Команда Яндекса объявила о запуске новой функции по защите учётных записей Яндекс ID. Теперь каждый раз, когда люди вводят пароль, он проверяется на безопасность.
Также Яндекс будет присылать push-оповещения о всех входах в Яндекс ID, чтобы пользователь мог сразу заметить подозрительный визит и закрыть аккаунт от злоумышленников.
Как отмечают разработчики, для проверки Яндекс использует базу из 1,2 млрд скомпрометированных паролей, которую пополняет из открытых источников. База содержит пароли, которые попали в публичный доступ или утекли в сеть. В случае опасности, Яндекс попросит пользователя сменить пароль и подтвердить свои права на аккаунт с помощью кода из SMS.
Руководитель Яндекс ID Владислав Таболин пояснил:
Яндекс ID хранит личные данные, поэтому имеет много степеней защиты. Но если пароль от него попадёт к злоумышленникам, защитить аккаунт будет сложнее. Поэтому мы решили усилить защиту аккаунтов и постоянно проверять пароли на безопасность. Это технически сложная задача, так как все пароли хранятся и передаются в зашифрованном виде».
:no_upscale()/https://cdn.ixbt.site/ixbt-data/nxOreJWUiM/covers/rApz6zQ9dFPzvfEa6T02nYZgkU2xMKdnSFixUSpt.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/3IvsfIIKa9/covers/OSLqciMyCoB6PDrNhIKYP8VPiVhjJ9OuiiUVDRBh.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/PPlb4Jj79I/covers/OYMbLvQgAS8b1u1Sz5b8vMnuDPeKUP0UkBNMybmF.jpg)
44 комментария
Добавить комментарий
Получив запрос от государственного учреждения, мы, прежде чем раскрыть информацию, оповещаем об этом по электронной почте пользователя, которому принадлежит аккаунт. Если аккаунт находится под управлением организации, мы отправляем письмо администратору аккаунта.
Мы не отправляем такие уведомления, если это на законных основаниях запрещено по условиям полученного нами запроса. Мы оповестим пользователя о запросе, когда данный правовой запрет будет снят, например когда истечет срок действия ограничения, установленный законом или определенный судом.
Мы можем не отправить уведомление, если аккаунт был отключен или взломан. Кроме того, мы можем не предупредить пользователя о запросе при возникновении экстренных ситуаций, например если существует угроза безопасности ребенка или угроза чьей-то жизни. В таком случае мы отправим уведомление, когда убедимся, что экстренная ситуация миновала.
Ответ 558162634@vkontakte на комментарий
Если вы думаете, что оснований нет — вы просто не знаете, какие есть основания запрещать уведомлять. Пустозвон.
А в реальности силовики пробивают себе кучу законов, на основании которых могут интересоваться личными данными людей, запрещая об этом информировать. Достаточно систему PRISM вспомнить, которая позволяла без каких-либо санкций суда запрашивать информацию у Google, Apple и других гигантов, причем они были обязаны сотрудничать и при этом им запрещалось не просто информировать пользователей о запросах, но и вообще признаваться, что такая система существует и они обязаны с ней сотрудничать. Глупо после этого верить, что «если нет следствия — нет и тайны следствия».
Неужели с торрентов скачали? Или официально купили? Тогда у какой конкретно фирмы?
Разве законодательство позволяет торговать паролями?
Например с каждой сделки взимается НДС 20%.
А как же «MITM-атака» («атака посредника»)?
Она вполне успешно позволяет перехватывать данные и иметь их в расшифрованном виде.
Пример доступности инструментария: «github.com/kgretzky/evilginx2»
я говорю про технологию защиты траффика через TLS сертификаты — это к вопросу о «передаче паролей в зашифрованном виде».
А если телефон в учетке не указан?
Прощай аккаунт?
Добавить комментарий