Зайти на Госуслуги – не два байта переслать
C 28 октября 2023 года непременным условием станет дополнительное подтверждение входа на "Госуслуги"
Пока пользователь не выберет один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии, зайти на портал не получится. Министерство цифрового развития связи и массовых коммуникаций (Минцифры) подсчитало, что вторым вариантом (одноразовый код из стороннего приложения) воспользовалась уже половина пользователей "Госуслуг" - более 41 млн человек.
С 28 октября 2023 г. пользователи портала "Госуслуг" смогут один раз войти в аккаунт старым способом, чтобы уточнить данные, например, номер телефона, и выбрать дополнительную защиты. Для тех, кто не установит второй фактор защиты в этот визит, при последующем входе в аккаунт сервер предложит ее варианты.
Что выбрать (мнение специалистов)
SMS
По мнению технического директора Weblock Луки Сафонова, что ни один метод верификации не является абсолютно неуязвимым. Он советует использовать комбинацию различных методов: "SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона".
Директор по развитию и цифровой трансформации АО "Разумные деловые технологии" (РДТЕХ) Евгений Осьминин убежден, что "SMS в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя".
Ведущий инженер CorpSoft24 Михаил Сергеев предостерег, при пользовании электронными SIM-картами, поскольку мошенник с помощью социальной инженерии получить SMS-код, позволяющий ему перевыпустить электронную SIM-карту и получать SMS вместо владельца.
Внешние приложения генерации кода для входа в "Госуслуги"
По мнению Алексея Хмельницкого, генерального директора ООО "Рукс Солюшенс" наибольшую защищенность для пользователя может дать технология TOTP (time-based one-time password):
"Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала "Госуслуг", но и для любых других сервисов, в которых хранятся чувствительные данные клиентов.
Но такой способ не подходит для подтверждения платежных операций из-за отсутствия технической возможности выбора конкретной операции для подтверждения. Если одновременно открыть окно создания, например, платежного поручения с одними реквизитами и суммой, и рядом другое окно - с другими реквизитами, то код из приложения подойдет для всех операций".
Максим Хараск, руководитель отдела отраслевых архитекторов группы компаний Innostage уверен, что в случае приложения опасность наступает только в случае, когда устройство утеряно или там появилось шпионское ПО.
Как утверждает Игорь Корчагин, руководитель департамента информационной безопасности АО: "Информационная внедренческая компания" (разработчик программных продуктов ИВК) тоже наиболее оптимальным методом аутентификации видит получение одноразового кода из специальных приложений, использование которых не снижает общую защищенность, т. к. приложение не обладает обязательными сведениями о логине и пароле». По мнению Корчагина следует использовать ПО отечественных разработчиков - "Яндекс Ключ" или Kaspersky Password Manager.
Биометрия
Директор по развитию и цифровой трансформации АО "Разумные деловые технологии" (РДТЕХ) Евгений Осьминин подчеркнул, что "Безопасность сдачи биометрии через приложения "Госуслуг" высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение, либо сайт, предполагают использование аппаратного обеспечения пользователя и используют ограниченный набор типов сдаваемых данных.
Биометрические данные из-за неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека. Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации".
Чтобы зайти на портал "Госуслуг" с помощью биометрии, ранее нужно было зарегистрировать ее в отделении банка. С 20 октября 2023 г. россиянам стала доступна упрощенная сдача биометрии в Единую биометрическую систему (ЕБС) через мобильное приложение "Госуслуги биометрия" без использования загранпаспорта нового поколения.
Как считает Андрей Саломатин, экс вице-президент "Ренессанс Банка", у значительной части общества есть опасения по поводу утечек данных биометрии: «Но государство, очевидно, заинтересовано в распространении этой технологии, и будет этот процесс всячески стимулировать".
Может показаться, что мера надумана, но в условиях хакерских атак, это разумная перестраховка.
- по материалам comnews.ru
- news1.ru, pvsm.ru
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
«ПД-8 не спасет»: бывший аудитор Airbus раскрыл главную проблему Superjet
Почему ремоторизация Superjet не снимает всех вопросов? Бывший аудитор Airbus рассказал о главных рисках эксплуатации SSJ-100...
Россия ускоряет выпуск SJ-100: завод запустил схему, которой раньше не было
Новая производственная линия на заводе «Яковлева» позволяет быстрее выпускать SJ-100 благодаря переносу полного цикла сборки крыла...
Саботаж топливных королей очевиден. Россию в ловушку загнали "свои"
Саботаж топливных королей очевиден. Россию в ловушку загнали «свои». Казалось бы, наша страна уже не раз подобное проходила и должна была выработать иммунитет....
Медиков загнали в угол: кадровый голод толкнул врачей на крайние меры
На фоне роста числа резюме медиков кадровый голод в здравоохранении усиливается. В стране оценили масштаб нездоровой ситуации...
Атака на Омский НПЗ: какие последствия
Бандеровские БПЛА летят всё дальше вглубь России, а топливный кризис всё острее...
Сертификат с подвохом: почему Ил-114-300 не пускают в небо в грозу и мороз
Громкая новинка авиапрома получила разрешение на полёты с массой оговорок: Ил-114-300 запрещено летать в грозу, дождь и холод...
Когда жрать нечего, людям не до вкладов
«Наличный бум» лечится лишь заменой чашек во властном сервизе, но этого не будет...
Пашинян вымолил у России отмену запретов на ввоз товаров
Премьер-министр Армении отказался сообщать журналистам какие-либо детали достигнутых договоренностей, предлагая дождаться первых результатов....
Очереди на месяц и больше: зачем россияне штурмуют автосервисы
Расписание российских автосервисов забито на месяцы вперёд: в чём причина небывалого ажиотажа и что скрывается за километровыми очередями...
Британия угодила в экономическую могилу, которую рыла для России
И эта страна с начала СВО регулярно обещала крах России!...
Как похорошел Пхеньян при СВО
В КНДР сейчас строится 10 тыс новых домов в год – больше, чем в Нью-Йорке. На улицах Пхеньяна много китайских авто, граждане пользуются буржуазными благами...
Россиян ждёт сюрприз: правила индексации пенсий изменятся в 2027 году
В 2027 году в России изменятся правила индексации пенсий. Эксперт раскрыла, что это будет и от какого фактора зависят конкретные сроки...
Решение принято: НПЗ в России будут разбавлять бензин
Президент России Владимир Путин подписал закон, призванный стабилизировать внутренний рынок автомобильного топлива и поддержать отечественные...
СВО добралась и до российских банков – Reuters
Русские банки рискуют столкнуться со «взрывным» кризисом, — пишет Reuters со ссылкой на отчёт разведслужб....
Денег нет, но вы плодитесь
Условия семейной ипотеки ужесточат с 1 октября, а покупательная способность маткапитала сократилась вдвое за 10 лет. В новом ролике разбираем, как поддержка...
«Банки в шаге от коллапса»: Кто и зачем разгоняет панику в России
Последние годы медиаресурсы иноагентов пугали граждан России заморозкой вкладов. Когда страшилка перестала работать, был найден новый повод для беспокойства...