В Яндекс.Деньгах появился новый способ подтверждения платежа — с помощью одноразового пароля, выдаваемого мобильным приложением. Для генерации паролей используется алгоритм TOTP.
Генератор паролей доступен в приложении Яндекс.Денег (пока только в версии для Android). Но, как убедились энтузиасты, можно также использовать Google Authenticator:
Жизнь-то налаживается! [..] яндекс-деньги теперь понимают Google Authenticator!! Да, вы правильно поняли, можно выкинуть из кошелька токены и скретч-карты, теперь ещё один сервис понимает gauth! Есть ещё пара мелких косячков, но в целом - РАБОТАЕТ! [..]
Как перейти: войти, управление кошельком, пароль, платёжный, изменить способ защиты... И тут надо выбрать "приложение". Но ставить их софтину необязательно! Можно просто отсканировать QR-код через gauth, и всё получится!
При подтверждении На странице, где просят ввести ДВА кода - старый и новый - сначала вводите код из старого токена/из смс, а то пока будете его ждать, код из gauth протухнет (это один из мелких косячков).
Добавить 13 комментариев
Сбербанк молодцы. Осталось, чтобы в инет-банке они первыми в РФ сделали подобное.
Это вряд ли — кто Гуглу даст деньги россиян? Это же вредительство
Ну это просто TOTP, а Google Authenticator лишь реализация. В F-Droide есть опенсорсные реализации — https://f-droid.org/repository/browse/?fdfilter=totp&fdpage=1&page_id=0 Сбербанку можно взять исходники и сделать брендированный Sberbank Authenticator, может тогда у законодателей прокатит :)
У меня через Google Auth работают сторонние сервисы. Добавление такой изюминки в Яндекс.Паспорт и выкатывание этого под брендом Яндекса мне кажется логичнее, чем под брендом Сбера. Сервис которым могут пользоваться сторонние разработчики, отдельное приложение, вот это всё.
Если Сбер реализует, то он не станет первым. У БСПБ TOTP уже пару лет как. У Альфы есть аналогичный вариант (за дополнительную плату).
на замену gauth, можно использовать authy, интерфейс поприятней и закрывается pin-кодом
В СБОЛ ещё в декабре прошлого года было видно предложение подтверждения кодом из приложения: http://www.banki.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=250962 9 мая сего года саппорт ответил: «Сроки реализации данной функции не указаны. «Сбербанк ОнЛ@йн» — это новый развивающийся банковский продукт…» и так далее. На данный момент из интерфейса по-моему упоминание фичи выпилили. Однако, как всегда у Сбера, документация далеко впереди реальности — смотреть «Что такое способ подтверждения?»: https://online.sberbank.ru/PhizIC/faq.do#m6
Так же TOTP с плагином поддерживает KeePass. В клиенте для Android тоже есть поддержка.
Кстати, после слива баз паролей где-нибудь открылся тотализатор, кто первым сделает двухфакторную аутентификацию на вход в сервис — Яндекс или Мэйл? Ставить деньги не хочу, но хочу посмотреть, какие ставки.
(снявшись с тормоза) А это вообще не дыра ли в безопасности? Получается, что зная логин (?) и какие-то параметры телефона (IMEI?) можно невозбранно генерировать OTP к Яндекс.Деньгам? И Гуглу?
А при чём тут параметры телефона? Обратите внимание на длинную строку, выдаваемую Яндексом в момент привязки для её сканирования приложением
@Сергей Аксенов, ключ не зависит от параметров телефона и логина.
@vladon: Сбербанк первый? Хе..googe authendificator для БК уже пару лет прикручен банком Санкт-Петербург https://www.bspb.ru/retail/