Россиянам рассказали о наиболее уязвимом методе аутентификации на «Госуслугах». Подтверждение авторизации с помощью SMS-сообщения при двухфакторной аутентификации, несмотря на свою удобность, является наименее безопасным, что связано с возможностью перехвата SMS-сообщений.
Об этом сообщил операционный директор компании “Мультифактор” Виктор Чащин. Эксперт сделал заявление во время общения с журналистами издания РИА «Новости».
Для справки: с 1 декабря 2023 года вступили в силу изменения в правительственном постановлении о Единой системе идентификации и аутентификации (ЕСИА). Теперь двухфакторная аутентификация на портале госуслуг является обязательной. В процессе аутентификации пользователь должен ввести свои учетные данные и дополнительно подтвердить вход: через одноразовый код из SMS, с использованием биометрических данных или кода из соответствующего TOTP-приложения.
Виктор Чащин подчеркнул, что, несмотря на удобство SMS-сообщений (ведь телефон есть у всех людей), с точки зрения кибербезопасности этот метод сопряжён с наибольшими рисками. Дело заключается в том, что злоумышленники могут перехватить СМС-сообщения или получить доступ к телефонному номеру другого человека, скопировав или подменив его SIM-карту.
Эксперт в области информационной безопасности также отметил, что менее удобный, но гораздо более надежный способ двухфакторной аутентификации для госуслуг — это использование кода из TOTP-приложения. Киберпреступникам практически невозможно перехватить его дистанционно, если только они не получат физический доступ к устройству, на котором установлено приложение.
Что касается биометрических данных, многие российские пользователи опасаются их передачи частным компаниям или государственным органам. Виктор Чащин объяснил, что биометрические данные хранятся не в исходном виде, а в форме специального набора символов, защищенных различными методами шифрования. Это делает метод использования биометрии одним из наиболее надежных. Вместе с этим, у биометрии есть свои ограничения: авторизация с помощью биометрических данных возможна только с персонального компьютера или ноутбука в случае с госуслугами, резюмировал операционный директор компании «Мультифактор».
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
