Не словом, а делом
Как правило все сервисы, когда мы в них логинимся, присылают письмо. Там написано когда и с какого устройства был выполнен вход. Подобные письма присылают банки, мессаджеры, социальные сети, крипто-биржи. Это хорошо и правильно.
Как-то раз я внимательно прочитал подобное письмо. Смутила фраза, которую можно перевести так:
Если это вы, все в порядке. Если нет, немедленно заблокируйте ваш аккаунт.
Давайте представим, что вас взломали. Вы ничего не делали, тупили в телефон, и вдруг пришло письмо, что из Украины зашли ваш клиент-банк или биржу. Все, паника. Время идет на секунды. У мошенников все отработано, они моментально переводят деньги.
Что делать? Писать в техподдержку на support@foobar.lol? Уже сам факт того, что это support, говорит о том, что они доберутся до моего тикета в лучшем случае через час. Звонить? Номера нет под рукой, надо найти и потом висеть в очереди, слушая дурацкую музыку. Можно заблокировать личный кабинет через личный кабинет, но чтобы это сделать, надо сперва попасть в личный кабинет, верно? А мошенники могут этому помешать, например сменив пароль.
Оказавшись в подобной ситуации, вы поймете: фраза “немедленно заблокируйте ваш аккаунт” — чистой воды профанация. Это можно сделать, только заранее потренировавшись. А кто будет тренироваться, да к тому же еще на разных сервисах?
Должно быть так. Вместо фразы “немедленно заблокируйте ваш аккаунт” в письме должна быть жирная красная кнопка “ЭТО НЕ Я!!! ЗАБЛОКИРОВАТЬ АККАУНТ!!!”. Ссылка подписана токеном, который действует пять-десять минут. Даже если письмо со временем утечет, ссылкой нельзя будет воспользоваться.
Ссылка перебрасывает на форму, где нужно подтвердить блокировку. Форма отправляется методом POST, чтобы всякие preview-сервисы не стриггерили блокировку за вас. После отправки формы аккаунт замораживается, все активные сессии завершаются, транзакции в очереди отменяются. Далее восстанавливаем доступ через поддержку.
Такая схема — истинная забота о клиенте. Не просто “заблокируйте аккаунт”, а все необходимое на месте. Конечно, она тяжелее в реализации, но сохранит деньги клиента и репутацию фирмы.
Нашли ошибку? Выделите мышкой и нажмите Ctrl/⌘+Enter
Sergej, 25th Jan 2022, link
Даже этих мер было бы недостаточно. От одних только имейлов, даже с таким расширенным функционалом, толку мало.
Недавно в Яндексе был слив данных пользователей, и я был одним из пострадавших. Открыл почту с утра и увидел такие вот письма про "подозорительную активность". Какой-то мудак в Сибири заправилися через Яндекс.заправки с моего аккаунта, списав баллы подчистую. Что я мог сделать в 3 часа ночи, когда сплю? Правильно, ничего.
Я считаю, что любой сервис, имеющий дело с деньгами или их эквивалентом, должен навязывать в обязательном порядке клиенту двухфакторную аутентификацию.
Ivan Grishaev, 26th Jan 2022, link , parent
Да уж, искренне жаль.