Аварийный код Яндекс.Деньги: как получить и что это такое

Получение и использование аварийных кодов в Яндекс.Деньги

В системе Яндекс.Деньги аварийные коды параллельно с смс-авторизацией предназначены, в первую очередь, для защиты средств пользователей. Аварийный код может быть использован для подтверждения действий при осуществлении как финансовых, так и любых других операций в системе. Получение таких паролей представляет собой достаточно простую процедуру, не предусматривающую финансовых и временных затрат.

Для чего нужны коды

По своей сути аварийный код является своеобразной подстраховкой для пользователей системы на те случаи, когда, например, не приходит СМС с паролем для Яндекс.Денег. Помимо этого индивидуальная комбинация символов пригодится тем, кто временно утратил доступ к своему мобильному телефону или же оказался в роуминге и не поможет получить одноразовый пароль для подтверждения своих действий в сервисе.

Важно! Получить данный шифр может каждый клиент системы абсолютно бесплатно. В дальнейшем он может быть использован при утере платежного пароля и возникновении проблем с получением СМС.

После получения аварийного набора символов владелец электронного кошелька имеет возможность:

  • привязать к аккаунту новый номер мобильного телефона;
  • изменить процедуру и условия получения паролей для совершения финансовых операций;
  • отключить смс подтверждения Яндекс.Денег при осуществлении отдельных видов транзакций;
  • изменять настройки своей учетной записи;
  • выполнять переводы и снимать деньги со счета.

Одним из поводов взять шифры для непредвиденных ситуаций является отсутствие необходимости доступа к мобильному телефону. Во-первых, гаджет может не оказаться под рукой в нужный момент, а, во-вторых, даже самые надежные устройства не застрахованы от поломок. На практике найти выход из сложных ситуаций достаточно просто. Следует только оформить выпуск 25 наборов символов, узнать их и сохранить на любом надежном носителе.

Важно! Следует учитывать, что индивидуальные шифры, выпускаемые сервисом, имеют ограниченный срок действия. По его истечении потребуется перевыпуск 25 шифров для обеспечения постоянного доступа ко всем функциям ЯД.

Получение и использование

Алгоритм получения аварийных кодов Яндекс.Деньги, используемых без смс, достаточно простой и включает в себя следующие этапы:

  1. Зайти на страницу своего кошелька в Yandex.Money, пройдя процедуру авторизации.
  2. Перейти по вкладке «Настройки».
  3. В новом экране кликнуть «Выпустить аварийные коды».
  4. Воспользоваться опцией «Получить пароль».
  5. Данные из СМС ввести в соответствующее поле и нажать «Подтвердить».
  6. В новом окне появятся 25 строк, каждая из которых содержит последовательность знаков, генерируемых практически мгновенно после подтверждения действий пользователя одноразовым паролем. Система сразу же предложит распечатать их.

Полученные данные можно распечатать на принтере или же просто переписать. В дальнейшем эти шифры позволят клиенту выполнить 25 действий, включая транзакции со счета виртуальной карты. Другими словами имеет место формула 1 код = 1 операция.

Важно! Следует помнить, что данная услуга, предоставляемая платежной системой Яндекс, является абсолютно бесплатной.

Настоятельно рекомендуется позаботиться о запасном варианте доступа заблаговременно, чтобы не возникало проблем в ситуациях, когда требуется быстро вывести деньги со счета.

Зная функции аварийных паролей и освоив алгоритм их выпуск и получения, пользователь системы может не беспокоиться о доступе к своей учетной записи. Для совершения любых операций при наличии этих кодов не понадобится мобильный телефон (при его потере или выходе из строя) и получение смс-паролей для подтверждения действий на всех этапах транзакций или настройки аккаунта.

Как узнать платежный пароль кошелька Яндекс Деньги

В России наибольшей популярностью пользуется электронный кошелек от Яндекс, так как им очень удобно пользоваться. Кроме того, что с помощью Яндекс Деньги можно отправлять средства на другие кошельки, банковские карты и оплачивать услуги, пользователь может выпустить пластиковую карту и оплачивать товар в обычных магазинах. Однако в любом случае большинство людей пользуются электронным счетом для оплаты услуг в интернете. Для того бы совершать различные платежи, необходимо узнать платежный пароль Яндекс Деньги.

Информация о платежном пароле

Если человек давно пользуется электронным кошельком, то у него может возникнуть вопрос, где взять платежный пароль. Дело в том, что раньше для проведения различных операций в кошельке требовался платежный пароль. Те, кто зарегистрировали свой кошелек до 2014 использовали именно его.

Если человек забыл или потерял платежный пароль, то восстановить его уже не получится. Пользователю потребуется перейти на пароли из СМС. Дело в том, что одноразовые коды являются более надежными, чем один пароль на все платежи. Их нельзя украсть или каким-то способ узнать, если нет доступа к телефону.

Важно! Переход на пароли из СМС осуществляется только через службу поддержки. Сделать это самостоятельно у пользователя не получится.

Переход на СМС пароли

Восстановить платежный пароль от Яндекс кошелька, если он был утерян никак не получится. Пользователь может только перейти на другой способ подтверждения своих денежных операций. Для того чтобы это сделать, необходимо:

  1. Перейти в службу поддержки Яндекс .
  2. Выбрать вариант «Перейти на пароли в СМС».
  3. Позвонить по одному из указанных номеров или заполнить форму для запроса.
  4. В теме выбрать «Проблемы с паролем или доступом».
  5. Указать «Не помню платежный пароль» и сумму, которая находится на кошельке. Дело в том, что если на кошельке лежат большие суммы, то решать проблему будет сложнее.
  6. Указать статус кошелька, оставить комментарий, ввести номер телефона, номер кошелька и адрес электронной почты.
  7. Нажать на кнопку «Отправить сообщение».

Обычно служба поддержки отвечает в течение 24 часов. Ответ поступит на тот почтовый ящик, который пользователь указал в обращении. Далее нужно будет отправить необходимые данные работнику Яндекса или же писать заявление и отравлять его в офис Яндекса. Восстановление может занять длительное время, к чему нужно подготовиться.

Подтверждение платежей

После того, как служба поддержки изменит способ подтверждения платежей и паролей, пользователю снова будут доступны все функции электронного кошелька. Важно учитывать, что без актуального номера телефона не получится делать переводы, оплачивать услуги и пользоваться мобильным приложением Яндекс Деньги.

Способ 1. Подтверждение платежей при помощи СМС

Для того чтобы совершить перевод на другой кошелек или карту, оплатить услугу или товар, необходимо:

  1. Авторизоваться в кошельке и перейти в раздел «Денежные переводы».
  2. Выбрать необходимый вариант, например, перевод на другой кошелек.
  3. Ввести все необходимые данные и нажать на кнопку «Продолжить».
  4. Проверить правильность введенных данных и нажать на кнопку «Заплатить».
  5. Ввести код платежа, который придет в СМС.
  6. Нажать на кнопку «Заплатить».

Важно! Подтвердить платежи и переводы с помощью QR кода нельзя. Такую возможность платежная система своим пользователям не предоставляет.

Способ 2. Подтверждение платежей при помощи аварийных кодов

Если у пользователя нет возможности получить СМС на свой телефон или доступ к актуальному номеру телефона был потерян, то подтверждать платежи можно при помощи аварийных кодов. Иногда аварийные коды выручают в том случае, если просто не приходит СМС Яндекс Деньги. Для подтверждения переводов таким образом, необходимо:

  1. Провести те действия, которые были описаны выше, но на этапе подтверждения платежа выбрать «Использовать аварийный код».
  2. Ввести один из актуальных аварийных кодов, которые были получены раньше.
  3. Нажать на кнопку «Заплатить».

Получение аварийных кодов

Для того чтобы использовать аварийные коды Яндекс Деньги, необходимо сначала их получить. Сделать это можно только в том случае, если у пользователя имеется доступ к актуальному номеру телефона. Именно поэтому рекомендуется получить коды в самом начале использования кошельком, чтобы потом с этим не возникло проблем. Коды требуется сохранить в телефоне или распечатать. Для их получения необходимо:

  1. Перейти в раздел «Настройки».
  2. Нажать на кнопку «Выпустить аварийные коды».
  3. Нажать на кнопку «Получить пароль».
  4. Ввести пароль из СМС и нажать на кнопку «Подтвердить».
  5. Сохранить коды.

Получить аварийный код можно в любой момент. Всего их выдается 25 и каждый можно использовать один раз.

Если у пользователя возникает вопрос, где взять платежный пароль, то, скорее всего, он его потерял или забыл. В таком случае ему придется переходить на новый вариант подтверждения платежей в Яндекс.

Как узнать платежный пароль перевода в Яндекс Деньги

Платёжный пароль Яндекс.Деньги помогает уберечь финансовые вложения в системе Яндекс. С ростом числа мошенников во Всемирной паутине, данный способ защиты значительно сокращает возможность потери материальных средств.

Платёжный пароль: зачем и для чего

Платёжный пароль предназначен для обеспечения безопасности юзеров, которые хранят сбережения в структуре Яндекс, а также для подтверждения разных действий в электронном кошельке

  • снятие средств со счёта;
  • совершение платежей в различной сфере услуг;
  • активирование карты предоплаты;
  • подключение и отключение услуг в системе Яндекс.Деньги.
Читайте также:  Как вывести деньги с РayРal на карту Сбербанка

Группы паролей

Выделяют две группы паролей:

  1. Постоянные. Пользователь не задаёт этот пароль сам, он генерируется системой произвольно. Платёжный пароль Яндекс.Деньги после регистрации приходит на электронный ящик. Желательно не хранить пришедший код в электронном письме и на компьютере для безопасности, а переписать на отдельный лист.
  2. Одноразовые. В отличие от постоянного пароля, их не стоит запоминать, потому что каждый раз система выдаёт разный шифр.

Одноразовые коды встречаются в виде:

  • паролей, которые приходят в SMS-сообщениях;
  • таблиц разовых паролей;
  • аварийных и электронных ключей;
  • шифров, полученных в приложении Яндекс.Ключ.

Преимущества и недостатки

Плюсы одноразовых паролей:

  1. Высокая надёжность. Мошенники банально не успевают считать код, посланный структурой Яндекс на сотовый телефон пользователя.
  2. Не нужно каждый раз вспоминать набор символов, прятать код от посторонних.
  3. После финансовой операции, все данные из системы удаляются, преступник не имеет возможности получить информацию о средствах на счету.

А минус всего один, и связан он с техническими неполадками в системе. Не всегда мгновенно приходит пароль, иногда необходимо подождать.

Преимущества постоянных паролей:

  1. Код один и тот же, его можно вводить на любом устройстве.
  2. Разовый код приходит на телефон, поэтому не придётся ломать голову, где же находится мобильный.
  3. При использовании постоянного пароля, неполадки в системе не страшны.

Минус довольно значительный – низкий уровень безопасности. При потере пароля доступ к аккаунту могут заблокировать.

Способы восстановления платёжного пароля

Восстановить платёжный пароль возможно тремя методами.

С помощью СМС

Следует пройти авторизацию в личном кабинете Яндекс.Деньги, затем кликнуть на функцию «Восстановление платёжного пароля». После на номер сотового, привязанного к аккаунту, придёт текст с кодом, который нужно ввести в открывшееся на экране поле «СМС-код». Затем нажать кнопку «Восстановить», соглашаясь с условиями. При отмене операции, щёлкнуть по клавише «Отказаться».

При получении аварийного кода

Авторизоваться в системе Яндекс.Деньги, выбрать раздел «Восстановление платежного пароля». Найти кнопку «Отправить письмо» и нажать на неё. На указанный при регистрации почтовый ящик придёт электронное письмо с подробной инструкцией о дальнейших действиях. Иногда пришедшее на почту сообщение помечается системой, как спам, поэтому проверьте эту папку, если долго нет нужного письма.

В полученном письме лежит ссылка, проследовав по которой в специальном окне необходимо вписать код восстановления. Для ввода есть пять попыток. После пятой неправильной попытки произойдёт автоматическая блокировка денежного счёта.

Написав заявление в службу поддержки

Следует заполнить электронную заявку.

Более подробные инструкции приведены на официальном сайте:

Что такое платёжный пароль в Яндекс Деньги и как его узнать

Из-за увеличения числа интернет-мошенников многие платёжные системы работают над усилением безопасности. Ведь именно сервис, на котором находятся денежные средства пользователей, отвечает за сохранность денег. Защитить все операции с финансами в системе Яндекс помогает платёжный пароль Яндекс. Деньги, узнать и восстановить который можно несколькими способами.

Для чего требуется платёжный пароль и где его взять

Изменение постоянного кода

С помощью кода восстановления

Видео «Инструкция на тему получения аварийного кода»

Комментарии и Отзывы

Для чего требуется платёжный пароль и где его взять

Платёжный пароль требуется пользователю, чтобы подтверждать любые свои действия в электронном кошельке:

  • совершать платежи, производя оплату каких-либо услуг;
  • выводить деньги со счета;
  • активировать карточку предоплаты;
  • подключать и отключать всевозможные услуги системы Яндекс. Деньги и т. д.

Смотрите видео, в котором показана процедура восстановления пароля для доступа к учётной записи в Яндекс. Деньгах.

Разновидности

Прежде чем сделать и посмотреть свой пароль, необходимо разобраться, как выглядит код и какие бывают виды.

Постоянный пароль

Первоначально пользователь не может сам создать пароль, его автоматически сгенерирует система. Найти платёжный пароль Яндекс. Деньги можно в электронном письме, пришедшего сразу после регистрации. Этот код содержит в себе не меньше восьми символов, при этом в нём есть как цифры, так и заглавные, а также прописные буквы.

Не рекомендуется хранить постоянный код на электронной почте, а также в текстовом файле или в другом виде на жёстком диске компьютера. В случае взлома злоумышленники быстрее получат данные для входа в вашу учётную запись, что позволит им перевести финансы на свой счёт. Желательно, чтобы код был записан на отдельном листе бумаги, к которому не будет доступа ни у кого, кроме владельца кошелька.

Одноразовый пароль

Объединяет одноразовые пароли одно свойство — их не нужно запоминать, на каждую операцию генерируется новый код.

К одноразовым кодам относятся:

  • пароли, которые приходят в SMS-сообщениях (обычно состоит из четырех цифр);
  • аварийный и электронный ключи;
  • таблица разовых паролей;
  • шифры, сгенерированные специальным приложением Яндекс. Ключ.

Если для доступа к электронному счету через Яндекс. Ключ используется планшет, то для получения данных нажмите на кнопку «Показать код».

Преимущества и недостатки

У постоянных и одноразовых паролей есть свои преимущества и недостатки.

Достоинства одноразовых паролей:

  1. Пользователю не нужно стараться вспомнить сложную комбинацию, записывать код на бумагу и прятать его от посторонних людей.
  2. Хорошая надёжность. Если учётная запись подвергается атаке киберпреступников, то злоумышленники не смогут перехватить код, отосланный системой Яндекс. Деньги на мобильный телефон. Обычно процедура отправки сообщения занимает не более 30 секунд, у преступников физически не хватит времени для получения кода.
  3. Когда финансовая операция будет завершена, вся информация из системы удаляется. Благодаря высокой безопасности без пароля преступник не сможет получить доступ к данным о финансах.

Одноразовые пароли не имеют других минусов, кроме сильной зависимости от технических неполадок в работе сервиса. При неисправностях системы пользователю иногда приходится долго ждать код на телефон.

Постоянные пароли тоже имеют свои плюсы:

  1. Пользователь запоминает код только один раз. Он используется для дальнейшего входа в учётную запись со всех других устройств.
  2. Не придётся думать над тем, где находится ваше мобильное устройство, поскольку разовый код приходит именно на телефон.
  3. Юзеры, использующие постоянный пароль, не зависят от сбоев в работе терминалов.

К недостаткам постоянного пароля относится низкую безопасность. Если пользователь забудет пароль, то доступ к аккаунту может быть заблокирован.

Канал Artem Channel обнародовал ролик, в котором продемонстрирована инструкция по восстановлению пароля, если пользователь потерял мобильное устройство.

Изменение постоянного кода

Разработчики Яндекс предусмотрели возможность поменять постоянный код через основное меню системы в разделе «Яндекс. Паспорт» — «Платёжные данные». Но чтобы сделать это, необходимо ввести действующий код. Изменить пароль в случае его утери можно, воспользовавшись процедурой восстановления.

Как восстановить платёжный пароль Яндекс. Деньги, узнать можно из ролика, снятого каналом TeachVideo.

Варианты восстановления

Существует три способа восстановления забытого платёжного пароля. Рассмотрим каждый из них подробно.

Через СМС

Для выполнения восстановления через мобильное устройство, выполните следующие действия:

  1. Зайдите на официальный ресурс системы Яндекс. Деньги и выполните авторизацию в свой аккаунт.
  2. Кликните левой кнопкой мыши на меню «Восстановление платёжного кода». Такая ссылка есть на каждой странице, где требуется ввод пароля.
  3. Перейдите во вкладку «Если к кошельку привязан телефон» и нажмите на «Вспомнить пароль».
  4. Система перебросит на страницу, где вы увидите надпись «Получить СМС». Эта кнопка будет одна на странице, поэтому её сложно пропустить. Поскольку авторизация выполнена успешно, сервис Яндекс автоматически вычислит мобильный номер телефона, привязанный ко счету. Теперь необходимо дождаться, пока придёт сообщение на гаджет.
  5. Введите полученный одноразовый пароль в поле «СМС-код», которое появится после нажатия на кнопку. Подтвердите действие.
  6. Откроется окно, где пользователь должен ввести новый пароль и адрес электронной почты для получения уведомлений. Введите данные и подтвердите действие. Если во время выполнения задачи вы передумали и решили не восстанавливать код, то можете отказаться, нажав соответствующую кнопку.

Канал «Продвижение МЛМ в Интернет — Ирина Клепикова» опубликовал ролик, в котором показана процедура восстановления платёжного кода.

С помощью кода восстановления

Для восстановления данных можно использовать специальный код, который вы указали при открытии кошелька:

  1. Выполните авторизацию в системе Яндекс. Деньги.
  2. Перейдите в раздел восстановления платёжного кода.
  3. Найдите меню «Отправить письмо» и нажмите на него кнопкой мыши. Откроется окно, в котором написан адрес электронной почты. На этот ящик система автоматически отправит сообщение с инструкцией и ссылкой на страницу восстановления информации. Электронное письмо от системы Яндекс иногда распознаётся почтовыми серверами как спам и попадает в соответствующую папку. Если сообщение не приходит, проверьте папку «Спам». При отсутствии письма в ней удостоверьтесь, что в профиле верно указана ваша электронная почта.
  4. Кликните по полученной ссылке. На этой странице нужно ввести код восстановления. На это даётся не более пяти попыток. После пятого пароля, введённого неверно, система автоматически заблокирует денежный счёт.
Читайте также:  Как вернуть деньги с QIWI-кошелька мошенника

Написав заявление

Если восстановить данные двумя вышеописанными способами не получилось, можно отправить сообщение в службу технической поддержки, в отдел безопасности системы. Так поступают, если доступ к электронной почте и привязанному телефону утрачен или данные были введены некорректно.

Для обращения в службу безопасности скачайте бланк заявления в разделе «Помощь» — «Пароли» — «Постоянный платёжный пароль» и введите туда информацию о себе. Распечатайте и подпишите.

Подать заявление в службу технической поддержки можно двумя способами:

  1. Лично посетив один из офисов Яндекс. Они указаны на официальном сайте в разделе «Контакты».
  2. Отправив документ по почте на адрес: город Москва, 119021, а/я 57, ООО Яндекс. Деньги. В этом случае потребуется приложить копии главной страницы паспорта и страницы с регистрацией. Один из документов нужно нотариально заверить: либо копию паспорта, либо подпись на заявлении.

Обработка обращения может занять до нескольких недель. По истечении этого времени к аккаунту будет привязан номер телефона, указанный в заявлении. На гаджет придёт СМС с одноразовым особым кодом. Введите его на сайте. Старый платёжный пароль сбросится, и появится возможность сменить его.

Видео «Инструкция на тему получения аварийного кода»

Канал Платёжные системы интернета опубликовал ролик, в котором продемонстрирована инструкция о том, как получить аварийный пароль для восстановления информации в системе Яндекс. Деньги.

Яндекс Деньги, безопасность и все все все

Около 15 лет назад завел почту на домене yandex.ru, именно тогда и был создан мой ник. И все было в целом замечательно, до начала этого года. Дело в том, что я живу в ДНР, а в начале января этого года, нам отключили мобильную связь МТС/vodafone. Отключили и ладно, переживем. Тогда еще не знал, как работает техподдержка ЯД.

Решил я в 31 января зайти в мобильное приложение Яндекс Деньги. Но так просто не войдешь, я же поставил Яндекс Ключ. Этакая вещь которая генерирует ваш пароль каждые 30 секунд. Именно пароль, безопасность все таки. Чтобы добраться до этого пароля ты должен ввести пин код от приложения, а после чего пин код от аккаунта. Безопасность!

Логин яДеньги брал как я понял из приложения яКлюч. Казалось бы введи пин коды и все, счастье. А вот и нет

Просит код из приложения и доступны только цифры для ввода.

А вот как выглядит пароль. (логин и часть пароля замазал)

Магия! Просит пароль из яКлюч, а в нем только буквы, цифер нет.

Наверно разработчик приложения яДеньги накосячил, подумал я и написал в ТП письмо, что и было сделано вечером того дня.

Прошла неделя, МТС нам так и не включили, и я решил покупать пакет местного оператора, что не очень то просто, из-за огромных очередей и отсутствия пакетов в местах продажи. А тут как раз и яндекс ответил. Попросил предоставить номер телефона и доступен ли он мне. В данном случае меня переведут на одноразовые смс пароли.

То есть яКлюч бесполезен, и можно только по смс? Примерно такой вопрос был задан ТП.

Прошло еще одна неделя. Пакет местного оператора был приобретен, а от ТП я получил следующий ответ

Приносим извинения за длительное ожидание ответа.
После перехода на пароли в СМС вы самостоятельно сможете настроить способ подтверждения платежей на тот, который будет вам удобен, используя одноразовый пароль из СМС.

Ну ладно, и указал номер местного оператора, и то что он доступен.

Прошла неделя. Пришел ответ

Приносим свои извинения за длительную обработку вашего запроса.
К сожалению, вы указали номер телефона, который не является актуальным по счету.
Увидеть последние две цифры актуального номера вы можете в разделе “Настройки”: https://money.yandex.ru/settings
Уточните, пожалуйста, вы имеете доступ к указанному в этом разделе номеру телефона?

Да я ошибся и не указал сразу номер телефона к которому было привязан аккаунт яДеньги. Но и формулировка последнего письма стояла “который будет вам удобен”

Ок, отправляю номер телефона к которому привязан аккаунт, то что он мне НЕ доступен, и тот который у меня сейчас.

Повезло, ответили на следующий день

Возможно, произошло недопонимание — мы можем перевести вас только на телефон, который привязан к кошельку, если он вам доступен. Уже после этого вы можете выбрать удобный для вас способ подтверждения платежей, например, пароли в приложении.
Сообщите, пожалуйста, гражданином какой страны вы являетесь.

Зачем тогда указывать Доступен он или нет? При чем тут гражданство? Мне не сложно, отвечаем какое у меня гражданство. Это было 27 февраля.

Сегодня же получил данное письмо

Мы понимаем сложность ситуации, в которой вы оказались, и сочувствуем. Мы очень сожалеем, что для вас возникли такие неудобства.
Однако наши правила обязательны для всех, и сделать исключение мы не можем. Начиная использовать наш сервис, вы подтвердили, что принимаете “Соглашение об использовании”. Для решения этого вопроса вам необходимо действовать так, как мы рекомендовали в прошлых письмах.

Выводы каждый может сделать сам.

Допустим все же ошибка была в самом приложении. Заходим на сайт https://money.yandex.ru и пробуем там сменить номер телефона

И тут тоже для ввода доступны только цифры. В “Не можете получить доступ” нам предлогают

– получить новую сим-карту со старым номером
– использовать аварийние коды или выбрать новый способ получения паролей (везде требуют код из приложения)
– Чтобы восстановить доступ к кошельку, заполните заявление. Его можно принести в офисы Яндекс.Денег (Россия) или в офисы наших агентов (Беларусь, Украина, Казахстан и другие)

Вот оно что, гражданство чтобы я смог отправить заявление.

Ладненько. Там приложение яДеньги просила код из яКлюч или Google Authenticator. Значит наверно все таки его можно как-то привязать, да и код для входа он выдает в цифрах. Пробуем подключить на почте двухфакторку. Просит пароль и номер телефона, а дальше.

Настройка двухфакторной аутентификацииβ
Шаг 2 из 4. Придумайте и запомните пин-код
Пин-код нужен каждый раз, когда вы получаете одноразовый пароль в Яндекс.Ключе, а также для восстановления доступа к аккаунту. Храните пин-код в тайне. Сотрудники службы поддержки Яндекса никогда его не спрашивают.
Введите от 4 до 16 цифр пин-кода

Тут Яндекс Ключ. Создаем пин код, дальше просят распознать QR код. Пробуем через Google Authenticator – Ошибка Распознать QR-код не удалось. Ну ладно. Если же пробовать в Яндекс Деньги привязывать

Вот тут как раз таки и есть нормальный аунтефикатор.

1) Хочешь доступ к яДеньги – имей доступ к телефону, что логично.

2) Нет доступа – укажите ваш номер телефона и доступен он вам

3) Хочешь сменить номер – укажи гражданином какой страны ты являешься, а потом см п.2

Да, у Яндекса есть свое приложение аунтефикации, но работает оно только для входа на сайты (точно там где есть вход по QR-коды). Сменить для почты, его на нормальное человеческое приложение от гугла нельзя. Для Яндекс деньги это вообще печально. Привязал – считай, что доступ потерял, хотя должно быть наоборот. Техподдержку изначально ткнули носом в эту ошибку – они ничего не могут сделать.

На счету 80р. Их не жалко, я могу создать другой аккаунт, и привязать нормальную двухфакторку. Да будет немного не удобно, но я не так часто пользуюсь этим электронным кошельком, QIWI удобней. Просто обидно. Пользовался приложениями от Яндекса, а они у них багованные, ТП медленная и бесполезная. Кампания полностью разочаровала

Все установленные приложения от Яндекса актуальны на данный день. Чукча не писатель, в тексте возможны ошибки. В качестве бонуса вот вам скрин из google play

PS. Сменить номер телефона на почте можно БЕЗ подтверждения по номеру телефона. Безопасность как она есть.

Одноразовые пароли Яндекс.Денег — бесполезны

Антон Чурюмов, 16.02.2015.

Пользователи Яндекс.Денег подтверждают каждую расходную операцию с помощью одноразового пароля. Это должно защитить их деньги, однако на практике во многих случаях защита не работает.

Яндекс.Деньги предлагают два способа получения одноразовых паролей — SMS и коды из мобильного приложения «Яндекс.Деньги» для iOS, Android и Windows Phone.

Если пользователь выбирает SMS, то когда он совершает транзакцию, например переводит 10 рублей на кошелек № 123456, он получит SMS такого содержания «Пароль: 1234. Перевод на счет 123456 10р.». Если пользователь на самом деле хотел перевести другую сумму на другой кошелек или вовсе не пытался переводить никакие деньги, то он не введет SMS-пароль, и его деньги останутся с ним. Это пример, когда второй фактор защиты — SMS-пароль — работает.

Читайте также:  Регистрация в Яндекс.Деньги - как создать кошелек

Если же пользователь выбрал, что он хочет подтверждать транзакции с помощью одноразовых паролей из приложения «Яндекс.Деньги», то ему нужно открыть приложение и переписать 6 цифр одноразового пароля (которые меняются каждые 30 секунд) из приложения на страницу сайта Яндекс.Денег. Тут чего-то не хватает? Правильно — пользователь не контролирует содержание транзакции, которую он подтверждает. Перечисляет он 10 рублей или 100 000 рублей, своему другу или Бендеру Остапу Ибрагимовичу, в любом случае он тупо переписывает 6 цифр из телефона в компьютер, и транзакция считается подтвержденной.

Исходя из сказанного, вектор атаки становится очевиден. Если на компьютер пользователя внедряется троян, который может изменять содержимое страниц, которые видит пользователь, и может изменять содержание данных, которые отправляются из браузера на сервер Яндекс.Денег, то этот троян может легко подделать содержание транзакции, которую отправляет пользователь, и ничто не вызовет его подозрение, когда он будет подтверждать транзакцию с помощью одноразового пароля из приложения. Для Яндекс.Денег это будет выглядеть так как будто пользователь действительно создал перевод на 100 000 руб. на кошелек Бендера О.И. и подтвердил перевод правильным одноразовым паролем из приложения. Такой тип атаки называется man-in-the-browser (MitB).

Фундаментальная ошибка Яндекс.Денег в том, что с помощью одноразового пароля из приложения они проверяют подлинность пользователя, тогда как необходимо проверять подлинность транзакции. И Яндекс.Деньги не первые, кто делает эту ошибку. Говоря о банках, известный криптограф и специалист в области IT безопасности Брюс Шнайер, писал об опасности подмены аутентификации транзакции аутентификацией пользователя еще в 2005 году: “By concentrating on authenticating the individual rather than authenticating the transaction, banks are forced to defend against criminal tactics rather than the crime itself.”. В итоге, та защита, что есть сейчас, поможет пользователю Яндекс.Денег сохранить свои деньги если у него украли пароль, но не поможет, если в его браузер внедрен специально написанный троян.

Так ли сложно написать такой троян? Для этого достаточно квалификации среднего программиста, знакомого с javascript и сутью атаки.

Все основные браузеры позволяют расширять и дополнять свою функциональность с помощью браузерных расширений. Расширения как правило пишутся на javascript и им доступно содержание любой страницы, которую посещает пользователь, более того, они могут его менять. Например, есть расширения, которые блокируют рекламу или предупреждают пользователя, когда он посещает потенциально опасные сайты.

Подмена данных транзакции в Яндекс.Деньгах может быть легко сделана с помощью браузерного расширения. Для демонстрации я потратил немного времени, чтобы написать такое proof-of-concept расширение для браузера Google Chrome. Расширение активируется только когда пользователь заходит в свой личный кабинет в Яндекс.Деньгах и пытается пополнить телефон с помощью Яндекс.Денег («Товары и услуги» далее «Мобильная связь») на сумму менее 20 рублей. Номер телефона, который вводит пользователь, расширение заменит на номер+1, т.е. например если пользователь хочет положить деньги на номер (903) 555 5555, то деньги реально попадут на номер (903) 555 5556. Расширение предупреждает о том, что номер подменен. Любой, кому не жалко потерять небольшую сумму до 20 рублей, может поставить это расширение в свой браузер Chrome и попробовать пополнить свой номер Яндекс.Деньгами, затем проверить в истории транзакций, что реально деньги ушли на номер+1. (Если вы введете свой номер минус 1, то деньги попадут на ваш реальный номер). Само расширение очень простое, его исходный код я выложил на github. Публикация расширения и исходного кода предназначена только для ознакомления и для того, чтобы показать, что подмена данных в браузере не представляет никакой сложности.

Очевидно, что атакующий, который хотел бы лишить пользователей их Яндекс.Денег, мог бы написать расширение, которое подменяет данные транзакции, и рекламировать его как расширение которое блокирует рекламу, позволяет увидеть, кто заходил на вашу страничку ВКонтакте и т.д. Найдется немало пользователей, которые его установят, и при очередном платеже Яндекс.Деньгами их платеж будет перенаправлен на реквизиты атакующего.

Указанная уязвимость напрямую касается пользователей Яндекс.Денег, которые выбрали в настройках подтверждение транзакций с помощью одноразовых паролей в приложении. Те, кто выбрали SMS, лучше защищены, потому что имеют возможность контролировать содержание транзакции, которую они подтверждают. Однако и для них картина не такая радужная, потому что Яндекс.Деньги предоставили потенциальным взломщикам еще одну лазейку — аварийные коды.

Аварийные коды позволяют пользователям подтверждать транзакции, когда нет возможности подтвердить транзакцию обычным способом, например, когда рядом нет телефона или не доходит SMS. Пользователи распечатывают аварийные коды заранее и используют в таких чрезвычайных ситуациях. По сути, это те же одноразовые пароли, и, также как и одноразовые пароли из приложения, они страдают тем же недостатком: позволяют подтвердить подлинность пользователя, но не подлинность транзакции. Поэтому при подтверждении аварийными кодами атакующий снова может подделать содержание транзакции (сумму и реквизиты получателя), и ни пользователь, ни Яндекс.Деньги ничего не заметят до того, как транзакция будет исполнена. Атакующему не обязательно дожидаться того момента когда пользователь сам добровольно воспользуется аварийными кодами — его троян может выдавать пользователю ложные сообщения об ошибках о том, что якобы «не удалось отправить SMS, воспользуйтесь, пожалуйста, аварийными кодами».

Поскольку об атаках типа MitB известно уже более 10 лет и их реализация предельно проста, а незащищенность Яндекс.Денег по отношению к MitB видна невооруженным взглядом, вполне вероятно, что пользователи Яндекс.Денег уже неоднократно подвергались таким атакам и теряли деньги.

Я написал Яндекс.Деньгам о существующих уязвимостях, и вот что получил в ответ:

Мы знаем про существование MitB. Но, в данном случае, описанный сценарий сложно считать уязвимостью сервиса. Как вы понимаете, подобный сценарий возможен не только с сервисом Яндекс.Денег, но и с любым сайтом. Мы делаем все возможное, чтобы обезопасить платежи на своей стороне, а пользователи по условиям пользовательского соглашения (п.4.21.7) должны обеспечить безопасность соединения и компьютера, используя обычные средства защиты (антивирус и т.д). Тем не менее, меры по защите от атак типа MitB нами тоже прорабатываются.

Таким образом, Яндекс.Деньги признают бесполезность существующих мер защиты против атак типа MitB и ошибочно считают, что против таких атак не защищен никто. Это означает, что деньги на кошельке в Яндекс.Деньгах защищены так же хорошо (или также плохо), как и компьютер, на котором работает пользователь, а второй фактор защиты, коим должен быть одноразовый пароль, не работает. Таким образом, весь этот ритуал с переписыванием шести ничего не значащих цифр из телефона в компьютер создает лишь ложное чувство безопасности (это называется security theater) и не защищает от одной из самых легко эксплуатируемых угроз.

Мы в TeddyID делаем телефон полноценным вторым фактором защиты. Независимо от того, что является первым фактором защиты и как он мог быть скомпрометирован (украден пароль, фишинг, MitB, …), на телефоне пользователь увидит подлинное содержание транзакции, и если оно не соответствует ожиданиям пользователя, он просто нажмет кнопку «Нет» и транзакция будет отменена. Таким образом, пользователь сможет сохранить свои деньги даже если его компьютер поражен трояном (MitB). Если же с транзакцией все в порядке, пользователь просто нажмет кнопку «Да». Это подтверждение подлинности транзакции и это полный контроль пользователя над транзакцией. А также фантастическая простота использования — пользователь нажимает всего лишь одну кнопку, никаких кодов, никаких переписываний бессмысленных цифр.

Что предпринять пользователям пока Яндекс.Деньги прорабатывают меры по защите от атак типа MitB? Если вы не можете на 100% быть уверенными, что не подхватите никакой троян, то переключитесь на пароли в SMS, если сейчас подтверждаете транзакции с помощью одноразовых паролей из приложения, и воздержитесь от использования аварийных кодов. Но более правильно, если Яндекс.Деньги сами не будут предлагать пользователям заведомо небезопасные опции: одноразовые пароли из приложения и аварийные коды.

Я рассказал об этой уязвимости в Яндекс.Деньгах для того чтобы помочь рядовым пользователям отличать реальную многоуровневую защиту от security theater. А также предостеречь другие сервисы от повторения ошибки, которая известна уже более 10 лет. Для них, мы не только заявляем о проблеме, но и предлагаем продукт для надежной двухфакторной защиты.

Ссылка на основную публикацию