Двухфакторную аутентификацию на «Госуслугах» сделали обязательной (пока только для новых пользователей). Что это такое? И насколько это вообще безопасно?
- Что случилось?
- Что вообще такое двухфакторная аутентификация?
- Какие факторы есть в «Госуслугах»?
- Какой из них выбрать?
- Как подключить одноразовый код?
- Почему не СМС?
- В чем проблема с биометрией?
- Что будет, если кто-то получит доступ к чужим «Госуслугам»?
- Помню, на каких-то выборах «Госуслуги» взламывали для голосования за «Единую Россию». Получается, власти сами усложнили себе задачу?
Что случилось?
С 1 октября 2023 года на портале «Госуслуги» стало обязательным использование двухфакторной аутентификации для новых пользователей и тех, кто восстанавливает свою учетную запись.
Если у вас уже есть учетная запись, то вас пока не будут заставлять использовать двухфакторную аутентификацию. Но это тот случай, когда лучше действовать на опережение и установить ее самим.
Что вообще такое двухфакторная аутентификация?
Это способ дополнительной защиты вашей учетной записи. При входе в систему от пользователя потребуют два разных метода подтверждения его личности. Это могут быть:
- фактор знания («то, что вы знаете») — например, пароль или пин-код
- фактор владения («то, что у вас есть») — телефонный номер для получения СМС или приложение для генерации одноразовых кодов
- биометрический фактор («то, кто вы такой») — отпечаток пальца или радужная оболочка глаза
Какие факторы есть в «Госуслугах»?
В «Госуслугах» первый фактор, который у вас обязательно потребуют, — это всегда пароль. А второй может быть разным:
- одноразовый код, который присылают по СМС
- одноразовый код из специального приложения
- вход по биометрии
Какой из них выбрать?
Выбирайте второй вариант — одноразовый код из специального приложения. Это может быть приложение для двухфакторной аутентификации на телефоне или на компьютере вроде Authy, Google Authenticator, FreeOTP и даже хранилище паролей 1Password.
Как подключить одноразовый код?
В разделе «Безопасность» вашего профиля на «Госуслугах» выберите вход с подтверждением «По одноразовому коду (ТОТР)».
С помощью приложения на телефоне для двухфакторной аутентификации отсканируйте QR-код или введите секретный ключ вручную. В приложении появится запись «gosuslugi» с одноразовым кодом, который будет периодически обновляться.
Теперь при входе на «Госуслуги» после ввода логина и пароля вам нужно будет открывать приложение и вводить код, который вы видите на экране.
Почему не СМС?
Злоумышленники могут относительно легко перехватить ваши СМС. А если они при этом узнают, какой вы используете пароль, то смогут получить доступ к вашему профилю на «Госуслугах».
В чем проблема с биометрией?
Главная проблема заключается в том, что вы не можете изменить ваши биометрические данные (в отличие от пароля, телефонного номера или электронной подписи). Если злоумышленник завладеет ими (например, вследствие утечки) и сумеет использовать, то ему останется только узнать ваш пароль.
«Госуслуги» используют распознание лица в качестве биометрического фактора. Даже если сейчас технологии не позволяют обмануть систему, используя фотографии потенциальной жертвы, нет гарантии, что так будет всегда.
Важно. Не настраивайте вход в «Госуслуги» только по биометрии — без пароля! Такая опция доступна для компьютера или ноутбука. Это удобно не только для вас, но и для злоумышленников.
Что будет, если кто-то получит доступ к чужим «Госуслугам»?
Это может обернуться для владельца самыми разными проблемами. Мошенники могут попытаться оформить на вас микрокредиты или получить налоговый вычет по поддельным документам.
Они могут попытаться украсть деньги с вашего банковского счета. Потому что доступ к «Госуслугам» позволяет оформить получение электронной сим-карты (eSIM) с вашим номером. В результате ваша реальная сим-карта просто перестанет работать, а злоумышленник вместо вас будет получать верификационные СМС-сообщения от банка.
Помню, на каких-то выборах «Госуслуги» взламывали для голосования за «Единую Россию». Получается, власти сами усложнили себе задачу?
Мы не знаем, кто взламывал учетные записи «Госуслуг» в 2021 году и голосовал с их помощью на внутрипартийных праймериз «Единой России». Это могли быть отдельные люди внутри партии, заинтересованные в накрутке голосов за конкретных кандидатов. Нет сведений о том, что взломанные аккаунты «Госуслуг» использовались для интернет-голосования на федеральных, региональных или муниципальных выборах. Для возможных фальсификаций на интернет-голосовании властям не обязательно взламывать «Госуслуги» граждан, а к сведениям, содержащимся в них, у чиновников и силовиков и так есть доступ.
«Медуза»