Мне не только и не столько хочется пожаловаться на конкретную ситуацию, сколько обсудить в целом нарастающую печальную тенденцию.
Почта Яндекса у меня была что-то 16 лет, а скорее всего и больше, но, по крайней мере, самую старую свою переписку с этого ящика я находил год за 2005, наверное. Я всегда понимал и ценил, что я пользуюсь бесплатным сервисом. В те времена всё было попроще, и, кажется, Пользовательское Соглашение не было таким большим. Наверное, уже тогда в нём были обязательные формулировки вроде «отказать в использовании сервиса» и «заблокировать без объяснения причин», а может быть, ещё нет.
В любом случае, я понимал, что просто так ничего такого Яндекс делать не будет, а в основе хорошее намерение — бесплатный почтовый ящик любому желающему. Я радовался когда в каких-то 2000-х компания впервые вышла на самоокупаемость — понимал, что это значит, что сервисы не пропадут, будут развиваться. Хорошего было много — Яндекс хорошо резал спам, поздравлял с 10-летней датой на почте и т.п. Пытался, конечно, меня как-то монетизировать — показывал рекламу, звал в новые платные сервисы. Я понимал необходимость этого, и не возмущался. Реклама бывало попадалась интересная, трагетированная, а какими-то сервисами я в итоге и пользовался. «Учётная запись почты» постепенно превратилась в «единый ID Яндекс.Паспорта», но всё происходило как-то само собой, беспроблемно и даже местами удобно.
Но, всё усиливающуюся хватку «новых эффективных менеджеров» не заметить было невозможно, даже на этой площадке проскакивали обсуждения её плодов. Интернет стал массовым явлением, массовым же стало и всякого рода мошенничество и прочие истории, от которых Яндекс всё сильнее стремился «защитить своих пользователей». Компания разрасталась в большой конгломерат слабо связанных с собой отделов, давно перестала быть чисто IT, и, увы, неизбежно теряла главное. Какой-то особый стиль, настоящиий человеческий юмор и отклик выдуманных персонажей своей техподдержки. Человеческое лицо, словом.
И, так странен, смешон (надеюсь вас немного повеселить) и характерен повод, по которому меня тоже замололо в жернова холодного «согласно Пользовательского соглашения, Компания имеет право».
Окружающая действительность всё больше подталкивала к тому, чтобы таки обновиться с Windows 7, которая всем меня устраивала, была отлажена и заточена мной под себя. Но, то одно перестанет работать, то другое отключат, это неизбежная оборотная сторона прогресса. Ну что же, тут как раз появилась 11 версия, видимо, пора. Я, конечно, не делал непоправимого, и поставил её в отдельный раздел, чтобы пробовать и переходить постепенно.
Кроме установки нужного софта, ещё нужно было повходить в интернет-сервисы, и один из ключевых для меня — Яндекс. Однако, в этот раз что-то изменилось, и после пароля меня запросили ещё и принять СМС на номер телефона. С какой-то слащаво-глупой формулировкой вроде «воспользуйтесь возможностью», из которой можно подумать, что это необязательно. Но конечно же, это было обязательно. Я удивился, потому что ни с одного из трёх устройств, на которых я пользуюсь сервисами, этого никогда не было нужно.
Когда я в своё время сообщал Яндексу свой номер, они меня убедили в целом разумной формулировкой, что «если вы потеряете доступ к своему аккаунту, его будет проще восстановить с помощью телефона». Но никакой «авторизации по СМС» я не подключал. Мало того, у меня в памяти были ситуации за границей, когда SIM-карта не работала, а Яндекс выручал — посмотреть билеты-брони в почте и т.п. Неожиданно остаться без доступа, если связи на телефоне нет, не хотелось.
Ну, что же делать, я загрузился обратно в Windows 7 и имел неосторожность написать в техподдержку о своих проблемах. Со своего аккаунта Яндекс, понятное дело. К сожалению, точных цитат у меня под рукой нет, ну, вы догадываетесь почему. В целом я узнал несколько вещей. Что, конечно, компания очень заботится о своих пользователях, а особенно об аккаунтах представляющих особый интерес для мошенников, дальше был какой-то странный мне список из бизнес-аккаунтов, привязанных к Такси (простите, Go) корпоративных карт и т.п. Из всего этого я узнал себя только в пользователе Яндекс.Плюс и сразу немного пожалел, что таки стал пробовать им пользоваться. И в своей бесконечной заботе мне принудительно включили SMS-авторизацию.
Ну и конечно, отключить они её не могут. Но то есть, если я очень хочу, то, могут. Но тогда мне надо пройти по такой-то ссылке для восстановления аккаунта, там заполнить свою краткую автобиографию и историю пользования ящиком, а также предоставить свою фотографию с паспортом в руках, сдать отпечатки пальцев и анализ крови (а, нет, до последнего вроде бы не дошло). Мне было бы странно, неадекватно ситуации (да и немного унизительно, что уж) проходить такую процедуру «восстановления доступа к аккаунту», которого я не терял, и, мало того, с которого я и переписывался с ними. На что я и указал.
Мне ответили, что «нужно же как-то убедиться, что это именно я», и мол это единственный способ. С моей точки зрения, при одних и тех же устройствах в количестве 3шт, браузерах, конфигурации, IP-адресе, которые не менялись годами, отсутствии необычных действий, есть ещё масса способов понять, что пользователь всё тот же. И про требования паспорта меня уже прямо отправили в Пользовательское соглашение п 2.3 что де "компания в любой момент может потребовать". Даже смягчать формулировки никто не стал — "потребовать" и всё. "Потребовать и покарать".
Мне как-то немного обидно стало. Я обратил внимание на п. 2.6 там, где указано:
При этом все действия в рамках или с использованием сервисов Яндекса под учетной записью Пользователя считаются произведенными самим Пользователем, за исключением случаев, когда Пользователь, в порядке, предусмотренном п. 2.7., уведомил Яндекс о несанкционированном доступе к сервисам Яндекса с использованием учетной записи Пользователя и/или о любом нарушении (подозрениях о нарушении) конфиденциальности своих средств доступа к учетной записи (номера мобильного телефона, пароля или средств двухфакторной аутентификации).
Что, в общем-то и было бы правильно, если у меня украдут доступ к аккаунту — я лучше сам обращусь, без подобной "заботы". Понятно, конечно, что этим пунктом Яндекс просто снимает с себя ответственность за происходящее с аккаунтом. Но мне хотелось как-то подчеркнуть, что это вообще-то двустороннее соглашение с пользователем, а не просто "Яндекс имеет право на что угодно без объяснения причин". Поэтому я указал на то, что согласно этому пункту, вообще-то нет необходимости как-то ещё "убеждаться в моей личности". Доступ к аккаунту у меня есть, о нарушениях я не сообщал, а значит это пишу я.
Внимательный читатель, конечно, поймёт, что при всей справедливости моего аргумента, у него есть одна существенная слабость. Прямо как в споре Привалова с Говоруном в «Сказке о Тройке». Через те день-полтора, что обычно отвечает поддержка, я их ответ и увидел, он был, увы, немного предсказуем:
Обратите внимание, как мило: «Доступ временно ограничен». Может сложиться впечатление, что какой-то доступ у меня всё-таки есть, а если подождать, то и полный вернётся. Если когда-нибудь Яндекс проявит внимание к этой ситуации, то будет утверждаться, конечно, что они проявили бдительность, и меня защитили. Но, мы понимаем. «Ах, доступ у тебя есть? Ну вот тебе галочка.»
Я не знаю, чего здесь больше: синдрома вахтёра, или задолбанности человека, который вынужден работать живым роботом, и со всех сторон обложен инструкциями. Но мне было бы интересно узнать, по каким признакам было определено что «мой аккаунт находится под угрозой взлома». Почему нарушается пункт 2.6 ПС, по которому моя просьба об отключении СМС авторизации не была рассмотрена как написанная мной. А так же, если уж отойти от формальностей, почему Яндекс считает нормальным «сомневаться в моей личности» но мне возможности «посомневаться, что они не возьмут кредит на мой присланный паспорт», не оставляет?
Это один маленький случай, но подобного я вижу в последнее время великое множество. Одно очевидно — чем дальше мы в плодах этого прогресса, тем больше отсекается всё нестандартное, не укладывающееся в схему. Если тебе не везёт попасть в потребности и образ действий 90% пользователей — у тебя проблемы. Ты вроде, как и много лет назад, общаешься с человеком, но на самом деле с тобой говорит скрипт, хотя пока ещё не написанный кодом. Компании чем дальше, тем больше ценят свои ресурсы гораздо выше времени и удобства пользователей, рассказывая о якобы заботе.
Нам обещали "Четвёртую промышленную революцию", когда наконец благодаря мощи IT технологий можно будет в промышленных масштабах выпускать не одинаковые калоши трёх размеров, а работать с индивидуальными потребностями людей. А на самом деле, нас с возрастающей мощью стригут под одну механизированную гребёнку. И стоит тебе неосторожно сделать шаг влево — безжалостно выбрасывают за борт этого "прогресса". Это печально.
PS На самом деле именно к самим сотрудникам техподдержек у меня, как правило, никаких претензий. Но часто они просто связаны по рукам и ногам многочисленными инструкциями. В качестве меры я бы предложил возможность, в случае если следование инструкции вызывает проблемы у пользователя, эскалировать пользователя на автора инструкции.
У меня так однажды произошло с паспортным столом. Сотрудницы без проблем "сдали" телефон шефа. Человек был немного растерян, но вопрос тянувшийся два месяца, внезапно решился на следующий день.
Комментарий недоступен
Писал выше выжимку.
Я столкнулся с тем, что Яндекс мне включил двухфакторную аутентификацию для "новых" устройств. Об этом я не знал ни сном ни духом, т.к. был залогинен на старых устройствах. Обнаружилось только когда стал пробовать новую Windows.
Я задал вопрос в техподдержку, с моей почты в Яндексе. В ответ мне прислали выдержку из Пользовательского соглашения, а потом заблокировали аккаунт, потому что "обнаружили, что он под угрозой взлома". На этом наш диалог, понятно, прервался - довольно сложно писать с заблокированного аккаунта.
Но это просто один мелкий случай в череде того, как "IT" корпорации жестят всё больше и по любому поводу. Возможно, не со зла, а не справляясь со сложностью собственных систем. Но, главное, особой проблемы в этом не видят, и ничего с этим не делают.
Комментарий недоступен
Ну с Гуглом у меня другой опыт, тоже не самый лучший, но всё же принципиально другой.
Я помню, были от них _письма_, да - это точно вы сейчас входили? Ну не проблема - отвечал что я.
Потом я на одно из таких писем отреагировать не успел, а там у меня реально оказалось вторичный акк угоняли, например, и действительно я не смог доказать что я не верблюд, т.к. телефона не привязано. "Автоматическая система" просто отвечает "не удалось восстановить". Поддержка отвечает "ну вы пытайтесь, пытайтесь". В итоге помогло только к знакомым в Гугле обратиться. Это я тоже считаю неправильным. Но на них я и не надеялся, т.к. "человеческого общения" у меня с ними не было никогда, и я не рассчитывал, что оно возможно. А с Яндексом было, на протяжении этих лет.
Но такого, чтобы я написал в техподдержку, и мне в ответ аккаунт заблокировали, я всё же не встречал, у меня немного глаз выпал.
Комментарий недоступен
Ну я честно говоря, не вижу, как контрольный вопрос помогает безопасности.
Варианты типа "как звали вашу первую учительницу" очень у многих элементарно выясняются соцсетями и инжинирингом.
На сегодняшний момент Гугл пишет "Восстановить доступ к аккаунту, ответив на секретные вопросы, больше нельзя", и правильно делает.
Комментарий недоступен
Вполне себе помогает, если пользоваться двумя правилами:
1) записывать - в менеджер паролей, любимый блокнот, тату на руку, но записывать, потому что всё забывается.
Особенно хорошо забывается та информация, к которой постоянно не возвращаешься годами.
2) Отвечать на вопрос, но не тот, что задаётся.
Ваша любимая еда? Крыжополь
Имя вашей собаки? туалетная бумага
Год рождения бабушки? мыло со вкусом одуванчиков
В идеале, в ответ встраивается своя логика - любите детские сериалы Канады за 80 год, отлично! Ответы можно брать оттуда, и запомнится лучше и подобрать это можно будет зная вас на уровне жена/психотерапевт/родители/санитары.
И да менеджер паролей - вещь необходимая, причём уже лет 10 как.
"Контрольный вопрос" был призван служить якобы такой цели: это аналог пароля (т.е. секретной информации), но только это не бессмысленная последовательность символов, а что-то, что пользователь может вспомнить благодаря подсказке.
Но тогда он становится или небезопасным (по причинам, которые мы обсудили), или бесполезным, т.к. то что предлагаете вы, аналогично паролю vdetstveumenyabylkotvasya, что и есть как раз хороший способ генерации пароля. Инструмент, которым нужно пользоваться не так, как в инструкции - не нужен.
Штож, я привёл способ, которым пользуюсь сам и который так же почерпнул где-то на просторах интернета ещё в начале 00-х.
При генерации ответа, вы не используете мнемонических техних или автогенераторы, вы берёте одну/несколько сфер жизни и выбираете оттуда набор терминов, слов, параметров.
Любите психоналализ - будет Фрейд, Юнг, аниме - FreeBSD и КовбойБибоп. Вопрос для вас становится не важным, а всего лишь ссылкой, которая выводит на ответ.
При этом не отменяется правило один - всё записывать, даже ответы!