Comments 73
Как долог был путь! Всегда удивляло, почему вебмани это ввели уже черт знает когда, а Яндекс все не вводил.
Главное, что всё хорошо закончилось.
Хотелось это сделать правильно и не менее безопасно, чем существующие одноразовые пароли. Я про таблицы и токены.
На самом деле вебмани ввели это всего года полтора-два назад, после массового угона аккаунтов и денег.
Ну а так очень рад, что ЯД стал хорошо защищенной системой. Еще бы сделали комиссию поменьше на обмен между вебманями и ядом.
Ну а так очень рад, что ЯД стал хорошо защищенной системой. Еще бы сделали комиссию поменьше на обмен между вебманями и ядом.
Мы пытались с угоном бороться иначе. Переход на одноразовые пароли — дело добровольное, от мошенников помогает только пользователям, заботящимся о безопасности сознательно.
Ввели принудительную для всех (кроме переводов тем, кто добавлен в список или как-то так). Но енум же давно был. Или это не то?
Не совсем, там все сильно хитрее и енум тут совсем не при чем. К сожалению, рассказать подробно не могу, NDA. :) Там про определение устройств. Судя по статистике, помогло.
Не понял причем тут ваш ответ, мой комментарий был к комментарию FireWind про вебмани.
Enum был и раньше, но угоняли и с ним, существовали схемы. А вот такая авторизация — очень и очень нужная штука
Причем не только принудительно ввели всем (даже тем, кто номер уже давно сменил или потерял), но еще теперь и при каждом переводе через кипер предлагают отключить подтверждение. Но, более того, если вы не хотите отключать, то окно будет возникать снова, снова и снова, фактически вынуждая вас либо терпеть задалбывающие окна, либо отключить единственную эффективную защиту. В общем, вебмани не только сделали все плохо, но еще и самым наихудшим способом из всех возможных.
Предложенное решение от ЯДа кажется более чем адекватным.
Предложенное решение от ЯДа кажется более чем адекватным.
На киви жду когда тоже сделают двухфакторную авторизацию. Там, впрочем, сделано все так что без владения телефоном все равно деньги не снимешь, но все же увидеть сколько у меня денег можно владея только паролем.
Хотелось это сделать правильно и не менее безопасно, чем существующие одноразовые пароли. Я про таблицы и токены.
Сказывается влияние Сбера...?
Сомневаюсь, что там есть хоть какое-то влияние, вывод на те же карты сбера все еще по усложненной схеме, и деньги доходят через 2-3 дня, не раньше.
Всё впереди: Яндекс.Деньги, Яндекс и Сбербанк ещё не подписали сделку до конца. То есть новые сервисы будут, но этот пока к сделке никакого отношения не имеет )
UFO just landed and posted this here
Ребят, извините, пользуясь случаем — я уже продолжительное время доказываю вашей поддержке (тут же есть люди из Яндекс, ведь правда же?), что я не верблют белый человек.
Нагрянул гром и у меня перестал работать токен. В техподдержке без номера заказа, по которому я покупал этот токен, помочь не могут. Аргументы в виде скана паспорта, серийного номера токена, истории всех транзакций, заявления или мой личный визит не могут убедить, что я — это я.
Все бы ничего, но прошло сильно больше одного года с момента покупки и писем с подтверждением покупки… Ну вообщем-то не осталось.
Освободите меня из плена этого рабства :'( я тоже хочу смс получать…
Нагрянул гром и у меня перестал работать токен. В техподдержке без номера заказа, по которому я покупал этот токен, помочь не могут. Аргументы в виде скана паспорта, серийного номера токена, истории всех транзакций, заявления или мой личный визит не могут убедить, что я — это я.
Все бы ничего, но прошло сильно больше одного года с момента покупки и писем с подтверждением покупки… Ну вообщем-то не осталось.
Освободите меня из плена этого рабства :'( я тоже хочу смс получать…
Пользуясь случаем — схожая проблема, никак не могу восстановить пароль, техподдержка Денег перекидывает на техподдержку Яндекса, а оттуда молчание уже четыре месяца… Если тут кто есть из Яндекса — помогите, хочу снова пользоваться вашими услугами.
Пароль платежный или от аккаунта в Яндексе?
от аккакунта, платёжный знаю.
Тогда это действительно к саппорту Яндекса, не Яндекс.Денег. Этот пароль единый для всех сервисов Яндекса: passport.yandex.ru/passport?mode=restore
К сожалению, тут единственный вариант — это подавать заявление. Т.е., как раз личный визит и подача вот этого заявления поможет: money.yandex.ru/security/doc.xml?id=523430
Спасибо большое. На мое сообщение «может мне прийти, готов заявления написать» получил ответ «без номера заказа мы вам не сможем помочь».
То есть другими словами, идти в офис и привлекать к себе внимание любым удобным способом? :)
То есть другими словами, идти в офис и привлекать к себе внимание любым удобным способом? :)
Хм, в Z-Payment это было уже годика как три…
Отличное нововведение, я вот забыл продлить таблицу кодов, надеялся перейти на смс подтверждения — ФИГ, придется вначале видимо продлевать таблицу кодов новую (бумажное заявление заверенное нотариусом отправлять по ПОЧТЕ РОССИИ), далее через несколько недель, когда подтвердят статус снова паспортизованного пользователя, смогу перейти на СМС. Верно? геморойно же…
Почтой России не обязательно, можно любой курьеркой. Что такое «паспортизованный» пользователь, я не знаю, видимо, имеется в виду идентифицированный? Ситуация та же, что и спаролями, мы не можем восстановить доступ к счету, если не уверены, что обратился именно владелец счета.
Все верно :) раньше можно было просто пополнить кошелек CONTACT почему сейчас также нельзя? для идентификации.
Потому что это разные вещи: идентификация и восстановление доступа к счету. Идентифицировать можно и сейчас через Контакт, это для увеличения лимитов и разблокировки счета. А вот при утере доступа придется писать заявление. Нам нужно быть уверенными, что обратившийся — владелец счета.
Чтобы минимизировать такие ситуации с «протуханием» ключей, мы запустили вместе с SMS аварийные коды. Они не «протухают», получить можно в любой момент, если есть действующий ключ для авторизации.
Чтобы минимизировать такие ситуации с «протуханием» ключей, мы запустили вместе с SMS аварийные коды. Они не «протухают», получить можно в любой момент, если есть действующий ключ для авторизации.
Спасибо за ответы, надо ли заявление заверять?
Или просто:
1. Скачал
2. Заполнил
3. Отправил
Или просто:
1. Скачал
2. Заполнил
3. Отправил
Давно пора. Всё лучше, чем белиберду с каптчи вводить.
UFO just landed and posted this here
А можете скинуть модель телефона и название приложения? Попробуем найти, в чем проблема. Специально такого не делали.
Планируется ли введение двухэтапной авторизации на остальных сервисах Яндекса? В первую очередь меня интересует Диск.
Заодно хотелось бы узнать, можно ли будет в Андроид-приложение того же Диска входить через аккаунт Гугла, коль скоро это возможно в браузере?
Заодно хотелось бы узнать, можно ли будет в Андроид-приложение того же Диска входить через аккаунт Гугла, коль скоро это возможно в браузере?
Вот бы еще приложение для двухфакторной авторизации типа Google Authenticator.
Поддерживаю! Гораздо удобнее! В роуминге иногда приходится смс ждать по 15 минут. :( Один раз помучился с вебмани и быстро перешел на enum со сканированием QR-кода, и все остальное перевел на GA. Моментально и очень удобно.
Не все сразу, к сожалению. Пока, только SMS и аварийные коды.
Только бы не делали подтверждение обязательным.
UFO just landed and posted this here
А Яндекс планирует привязать «усиленную авторизацию» к Почте?
Как это сделал Гугл с «двухэтапной аутентификацией». Очень не хватает.
Как это сделал Гугл с «двухэтапной аутентификацией». Очень не хватает.
Еще вариант:
Реализация авторизации HASH-CRAM с пользовательским SALT.
1. Сам SALT — пользователь размещает на любом ресурсе в интернете в виде строки текста или файла (аналог подтверждения владения сайтом).
2. Путь к странице — храним в cookies-браузера и на сервере.
3. При авторизации — формируем ответный хэш с этим SALT и отдаем серверу.
Не зная строки SALT и пароля — невозможно осуществить операцию.
Пользовательский SALT всегда передается по каналу: сервер <-> SALT-host
Таким образом формируется замена канала GSM/SMS.
Реализация авторизации HASH-CRAM с пользовательским SALT.
1. Сам SALT — пользователь размещает на любом ресурсе в интернете в виде строки текста или файла (аналог подтверждения владения сайтом).
2. Путь к странице — храним в cookies-браузера и на сервере.
3. При авторизации — формируем ответный хэш с этим SALT и отдаем серверу.
Не зная строки SALT и пароля — невозможно осуществить операцию.
Пользовательский SALT всегда передается по каналу: сервер <-> SALT-host
Таким образом формируется замена канала GSM/SMS.
Боюсь, что пользователей у такого способа будет немного. Для большинства способ получается слишком сложный.
Можно совсем убрать SALT и добавить анализ времени на Response (2-я фаза алгоритма).
1. Challenge — формируем на сервере с привязкой IP-адреса пользователя.
2. В момент нажатия кнопки «Вход» выполняем полный цикл HASH-CRAM аутентификации (js+ajax).
Никаких двойных аутентификаций и лишних паролей!
Нужно только два поля: Login и Password (как и раньше)
Если даже известен пароль пользователя, остаётся еще IP-адрес подделать… и все это за 3 секунды надо успеть)))
1. Challenge — формируем на сервере с привязкой IP-адреса пользователя.
2. В момент нажатия кнопки «Вход» выполняем полный цикл HASH-CRAM аутентификации (js+ajax).
Никаких двойных аутентификаций и лишних паролей!
Нужно только два поля: Login и Password (как и раньше)
Если даже известен пароль пользователя, остаётся еще IP-адрес подделать… и все это за 3 секунды надо успеть)))
Давно уже сделал карточку Яндекс денег, думаю пароли с ней не нужны.
IOS приложение было к этому не готово. Говорит «обновите меня», но обновлений нет.
Sign up to leave a comment.
Яндекс.Деньги ввели одноразовые SMS-пароли