Задать вопрос

Можно ли использовать двухфакторную аутентификацию как в Яндекс.Деньгах на своем сайте?

Сегодня мне пришла в голову, как мне показалось на первый взгляд, оригинальная идея двухфакторной аутентификацию на моем сайте:

Предполагается, что пользователь регистрируется на сайте с «надежного» компьютера. При регистрации пользователя, на сервере для него генерируется специальная дополнительная табличка для доступа и высылается письмо с картинкой, содержащее например такую табличку:
... x c h e f
-------------
8 | g f i m p
4 | j 9 h n v
5 | k s l w 7
1 | q x y 4 d
9 | 6 a z 3 t

Такую табличку можно распечатать, но несложно и просто один раз записать на листке бумаги и носить всегда при себе например в кошельке.

При входе на сайт, пользователя в форме входа просят кроме логина и пароля ввести дополнительный код, а рядом с этим полем показывается картинка типа каптчи с таким содержанием «x4-c1-e8-h9».

Это означает, что пользователь должен посмотреть в свою таблицу, определить подобно нумерации ячеек в экселе нужные символы и ввести код «jxmz».

При ошибке пользователя код меняется, ну и применяются все обычные меры для распознавания взлома.


Я даже написал статью на хабре, но мне тут же указали что я «изобрел» усиленную авторизацию в Яндекс.Деньгах и я убрал статью в черновики.


Я живу не в России, Яндекс.Деньгами никогда не пользовался — идею придумал сам, но раз она уже реализована в Яндекс.Деньгах — тогда возникает вопрос: можно ли использовать такой метод на своем сайте? Защищен ли этот метод патентом или другим способом? Я поискал в гугле и ничего не нашел по этому поводу. Возможно на хабре есть представители яндекса, которые смогут ответить на этот вопрос.

Т.к. случайно нашел похожий патент - решил продолжить обсуждение в новом вопросе:
Продолжение: Можно ли использовать двухфакторную аутентификацию как в Яндекс.Деньгах на своем сайте?

Благодаря последнему ответу представителя Яндекса - нашел патент, защищающий эту "технологию":
www.google.com/patents/US5712627
  • Вопрос задан
  • 4379 просмотров
Подписаться 5 Оценить Комментировать
Решения вопроса 1
@formasha
Яндекс.Деньги
Привет, я работаю в Яндекс.Деньгах, сейчас мы уже не поддерживаем этот способ аутентификации. Наши таблицы выпускались и работали по лицензии "Энтраст": www.rnbo.ru/catalog/4/29
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 6
EugeneOZ
@EugeneOZ
Вам бы спрашивать это у сотрудников Яндекса. А то ведь, если хабравчане ответят «можно», разрешением это являться не будет, лишь догадкой.
Ответ написан
ixSci
@ixSci
У нас вроде не такая больная страна как США, в плане патентов, да и чтобы понять нарушаете ли Вы чей-то патент надо прошерстить их все. Если даже в Яндексе используется подобная аутентификация, не факт, что это не нарушает патент какой-нибудь ООО «ПупкинТролльПатентов».
Ответ написан
Комментировать
Banzeg
@Banzeg
Ах вот оно, где собака порылась… Мы только комментировать начали, да плюсики ставить — бац, и нет статьи :)
Если по существу, то моя догадка такова, что — почему нет? Смски ведь шлют многие, и никто не спрашивает разрешения. Капчи для защиты от ботов используются везде. А ведь кто-то это придумал!
На мой взгляд, наехать Яндекс сможет только в том случае, если Вы один-в-один скопируете метод, и то тут вопрос, либо он запатентован (что вряд ли), а если реализовать его по-своему, то никакого криминала не будет.
Ответ написан
Комментировать
@zionkv
Системный администратор Windows\Linux
Маленькое дополнение, не в обиду автору — не усложняйте людям жизнь, пожалуйста. Машина не догадается ответить даже на x8-c8. К этому приходят постепенно, но не все, поэтому хотелось бы упредить.

Интересная информация по теме
Ответ написан
no1
@no1
По сути вопроса уже ответили.

Что касается предложенного алгоритма, тут много минусов. Главный — он больше привязан к компьютерной логике «ключ-значение» чем к человеческой. К тому же вам придется или генерировать поля по одинаковому алгоритму, (а это потенциальная дыра), или хранить большой объем уникальной статичной информации (которая имеет такие же шансы быть слитой, как и массивы хэшей пароля).
Ответ написан
opium
@opium
Просто люблю качественно работать
Да боян это, геморойно складывать числа
У кучи банков есть двухфакторная авторизация, на брелке показывается определенное число и раз в какое то время оно меняется, просто и удобно.
Брелок присылают по почте без проблем.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
22 дек. 2024, в 20:40
10000 руб./за проект
22 дек. 2024, в 20:34
3000 руб./за проект
22 дек. 2024, в 20:12
10000 руб./за проект