28 марта 2016

Yahoo внедряет метод беспарольной авторизации

В очередной попытке избавиться от паролей (хотя бы в рамках приложений одной компании) Yahoo разработала и представила стабильную версию метода аутентификации под названием Account Key.

Эта функция, представляющая собой разновидность системы двухэтапной аутентификации (без первого этапа), позволяет пользователям Yahoo входить в приложения Finance, Fantasy, Mail, Messenger и Sports с устройств iOS и Android. При попытке входа в приложение пользователь получает push-уведомление, через которое он может залогиниться в аккаунт одним нажатием.

Пользователи обычно не выходят из учетных записей в мобильных приложениях, но в приложениях Yahoo им нужно будет проходить аутентификацию при каждом запуске программы, получая push-уведомления.

Компания не скрывает, что хочет отказаться от использования паролей. «Пароли могут создавать проблемы: их легко забыть или перепутать, а слабые пароли нередко попадают в руки киберпреступников», — написал в корпоративном блоге Ловлеш Чхабра (Lovlesh Chhabra), менеджер по продукту в Yahoo.

Компания начала продвигать идею «паролей по запросу» примерно год назад. Как и при применении Account Key, пользователи могли отказаться от пароля и задействовать мобильный телефон для аутентификации. После запуска программы пользователи могли выбрать опцию доставки пароля к сервисам Yahoo в текстовом сообщении.

В октябре компания анонсировала технологию Account Key, в некоторой степени повторяющую особенности «пароля по запросу», и заявила, что новый механизм — следующий этап миссии по упразднению паролей на пути к «беспарольному» будущему.

Поборники приватности давно критикуют пароли как устаревшую идею, но пока неясно, насколько далеко будущее, о котором мечтает Yahoo.

В 2011 году Mozilla уже пыталась привлечь жителей Сети к использованию своей системы аутентификации Persona. Децентрализованная система использовала для аутентификации пользователя email-адрес; тогда разработчики уверяли, что это позволит не вводить пароль при входе в каждый веб-сервис. Хотя Mozilla выпустила бета-версии Persona в 2012 и 2013 годах, позже компания признала, что из-за низкого количества пользователей и ограниченных ресурсов этот инструмент будет выведен из эксплуатации к 30 ноября.

Спустя почти четыре года после масштабной утечки, скомпрометировавшей учетные данные более 450 тыс. пользователей, Yahoo последовательно развивает средства обеспечения приватности. В конце прошлого года Боб Лорд (Bob Lord), директор по информационной безопасности, заявил, что компания последует примеру Twitter и будет уведомлять пользователей о возможных атаках со стороны спецслужб.

Очевидно, партнерские отношения Yahoo с независимой программой Bug Bounty HackerOne также оказались довольно плодотворными. С момента запуска программы в 2013 году Yahoo закрыла 2875 обнаруженных уязвимостей и выплатила исследователям более $1 млн, включая щедрую премию в $10 тыс., которая досталась финскому хакеру Йоуко Пюннонену (Jouko Pynnonen) за обнаружение в январе этого года критической уязвимости в Yahoo Mail.

Источник