Можно ли использовать двухфакторную аутентификацию как в Яндекс.Деньгах на своем сайте?

Question

[AlexTest]

Сегодня мне пришла в голову, как мне показалось на первый взгляд, оригинальная идея двухфакторной аутентификацию на моем сайте:

Предполагается, что пользователь регистрируется на сайте с «надежного» компьютера. При регистрации пользователя, на сервере для него генерируется специальная дополнительная табличка для доступа и высылается письмо с картинкой, содержащее например такую табличку:
... x c h e f
-------------
8 | g f i m p
4 | j 9 h n v
5 | k s l w 7
1 | q x y 4 d
9 | 6 a z 3 t

Такую табличку можно распечатать, но несложно и просто один раз записать на листке бумаги и носить всегда при себе например в кошельке.

При входе на сайт, пользователя в форме входа просят кроме логина и пароля ввести дополнительный код, а рядом с этим полем показывается картинка типа каптчи с таким содержанием «x4-c1-e8-h9».

Это означает, что пользователь должен посмотреть в свою таблицу, определить подобно нумерации ячеек в экселе нужные символы и ввести код «jxmz».

При ошибке пользователя код меняется, ну и применяются все обычные меры для распознавания взлома.


Я даже написал статью на хабре, но мне тут же указали что я «изобрел» усиленную авторизацию в Яндекс.Деньгах и я убрал статью в черновики.


Я живу не в России, Яндекс.Деньгами никогда не пользовался — идею придумал сам, но раз она уже реализована в Яндекс.Деньгах — тогда возникает вопрос: можно ли использовать такой метод на своем сайте? Защищен ли этот метод патентом или другим способом? Я поискал в гугле и ничего не нашел по этому поводу. Возможно на хабре есть представители яндекса, которые смогут ответить на этот вопрос.

Т.к. случайно нашел похожий патент - решил продолжить обсуждение в новом вопросе:
Продолжение: Можно ли использовать двухфакторную аутентификацию как в Яндекс.Деньгах на своем сайте?

Благодаря последнему ответу представителя Яндекса - нашел патент, защищающий эту "технологию":
www.google.com/patents/US5712627

Answer 1

[Маша Форманюк]

Привет, я работаю в Яндекс.Деньгах, сейчас мы уже не поддерживаем этот способ аутентификации. Наши таблицы выпускались и работали по лицензии "Энтраст": www.rnbo.ru/catalog/4/29

Answer 2

[EugeneOZ]

Вам бы спрашивать это у сотрудников Яндекса. А то ведь, если хабравчане ответят «можно», разрешением это являться не будет, лишь догадкой.

Comments

[Banzeg]

А Яндекс скажет: «нельзя!», даже если по закону можно :)

[Владимир Кивва]

Попросите закон «в студию»)

[AlexTest]

Так я в вопросе так и написал. Когда задавал вопрос написал «Возможно на хабре есть представители яндекса» т.к. думал, что на выходных вряд ли кто-то из них будет на сайте, но как я понимаю по будням они точно бывают на хабре. Полагаю что не только мне будет интересен ответ яндекса на этот вопрос.

Answer 3

[ixSci]

У нас вроде не такая больная страна как США, в плане патентов, да и чтобы понять нарушаете ли Вы чей-то патент надо прошерстить их все. Если даже в Яндексе используется подобная аутентификация, не факт, что это не нарушает патент какой-нибудь ООО «ПупкинТролльПатентов».

Answer 4

[Banzeg]

Ах вот оно, где собака порылась… Мы только комментировать начали, да плюсики ставить — бац, и нет статьи :)
Если по существу, то моя догадка такова, что — почему нет? Смски ведь шлют многие, и никто не спрашивает разрешения. Капчи для защиты от ботов используются везде. А ведь кто-то это придумал!
На мой взгляд, наехать Яндекс сможет только в том случае, если Вы один-в-один скопируете метод, и то тут вопрос, либо он запатентован (что вряд ли), а если реализовать его по-своему, то никакого криминала не будет.

Answer 5

[Владимир Кивва]

Маленькое дополнение, не в обиду автору — не усложняйте людям жизнь, пожалуйста. Машина не догадается ответить даже на x8-c8. К этому приходят постепенно, но не все, поэтому хотелось бы упредить.

Интересная информация по теме

Comments

[no1]

В вашем случае машина имеет шанс угадать как 26^2 или 1 к 676, категорично утверждать что «не догадается» — крайне оптимистично. У автора — 1 к 456976, шансов немного меньше.

[AlexTest]

Не совсем так — если вы заметили в таблице используются как латинские буквы так и цифры, т.е. выборка идет
из 26 символов + 9 цифр = 35 вариантов, для удобства пользователя будем считать, что символ «o» = цифре «0»
Т.к. они не повторяются в ячейках таблицы, то для двух символов вероятность подбора будет:
35 * (35 — 1) = 1190 т.е. один из 1190 вариантов, а для 4-х символов соответственно:
35 * (35 — 1) * (35 — 2) * (35 — 3) = 1 256 640 т.е. один из 1 256 640 вариантов.
Т.е. вероятность подбора будет намного ниже чем получилось у вас.

Answer 6

[no1]

По сути вопроса уже ответили.

Что касается предложенного алгоритма, тут много минусов. Главный — он больше привязан к компьютерной логике «ключ-значение» чем к человеческой. К тому же вам придется или генерировать поля по одинаковому алгоритму, (а это потенциальная дыра), или хранить большой объем уникальной статичной информации (которая имеет такие же шансы быть слитой, как и массивы хэшей пароля).

Comments

[AlexTest]

Генерируется каждая табличка абсолютно случайно — никакого алгоритма. Если ее развернуть в линию это всего 35 дополнительных символов к каждой учетке пользователя — не так уж и много.

Answer 7

[Пума Тайланд]

Да боян это, геморойно складывать числа
У кучи банков есть двухфакторная авторизация, на брелке показывается определенное число и раз в какое то время оно меняется, просто и удобно.
Брелок присылают по почте без проблем.

Comments

[AlexTest]

Это понятно. На данный момент существуют как минимум три наиболее популярных способа получения одноразового пароля-кода:
1. Вам его высылают по SMS на зарегистрированный на сайте номер телефона.
2. Вам его генерирует специальное устройство типа eToken, зарегистрированное на сайте.
3. Вам его генерирует программа, которую вы скачали с сайта при регистрации и установили на ваш мобильный телефон.

Но все эти способы не очень подходят для небольших сайтов, с так сказать не очень критичной для пользователя информацией:
1. Рассылать SMS могут позволить себе только весьма «доходные» сайты.
2. Покупать eToken для входа к примеру на любимый форум мало кто согласиться.
3. Далеко не у всех есть телефоны, на которые можно установить дополнительный софт, да и сайту придется потратиться чтобы создать/купить такую программу для большинства возможных моделей телефонов.

Вариант с табличкой не лишен недостатков, но все-же лучше чем ничего + для его использование пользователю понадобиться всего лишь листок бумаги и карандаш, а на сайте надо будет реализовать совсем небольшой дополнительный функционал.

А рассылать бесплатно такие устройства, как рекомендуете вы, это для небольших сайтов — непозволительная роскошь!

[AlexTest]

>геморойно складывать числа
А вот это мне совсем непонятно — где я предлагал складывать числа?

[Пума Тайланд]

x4-c1-e8-h9
я подумал тут надо складывать и вычитать 8)