Мы неправильно воспринимаем учетные записи в экосистемах
Вы наверняка знаете термин «экосистема», который обычно применяют к комплексу сервисов Apple или Google. И Яндекс не отставал. Ваш почтовый ящик на базе Яндекса позволяет вам логиниться практически во все их системы от почты и Браузера, до Диска, Такси, Кино и т.п. Привязанная карта к учетке становится доступна в прочих системах, очень удобно платить и управлять всем. И тут мы подбираемся к нюансам и попробуем понять, причем тут свои домены.
Что такое учетная запись
По сути, мы все пользуемся некими учетными записями в разных системах, чтобы получать доступ к закрытому функционалу или получать некую персонализацию. Обычно регистрация сопровождаетс согласием с различными документами проекта, где происходит регистрация/авторизация. Часто мы не придаем значения тому, как мы проводим регистрацию, просто указываем почту/телефон, вводим коды подтверждений или проходим по специальным ссылкам. Дальше уже все работает. В случае проблем с паролем просто восстанавливаем доступы на почту/телефон.
Чтобы не регистрироваться каждый раз, были придумали регистрации через крупные сервисы, вроде Гугла, Эпла и, как дальше пойдет речь, через Яндекс.ID. В этом случае вы не вводите логины и пароли, они передаются порталу со стороны вендора такой учетной записи, иногда только email, иногда запрашивается больше всякого, но не суть.
А вы не задумывались, что произойдет во всех связанных таким образом порталах, когда вы удалите свою учетную запись у вендора? Это первая попытка осмыслить последствия на примере Яндекс.ID. И, что важно особенно, начнем тему со своих доменов.
Домены и почтовые ящики на Яндексе
Старожилы помнят, что раньше был сервис PDD.yandex.ru, где мы приземляли домены и могли настроить почтовые ящики на своем домене, вроде YOURNAME@YOURDOMAIN.
Такой ящик становился доступным для доступа в стандартном интерфейсе Яндекса, и рядом с вашей учетной записью YOURNAME@YANDEX.RU вы могли переключиться и в ящик YOURNAME@YOURDOMAIN.
Через несколько лет сервис превратился в CONNECT.yandex.ru, были свои сложности. А еще одна итерация не так давно превратила Коннект в 360.yandex.ru с различными нюансами. В том числе появился переработанный ID.yandex.ru, где доступно много интересной магии.
Что из себя представляет учетка на Яндексе
Вы наверняка имеете/имели учетную запись на домене Яндекса, и по мере развития корпорации, вы видели возможности сквозной авторизации между этими сервисами с одной учеткой. Не везде и не сразу, но раз за разом сервисы становились все более гибкими для быстрого переключения.
Отличие почты на@YANDEX.RUот почты на @YOURDOMAINпрактически отсутствует. Вы точно так же можете пользоваться всеми сервисами экосистемы, только вы самостоятельно не можете удалить свой аккаунт, потому что это может делать только администратор вашего домена.
Тонкость момента удаления в том, что администратор домена воспринимает почтовый ящик сотрудника ровно как почтовый ящик, где лежит почта. Еще он понимает Яндекс.Диск, на который падают файлы из переписки или в ходе работы накапливаются скриншоты и иные документы. Возможно, что будут Документы, Календарь и вот эта вся обвязка работы обычного сотрудника.
Соответственно, администратор при удалении ящика наверняка выкачивает письма и файлы на какой-то резервный ящик, чтобы сохранилось все на некое конфликтное будущее. Все это стащить довольно несложно, даже с сырым API Яндекс.360. Вернемся к процедуре удаления.
При удалении ящика из системы Яндекс предупреждает о кратком наборе, который вы можете предусмотреть и логически оценить:
Казалось бы, что может пойти не так? Углубимся в «и так далее» в этой формулировке.
Какие сервисы могут оказаться вам недоступны, если удалить почтовый ящик на домене Яндекса
На самом деле, четкого ответа нет. Есть только признак:
Если вы можете в этом сервисе Яндекса переключаться между аккаунтами без перелогирования, то это точка риска.
То есть, если ваш сотрудник на корпоративном ящике будет проводить работы в разных сервисах Яндекса, заводя личные кабинеты, выписывая счета и т.п., вы можете получить вполне серьезный аккаунт, на который завязано очень многое. Но об этом комплексе систем вы скорее всего не узнаете сразу, ведь администратор домена далеко не всегда знает, чем занимается сотрудник компании. Он просто организовывает пару ЛОГИН:ПАРОЛЬ, помогает корректировать данные учетки, а дальше дело не его.
Пример про Яндекс.Облако
У нас произошла вполне конкретная ситуация, что удаление почтового ящика в Яндекс.360 привело к удалению учетки в Яндекс.Облаке. Удаление произошло не в тот же момент, а по истечении баланса и уведомления пользователя, что баланс исчерпался. Разница между событиями — 3 минуты. Иных уведомлений вы не получите, пока сами не обратите внимания на свои сервисы.
В случае с Яндекс.Облаком процедура еще не пройдена до конца, детали будут каким-то отдельным постом. Одно ясно, что сервера и сервисы Облака будут отключены, пока Служба поддержки не решит иначе. В нашем случае система лежит уже 2 суток, подняли на другом Дата-центре из бекапа.
Сбросы паролей учетки на почте => сбросы паролей приложений
Есть еще один важный нюанс, который администратор домена может не предусмотреть. Сейчас набирает обороты практика применения отдельных паролей для приложений. Это отдельная версия пароля, чтобы какая-то внешняя система (почтовый клиент, особый клиент к файлам, CRM и т.п.) могли подключаться к вашему аккаунту.
В случае необходимости, такой пароль удаляется и выдается новый, а в прочих системах остаются их пароли доступа, они не сбрасываются в таком случае. Можно довольно гибко лишать доступа разные системы по каким-то причинам. Но тут нюанс.
Если вы сбросите пароль на почтовом ящике, чтобы выкачать почту, вытащить файлы и т.п., то вы сбросите все пароли приложений. Вас об этом не предупредят, вы о реестре таких паролей не узнаете, потому что нет такого реестра паролей приложений, если вы сами его не ведете. Точнее, ваш сотрудник не ведет реестр, потому что это его вотчина.
Соответственно, если у вас есть некие общие ящики, которые работают на всех в вашей команде, то с точки зрения безопасности надо сразу создать очень сложный пароль к такой учетке и хранить его у очень доверенных людей. Иначе сброс такого пароля может повлечь много сложностей и ручную выдачу пароля для каждой системы, обновления .ENV-файлов и.. ну вы поняли, думаю.
Что у других систем?
Ровно тоже самое. Удаление учетки в G.Suite и прочих приведет к потере всего, что было у вас ранее. Вы не сможете практически ничего вернуть, если удалите учетную запись. И о последствиях такого удаления вы узнаете не от вендора, а когда что-то отвалится. Они пока сами не готовы к тому, чтобы в моменте предупредить вас о возможных проблемах удаления.
Предварительные выводы
Для нас ситуация оголила очень серьезный момент когнитивного диссонанса. Учетная запись на своем домене на базе крупного вендора становится не просто парой ЛОГИН:ПАРОЛЬ, которые всегда можно поменять или переехать доменом к другому вендору. Нет, это элемент огромной системы, где все со всем переплетено. Начать пользоваться элементом экосистемы без учетной записи на базе вендора становится почти невозможным.
Почти, потому что остается возможность работать на обычных бесплатных учетных записях, но не личных, а заведенных специально на корпоративный номер телефона. Тогда мы можем более уверенно утверждать отвязку нашего домена от экосистемы вендора
Если вы удаляете учетку, вам надо проверять весь комплекс сервисов вендора на предмет активностей в каждом из них. Это может занять много времени.
Послесловие
Я намеренно старался не оголять ситуацию с Облаком, потому что нет итога и правовой оценки ситуации. Цель поста — предложить сообществу взгляд на происходящее с экосистемами и как можно раньше задуматься о том, насколько глубоко экосистемы могут оказаться в «ДНК» вашей инфраструктуры.
- учетная запись
- экосистема
- яндекс.360
- Google Suite
- сквозная авторизация
- Яндекс.Облако
- дискуссия
«Яндекс» запустил авторизацию по картинке
«Яндекс» запустил новый беспарольный способ авторизации — по картинке. Об этом говорится в пресс-релизе компании, который поступил в РБК. Использовать вход по картинке могут пользователи, у которых установлено приложение «Яндекс Ключ». При входе в аккаунт «Яндекс ID» на экране появляется картинка, далее такое же изображение нужно выбрать в «Яндекс Ключе», который предложил четыре картинки не выбор. Набор картинок обновляется каждый раз, уточнили в компании. Войти в сервисы «Яндекса» по картинке можно только через собственное мобильное устройство. Пока что эта функция доступна для аккаунтов со способом входа «Пароль + одноразовый пароль» в «Яндекс Ключе».
«Яндекс ID» — единая учетная запись для всех сервисов компании и других приложений. С помощью «Яндекс ID» авторизация доступна также на более чем 15 тыс. других сайтов и мобильных приложений.
Ранее «Яндекс» обновил политику в отношении неактивных аккаунтов «Яндекс ID». Теперь учетные записи, которые не использовались свыше 2,5 года, будут удаляться. При этом компания должна прислать оповещение с предупреждением в течение месяца перед удалением аккаунта. Чтобы учетную запись не удалили, необходимо авторизоваться через «Яндекс ID» в любом сервисе или совершить какое-нибудь действие в самой учетной записи, например отправить письмо.
«Яндекс» запустил детские аккаунты
Компания «Яндекс» теперь позволяет завести отдельный аккаунт для ребенка. Детская учетная запись сможет оградить несовершеннолетних от контента, не предназначенного для их возраста. Таким образом у них будет гораздо меньше шансов наткнуться, например, на ненормативную лексику.
Детский аккаунт работает в «Поиске», «Музыке» и других сервисах российского поискового гиганта. Так, в выдаче «Кинопоиска» детям будут попадаться только фильмы и анимационные проекты, соответствующие возрасту. Приложение «Яндекс Музыка» не запустит трек с ненормативной лексикой, а «Поиск» и «Браузер» оградят от шок-контента и сайтов для взрослых — неважно, искал их ребёнок специально или нет.
Создать детский аккаунт смогут только родители — сделать это можно в своем «Яндекс ID»: нужно указать имя и возраст ребенка, а также придумать логин и пароль. Возрастное ограничение контента регулируется специальной настройкой: например, «6+» или «12+». Кроме того, детский аккаунт можно завести из раздела «Семья» в «Яндекс ID», в котором пользователи добавляют своих близких.
К учетной записи ребенка можно по желанию подключить банковскую карту, привязанную к семейной группе в «Яндекс ID», для оплаты покупок в сервисах «Яндекса», в рамках установленных лимитов.
«Яндекс» начнет удалять неактивные аккаунты
«Яндекс» обновил политику в отношении неактивных аккаунтов «Яндекс ID» (единая учетная запись для всех сервисов компании и других приложений, которые поддерживают такую авторизацию) и начнет удалять их в случае, если они не используются свыше 2,5 лет, говорится в сообщении компании, которое поступило в РБК. Нововведение действует с октября и нацелено на защиту профилей от компрометации, заявили в «Яндексе». Если учетная запись не используется 2,5 года, в течение месяца перед удалением компания начнет рассылать оповещение с предупреждением. Пользователям нужно будет подтвердить актуальность аккаунта и повысить меры защиты, в том числе путем подключения двухфакторной аутентификации. «Владельцы аккаунтов зачастую забывают о созданных учетных записях или могут потерять к ним доступ. Неактивные аккаунты часто защищены старыми паролями, они наиболее уязвимы и в случае компрометации могут стать источником доступа к личной информации или использоваться для рассылки нежелательного или вредоносного контента», — поясняется в сообщении.
Для сохранения учетной записи достаточно авторизоваться через «Яндекс ID» в любом сервисе или совершить какое-нибудь действие в самой учетной записи, например отправить письмо, сохранить фото или файлы на «Яндекс Диске». В случае удаления неактивного профиля использовавшийся в нем логин повторно выбрать будет нельзя. До удаления в вышеуказанные сроки все данные из учетной записи можно скачать одним архивом. Также существует опция самостоятельного удаления профиля, отметили в «Яндексе».