Mail.ru заменит пароли на одноразовые коды по SMS. Это поможет защититься от слива БД и кражи паролей
Почтовый сервис Mail.ru ввёл новый способ идентификации: через одноразовые коды, которые отправляются по SMS или через push-уведомления.
Такой способ представляет собой упрощённый вариант стандартной двухфакторной аутентификации. При стандартной 2FA пользователь должен ввести свой постоянный пароль и код, полученный на телефон (второй фактор). В системе Mail.ru реализован вариант, когда свой постоянный пароль вводить не нужно. Собственно, он вообще отсутствует. Можно спросить, а что в таком случае является вторым фактором 2FA? По логике разработчиков, вероятно, это пинкод от телефона.
Но Mail.ru не позиционирует одноразовые коды в качестве 2FA, а просто как более безопасную замену стандартным паролям. Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Компания подчёркивает, что одноразовый пароль невозможно подобрать или угадать. Кроме того, невозможно и использовать и подсмотренный пароль — он действует в течение ограниченного времени и только для одной авторизации.
«Зачастую почта является „ключом” ко всем остальным сервисам пользователя, поэтому забота о безопасности почтового ящика критически важна. В перспективе нововведение существенно усилит безопасность почты, ведь если пароль отсутствует, то его нельзя потерять или подобрать», — пояснила вице-президент Mail.Ru Group Анна Артамонова.
Сейчас пользователям почтового сервиса Mail.ru предлагают установить «лёгкий браузер Атом»
В дальнейшем Mail.ru планирует полностью отказаться от использования авторизации с помощью текстовых паролей. Сервис планирует внедрить новые способы авторизации, в том числе с помощью биометрии (сканирование отпечатков пальцев, определения лица и т.п.) и физических ключей.
Сейчас почтовые ящики Mail.ru работают по старой системе. Получить доступ можно по логину и паролю, в том числе без двухфакторной аутентификации. Доступ по протоколу POP3 тоже не изменился. Судя по всему, новая система одноразовых паролей по SMS существует пока только в пресс-релизе, а пользователи смогут воспользоваться новой возможностью чуть позже.
Почта Mail.ru была запущена в 1998 году. Сейчас у сервиса около 100 миллионов активных аккаунтов. Ежедневно пользователи отправляют около 380 миллионов писем.
О методах обхода двухфакторной аутентификации с чтением пуш-уведомлений на Android-устройстве пользователя см. здесь.
Поправка. В первой версии статьи было ошибочно указано, что при установке браузера «Атом» меняется поисковая система по умолчанию в других браузерах. Руководитель разработки браузера Сергей Свистунов (svistunov) пояснил нам, что это не так.
Резервные коды
Сфотографируйте, распечатайте или скопируйте коды, чтобы они всегда были при вас. Каждый код действует один раз.
Резервные коды можно посмотреть только один раз. В следующий раз вы сможете только создать новые коды — при этом старые перестанут действовать.
Служба поддержки Mail.ru
Обновлено 17 января 2021 г.
Была ли эта информация полезной?
Как получить одноразовый код майл ру
«Код Доступа Mail.Ru» создан для удобства пользователей, которые хотят защитить свой почтовый ящик от потенциального взлома при помощи двухфакторной аутентификации. Приложение, установленное на смартфон или планшет, позволяет получать одноразовый код доступа к почте, даже если сотовая связь в данный момент недоступна. Его можно использовать не только для Почты Mail.Ru, но и для любого сервиса, поддерживающего стандарт TOTP.
Двухфакторная аутентификация обеспечивает дополнительную защиту почтовому ящику, где сегодня многие хранят важную конфиденциальную информацию, например, Apple или Google ID, отчеты о банковских операциях, логины от онлайн-игр, сканы документов. Если она включена, то, даже украв пароль с помощью вируса или фишинга, злоумышленник не сможет получить доступ к аккаунту в Почте Mail.Ru, поскольку в дополнение к первому фактору аутентификации (паролю) нужно также ввести проверочный код.
Раньше пользователь Почты Mail.Ru мог получить код подтверждения лишь одним способом: в SMS на номер телефона, подключённый к почтовому ящику. Однако SMS может не прийти или задержаться, если абонент находится вне зоны доступа (например, в метро или за городом), у него на счету закончились деньги или он временно поменял SIM-карту в заграничной поездке. Теперь появилась возможность сгенерировать проверочный код с помощью специального приложения «Код Доступа Mail.Ru».
Приложение работает на основе TOTP (Time-based One-Time Password), поэтому в нем можно сгенерировать код для двухфакторной аутентификации не только в Почте Mail.Ru, но и в любом сервисе, поддерживающем этот алгоритм генерации кодов. Среди популярных сервисов это Facebook, Goolge, Microsoft, Evernote, Github, Dropbox и другие.
В свою очередь, благодаря поддержке стандарта TOTP пользователи Почты Mail.Ru также могут генерировать коды подтверждения в сторонних приложениях, например, FreeOTP или Google Authenticator.
«Двухфакторная аутентификация — один из самых надёжных методов защиты аккаунта на сегодняшний день, и она успешно работает в Почте Mail.Ru. Однако у SMS как способа получения второго фактора есть объективные недостатки, и многие пользователи просили нас об альтернативе, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. — Благодаря поддержке стандарта TOTP теперь каждый может выбрать наиболее комфортный для себя метод и даже приложение».
Включить новый способ получения кода можно в настройках (раздел «Пароль и безопасность») в веб-версии Почты Mail.Ru. Предварительно нужно установить на мобильное устройство создающее проверочные коды приложение («Код Доступа Mail.Ru» или другое). Те, кому удобнее получать код через SMS, смогут продолжать пользоваться этим способом.
Приложение «Код доступа» выпущено для платформы Android, в ближайших планах выпуск приложения для iOS.
Двухфакторная аутентификация в Почте Mail.ru
Двухфакторная аутентификация — это вход в почту в два этапа. На первом вы вводите свой постоянный пароль, на втором — одноразовый код, который приходит в СМС.
У некоторых операторов действует подтверждение по звонку. Вместо кода из СМС введите последние цифры номера, с которого вам позвонили.
Код нужно вводить всегда?
Почта всегда просит ввести код подтверждения, когда в ящик впервые входят с нового устройства. Это защитит вашу почту, если в неё попытается войти злоумышленник.
Если вы на каком-то устройстве не хотите каждый раз подтверждать вход по коду, установите галочку «Не спрашивать для этого устройства».
А если не будет телефона под рукой, чтобы получить код?
На этот случай советуем создать и распечатать список резервных кодов. Носите распечатку всегда с собой: допустим, в паспорте или кошельке.
Какие подводные камни?
Если вы забудете пароль, восстановить доступ можно будет только через службу поддержки.