Массовые утечки паролей к почтовым ящикам "Яндекса" и Mail.ru подтолкнули интернет-компании к введению двухуровневой аутентификации пользователей. При входе в учетную запись им предложат вводить как пароль, так и код, который будет приходить по SMS.
Во вторник "Яндекс" объявил о запуске бета-версии механизма так называемой двухфакторной аутентификации (возможность пользователей настроить дополнительный уровень защиты для учетных записей) при помощи специального приложения "Яндекс.Ключ". "Обычно пользователя просят войти в учетную запись под своими логином и паролем, а затем подтвердить личность - скажем, с помощью SMS,- объясняет заместитель руководителя департамента эксплуатации компании Владимир Иванов.- У нас все проще. На главной странице "Яндекса", в "Почте" и "Паспорте" появились QR-коды. Для входа в учетную запись пользователю необходимо считать QR-код через приложение". При невозможности считать QR-код приложение создаст одноразовый пароль, который действует 30 секунд.
Вслед за "Яндексом" о запуске публичного бета-режима двухфакторной аутентификации объявила и Mail.ru Group. Сначала пользователям Mail.ru будет предложено ввести пароль, а потом код, который придет по SMS. Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако слабым звеном часто оказывается сохранность пароля у самого пользователя, считает вице-президент Mail.ru Group Анна Артамонова. "Если же включен второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее",- пояснила она. Впрочем, в "Яндексе" и Mail.ru Group отмечают, что двухуровневый режим аутентификации будет включаться исключительно по желанию пользователя, а электронной почтой можно будет пользоваться, вводя только логин и пароль.
Двухфакторная аутентификация повышает защищенность доступа к сервисам, говорит директор департамента консалтинга и аудита "Информзащиты" Евгений Афонин. "Важно, чтобы реализация сервиса SMS-сообщений и инфраструктура его предоставления также были защищенными,- добавляет он.- Если про это забыть, то возможны компрометация одноразовых паролей и их недоставка".
Интернет-комании усилили защиту электронной почты спустя несколько месяцев после массовых утечек паролей. В сентябре 2014 года в открытом доступе оказались ключи более чем к 1 млн ящиков на "Яндекс.Почте". Чуть позже около 4,6 млн паролей от почтового сервиса Mail.ru также оказались скомпрометированы. По итогам собственных расследований обе компании тогда заверяли, что о взломе их инфраструктуры речь не идет, а утечка стала результатом сбора информации с помощью вирусов и фишинга в течение длительного периода времени.