Dokudovskaia Oct 10 2019 at 15:28

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца

2 min

9.8K

VK corporate blogInformation Security*

+28

Comments 26

hjornson Oct 10 2019 at 15:53

Теперь чтобы у вас не угнали почту надо будет ходить в маске и перчатках…

loony_dev Oct 10 2019 at 16:13

Хороший способ слить не только свои пароли, но еще и биометрику. Браво.

Amihailov Oct 10 2019 at 17:59

Это не так работает. Отпечаток не отправляется в mail.ru или другой сайт с поддержкой WebAuthn.

mSnus Oct 10 2019 at 18:11

А вы добавляйте "соль" к отпечатку пальца. Крестик из изоленты на палец — и вы в безопасности!)))

"Танечка, не видела мой напалечник от мейл.ру? Не могу войти в почту!"

TimsTims Oct 11 2019 at 08:27

В будущем в магазинах будут продаваться наборы из разных искусственных отпечатков пальцев.

qyix7z Oct 13 2019 at 11:14

Я бы не доверял таким наборам. Только самому генерить рисунок и печатать на микро3д принтере. Когда они смогут в такую точность.

ElegantBoomerang Oct 10 2019 at 17:38

Перевожу с маркетинговского на технический: вы запилили WebAuthn. Это как раз протоколы и browser API, связанные с FIDO2, который расширение U2F. Это очень-очень классно, вы молодцы, что делаете современную и безопасную аутентификацию, но это ни черта не соотносится с заголовком.

TonyLorencio Oct 10 2019 at 17:43

Про WebAuthn, кстати, упомянуто в посте.

Обычно принято ругать Mail.ru, но тут следует вполне обоснованно похвалить

chupasaurus Oct 10 2019 at 19:02

Пятиминутка радости за MRG!

UFO just landed and posted this here

TonyLorencio Oct 11 2019 at 10:36

Хранится публичный ключ, передаются подписанные credentials

ElegantBoomerang Oct 11 2019 at 13:09

Я ниже отписался в #comment_20742624.

keydon2 Oct 11 2019 at 08:53

Раньше можно было войти по паролю, теперь по паролю и webauth. С чего это улучшает безопасность?
Даже если webauth гарантирует, что отпечаток (пальца/ключа) не передаётся в мейл.ру через браузер, то кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)? Как мне сменить отпечаток пальца после компрометации?

Amihailov Oct 11 2019 at 09:49

Пользуйтесь только паролем и для вас ничего не изменится :)
А вообще — использование отпечатка (или токена, кстати) позволяет не светить паролем лишний раз.
На чужом устройстве не поможет, конечно, раз надо каждый браузер привязывать отдельно, но если вдруг ваш ПК заразит страшный троян или кто-то поставит кейлогер, то пароль не утечет.

TonyLorencio Oct 11 2019 at 10:31

кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)

Пользуйтесь железными решениями, вроде Yubikey

ElegantBoomerang Oct 11 2019 at 13:06

WebAuthn не передаёт ваш отпечаток. Это вообще криптографическая аутентификация по схеме запрос-ответ. Ваше устройство должно сделать хитрую операцию с запросом на основе приватного ключа, который докажет, что вы это вы. У сервиса ваш публичный ключ, его можно хоть на заборе написать.

Теперь вопрос: как этот ключ хранить? Например, в защищённом чипе, к которому ваша ОС (Windows 10 вроде умеет) пустит только если вы вошли в систему, и доказали, что вы прямо рядом. Например, отпечаток пальца дали — статья вот это упоминает. Зашли на сайт, войти, ОС предлагает показать палец, успех. Или пароль ещё раз ввели. Кстати, из такого чипа приватный ключ обычно достать нельзя — можно туда его положить, можно попросить его самому создать, можно попросить дать ответ.

Или — тот же ключ у вас на внешнем железном решении, как упомянутый Yubikey или аналогичные. Он, кстати, может просить пароль для разблокировки. Или чтобы его погладили. Или и то, и другое. Но эти пароли не покидают вашу машину! Тем более отпечаток пальца.

Плюс WebAuthn (ещё со времени U2F) в том, что к запросу сайта подмешивается отпечаток самого сайта. Это очень мощная защита от фишинга — Googel получит ответ, который отличается от ответа для Google.

Конечно, всё это упирается в доверие локальной машине, но тут что отпечаток, что пароль, простите.

Так что использование WebAuthn вместе с паролем или без него, в целом, очень классная вещь для защиты своих аккаунтов. Пока именно его не внедрили, схема с нормальным паролем + U2F аналогична (но не было полного API готового).

borisdenis Oct 10 2019 at 20:48

Ну да, а возможность чистить историю поиска в почтовом приложении для андроида так и не осилили…

linux_id Oct 11 2019 at 01:53

Теперь бы еще вам со спамом что то сделать и можно пользоваться начать вашей почтой.

UFO just landed and posted this here

aragon_sp Oct 11 2019 at 09:21

Палец у человека изъять с руки проще чем пин код из головы.

Amihailov Oct 11 2019 at 09:54

Если вектор атаки с изъятием пальца для вас актуальнее, чем возможная кража пароля, то пользуйтесь только паролем :)
Но возможность заходить по пальцу тем пользователям, чья почта не стоит изъятия этого самого пальца — это классно.

aragon_sp Oct 11 2019 at 10:05

Было бы классно, чтоб с одного адреса открывались два ящика с разным содержимым, в зависимости от введённого пароля или приложенного пальца. Ящик «для предоставления» заинтересованным лицам наполняется, естественно, вручную из основного. Многие бы оценили :)

Amihailov Oct 11 2019 at 10:17

Это mail.ru — заинтересованные лица и так всё сами себе давно предоставили :)

lotse8 Oct 11 2019 at 11:00

Интересно, много ли желающих раскидывать свою биометрию по разным сервисам типа mail.ru

LAG_LAGbI4 Oct 11 2019 at 12:16

Я подозреваю, что это работает как windows hellow. Отпечатак пальца только открывает доступ на устройстве к внутреннему хранилищу, где хранится пароль.

Но какой в этом смысл. Я включаю комп, прикладываю палец и у меня загружается винда, где уже установленны все эти приложения и произведён вход с запомненным паролем. В чём новизна-то?

vervolk Oct 11 2019 at 13:06

Будет возможность двухфакторной авторизации, и пароль и отпечаток одновременно?