Всё больше россиян переходит на авторизацию в интернет-сервисах без паролей, отметил ресурс Forbes. По данным VK, в 2024 году число пользователей сервисов компании, предпочитающих беспарольные способы авторизации, включая вход по одноразовому коду, QR-коду, по лицу или же отпечатку пальца, выросло год к году на 30 % до 50 млн. Это составляет порядка 40 % всей аудитории VK ID, увеличившейся за год на 10 % до 126 млн человек.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Также выросло число пользователей VK ID, применяющих второй фактор авторизации — на 22 % за год, превысив 21 млн человек. Кроме того, более 20 тыс. партнёров компании интегрировали VK ID в качестве способа авторизации на сайтах и в приложениях.

Аналогичная тенденция наблюдается у «Яндекса», сообщившего, что количество пользователей, предпочитающих беспарольные способы входа через «Яндекс ID», выросло в 2024 году в 1,5 раза.

В МТС ID по умолчанию используется для входа одноразовый код из SMS, сообщили в компании. Количество зарегистрированных аккаунтов в МТС ID в 2024 году увеличилось на 20 %, превысив 120,6 млн.

Как сообщил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, несмотря на тренд по переходу на беспарольные способы идентификации, говорить о полном отказе от паролей не приходится, поскольку имеется немало устаревших устройств (например, банкоматы) или технологий (Wi-Fi или Bluetooth), в которых заложена возможность входа только по паролю/PIN-коду. Он также отметил, что вход по биометрии (отпечатку пальца или лицу) нельзя назвать безопасным в долгосрочной перспективе из-за риска утечки баз данных.

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров считает более безопасным способом для входа двухфакторную аутентификацию. А наиболее защищённым на сегодняшний день способом он назвал приложение для аутентификации (генерирует код, который используется в дополнение к электронной почте и паролю для подтверждения личности). «Если использовать специальное приложение, то при перевыпуске SIM-карты злоумышленник не сможет получить личные данные пользователя. А взломать мобильное приложение достаточно сложно. Как раз такие приложения-аутентификаторы и должны в конечном итоге заменить классические методы, приемы двухфакторной аутентификации и подтверждения входа как наиболее надёжные», — считает эксперт.

Книжная платформа «Литрес» и другие российские сервисы начали уведомлять пользователей о предстоящем отказе от авторизации через службы Apple и Google ID в соответствии с требованиями законов. Сложности при таком «импортозамещении», считают опрошенные РБК эксперты, могут возникнуть не у пользователей, а у самих сервисов.

Источник изображения: Firmbee / pixabay.com

«Литрес» уведомил своих пользователей, что с 22 апреля будет отключена возможность входа через Apple и Google ID — тем, кто не настроит другие способы авторизации, придётся входить на платформу через обращение в службу техподдержки. Для тех, кто просто привязал к своим учётным записям почту от Apple или Google, не изменится ничего.

Отказ от зарубежных платформ для авторизации вызван новыми требованиями законов «Об информации, информационных технологиях и защите информации» и «О связи». Они требуют, чтобы вход на российские сайты производился через номер телефона у отечественного оператора, через портал «Госуслуги», Единую биометрическую систему или любую другую платформу, владельцем которой является гражданин России или российская компания — под это определение подпадают отечественные почтовые службы и соцсеть «ВКонтакте».

Схожие уведомления начали поступать от VK Play, а торговая площадка Ozon уже отключила возможность входа через Apple ID — ей пользовались менее 1 % пользователей, а служба Google ID не поддерживалась здесь никогда. Подавляющее большинство пользователей маркетплейса входят через Ozon ID: достаточно ввести свой номер телефона и ввести полученный по SMS одноразовый код.

Источник изображения: StartupStockPhotos / pixabay.com

Первоначально законодатели планировали ограничить способы авторизации для российских сайтов уже 1 декабря 2023 года, но срок перехода на отечественные сервисы впоследствии продлили до 1 января 2025 года, чтобы обеспечить штатную работу платформ и комфорт для российских пользователей. В «Литрес» возможность входа через западные службы убрали с первых экранов ещё в декабре 2023 года, но сохранили её для тех, кто уже пользовался такими способами авторизации. В VK подчеркнули, что «компания исполняет требования действующего законодательства», но не уточнили, когда вход через западные сервисы будет отключён полностью.

Одномоментное отключение авторизации через западные службы грозит российским платформам потерей аудитории, пояснил один из опрошенных РБК экспертов, поэтому этот процесс в рамках отведённого законодательством срока решили проводить постепенно. А для отечественного потребителя проблем, вероятно, не возникнет, уверен другой эксперт: те, кто научился пользоваться службами авторизации Apple и Google, смогут освоить и их российские аналоги.

Некоторым пользователям Google, которые в последнее время производили вход в свои учётные записи, система начала показывать сообщение, что у страницы входа «скоро будет новый внешний вид». Теперь компания и сама решила продемонстрировать обновлённый дизайн этой страницы.

Источник изображений: Google

Значительных изменений не произошло — новая страница очень похожа на старую. Последовательность действий тоже не поменялась, а страница лишь несколько преобразилась в соответствии с фирменным стилем Material Design: заголовок выровняли не по центру, а по левому краю, чтобы унифицировать отображение страницы на экранах разных устройств, включая широкие, как на складном смартфоне Google Pixel Fold или планшете Pixel Tablet.

На странице пользователям предлагают ввести пароль, воспользоваться ключом доступа или пройти авторизацию другим методом — по крайней мере, пока вход в систему не стал полностью беспарольным. Возможно, из-за менее значительных изменений внешнего вида новый облик страницы входа будет вызывать меньше недовольства со стороны пользователей Google. Например, недовольных переработанным внешним видом Gmail было немало. На сей раз Google не даст выбора ни администраторам Workspace, ни пользователям личных учётных записей: развёртывание нового вида страницы стартовало 21 февраля и завершится 4 марта 2024 года. После этого старая страница будет показываться только пользователям устаревших браузеров.

Apple последние изменения в правилах App Store затронули также функцию «Войти с Apple». По новым правилам приложения, использующие сервисы авторизации пользователей через сторонние платформы, такие как, Google, Facebook✴ и X (в прошлом Twitter), больше не обязаны предлагать опцию входа через аккаунт Apple. Однако взамен разработчики обязаны предложить пользователям альтернативный сервис авторизации, обладающий определёнными гарантиями конфиденциальности их данных.

Источник изображения: Apple

Ранее правила Apple App Store гласили: «Приложения, использующие сторонние или социальные платформы для входа в систему (например, Facebook✴ Login, "Войти с Google", "Войти с Twitter", "Войти с LinkedIn", "Войти с Amazon" или WeChat Login) для создания или аутентификации основной учетной записи пользователя в приложении, должны также предлагать "Войти с Apple" в качестве эквивалентной опции. Основная учетная запись пользователя — это учетная запись, которую он создает в вашем приложении для целей идентификации, входа и доступа к вашим функциям и сопутствующим услугам».

Теперь приложениям не обязательно предлагать также и «Войти с Apple». Но согласно последним изменениям, необходимо чтобы альтернативный сервис авторизации ограничивал сбор данных только именем и электронной почтой пользователя, позволял скрывать адрес электронной почты при регистрации аккаунта и не отслеживал действия пользователя в самом приложении. Это правило теперь действует во всех странах мира, где доступен Apple App Store.

Важно отметить, что Apple предусмотрела четыре исключения из этого правила:

• приложение использует исключительно собственные системы настройки учетных записей и входа в систему.
• приложение является образовательным, корпоративным или бизнес-приложением, которое требует от пользователя входа в систему с существующей учетной записью образовательного или корпоративного учреждения.
• приложение использует государственную или промышленную систему идентификации граждан или электронный идентификатор для аутентификации пользователей.
• приложение является клиентом для определенного стороннего сервиса, и для доступа к его содержимому пользователям необходимо напрямую войти в свою почту, социальные сети или другие сторонние аккаунты.

Возникает вопрос: насколько широко доступны сервисы авторизации, соответствующие новым требованиям Apple, кроме самой функции «Войти с Apple»? Вероятно, Apple тщательно продумала каждое слово в этих правилах, чтобы склонить разработчиков использовать функцию «Войти с Apple», несмотря на кажущуюся гибкость формулировок.

Не стоит забывать, что это не первый случай, когда политика Apple App Store вокруг «Войти с Apple» вызывает обсуждения и споры. Когда эта функция впервые была представлена в июне 2019 года, Apple изначально установила строгие правила относительно того, как и когда разработчики должны предлагать её как вариант для авторизации пользователей в приложениях. Однако в ответ на критику компания через несколько месяцев смягчила эти требования, демонстрируя гибкость и внимание к мнению разработчиков. Поступит ли она так же и в этот раз, вопрос остаётся открытым.

Разработчики популярного мессенджера WhatsApp продолжают улучшать сервис, делая его более привлекательным для пользователей. На этот раз они добавили функцию авторизации на новых устройствах с помощью адреса электронной почты. В настоящее время это нововведение доступно ограниченному числу пользователей бета-версий мобильного приложения WhatsApp.

Источник изображения: Dima Solomin / unsplash.com

Новая функция позволит связать учётные записи WhatsApp со своей электронной почтой. За счёт этого появится возможность авторизации в сервисе на новых устройствах по адресу почтового ящика. Использование этого варианта предполагает, что при авторизации на электронную почту пользователя будет высылаться проверочное письмо со ссылкой, по которой необходимо перейти для завершения процесса.

Для использования упомянутой функции необходимо в настройках WhatsApp открыть раздел «Учётная запись», выбрать пункт «Электронная почта» и указать адрес своего почтового ящика. Ожидается, что такой подход позволит надёжнее защитить аккаунты. Если же пользователь не захочет использовать данное нововведение, то он сможет задействовать для авторизации на новых устройствах один из уже доступных вариантов, например, по SMS или телефонному звонку.

Источник изображения: wabetainfo.com

Предполагается, что работа над новой функцией ведётся с августа этого года и на данный момент она находится на этапе тестирования. Когда возможность авторизации в WhatsApp по адресу почтового ящика станет доступна всем пользователям, пока неизвестно.

«Яндекс» запустил новый беспарольный способ авторизации — по картинке. Такой способ авторизации доступен пользователям приложения «Яндекс Ключ». Об этом сообщает пресс-служба компании.

Источник изображения: «Яндекс»

При входе в аккаунт «Яндекс ID» на экране появится определённое изображение, после чего пользователю нужно выбрать аналогичную картинку в «Яндекс Ключе», который будет предлагать четыре разных варианта. В компании уточнили, что каждый раз набор демонстрируемых пользователю изображений обновляется. Согласно имеющимся данным, авторизоваться в сервисах «Яндекса» по картинке можно только используя собственное мобильное устройство. На данном этапе новая функция доступна пользователям, которые выбрали для авторизации комбинацию «Пароль + одноразовый пароль».

Напомним, «Яндекс ID» представляет собой единую учётную запись для всех сервисов компании и используется при авторизации в приложениях. В дополнение к этому «Яндекс ID» позволяет авторизоваться на более чем 15 тыс. веб-сайтов и мобильных приложений. Ранее «Яндекс» изменил политику касательно неактивных учётных записей «Яндекс ID». В соответствии с этими изменениями, неактивные аккаунты пользователей будут удаляться спустя 2,5 года бездействия. За месяц до этого компания уведомит пользователя о предстоящем удалении его учётной записи. Чтобы аккаунт не был удалён, достаточно авторизоваться с помощью «Яндекс ID» в каком-то приложении или выполнить какое-либо действие в самом аккаунте.

Процесс авторизации во «ВКонтакте» через VK ID теперь предусматривает в первую очередь беспарольные способы входа. Соответствующие настройки и предпочитаемые способы авторизации можно установить в настройках учётной записи.

Источник изображения: vk.com

Пользователи «ВКонтакте» могут выбрать предпочитаемые варианты входа в учётную запись: код из SMS или звонок-сброс, QR-код или push-уведомление в приложении для генерации кодов, а также идентификация по лицу или отпечатку пальцев в OnePass. Чтобы добавить новый способ, требуется подтвердить актуальный номер телефона или привязать к аккаунту смартфон либо другое мобильное устройство. Сохраняется и возможность входа по паролю, но она является дополнительной. «В 2023 году доля беспарольных авторизаций уже достигла 77,3%, пользователи в несколько раз реже стали запрашивать восстановление доступа к аккаунту», — рассказали в администрации VK.

Можно выбрать способ входа в каждом отдельном случае: в отсутствие мобильной сети, но с доступным подключением по Wi-Fi подойдёт авторизация через push-уведомление или резервный код доступа, который можно получить в личном кабинете VK ID. Если же выбрана двухфакторная авторизация, то сначала придётся ввести проверочный код с устройства и только потом — пароль. Это дополнительная мера защиты от взлома: злоумышленник не сможет подобрать пароль без доступа к устройству. Если же пароль вообще не используется, то и скомпрометировать его не получится.

Платформа VK ID позволяет быстро регистрироваться и производить вход на сервисы экосистемы и партнёров — в личном кабинете можно контролировать все активные авторизации и получать индивидуальные рекомендации по защите аккаунта от взлома.

Уже 22 млн пользователей подключили двухфакторную авторизацию на портале «Госуслуги», сообщили в Минцифры. Каждый день эту опцию подключают ещё 300–400 тыс. человек, а с 1 октября она станет обязательной для всех.

Источник изображения: t.me/mintsifry

Двухфакторная авторизация — дополнительная степень защиты учётной записи, которая, помимо пароля, требует подтверждения, предоставить которое может только её настоящий владелец. К примеру, это может быть поступающее на привязанный к учётной записи номер телефона SMS-сообщение. Подключить этот способ двухфакторной авторизации можно в личном кабинете «Госуслуг», зайдя в раздел «Профиль» личного кабинета и перейдя последовательно в подразделы «Безопасность» и «Вход в систему». В последнем необходимо выбрать опцию «Вход с подтверждением» и указать номер телефона для привязки к учётной записи — на него будут приходить SMS с одноразовыми кодами.

Помимо SMS-сообщений, дополнительной защитой для входа на «Госуслуги» могут служить одноразовые коды из специальных приложений, а также вход по биометрии. Если привязанный ранее к порталу номер телефона недоступен, указать новый можно в МФЦ. После 1 октября зайти на «Госуслуги» без двухфакторной авторизации не получится.

Компания VK приступила к тестированию функции OnePass, предназначенной для входа в соцсеть «ВКонтакте» и другие службы экосистемы без пароля. Авторизация в учётной записи VK ID сможет производиться при помощи используемых на мобильных устройствах биометрических технологий, таких как Touch ID и Face ID.

Источник изображения: vk.com

На этапе тестирования системой входа OnePass сможет воспользоваться лишь небольшое число пользователей «ВКонтакте» — полномасштабный публичный запуск технологии ожидается до конца лета. Помимо соцсети, функция будет доступна в других партнёрских сервисах, где есть возможность входа через VK ID.

Процесс авторизации через OnePass занимает несколько секунд — необходимо лишь воспользоваться стандартными функциями разблокировки через биометрию на мобильном устройстве. Такие функции присутствуют у многих современных смартфонов, планшетов и ПК. Обработка данных для авторизации производится локально — на серверы VK они не передаются.

Вход без пароля реализован на основе стандарта WebAuthn, предусматривающего генерацию ключей доступа (passkeys). Эта технология позволяет синхронизировать все устройства, привязанные к единому аккаунту. В результате авторизация производится одновременно, и при потере доступа к одному устройству можно быстро восстановить учётную запись. Стандарт WebAuthn также предусматривает возможность авторизации при помощи внешних устройств, например, USB-ключей в случае с ПК.