Как стать автором
Обновить

Комментарии 239

  • покажите мне пальцем сервис, который просит ввести контрольный вопрос при логине

Apple ID. Поэтому у меня теперь нет Apple ID

Это же Яндекс. Он мог бы что-нибудь получше придумать, чем очередной название компании.ID

НЛО прилетело и опубликовало эту надпись здесь

Я к яндексу не имею отношения, но название полностью понимаю, и оно очень хорошее.
Хорошее с точки зрения краткости, уникальности и универсальности.
А как называть? Яндекс-Идентификатор?, Яндекс-Индексатор, Яндекс-Аунтификация, Яндекс-Авторизация, Яндекс-Профиль?
ID очень хорошее название.

Например, "ЯНА" ("ЯНдекс" + "Аутентификация")

Можно сразу несколько преимуществ Яндекса отразить: ЯНдекс + Аутентификация + Хранилище + Уникальная Информация

Алиса будет недовольна.

лучше "ИННА"

Конечно, теперь, ведь, нельзя использовать нормальные слова username, login... Понабежало в интернет народу, поди объясни каждому, что имя пользователя и твое имя в паспорте это не одно и то же, даже если пользователь это ты :)

Причем тут Login и причем тут USERNAME? ЯндексID это НЕ страница авторизации для яндекс услуг. ЯндексID это сервис для авторизации везде.
Например как вы на каком нибудь сайте: ну например на форуме автолюбителей нажимаете кнопку ЯндексID. Яндекс перешлет этому сайту подтверждение что Вы этот тот кто имеет хеш который одинаков для Вас. Для форума этого достаточно чтобы Вы могли писать комментарии и высылать файлы. А Вам при этом не нужно заполнять 20 полей бесмысленными данными. А еще каждый раз при открытии занового этого форума, форуму не надо беспокоится о сессиях браузера, о секретном слове, и о номере телефона для восстановления пароля. Форуму вообще не нужно парится как делать процедуру восстановления пароля.
ЯндексID это не страница авторизации. При этом на форуме не будет данных которые могут утечь при взломе форума.

что-то мне подсказывает, что форуму нужно будет всё перечисленное и ещё немножечко Я.ID :)

НЛО прилетело и опубликовало эту надпись здесь

Это вы зря, батенька. У эпла аккаунт восстанавливается простым звонком в техническую поддержку! Правда, помурыжать вопросами, но убедившись, что вы, это вы - восстановят.

Пару раз приходилось так восстанавливать.

А вот с тындексом - глухота. Сделал однажды там кошелек, да так и не восстановил доступ. Приезжайте, говорят, в офис, с паспортом.

Ну все поняли, куда и как я им сказал любезно проследовать...

А кошелёк то и не их был, небось, а таки сберовский в тот момент, и подпадал под законы про банки?
Я так лишился, потому что никому в яндексе не пришло в голову предупредить, что смена телефона в япаспорте не меняет его в яденьгах.
У эпла аккаунт восстанавливается

Не восстановят. До сих пор пытаюсь вспомнить ответ на вопрос.

У Apple техподдержка по крайней мере — есть. И с ней можно и початится и пообщатся голосом. И на русском — тоже. И по крайней мере — она пробует решает проблемы клиента, и даже иногда решает (не всегда, и иногда требования странные).

Контрольные вопросы?)

Сочувствую, я из за этого кучу Apple ID потерял)

Не пользовался Яндексом, а теперь уж точно не буду)

Сочувствую, я из за этого кучу Apple ID потерял

Ваш ник говорит как раз об обратном. )) Без обид. Не удержался.

  • кто, вообще, помнит ответы на свои контрольные вопросы?

Я всегда считал, что они на то и существуют, контрольные вопросы, чтоб помнить на них ответы. Если пользователь их не помнит, то это вряд ли проблемы сервиса.

Хотя, возможно, сам метод идентификации пользователя, "забывшего пароль", старый и не очень удобный, но он часто использовался раньше многими сервисами. Да и сейчас используется. Даже при установке винды, вроде, такое есть..

давайте мы забьем на пользователей, они все равно тупые, и просто скинем им ссылку на документацию как поддержку.

Ну вообще-то, документацию ("Справку", "Помощь") для пользователей для того и пишут, чтоб они ее читали.

А то, что никто не желает ее читать - ну да, есть такое. Часто, пользователи даже не знают о ее существовании. И речь не только о сервисах Яндекса, а вообще о любом ПО. Пользователю даже в голову не приходит ткнуть мышкой в Справку. Чуть что, по любому чиху - звонок в техподдержку.

Стоп, стоп.

Проблема сервиса - это спрашивать вопросы после ввода правильного пароля и не давать поменять вопрос без знания ответа на предыдущий, даже если ты прошел 2fa.

Проблема сервиса - это 2fa с 1 фактором.

Да, и правда перебор.

На это MFA есть. Если не хватает защиты, пускай сами себе включат, а не спрашивать контрольные вопросы где ни попадя.

Если я правильно понял вашу переписку, то ответ на «2fa с 1 фактором» должен буть следующим: идентификаторы устройства (связка user id, cookie, примерная геолокация, идентификатор установки, разрешение экрана, список контактов к которым вы дали доступ) и являются первым фактором - то чем ты владеешь, второй это как раз ответ на контрольный вопрос - то что знаешь. То есть первый фактор он как бы не явный, пусть это и не совсем корректно реализовывать 2FA таким образом. Такова модель рисков. Но как понимаю автор даже знать то, что требуется не очень желает.

То есть двухфакторная даухэтапная: 2 фактора: данные устройства (владеешь) + пароль(знаешь)+ответ(знаешь)

Ну то есть еще раз: QR код должен быть действителен только для этого устройства, так работает Microsoft Hello for business к примеру.

Вы живете в каком то странном мире, а я живу в реальном и занимаюсь реальной ИБ. Вот 2 сценария, которые я хочу избежать.

1. Я сдуру привязал телефон к аккаунту (и без 2fa). Это вроде должно повысить безопасноть, но сводит на почти 0 мою безопасность. Любой человек, который знает мой номер телефона идет к сотовому оператору, говорит, что украли симку, дайте мне новую, платит взятку 5к рублей (или 1к рублей где-нибудь в далекой области) получает симку и восстанавливает доступ к аккаунту (так наспиано в документации - по телефону можно восстановить доступ к аккаунту)

2. Достаточно взломать только 1 телефон и получить полный доступ к аккаунту. И пин код и QR код и т.д. все хранится на телефоне. Достаточно установить на 1 телефон вредоносное приложение и безопасность рушится.

Сравните это с ситуацией, когда я входу, например, в Тиньков и мне надо ввести пароль на компьютере, и дополнительно код из СМС с телефона.



Какая разница чего хотите вы, к статье автора это не имеет отношения, он знает и пароль и SMS готов получить.

  1. Пишите почти, вот именно, сервис понимает что осуществлен вход из новой к примеру локации при том что буквально минуту назад реальный юзер был в другой локации и это в вашей реальной безопасности называется (нереальным перемещением), поэтому сервис предложит ввести ко второму фактору и контрольный вопрос, ну в теории так должно быть, знать алгоритмы яндекса мы не можем.

  2. Не знаю что там хранится у яндекса в мобилке, но нормальные сервисы по тому же OWASP не имеют права что либо хранить конфиденциального на мобиле используемого для аутентификации, они обязаны хранить это на сервере сервиса, каждый раз получать это и каждый раз отдавать на проверку, храниться может только токен который как я и писал формируется от каких-то параметров устройства

Сравнил с тиньковым и вот что вижу: если я входу с нового устройства в яндексе я все так же ввожу все эти факторы, палец прикладываю, ввожу еще дополнительный пин-код на яндекс ключ, в яндекс войти более сложно. Давайте не будем тинькова притягивать у них otp адаптивный и еще из 4х символов состоит при требуемых 6ти по RFC.

Кроме того этот самый номер телефона ещё нужно знать.

Какая разница чего хотите вы, к статье автора это не имеет отношения, он знает и пароль и SMS готов получить.

Вообще-то, вы это пишете непосредственно автору статьи.

Какой идиот будет тратить деньги на покупку новой симки, и дачи взятки сотовому оператору, чтобы просто восстановить пароль от вашего аккаунта яндекса? Кому это надо? Какому злодею нужны ваши, пустяковые письма? Ну не сможете войти в почту, новый логин завёл. Делов то?

В таких пустяковых письмах может ничего интересного и не быть. Но можно получить подтверждение на смену пароля к биткоин сервису или просто поменять адрес кошелька для вывода.
Мой знакомый сейчас в командировке, более того — не имеет физического доступа к личному телефону. За 2 т. р. я поимею симку билайна, получу доступ к почте яндекса, подтвержу смену биткоин кошелька и поимею пару биточков.
Узнать номер телефона нужного человека — не проблема. Адрес почты выяснить несложно. Симка покупается (цена зависит от оператора и степени жадности работника офиса).

А еще у некоторых фоточки автоматически сливаются на яндекс (халява же, и неограниченная). Кто то вполне может и поболее нескольких тысяч заплатить за возврат доступа к почте или за их нераспространение.

Симка — слабое звено. Точнее люди, ответственные за их выдачу.

Боюсь вы слабо понимаете как работает биткойн. Для того чтобы забрать себе чужие биткойны, ни какой адрес почты не поможет. Для этого нужно знать приватный ключ. (длинная строка из цифр и букв, которая в почте яндекса не находится.

Боюсь вы слабо понимаете как на самом деле люди хранят деньги в крипте. Для этого используют биржи, которым отдают этот самый приватный ключ для удобства работы. А вот как биржа будет реализовывать авторизацию это дело уже другое.

Кроме того, мало иметь 2 т. чтобы получить новую симку, взамен старой. Там спросят пасспорт. А если симка записана на Иван Иваныча, её ни за что не выдадут Петру Петровичу. Если только по доверенности, и то я не уверен.

Эммм, тут как в анекдоте про удостоверение личности гражданина РФ и купюру в 500р. Только купюру надо более оранжевого цвета(а может и две надо будет) и салон связи, где продавану надо денег. И магическим образом у посетителя сразу появляется паспорт, доверенность, свидетельство о рождении кошки. Говорят, что пророй даже пол временно изменяется.

Вот вам почти еженедельная подборка таких вот которые не делают того что вы пишете

Есть такая вещь как акционные симки. Это симки которые записаны на оператора и выдаются при разных акциях

Достаточно установить на 1 телефон вредоносное приложение и безопасность рушится.

Если установить на телефон вредоносное приложение, безопасность приложений на этом телефоне рушится в любом случае.

Сравните это с ситуацией, когда я входу, например, в Тиньков и мне надо ввести пароль на компьютере, и дополнительно код из СМС с телефона.

Если реализуется сценарий из вашего первого пункта, то злоумышленнику ничего не мешает поменять пароль к личному кабинету Тинькова, просто зная номер вашей карты.

у вас нет услуги запрета удаленнго перевыпуска сим карты?? (когда только с паспортом отдадут)… мда… супер операторы)
Услуга есть, работает не всегда.
Было много скандальных случаев, что не взирая на то, что стоят запреты и типа вообще только в конкретном подразделении и только по паспорты — по факту в другой области на левую справку выдавали.

идентификаторы устройства (связка user id, cookie, примерная геолокация, идентификатор установки, разрешение экрана, список контактов к которым вы дали доступ) и являются первым фактором - то чем ты владеешь, второй это как раз ответ на контрольный вопрос - то что знаешь. То есть первый фактор он как бы не явный, пусть это и не совсем корректно реализовывать 2FA таким образом. Такова модель рисков. Но как понимаю автор даже знать то, что требуется не очень желает.

Автор все знает. Теперь для входа в аккаунт не нужен ни пароль, ни ответ на контрольный вопрос, а только 1 QR код.

И дополнительно - я не владею разрешением экрана, списком контактов и т.д. - это то, на что никогда нельзя завязываться как на первый фактор

Автор все знает. Теперь для входа в аккаунт не нужен ни пароль, ни ответ на контрольный вопрос, а только 1 QR код.

Да не QR код нужен (он вообще всем показывется еще до ввода логина), а телефон, куда ключ генерации одноразовых токенов влит. Но с указанными выше соображениями о том, что телефон можно скомпрометировать - согласен.

Кстати, а тут у Яндекса можно взять еще и другой телефон и на него тоже поставить этот авторизатор, пока дают? Будет защита хотя бы от потери первого.

Честно не знаю что там в QR коде, но вы как-то упрощаете, вам показать мой QR код? Ну давайте покажу и что вы с ним сделаете? В этом и прикол, что на устройстве жертвы вам еще надо палец прислонить, пин-код ввести еще либо иметь на моем устройстве вредонос с правами читать память яндекс ключа, ломиться в защищенную память телефона. Нет тут никакого просто QR-код, пожалуйста, не путайте простых людей кто ничего не понимает и читает эту статью

Это на устройстве жертвы. А если восстановить чужую симку, вставить её в новую мобилу, и там накатить Яндекс?

Восстановление доступа по номеру телефона — это другой случай.


Само приложение аутентификации и QR-код, которым оно пользуется, работают (во всяком случае так было, когда я смотрел) вообще без всякой симки. И на чистом телефоне будут бесполезны — потому что в них нужных ключей нет.

«Вы все знаете», значит что вам просто лень вводить ответ на контрольный вопрос и поэтому вы тратите часы на попытку его смены и написания статьи? Если вопрос вам был показан, значит привязка есть, но привязка не как один из факторов, а просто причина доп проверки - как еще один этап. Ну не прикалывается же яндекс именно над вами, если вам нужна ссылка на OWASP по той же ссылке, то вот она: нельзя давать юзеру ответить на N вопросов из M, нужно до последнего требовать ответ на заданный и понятно почему, чисто тервер. Про смену вопроса либо ответа на вопрос без правильного ответа на сам вопрос я согласен, тут перебор.

В qr зашита сессия, которую потом авторизует приложенька на телефоне специальным запросом на бекэнд. Так что тут ничего страшного нет, это просто возможность не вводить пароль руками

Проблема сервиса — это 2fa с 1 фактором.

А при отсутствии 2fa было 0 факторов если имелся доступ к залогиненному устройству, "удобно" же

Доступ к залогиненному устройству — это и есть один из «факторов», если что.

В документации не слово, что тебя будут просить вводить ответ на контрольный вопрос после ввода правильного пароля, и как исправить эту ситуацию

Проблема сервиса - это спрашивать вопросы после ввода правильного пароля

Гм-м.. Может я что-то не так понял. Из текста статьи непонятно, в какой момент они начали вас пытать вопросами, и что значит " протухла сессия"..

Некоторые сервисы заново пытаются идентифицировать пользователя, если, например, возникает подозрение, что произошла утечка паролей.
Возможно, "они" подумали, что ваш правильный пароль вводит кто-то другой и решили, подстраховаться и проверить, вы ли это.. С помощью, как раз, контрольных вопросов.

Еще раз

  • как поменять контрольный вопрос без ответа на предыдущий, если ты залогинен по 2fa?

  • 2fa с 1 фактором

НЛО прилетело и опубликовало эту надпись здесь
Возможно, «они» подумали, что ваш правильный пароль вводит кто-то другой и решили, подстраховаться и проверить, вы ли это..

у меня почта на яндексе небольшой компании
одним не очень приятным утром на ВСЕХ ящиках одновременно случилось что не войти, яндекс стал просить ввести номер телефона и установить новый пароль.
после долгих переписок с поддержкой выдавили ответ, что они «подозревают» попытку взлома… ага, всех ящиков сразу…
поэтому сдаётся мне что делают что хотят, точнее что их ИИ хочет и никто не знает что и почему конкретно…

После этого комментария я засомневалась в своём прошлогоднем решении купить Яндекс.Станцию по подписке...

Ну допустим, там про это не написано.. Но.. Наверняка, когда вы создавали аккаунт на сервисе, вам предложили придумать и запомнить ответы на контрольные вопросы и наверняка предупредили, что они могут понадобиться в аварийной ситуации.. Например, для восстановления доступа к аккаунту. И наверняка при создании аккаунта, вам предложили принять некое соглашение, в котором описаны все эти моменты. И я вряд ли ошибусь, если скажу, что вы его приняли не читая.. Почти никто их не читает. Да что греха таить.. Я их тоже редко читаю. ))

Я регистрировал аккаунт 15 лет назад. Там было написано, что контрольный вопрос нужен, если я забуду свой пароль. Пароль я не забывал. Мне не нужно восстановление аккаунта.

Ну значит они решили, что возможно ваш пароль угнали злоумышленники..
Почему?.. Это уже другой вопрос. Видимо, какие-то особенности работы алгоритма, обеспечивающего безопасность сервиса.

«Мы решили, что Х, поэтому вы должны отвечать на вопрос, который нам дали для совершенно другого случая Y».

А для какого, например, "совершенно другого случая", может использоваться контрольный вопрос?

Насколько я понимаю, он всегда для решения каких-либо проблем с авторизацией используется.

Нет, когда-то давно он использовался для совершенно конкретного случая — как резерв на случай, если ты таки забыл пароль.


А то что его сейчас пытаются использовать для решения другой задачи (как средство восстановления доступа к учетке, если логин/пароль злодей узнал и их сменил) — это косяк смены области применения.


Именно для второго нужна невозможность смены этого ответа, если ты его не знаешь (чтобы злодей и его тоже не сменил). Для первого — такое ограничение вредно, как показывает случай в статье.

А то что его сейчас пытаются использовать для решения другой задачи (как средство восстановления доступа к учетке, если логин/пароль злодей узнал и их сменил)
Вычеркнул. Автор не менял пароля из нового места.

Это автор не менял. А то, что ему сейчас не дают ответы на контрольные вопросы сменить, спрашивая их — означает, что имеют в виду именно на этот сценарий.


Т.е.
1) Злодей уводит логин/пароль, их меняет (контрольный вопрос не спрашивают).
2) Злодей пытается сменить ответы на контрольные вопрос и у него это не получается, т.к. он их не знает.
3) Владелец учетки обнаруживает, что не может залогинится, идет восстанавливать пароль, ему задают контрольный вопросы, он на них отвечает и потом ставит новый пароль.


Владелец учетки доволен. Злодей — огорчен. Если не ограничений в пункте (2) — будет наоборот.

Эм, взять и разнести по времени возможность сменить контрольный вопрос, пароль и привязанный телефон?

В данном случае же, просто человек зашёл откуда-то не оттуда, не пытался сменить пароль, но ещё до всего с него уже требуют ответ на вопрос. Он не меняет и не восстанавливает пароль. То есть у него просто в какой-то произвольные момент сервис требует контрольный вопрос потому что потому.
А ведь ещё есть всякие резервные почтовые адреса.

Кстати, очень удобно для фишинга, что яндекс стал приучать отдавать контрольный пароль по первому требованию, ага

И да, кстати, помню в стиме что ли, были ограничения на возможность изменения данных после сброса пароля. Очень правильный подход.

И да:
4) Злодей сбрасывает пароль с помощью ответа на контрольный вопрос из-за его простоты, меняет пароль, телефон, резервную почту.

Злодей на коне, владелец не может даже найти способа связаться с ТП яндекса, потому что обратную связь спрятали так, что не найдёшь.

А в части сервисов яндекса (типа такси) её вообще нет без интернета. О чем я недавно узнал, когда вызванный к конкретному месту таксист так и не приехал и пришлось идти искать интернет, чтоб узнать, что ему не захотелось проехать тридцать метров.
Эм, взять и разнести по времени возможность сменить контрольный вопрос, пароль и привязанный телефон?

Я вообще уже достаточно давно считаю, что в современных условиях подход надо менять. У человека должно быть несколько, больше двух, артефактов аутентификации. Для смены любого из них (включая пароль) — нужно подтверждать владение какими-то другими двумя.


Т.е. в случае с контрольным вопросом — знания пароля и владения номером телефона должно хватать.


А вот для смены пароля (чтобы злодей его не сменил) — нужен телефон и тот самый контрольный вопрос.


В случае, если человек параноик и хочет 2fa — минимальное число артефактов становится равным 4, а для смены одного нужно уже три других.

Да как бы это не "смена области применения". Что первое, что второе применение это одна и та же "область", называется "авторизация".

Возможно.


А симметричные ключи шифрования и ассиметричные — это все 'шифрование'. И то и то — просто наборы битиков, которыми что-то шифруют.
Тем не менее сценарии использования и применимость у них разные. Ну вот и эти фразы так же. Выглядят одинаково, но служат для разного.

Это не самый корректный пример.

У симметричного и асимметричного шифрования разные принципы и свойства.

У "контрольного вопроса", свойство в любом случае одно и то же - ответ на него должны знать только вы, вот и всё.

Для случая восстановления пароля. Именно так он и был раньше подписан. В случае автора же проблем с авторизацией не было — это именно Яндекс их ему создал на ровном месте.

А дату создания своего ящика вы помните? Это они тоже спрашивают при восстановлении пароля. Кто в здравом уме это вообще помнит спустя 10-15 лет?

Выданный рамблером ICQ-номер (когда был ещё Dial-up) сохранён на будущее отдельным .txt (причём ещё и без пароля). Вернувшись уже в веб-версию "новой аськи" – о, сообщение двухлетней давности: «…ть! Эта платформа ещё работает! Ты жив там ещё?» — а ответить не могу! Требует номер телефона (а мне не хотелось променять этот девятизначный UIN)!… В "какой-то справке" указано, где удалить свою учётку, но почему-то этой кнопки не оказалось (или появилась бы после ввода номера?). Так вот, благодаря этому текстовому документу, с сохранённым атрибутом "дата изменения" (дважды перетащив по двум hdd, дата создания затиралась) + указанным в письме в тех.поддержку адреса, на который был зарегистрирован этот UIN (рамблеровская удалена ещё до создания в гугле) мне удалили учётку по первому же требованию (всего 1 письмо)… Возможно, с запросом на удаление проблем меньше, чем на восстановление :) — прокатит ли похожее с яндексом при утрате доступа – теперь уже вопрос…


Дата создания учётки — гугл выдавал вопрос (примерный месяц и год)

Обидно, что этот вопрос сначала попался не на том ноуте, котором нужно было раньше, за год до этого
несколько недель подряд не давало войти с «рабочего» в гугловскую учётку (ничего кроме мыла ввода почты и верёвки номера одноразового тел.номера не предлагало)! Какой смысл от ввода резервного ящика, если на него уйдёт ссылка-подтверждалка, а с этого же ноута для входа в резервный тоже затребуются «подтвердилки»)?…
В первой ½ 2019 г., яндекс почему-то впустил сразу — надо было успеть до конца рабочего дня передать 3 фонограммы.wav в разных темпах хотя бы через ЯД, а в приватном режиме лисы тогда со входом были проблемы — дальше ввода пароля не впускало, а с установленного на рабочем ноуте ЯБро?зревателя в личную учётку как-то было боязно)… Так вот, после выхода из учётки в лисе, эта поисковая система ещё помнила этот рабочий ноутбук до самой осени: продолжало "палить" мой login в вопросе это вы? — будто под установленым флажком Чужой компьютер оказалась функция Запомнить меня (сработала наоборот)! Не хотелось удалять настройки стартовой страницы яндекса, но даже избирательное вытирание "печенья крошек яндекса" от этого не избавило… Пришлось временно посадить на диету и перестать кормить печеньем вообще! Вместо того, чтобы использующие на этом рабочем ноуте Yandex Browser не видели упоминания моего login (т.е. даже не имени пользователя), пришлось на лисе видеть мне, т.к. в рекомендуемом самим же яндексом в Firefox используйте Приватный просмотр — не работал вход, галочка "Чужой компьютер" оказалась неэффективной!
А вот дату создания Yandex-учётки, как назло, не помню, и ни одного .txt с намёком!… Помню тогда ещё было интересно побаловаться с narod.ru, но вот папку «Мои веб-узлы», хранящейся тогда на убитом разделе с WinXP, пришлось восстанавливать «ковырялкой», которая «испоганила все атрибуты, в т.ч. «Дата изменения»»… где была копия этих html… Сама почта тоже чищена, т.е. тут уже без шансов :(хотя, год и время года примерно назвать ещё могу, но точно не месяц… Такой вопрос от гугла после стольких лет пользования меня действительно удивил, ведь банально эту информацию (или хотя бы приблизительную) можно запросто увидеть на сайте, к которому эта учётка была привязана самой первой… например, Youtube, у /user/support – О канале – Дата регистрации: 22 июля 2014 г.… Если жертва на каком-нибудь форуме использует авторизацию Google (как например есть на хабре – кстати, не всегда кнопка с жирной буквой G доступна), и в своём профиле укажет ссылку на свой канал, который связан с той же учёткой, само имя профиля скопировано с имени login`а, то взломщику даже не обязательно знать пароль?

Как решение опираясь на OWASP это периодически спрашивать у юзера сессия которого не вызывает подозрение, а «помнит ли он ответ, а «этот номер телефона все еще ваш?»

Я всегда считал, что контрольный вопрос — это второй пароль. Если я не собираюсь забывать первый, то он не нужен, а если я не хочу, чтобы смог войти злоумышленник, то контрольный вопрос должен быть так же надёжен. Поэтому там обычно случайная строка символов, которую я нигде не сохранил.


Кстати, автор не прав и там можно отправить запрос в поддержку: «не могу войти в аккаунт» — «не помню пароль» — «у меня не получилось восстановить пароль самостоятельно» — «написать в службу поддержки», тогда откроется форма.

Это называется UI/UX

В этом случае они просят паспортные данные. Почему паспортные, почему именно паспортные, с чем они будут их сравнивать, ведь они нигде мной не указывались. Других вариантов мне не предложили.

Логичная защита от неподготовленного хакера. Udemy к примеру просит видео запись еще «мол я не буду делать злых действий и все материалы мне принадлежат на законных правах». Не совсем в тему про сброс пароля, но как сам факт - злоумышленник не станет раскрывать себя на видео, так и тут: ФИО, место проживания бьются с паспортом, паспорт не в базе недействительных - скорее всего это ты, а не злоумышленник.

Ну это дурь уже. Мне бы вот не хотелось никаких видео со своей мордой добровольно таким образом отправлять никакой компании, будь то Яндекс или ещё кто-либо.

Я всегда считал, что контрольный вопрос — это второй пароль. Если я не собираюсь забывать первый, то он не нужен, а если я не хочу, чтобы смог войти злоумышленник, то контрольный вопрос должен быть так же надёжен. Поэтому там обычно случайная строка символов, которую я нигде не сохранил.

Вообще то, когда это задумывалось, предполагалось, что ответ на контрольный вопрос - это конфиденциальная информация, известная только конкретному человеку и более никому. И такая, которую он не может забыть ни при каких условиях, если он в добром здравии.. И вовсе это не случайный набор символов.

Да, и все прям указывали правильные ответы, которые можно перебрать по словарю за несколько минут. Это можно считать, даже, стандарт забивать в ответ рандомные символы

Про всех не могу сказать... Но когда я когда-то регался на сервисах, использующих эту технологию (контрольные вопросы), я старался выбирать такие вопросы, на которые реально могу ответить только я.

Правда, это тоже было очень давно.. Но думаю, если бы мне пришлось отвечать на эти вопросы, я бы вспомнил ответы. К счастью, я в вашу ситуацию не попадал..

Самое плохое если проверка ответа не адаптивная, а как рекомендует OWASP первый раз придуманный ответ должен превратиться в хэш чтобы не хранить персданные. Тогда ответ вам нужно сообщить ровно такой какой вы его придумали.

Это если есть выбор. Хорошим был вариант, где ты сам мог поставить вопрос. Он мог позволял создать многосоставной вопрос. Но если у сервиса, всего три варианта на выбор, причём все стандартные?

Достаточно тупо указывать "случайный набор символов", когда тебя просят ввести ответ на вопрос, на который, возможно, в дальнейшем придётся ответить. Выглядит как проблемы дурака, который посчитал себя умнее других, а потом сам в свою же глупость упёрся.

А то что он "подбирается по словарю" - укажите два слова в качестве ответа, кто вам помешает, вы же такие умные. Например "имя первого домашнего животного" - "кот тимофей".

Это вполне нормально — когда тебе изначально не оставляют выбора кроме как оставить дыру в безопасности (контрольный вопрос, позволяющий обойти парольную защиту), то логичнее всего сделать дыру такой формы, чтобы даже вы в неё не могли пролезть.

Ну знаете, если "контрольный вопрос" это - "дыра", тогда уже сама возможность просто войти по паролю с ваше логикой вообще должна быть "critical vulnerability".

Если ответ на вопрос известен кому-то, кроме тех, кому пользователь сам его сообщил — то это дыра. А если нет, то это просто ещё один пароль.

Во первых - если бы это был просто ещё один пароль - он мог бы использоваться "просто как пароль", но он не используется "просто как пароль".

Во вторых - вы не понимаете сути контрольного вопроса. Его суть в том чтобы у пользователя был какой-то ключ к восстановлению, который он бы не мог забыть, но который был бы известен только ему (улица на которой жили родители, например).

который он бы не мог забыть, но который был бы известен только ему

И как это сделать, если у многих сервисов только свой список из 3-5 вопросов? Нет, если есть возможность ввести свой вопрос, то я, в принципе, согласен. Вопрос можно сформулировать в виде сложно-составной задачи, где ответ не одно-два слово из словаря.

улица на которой жили родители, например

Особенно это актуально для тех, у кого родители ни разу не переезжали, а этот вопрос единственный из возможных, потому, что других нет или их можно нагуглить. К тому же, есть подозрение, что все честные ответы уязвимы к атаке перебором по словарю или чему-то подобному.

Так же опустим жителей малых городов и деревень, где про такие вещи могут просто помнить, а улиц может быть штук 8.

Вот возьмём для примера старый адрес родителей, на который вы ссылаетесь. Город, в котором жили ваши родители, даже если они переезжали узнать можно в соц.сетях. Даже если предположить, что точный адрес так узнать не получится, то давайте просто посчитаем сложность перебора.

Предположим, что в городе примерно 10000 улиц. Это достаточно крупный город? Пусть, часть из них переименовывали. Округлим до 16384=2^14, что бы вошли старые и новые названия. Пусть в каждой улице в среднем 512=2^9 домов. Адрес можно записывать по разному. Возьмём по 16=2^4 вариантов записи на каждый адрес. Почему не больше? Потому, что вы исходите из мысли, что человек должен спустя 20 лет вспомнить: как он его записал, а если он его записал сильно нестандартно, то это условие будет нарушать вашу же логику. Даже 16 варианта — это сильно избыточно. Пусть адрес будет с точностью до квартиры, а в среднем доме будет: 2^11=2048 квартир.

В результате получим: 16384\cdot 512\cdot 16\cdot 2048 = 2^{14+9+4+11} = 2^{38} = 274 877 906 944комбинаций. Это очень мало. Это значительно меньше, чем стойкость 8-символьного пароля. Если взять только английский алфавит (a-z, A-Z) и только цифры (0-9), т.е. без специальных символов, то кол-во комбинаций для 8-значного пароля будет: (26\cdot 2+10)^{8}=62^{8} = 218 340 105 584 896

274 877 906 944 меньше 218 340 105 584 896, а значит именно это место более уязвимо, т.е. даже 8-значный пароль надёжнее почти на три порядка.

Теперь же представьте, что пароль 16-символьный, причём не только из букв и цифр, а ещё и содержит спец.символы. И сбросить этот 16-символьный пароль можно зная адрес, подобрать который сильно проще. Да, в теории сервис может что-то сделать, что бы это усложнить. Ну так он то же самое может сделать и для пароля. Но даже если он (сервис) усложнит подбор ответа на вопрос в 790 раз (по сравнению с обычным паролем), то он всего лишь сравняется с 8-значным паролем.

Резюмирую.

  • Лично я не против контрольных вопросов, если они позволяют ввести, собственно, сам вопрос, причём, желательно что бы поле ввода вопроса и поле ввода ответа были больше хотя бы 32 символов, а лучше больше 128 символов.

  • Но я точно против предопределённого списка стандартных "контрольных" вопросов, т.к. они ухудшают безопасность, если ответ на них их можно просто ввести вместо пароля.

  • Точно так же, я против что бы без явного заблаговременного уведомления пользователя, поведение контрольных вопросов менялось. Поскольку пользователь мог создавать вопрос (одну из возможных причин см.выше), держа в голове, что ему никогда не придётся им воспользоваться.

Да, конечо указывали правильный ответ.

Вы сами себе злостный буратино если вбивали случайные символы.

НЛО прилетело и опубликовало эту надпись здесь

И много у вас такой информации, которой вы готовы поделится, которую вы не забудете (особенно лет через 10) и которую нельзя подобрать по словарю, с учётом того, что вы не должны использовать один и тот же ответ на разных сервисах по тем же причинам, по которым вы не должны использовать один и тот же пароль?

не должны использовать один и тот же ответ на разных сервисах

А это вообще фантастика, так как вопросы у всех плюс-минус одинаковые, притом часть, типа той же девичей фамилии матери, в принципе использовать нельзя - слишком легко накопать в других источниках.

...А то, что никто не желает ее читать - ну да, есть такое. ...

А знаете почему? Потому что от справки в 99,999% случаев толку примерно 0.

Я так или иначе связан с IT еще с тех времен когда были в ходу ZX-Spectrum и MS-DOS и уверяю вас файлы readme.txt несли много больше важной и нужной информации, чем современные "справка" или "помощь". Если б хоть раз заглянув в справку я получил реальную помощь, возможно заглядывал бы чаще, обычно все заканчивается "обратитесь к техническому специалисту".

И такое тоже бывает, согласен..

Но все же, справку и вообще документацию желательно хотя бы попытаться просмотреть. Хотя бы бегло. Часто там бывают ответы на типовые вопросы, и не нужно будет никуда звонить и писать. Я сейчас не про этот конкретный случай, а вообще..

Ну правильно, сейчас софт меняется так быстро, что техписы не успевают справки править

Я всегда считал, что они на то и существуют, контрольные вопросы, чтоб помнить на них ответы. Если пользователь их не помнит, то это вряд ли проблемы сервиса.
Помнят лишь только критичную информацию, а все эти контрольные вопросы — это просто бесполезный хлам в памяти людей, которым они ещё и не пользуются. Вы вот в школе сколько стихотворений наизусть учили, много расскажете по памяти?
Хотя, возможно, сам метод идентификации пользователя, «забывшего пароль», старый и не очень удобный, но он часто использовался раньше многими сервисами.
Ага, и являлся классической дырой в эпоху соцсетей, когда узнать правильный ответ на этот набор классических вопросов можно периодически без методов социнженерии. Так что единственным способом может быть вбивание туда ответа не коррелирующего с вопросом. И да, благополучное его забывание через n-лет неиспользования.
Шёл 2021 год, а все так же спрашивают девичью фамилию вашей матери. Вашу ж мать!
Ну вообще-то, документацию («Справку», «Помощь») для пользователей для того и пишут, чтоб они ее читали.
Правда ответов туда не завезли.
Не завез их яндекс, правда, и через своих болванчиков, которые раз за разом отсылают в неправильный пункт справки, в котором НЕТ ответов на заданные вопросы (привет почта для доменов! где в том числе никак не понимают, что исполнение договора в виде разового письма НЕ является рассылкой… дбл блть)

Вы вот в школе сколько стихотворений наизусть учили, много расскажете по памяти?

Ответ на контрольный вопрос - это не стихотворение, его не нужно заучивать, его либо знаешь, либо нет.
Да, несмотря на то, что я закончил школу в 1981 году, то есть ровно 40 лет назад, я все еще помню некоторые стихотворения, которые я учил в школе.. Это странно, потому как нафига они мне нужны, во первых, а во вторых, я еще и частенько "злоупотребляю". ))

Шёл 2021 год, а все так же спрашивают девичью фамилию вашей матери. Вашу ж мать!

Видимо, расчет на то, что вы не рассказываете всем подряд какая была девичья фамилия вашей матери. Зачем это?
Впрочем, согласен. Этот контрольный вопрос неудачный, особенно если вы сын известных в стране людей: артистов, музыкантов, ученых, политиков..

Не завез их яндекс, правда, и через своих болванчиков, которые раз за разом отсылают в неправильный пункт справки, в котором НЕТ ответов на заданные вопросы

Бывает. ПО, сервисы и документацию к ним пишут такие же обычные люди, как и мы с вами.. ))

Ответ на контрольный вопрос — это не стихотворение, его не нужно заучивать, его либо знаешь, либо нет.
Если ты просто знаешь ответ на стандартный контрольный вопрос, то его знаешь не только ты. Не, хорошо, если ты из детдома и нет родственников, которых так же можно развести, а сам параноик и в соцсетях сплошь ложная инфа. Но тогда вы ответ будете хранить записанным в зашифрованном файле. Но большая часть пользователей, которым типа должен помочь сий ответ — не такие…
Видимо, расчет на то, что вы не рассказываете всем подряд какая была девичья фамилия вашей матери.
Осталось чтоб это не делала ваша мать в Одноклассниках. А ещё, чтоб она точно её меняла, когда выходила за вашего отца.
Этот контрольный вопрос неудачный, особенно если вы сын известных в стране людей:
Достаточно быть сыном известных в городе людей, например, преподавателей. Ну да, в МСК прокатит, а в от когда население меньше полуляма, то ваши соцсвязи на раз узнаются и вычисляется половина всей той инфы, которая типа уникальная и никто не знает.
Единственно, что я точно вспомню и вряд ли кто кроме меня знает: «ваш первый пароль от интернета».
Любые стандартные же — увести проще, чем пинкод от банковской карточки.

Единственно, что я точно вспомню и вряд ли кто кроме меня знает: «ваш первый пароль от интернета».

Извините, а что такое «первый пароль от интернета»?

И вообще, что за «пароль от интернета»?

Ну, такой пароль, который нужно было ввести в окошко подключения, чтоб интернет заработал. Я, правда, диалаповские дозвоны пропустил, сразу начал с PPPoE.
Я записываю почти всю такого рода информацию, поэтому несложно посчитать:
примерно три десятка «кодовых слов»; и примерно три десятка контрольных вопросов.
Реально ли такое хранить в голове? Сомнительно. Если, конечно, не вводить реальные данные — что в эпоху соцсетей глупость неимоверная.
Ну то есть или «город, в котором вы родились», либо «любимая книга» 10 лет назад.

По той же причине (пароли я никогда не забываю, поскольку и не запоминаю) я предполагал, что контрольные вопросы мне не понадобятся. Однако время от времени спрашивают.

UPD и около полутора десятков пинкодов уже, кстати

Ну если в соцсетях все всем обо всех известно, получается, что устарела сама технология идентификации пользователя с помощью контрольных вопросов?

Именно так, если под ответом подразумевается ответ на реальный вопрос о жизни.

Ага, используйте FIDO 2 токены

Итак, берём обычную социальную сеть, обычного пользователя и т.д. И список «любимых» вопросов от идиотских сервисов. Юзер при этом пускай будет честным, и не зовёт свою собаку «sDFHWHT*(#$HWTt».
Девичья фамилия матери — сеть, родители, мать, школа матери, одноклассники и фотки и вполне вероятно что даже не прийдётся писать её одноклассникам, чтобы узнать, какая у Петровой раньше фамилия была. Слито.
Кличка первой/любимой собаки — сеть, фоточки, ой, а что это за подпись «Я и мой собака Рекс». Слито.
Любимое блюдо — сложнее, опять выискиваем по фоткам. Плюс можно СИ включить и сделав липовый аккаунт общего друга задать одному из друзей вопрос типа «Я тут Гуйкину хочу вкусный презент к отпуску презентовать, он что больше любит, доширак или роллтон? Нет? А, фуагра, ну тогда обойдется.» Слито.
Прозвище в школе — см. про собаку, только искать в группе школы сообщения типа «О, очкарелло вымахал то...». Слито.

Да вы не подумайте, что я тут прям топлю за эти "контрольные вопросы" и испытываю к ним любовь и нежность.. Мне эти вопросы ни разу в жизни не пригодились..
Когда-то давно это придумали, и как-то худо-бедно это работало. Ну или по крайней мере, хотели, чтоб это работало. Сейчас возможно уже нужно отказаться от использования этой технологии как не отвечающей современным реалиям.
Разумеется, если все в соцсетях сами все про себя сливают, какие уж тут "контрольные вопросы" с "конфиденциальной" инфой.. Что-то другое нужно, более надежное. Биометрические данные, например.. Пока их не научились подделывать. А может уже и научились..

Если сразу понимать что контрольный вопрос это такой медленный пароль, то есть пароль который ты можешь уметь достать но при этом его не обязательно помнить то все становится проще.
Например файл на диске с случайными символами вполне подойдет.
Еще я иногда в качестве ответа ( там где можно написать свой вопрос ) пишу что-то вроде sha1(/home/user/video/friends.avi) ну и сразу понятно что туда писать, и как данные получить.

Именно, что это пароль второго эшелона. И в идеале - это не пользователь должен придумывать, это сервис должен генерировать кодовую фразу (причём именно фразу, на 6-8 читаемых слов) и говорить, чтобы тот её записал на случай восстановления.

Остальное - ну не работает в 2021-м уже, ну никак. Кто параноит, вынужден заниматься изобретательством, причём с гораздо большими шансами забыть ключевые слова. Кто не параноит - вообще оставляет дверь к своему аккаунту открытой...

Этот контрольный вопрос неудачный, особенно если вы сын известных в стране людей

А если нет, но ваш аккаунт кому-то очень нужен - то можно сходить на соответствующие ресурсы в даркнете и за пару тысяч рублей эту информацию узнать.

Я всегда считал, что они на то и существуют, контрольные вопросы, чтоб помнить на них ответы

Оооо! Я пытался как-то по контрольным вопросам аккаунт восстановить. Перебрал штук 5 городов (они все могли быть ответом), в разных написаниях кириллицей и латиницей. Даже список вёл - что уже пробовал, что ещё надо попробовать.

Добавляло интересу то, что у меня было только 5 попыток в день. В итоге я так и не пробился, но в какой-то из новых дней сервис просто перестал задавать этот вопрос - оставил только поле для ввода email.

Осмысленный контрольный вопрос это здоровенная дыра в безопасности, и непаханое поле для социальной инженерии. Если пользователь не имеет привычки пролюбливать свои пароли — то ответ на контрольный вопрос это удар кулаком по клавиатуре. Для повышения энтропии — можно еще кота прокатить. Воспроизвести это невозможно при всём желании. Это не баг, а фича — именно таким он и задумывался.
Если сервис задаёт всякие маргинальные вопросы при логине, то это проблема не пользователя — а сервиса. С таким же успехом можно начать спрашивать какая была фаза луны в день регистрации. И тщательно это задокументировать.

Я всегда считал, что они на то и существуют, контрольные вопросы, чтоб помнить на них ответы.

Ну а я считал, что контрольные вопросы - огромная дыра в безопасности, ведь ответ можно и подобрать. Поэтому ответы на них всегда ставил примерно такие: 86%#34@*5)9N!Om,r?R

Естественно, не помню ни одного. Потерял пару ящиков которые не жалко, с основным пока все нормально, если попросит контрольный вопрос - то это все.

почему нельзя выслать СМС на номер телефона, который вы меня обязали привязать?

Если привязать телефонный номер, то контрольный вопрос вроде как можно поменять, не вводя ответ на старый - если ничего не путаю, в справке было такое. Не пробовал.

Вот за 2FA Яндекс реально нужно пинать, т.к. вместо того, чтобы использовать TOTP (и тем самым дать пользователю возможность любой совместимый аутентификатор), они сделали свой стандарт (добавив вот этот PIN, подмешиваемый на каком-то этапе генерации однразового кода), который поддерживается, разумеется, лишь их собственным приложением.

Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
Видимо не сошлось.

Очень много эмоций, очень мало рационального.

2fa с одним фактором - это просто треш

Там не один фактор. Вы невнимательны.

Ввод (и знание) пинкода от аутентификатора - первый фактор.

Факт владения устройством с аутентификатором - второй фактор.

Вернее некуда

У меня по другому: сначала отпечаток пальца, потом пин-код. Все 2 обычных фактора. Честная реальная безопасность.

Этот 'один фактор' — если я правильно понимаю, совершенно бесполезен, если учетка в их приложение — аутентификатор не занесена и телефона с этим приложением под рукой нет. Так что этот видимый QR- он вообще не фактор, на самом деле. А просто такой странный способ инициировать handshake. Почти с тем же успехом они могли бы прямо в этом приложении спрашивать "Пустить в сессию за номером… Y/N?" Как Гугл и Микрософт делают. Может, сейчас даже так и спрашивают.

Что-то туплю, так о чем новость-то? О том что без знания контрольного ответа нельзя изменить контрольный вопрос? Или о мнимой двухфакторности?

Без обид, но мне кажется даже если поддержка яндекса наткнется на эту статью, то разбираться в хитросплетениях сюжета не будет

И да, почему петиция от "лица всех...", у вас есть знакомые кто так же пострадал?

p.s. Не пользуюсь сервисами яндекса, вот прям ни одним :)

Смысл в том, что контрольный вопрос "Ваше любимое блюдо? Пельмени" бьет джокера и козырного туза "телефон + корректный пароль".

Я, напротив, пользуюсь сервисами Яндекса много лет и нисколько не страдаю.. Не сочтите за рекламу. Потому как я и другими сервисами тоже пользуюсь, тоже не страдаю и никаких предпочтений Яндексу перед ними не отдаю.

А ответы на свои контрольные вопросы помните? С точностью до орфографии?

Я вопросов не помню, к сожалению. Давно это было. Но если увижу вопрос, то ответ наверняка вспомню. С орфографией у меня проблем тоже нет.

Что-то туплю, так о чем новость-то? О том что без знания контрольного ответа нельзя изменить контрольный вопрос?

В том, что без знания ответа на контрольный вопрос невозможно войти в аккаунт. Хотя ты знаешь логин и пароль. Я вот сейчас в такой же идиотской ситуации нахожусь. На компе меня в аккаунт пускает, а на ноуте нет. Вопрос придумывал 20 лет назад и, естественно, его не помню. Когда я его придумывал, мне было сказано, что он нужен для восстановления пароля, поэтому я вбил туда белиберду, т.к. пароль забывать не планировал и не хотел чтобы кто-то, знающий "девичью фамилию матери" мог этот аккаунт увести. Сейчас я знаю правильные логин и пароль, но могу войти в аккаунт только с 1 устройства. Как только и тут запломбируют, просто откажусь от яндекса, я их шарады решать не хочу. Сменить контрольный вопрос даже там, где я успешно вхожу в аккаунт, яндекс не дает.

Млять, сижу и думаю… а не сделать ли мне основным мейл на live.com?
Ну серьезно, не в гугл же подаваться…
А на лайве нет такого веселья, как в гуглопочте? А также что насчет протона?
Не знаю, пока аккаунт мс мне доставлял минимально проблем. Но это был в принципе вопрос в воздух, какие варианты, кроме своего почтового сервера, есть.

Протон в качестве почты для кучи российских магазинов, госсервисов и банков? Есть у меня некоторые сомнения… что связку между ними будет ещё легче потерять из-за внешних условий

Я сталкивался с тем, что на почтовый сервер в домене .ru письма от protonmail просто не доходят. Возможно, это связано с тем, что protonmail несколько лет назад блокировали за рассылку с их сервиса сообщений о ложных угрозах.

>>вопрос придумывал 20 лет назад и, естественно, его не помню.

Простите, но что тут естественного? Это наоборот не естественно.

Следующее предложение прочитайте. В то время почта угонялась через контрольные вопросы и вбивать туда что-то осмысленное было чревато. Если вам не нужен этот канал восстановления пароля вполне разумно было туда вбить бессмыслицу. Точно также люди уничтожали пин-конверты от банковских карт, не вскрывая их, если не собирались снимать с карты наличку.

Я обычно к комбинации контрольный вопрос/контрольный ответ отношусь как очередному токену.

Контрольный вопрос: NakHudJeykesdomtuvWyesUgudWighByudVeobavsa
Контрольный ответ: byGhikapbaygvoysebGeftyatokugNethsAdBibjob

Оба - в keepass'е.

Зачем контрольный вопрос делать тарабарщиной? Проще же написать "Токен ID hryuhryu из третьей базы паролей?" а ответ пусть будет токеном вроде nkjdvnejhrb7iyebv82eb8vuiebo28r.

Потому что в вашем варианте неограниченный круг лиц получает информацию о наличии как минимум трёх баз паролей у вас.

А где гарантия, что это не ханипот-вопрос? То есть баз на самом деле только две, причем с номерами 3 и 5, скажем. Равно как и hryuhryu может нести скрытую информацию, которая известна только заявителю, условно токен-ид только часть от "хрюхрю", остальное — инфа о сервисе, на котором введен запрос. Правда, если упарываться настолько, проще в самом деле вопрос сделать токеном без всяких там дополнительных слов. Хм...

Поскольку я отказываюсь воспринимать это как подсказку, а что-то ввести надо (желательно, не вводящее в заблуждение), uuid или рандомная фраза - вполне хорошо.

Алсо, username вида RicJikcamnoghIcsOtyulwakmacjoiWi для банк-клиента - это тоже хорошо. Try to guess, там сказать.

Это требует дополнительного софта, который может быть сломан, скомпрометирован или просто перстать поддерживаться. Я делаю куда как проще, и надеюсь что безопаснее. Вопрос - Есенин Пускай. Ответ - строка из стиха, можно по первым или последним буквам или по буквам от числа символов в доменном имени или еще как нибудь неочевидно. Это нельзя потерять, нельзя забыть, не надо внешнее устройство и софт. В то же время, неочевидно к подбору.

password manager уже используется. Если вы НЕ используете password manager, то вы что-то делаете не так. (какой он - вопрос следующий - от cat в локальном файлике или pass, до спецрешений).

Когда вы изобретаете крифтоалгоритмы для исполнения в голове, вы, конечно, умничка. Вместо кривого багованного ненадёжного софта вы используете идеальный алгоритм без ошибок, исполняемый идеальным вычислителем, который никогда не ошибается и всё всегда помнит.

Wait, а зачем тогда криптоалгоритм? Просто помните все секреты. Желательно, 32-символьные. Вы же никогда не ошибаетесь и всё помните, да?

Конечно же я использую password manager, он у меня для 90% ресурсов встроен в браузер. Это просто и удобно, а беда от взлома моего аккаунта на хабре или форуме велосипедистов невелика. На любой же софт возможна и выполнима атака. Атака на голову куда как более сложна. Более того, если атака на софт выполняется скриптом и сразу для миллионов его пользователей, то атака на голову - индивидуально.

И да, в тему ай-яй Яндекс, логично запрашивать секретный вопрос только для тех целей, для которых он предназначен. В частности, если "вы забыли свой пароль". Но никак не если "нашим алгоритмам показалось что ваша безопасность могла быть нарушена". Должна быть и возможность отключить секретный вопрос, но либо с самого начала, либо после ввода правильного ответа.

Контрольные вопросы есть например в Тинькофф, например при переводе крупной суммы.

Конечно, но у них есть сall центр, куда ты звонишь и тебе за минуту все фиксят, если ты что забыл; да еще по голосу проверяют

Ну это сейчас идентифицируют по голосу. А еще совсем недавно, этой технологии не было, и всякий раз, когда звонишь в банк (в Тинькофф или в Сбер, да в любой.. ), ты обязан был сообщить оператору так называемое кодовое слово, а иногда еще и дополнительные данные спрашивали, что-нибудь типа: адрес регистрации, полную дату рождения, номер паспорта.. А это не что иное, как те же самые контрольные вопросы. Ответы на которые, кстати, не очень сложно узнать злоумышленникам..

У меня там ответ который тинькову не понравится, придумал сгоряча когда достали требовать ввод этого слова что аж приложение перестало запускаться…

Решал эту проблему перезапуском приложения — со второго раза пускало. Потом их там отпустило, и требовать перестали.
  • покажите мне пальцем сервис, который просит ввести контрольный вопрос при логине

    Googlе если нет привязки к номеру телефона.

Нет, не просит. Более того, у меня гуглу вообще ничего не выдано, кроме пароля.
Впрочем, я не исключаю того, что это потому, что я аккаунт создавал еще в те времена, когда такое прокатывало, а сейчас создать гуглоаккаунт без контрольных вопросов невозможно.

Утекает база паролей у гугла - утекает ваша учетка. Нет 2FA - такое себе.

При всех своих недостатках, гугл всё же не хранит пароли в открытом виде. Пускай утекает.

Тоже верно, но если почитать канал Утечки информации, то становится понятно, что даже топовые сервисы хранят пароли в открытом виде.

Как раз наоборот, у всякого треша обычно plaintext'ом утекает, а если ломают нормальную систему - то хеши, причём солёные.

Интересно, от скольки пользователей компания в вашем случае считается топовой?

Топовая - это не по числу пользователей. Вероятность, что плейнтекст утечёт с серверов топовых IT-компаний без участия фишинга на конкретных пользоваетей нулевая, потому что все топовые компании давно этим вопросом озадачились.

Примеры топовых компаний: google, microsoft, apple, ibm, amazon, facebook, наверное, yandex.

Базовые элементы адекватной работы с пользовательской базой включают в себя использование солёных хешей вместо паролей. Т.е. я могу себе представить, что кто-то утырил авторизационную с серверов гугла, но я не могу себе представить, что там будет plaintext, а не хеши.

да, в яше ещё те наркоманы работают

в начале этого года они у меня разлогинили все подключения и дропнули все "пароли приложений"

ох как было удобно перелогиниться в яндекс станции находясь В ДРУГОМ ГОРОДЕ. (жена бы может и обошлась, но доча уж очень хотела)

я молчу про thunderbird на трёх компах, браузеры там же, яшасофт на телефоне, всякие там foldersync для яшадиска и прочее..

пытался писать на почту ТП, ответом было что этот ящик вертел меня на детородном органе и надо писать в поддержку на сайте. которая не помогает вообще.

написал в twitter в сердцах, там сказали с официального аккаунта что-то вроде "да, это норма, страдай".

в итоге потерял около 5 часов времени благодаря им

Поддерживаю негодование автора. Всякие 2FA, контрольные вопросы, капчи - блажь, а не фичи безопасности. Если любая криптовалюта умеет работать с одним только 256-битным паролем без вышеперечисленного - значит и почтовый провайдер сможет.

Я не очень силен в криптовалютах.. То есть, чтобы получить доступ к вашему криптокошельку и стать его полноправным владельцем, нужно всего лишь умыкнуть ваш 256-битный пароль?.

Получается, его ваще нигде нельзя хранить, кроме как в голове, иначе есть риск, что его тизнут.. Да в голове опасно, можно забыть ненароком. 256 бит - это похуже контрольного вопроса. Или я че-то не так понимаю?..

То есть, чтобы получить доступ к вашему криптокошельку и стать его полноправным владельцем, нужно всего лишь умыкнуть ваш 256-битный пароль?

Все так, только мы называем криптокошельком немножко другое, то что вы назвали криптокошельком принято называть адресом с UTXO. Храните ключ от вашего адреса где посчитаете нужным, главное чтобы ГПСЧ которым вы его сгенерировали не был скомпроментирован - как бы ГПСЧ - самый популярный вектор атаки на любую криптографию. 256-битный ключ лучше чем контрольный вопрос хотя бы потому что он точно нигде не хранится в открытом виде.

PS. Пользуясь тем что я теперь могу писать раз в час, выражаю благодарность анонимному минусатору (не человеку на чей коммент я отвечаю) за камень в мой огород без аргументации в чем я был неправ.

Сможет то сможет, но крипте пофиг на ваше ФИО, геолокацию и прочая, а тындексу это надо монетизировать.

Использование контрольных вопросов для получения доступа к аккаунту это вообще своего рода форма бекдора и я искренне удивлен, почему это до сих пор практикуется. Вполне возможно с помощью социальной инженерии выяснить у потенциальной жертвы ответ и угнать аккаунт. Если сервис настаивает на добавлении контрольного вопроса, я предпочитаю устанавливать в качестве ответа случайно-сгенерированную строку, которая по сути является вторым паролем.

Не яндексом единым. Вон Промсвязьбанк взял и запретил у себя отправку СМС на определенные номера телефонов. Без упоминания на сайте или чего подобного. Причем оправдывая неотправку мифическими техническими работами у провайдеров. И ни войти в личный кабинет, ни оплатить через сайт.
Несколько раз пытался заказать еду через яндекс. Каждый раз они требовали от меня регистрации и получения яндекс.ИД. Для того чтоб покормить меня вам нужен только адрес и мои деньги. Ни моя почта, ни мой ID, ни мой пароль ни даже(о ужас!) номер телефона вам не нужны. Каждый раз уходил в деливери
Каждый раз уходил в деливери
…который теперь требует авторизации через ВК. *sad_facepalm.jpg*
у меня ничего кроме телефона не требует. ну как бы норм, это я готов простить
Оп, и правда, сделали. Одно время был вход только через VK Connect, т.ч. я перестал ими пользоваться. Впрочем, в личном кабинете/профиле вы можете всё равно увидеть такой пункт:

Возможно, просто сами привязывают по совпадению номера?

После того как они продали ЯД перестал пользоваться сервисом.

Рандомные вопросы, рандомные ответы, сохранены в keepass. Нужны были пару раз за 20 лет. Но Яндексу, в ситуации автора, явно минус в карму. Контрольные вопросы используются только в случае утери или компрометации всех остальных способов верификации — email, sms, 2FA\TOTP.

Вы же понимаете что при вашем утверждении злоумышленник первым делом на вопросы: «есть ли у вас доступ к почте?», «ваш ли телефон»?, «остался ли у вас аутентификатор?» ответит НЕТ, и сразу перейдет к подбору ответа на контрольный вопрос! Контрольные вопросы - это доп защита для успешно пройденной аутентификации, о чем явно пишет OWASP:

Security questions should never be relied upon as the sole mechanism to authenticate a user. However, they can provide a useful additional layer of security when other stronger factors are not available. Common cases where they would be use include:

  • Logging in.

  • Resetting a forgotten password.

  • Resetting a lost MFA token.

OWASP это, конечно, здорово. Только вот очень часто сейчас работает именно как я описал. Забыли пароль? Сменили телефон? Вот вам контрольные вопросы/ответы для сброса пароля. Многие сервисы сейчас подразумевают эти контрольные вопросы как некий абсолют, существующий только в голове пользователя. К сожалению, в мире победивших социальных сетей это не так.
Бывает, что вместо контрольных вопросов, делаются при регистрации несколько одноразовых случайных кодов для восстановления. В моем случае ответы на контрольные вопросы = таким кодам, т.к. они случайные хэши.

Вполне вероятно, что в аккаунт пытались войти другие люди, и не смогли. Потому мог сработать контрольный вопрос.

Сам говоришь про безопасность, а не учитываешь, что менять контрольный вопрос не зная ответ на старый - небезопасно. И контрольные вопросы сейчас встречаются, метод староват, но надёжен, т.к. ответ знаешь только ты, если, конечно, сам заботишься о безопасности и адекватный вопрос ставишь, но ты не стал. Ответственность за вопросы несёшь лично ты.

Хейт на эмоциях, конструктива мало. И это портит другим мнение о Яндексе, сервисы которого довольно качественные. Вообще, в каждом сервисе бывают баги/недоработки, люди также пишут гневные отзывы, так что, давайте интернетом не будем пользоваться вообще, чё теперь

С поддержкой я связывался недавно, у них есть почта для саппорта, должно быть несложно найти, не помню, чтобы часами искал.

А перенаправление на раздел помощи - практика предсказуемая для таких крупных компаний. Представьте сколько времени отнимут у поддержки ответы на максимально банальные вопросы каждому, кому лень читать инструкцию (т.е. большинству русских). В нынешней системе отвечают только тем, кому действительно не обойтись без помощи человека, он найдет способ связаться с оператором.

Во-о-от… Именно эти тезисы я и пытался донести до автора. Но не смог правильно сформулировать, не хватило красноречия. )) Вы это сделали.

Сам говоришь про безопасность, а не учитываешь, что менять контрольный вопрос не зная ответ на старый - небезопасно

OWASP говорят все же должна быть двухфакторная аутентификация, а не попытка ввода ответа до усеру:

Updating Answers

When the user updates the answers to their security questions, this should be treated as a sensitive operation within the application. As such, the user should be required to re-authenticate themselves by entering their password (or ideally using MFA), in order to prevent an attacker updating the questions if they gain temporary access to the user's account.

Конечно это хейт на эмоциях. Ты отдаешь яндексу, а не гуглу свою основную почту; платишь деньги за сервисы и подписки и через 16 лет получаешь то, что в один прекрасный день не можешь войти в свой аккаунт, а вместе с ним в 500 связанных

Хотя не забывал пароль и привязан телефон

Так а кто ж виноват, что пользователь поставил вопрос, на который сам не ответит, в качестве секретного, который по смыслу самой системы должен быть тем, что ты знаешь и вспомнишь? Может злой Яндекс, который не хочет отдать твой аккаунт другому и проверяет вопросом, который ты сам поставил? Уххх какой плохой, а пользователь не виноват, он просто натыкал буковок и ничего не сработало, как предполагалось.

По смыслу, контрольный вопрос всю жизнь использовался для восстановления пароля, а не в качестве второго фактора. Уж точно так было 15-20 лет назад, когда мы с автором аккаунты заводили. Разрешать входить в аккаунт и делать там что угодно с одного устройства (т.е. яндекс не считает, что пароль скомпрометирован), но не разрешать этого с другого (с тем же самым паролем), без возможности исправить ситуацию — идиотизм в чистом виде.

Вспомнил свой ответ с пятой попытки) чудеса)

так же хочу добавить: добавьте WebAuthn(FIDO1/2) у google FIDO1 уже много лет это есть, а Microsoft единственные кого я знаю кто включили FIDO2 на полную — Passwordless authentication!

А разве там можно полностью избавиться от ввода пароля оставив только Токен безопасности? Вроде Токен безопасности это все лишь как еще один удобный способ входа

Коротко и грубо говоря может быть так:
логин + пароль + u2f
логин + u2f
Passwordless(пароль токена+ 1 клик для выбора аккаунта из списка)
токен токену рознь.
статей на эту тему очень много и всё хорошо расписано, если у кого есть вопросы/хотят митап на эту тему — пишите в личку)

Тоже забивал в ответы на контрольные вопросы случайные строки, т.к. считал, что делать хороший пароль, если есть простой контрольный ответ - глупо, а запоминать два хороших пароля лень. Потерял так доступ к ЯД с 50р. Соответственно, больше этим сервисом не пользовался, хотя мог бы.

Яндекс за все эти годы даже копипастить не научились нормально. Давно пора понять, что все их сервисы УГ полнейший. Ну может исключая ОФД и то я их сильно не копал. Алиса вполне ничего вышла - один продукт за все эти годы и даже его умудрились заруинить впилив его во всякие Яндекс браузеры, типа хочешь Алису - тогда ставь наш шлак. Ауты чЁ.

Наоборот — суют свою *ису везде, в том же Яндекс-навигаторе приходится после каждого обновления выключать этот шлак, который там включается вместо голосового поиска.

Алиса норм тема. Без всяких ИМХО. Но я хочу ее видеть - в качестве отдельного ПО.

Именно, что в качестве отдельного ПО, чтобы я мог его не ставить. А не вместо голосового поиска в навигаторе, когда я должен вместо просто адреса сначала представиться, поздороваться и объяснить в кратком эссе, что сказанное мной далее нужно найти на карте и проложить туда маршрут.

У меня ранее тоже заблокировали аккаунт. Пытался договориться с тех. поддержкой, но всё тщетно. Для них не существуют людей и человеческих отношений. Для них все роботы, обязанные знать их юридические документы. Выход для меня был обозначен один - передать им скан моего паспорта. Я, как и наверно любой современный школьник, могу нарисовать этот скан в фотошопе, и помоему очевидно, что яндексу настолько нужны персональные данные, что они готовы идти на подобные грязные схемы, и готовы поступиться безопасностью данных пользователя. И, надо сказать, компания гниет не только во всех своих сервисах, но и как работодатель в т.ч. в ИТ сфере.

Столкнулся с той же проблемой, так же только на одном из устройств. В службу поддержки я-таки пробился, но это квест. Надо что-то около 5 раз попытаться сменить контрольный вопрос, потом ещё раз 5, но уже с вводом капчи, и вот потом появляется форма обратной связи. Кстати об этом написано в справке). Помочь мне, правда, так же не смогли - нужна моя фотография с паспортом. Чем им мой паспорт поможет, не ответили.

Сначала помог вход через приватное окно. Ответ на контрольный вопрос уже не понадобился. А через недельку само как-то рассосалось.

Расскажите Яндексу про смарт-карты и ЭЦП кто-нибудь

если гос ЭЦП то не надо, а то ещё сделают закон что регистрация только по токенам.

если ЭЦП на базе мировой криптографии — то не удобно. PKI обычно в компаниях применятся)

Сейчас есть токены с FIDO2 которые позволяют производить не только u2f но и Passwordless вход в аккаунт, там всё работает тоже на криптографии(эллиптические кривые) — но получать ключ не нужно. что удобно не только для пользователей но и в компаниях.

Яндекс - смешные ребята. Чтобы зарепортить проблему в их Bug Bounty нужен аккаунт в Яндексе. Но отправить можно залогинившись через гугл, если очень постараться. Но выплаты - только при регистрации в Яндексе. Странное решение...

Вспомнил, как 2 года назад тоже восстанавливал свой ID на яндексе... Потел целый день, в итоге все же вспомнил (подобрал) ответ на контрольный вопрос из глубин памяти, к концу дня гормон стресса зашкаливал )) Самый нормальный вариант для 2ФА - сделать мобильное приложение по типу Authentificator (Microsoft / Google), генерирующее код доступа или позволяющее авторизоваться при помощи биометрии на устройстве. И надежно, и не надо запоминать ничего.

У меня есть один ответ на любые контрольные вопросы и кодовые слова, который я везде ввожу и называю. Это фамилия моей учительницы в 1-м классе.

Контрольный вопрос на то и нужен, что б восстановить доступ, даже если у вас вырвали из рук разблокированный смартфон с вашей симкой и поменяли пароль. А вы хотите, что б в такой ситуации этот человек ещё и контрольный вопрос мне поменял?! Где подписать петицию против вашей петиции?!

Забавно тут видеть кучу заплюсованных комментариев о том, что контрольный вопрос - говно, они туда вводят что попало и не запоминают. Это на IT-портале. Это про аварийный способ восстановления пароля.

Кстати, на моей памяти куча "простых тупых пользователей" восстановила доступ к аккаунтам по контрольному вопросу спустя много лет, кто-то на самом деле указывает девичью фамилию матери, кто-то похитрее проводит ассоциации и спокойно вспоминает об этом через много лет. Точнее не вспоминает, а просто знает, в этом и смысл.

Боюсь, что меня тоже заминусуют, но я с вами согласен.

даже если у вас вырвали из рук разблокированный смартфон с вашей симкой и поменяли пароль
Для смены пароля его, обычно, требуют ещё раз ввести, так что просто вырвать телефон с открытой сессией будет маловато.
Кстати, на моей памяти куча «простых тупых пользователей» восстановила доступ к аккаунтам по контрольному вопросу спустя много лет, кто-то на самом деле указывает девичью фамилию матери, кто-то похитрее проводит ассоциации и спокойно вспоминает об этом через много лет. Точнее не вспоминает, а просто знает, в этом и смысл.
…и ещё больше «простых пользователей» лишались своих аккаунтов из-за того, что ответ на такой вопрос можно узнать с помощью OSINT или социнженерии.

Меня всегда бесила концепция контрольных вопросов.

Т.е. они созданы, чтобы изредка на них правильно отвечать. Это не пароль, который нужно записать в блокнот, это именно вопрос, на который человек должен правильно ответить, даже если он забудет пароль. Но ведь если придумывать простой вопрос и ответ, то на него сможет ответить не только пользователь, но и злоумышленник.

Это тупо. И совершенно непонятно, для каких целей будет использоваться этот вопрос ответ. Вообще непонятно как работает авторизация в подобных сервисах. Она может запросить логин пароль, а может совершенно спокойно запросить код из смс (хотя до этого не запрашивала, посчитала действия пользователя подозрительными).

Недавно на госуслугах система спросила дату окончания загранпаспорта. Вы помните дату окончания своего загран паспорта?

Но ведь если придумывать простой вопрос и ответ, то на него сможет ответить не только пользователь, но и злоумышленник.

Отнюдь. У меня очень простой для меня вопрос стоит, вроде как раз на Яндексе: рабочий телефон моей крестной в том виде, в котором я набирал его в конце 90х. Я помню его наизусть до сих пор. Но для злоумышленника он почти неразрешим: ему придется каким-то образом узнать, кто моя крестная, где и кем она работала именно в тот период и в чем была особенность набора ее номера именно тогда. Это нужно серьезно под меня копать и проводить целое расследование, что, очевидно, нецелесообразно для почти любого взломщика.
Просто не надо выбирать готовые вопросы, а лучше задавать свой (конечно, если есть возможность на ресурсе).

И вот вы попадаете в аварию и у вас проблемы с памятью и все девайсы в хлам, пароли то записаны в записную книжку, симку восстановили, а вот ответы на подобные вопросы — нигде не записаны, ибо типа «я ж не забуду». И хорошо, если, вы и сам вопрос выдумываете — тогда хотя бы вы сами сможете провести такое расследование, а ведь куча сервисов требует выбрать из заранее отобранных «девичьих фамилий матери» и «клички первого питомца»…
Это не говоря уже о том, что иметь один и тот же ответ в 5 банках и 5 аккаунтах всяких мс/яндекса/гугла/эпла — это как раз таки снижение безопасности (хватит слива из банка, чтоб поставить под угрозу все прочие места, ага)

И вот вы попадаете в аварию и у вас проблемы с памятью и все девайсы в хлам, пароли то записаны в записную книжку, симку восстановили, а вот ответы на подобные вопросы — нигде не записаны, ибо типа «я ж не забуду».

Ну, строго говоря, ответ у меня записан в старой записной книжке из тех времен, просто я набирал его столько раз, что он намертво въелся в память. Да и сама крестная знает тот номер. Но, впрочем, очевидно, что "золотой пули" тут нет, и всякое может случиться, вы правы.

И хорошо, если, вы и сам вопрос выдумываете — тогда хотя бы вы сами сможете провести такое расследование

Я именно это и написал.

Это не говоря уже о том, что иметь один и тот же ответ в 5 банках и 5 аккаунтах всяких мс/яндекса/гугла/эпла — это как раз таки снижение безопасности (хватит слива из банка, чтоб поставить под угрозу все прочие места, ага)

Они у меня не одинаковые. Старых номеров телефонов, фамилий разных людей и прочего у меня много.

Вы на неудобные вопросы не отвечаете, да и сообщество моё мнение не одобряет, даже в карму минусанули, но всё равно выскажусь ещё раз.
у вас проблемы с памятью и все девайсы в хлам, пароли то записаны в записную книжку, симку восстановили, а вот ответы на подобные вопросы — нигде не записаны

Ну так запишите.
Если уж мы выдумываем всякие истории, то что насчёт моей из предыдущего комментария, который вы проигнорировали? У кого-то ваше разблокированное устройство или пароль, он меняет пароль, а контрольный вопрос не может. Если вы не попали в такую частую и обыденную ситуацию, как авария с потерей памяти, то вы отвечаете на контрольный вопрос и восстанавливаете доступ.
Вы на неудобные вопросы не отвечаете,
а вы мне их и не задавали, что характерно.
Ну так запишите.
Старые блокноты почти 20-летней давности я потерял больше (все), чем почтовых аккаунтов (0). Файлов тоже, кстати. Тогда облаков ещё не особо завезли. При этом пароли менял периодически.
При этом как у людей уводили сервисы через осмысленные контрольные вопросы — у меня хватало случаев в окружении.
У кого-то ваше разблокированное устройство или пароль, он меняет пароль, а контрольный вопрос не может.
Я восстанавливаю симку с блокировкой старой, что характерно, и пишу в сервис, что был угнан акк, вот телефон, вот смски, вот письма за почти 20 лет, в том числе удалённые с почты, вот старый пароль. И конкретно в случае яндекса я там вообще подтверждённый человек.
А вот ответ на вопрос себя 19 годами раньше, которые мне никогда не потребовался и в который я не мог ввести ни один осмысленный ответ в связи с легкостью подбора оного? Да, я его по-любому запомню и вспомню!
Вы на неудобные вопросы не отвечаете,

а вы мне их и не задавали, что характерно.

Выше заминусованный комментарий без ответов.
Я восстанавливаю симку

вот смски, вот письма за почти 20 лет

Как удобно вы себе всё выдумываете.
Как себе в аргументы, то проснулся без памяти и не могу вспомнить контрольный вопрос. А как я спрашиваю — сразу вскочил и побежал симку получать.
Нет уж, если выдумывать всё, что мне удобно, тогда и вы никуда не идёте в коме, а злоумышленник сидит спокойно с вашим смартфоном и письма за 20 лет всем показывает, как доказательства.
Да, я его по-любому запомню и вспомню!

Я, вроде, уже сказал, запишите.
P. S. судя по карме это мой последний комментарий, так что напоследок напишу: не поддерживаю никоим образом яндекс, но и не согласен с автором.
Выше заминусованный комментарий без ответов.
а я тут причём? вы мне его задали? нет.
я вам чем-то обязан, раз вам коммент заминусовали?
Единственный вариант, что вы тут с пары акков строчите и путаете где от кого что писали.
Как себе в аргументы, то проснулся без памяти и не могу вспомнить контрольный вопрос. А как я спрашиваю — сразу вскочил и побежал симку получать.
Симка восстанавливается по паспорту в офисе оператора. Знать номер не обязательно, прикиньте?
Я, вроде, уже сказал, запишите.
Я вам ответил:
Старые блокноты почти 20-летней давности я потерял больше (все), чем почтовых аккаунтов (0). Файлов тоже, кстати. Тогда облаков ещё не особо завезли.
А то у вас удобно получается, вы меня не спрашивали, но претензии какие-то имеете.
Ответы не читаете
Удивляетесь падению кармы до, о боже, нуля с скольки? 1-2 двух? Из-за чего вам типа всё, отвечать уже нельзя, ибо что? Ой, если ещё упадёт на еденичку, то раз в 5 минут получится писать только?
Научитесь вначале общаться без претензий, что вам лично кто-то не ответил на ваш непонятно где написанный коммент.

а я тут причём? вы мне его задали? нет.

Да вроде к вашей статье комментарий, а не к соседней, кому ещё?

Единственный вариант, что вы тут с пары акков строчите и путаете где от кого что писали.

Ну да, конечно, выше ведь прокрутить и посмотреть невозможно, или ctrl+f и мой ник скопировать.

Симка восстанавливается по паспорту в офисе оператора. Знать номер не обязательно, прикиньте?

Я же вам написал, что раз вы себе в аргументы выдумываете всё, что захочется, то я себе в аргумент записываю историю, что вы в коме и никуда не идёте, а злоумышленник спокойно лазит в вашей учётке. И, по вашей логике, он должен иметь возможность поменять контрольный вопрос, и вы, после выхода из комы, прекрасно помните ответ, но его уже поменяли.

Я, вроде, уже сказал, запишите.

Я вам ответил:

Старые блокноты почти 20-летней давности я потерял больше (все), чем почтовых аккаунтов (0). Файлов тоже, кстати. Тогда облаков ещё не особо завезли.

Нет вы написали:

И вот вы попадаете в аварию и у вас проблемы с памятью и все девайсы в хлам, пароли то записаны в записную книжку

Когда потерять успели? У вас уже даже ваши выдуманные истории на ходу меняются.

А то у вас удобно получается, вы меня не спрашивали

Комментарий есть, вопросительный знак есть, кого же я тогда спрашивал, президента Грузии? https://habr.com/ru/post/569822/comments/#comment_23307242

Ответы не читаете

У меня тут выше куча доводов, что это вы не то, что ответы, даже свои комментарии не читаете.

Да вроде к вашей статье комментарий, а не к соседней, кому ещё?
То есть вы настолько… эм… не умеете в интерфейсы, что не можете различить Promix17 от Am0ralist ??? Не видите разницу в оформлении ответов разных пользователей?
Это многое объясняет.
Когда потерять успели? У вас уже даже ваши выдуманные истории на ходу меняются.
В реальности. Прикиньте. В реальности за 20 лет я все бумажные носители потерял из-за кучи переездов.
Сейчас все пароли хранятся у меня не только в девайсах, но и в облаке отдельным файлом. Пароли от нужных сервисов я всегда помнил и так и периодически их менял, остальные — сбрасывал. Ответы на вопросы я не менял особо никогда и даже не помню, какой логикой руководствовался, когда давал на них ответ. Но явно вбивал не девичью фамилию своей материи (которая и не менялась), и не кличку своего первого кота.
Комментарий есть, вопросительный знак есть, кого же я тогда спрашивал, президента Грузии? habr.com/ru/post/569822/comments/#comment_23307242
С учетом того, что вы не умеете читать и для вас что Promix17, что Am0ralist — это одно и то же, то да:
вы спросили президента Грузии.
А потом докапываться начали до стороннего человека, чего он вам, центру мира, вздумал не ответить на коммент. Весьма хамовито, что вам типа что-то должны.

возможно телефон твоей крёстной тяжело вычислить, но к примеру фамилию первого учителя вычислить гораздо проще, если заморочится. Определить круг друзей из социальных сетей, понять школу, зная школу можно вычислить фамилию учителя. Кличку животого тоже легко вычислить. Наверняка сам выложил её в соц сети. И тут реально тяжело подобрать вопрос, на который ТЫ знаешь ответ, а ВСЕ не могут ответить



У всех есть какие-то неочевидные для других ассоциации. Например, первое, что в голову взбрело: в школе человеку не нравилась учительница, почему-то на зайца похожа, когда её вспоминает, ну и сразу фразу из мультика. В итоге контрольный вопрос - любимая учительница, ответ - "Ну, заяц, погоди!". У меня так знакомые восстанавливали доступ спустя много лет, вспоминай, говорю, кличку первого питомца, он хихикнет и называет какую-то чушь, и подходит.

но к примеру фамилию первого учителя вычислить гораздо проще, если заморочится

Осталось только вычислить что на вопрос о девичей фамилии вашей матери надо вычислять фамилию первой учительницы, что является куда менее тривиальной задачей.

При этом надо знать что вопрос именно такой, т.к даже в заранее предложенных яндексом банальных вопросах, вариантов штук 5.

У меня в свое время, еще к старой, похороненной ныне, почте контрольный вопрос был про имя вашего домашнего питомца. В одноклассниках кмк можно втереться в доверие к моим родителям и узнать имена всех наших 5 котов. Но то что в ответ надо было вводить ник моего тиммейта по контре - знал только я.

Другим был ваш любимый номер телефона, но вбит был туда ни домашний, ни родительский, ни даже номер жены, а номер человека которого стандартным пробивом по соцсетям не выяснить никак. Потому что к моменту появления соцсетей мы с этим человеком уже не общались и по социальным графам пересечений у нас нет, даже через друзей-друзей, т.к этот человек не входил в множество одноклассников/одногруппников/прочих кругов общения.

Нынешнюю связку я понятное дело раскрывать не буду, но общая идея я думаю понятна.

Причем что сами вопросы, что ответы к ним я помню и сейчас. В отличии от логина, никнейм тогда был другой (его написание я помню), но из-за некоторых ограничений на спецсимволы в логине, его пришлось видоизменять - и как он был видоизменен вспомнить не получается.

Так что с утверждением @Am0ralist "Если ты просто знаешь ответ на стандартный контрольный вопрос, то его знаешь не только ты." я не согласен. Просто не надо писать туда легко пробиваемую в эпоху соцсетей банальщину, типа реальной девичей фамилии вашей матери. Впишите туда фамилию любимой порнозвезды - эта информация вроде не должна являться общедоступной широкому кругу вашего круга общения.

К примеру с аварией и частичной потерей памяти - ну вот она эта самая ситуация. Я забыл логин. Логин был сделан в те моменты когда никакой тотальной привязки мобильников еще не было (по причине отсутствия этих самых мобильников у широких масс), а настоящий параноик и сейчас не должен привязывать мобилу - ибо смс перехватят и все, да и вообще аноноимность страдает. И через это, несмотря на то что я помню контрольный вопрос/ответ с почтой пришлось распрощаться ибо никакая даже самая продвинутая 2FA помочь мне не может.

А что до ТС с его бест практис - вбивать рандомный текст в контрольку, с аргументом "я не собирался забывать пароль" - сам себя перехитрил. Гарантию на человеческую память, как на компьютерную к сожалению не выдают. Да и на компьютерную 5 лет вроде, не больше.

Извините, но я тем более не помню большую часть инфы, казавшейся мне важной 19 лет назад при создании нескольких моих ящиков.
И любимые порнозвёзды с того момента сильно поменялись, и я уже не тот мальчик. Я даже не помню всех своих никнеймов с местных форумов, на которых я проводил кучу времени. На сроках выше 10 лет вообще редко что остается важным настолько, что вы это вспомните.
И уж тем более запоминать логику, что на фамилию матери отвечать фамилией порнозвезды.
возможно телефон твоей крёстной тяжело вычислить, но к примеру фамилию первого учителя вычислить гораздо проще, если заморочится. Определить круг друзей из социальных сетей, понять школу, зная школу можно вычислить фамилию учителя. Кличку животного (речь шла о первом) тоже легко вычислить

М.б. так можно найти искомые данные миллениалов и младше, но вряд ли данные тех кому 40+.
Если есть желание — начните с меня.

+1

Подписываюсь под петицией. С контрольными вопросами (к счастью) не сталкиваюсь, но вполне допускаю такую ситуацию, и мучения обеспечены. На счёт безопасности вообще труба. Сам пользуюсь QR и всё время охреневаю с них. Совет автору и всем остальным - не класть яйца в одну корзину. Тоесть не привязывать все сервисы и аккаунты на один только Яндекс. В идеале, зарегистрируйте свой домен, и сделайте на нем почту. Отвязаться от Яндекса можно будет только сменив MX запись.

+1 подписываюсь под петицией.

И еще камушек в огород Яндекс.ID. Оно собирает данные всех карт, которыми я расплачивался через сервисы Яндекса. И если какой-то картой оплатить не удается, пробует следующей. Так написано в справке, это не я придумал. А что по факту это означает? Например, я пользуюсь Яндекс.Драйвом, там привязана карта А (это указано в настройках Драйва). Потом решаю что-нибудь купить через Я.Маркет и расплачиваюсь картой Б. После этого снова еду на Драйве и (бинго!) оплата по-тихому проходит с карты Б. Причем если из драйва ее удалить и снова расплатиться на маркете, то в драйве она снова появится и станет основной. Да, при бронировании машины отображается с какой карты пойдет оплата, но я что, должен каждый раз это контролировать? Да и сменить там карту нельзя, но это скорее всего бага конкретной версии приложения на андроиде.

То есть получается, что сервисы Яндекса просто игнорят настройку "карта для оплаты" и тупо засовывают туда ту карту, которой я последний раз где-то платил. А если на ней денег не окажется, то предположу (исходя из написанного в их же справке) что по-тихому попробуют провести оплату со следующей карты из списка и т.д. Кстати про это уже была пару лет назад статья на хабре, что-то типа "оплатила своему парню поездку на каршеринге, потом с ним разошлась, а каршеринг он продолжает оплачивать", но Яндекс не стремится это исправлять.

А как быть людям, которые использовали Sign in with Google+ ? Когда Google закрыл свой Google+ ?

G+ ушёл, а авторизация осталась.

На счёт поддержки, да, тоже столкнулся с проблемой отправки сообщения. Но мне удалось найти форму. Просто тыкал по разным темам и, о чудо, нашёл.

Потом нашёл более простой вариант - если ранее обращались в поддержку, то в письме есть ссылка на форму обратной связи.

Но, в моём случае мне не помогло. Ответа я пока так и не дождался. Вопрос задавал шесть дней назад.

А можно заодно дать возможность не использовать дебильное приложение Я.Ключ, а стандартные 2FA одноразовые ключи, которые поддерживаются хоть в Google Authenticate, хоть в andOTP? Одноразовые буквенные пароли в виде «lulhlotr» это издевательство какое-то.

+1.
Для меня было шоком, когда после привязки двухфакторки на яндексе и смены пароля, я с ДРУГОГО устройства вошел просто по QR коду без всяких паролей и пинов.
+2 Контрольные вопросы на яндексе мной были созданы 15 лет назад и я ХОЧУ их поменять сегодня, т.к. считаю, что они по сегодняшним меркам не так безопасны, но НЕ МОГУ, потому что просто нет такой опции в ЛК на яндексе.
Яндекс вообще за последние пару лет в большинстве своих сервисов пробивает дно.

После этой статьи запарился и поменял секретный вопрос, потому что также не помню ответ, сколько же пришлось разных анкет заполнять…
Вчера тоже внезапно с этим столкнулся, спасибо за создание петиции Promix17
Присоединяюсь и призываю всячески распространять — это тот случай, когда я такое пишу впервые и действительно от всей души запрашиваю помощь сообщества.

Расскажу о своей ситуации. Хотел буднично еды заказать, а тут внезапно я на компьютере по какой-то причине разлогинен. Вхожу с верными данными — и тоже натыкаюсь на контрольный вопрос.

Какого хрена, за что и зачем я попал в очередную A/B прихоть очередного олимпиадника из Яндекса по согласию и ведому опытных аналитиков оттуда же — мне категорически не ясно.

Ни один из вариантов, приходящих в голову как ответ на вопрос не подошел, попытки я исчерпал. Благо на ноутбуке логин остался, так что без еды я не остался. Затем продолжил попытки восстановления.

Вопрос сам по себе был выставлен много лет назад из предложенных и ответ на протяжении лет менялся и не раз — тут, надо понимать, не хочется оставлять такой ответ, который легко достается за бесценок из баз в даркнете или вообще гуглящийся. KeepassXC на то время я ещё не пользовался, сейчас бы туда ответ добавил. Хотя честно сказать, не видел никакой на то причины, — ни в одном сервисе этот контрольный вопрос не является настолько важным маркером идентификации юзера, который по-простому не сбрасывается.

Регистрировался я, естественно, не указывая никаких реальных данных, как и ощутимое меньшинство пользователей сервиса. Не станет удивительным, что Софья из поддержки Яндекса сообщила мне, что «идентифицировать вас как владельца (прим. — аккаунта) не получится». Это всё несмотря на то, что у меня залогинен давным давно ноутбук; несмотря на то, что контактный email и телефон у меня введены; несмотря на то, что ноутбук и комьютер находятся в одной сети (используют тот же IP).

TL;DR: из-за всей ситуации я, похоже, полностью потеряю доступ к своему аккаунту когда протухнет сессия на ноутбуке (если там она ещё жива). Мне нужна внесаппортная помощь по сбросу контрольного вопроса yandex yandexsupport
Обсуждение ведется по Ticket#21072713371099044, сам аккаунт p*q7@yandex.ru (вместо звездочки — буква из второй половины английского алфавита)

Полку яндекс-ежиков прибыло :)

Из-за их одноразового пароля, который формируется на телефоне на яндекс.ключе, и который я почему-то забыл, я теперь не могу зайти ни в один сервис яндекса с любого устройства, а другой метод входа они сделать не позволяют. При попытке восстановить доступ к аккаунту, постоянно приходится набирать данные входа, который вы использовали до яндекс.ключа и с какого устройства чаще всего заходил, ответить на контрольный вопрос, какими сервисами пользовался, когда зарегался на яндексе вплоть до дня (конечно, я ведь помню когда начал им пользоваться), потом сфоткать паспорт, селфи с паспортом, иногда форма вылетает и все приходится начинать заново. И после всех этих кругов ада - тишина, поддержка абсолютно отсутствует. Боюсь сейчас что если вылетит сервис с телефона и ноута, то вообще не смогу зайти больше в свой аккаунт никогда, а ведь я плачу за максимальную подписку

Зачем этот поток сознания здесь? Лично вы недовольны сервисом Яндекса - им и пишите

Куда? Автор с радостью, но не смог найти куда.
Другие, правда, смогли, но даже откликов не получили.
Это всё что вам нужно знать о современном яндексе.
А я захожу в настройки аккаунта, ищу нужную настройку. И тут в самом труднодоступном месте вижу галочку — «задавать контрольный вопрос при входе». И она по умолчанию включена!!! Дамы и господа, кто это делал? Контрольный вопрос — для восстановления доступа, а не для входа!

Где эта галочка? Пoкажи её?

Вы думаете, я помню? Где-то далеко. Я не хочу её искать.
Если кто-то найдет упомянутую галочку, то, пожалуйста, дайте знать как её найти. Это очень бы выручило.
И тут в самом труднодоступном месте вижу галочку — «задавать контрольный вопрос при входе». И она по умолчанию включена!!! Дамы и господа, кто это делал?

Тот же, кто в Я.Афише по умолчанию воткнул галку «запомнить карту».

Проблема в том что сервисы решают за пользователся как ему лучше. Но я хочу сам настроить безопасность, я хочу сам решить как хочу востановить доступ к аккаунту: по СМС или по контрольному вопросу или по QR коду или всё вместе или вообще никак и ни при каких обстоятельствах не востанавливать доступ. Я хочу сам решать как мне быть с моей почтой.

Думаю что му тут пишем не дойдет до яндекса вообще, мы тут просто воздух сотрясаем.

А вот Вы думаете, что Я как-то интересно, что Вам там не удобно?


На фоне всех остальных их нововведений?


На фоне прогрессивных магааппликух, на фоне улучшений и заботы о кошельке пользователях в виде начисления кэшбека от поездок на такси за счет клиента путем увеличения оплаты для самого клиента?


Ну вот серьезно, когда Я последний раз слышал пользователей-то?

начисления кэшбека от поездок на такси за счет клиента

Самое ценное в таких статья — это комментарии ;)
Там позже выяснилось, что разница в цене из-за разных банковских карт (на одной есть скидка, на другой — нет). Вот что позже написал сам автор:

image

Но запоминают, к сожалению, обычно только заголовки.
Добрый день. Увидел ваш пост, поговорил с командой, хочу помочь разобраться и рассказать, почему оно работает так, а не иначе.

1. Контрольный вопрос – это последний рубеж защиты аккаунта и данных пользователя при подозрениях на кражу пароля. Если к аккаунту в момент возникновения подозрений о взломе привязан номер телефона, то мы присылаем смс и не задаем контрольный вопрос. Если номер не привязан, то нужен ответ на контрольный вопрос.

Подскажите, пожалуйста, свой аккаунт, чтобы мы смогли разобраться подробнее, когда был привязан номер телефона.

Понимаем, что вспомнить контрольный вопрос через несколько лет бывает сложно. Хотим решить эту проблему привлечением внимания пользователей к указанным ими данным. Чтобы такие чувствительные данные всегда были актуальны.

2. Другой вопрос касался работы Яндекс.Ключа. Аутентификация через Яндекс.Ключ — это не один фактор, а как минимум два. Первым фактором является PIN-код от аккаунта Яндекса в Ключе, который вы придумали и запомнили (по сути, аналог пароля). Вторым – владение устройством с настроенным приложением. От себя лично добавлю, что PIN-код от смартфона тоже можно считать фактором. При этом сам QR код является лишь частью процесса аутентификации, одного QR кода недостаточно для входа в аккаунт, как это уже верно подметили в комментариях.

3. По поводу обращений в поддержку. Тут и правда есть над чем поработать. Будем улучшать.

Если вы прочитаете тему, то увидите, что возмущение связано с тем, что вы расширенно используете вопрос который изначально, много лет, назад использовался только для того, чтобы вспомнить забытый пароль. (А человек ничего забывать не собирался, не забыл и во многих случая боялся, что секретный вопрос угадают и поэтому забил в качестве ответа всякую случайную чушь без намерения вообще ее запоминать).

Вот прямо с вашей текущей страницы помощи https://yandex.ru/support/id/troubleshooting/forgot-secret-response.html

Контрольный вопрос понадобится, если вы хотите удалить аккаунт или потеряли доступ к своему аккаунту и других способов восстановления доступа нет.

Однако человек не терял доступа к аккаунту и не хочет его удалить, а ваш сценарий 'будем спрашивать при подозрении' попросту не упоминается.

Или из страницы помощи по регистрации https://yandex.ru/support/id/authorization/registration.html

Если вы не привязали к Яндекс ID номер телефона или адрес почты, сбросить пароль можно, ответив на контрольный вопрос. Вопрос и ответ на него вы задаете сами при регистрации.

Так как контрольный вопрос позволяет сменить пароль, придумывать вопрос и ответ стоит так же внимательно, как и пароль. Не стоит давать ответ, который может знать кто-то, кроме вас. Также не стоит задавать слишком сложный или неверный ответ — его будет легко забыть.

Тут тоже ни слова про 'будем спрашивать при подозрении'

Вторая часть возмущения связан с тем, что сейчас такой случайный контрольный вопрос сменить нельзя (или это не очевидно, как), даже если можешь подтвердить владение учеткой с двух-трех устройств с открытой сессией да еще и телефоном. Сделайте возможность смены и забытого ответа на контрольный вопрос тоже. Понятно, что при этом нужно подключать другие способы подтверждения владения аккаунта, но он не должен быть видимо-несменяемым.

Ну и вдогонку. Когда вы придумывали свой нестандартый OTP, аргументация была

По нашей оценке, компрометация компьютера пользователя ─ самый массовый способ «угона» учетных записей (и недавно тому было еще одно подтверждение), от нее в первую очередь и хочется защититься.

И вот теперь спрашивать теперь у пользователя на той же самой машине с кейлоггерами, с которой у него пароль(предположительно) угнали, еще и контрольный вопрос -- вам не кажется, что в этой логике что-то не так?

Тоже пострадал от действий яндекса. Ну не помню я девичью фамилию матери, хоть убей. Маме звонил, она сама не помнит! Даже представить себе не мог что этот вопрос для восстановления пароля понадобится.

И ведь что самое ужасное телефона техподдержки нет! Вернее он есть, но что бы его найти надо пару абзацев справки прочитать. А кто будет читать бесполезную справку, когда ему телефон нужен? Правильно никто!

Вот кстати
Если пользоваться пасворд менеджерами, тем же ластпасом или биткипером, таких проблем не возникает вообще

И пароль можно секьюрный генерить, и вопросы запоминать

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.