «Яндекса» и Mail.ru подтолкнули интернет-компании к введению двухуровневой аутентификации пользователей. При входе в учетную запись им предложат вводить как пароль, так и код, который будет приходить по SMS.
Во вторник «Яндекс» объявил о запуске бета-версии механизма так называемой двухфакторной аутентификации (возможность пользователей настроить дополнительный уровень защиты для учетных записей) при помощи специального приложения «Яндекс.Ключ». «Обычно пользователя просят войти в учетную запись под своими логином и паролем, а затем подтвердить личность — скажем, с помощью SMS,— объясняет заместитель руководителя департамента эксплуатации компании Владимир Иванов.— У нас все проще. На главной странице “Яндекса”, в “Почте” и “Паспорте” появились QR-коды. Для входа в учетную запись пользователю необходимо считать QR-код через приложение». При невозможности считать QR-код приложение создаст одноразовый пароль, который действует 30 секунд.
Вслед за «Яндексом» о запуске публичного бета-режима двухфакторной аутентификации объявила и Mail.ru Group. Сначала пользователям Mail.ru будет предложено ввести пароль, а потом код, который придет по SMS. Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако слабым звеном часто оказывается сохранность пароля у самого пользователя, считает вице-президент Mail.ru Group Анна Артамонова. «Если же включен второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее»,— пояснила она. Впрочем, в «Яндексе» и Mail.ru Group отмечают, что двухуровневый режим аутентификации будет включаться исключительно по желанию пользователя, а электронной почтой можно будет пользоваться, вводя только логин и пароль.
Двухфакторная аутентификация повышает защищенность доступа к сервисам, говорит директор департамента консалтинга и аудита «Информзащиты» Евгений Афонин. «Важно, чтобы реализация сервиса SMS-сообщений и инфраструктура его предоставления также были защищенными,— добавляет он.— Если про это забыть, то возможны компрометация одноразовых паролей и их недоставка».
Интернет-комании усилили защиту электронной почты спустя несколько месяцев после массовых утечек паролей. В сентябре 2014 года в открытом доступе оказались ключи более чем к 1 млн ящиков на «Яндекс.Почте». Чуть позже около 4,6 млн паролей от почтового сервиса Mail.ru также оказались скомпрометированы. По итогам собственных расследований обе компании тогда заверяли, что о взломе их инфраструктуры речь не идет, а утечка стала результатом сбора информации с помощью вирусов и фишинга в течение длительного периода времени.