Кнопка правильного гражданства
Как развиваются российские системы авторизации пользователей интернет-сервисов
Норма, по которой российские интернет-сервисы могут использовать только отечественные системы идентификации, поэтапно вступает в силу. Не удивительно, что «Сбер», «Яндекс» и другие операторы систем единого входа (SSO) на сайты наблюдают рост числа интеграций. Однако причины этого не только регуляторные: такие системы позволяют привлекать пользователей, лояльных тому или иному «зонтичному» сервису.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Системы единого входа позволяют авторизовываться на сайтах с уже существующими учетными записями. SSO работают следующим образом: после того как пользователь вошел в свою учетную запись в централизованном сервисе, тот выдает ему токен (криптографическое средство подписи). Сторонний сайт или приложение затем использует этот токен при обращении к сервисам за дополнительной информацией о пользователе: именем, адресом электронной почты и т. п. Эта информация разнится от сервиса к сервису: например, VK ID позволяет узнавать, прошел ли пользователь проверку личности, а T-ID (бывший Tinkoff ID) — уточнять его паспортные, семейные и другие данные, вплоть до наличия в черном списке ЦБ. Пользователь централизованного сервиса или сам сервис могут отзывать токены — тогда сторонний сайт лишится доступа к информации о пользователе. У популярных российских систем единого входа число пользователей исчисляется десятками миллионов.
Использование иностранных SSO сейчас уже ограничено в России. С 1 декабря 2023 года, согласно ФЗ «Об информации», использование иностранных систем для входа на российские сайты стало незаконным. В полной мере эта норма вступит в силу 1 января 2025 года. После этого владельцы сайтов должны будут организовывать авторизацию только по российскому телефону и через сервисы, контролируемые российской стороной на 50% или более.
В этом свете опрошенные “Ъ” операторы систем SSO отчитываются о росте числа интеграций со сторонними сервисами.
В «Сбере» сообщили “Ъ”, что за последний год нарастили количество сайтов и приложений, которые используют его систему авторизации, более чем на 8 тыс., а сейчас их количество превышает 9 тыс.: «Треть наших пользователей регулярно входит со своим аккаунтом "Сбер ID" в 12 и более сервисов, эта доля стабильно растет». В «Яндексе» и VK сообщили о росте числа сервисов, которые используют, соответственно, «Яндекс ID» и VK ID, на треть год к году. «Авторизацию "Яндекс ID" сейчас используют порядка 35 тыс. сайтов и приложений»,— сказали в операторе этой системы; в VK не раскрыли этот показатель. О двукратном росте числа партнеров год к году сообщил и «Газпром ID», значительно меньший по масштабу (41 сервис): «Мы только вышли на внешний рынок, однако видим значительный потенциал и спрос на нашу идентификацию».
Партнеры VK «стали чаще интересоваться, соответствуют ли конкретные сервисы авторизации новым регуляторным требованиям», добавили “Ъ” в компании. В случае с Alfa ID (оператор — Альфа-банк) требования законодательства стали «одним из значительных факторов для увеличения запросов на интеграцию», сказал начальник управления развития API Альфа-банка Андрей Хохлов: «При этом мы наблюдаем тенденцию не к полному отказу партнерских площадок от зарубежных аутентификационных провайдеров, а добавление отечественных решений по аутентификации к числу возможных способов входа».
Авторизация с интеграцией
Три оператора систем идентификации — «Яндекс», VK и МТС — публично сообщали, что число пользовательских учетных записей превышает 100 млн; Т-банк на своем сайте сообщает о «40 млн идентифицированных клиентов». Единственный оператор, раскрывающий точные показатели,— «Сбер»: по данным из отчета за первый квартал 2024 года, количество пользователей «Сбер ID» на март 2024 года составило 81 млн.
Но оценить, как часто эти аккаунты используются для входа в сервисы за пределами соответствующих экосистем, проблематично, отмечает сооснователь компании по разработке цифровых решений Arcsinus Павел Голуб: «Во-первых, у одного человека может быть несколько аккаунтов. Во-вторых, люди если и заводят аккаунт, то для доступа к основным сервисам оператора — при этом возможность входа на сторонние сайты не является основной причиной для использования».
Многие компании крупного и среднего бизнеса в сфере ритейла уже имеют свои системы авторизации, «но сотрудничества со сторонними позволяют использовать дополнительные маркетинговые возможности», отметил гендиректор IT-интегратора AWG Станислав Пятецкий.
В числе тех, которые, по его словам, наиболее актуальны в сфере электронной торговли,— интеграция с соцсетями, мессенджерами и кредитными линиями. Сторонние сервисы дают и маркетинговые возможности — например, интеграцию в почтовые рассылки, добавляет господин Пятецкий, «но у российских платформ на текущий момент таких возможностей меньше». Рост же спроса на российские SSO именно вследствие регуляторных изменений «заметен скорее среди малого бизнеса», говорит руководитель отдела партнерской авторизации T-ID Т-банка Спартак Григорьев: «Для нас это неактуально, так как мы предлагаем крупным компаниям иные решения по идентификации и небрендированной авторизации».
Интернет-магазины исходно внедряли системы единого входа, в том числе иностранные, чтобы сократить количество заброшенных учетных записей, объясняет директор интернет-магазинов «Мир кубиков» и UNOde50 (входят в Inventive Retail Group) Сергей Ерофеев: «Стандартным методом входа тогда считалась пара из адреса почты и пароля, которую зачастую забывали. Авторизация по СМС была менее распространена». Сейчас же основным преимуществом таких систем для потребителей является не удобство входа, а возможность получения выгод внутри экосистемы оператора: «Это помогает магазинам привлекать лояльных пользователей той или иной экосистемы. При этом надо понимать, что оператор системы получает от магазина аудиторию и коммерчески ценные данные, поэтому важно обсуждать условия взаимного продвижения».
При выборе систем SSO под конкретный цифровой ресурс компании «чаще всего ориентируются на четыре критерия — известность поставщика технологии, сложность интеграции, специфика внедрения с текущим документооборотом вендора и безопасность данных», говорит гендиректор Touch Instinct Дмитрий Костин. Последнее, по его словам, учитывается особо: «Единое окно входа — это, конечно, удобный для пользователя метод идентификации, но в то же время и единая область уязвимости».
Вход отправили на выход
Блокировка популярных зарубежных соцсетей в 2022 году нарушила работу связанных с ними систем SSO и сделала их использование непрактичным. Запрет в РФ деятельности Meta по функционированию Facebook и Instagram как экстремистской создал юридические риски для компаний, встраивавших их SSO. Из-за этого российские компании стали отключать часть систем единого входа еще до появления отдельного регулирования.
Компаниям, которые решили отключить тот или иной сторонний способ авторизации, приходится полагаться на то, что пользователь после регистрации дополнил информацию о себе, отметил ведущий backend-разработчик red_mad_robot Сергей Ретивых. С большой долей вероятности в перечне этой информации будет номер телефона и адрес электронной почты, говорит он: «Мы не можем полностью полагаться на них, но при авторизации можно попросить пользователя подтвердить, что он является владельцем профиля». Именно по этим данным, по его словам, часто восстанавливались аккаунты тех пользователей, которые входили на сайт через Facebook (деятельность Meta по функционированию сети в РФ объявлена экстремистской и запрещена): «Если до запрета входа они не были указаны, то профиль можно считать утерянным».
При этом российским компаниям, использующим системы единого входа, в случае публикации мобильных приложений для iOS приходится учитывать еще и правила этой платформы, которые могут меняться, как, например, у Apple и ее App Store (см. справку). Google, у которой также есть система единого входа и свой магазин приложений, подобных требований не предъявляет, уточнил руководитель Android-отдела red_mad_robot Сергей Иванов.
Правила Apple
Правила игры
В 2019 году Apple представила собственную систему единого входа («Вход с Apple»). После выпуска системы компания изменила правила, которым должны следовать публикуемые в App Store приложения: если те используют сторонние системы SSO, то они обязаны были использовать и «Вход с Apple». В январе 2024 года Apple изменила соответствующий пункт правил App Store, убрав из него явное упоминание своей системы единого входа. Вместо этого разработчики должны использовать систему, соответствующую конкретным критериям: она должна собирать только данные об имени и адресе электронной почты, поддерживать маскировку адреса и не использовать данные входа в приложения в рекламных целях без согласия. И под эти критерии сейчас подходит только «Вход с Apple», говорит руководитель iOS-отдела red_mad_robot Алексей Тюрнин. Правила Apple делают исключение для сервисов, использующих только свою систему входа, и приложений, которые используют «систему подтверждения личности, поддержанную правительством или отраслью». В Минцифры сообщили “Ъ”, что число коммерческих сайтов и приложений, использующих Единую систему идентификации и авторизации (ЕСИА), увеличилось за два года на 49%.
И без вас залогинимся
Большинство пользователей не беспокоится о сохранности той части персональных данных, которую обычно запрашивают сайты, полагает господин Голуб. По его мнению, те, кто решит входить на сайты через сторонние сервисы, будут делать выбор исходя из того, какой из операторов будет предоставлять более удобные сервисы в целом.
В ближайшей перспективе небольшие игроки рынка SSO откажутся от собственных систем идентификации, считает гендиректор центра инноваций Future Crew Евгений Черешнев: «Рынок консолидируется до нескольких экосистем». Господин Пятецкий возражает, что тенденции области регулирования систем входа скорее, наоборот, вынудят компании отходить от использования сторонних SSO: «Регулирование создает такие риски для компаний, которые они могут преодолеть только разработкой и внедрением собственных систем».
Главный редактор «Рейтинга Рунета» Анатолий Денисов считает, что, несмотря на рост популярности сторонних систем, компании едва ли будут отказываться от собственных как минимум из-за нежелания лишить себя части аудитории: «Можно столкнуться с ситуацией, что клиент не использует ни один из сервисов, требуемых для входа, например опасаясь утечки данных из них». При этом он отмечает, что компания не может отказаться от того, чтобы хранить хотя бы часть персональных данных самостоятельно: «Интернет-магазину никак нельзя уйти от хранения, хотя бы временно, данных об адресе доставки и телефоне человека, который примет заказ».