Комментарии 30
Совершенно не раскрыто, чем 4 картинки лучше, чем 2 или, например, 1. Если это ради безопасности, то бессмысленно, шанс в 25% - это невероятная дыра. Ради веселья? Что бы пользователь думал, что картинка секретная?
Это видимо просто замена кнопке "Подтвердить", которую пользователь может нажать бездумно. А когда ему нужно выбрать между крабиком, печенькой и т.д., то рефлекс "Увидел кнопку - нажми" не срабатывает, и он уже более осмысленно подойдёт к вопросу.
Как я понял это замена пин-кодов, когда подключаешь новое устройство и нужно пин ввести (гугл, многие проложения на квесте) на залогиненом девайсе, товместо ввода пина выбираешь картинку. Вполне ок.
А вероятность угадать одну картинку из четырех не смущает?
Меня лично даже банковское приложение с его один к миллиону иной раз наводит на размышления: шансы повыше чем в лотерее...
Нет. Это просто чтобы бездумно ок не жали. Картинки на вашем телефоне. Злоумышленник не будет ничего выбирать.
У Гугла вообще три варианта с цифрами, т.е. шанс 30%
И я сам не раз наугад нажимал на правильный вариант, когда гугл отказывался отправлять уведомление на телефон.
Лучше бы добавили стороннюю TOTP авторизацию или FIDO2
Единственные, ради кого приходится держать на телефоне второе приложение для TOTP авторизаций
Давайте все вместе посоветуем Яндексу аппаратный ключ.
Никогда такого не понимал.
Можно же абсолютно случайно кликнуть на любую и с определенным шансом зайти в аккаунт.
Картинка отображается в приложении на телефоне. Приложение должно уже стоять и в нем вы должны быть авторизованы. Так что войти в чужой аккаунт не получится, вы чужие картинки на своем телефоне не увидите.
На иллюстрации не очень ясно, что где отображается.
Если правильная картинка - на устройстве-ключе, а выбор - на устройстве входа, то у нас 25% вероятность угадать картинку.
Если правильная картинка - на устройстве входа, а выбор надо сделать на устройстве ключе, то устройство-ключ должно быть подсоединено к интернету, и вообще смысл происходящего становится неясен.
Смысл - отправить на устройство, в котором пользователь подтверждает свою валидность (отпечатком, кодом, иным способом), сообщение "вот там логинятся, это ты?" Пользователь говорит "Да, это я", нажимая кнопку. Просто кнопку, смысл внутри всей этой сложной системы обмена ключами с сервером, которая ему не видна и не понятна. Чтобы не нажал на любую всплывающую по привычке или случайно - тут крабики, вероятность лопухнуться лишь 1/4 и интерфейс отличен от стандартного, потому что-то должно щёлкнуть "крабиков не заказывал". И да, без подключения к интернету оно не работает, ключ должен быть отослан сервером, принят устройством и подтверждён.
Речь о том что TOTP ту же самую задачу решает без активного подключения к интернету и с куда меньшей вероятностью угадать код.
Нет никакой вероятности угадать код. При входе на сайт показывается всего одна картинка, ничего вводить и угадать нельзя. Выбор картинки на том устройстве, на котором у вас ТОТР бы стоял. Злоумышленнику нажать на картинку так же сложно, как увидеть однократный пароль - ему для этого доступ к вашему устройству нужен.
Если подобран/выяснен пароль, то вероятность наугад войти в аккаунт в зависимости от второго фактора авторизации:
1) TOTP: 1/999999
2) По картинке Яндекса: 1/4
Не пользуюсь, но могу предположить, что картинка выдаётся пользователю на телефоне с уведомлением. Тогда от неё есть хоть какой-то толк: пользователь узнает, что его кто-то уже практически взломал
Картинка - это не второй фактор авторизации. Во всяком случае он вообще таким не выглядит.
Выбрать картинку нужно не там, куда хочешь войти, а на своем телефоне. Если есть чужой пароль от Яндекса, входишь и выбираешь картинку. Никакого 1/4, одну ты видишь на мониторе, 4 другие на телефоне, никаких вероятностей. А без пароля от Яндекса не видишь ни одной, выбирать нечего вообще.
Все же статью не мешает прочитать. Картинка в Яндексе - это не 2фа, а способ входа. Вы приложение Яндекс Ключ обкладывает защитой, а уже войдя туда, даете разрешение войти в другие приложения, кликая на краба. Авторизуетесь один раз через пароль и 2фа в одном месте, а в других уже вход по упрощенному крабьему пути.
То-то и оно, что при авторизации по картинке пароль НЕ НУЖЕН.
Как оказалось, если ставить "пароль +что-то", невозможно отказаться от "только по картинке".
Если это и только саморекламная акция, всё равно - дырища. Опять всё на телефон завязано. То есть даже те сервисы, которые можно жёстко завязать на почту, оказываются по воле Яндекса привязано просто к телефону.
Потерял телефон - потерял сразу всё.
Супер
«Яндекс ID» добавил новый беспарольный способ входа — по картинке