Разбор механизмов аутентификации в Яндекс: вход по QR-коду и настройки двухфакторной защиты

В процессе изучения вариантов аутентификации в сервисах Яндекса возникли вопросы касательно логики работы входа с помощью QR-кода, особенно в контексте режима безопасности «Пароль + одноразовый пароль». Несмотря на изучение официальной документации, полной ясности достичь не удалось: информация кажется не вполне актуальной, а прямого ответа на ключевой вопрос в ней не содержится.

Сравнение двух методов входа

Для понимания ситуации рассмотрим два сценария:

  • Вход по логину и паролю: После ввода основных учетных данных система запрашивает одноразовый код (второй фактор). Механизм прозрачен и вопросов не вызывает.
  • Вход по QR-коду: Процесс проходит мгновенно, без запроса пароля или одноразового кода в браузере. Пользователь сканирует код в приложении «Яндекс Ключ» и сразу оказывается авторизованным в веб-интерфейсе.

Ключевая неясность в документации

Основное противоречие заключается в описании работы QR-кода. В разделах, посвященных режимам «Пароль + одноразовый пароль» и «Одноразовый пароль», приведен идентичный текст:

«Если приложение Яндекс Ключ распознает QR-код, то передаст в Яндекс ваш логин и одноразовый пароль и вы автоматически войдете в браузере.»

Это порождает главный вопрос: означает ли это, что при любых настройках безопасности серверу при сканировании QR-кода всегда передается именно одноразовый пароль, а не, например, криптографическое подтверждение владения устройством? Иными словами, является ли QR-код просто альтернативным каналом для доставки того же самого второго фактора?

Второй вопрос: отсутствие настройки «Одноразовый пароль»

В интерфейсе настроек безопасности (на приложенном скриншоте) отсутствует отдельный пункт для активации режима «Одноразовый пароль» (без основного пароля). Это вызывает недоумение: подобная возможность была описана ранее. Непонятно, связано ли это с ограничениями конкретного аккаунта, или данный метод входа был повсеместно упразднен в пользу комбинированного режима «Пароль + одноразовый пароль».

Для справки были изучены следующие страницы поддержки:
https://yandex.ru/support/id/ru/auth
https://yandex.ru/support/id/ru/authorization/twofa