Мобильное приложение «Яндекс.Деньги» получило новый способ защиты — одноразовый пароль, который генерируется с помощью алгоритма TOTP (Time-based One Time Password Algorithm). С его помощью пользователь может подтверждать транзакции с мобильного.

Нововведение важно тем, что такие TOTP-пароли действительны ограниченный срок времени. То есть, через несколько минут после генерации пароль перестает действовать. Поэтому его практически бесполезно подбирать и, следовательно, взломать кошелек в «Яндекс.Деньги» и увести деньги практически невозможно. Если, конечно, не получить контроль еще и над смартфоном владельца (и это хороший повод ставить пароль на разблокировку мобильного девайса).

Для использования одноразовых паролей нужно установить приложение Яндекс.Денег на смартфон и привязать его к кошельку. В процессе привязки приложения генерируется специальный секретный код - приложение его «запоминает». Каждый раз, когда нужно подтвердить платеж, приложение создает пароль, используя тот самый секретный код и штамп времени (то есть учитывает, в какое время создается пароль). Когда созданный по этой схеме пароль вводится для подтверждения платежа, система проверяет, что он был создан корректно - с использованием секретного ключа и правильного времени. Все эти операции не требуют выхода в интернет со смартфона или наличия сигнала сотовой связи — пресс-служба Яндекса.

На данный момент функцию одноразового пароля сделали только для клиента «Яндекс.Деньги» под Android. Но в скором будущем ее получат смартфоны на iOS и Windows Phone.