Аутентификация в "Яндекс.Деньгах" при помощи электронного токена
Первый — использование электронной таблицы кодов, поставляемой в виде файла. Второй — ввод кода из пластиковой таблицы. Третий — при помощи электронного брелока — токена, генерирующего пароли всякий раз при включении. Токен может быть двух видов — собственно брелок, размером чуть меньше спичечного коробка или пластиковая карта стандартных габаритов.
В предыдущем абзаце способы аутентификации упомянуты в порядке увеличения безопасности их использования. Таблица кодов в виде файла — решение не слишком надежное. Какое-то время она пребывает на пользовательском компьютере (хотя бы и в кеше браузера) и, в принципе, может быть украдена оттуда. Пластиковая таблица хороша — но ее придется постоянно оберегать от посторонних глаз и тем более рук. Гипотетически мыслима ситуация, когда злоумышленник просматривает и запоминает содержимое таблицы. Токен этой проблемы лишен.
Принцип действия устройства прост. Вместо платежного пароля пользователю "Яндекс.Денег" для подтверждения каждого платежа нужно вводить код, который можно получить, только имея на руках брелок. Для его получения нужно только нажать кнопку на токене.
Перед тем как пользоваться таким механизмом аутентификации, необходимо его активизировать. В терминологии "Яндекса" этот процесс называется "переходом на усиленную авторизацию". Он был подробно описан для случая использования электронной таблицы кодов. Переход на авторизацию с использованием токена отличается только последним этапом, на котором нужно ввести серийный номер токена (с оборотной стороны), пароль с его экрана и — в последний раз — платежный пароль.
После этого усиленная авторизация с использованием токена оказывается подтвержденной. Для совершения платежа теперь не нужно вводить платежный пароль — требуется ввести последовательность цифр с экрана токена, каждый раз — новую.
Если по каким-то причинам аутентификация с использованием токена больше не устраивает — от нее можно отказаться. Правда, не совсем. Обратного пути, позволяющего вернуться к использованию платежного пароля нет. Зато можно выбрать другой способ подтверждения платежей — электронную или пластиковую карточку с кодами. При этом придется ввести данные, типичные уже для аутентификации посредством карточки и пароль с экрана токена. В этот момент токен становится безвозвратно "отвязанным" от "Яндекс.Денег". Если захочется вернуться к использованию электронного брелока, о существующем придется забыть и получать новый.
По утверждению разработчиков, по понятным причинам трудно проверяемому, срок жизни батареи токена составляет около четырех лет. Когда батарея станет работать хуже, токен нужно менять, не дожидаясь окончательной гибели батареи: при смене токена необходимо вводить пароль с экрана предыдущего.
Если батарея кончается, а возможности получить новый токен нет, лучше всего, пока предыдущий еще работает, перейти на аутентификацию по карте. Если этого не сделать, то когда токен все-таки прекратит свою работу, придется проходить ту же процедуру, что при утере токена или его порче. Как и в случае утери платежного пароля, необходимо писать заявление и ждать его рассмотрения.
От попадания влаги прибор защищен достаточно хорошо. Он выдержал стиральную машину, купание в кофе и Coca-Cola. От ударов же корпус защищен не слишком хорошо, их лучше избегать.
Для постоянного ношения с собой брелок не слишком удобен. Он достаточно "толстый", примерно с палец толщиной. Складывать такой в кошелек не всегда возможно. Вполне вероятно, что токен в формате пластиковой карты лишен этого недостатка. В целом же, любое решение является компромиссом между удобством и безопасностью с предпочтением того или иного качества. В данном случае акцент сделан в пользу безопасности, необходимость всякий раз, когда понадобится заплатить, иметь при себе устройство, которое нетрудно сломать или потерять — это, конечно, неудобство. С другой стороны, область применимости "Яндекс.Денег" при аутентификации по токену расширяется. Например, сейчас очевидно страшно расплачиваться, пользуясь платежным паролем, сидя в Интернете в кафе с незащищенной WiFi-сетью. Оплата с использованием карточки кодов — чуть лучший вариант, однако в публичном месте также не слишком хороший: карту можно как минимум сфотографировать. С использованием же токена, "Яндекс.Деньги" кажется возможным тратить и в небезопасном WiFi, хотя увлекаться этим все же не стоит: риск отдать обычный, не платежный пароль, все равно сохраняется.
