OpenAI усилила защиту аккаунтов ChatGPT и Codex и запустила партнёрство с Yubico

Что нового

OpenAI запустила Advanced Account Security — продвинутый режим защиты аккаунта для пользователей ChatGPT и Codex.

Ключевые изменения:

• Новый режим безопасности по выбору пользователя: Advanced Account Security нужно включить вручную в настройках безопасности на веб-версии ChatGPT.
• Только устойчивый к фишингу вход: при включении режима вход по паролю отключается. Остаются только passkeys и физические ключи безопасности.
• Ужесточённое восстановление доступа: отключается восстановление по email и SMS. Доступ можно вернуть только через резервные passkeys, физические ключи и recovery key.
• OpenAI Support больше не помогает с восстановлением для аккаунтов с Advanced Account Security. Потеряли все ключи — потеряли доступ к аккаунту.
• Укороченные сессии: время жизни сессий входа уменьшается, чтобы снизить риск при компрометации устройства или активной сессии.
• Уведомления о входах и управление сессиями: пользователь видит активные сессии на разных устройствах и получает алерты о новых логинах.
• Автоматическое исключение данных из обучения моделей: переписки аккаунтов с Advanced Account Security не попадают в тренировочные датасеты OpenAI.
• Партнёрство с Yubico: OpenAI договорилась о спеццене на набор YubiKey для пользователей, которые хотят аппаратные ключи.
  • В комплект входят: YubiKey C Nano (постоянно в ноутбуке) и YubiKey C NFC (для ноутбуков и смартфонов).
• Trusted Access for Cyber: с 1 июня 2026 года отдельные участники программы Trusted Access for Cyber, которые используют самые «кибер-пермиссивные» модели, обязаны включить Advanced Account Security. Организации могут вместо этого использовать корпоративный SSO с фишинг-устойчивой аутентификацией.

Как это работает

Advanced Account Security — это не один «тумблер», а набор связанных настроек, которые включаются пакетом.

1. Вход в аккаунт: только passkeys и физические ключи

После включения Advanced Account Security OpenAI отключает вход по паролю. Вместо него используются:

• Passkeys (программные ключи на устройствах и в менеджерах паролей, совместимые с FIDO);
• Физические ключи безопасности (например, YubiKey и другие FIDO-совместимые устройства).

Это защищает от классического фишинга: украсть пароль уже недостаточно, нужен физический доступ к устройству или ключу.

2. Восстановление аккаунта: без email и SMS

Обычно злоумышленник может перехватить доступ к почте или SIM-карте и через них восстановить аккаунты в сервисах. Advanced Account Security закрывает этот путь:

• Отключается восстановление по email;
• Отключается восстановление по SMS;
• Остаются только:
  • резервные passkeys;
  • физические ключи безопасности;
  • recovery key (длинный одноразовый ключ для последнего шанса входа).

Из-за этого OpenAI напрямую пишет: служба поддержки не сможет помочь с восстановлением, если вы потеряете все ключи и recovery key.

3. Сессии и оповещения

Чтобы уменьшить риск при угоне устройства или токена сессии, OpenAI меняет поведение авторизации:

• Сокращает время жизни активных сессий (конкретные цифры не раскрываются, но идея — чаще просить повторный вход);
• Присылает уведомления о каждом новом входе в аккаунт;
• Даёт панель управления активными сессиями — можно увидеть, где вы залогинены, и завершить лишние сессии.

4. Автоотказ от использования данных для обучения

В обычном режиме пользователь может вручную запретить использовать свои диалоги для обучения моделей OpenAI. В Advanced Account Security это вшито в режим по умолчанию:

• переписки аккаунта не используются для тренировки моделей OpenAI;
• это полезно, если вы работаете с конфиденциальными данными и не хотите думать о настройках приватности каждый раз.

5. Yubico и аппаратные ключи

OpenAI интегрирует в настройки безопасности предложение от Yubico:

• В интерфейсе безопасности на вебе пользователи увидят специальный набор YubiKey по льготной цене;
• В комплект входят:
  • YubiKey C Nano — компактный USB-C ключ, который можно постоянно держать в ноутбуке;
  • YubiKey C NFC — ключ с NFC для ноутбуков и мобильных устройств.

При этом OpenAI не привязывает пользователей к Yubico: можно использовать любой FIDO-совместимый ключ или только программные passkeys.

6. Trusted Access for Cyber

OpenAI развивает отдельную программу для специалистов по кибербезопасности — Trusted Access for Cyber. Там открывают доступ к более мощным и «разрешительным» кибер-моделям.

Для таких аккаунтов OpenAI усиливает требования:

• с 1 июня 2026 года индивидуальные аккаунты в программе должны включить Advanced Account Security;
• организации с доступом к этим моделям могут вместо этого использовать корпоративный SSO, если он поддерживает фишинг-устойчивую аутентификацию (например, вход с аппаратными ключами по стандарту FIDO).

Что это значит для вас

Кому это реально нужно

Advanced Account Security полезен, если вы:

• журналист, работающий с чувствительными источниками;
• политик, активист, правозащитник или оппозиционный деятель;
• исследователь или консультант, который держит в ChatGPT рабочие материалы и инсайдерскую информацию;
• инженер, использующий Codex и ChatGPT в критичных для бизнеса пайплайнах;
• человек с повышенными рисками атак: вы часто становитесь целью фишинга или уже сталкивались с попытками взлома аккаунтов.

В этих сценариях ChatGPT и Codex часто содержат:

• подробную историю запросов;
• рабочие документы, фрагменты кода и конфигураций;
• доступ к связанным инструментам и интеграциям.

Потеря такого аккаунта — это не просто «кто-то прочитал пару запросов», а возможный доступ к цепочке других сервисов и данных.

Кому лучше не спешить

Advanced Account Security делает аккаунт заметно безопаснее, но повышает риск безвозвратной потери доступа:

• Если вы не уверены, что сможете аккуратно хранить физические ключи и recovery key, режим может оказаться проблемой.
• Если вы часто теряете телефоны, флешки и не ведёте учёт резервных кодов, лучше пока остаться на стандартной защите.

Для большинства пользователей, которые задают бытовые вопросы, планируют путешествия или учат языки, стандартные настройки с двухфакторной аутентификацией уже достаточно надёжны.

Практические рекомендации

1. Оцените ценность данных в вашем аккаунте.

   • Если вы храните в ChatGPT важные документы, фрагменты кода, описания внутренних процессов — подумайте о переходе на Advanced Account Security.

2. Подготовьтесь до включения режима:

   • купите минимум два физических ключа (основной + резервный) или настройте несколько passkeys на разных устройствах;
   • создайте и сохраните recovery key в надёжном месте (менеджер паролей, офлайн-хранилище, сейф);
   • проверьте, что вы понимаете, как войти с каждого ключа и устройства.

3. Если работаете с особенно чувствительными данными:

   • включите Advanced Account Security ради автоматического отключения использования переписок в обучении;
   • не копируйте в ChatGPT секреты, ключи доступа, пароли и данные, которые по политике вашей компании нельзя выносить наружу — даже при усиленной защите.

4. Если вы в России или доступ к OpenAI заблокирован:

   • для работы с ChatGPT и настройками безопасности может потребоваться VPN и зарубежный аккаунт в сторе;
   • заранее убедитесь, что можете стабильно заходить в веб-версию ChatGPT, иначе в критический момент вы не сможете управлять ключами и сессиями.

5. Для корпоративных пользователей и команд по безопасности:

   • если у вас есть доступ к Trusted Access for Cyber, проверьте требования OpenAI до 1 июня 2026 года;
   • выберите стратегию: либо включить Advanced Account Security на индивидуальных аккаунтах, либо настроить SSO с фишинг-устойчивой аутентификацией.

Место на рынке

OpenAI не приводит прямых сравнений с конкурентами и не называет конкретные сервисы, но по набору мер Advanced Account Security выглядит как попытка подтянуть защиту аккаунтов ChatGPT и Codex до уровня, который уже стал стандартом для критичных сервисов:

• упор на FIDO-ключи и passkeys вместо паролей;
• отказ от восстановления по email и SMS для «повышенно защищённых» аккаунтов;
• обязательное использование таких схем для доступа к особо чувствительным кибер-инструментам.

Косвенно это показывает, как OpenAI сама оценивает роль своих продуктов:

• ChatGPT и Codex становятся частью рабочих процессов и инфраструктуры, а не просто «чатиком для развлечения»;
• запрос на корпоративный уровень безопасности теперь распространяется и на обычные пользовательские аккаунты, если владелец готов взять на себя ответственность за хранение ключей.

Отдельно стоит отметить партнёрство с Yubico:

• OpenAI не ограничивает пользователей только YubiKey, но явно продвигает аппаратные ключи как «золотой стандарт» защиты;
• наличие спецкомплекта прямо в настройках безопасности снижает порог входа для тех, кто раньше не работал с физическими ключами.

С учётом планов OpenAI развивать Advanced Account Security и в сторону enterprise-сегмента, можно ожидать, что подобный режим рано или поздно станет базовым требованием для доступа к самым мощным моделям и инструментам — особенно там, где речь идёт о кибербезопасности и работе с чувствительными данными.

---

Advanced Account Security уже доступен для включения в веб-версии ChatGPT. Если вы относитесь к группе повышенного риска или строите на OpenAI критичные для работы процессы, имеет смысл потратить время на настройку ключей и перевести аккаунт на этот режим защиты.

---

Читайте также

• OpenAI закрывает «кибер-режим»: доступ к самым опасным возможностям — только по паспорту
• МТС Оплата запустила подарочные ваучеры для ChatGPT, Claude, Netflix и других зарубежных сервисов
• Stargate от OpenAI: как строят вычислительный фундамент для эпохи ИИ