company_banner

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца



    Два наших сервиса — Почта и Облако Mail.ru — теперь позволяют входить в веб-клиенты по отпечатку пальца и с помощью внешних устройств: USB-, Bluetooth- и NFC-ключей. Наши сервисы пока единственные в России и одни из первых в мире начали использовать технологию электронных ключей WebAuthn в качестве альтернативы традиционным паролям.

    Самый распространенный пример использования электронного ключа — вход по отпечатку пальца. Это удобнее аутентификации через пароль: не нужно его запоминать и вводить, не нужно создавать для разных сервисов разные пароли и регулярно их менять. Биометрические данные хранятся только в вашем устройстве и никуда не отправляются. Если у вас несколько браузеров, то для каждого из них отпечаток пальца необходимо будет добавить отдельно.

    Также для входа в Почту и Облако вы теперь можете использовать внешние USB-, Bluetooth- или NFC-ключи. Такой ключ достаточно привязать к аккаунту один раз, и он будет действовать для любых браузеров и устройств, поддерживающих технологию. Сейчас внешние ключи чаще всего представляют собой специальные устройства, однако в будущем их роль смогут выполнять телефоны на ОС Android.

    Вход по электронному ключу доступен в веб-версиях Почты и Облака, причем как на десктопе, так и на мобильных устройствах. Возможно, в будущем эта функция появится в почтовом приложении для iOS и Android. Ещё мы планируем добавить аутентификацию по скану лица.

    Как включить вход по электронному ключу? В настройках аккаунта появился раздел «Электронные ключи», там вы можете добавить один или несколько ключей и каждому из них присвоить уникальное имя. Либо вы можете перейти на эту страницу из настроек «Пароль и безопасность»:



    Пароль при этом по-прежнему можно использовать как альтернативный способ входа. Подробная инструкция.

    В перспективе мы планируем добавить возможность создавать аккаунты без пароля, или отказаться от использования пароля в ранее созданных аккаунтах. Вместо них можно будет использовать электронные ключи и другие способы аутентификации.
    Mail.ru Group
    869,03
    Строим Интернет
    Поделиться публикацией

    Комментарии 26

      0
      Теперь чтобы у вас не угнали почту надо будет ходить в маске и перчатках…
        –3
        Хороший способ слить не только свои пароли, но еще и биометрику. Браво.
          +2
          Это не так работает. Отпечаток не отправляется в mail.ru или другой сайт с поддержкой WebAuthn.
            +2

            А вы добавляйте "соль" к отпечатку пальца. Крестик из изоленты на палец — и вы в безопасности!)))


            "Танечка, не видела мой напалечник от мейл.ру? Не могу войти в почту!"

              0
              В будущем в магазинах будут продаваться наборы из разных искусственных отпечатков пальцев.
                0
                Я бы не доверял таким наборам. Только самому генерить рисунок и печатать на микро3д принтере. Когда они смогут в такую точность.
            +6

            Перевожу с маркетинговского на технический: вы запилили WebAuthn. Это как раз протоколы и browser API, связанные с FIDO2, который расширение U2F. Это очень-очень классно, вы молодцы, что делаете современную и безопасную аутентификацию, но это ни черта не соотносится с заголовком.

              +4

              Про WebAuthn, кстати, упомянуто в посте.


              Обычно принято ругать Mail.ru, но тут следует вполне обоснованно похвалить

                +1
                Пятиминутка радости за MRG!
                0

                А теперь с технического на простой технический можно? :)
                Что хранится на стороне майла и что передается туда-сюда?

                  0

                  Хранится публичный ключ, передаются подписанные credentials

                    0

                    Я ниже отписался в #comment_20742624.

                    +1

                    Раньше можно было войти по паролю, теперь по паролю и webauth. С чего это улучшает безопасность?
                    Даже если webauth гарантирует, что отпечаток (пальца/ключа) не передаётся в мейл.ру через браузер, то кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)? Как мне сменить отпечаток пальца после компрометации?

                      0
                      Пользуйтесь только паролем и для вас ничего не изменится :)
                      А вообще — использование отпечатка (или токена, кстати) позволяет не светить паролем лишний раз.
                      На чужом устройстве не поможет, конечно, раз надо каждый браузер привязывать отдельно, но если вдруг ваш ПК заразит страшный троян или кто-то поставит кейлогер, то пароль не утечет.
                        0
                        кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)

                        Пользуйтесь железными решениями, вроде Yubikey

                          0

                          WebAuthn не передаёт ваш отпечаток. Это вообще криптографическая аутентификация по схеме запрос-ответ. Ваше устройство должно сделать хитрую операцию с запросом на основе приватного ключа, который докажет, что вы это вы. У сервиса ваш публичный ключ, его можно хоть на заборе написать.


                          Теперь вопрос: как этот ключ хранить? Например, в защищённом чипе, к которому ваша ОС (Windows 10 вроде умеет) пустит только если вы вошли в систему, и доказали, что вы прямо рядом. Например, отпечаток пальца дали — статья вот это упоминает. Зашли на сайт, войти, ОС предлагает показать палец, успех. Или пароль ещё раз ввели. Кстати, из такого чипа приватный ключ обычно достать нельзя — можно туда его положить, можно попросить его самому создать, можно попросить дать ответ.


                          Или — тот же ключ у вас на внешнем железном решении, как упомянутый Yubikey или аналогичные. Он, кстати, может просить пароль для разблокировки. Или чтобы его погладили. Или и то, и другое. Но эти пароли не покидают вашу машину! Тем более отпечаток пальца.


                          Плюс WebAuthn (ещё со времени U2F) в том, что к запросу сайта подмешивается отпечаток самого сайта. Это очень мощная защита от фишинга — Googel получит ответ, который отличается от ответа для Google.


                          Конечно, всё это упирается в доверие локальной машине, но тут что отпечаток, что пароль, простите.


                          Так что использование WebAuthn вместе с паролем или без него, в целом, очень классная вещь для защиты своих аккаунтов. Пока именно его не внедрили, схема с нормальным паролем + U2F аналогична (но не было полного API готового).

                        0
                        Ну да, а возможность чистить историю поиска в почтовом приложении для андроида так и не осилили…
                          0
                          Теперь бы еще вам со спамом что то сделать и можно пользоваться начать вашей почтой.
                            0
                            Как ни странно, но у меня проблем со спамом на Мэйле нет совсем, причём без возни с фильтрами. В Яндексе периодически приходится их ковырять, да ещё и не всегда с положительным эффектом, а тут вон как получилось. Только потому и не увёл до сих пор все подписки с их ящика куда-нибудь на Гмэйл (хотя в свете недавних новостей о «Гугл забанил ВСЁ» и не особо хочется). А самая жуть была на Рамблере, до сих пор страшно вспоминать свою первую почту. Оно умерло заслуженно…
                            0
                            Палец у человека изъять с руки проще чем пин код из головы.
                              0
                              Если вектор атаки с изъятием пальца для вас актуальнее, чем возможная кража пароля, то пользуйтесь только паролем :)
                              Но возможность заходить по пальцу тем пользователям, чья почта не стоит изъятия этого самого пальца — это классно.
                              0
                              Было бы классно, чтоб с одного адреса открывались два ящика с разным содержимым, в зависимости от введённого пароля или приложенного пальца. Ящик «для предоставления» заинтересованным лицам наполняется, естественно, вручную из основного. Многие бы оценили :)
                                0
                                Это mail.ru — заинтересованные лица и так всё сами себе давно предоставили :)
                                +1
                                Интересно, много ли желающих раскидывать свою биометрию по разным сервисам типа mail.ru
                                  0
                                  Я подозреваю, что это работает как windows hellow. Отпечатак пальца только открывает доступ на устройстве к внутреннему хранилищу, где хранится пароль.

                                  Но какой в этом смысл. Я включаю комп, прикладываю палец и у меня загружается винда, где уже установленны все эти приложения и произведён вход с запомненным паролем. В чём новизна-то?
                                    0
                                    Будет возможность двухфакторной авторизации, и пароль и отпечаток одновременно?

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое