Как стать автором
Обновить

Просто чудо из чудес, об этом знает целый лес. Яндекc.ID

Информационная безопасность *IT-компании

Много лет я пользуюсь сервисами Яндекса и до сих пор меня все относительно устраивало: почта, станция, облако, kinopoisk.hd, новый сезон смешариков. В общем, все было хорошо до появления Яндекс.ID. Протухла у меня однажды сессия в браузере и понеслась.

Ввожу я, значит, правильный логин и пароль, а меня просят ввести...

Ответ на контрольный вопрос, контрольный, его, вопрос!!!

Откуда? Кому такое могло прийти в голову?

  • почему нельзя выслать СМС на номер телефона, который вы меня обязали привязать?

  • кто, вообще, помнит ответы на свои контрольные вопросы?

  • покажите мне пальцем сервис, который просит ввести контрольный вопрос при логине

  • куда смотрели инженеры QA, когда это выпускали?

Что делать? Давайте попробуем обратится в поддержку?

Это просто гениально и находится на недостижимом уровне. Поддержки нет, её просто нет. Что бы ты не выбрал, тебя просто еще раз попросят прочитать документацию. Представляю, как это придумали - а давайте мы забьем на пользователей, они все равно тупые, и просто скинем им ссылку на документацию как поддержку.

Ладно, доступ как-то надо восстанавливать, нахожу планшет с рабочей сессией, пытаюсь изменить контрольный вопрос.... И?

Меня опять просят ввести этот контрольный вопрос, просто нет слов.

Что делать дальше? Попытаемся настроить 2FA с QR кодом. Читаем следующее:

Ага, забывать PIN код тоже нельзя, а то больше никогда не войдешь в свой аккаунт. Знаем мы, как потом тебе поддержка поможет.

И о чудо, наконец-таки после этого я вошел в аккаунт. По 2FA. Азбука. Б. Безопасность, которая называется 2FA. Двухфакторная аутентификация. А я вхожу в аккаунт по одному QR-коду. Одному!!!

Что же дальше. Все закончилось? Нет, я лег спать и ночью в 4 часа утра Алиса мне начала орать на ухо - вы вышли из аккаунта, привяжите станцию повторно. Это было последней каплей.

У меня еще есть 3 аккаунта, в которые я уже не смогу войти таким образом. Это петиция и от лица всех пострадавших я требую выполнения следующих условий (если бы была форма обратной связи, я бы написал туда, но её, увы, нет):

  • спрашивать контрольный вопрос при логине, только если это разрешено ранее в настройках

  • разрешить нормально менять контрольный вопрос без указания предыдущего ответа (пусть даже через СМС на телефон)

  • сделать галочку - спрашивать пароль при 2FA. Это называется безопасность

  • сделать галочку - запретить восстановление пароля по привязанному телефону. Восстановление пароля по телефону - это не безопасность. Любой бомж придет в салон связи, даст взятку и получит доступ к телефону и любой почте.

Теги: яндекс2faпаролиqa
Хабы: Информационная безопасность IT-компании
Всего голосов 133: ↑120 и ↓13 +107
Комментарии 239
Комментарии Комментарии 239

Похожие публикации

Лучшие публикации за сутки